Последнее обновление: 24 декабря 2024 года

Обработка персональных данных: что важно знать в 2025 году

Время прочтения: 14 мин.
Обработка персональных данных пользователей — ответственная процедура, нарушение регламентов которой может повлечь серьезные проблемы в виде штрафов и иных санкций.
В этой статье мы подробно поговорим о том, как правильно обрабатывать персональные данные в соответствии с действующим законодательством.

Содержание

  1. Что такое персональные данные
  2. Что относится к персональным данным пользователей
  3. Зачем компаниям нужны персональные данные клиентов
  4. Виды персональных данных
  5. Что говорит закон ФЗ-152 о персональных данных
  6. Ответственность за обработку персональных данных
  7. Примеры обработки персональных данных на сайте
  8. Кто такой оператор персональных данных и когда им становятся
  9. Что входит в обработку персональных данных
  10. Что нужно для обработки персональных данных на сайте
    1. Создание и размещение на сайте условий политики обработки ПДн
    2. Размещение сообщения о сборе ПДн под каждой формой на сайте
    3. Демонстрация пользователям предупреждения о сборе cookie
    4. Подача уведомления о внесении компании в реестр ОПД Роскомнадзора
    5. Создание регламента ответов на запросы посетителей сайта
    6. Проверка поручения на обработку персональных данных
  11. Хранение персональных данных пользователей
    1. Особенности хранения ПДн в электронном виде
    2. Особенности хранения ПДн на бумажных носителях
  12. Защита персональных данных пользователей
  13. Правила уничтожения персональных данных
  14. Заключение
НПБК.Эффективность
Престижная награда за эффективные маркетинговые практики. С 2015 года мы наградили более 350 брендов и специалистов в области маркетинга, PR и коммуникаций
Старт сезона: август 2024

Что такое персональные данные

Персональные данные (ПДн) — это любые сведения, напрямую или косвенно относящиеся к конкретному физическому лицу (в нашем случае пользователю), определяемому законом, как субъект персональных данных.

Такая личная информация, позволяющая идентифицировать отдельного человека, является чувствительной, а потому регулируется Федеральным законом от 27.07.2006 № 152-ФЗ.

Что относится к персональным данным пользователей

В законе 152-ФЗ не конкретизируется, какая информация относится к персональным данным. Поэтому обычно под ними понимают любые сведения, соотносимые с конкретным пользователем.

Однако при этом можно точно сказать, что относится к ПДн:

  • e-mail;
  • номер телефона;
  • ФИО;
  • паспортные данные и так далее.

Не вся личная информация — это персональные данные. К примеру, если вы анонимно спрашиваете людей, например, об их доходе, то в таком случае сведения не будут рассматриваться как ПДн.

Зачем компаниям нужны персональные данные клиентов

Компании хранят персональные данные в следующих целях:

  • идентификация пользователей при регистрации в интернет-магазине, входе в личный кабинет и других действиях, требующих подтверждения личности;
  • изучение предпочтений и поведения клиентов с целью повышения качества сервисного обслуживания;
  • поддержание сервисной связи с клиентами путем решения возникающих вопросов;
  • рассылка персонализированных рекламных сообщений, соответствующих интересам клиента.

Составляя политику обработки и хранения персональных данных, важно отразить в документе, для чего именно собирается такая информация и как она будет использоваться.

Виды персональных данных

Рассмотрим основные виды ПДн:

  1. Специальные — информация, относящаяся к национальной принадлежности человека, его политическим, религиозным и философским взглядам и т.д;
  2. Биометрические — в эту группу входят физиологические и биологические персональные данные, позволяющие установить личность пользователя: фотографии лица, анализы ДНК, данные дактилоскопии (отпечатки пальцев), рост, вес и др;
  3. Общедоступные — к этим персональным данным относятся сведения, опубликованные в открытых источниках с согласия пользователя: e-mail, мобильный номер, профессия, адрес проживания, дата рождения и т.д;
  4. Иные — это персональные данные пользователей, которые нельзя отнести в 3 основные группы — размер зарплаты, социальный статус, трудовой стаж и пр.

защита персональных данных - фото

Что говорит закон о ПДн

Согласно п. 3 ст. 6 закона о ПДн, владельцы сайтов обязаны встать на учет и зарегистрироваться в реестре операторов персональных данных, если они собирают информацию о посетителях (например, имеют форму регистрации). Отметим, что полученные сведения можно передавать на обработку другим участникам процесса (например, сервису рассылки). Это отражают в пользовательском соглашении, но при этом сторонний специалист или сервис не должен регистрироваться как оператор ПД.

