Про Профстандарты РосМинТруда Закон о персональных данных (ПД) 2023 привнёс ряд изменений в области обработки и передачи личной информации
граждан. Нововведения вступили в силу 1 марта этого года. Меры введены для повышения уровня защиты, предотвращения
утечки и неправомерного использования ПД.
В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023
году.
Что такое Информационная Система Персональных Данных (ИСПД / ИСПДн)?
Информационная Система Персональных Данных (ИСПД , или ИСПДн) – это специально организованная структура, предназначенная для сбора, обработки, хранения, передачи и защиты персональных данных пользователей. Важность ИСПД заключается в том, что она играет ключевую роль в обеспечении конфиденциальности, целостности и доступности персональных данных, а также в соблюдении законодательных норм и стандартов по защите информации.
Почему Роскомнадзор контролирует передачу персональных данных
Контроль за трансграничной передачей личных данных осуществляет Роскомнадзор с 1 марта 2023. Мера связана с
рисками, которые получают и оператор-отправитель, и физлицо, с которым связана передаваемая информация.
После отправки персональных данных оператор не контролирует их дальнейшую безопасность и не может гарантировать
стопроцентную конфиденциальность. При похищении такой информации Российский гражданин ограничен в защите своих
прав. Поэтому управление по этим операциям было передано государственному ведомству.
Почему могут запретить передавать персональные данные 2023 за границу
Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина
отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание
имеют расхождения с предусмотренными.
Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель
обязан гарантировать защиту и должную обработку полученных сведений.
Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту
прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.
Поговорим о том, что такое персональные данные и что к ним относится.
Персональные данные (ПДн) — это информация, которая касается конкретного человека и позволяет его идентифицировать.
Что считается персональными данными, определено в N 152-ФЗ РФ.
.jpg)
Бизнес собирает персональные данные, чтобы делать клиентам более выгодные предложения.
Например, если мы знаем историю покупок или средний чек, то предложим покупателю скидки и интересную подборку товаров.
Другой пример — через приложение в смартфоне компания знает как минимум ФИО клиента, номер его телефона и адрес электронной почты. А ещё — адреса доставки, транзакции по карте, дату рождения, состав семьи, и кучу всего.
Третий пример — компания проводит опросы, используя наши квизы. Спрашивает разное — от вкусов в еде и одежде до периодичности посещений стоматолога.
А что из перечисленного является ПД?
Решение о запрете или ограничении передачи персональных данных в другие страны
Рекомендуем отправителю заранее убедиться, что его иностранный партнёр может обеспечить конфиденциальность
передаваемой информации и её защиту при обработке. Иначе Роскомнадзор установит запрет. Это может отрицательно
повлиять на бизнес. Важная встреча или сделка сорвётся, и компания потеряет деньги. В некоторые страны передача
личных сведений граждан осуществляется более лояльно.
В какие страны разрешено передавать персональные данные с 1 марта 2023 года
Решение о запрете не выпишут странам, подписавшим
Конвенцию Совета Европы и включённым в специальный перечень Роскомнадзора. В этот
список входит 89 государств, в которых область ПД регулируется на законодательном уровне, а именно
предусматривает:
Трансграничная передача информации — это риск как для оператора-отправителя, так и для физлица, чьи данные
передаются.
Субъекты и операторы
Разберём термины, которые используются в законодательстве по защите персональных данных.
Субъекты персональных данных — это пользователи, у которых запрашивают какие-то данные.
Операторы персональных данных — это компании, которые собирают и обрабатывают полученные данные.
Наш интернет-магазин — оператор ПД — собирает информацию о Маше:
🚚 адрес доставки
☎️ номер телефона
🧾 данные о платеже
Маша читает и принимает политику конфиденциальности, проверяет на сайте соглашение об обработке персональных данных.
Интернет-магазин обрабатывает данные Маши для оформления заказа и доставки товаров.
Маша получает подтверждение о заказе и информацию о доставке на свою почту. Она также может задавать вопросы о заказе или попросить удалить данные после завершения сделки.
