Что такое персональные данные?
Прежде чем что-то защищать, надо понять, что это такое. Персональные данные (ПД) – это достаточно объёмное понятие, информация, которая тем или иным образом способна прямо или косвенно идентифицировать некое физическое лицо. Подчёркиваю, не существует ПД юридических лиц.
У вас задача, определить, информация является персональными или неперсональными данными. Что делать? Использовать формулы (алгоритмы) определения персональных данных, как правило это ответы на вопросы.
Самая простая формула:
1. «Относимо ли это к конкретному лицу?»
2. «Предоставляет ли это возможность (частичную?) его идентификации?».
Если ответ на оба вопроса «Да», то это персональные данные. Обращаю ваше внимание, что к персональным данным относятся даже данные голоса человека.
А вот один из вариантов, применяемых в Европе, формула уже посложнее:
1. Можно ли с помощью этой информации прямо идентифицировать лицо? Если ответ «Да», то это персональные данные. Сюда сразу же попадают имя, реквизиты паспорта и т.д. Если ответ «нет», то задаются следующие вопросы: 2. Позволяет ли информация идентифицировать лицо с помощью дополнительных средств? Здесь находится e-mail.
3. Существует ли связь между информацией и лицом, которая могла бы привести к идентификации такого лица?
Да, персональные данные - это невероятное количество видов информации. Но здесь помогают классификации ПД, модели угроз и разный уровень ответственности при работы с ними.
У вас задача, определить, информация является персональными или неперсональными данными. Что делать? Использовать формулы (алгоритмы) определения персональных данных, как правило это ответы на вопросы.
Самая простая формула:
1. «Относимо ли это к конкретному лицу?»
2. «Предоставляет ли это возможность (частичную?) его идентификации?».
Если ответ на оба вопроса «Да», то это персональные данные. Обращаю ваше внимание, что к персональным данным относятся даже данные голоса человека.
А вот один из вариантов, применяемых в Европе, формула уже посложнее:
1. Можно ли с помощью этой информации прямо идентифицировать лицо? Если ответ «Да», то это персональные данные. Сюда сразу же попадают имя, реквизиты паспорта и т.д. Если ответ «нет», то задаются следующие вопросы: 2. Позволяет ли информация идентифицировать лицо с помощью дополнительных средств? Здесь находится e-mail.
3. Существует ли связь между информацией и лицом, которая могла бы привести к идентификации такого лица?
Да, персональные данные - это невероятное количество видов информации. Но здесь помогают классификации ПД, модели угроз и разный уровень ответственности при работы с ними.
Отрицательный ответ на все вопросы нет означает, что информация не признаётся персональными данными. Но также возможно применение дополнительного критерия, «разумной вероятности», т.е. исследуется, является ли использование этой информации разумно, вероятно и т.д. для идентификации лица, с применением технических средств, что как будто отсеивает излишнее количество информации.
В любом случае перечень персональных данных открыт.
Ещё есть, к примеру, понятие «тайна частной жизни», это понятие отличается от персональных данных, но нередко с ними отождествляется. Отличием служит то, что тайна – это некая личная информация о человеке, к примеру его политические убеждения, отношения в семье, переписка и т.д. Вообще она защищена ст. 24 Конституции РФ, но также некоторые категории тайны частной жизни включены в т.н. специальные категории персональных данных. К примеру: сведения о состоянии здоровья, национальная принадлежность, политические взгляды, религиозные или философские убеждения, сведения о судимости.
В любом случае перечень персональных данных открыт.
Ещё есть, к примеру, понятие «тайна частной жизни», это понятие отличается от персональных данных, но нередко с ними отождествляется. Отличием служит то, что тайна – это некая личная информация о человеке, к примеру его политические убеждения, отношения в семье, переписка и т.д. Вообще она защищена ст. 24 Конституции РФ, но также некоторые категории тайны частной жизни включены в т.н. специальные категории персональных данных. К примеру: сведения о состоянии здоровья, национальная принадлежность, политические взгляды, религиозные или философские убеждения, сведения о судимости.
Нередко персональные данные определяют через процесс, как то, что идентифицирует лицо, и предполагается к обработке (к примеру, для доставки посылки, для предоставления рекламы, оказания медицинских услуг и т.д.). В таких случаях, персональные данные предоставляются человеком в силу его волеизъявления или закона.
Применяемое в ЕС GDPR и российское законодательство о данных существенно различаются, но главным посылом, в обоих случаях и в нормативных актах других стран, является необходимость обезопасить юридически и практически данные, которые предоставляет клиент бизнесу и обязать компании соблюдать конфиденциальность.
Я несколько упростил тему, потому что в ней существует ряд нюансов, а кроме того, это один из самых слаборазвитых и неизученных правовых институтов. Но не переживайте! Как правило компаниям не нужно заходить в такие «дебри» и всё, что важно знать – это ФИО, e-mail, адрес и телефон являются персональными данными. И их нужно защищать.