Также, в п. 5 ст. 18 закона о персональных данных сказано, что информацию нужно хранить именно на российских серверах за редкими исключениями.

Отдельно законодатели закрепили и требования к предоставлению субъектом согласия на обработку персональных данных в 2025 году. Так, в п. 1 ст. 9 ФЗ-152 указано, что оно (согласие) должно быть свободным, осознанным и однозначным, а факт его предоставления — зафиксированным в любой официально подтвержденной форме.

Ответственность за обработку персональных данных

Операторы ПДн, нарушившие статью 152-ФЗ, привлекаются к административной ответственности и получают штрафы.

Размеры штрафов зависят от статьи КоАП РФ и могут составлять от нескольких тысяч до полутора миллионов рублей в зависимости от ситуации. При этом максимальная сумма штрафных санкций в 2025 году, при повторном административном нарушении, составит:

  • для граждан — от 15 000 до 30 000 руб;
  • для должностных лиц — от 300 000 до 500 000 руб;
  • для индивидуальных предпринимателей — от 500 000 до 1 000 000 руб;
  • для юридических лиц — от 1 000 000 до 1 500 000 руб.

Единственным положительным моментом здесь является то, что данное административное нарушение не влечет за собой приостановку деятельности организации.

Примеры обработки персональных данных на сайте

Персональные данные на сайте могут обрабатываться 2 способами. К примеру, посетитель хочет зарегистрироваться, чтобы получить доступ к закрытому контенту. В таком случае он должен заполнить форму со следующими полями:

  • e-mail;
  • номер телефона;
  • ФИО;
  • дата рождения.

Второй пример сбора персональных данных подразумевает использование cookie. В этом случае можно получить следующую дополнительную информацию:

  • IP;
  • геолокация пользователя;
  • сведения о действиях на сайте.

Кто такой оператор персональных данных и когда им становятся

Оператор ПДн — это любая организация или ИП, намеренно обрабатывающие персональные данные пользователей. Чтобы стать оператором и получить право на сбор личной информации, нужно разработать политику их обработки, создать или найти безопасную платформу для их хранения, а также уведомить Роскомнадзор о начале деятельности ОПДн.

Физическое лицо не считается оператором обработки персональных данных, а потому может хранить почту и номера телефонов родственников, друзей, коллег для использования в личных целях. В этом случае регистрироваться в реестре и получать разрешение на сбор ПДн не нужно.

Что входит в обработку персональных данных

К мероприятиям по обработке ПДн относятся 8 операций:

  1. сбор;
  2. систематизация;
  3. хранение;
  4. изменение;
  5. передача третьему лицу;
  6. блокировка;
  7. обезличивание;
  8. уничтожение.

закон о персональных данных - фото

Что нужно для обработки персональных данных на сайте

Чтобы легально работать с персональными данными по закону ФЗ-152, важно выполнить ряд условий. Рассмотрим все требования, которых должен придерживаться оператор ПДн.

Создание и размещение на сайте условий политики обработки ПДн

Политика обработки персональных данных — это обязательный для всех операторов документ, который должен содержать:

  • ссылку на сайт, на котором действует политика;
  • данные об организации, обрабатывающей персональные данные;
  • цели обработки ПДн.

Ссылку на страницу с политикой персональных данных рекомендуется разместить в футере сайта, чтобы регулирующие органы и пользователи имели постоянный доступ к документу.

размещение политики обработки персональных данных на сайте - фото
Пример размещения политики обработки персональных данных на официальном сайте Леруа Мерлен

Размещение сообщения о сборе ПДн под каждой формой на сайте

Под формами сбора данных нужно добавить сообщение о том, что компания собирает личную информацию пользователей. Если человек согласен с этим, то он должен поставить галочку напротив «Даю согласие на обработку своих персональных данных». В противном случае пользователь просто не сможет отправить информацию.

оператор персональных данных - фото
Пример сообщения о сборе ПДн в нижней части формы на сайте

Демонстрация пользователям предупреждения о сборе cookie

Файлы cookie также относятся к ПДн, поэтому новые пользователи должны подтвердить согласие на их сбор. Для этого разработчики создают специальный блок с уведомлением, всплывающим при входе на сайт. Обычно там пишут что-то похожее: «На сайте используются файлы cookie. Продолжая пользоваться сайтом, вы соглашаетесь с этим. Подробности об обработке персональных данных по ссылке». Также в блоке оставляют кнопку для пользователя, например, «Я согласен».