Как оператору работать с персональными данными
Как правильно работать с персональными данными, указано в 5 статье ФЗ 152.
Обозначим основные этапы:
1. Сбор персональных данных.
Например, когда пользователь регистрируется в социальной сети и указывает своё имя и адрес электронной почты, это сбор персональных данных.
2. Обработка персональных данных.
На этом этапе данные анализируются или преобразуются. Так, если приложение рекомендует музыку на основе того, что клиент слушал раньше, это обработка данных.
3. Хранение персональных данных.
После сбора и обработки данные должны где-то храниться. Можно хранить на серверах или в базах данных.
4. Защита персональных данных.
Компании обязаны заботиться о безопасности данных и предотвращать утечки или взломы. Это включает прогноз угроз безопасности и шифрование.
5. Знакомство с документами и правилами.
Компания обязана предоставлять документы, которые определяют, как они работают с данными. Это политика конфиденциальности и процедуры для соблюдения законов о защите данных.
Операторы персональных данных несут ответственность за правильную и законную обработку информации.
☝ Что требует Европейское законодательство в сфере защиты персональных данных, рассказываем в статье Что такое GDPR
Собрали в таблицу самые распространенные случаи, когда возникает вопрос о правильности сбора ПД:
Пример
Относится ли к ПД
Почему
Нужно ли согласие на обработку данных
Клиент заказал обратный звонок, указал номер телефона и имя
Нет
Номер телефона и имя сами по себе не помогут идентифицировать человека. В этом случае клиент запросил звонок и предоставил эти данные только для этой цели
Нет
Компания собирает куки
Да
Постоянные идентификаторы, которые сайты используют куки, можно использовать для определения личности человека
Да
Компания собирает данные о клиентах, чтобы делать рассылку с рекламными предложениями
Да
В этом случае email привязан к определённому клиенту
Да
Компания узнаёт ФИО и номер телефона клиента, чтобы подключить его к программе лояльности
Да
Клиента регистрируют в программе, чтобы дальше собирать данные о его активности, в сумме полученные данные позволяют идентифицировать человек
Да (например, клиент подтверждает свою личность через смс)
Компания проводит анонимный опрос о качестве своего продукта и публикует результаты на своем сайте и пресс-релизах
Нет
Данные обезличены
Нет
Компания оформляет договор с клиентом
Да
Данные точно идентифицируют клиента
Нет
Компания открывает клиенту доступ к сервису
Да
У компании есть ФИО и номер банковской карты, по которым можно определить человека
Да
Компания передаёт службе доставки адрес, имя и телефон клиента
Да
Достаточно точно определяют личность клиента
Нет
Компания делает рассылку по подписке
Да
Нужны ФИО, адрес электронной почты, номер банковской карты — данные позволяют определить личность клиента
Да
Какие бывают степени вреда
Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень
зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более
высокая степень.
Составляющие Информационной Системы Персональных Данных
1. Субъекты данных: Субъектами данных являются пользователи или клиенты, чьи персональные данные собираются и обрабатываются. Они могут быть клиентами компании, сотрудниками или любыми другими лицами, информация о которых подлежит защите.
2. Средства сбора данных: Сюда относятся различные источники, с помощью которых собираются персональные данные, такие как веб-формы, приложения, датчики, анкеты и др. Важно обеспечить соблюдение принципа минимизации данных и собирать только необходимую информацию.
3. Технические средства обработки данных: Здесь включены серверы, базы данных, программное обеспечение и другие технологии, используемые для обработки и хранения персональных данных. Конфигурация и обновление этих средств должны соответствовать высоким стандартам безопасности.
4. Политики и процедуры: Это набор правил и инструкций, регламентирующих работу с персональными данными. Они определяют правила доступа к информации, обязанности персонала, процедуры уведомления о нарушениях безопасности и многое другое.
