Как работать с персональными данными пользователей

О том, как обрабатывать персональные данные пользователей, как их правильно собирать и какие документы нужны компании, рассказала в эфире клуба «‎Точка доступа к трафику»‎ Анна Киселёва, директор по продукту компании Urist Infobiz. 

Что говорит закон и что относится к персональным данным

Обработку персональных данных регулирует закон «‎О персональных данных»‎ от 27.07.2006 №152-ФЗ и подзаконные нормативные акты. 

Также есть генеральный регламент о защите персональных данных (ПД) — постановление Европейского союза, с помощью которого ЕС усиливает и унифицирует защиту данных. Учитывайте его при разработке политики персональных данных, обработке файлов cookie. Регламент действует для граждан Евросоюза вне зависимости от места их нахождения и для людей, находящихся на территории Евросоюза. 

Персональные данные — любая информация, которая прямо или косвенно относится к определённому или определяемому физическому лицу (субъекту персональных данных). Иными словами, это данные, по которым вы можете понять, что они относятся к кому-либо. 

Закреплённого перечня таких данных в законе нет, он сложился из судебной практики.

Что относится к персональным данным:

• фамилия, имя, отчество
• год, дата, место рождения человека
• семейное, социальное, имущественное положение
• образование, профессия, доходы
• адрес электронной почты, если включает имя, дату рождения и т. д. Всегда нужно запрашивать разрешение на обработку персональных данных, предполагая, что почта может содержать имя человека
• номер телефона
• паспортные данные
• адрес места жительства
• изображение
• информация о количестве принадлежащих человеку акций
• идентификаторы пользователя.

Под регулирование законом попадают те данные, которые по отдельности или в совокупности достоверно указывают на конкретное определяемое лицо. Режим конфиденциальности не распространяется на случаи обработки обезличенных персональных данных. 

Например, просто фамилия, имя и отчество — Аксёнов Андрей Анатольевич — это не персональные данные, так как по ним нельзя точно определить, к кому они относятся, у человека могут быть однофамильцы. Но при обработке этой информации нужно придерживаться требований закона на всякий случай. 

Виды персональных данных и способы их обработки

Есть четыре вида персональных данных.

• Общие — например Ф. И. О., место регистрации, информация об образовании, месте работы, телефон, почта.
• Специальные — информация о национальности, политических, религиозных, философских взглядах, о состоянии здоровья, подробности интимной жизни, информация о судимостях.
• Биометрические — физиологические и биологические особенности человека, которые используют для установления личности, например фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, вес, цвет глаз.
• Иные — все данные, которые нельзя отнести к другим видам, например принадлежность к социальной культуре, корпоративные данные.

Для обработки общих персональных данных достаточно брать согласие, которое даётся действиями человека: то есть если он нажал на кнопку, поставил галочку на сайте. А вот для обработки биометрических, специальных данных понадобится согласие в письменной форме либо с электронной подписью.

Обработка персональных данных — это любое действие или совокупность действий, которые происходят с использованием средств автоматизации (интернет, компьютер) или без них (например, если заявление написано на бумаге) с персональными данными. 

Если вы храните персональные данные распечатанными, на бумаге, то в регламенте нужно прописать, где именно лежат документы: в каком шкафу, по какому адресу, кто ответственный за их хранение и у кого ключ. Если храните данные на компьютере, нужно устанавливать надёжный пароль, использовать антивирусную защиту и т. д. Степень защиты зависит от того, чем именно вы занимаетесь. Например, если у вас онлайн-школа, нужно будет пройти аттестацию и получить сертификат о том, что программы для защиты ПД на вашем компьютере соответствуют требованиям закона. 

Виды обработки персональных данных:

• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (распространение, предоставление, доступ)
• обезличивание
• блокирование
• удаление (например, это удаление файла с компьютера в корзину, без уничтожения)
• уничтожение. 

Если персональные данные хранятся у вас на накопителях, в облаке, вы ничего с ними не делаете — только храните, значит, это тоже относится к обработке.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределённому кругу лиц. Например, у вас кто-то оставил отзыв на сайте и поблагодарил за услугу, подписавшись «‎Ирина Петрова, 32 года»‎. Это уже персональные данные, а так как на сайт может зайти кто угодно, значит, отзыв виден неограниченному кругу лиц. На размещение таких отзывов нужно брать отдельное согласие в письменной форме либо собирать отзывы анонимно.

Подвид передачи персональных данных — трансграничная передача. Обратите внимание на пункт 5 статьи 15 ФЗ «‎О персональных данных»‎ — о том, что обработка персональных данных в интернете должна производиться с использованием баз данных, находящихся на территории России. Если вы передаёте данные в другую страну и собираете с использованием иностранного сервера, происходит трансграничная передача персональных данных. Нельзя совершать её просто так. 

Нужно получить разрешение от Роскомнадзора, направив уведомление о намерении провести трансграничную передачу данных. В нём нужно указать свои данные, цель, с которой вы намерены передавать данные, категорию и перечень данных, перечень иностранных государств для передачи и другие сведения в соответствии с законом. 

До того, как вы подготовите это уведомление, нужно будет провести анализ и узнать, соблюдают ли конфиденциальность при обработке данных государства или лица, которым вы намерены их передать. В законном акте есть перечень стран, условно разрешённых для этих манипуляций. Уведомление рассматривают 10 дней. Не исключено, что трансграничную передачу персональных данных не только не разрешат, но и придут к вам с проверкой.

