Извините, ваш браузер не поддерживается. Пожалуйста, установите любой актуальный браузер и возвращайтесь!

 

Персональные данные. Общие понятия и требования.

Что такое персональные данные?

Данные, которые позволяют идентифицировать физическое лицо. Четкого перечня сведений, которые могут быть отнесены к персональным данным, нет, но чаще всего это сочетания:

  • ФИО и электронная почта;
  • ФИО и телефон;
  • ФИО и адрес;
  • паспортные данные.

Обратите внимание, что персональные данные относятся именно к физическому лицу, у юридического лица персональных данных нет. Реквизиты юридического лица не являются персональными данными.

ПДн – это используемое сокращение для термина «персональные данные» .


Каким законом регулируются вопросы обработки ПДн?

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).

Что такое обработка ПДн?

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как правило, фаундеры считают, что если они не выполняют совокупности вышеперечисленных действий, то они и не обрабатывают ПДн. Это неверно. Любое действие с ПДн (любое их использование) считается обработкой.

Так, собирая данные при регистрации на сайте, вы обрабатываете их.

Курьерская компания, доставляя товары покупателям ИМ, использует ПДн покупателей.

Собирая личные данные соискателей на вакантную должность, вы обрабатываете их ПДн.


Согласие на обработку ПДн

Главное правило – перед началом обработки ПДн необходимо получить согласие на такие действия. При этом согласие должно соответствовать требованиям закона и содержать установленные сведения.

Согласие субъекта персональных данных на обработку его персональных данных, составленное в письменной форме, должно содержать:

  1. Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
  2. Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных).
  3. Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.
  4. Цель обработки персональных данных.
  5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
  6. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
  7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.
  8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
  9. Подпись субъекта персональных данных.

Одной из распространенных ошибок является использование усеченной формы согласия на обработку ПДн. Например: «Я даю согласие на обработку личных данных». Кем, каких данных и на сколько – непонятно, а значит, не соответствует законодательству.

Возможно получать согласие в электронной форме путем проставления отметки (например, при совершении заказа на сайте интернет-магазина или при регистрации на сайте).

А вот получения согласия на обработку ПДн по телефону закон не предусматривает (это подтвердил и Роскомнадзор в одном из своих разъяснений).

Если ваша организация получает ПДн не от субъекта, а от третьего лица (как, например, во взаимоотношениях курьерской компании и интернет-магазина, который передает данные покупателя для доставки товара), необходимо получить от третьего лица подтверждение правомерности передачи данных.

Закон также предусматривает необходимость уведомления Роскомнадзора об обработке ПДн, но устанавливает исключения (например, когда данные получены от физлица в рамках исполнения договорных обязательств).


Нужны ли другие документы?

Помимо согласия на обработку ПДн в организации должны быть и другие документы.

Довольно часто на сайте размещают Политику конфиденциальности. Не всегда это необходимый документ. Но если вы в своей деятельности собираете ПДн, нужно разместить отдельный документ, регулирующий порядок обработки персональных данных. Это может быть Политика конфиденциальности или Положение об обработке ПДн. Более подробно о содержании этого документа читайте в нашей статье.

Для МФО размещение такого документа является обязательным.

Также в зависимости от категории обрабатываемых ПДн в компании должны быть разработаны и утверждены следующие локальные акты:

  • Приказ о назначении лица, ответственного за обработку ПД в организации.
  • Положение о порядке обработки ПД (включая срок хранения и порядок уничтожения ПДн).
  • Положение о порядке предотвращения, выявления и устранения нарушений (защите) ПДн и Положение о подразделении (должностном лице), ответственном за защиту ПДн.
  • Должностные регламенты лиц, ответственных за защиту ПДн.
  • План внутренних проверок состояния защиты ПДн.
  • Список лиц, обрабатывающих ПДн, утвержденный оператором или уполномоченным лицом.
  • Модель угроз безопасности ПДн в соответствии с требованиями ФСТЭК России.

Роскомнадзор, отвечая на вопрос о перечне обязательных документов, указывает, что практика сформировала необходимый минимум документов, который должен быть принят оператором. Это:

  • Общий документ, определяющий политику оператора в отношении обработки персональных данных.
  • Локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  • Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Обратите внимание, что точный перечень документов можно разработать только после консультации и ознакомления с вашим проектом.

Если у вас остались вопросы, вы всегда можете написать нам, и мы обязательно ответим.


Читайте также:

Реклама. Как продвинуть проект и не получить штраф?

Судебная практика. Дело о защите патентных прав

Москва, ул. Вавилова, д. 57Ас1
Консультант доступен в будни с 10:00 до 19:00 по Москве

 
   
 

Москва, ул. Вавилова, д. 57Ас1
Консультант доступен в будни с 10:00 до 19:00 по Москве

ООО Юридическая компания «Зарцын и партнеры»
ИНН   7736683214
КПП   773601001
ОГРН  5147746257247