5. Персонал: Сотрудники, имеющие доступ к персональным данным, играют важную роль в обеспечении безопасности. Обучение сотрудников правилам обработки данных и осведомление их о возможных угрозах является критическим моментом.
Передача персональных данных за границу
Персональных данных с 1 марта 2023 года коснулись правила передачи информации за границу. Новые требования, регулирующие передачу ПД за пределы страны, относятся ко всем операторам.
Основные моменты, которые важно знать
Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить
об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022
года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку
или на обучение за рубеж.
Уведомление о трансграничной передаче направляется в Роскомнадзор:
Образец уведомления о намерении осуществлять ТППД
Средняя
Средняя степень вреда присваивается, если:
Что изменилось с 1 марта 2023 года
Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До
1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023
года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна
обеспечить должную защиту персональных данных.
Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно
подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание
новых трансграничных потоков данных.
ПРИНЦИПЫ КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ВЕБ-САЙТЕ
1. ЦЕЛИ И ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящие Принципы конфиденциальности и защиты персональных данных («Принципы») регулируют порядок, согласно которому Fine Hotel Turizm İşletmecilik A.Ş., его деловые партнеры и компании Группы (далее именуются «Компания» или «Оператор данных») защищают персональные данные, определяют принципы обработки персональных данных претендентов на должность в компании, посетителей, клиентов, потенциальных клиентов, поставщиков, третьих лиц, онлайн-посетителей («Группы лиц») и уведомления этих групп лиц.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Как Оператор данных Компания обрабатывает ваши персональные данные в соответствии со следующими принципами.
2.1 Обработка согласно требованиям законодательства и принципам добросовестности
При обработке ваших персональных данных мы действуем в соответствии с принципами, установленными правовыми нормами и общепринятыми нормами добросовестности.
2.2 Обеспечение точности и при необходимости актуальности персональных данных
С учетом ваших законных интересов мы проводим периодические проверки и обновления для обеспечения точности и актуальности обрабатываемых данных и принятия соответствующих мер. В связи с этим, в Компании созданы системы, направленные на контроль точности персональных данных и внесение необходимых исправлений.
2.3 Обработка данных в конкретных, явных и законных целях
Ваши персональные данные обрабатываются с явными, конкретными и законными целями.
2.4 Связанность с целью обработки и соразмерность
Мы обрабатываем ваши персональные данные только для достижения предполагаемой цели (целей) и в ограниченном объеме, при этом персональные данные, не имеющие отношения к цели, не обрабатываются.
2.5. Хранение в течение периода, предусмотренного законодательством или необходимого для обработки
Ваши персональные данные будут храниться только в течение периода, предусмотренного применимым законодательством или необходимого для обработки. Сначала мы проверяем наличие или отсутствие в применимых законах определенного срока, и затем, в зависимости от результатов проверки, соблюдаем установленный срок или храним данные в течение периода, необходимого для цели обработки данных. Когда установленный срок истекает или исчезают причины для обработки персональных данных, то при отсутствии законных причин продлить срок обработки персональных данных, такие данные удаляются, уничтожаются или анонимизируются в соответствии с Политикой хранения и уничтожения персональных данных Компании.
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываются Компанией на следующих условиях.
3.1 Прямое требование закона
Ваши персональные данные обрабатываются в тех случаях, когда обработка явно предусмотрена законодательством.
3.2 Фактическая невозможность получить явно выраженное согласие заинтересованного лица
Ваши персональные данные могут быть обработаны, когда необходимо обработать персональные данные для защиты жизни или здоровья заинтересованного лица или иного лица, если такие лица не могут дать свое явное согласие в связи с фактической невозможностью или их согласие может быть признано недействительным.
3.3 Непосредственное отношение к заключению или выполнению условий договора
Персональные данные могут обрабатываться в рамках необходимой обработки персональных данных участников договора, если они напрямую связаны с заключением или выполнением условий договора.
3.4 Выполнение Компанией юридических обязательств
Персональные данные могут обрабатываться, если обработка является обязательным условием для выполнения юридических обязательств Компании как оператора данных.