Подача уведомления о внесении компании в реестр ОПД Роскомнадзора

Чтобы компанию включили в реестр ОПД, нужно заполнить форму на сайте ведомства и отправить ее одним из двух возможных способов:

  • в бумажном виде по адресу местного отделения Роскомнадзора;
  • в цифровом виде с использованием квалифицированной ЭЦП или после аутентификации ЕСИА.

Информация об ОПД добавляется в течение месяца.

Создание регламента ответов на запросы посетителей сайта

Пользователи имеют право запрашивать информацию о том, какие данные и для чего собираются. При этом у компании есть 10 рабочих дней на предоставление им актуальных сведений.

Кроме того, закон устанавливает срок обработки запросов посетителей сайта, отказавшихся предоставлять некоторые виды личных данных. К примеру, человек заказал доставку товара в пункт выдачи, а компания просит сообщить адрес проживания. Если клиент требует объяснить причину запроса такой информации, компания обязана ответить в течение недели на письменный запрос и моментально на устный.

Ответственность за обработку персональных данных с нарушением сроков ответа на запрос пользователя выражается в штрафах на сумму 40-80 тыс. рублей.

Проверка поручения на обработку персональных данных

Если компания сотрудничает со сторонними агентствами (например, аналитическими), то нужно составить поручение на работу с данными с указанием:

  • перечня передаваемых ПДн;
  • целей обработки такой информации;
  • гарантий и обязанностей сторон;
  • требований к защите персональных данных, согласно ст. 18 и ст. 19 федерального закона № 152.

Хранение персональных данных пользователей

Существуют 2 основных способа хранения данных.

Электронный формат

Электронное хранение предполагает использование защищенных ИСПДн (Информационные Системы Персональных Данных), которые автоматически собирают и обрабатывают персональные данные пользователей на сайте. Чаще всего компании для записи информации обращаются к услугам сторонних дата-центров (например, ОБИТ), прошедших аттестацию.

Плюсы такого способа хранения персональных данных:

  • быстрый доступ к информации;
  • возможность автоматической обработки данных;
  • создание резервных копий.

Минусы хранения персональных данных в электронном виде:

  • риск утечки ПДн;
  • необходимость в создании системы информационной безопасности с учетом требований ФСБ и ФСТЭК.

На физических носителях

В таком случае имеется в виду создание личных дел и их хранение в сейфах. Сегодня в бумажном виде персональные данные обычно не хранят ввиду трудоемкости процесса и необходимости выделять место под архив.

Плюсы такого способа хранения:

  • защита от утечек;
  • оптимизация учета персональных данных.

Минусы:

  • расходы на закупку сейфов;
  • большой объем рутинной работы.

Защита персональных данных пользователей

Есть 2 группы средств для обеспечения безопасности персональных данных — организационные и технические. В первую категорию входят:

  • разработка локальных нормативных актов по работе с ПДн;
  • назначение ответственного за работу с информацией;
  • ознакомление сотрудников с требованиями 152-ФЗ;
  • заключение соглашения о сохранении конфиденциальности и выдача поручений на обработку ПДн.

В группу технических средств защиты персональных данных входят:

  • использование аттестованного хранилища;
  • установка антивирусов, сетевых DLP-шлюзов;
  • создание межсетевого экрана.

Для обеспечения безопасности данных с технической точки зрения рекомендуется хранить данные на серверах стороннего провайдера (например, SberCloud). При этом поставщики облачных услуг проходят аттестацию и обеспечивают:

  • полную безопасность доступа;
  • возможность резервного копирования;
  • план действий при возникновении угрозы для конфиденциальности ПДн.

В таком случае вам потребуется только решить организационные вопросы по работе с данными, чтобы не произошла внутренняя утечка.

Уничтожение персональных данных

Уничтожение пользовательских данных — это операция, после которой нельзя восстановить ранее собранную и обработанную личную информацию пользователей в информационной системе.

Здесь важно знать, что все компании должны удалять данные при достижении цели обработки.

персональные данные закон фз - фото

Заключение

Чтобы работать с персональными данными, необходимо зарегистрироваться в качестве оператора, получить согласие пользователя, а также обеспечить полную конфиденциальность информации. Несоблюдение требований закона — риск для компании, грозящий крупными штрафами, а в случае утечки — серьезными последствиями для субъектов ПД, в том числе и уголовной ответственностью.

Валерия Мегрибанова
Продюсер Национальной премии бизнес-коммуникаций
Премия
Национальная Премия бизнес-коммуникаций. Эффективность
«НПБК. Эффективность» — престижная награда в области бизнес-коммуникаций, отмечающая лучшие маркетинговые практики, а также одно из важнейших деловых событий страны.

Читайте также