Клуб по подписке «Точка доступа к трафику» — это профессиональное комьюнити таргетологов, где можно развиваться, получать новые знания и общаться с коллегами. 

Каждый месяц в клубе:

• эфиры с экспертами, мастер-классы, лекции, разборы новых инструментов
• мозгоштурмы с коллегами
• разборы отдельных ниш
• марафоны по росту доходов. 

А ещё вы получаете доступ к огромной закрытой базе знаний клуба с полезным контентом.

Оставьте заявку, чтобы вступить в клуб. 

Документы для обработки персональных данных

Что нужно разработать, если вы работаете с персональными данными.

• Политика в отношении обработки ПД

Обязательный документ, который нужно издавать и размещать в свободном доступе. Это внутренний документ организации, с которым должен иметь возможность ознакомиться каждый человек. В нём вы прописываете, как обрабатываете ПД, а дальше уже дело каждого — соглашаться с вашей политикой или нет. 

Политика регулирует порядок обработки ПД. Для каждой цели обработки в ней должны быть указаны: категории и перечень ПД, категории субъектов, способы и сроки обработки и хранения данных, порядок уничтожения ПД. 

• Согласие на обработку ПД

Отдельный документ, который исходит от субъекта ПД, т. е. человек его заполняет сам. Его нужно брать при любой обработке данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если это не противоречит закону. 

Есть требования к содержанию согласия. В нём нужно указать такие данные:

1. Ф. И. О. субъекта персональных данных.
2. Номер документа, удостоверяющего личность, с датой его выдачи и номером органа.

Эти два пункта, скорее всего, будут избыточными данными для вас. Вы можете собирать только данные почты, телефон.

Термин «‎избыточность персональных данных»‎ прописан в законе. Содержание и объём передаваемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям. 

1. Наименование или Ф. И. О. и адрес оператора, получающего согласие субъекта ПД.
2. Цель обработки данных.
3. Перечень ПД для согласия.
4. Наименование или Ф. И. О. и адрес лица, которое обрабатывает ПД по поручению оператора.
5. Перечень действий с ПД, на которые человек соглашается.
6. Срок действия согласия и способы его отзыва.
7. Подпись субъекта ПД (или поставленная галочка в документе). 

Как оформлять деятельность при обработке ПД

Решая обрабатывать ПД, вы должны уведомить об этом Роскомнадзор. Это уведомление закреплено в законе — п. 1, ст. 22 «‎О персональных данных»‎.

Форма уведомления размещена на сайте Роскомнадзора.

Можно авторизоваться на сайте через Госуслуги и не дублировать форму через бумажный носитель.

Есть открытый Реестр операторов, обрабатывающих персональные данные. Здесь можно проверить, надёжен ли оператор, с которым вы собираетесь работать. 

Частые ошибки при оформлении форм сбора ПД

Разберём две ошибки, которые допускают на сайтах многие онлайн-школы. 

Пример 1. Галочка о согласии на обработку ПД поставлена автоматически. Это нарушение, так как действие человек должен совершить сам. 

Обратите внимание, «‎политика конфиденциальности»‎ в форме — не равно «‎политика обработки персональных данных»‎.

Верная формулировка: «‎Я согласен с пользовательским соглашением и даю согласие на обработку персональных данных»‎, а ссылка должна вести на сам текст согласия. 

Пример 2. Гиперссылка ведёт на политику персональных данных, а не на Согласие на обработку ПД.

Верная формулировка: «‎Нажимая на кнопку “‎Купить”, вы соглашаетесь с договором оферты и даёте согласие на обработку своих персональных данных»‎.

Как правильно работать с формой сбора ПД

1. Разместите политику обработки персональных данных в доступном месте. Например, в подвале сайта или под формой сбора ПД. 

2. Соберите согласие, корректно заполнив форму.

3. Разместите согласие на сбор Яндекс Метрики.

Согласие на рекламную рассылку

Есть согласие на обработку ПД, а есть согласие на рекламную рассылку. 

Согласно ст. 18 п. 1 ФЗ «‎О рекламе»‎, для распространения рекламы вы должны взять предварительное согласие абонента. На каждый вид рассылки — отдельное согласие: по СМС, электронной почте, посредством телефонной связи. 

Если вы поместите согласие на рекламную рассылку в ту же строку, что согласие на обработку ПД и на оферту, можете получить жалобу от пользователей в Роскомнадзор. У человека должна быть возможность заключить с вами договор и не подписываться на рассылку. 

Ответственность за нарушение порядка обработки ПД

Есть штрафы за однократные нарушения, за повторные, а какие-то нарушения каждый раз считаются как первичные. Они собраны в таблице ниже.

Если вы получаете обращение от человека, который требует, например, уничтожить его ПД, вы должны зафиксировать каждое в специальном журнале и отобразить, как отреагировали.

Если, например, человек оставляет свои ПД и спрашивает вас, что вы с ними делаете дальше, вы должны дать ответ на этот запрос.

Сейчас Роскомнадзор не проводит систематические проверки — чаще это профилактические визиты, которых не нужно бояться — участвуйте в них, спрашивайте обо всём представителей госорганов. 

Если при обработке ПД у вас возникают вопросы, всегда лучше обратиться к закону или юристу.