3.5 Общедоступные персональные данные
Персональные данные могут быть обработаны, если находятся в открытом доступе.
3.6 Обработка данных необходима для установления, использования или защиты права
Персональные данные могут быть обработаны в случаях, когда обработка данных необходима для установления, использования или защиты права.
3.7 Обработка данных на основе законных интересов
Персональные данные могут быть обработаны, если это требуется для защиты законных интересов Компании.
3.8 Обработка данных на основании явно выраженного согласия
В тех случаях, когда ваши персональные данные не могут быть обработаны на основании какого-либо из условия, изложенного в настоящих Принципах, они обрабатываются на основании явно выраженного согласия.
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные заинтересованных лиц могут обрабатываться Компанией в следующих целях.
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные клиента могут обрабатываться для осуществления необходимых рабочих и операционных процессов, чтобы соответствующее лицо могло извлечь выгоду из продуктов и услуг, предлагаемых Компанией, для исполнения договора, отслеживания финансовых и бухгалтерских операций, планирования и выполнения процессов управления взаимоотношениями с клиентами и удовлетворения потребностей клиентов, мониторинга договорных процессов, отслеживания претензий и жалоб клиентов, планирования и выполнения трансферных процессов, а также планирования процессов, создания и управления инфраструктурой, аудита и выполнения процессов информационной безопасности.
5.2 ПРЕТЕНДЕНТ НА ДОЛЖНОСТЬ В КОМПАНИИ
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные претендента на должность могут обрабатываться в целях планирования и выполнения кадровых процессов, ведения личного дела, выполнения обязательств, предусмотренных законодательством, планирования и предоставления льгот, осуществления процессов подбора персонала.
5.3 ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные потенциального клиента могут обрабатываться в целях кастомизации продуктов и услуг, предлагаемых Компанией, в соответствии со вкусами, привычками использования и потребностями заинтересованного лица; планирования и выполнения мероприятий, необходимых для продуктов и услуг, предлагаемых и рекламируемых заинтересованным лицам; ведения коммерческой деятельности Компанией; осуществления соответствующих бизнес-процессов, проведения необходимых работ и управление соответствующими бизнес-процессами с тем, чтобы заинтересованное лицо могло воспользоваться продуктами и услугами, предлагаемыми Компанией; планирования и выполнения действий, необходимых для кастомизации, предложения и продвижения продуктов и услуг, предлагаемых Компанией; планирования и осуществления процессов управления взаимоотношениями с клиентами.
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные посетителя могут обрабатываться в соответствии с законодательством в целях обеспечения безопасности помещений и объектов, учета и мониторинга учета посетителей, обеспечения безопасности активов и/или ресурсов, обеспечения технической и коммерческой безопасности, обеспечения безопасности деятельности организации и информирования компетентных органов и организаций.
5.5 ТРЕТЬЕ ЛИЦО
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные третьего лица могут обрабатываться для осуществления необходимых рабочих и операционных процессов, с тем чтобы соответствующее лицо могло извлечь выгоду из продуктов и услуг, предлагаемых Компанией, проведения необходимых работ для осуществления коммерческой деятельности Компанией, проведения соответствующих бизнес-процессов, проведения необходимых работ и управления соответствующими бизнес-процессами, чтобы соответствующее лицо могло извлечь выгоду из продуктов и услуг, предлагаемых Компанией, кастомизации, предложения и продвижения продуктов и услуг, предлагаемых Компанией, а также выполнения договоров.
5.6 ПОСТАВЩИК / ДЕЛОВОЙ ПАРТНЕР / АРЕНДАТОР
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные поставщика / делового партнера / арендатора могут обрабатываться для осуществления необходимых рабочих и операционных процессов, с тем чтобы соответствующее лицо могло извлечь выгоду из продуктов и услуг, предлагаемых Компанией, проведения необходимых работ для осуществления Компанией коммерческой деятельности, осуществления соответствующих бизнес-процессов, проведения необходимых работ и управления соответствующими бизнес-процессами с тем, чтобы соответствующее лицо могло извлечь выгоду из продуктов и услуг, предлагаемых Компанией.
