Блог Яндекс 360

Бизнесу: как защитить персональные данные ваших клиентов

Какая информация считается персональными данными и как не нарушить закон при её использовании.

27.02.2024
Бизнесу: как защитить персональные данные ваших клиентов
article author

Закон устанавливает правила защиты персональных данных, но ответственность за их сохранность лежит на операторе обработки. В статье рассмотрим, что нужно делать организации, чтобы обеспечить целостность личной информации клиентов.

Что относится к персональным данным

Персональные данные (ПД) — это любая информация, которая относится к физическому лицу прямо или косвенно. Личной информацией можно считать Ф. И. О., номер телефона, паспортные данные и другие. Существуют и менее очевидные примеры, такие как IP-адрес или информация о местоположении. Полный список персональных данных можно найти в форме на сайте Роскомнадзора.

Персональные_данные_Скриншот_1
Если вы не уверены, относятся ли определённые сведения к персональным данным, лучше проверить их в официальных источниках

Как только бизнес начинает обрабатывать персональные данные, он берёт на себя роль оператора. Чаще всего это происходит в трёх случаях:

Компания собирает контактную информацию на сайте. При подписке на email-рассылку пользователь указывает почту и имя. Эти данные считаются персональными и требуют согласия на обработку.

Компания собирает данные клиентов офлайн. Они состоят из личной информации, которая необходима, чтобы, например, подключить их к программе лояльности.

Компания собирает на сайте cookie-файлы. Благодаря cookie-файлам можно узнать местоположение клиента, его предпочтения и активность в Сети, а также другие параметры. Подробнее о том, что такое cookie-файлы, можно прочесть в статье.

Компания должна уведомить Роскомнадзор, что она начала работать с персональными данными. Отправить письмо можно «Почтой России» или электронно — на сайте Роскомнадзора с подтверждением через Госуслуги.

После уведомления Роскомнадзора необходимо составить документ — согласие на обработку персональных данных. Его нужно разместить в открытом доступе, чтобы пользователь перед тем, как предоставить свои данные, мог с ним ознакомиться. В согласии необходимо указать:

  • какие персональные данные нужны компании;
  • для каких целей используют ПД — что с ними будут делать;
  • какие меры безопасности применяют для защиты данных;
  • срок действия согласия;
  • как можно отозвать информацию.
Персональные_данные_Скриншот_2
Форма на сайтах может выглядеть по-разному, но уведомлять клиентов о сборе информации и согласии на обработку персональных данных в любом случае обязательно

Организация, которая обрабатывает персональные данные, берёт на себя обязательства перед клиентами. В случае нарушения прав пользователей применяется статья 13.11 КоАП РФ «Нарушение законодательства в области ПД». Каждый случай рассматривают отдельно, оценивая обстоятельства и тяжесть последствий. Но во всех случаях обязательно возмещение убытков пострадавшим.

В случае нарушений компания рискует получить штрафы:

  • За обработку персональных данных без согласия в письменной форме, когда эта форма нужна, — от 300 000 до 700 000 руб.

За неопубликованные в открытом доступе документы, касающиеся работы компании с персональными данными, — от 6 000 до 12 000 руб. должностным лицам; от 10 000 до 20 000 руб. индивидуальным предпринимателям; от 30 000 до 60 000 руб. юридическим лицам.

Какие бывают виды персональных данных

Есть четыре основных вида персональных данных, которые помогают установить личность человека. Они требуют разного уровня защиты.

Общие персональные данные

Данные, которые чаще всего есть в паспорте. Например, Ф. И. О., страна и город, дата рождения. Для того чтобы разрешить использовать общие данные, человеку достаточно поставить галочку о согласии. Письменное разрешение не нужно.

Специальные персональные данные

Национальность, вероисповедание, состояние здоровья, политические и философские взгляды, наличие судимости и другие личные данные человека. Эту закрытую информацию получают только с письменного разрешения.

Биометрические персональные данные

Биологические характеристики человека: внешние данные, отпечатки пальцев, голос, группа и резус-фактор крови, ДНК-анализ слюны. Они помогают определять личность человека, чтобы мошенники не смогли выдать себя за владельца информации, денег или другого имущества. Например, банки при проверке клиентов, помимо других способов, используют сравнение по фотографии.

Иные персональные данные

Любые другие персональные данные, которые могут меняться с течением времени. Например, социальный статус, трудовой стаж, размер заработной платы или номер телефона. Сведения могут получить с помощью опросов, анкетирования или анализа данных в открытых источниках.

Кто такие оператор и субъект персональных данных

Закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует отношения следующих участников:

Субъекта персональных данных. Человек (физическое лицо), который дал согласие на обработку данных.

Оператора персональных данных. Государственная организация или ведомство (юридическое лицо), которое собирает и обрабатывает данные.

