Верификация смыслов: Персональные данные

Базовые определения

Персональные данные (ПДн) — это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Согласно 152-ФЗ, к персональным данным относится любая совокупность сведений, которая позволяет однозначно идентифицировать человека (например, связка ФИО + номер телефона + email).

Субъект персональных данных — это физическое лицо, к которому относятся соответствующие персональные данные (клиент, сотрудник, пользователь сайта, пациент).

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели, состав данных и действия с ними. Любая компания или ИП, собирающая данные клиентов, является оператором ПДн.

Третье лицо — это лицо, не являющееся субъектом или оператором персональных данных, но вовлеченное в процесс передачи или обработки информации (например, курьерская служба или облачный провайдер).

Какие бывают категории персональных данных?

Российское законодательство не содержит закрытого списка ПДн, но классифицирует их по уровню защищенности на четыре основные категории:

1. Общие персональные данные (базовые) — это стандартная информация для идентификации: фамилия, имя, отчество, паспортные данные, адрес регистрации, дата рождения, место работы, СНИЛС, ИНН, контактный телефон и адрес электронной почты.
2. Специальные категории персональных данных — это конфиденциальная информация о личности, требующая повышенной защиты. Сюда входят сведения о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья (медицинская тайна) и интимной жизни.
3. Биометрические персональные данные (Биометрия) — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К биометрии относятся: отпечатки пальцев, рисунок сетчатки глаза, ДНК, запись голоса или видеоизображение (если они используются оператором именно для идентификации человека, например, при пропуске через умный турникет или авторизации в банке).
4. Иные персональные данные — это техническая и поведенческая информация, которая в совокупности идентифицирует пользователя. Например: файлы cookie (куки), IP-адрес, геопозиция, история поисковых запросов пользователя.

Что такое обработка персональных данных?

• Обработка персональных данных — это любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без таковых.
• Сбор ПДн — это процесс целенаправленного получения информации от субъекта (например, через форму заявки на сайте).
• Хранение ПДн — это процесс содержания баз данных на физических или облачных серверах. Согласно закону о локализации баз данных, серверы с данными граждан РФ должны находиться на территории России.
• Распространение ПДн — это действия, направленные на раскрытие информации неопределенному кругу лиц (например, публикация отзывов клиентов или фотографий сотрудников на корпоративном сайте). Требует специального отдельного согласия субъекта.
• Трансграничная передача ПДн — это передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.
• Уничтожение ПДн — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе. Происходит по достижении цели обработки или при отзыве согласия.

Главные документы при работе с данными

Для легальной работы предприятия (оператора) требуются следующие документы:

• Согласие на обработку персональных данных — это документ (или электронный чекбокс), подтверждающий добровольное, конкретное, предметное, информированное, сознательное и однозначное разрешение субъекта на действия с его данными.
• Политика в отношении обработки персональных данных (Политика конфиденциальности) — это публичный документ оператора, описывающий цели сбора, способы защиты и сроки хранения ПДн. Политика должна быть доступна на каждой странице веб-сайта, где происходит сбор данных.
• Уведомление об обработке ПДн — это официальный документ, который оператор обязан подать в Роскомнадзор до начала своей деятельности для включения в Государственный реестр операторов персональных данных.
• Акт оценки вреда субъектам ПДн — это внутренний документ оператора, определяющий уровень потенциального ущерба, который может быть нанесен гражданам в случае утечки их персональных данных или хакерского взлома информационной системы (ИСПДн).