В соответствии с условиями обработки персональных данных, изложенными в статьях 5 и 6 Закона № 6698, персональные данные онлайн-посетителя могут обрабатываться в целях проведения маркетинговых аналитических исследований, акций / рекламных акций, проведения коммуникационных мероприятий, проведения работ по разработке продуктов и услуг, выполнения обязательств, предусмотренных законодательством.
В соответствии с принципами и целями, изложенными в статьях 3 и 5 настоящих Принципов, а также условиями и целями обработки персональных данных, изложенными в статьях 8 и 9 Закона № 6698, ваши персональные данные могут в ограниченном объеме передаваться нашим дочерним организациям, отечественным и зарубежным деловым партнерам, клиентам, поставщикам, компетентным государственным органам, наделенным полномочиями по закону, и уполномоченным частным лицам, наделенным полномочиями по закону.
МЕТОДЫ И ЮРИДИЧЕСКИЕ ОСНОВАНИЯ ДЛЯ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные групп лиц, передаваемые в Компанию в электронном виде, обрабатываются, как указано ниже.
Персональные данные клиента обрабатываются автоматически, посредством письменных или устных средств передачи данных, как часть системы регистрации данных, полученных непосредственно от клиента или третьего лица, в физической и электронной форме, на основании правовых оснований, изложенных в статье 5 Закона № 6698, предусматривающих «необходимость обработки персональных данных сторон договора, при условии, что это напрямую связано с заключением или исполнением договора», «если это обязательно для выполнения оператором данных своих юридических обязательств», «если обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам соответствующего лица».
7.2 ПРЕТЕНДЕНТ НА ДОЛЖНОСТЬ В КОМПАНИИ
В контексте вероятного заключения трудового договора, предусмотренного статьей 5 Закона № 6698, персональные данные претендента на должность обрабатываются автоматически, если такие персональные данные получены непосредственно от этого лица или от третьей стороны в рамках системы регистрации данных, путем заполнения анкеты в электронном или бумажном формате, исходя из правовых оснований, предусмотренных положениями о том, что «необходимо обрабатывать персональные данные сторон договора, при условии, что это напрямую связано с заключением или исполнением договора», «если это обязательно для выполнения оператором данных своих юридических обязательств», «если обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица».
7.3. ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
Персональные данные потенциального Клиента обрабатываются автоматически, посредством письменных или устных средств передачи данных, как части системы регистрации данных, полученных непосредственно от потенциального клиента или третьей стороны, в физической и электронной форме, на основании правовых оснований, изложенных в статье 5 Закона № 6698 и предусматривающих, что «персональные данные должны быть раскрыты общественности непосредственно самим заинтересованным лицом», «обработка данных является обязательной для установления, использования или защиты прав», «обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица», «если это обязательно для выполнения оператором данных своих юридических обязательств».
Персональные данные посетителя автоматически обрабатываются, путем осуществления записи на камеры видеонаблюдения на входах в здание, у внешних фасадов здания, конференц-залах и местах проведения мероприятий, в столовых, кафетериях, зонах ожидания, на парковках, в лифтах, коридорах, на этажах и зонах сервисного обслуживания, руководствуясь правовыми основаниями, предусмотренными статьей 5 Закона № 6698, гласящими, что «если это обязательно для выполнения оператором данных своих юридических обязательств», «обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица».
7.5. ТРЕТЬЕ ЛИЦО
Персональные данные третьего лица обрабатываются автоматически, посредством письменных или устных средств передачи данных, как части системы регистрации данных, полученных непосредственно от этого лица или третьего лица, в физической или электронной форме, руководствуясь правовыми основаниями, предусмотренными статьей 5 Закона № 6698, если «обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица» и условия обработки персональных данных, указанные в статье 6, основаны на законных причинах.
