Персональные данные клиентов: всё о правилах хранения и обработки

К хранению и обработке персональных данных есть особые требования. Компания обязана соблюдать их, когда получает данные клиентов. В статье расскажем, что относится к персональным данным, как начать их собирать и правильно хранить.

Что такое персональные данные и как правильно их собирать

Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к определённому физическому лицу.

Есть четыре основных вида персональных данных, которые помогают идентифицировать человека:

• Общие — данные, которые чаще всего есть в паспорте. Например, Ф. И. О., страна и город, дата рождения. Для того чтобы разрешить использовать общие данные, человеку достаточно поставить галочку о согласии. Письменное разрешение не нужно.
• Специальные — национальность, вероисповедание, состояние здоровья, политические и философские взгляды, наличие судимости и другие личные данные человека. Эту закрытую информацию получают только с письменного разрешения.
• Биометрические — биологические характеристики человека: внешние данные, отпечатки пальцев, голос, группа и резус-фактор крови, ДНК-анализ слюны. Они помогают определять личность человека, чтобы мошенники не смогли выдать себя за владельца информации, денег или другого имущества. Например, банки при проверке клиентов, помимо других способов, используют фотографии.
• Иные — любые другие персональные данные, которые могут меняться с течением времени. Например, социальный статус, трудовой стаж, размер заработной платы или номер телефона.

Как хранить и обрабатывать данные, описано в законе №152-ФЗ «О персональных данных». Есть два основных действующих лица:

• Человек, который дал согласие на обработку данных, физическое лицо — его называют субъект персональных данных
• Юридическое лицо, государственная организация или ведомство, которое собирает и обрабатывает данные, — это оператор персональных данных

Компания становится оператором, как только начинает работать с персональными данными. Чаще всего это происходит в трёх случаях:

• Компания собирает контактную информацию на сайте. Например, чтобы подписать клиента на email-рассылку. Почта с именем и фамилией, по которой можно идентифицировать человека, относятся к персональным данным и требуют согласия на обработку.
• Компания собирает данные клиентов офлайн. Например, чтобы подключить к программе лояльности. В таком случае тоже собирается личная информация.
• Компания собирает на сайте cookie-файлы. Благодаря cookie-файлам можно узнать местоположение клиента, его предпочтения и активность в Сети, а также другие параметры.

Когда компания начинает обрабатывать персональные данные, она обязана отправить в Роскомнадзор уведомление. Можно отправить письмо почтой России или электронно — на сайте Роскомнадзора с подтверждением через Госуслуги.

Если работа с данными проходит только на бумаге, без автоматизированной обработки, уведомлять Роскомнадзор не обязательно.

После уведомления Роскомнадзора нужно составить документ — согласие на обработку персональных данных. Его нужно разместить в открытом доступе, чтобы пользователь перед тем, как предоставить свои данные, мог с ним ознакомиться. В согласии обязательно прописать цель и методы сбора информации, срок действия, а также рассказать, как можно отозвать сведения.

Пошаговая инструкция: как начать обрабатывать персональные данные по закону

Обработка персональных данных — это запись информации, её хранение, передача, извлечение или уничтожение. Проще говоря, всё, что делает оператор с ПД.

Чтобы обрабатывать данные согласно закону, лучше придерживаться следующих шагов:

1. Определите ответственное лицо. Назначьте человека, который будет отвечать за организацию процесса: осуществлять внутренний контроль за соблюдением законодательства, сообщать об изменениях в законах оператору и сотрудникам компании, контролировать приём и обработку ПД. Ответственным обычно назначают сотрудника юридического отдела или отдела безопасности — он должен хорошо ориентироваться в этом вопросе. Другой вариант — передать обязанности сторонней юридической компании. Составьте приказ о назначении ответственного за организацию обработки персональных данных. При проверках представители Роскомнадзора часто обращают внимание на этот документ.

2. Проверьте, что относится к персональным данным в вашем случае. Определите, какие данные будет собирать ваша компания, и посмотрите, какие из них считаются персональными. На этом же этапе стоит прописать обязательство о неразглашении персональных данных. Как правило, доступ к ПД есть не у одного сотрудника организации, а у целой группы, поэтому каждый, кто имеет к ним доступ, должен подписать этот документ.

3. Пропишите политику конфиденциальности. Политика конфиденциальности — это документ, в котором говорится о принципах работы с закрытой информацией: деловой перепиской, договорами, корпоративными документами и встречами. Составьте правила работы с персональными данными, которые приняты в вашей организации. Опубликуйте документы на сайте.

Например, подробную информацию о политике конфиденциальности Яндекса можно найти в разделе правовых документов.

4. Проверьте расположение сервера для хранения ПД. Когда компания собирает данные онлайн, они попадают на хостинг. Серверы хостинг-провайдера должны находиться на территории РФ. В открытом доступе есть реестр зарегистрированных в России провайдеров — ещё до принятия решения об обработке данных компании могут проверить, стоит ли доверять конкретному поставщику или нет.

5. Подготовьте программное обеспечение для защиты данных. На рынке информационной безопасности есть специализированные продукты для защиты корпоративных сетей от утечек — DLP-системы. Они собирают информацию и фиксируют её в журналах, отслеживают вероятные угрозы и препятствуют их распространению, обеспечивают мониторинг передаваемой информации и блокируют каналы передачи. Такие системы нужны, чтобы компания была готова к возможным утечкам и предотвращала их.

6. Уведомите Роскомнадзор о начале работы. Для этого подайте заявление на сайте ведомства. Позже Роскомнадзор также необходимо уведомлять об изменении названия или адреса оператора ПД, объёме данных и целях их обработки. Сведения добавят в реестр в течение месяца.

Последствия нарушения закона о персональных данных

В юридическом смысле в случае нарушения прав пользователей применяется статья 13.11 КоАП РФ «Нарушение законодательства в области ПД». Каждый случай рассматривают отдельно, оценивая обстоятельства и тяжесть последствий. Но во всех случаях обязательно возмещение убытков пострадавшим.

Также в случае нарушений компания рискует получить штрафы:

• За обработку персональных данных без согласия в письменной форме, когда эта форма нужна, — от 300 000 до 700 000 рублей.
• За неопубликованные в открытом доступе документы, касающиеся работы компании с персональными данными, — от 6 000 до 12 000 рублей ответственным лицам; от 10 000 до 20 000 рублей индивидуальным предпринимателям; от 30 000 до 60 000 рублей юридическим лицам.

Персональные данные — это конфиденциальная информация. Они помогают идентифицировать пользователей, но, чтобы этот процесс происходил безопасно для субъекта и оператора, нужно соблюдать ряд требований. Перед обработкой данных нужно уведомить об этом Роскомнадзор, а необходимые документы — политика конфиденциальности, обязательство о неразглашении ПД и другие — должны быть в общем доступе.