К примеру, когда клиент обращается в банк за кредитом, он предоставляет свои личные сведения в заявке (Ф. И. О., паспортные данные, информацию о доходах и т. д.). Для оформления кредита банку необходимо их обработать. В этой ситуации клиент выступает в качестве субъекта ПД, а банк — в качестве оператора ПД.

Как оператор обязан защищать персональные данные

При обработке персональных данных оператор обязан защитить их от неправомерных действий: удаления, изменения, утечки или кражи. Согласно ст. 19 ФЗ «О персональных данных» Правительство Российской Федерации устанавливает:

  • уровни защищённости персональных данных в зависимости от угроз безопасности;
  • требования к защите персональных данных при их обработке в информационных системах ПД;
  • требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем ПД.

Оператор обязан разработать комплекс организационных, правовых и технических мер для защиты ПД. Его нужно адаптировать под специфику деятельности конкретной организации. Разберём необходимые меры подробнее.

Организационные и правовые меры. Их полный перечень не прописан в какой-то одной статье, но основные положения закреплены в ФЗ «О персональных данных». Вот некоторые из них:

  • Необходимо назначить лицо, ответственное за обработку ПД и соблюдение всех правил, а также разработать локальные акты, которые регламентируют все процессы. В таких документах определяют категории субъектов, способы обработки и сроки хранения ПД. Подробнее об этом можно прочитать в ст. 18.1 ФЗ «О персональных данных».
  • Осуществлять внутренний контроль или аудит для оценки эффективности всех мер по защите персональных данных в процессе обработки. Например, проверять правила обработки ПД и соблюдение сроков их хранения.
  • Проводить обучение и знакомить сотрудников с законами, которые регулируют обработку персональных данных, в том числе и с локальными актами работодателя, например с помощью должностных инструкций.

Технические меры. В ст. 19 ФЗ «О персональных данных» указаны следующие технические меры защиты:

  • Необходимо контролировать доступ к ПД и вести учёт всех совершённых действий. Например, распределить права доступа и настроить многофакторную аутентификацию.
  • Применять средства защиты информации, в которых предусмотрена функция безопасного уничтожения — то есть чтобы её нельзя было восстановить и использовать снова неправомерно.
  • Проверять безопасность системы хранения ПД и вести учёт носителей с этой информацией, например, если в организации используют съёмные жёсткие диски.
  • Проверять эффективность работы системы безопасности. Выявлять угрозы в информационных системах и оперативно устранять их последствия. Например, регулярно обновлять ПО и тестировать систему на наличие уязвимостей.
  • Иметь план восстановления данных в случае успешных кибератак, когда информацию могут изменить или удалить. Например, создать резервные копии данных и поместить их в безопасное место, а сотрудникам дать чёткие инструкции на такой случай.

Подробнее о технических мерах по защите ПД можно прочесть в части 2 п. 8 приказа ФСТЭК России от 18.02.2013 N 21.

Что является персональными данными и что о них важно знать

  • Персональные данные — это любая информация, которая может быть использована для установления личности. К ним относят как очевидные данные, такие как Ф. И. О., так и менее явные, например IP-адрес.
  • ПД делят на четыре категории: общие, специальные, биометрические и иные. Они закреплены в ФЗ «О персональных данных». Закон устанавливает разные требования к обработке данных каждой из категорий — это зависит от уровня их конфиденциальности.
  • В предоставлении и обработке персональных данных участвуют следующие лица: субъект ПД (тот, кто делится личными сведениями) и оператор ПД (тот, кто их обрабатывает).
  • Оператор обязан защитить персональные данные своих пользователей. Для этого ему необходимо составить комплекс мер по защите. Например, разработать политику сбора и хранения ПД, обеспечить сохранность физических носителей информации, контролировать виртуальное пространство на предмет вредоносных атак.
Советы
Для бизнеса

Поделиться

Яндекс 360

Рекомендуемые материалы

Что такое субординация и как её соблюдать

Рассказываем, как выстроить отношения в коллективе и какие виды субординации бывают
25.07.2025

Фокус на главном: как в Яндекс Трекере создать дашборд с виджетами под свои задачи

Подробный гайд для пользователей.
25.07.2025

Зарплата нет и гросс: что это значит и как рассчитать

Объясняем, в чём различия двух сумм и как понять, сколько получите «на руки».
24.07.2025

«Картиночный спам» и фейковые встречи: как трансформируется почтовый спам и какие механизмы внедряет Яндекс 360 для защиты

Обработали 8,4 млрд спам-писем с начала года.
24.07.2025

Как менеджмент решает проблемы бизнеса

Рассказываем, для чего компаниям нужен менеджмент и где узнать о нём больше.
23.07.2025

4 способа восстановить пароль в Яндекс ID

Чтобы вернуть доступ к сервисам.
23.07.2025