7.6. ПОСТАВЩИК / ДЕЛОВОЙ ПАРТНЕР / АРЕНДАТОР
Персональные данные поставщика/делового партнера обрабатываются автоматически, посредством письменных или устных средств передачи данных, как части системы регистрации данных, полученных непосредственно от этого лица или третьего лица в физической и электронной форме, на основании законных оснований, изложенных в статье 5 Закона № 6698, предусматривающих «необходимость обработки персональных данных сторон договора, при условии, что это напрямую связано с заключением или исполнением договора», «если это обязательно для выполнения оператором данных своих юридических обязательств», «если обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица».
Персональные данные онлайн-посетителя обрабатываются автоматически на основании оснований, предусмотренных Законом № 5651 «О регулировании публикаций в сети Интернет и борьбе с преступлениями, совершаемыми посредством таких публикаций», а также статьей 5 Закона № 6698 «если обработка данных является необходимостью для защиты законных интересов оператора данных, при условии, что это не наносит ущерба основным правам и свободам заинтересованного лица», «если это необходимо для выполнения оператором данных своих юридических обязательств».
БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В целях обеспечения безопасности персональных данных и предотвращения незаконной обработки персональных данных, Компания принимает разумные меры, направленные на предотвращение рисков несанкционированного доступа, случайной утраты данных, преднамеренного удаления данных или повреждения данных.
8.2 Для защиты от несанкционированного доступа к персональным данным принимаются любые технические и физические меры. Для этого система авторизации настроена таким образом, чтобы лицо получало доступ к только к минимально необходимому объему персональных данных.
8.3 Для обеспечения соблюдения положений Закона № 6698, Компания проводит необходимые проверки самостоятельно или с привлечением сторонних аудиторов.
ОБЯЗАТЕЛЬСТВА В ОТНОШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИХ ЛИЦ
Соответствующая Группа лиц подтверждает и одобряет передачу Компании персональных данных третьих лиц для обработки. Соответствующая Группа лиц заявляет о том, что в соответствии с требованиями Закона № 6698 «О защите персональных данных», ею выполнено обязательство по уведомлению и получено согласие лиц, чьи данные были переданы. В противном случае, убытки оплачиваются соответствующей Группой лиц.
ПОРЯДОК И ПРИНЦИПЫ ОБРАЩЕНИЯ
Как заинтересованное лицо, вы обладаете следующими правами:
До 1 марта 2023 года
Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо
убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.
После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу
персональных данных за рубеж.
Низкая
Низкая степень вреда устанавливается, если:
Представленные требования действуют до 1 марта 2029 года.
Сервис 152DOC поможет вам выполнить
требования закона № 152-ФЗ и вовремя подготовить все документы, которые нужны для работы с персональными
данными сотрудников и клиентов. Если при заполнении бумаг у вас возникнут вопросы, вы сможете задать их
специалистам по защите персональных данных.
Оценка вреда, который может быть причинён субъектам персональных данных
1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД
создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть
компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О
персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия,
созданная оператором. Форма акта не установлена.
Какие условия обязан соблюдать оператор при обработке персональных данных
Компания обязана подать заявление в Роскомнадзор до начала сбора ПД. Это можно сделать через госуслуги, подать заявление лично или через сайт ведомства. После подачи заявления, в течение 30 дней компанию включат в реестр операторов, осуществляющих обработку персональных данных.
☝ Также заявление нужно подавать, если сведения из прошлого заявления изменятся или если сбор ПД будет прекращён.
Перед подачей заявления нужно определить ответственного сотрудника, а затем указать его в заявлении.
Марквиз является оператором персональных данных и включён в Реестр операторов.
Ещё нужно составить Политику конфиденциальности для пользователей и Положение об обработке и обеспечении безопасности персональных данных для внутреннего пользования.
.jpg)
Наша политика конфиденциальности доступна на главной странице сайта
Также понадобится форма согласия на обработку ПД.
