Главная Новости отрасли Как привести сайт в порядок по закону о персональных данных

Как привести сайт в порядок по закону о персональных данных

17.08.2023 в 01.21 288Просмотров: 288 0Комментариев: 0
Подробный разбор сложной темы

 

В последние несколько лет вопрос о персональных данных (ПД) стал очень актуален.

Что относится к ПД:

  • ФИО;
  • место, дата рождения, место постоянной или временной регистрации;
  • фотография или видеозапись человека, которые могут его идентифицировать;
  • сведения о детях, родственниках, семейном положении;
  • сведения о зарплате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные, в том числе раса, национальность, политические или религиозные взгляды, философские убеждения; 
  • состояние здоровья;
  • информация о судимостях или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН;
  • биометрические данные.

Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут. Например, номер телефона сам по себе не является ПД, но вместе с указанием ФИО владельца — является.

Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к ПД, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.

Классификация

Общедоступные — те, на доступ к которым дано согласие субъекта ПД, а не те, которые можно найти в интернете.

Специальные — информация о расе, национальности и религии, политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.

Биометрические — информация о физиологических и биологических особенностях человека, то есть отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определённой социальной группе, стаж работы и прочее.

Важные понятия

Оператор ПД — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели их обработки, состав ПД, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка ПД — любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием или без автоматизированных средств.

Виды обработки:

сбор;запись;систематизация;накопление;хранение;уточнение (обновление, изменение);использование;передача (распространение, предоставление, доступ);обезличивание;блокирование;удалёние;уничтожение.

Пути обработки

Автоматизированная — с помощью средств вычислительной техники, то есть компьютеров, телефонов и другие электронные устройств, а также это базы данных, криптографические средства защиты, программы, скрипты и так далее.

Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.

Неавтоматизированная — без использования средств вычислительной техники.

После того, как ПД обработаны, они отправляются на хранение в архив, бумажный или цифровой. В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).

Как организовать архив

Подготовить политику обработки ПД для сайта и форму согласия на обработку ПД. При подготовке важно обратить внимание на соответствие их содержания требованиям Федерального закона «О ПД» от 27.07.2006 № 152-ФЗ.

Затем — проверить свой сайт на наличие ошибок.

Подготовить положение об организации обработки ПД — это локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации ПД и другое.

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ.

Краткий чек-лист

  • Зарегистрироваться в Роскомнадзоре, как оператор ПД (обязательно не для всех, ниже вы узнаете об исключениях).
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определённых целей, и на определённый срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то с документальным подтверждением и  аттестованным людям.  
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

О регистрации в Роскомонадзоре

Кому не нужно регистрироваться как оператору ПД:

  • сбор ПД осуществляется для установления трудовых отношений;
  • ПД собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
  • обработка ПД из открытого доступа;
  • сбор ФИО граждан без телефона и e-mail;
  • сбор ПД для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение ПД осуществляется на бумажных носителях без использования средств автоматизации.

Хранить свой бумажный архив, включая кадровые документы и ПД можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация в Роскомнадзор обязательна.

Что проверить при сборе и/или обработке ПД

  • Опубликована ли на сайте политика обработки ПД?
  • Доступен ли документ в «подвале» вашего сайта?
  • Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О ПД»)?
  • В порядке ли согласие пользователей на обработку ПД?

Что проверить в согласии

  • Указаны ли в форме согласия конкретные категории обрабатываемых данных?
  • Установлен ли срок обработки (либо порядок его определения)?
  • Указан ли перечень лиц, которым оператор ПД передаёт данные?

О локализации ПД

  • Фигурирует ли на сайте информация об использовании иностранных сервисов Google Analytics, Microsoft Azure, Amazon Web Services и других? 
  • Если нужно продолжить использовать такие сервисы, уведомили ли Роскомнадзор о трансграничной передаче ПД?
  • Если данные — на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации ПД граждан РФ?

Если данные всё же «утекли»

Необходимо уведомить Роскомнадзор о компрометации ПД:

  • в течение 24 часов с момента утечки — об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
  • в течение 72 часов — о результатах внутреннего расследования.

Также необходимо подготовить ответ на запросы субъектов ПД и Роскомнадзора — десять рабочих дней на ответ плюс пять рабочих дней при направлении мотивированного письма.

Источник: мойбизнес.рф Фото: t.me
Нравится
Лента тематических новостей, в которой размещаются новости о сувенирной отрасли со всего света. Подбором информации для этой рубрики занимается редакция Сувенир.Сегмент.Ру.
В это поле Вы можете ввести, что угодно: свой номер телефона, кличку собаки или прозвище начальника. Единственное условие - запомните введенный код, потому что без него Вы уже не сможете снова воспользоваться выбранным ником. Зачем это нужно? Гостевой код не позволяет посторонним людям оставлять комментарии от Вашего имени. Сегмент.Ру заботится о своих пользователях и их репутации!
Необходимо пройти авторизацию на сайте!
Регистрация
Войти через loginza