Для работы в рамках требований законодательства компаниям необходим комплаенс в области персональных данных – ряд мероприятий по приведению компании в соответствие с требованиями законов, правил, разъяснений, судебной практики и т.д. Включая принятие локальных нормативных актов, регулирующих обращение с персональными данными, которые предоставляют пользователи ресурсов организации.
Тут можно пойти сложным путем и самостоятельно изучить около 50 законов и нормативных актов по защите персональных данных в России и ЕС, других странах, в зависимости от масштаба вашего бизнеса. А можно обратить к профессиональным юристам с экспертизой в этой области и обезопасить себя от штрафов, судебных тяжб и репутационных рисков.
Но давайте я расскажу немного поподробнее:
Применяемое в ЕС GDPR и российское законодательство о данных существенно различаются, но главным посылом, в обоих случаях и в нормативных актах других стран, является необходимость обезопасить юридически и практически данные, которые предоставляет клиент бизнесу и обязать компании соблюдать конфиденциальность.
Я несколько упростил тему, потому что в ней существует ряд нюансов, а кроме того, это один из самых слаборазвитых и неизученных правовых институтов. Но не переживайте! Как правило компаниям не нужно заходить в такие «дебри» и всё, что важно знать – это ФИО, e-mail, адрес и телефон являются персональными данными. И их нужно защищать.
Для работы в рамках требований законодательства компаниям необходим комплаенс в области персональных данных – ряд мероприятий по приведению компании в соответствие с требованиями законов, правил, разъяснений, судебной практики и т.д. Включая принятие локальных нормативных актов, регулирующих обращение с персональными данными, которые предоставляют пользователи ресурсов организации.
Тут можно пойти сложным путем и самостоятельно изучить около 50 законов и нормативных актов по защите персональных данных в России и ЕС, других странах, в зависимости от масштаба вашего бизнеса. А можно обратить к профессиональным юристам с экспертизой в этой области и обезопасить себя от штрафов, судебных тяжб и репутационных рисков.
Но давайте я расскажу немного поподробнее:
Защита персональных данных в России
Если вы хотите обеспечить комплаенс в области персональных данных, то есть обезопасить компанию от репутационных рисков и законодательно обоснованных санкций, необходимо в общих чертах разобраться в нормативной базе, понять, с какими данными будет сталкиваться ваша компания и как обеспечить конфиденциальность сведений, предоставленных клиентом.
То, на что вы должны обратить в первую очередь – это Конституция РФ и ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ. Чтобы понять немного лучше нужно обратить внимание на Трудовой кодекс РФ, ряд других законов, регулирующих деятельность силовых ведомств, а также акты ФСТЭК и Роскомнадзора, разные НПА и разъяснения и т.д. Кроме того, существует ряд международных договоров, но с ними непрофессионалу лучше самостоятельно не разбираться, все основные понятия есть в Законе о персональных данных.
То, на что вы должны обратить в первую очередь – это Конституция РФ и ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ. Чтобы понять немного лучше нужно обратить внимание на Трудовой кодекс РФ, ряд других законов, регулирующих деятельность силовых ведомств, а также акты ФСТЭК и Роскомнадзора, разные НПА и разъяснения и т.д. Кроме того, существует ряд международных договоров, но с ними непрофессионалу лучше самостоятельно не разбираться, все основные понятия есть в Законе о персональных данных.
В основном контролем и надзором в сфере соблюдения законодательства о персональных данных занимается Роскомнадзор (РКН). Другие органы – ФСБ, Прокуратура, Трудовая инспекция и ФАС. Основная причина, по которой в отношении в вас могут провести проверку – обращение какого-то лица, напрямую связанное с нарушением вами законодательства о персональных данных, либо нарушение вытекает из другого нарушения и т.д.
Но кого они контролируют и за кем надзирают?
За операторами персональных данных. Раньше ими становились только ограниченное число субъектов, теперь оператором должен стать любой владелец сайта с формой обратной связи (типа ФИО, e-mail, телефон).
Оператор персональных данных – это лицо, контролирующее, организующее или обрабатывающее персональные данные, которое также определяет цели и содержание обработки персональных данных. Т.е. это владелец той самой формы на сайте. Он может обрабатывать сам или нанять лицо, осуществляющее обработку персональных данных.
В России существует порядок регистрации компании в статусе оператора персональных данных в РКН. Обычно ничего сложного в этой заявке нет, порядок скорее уведомительный.
Но кого они контролируют и за кем надзирают?
За операторами персональных данных. Раньше ими становились только ограниченное число субъектов, теперь оператором должен стать любой владелец сайта с формой обратной связи (типа ФИО, e-mail, телефон).
Оператор персональных данных – это лицо, контролирующее, организующее или обрабатывающее персональные данные, которое также определяет цели и содержание обработки персональных данных. Т.е. это владелец той самой формы на сайте. Он может обрабатывать сам или нанять лицо, осуществляющее обработку персональных данных.
В России существует порядок регистрации компании в статусе оператора персональных данных в РКН. Обычно ничего сложного в этой заявке нет, порядок скорее уведомительный.
Персональные данные не очень хорошо типологизированы. В законе выделены три типа персональных данных:
1. Специальные категории (в т.ч. расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь и т.д.)