В квизах мы указываем чекбокс с положением об обработке ПД и политикой конфиденциальности, чтобы собирать данные о клиентах законно.
Соблюдение этих условий и правил важно для защиты частной жизни людей.
Высокая
Высокая степень вреда присваивается, если:
Образцы документов, которые нельзя игнорировать в 2023 году
Название документа
Ссылка на скачивание
Уведомление об утечке персональных данных
При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого
оператор отправляет специальное уведомление
в Роскомнадзор.
Документ отправляют при неправомерном доступе, предоставлении или распространении конфиденциальной информации.
Скрывать произошедший инцидент запрещено.
Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.
Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это
нужно, если ведомство считает полученную информацию неполной или недостоверной.
Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора.
Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.
Меры Обеспечения Безопасности ИСПД
1. Шифрование данных: Используйте криптографические алгоритмы для защиты данных во время передачи и хранения. Это обеспечит защиту от несанкционированного доступа к информации.
2. Многоуровневая аутентификация: Внедрение двухфакторной или многофакторной аутентификации помогает предотвратить несанкционированный доступ даже в случае компрометации учетных данных.
3. Регулярные аудиты безопасности: Проводите аудиты системы и проверки на уязвимости, чтобы выявить слабые места и незащищенные области.
4. Ограничение доступа: Назначайте права доступа в зависимости от ролей и ответственности пользователей. Минимизируйте количество лиц, имеющих доступ к конфиденциальной информации.
5. Обучение персонала: Проводите регулярные обучающие программы по информационной безопасности для сотрудников, чтобы повысить их осведомленность о рисках и методах предотвращения инцидентов.
Что относится к персональным данным, а что нет
Тут определим, что является персональными данными.
Уничтожение персональных данных
Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений.
Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о
персональных данных. В документе прописаны порядок и требования к данной процедуре.
Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию
уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.
Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала,
где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом.
В нём дописывают недостающую информацию. Срок хранения акта 3 года.
После 1 марта 2023 года
Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда
он хочет осуществить:
Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их
обработке.
В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может
запретить или ограничить передачу ПД во внесудебном порядке.
Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления
от Роскомнадзора. Однако ведомство может наложить запрет повторно.
Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или
во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.
Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно
обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.
Зачем бизнесу собирать персональные данные
Бизнес собирает персональные данные по разным причинам, и это может быть полезным как для самих компаний, так и для их клиентов.
Вот некоторые основные цели сбора персональных данных бизнесом:
1. Персонализация — для создания персонализированных предложений, услуг и рекомендаций на основе предпочтений и интересов клиентов.
С помощью квиза клиенты легко делятся планами о покупке квартиры
.jpg)
Соглашение на использование куки появляется в виде всплывающего окна на главной странице Марквиз
3. Управление отношениями с клиентами — для улучшения взаимодействия с клиентами, лучшего обслуживания и поддержки.
Узнать у покупателей, что они про вас думают — это полезно для бизнеса и приятно для клиента. Чтобы собрать все ответы в одном месте и привлечь больше респондентов, воспользуйтесь готовым шаблоном квиза
4. Анализ данных и исследования — для понимания потребительских тенденций и разработки новых стратегий.
Как узнать обратную связь о мероприятии, если участников было более тысячи? Чтобы улучшать продукт в соответствии с запросами клиентов, можно провести онлайн-опрос с помощью готового шаблона квиза для сбор мнений
5. Безопасность и защита — для обеспечения безопасности и аутентификации пользователей.
При повторном входе в конструктор Марквиз система подставит почту и пароль автоматически
6. Исследования и разработка продуктов — для анализа данных о предпочтениях и потребностях клиентов.
Для стартапа важно выяснить, нужен ли людям новый продукт и что они от него ждут. Здесь подойдёт шаблон квиза для исследования рынка
7. Предоставление услуг — для доставки товаров или медицинского обслуживания.
Какой косметический уход рекомендовать клиенткам? Чтобы узнать, какие проблемы они хотят решить, можно предложить квиз и персональную подборку косметики. Готовый шаблон есть в Галерее
8. Образование и обучение — для анализа успеваемости учеников или студентов.
Обучение иностранному языку начинается с определения уровня знаний студента. С помощью квиза можно сделать это в игровой форме, если воспользоваться готовым шаблоном
9. Контроль сотрудников — компании могут собирать данные для контроля рабочей активности и оценки производительности сотрудников.
Важно информировать клиентов о целях сбора данных и получить от них согласие на обработку персональных данных.
Подтверждение уничтожения персональных данных
Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно
законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит
восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в
свободной форме.
Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД
закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение
доступа к данным и обеспечение их конфиденциальности.
Закон о персональных данных в 2023 году
Обработка персональных данных в 2023 году станет более регламентированной и строго контролируемой в связи со
вступлением в силу изменений в законодательстве.
Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:
Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.
Персональные данные, что к ним относится
В законе N 152-ФЗ нет точного определения, что относится к персональным данным человека, есть только указание на возможность идентификации человека по этим данным.
То, что точно позволяет идентифицировать клиента, — это:
— паспортные данные,
— реквизиты банковского счета,
— СНИЛС и др.
Некоторые данные о человеке, к примеру номер телефона или его имя, по отдельности не позволяют его идентифицировать, однако если у компании есть доступ к ним в совокупности, это сделать просто. По имени «Иван Петров» нельзя определить личность, но если мы знаем его место работы, например, ООО «Альянс Плюс», мы уже сможем найти его среди сотрудников этой компании.
Далее расскажем, что чаще всего входит в персональные данные физического лица.
Что входит в персональные данные
➕ Имя, фамилия, отчество
➕ Контактная информация: адрес, номера телефонов, email, почтовые адреса.
➕ Идентификационные номера: номера паспорта, ИНН, СНИЛС и другие идентификационные коды.
➕ Информация о местоположении человека: GPS-координаты.
➕ Финансовая информация: банковские реквизиты, номера карт, информация о доходах, расходах, кредитах.
➕ Медицинская информация: данные о здоровье и медицинская история.
➕ Информация о работе и образовании: место работы, должность, образование.
➕ Фото человека.
Вот так выглядит персональная информация, собранная с помощью квиза по подбору загородного дома в аренду. Клиент потратил на прохождение квиза всего одну минуту, и оставил много полезных сведений.
Что не является персональными данными
➖ Анонимные данные: информация не может быть связана с конкретным человеком. Например, мы проводим анонимный опрос о качестве обслуживания среди наших клиентов
➖ Агрегированные данные: данные обобщены и не могут быть использованы для идентификации отдельного человека. Пример — компания использует данные CRM, чтобы составить усреднённый портрет целевой аудитории
➖ Общие контактные данные: общие адреса электронной почты или телефонные номера компаний, как правило, не считаются персональными данными, если они не связаны с конкретными людьми
☝ А как же данные из социальных сетей? Пользователи указывают много личной информации, но она не является общедоступной, даже если доступ открыт для всех. Собирать досье на человека из соцсетей не разрешается
Уведомление об изменении персональных данных
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.
Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180
Персональные данные 2023 изменения с 1 марта
Закон привнёс значительные изменения в законодательство, касающееся работы с ПД. Основные изменения в положении
включают увеличение сроков подачи уведомлений об изменении личной информации в 2023 году, новые правила и требования
к уничтожению, обязательное уведомление Роскомнадзора при передаче обрабатываемых персональных данных за границу, а
также проведение оценки возможного вреда утечки, что повышает защиту личной информации граждан.
Заключение
Квизы собирают именно те персональные данные, которые нужны компании для продвижения своих товаров или услуг. С помощью этого инструмента люди сами рассказывают о себе важную информацию.
Мы бережно храним полученную информацию. За последние 6 лет работы у нас не случилось ни одной утечки.
Регистрируйтесь в конструкторе Марквиз и попробуйте собрать квиз для вашего бизнеса.