2. Биометрические данные (согласно разъяснениям РКН к ним даже могут относиться видео и фото, позволяющие установить лицо, но это несколько спорно, а РКН не издаёт НПА)
3. Общего характера – самые сложные для понимания персональные данные, позволяющие идентифицировать субъекта прямо или косвенно (формула в начале статьи направлена в первую очередь на определение косвенных ПД).
А ещё есть, Постановление Правительства РФ от 01.11.2012 № 1119, где определены категории исходя из степени защиты, и где помимо вышеперечисленных были указаны «иные категории», а что это я, честно говоря, сходу не берусь судить. Но важно то, что перечень этот открытый. И, как известно, когда в типологии существует пункт «иные», это многое говорит об этой типологии. В основном нехорошее.
1. Специальные категории (в т.ч. расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь и т.д.)
2. Биометрические данные (согласно разъяснениям РКН к ним даже могут относиться видео и фото, позволяющие установить лицо, но это несколько спорно, а РКН не издаёт НПА)
3. Общего характера – самые сложные для понимания персональные данные, позволяющие идентифицировать субъекта прямо или косвенно (формула в начале статьи направлена в первую очередь на определение косвенных ПД).
А ещё есть, Постановление Правительства РФ от 01.11.2012 № 1119, где определены категории исходя из степени защиты, и где помимо вышеперечисленных были указаны «иные категории», а что это я, честно говоря, сходу не берусь судить. Но важно то, что перечень этот открытый. И, как известно, когда в типологии существует пункт «иные», это многое говорит об этой типологии. В основном нехорошее.
В любом случае при работе с разными типами персональных данных необходимо помнить о нескольких принципах обработки:
1. Законность (разумеется) и справедливость;
2. У обработки должна быть цель (пример: получение клиентской базы), бесцельно это делать нельзя, равно как и нельзя смешивать базы данных с разными целями обработки;
3. Содержание и объём должны соответствовать целям обработки, ПД не должны быть избыточны;
4. Достаточность, актуальность и точность по отношению к целям обработки;
5. Хранение ПД имеет срок, и подлежат удалению по достижению целей обработки, либо по заявлению лица, либо по истечению срока.
В ЕС используют GDPR и российское законодательство о данных, к сожалению, несколько уступает.
1. Законность (разумеется) и справедливость;
2. У обработки должна быть цель (пример: получение клиентской базы), бесцельно это делать нельзя, равно как и нельзя смешивать базы данных с разными целями обработки;
3. Содержание и объём должны соответствовать целям обработки, ПД не должны быть избыточны;
4. Достаточность, актуальность и точность по отношению к целям обработки;
5. Хранение ПД имеет срок, и подлежат удалению по достижению целей обработки, либо по заявлению лица, либо по истечению срока.
В ЕС используют GDPR и российское законодательство о данных, к сожалению, несколько уступает.
Кроме того, некоторые отечественные органы порой слишком вальяжно пользуются терминами «персональные данные», вычеркивая их из перечня так, как будто они не являются персональными данными, хотя речь идёт лишь о тех персональных данных, оборот за которым ослабляется. Так, к примеру в письме Минфина от 23.06.2021 № 03-01-11/49331 сказано, что код налогоплательщика не является информацией, входящей в перечень персональных данных.
В качестве обоснования приводится, что ИНН используется только для идентификации налогоплательщика в системе ФНС – и больше ничего. Вот такой ответ, ИНН – это не персональные данные, потому что они идентифицируют это лицо. Бред и абсурд. По этой логике паспортные данные тоже не являются персональными данными, ведь они идентифицируют человека только в системе МВД.
В качестве обоснования приводится, что ИНН используется только для идентификации налогоплательщика в системе ФНС – и больше ничего. Вот такой ответ, ИНН – это не персональные данные, потому что они идентифицируют это лицо. Бред и абсурд. По этой логике паспортные данные тоже не являются персональными данными, ведь они идентифицируют человека только в системе МВД.
Суть в том, что сотрудники ведомств воспользовались своего рода дырой в законодательстве, которую можно назвать «сложность соотнесения реестровой записи со статусом ПД», хотя на самом деле в контексте реестров речь может идти только об обезличивании ПД, как один из видов их обработки.
К примеру. В разных колл-центрах персональные данные людей продают без указания на их ФИО, заменяя это внутренним номером реестровой записи. Допустим, я любитель рыбалки, мне можно позвонить по этому вопросу. Любовь к рыбалке – это специальные ПД или иная категория (зависит от степени любви, видимо). Есть телефон, общая категория, может ФИО – и больше ничего, для идентификации меня в реестре используется только реестровая запись.
Такая реестровая запись ПД, с точки зрения многих, не является, а значит и ИНН, будучи реестровой записью, к ПД не относится. Но это всё попытка вас запутать. Обезличенные ПД – это тоже ПД, любая реестровая запись вас не определяет до тех пор, пока она не может для этого использоваться.
У нас есть закон, который прямо указывает, что является ПД: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Получается, если бы эту базу данных с реестровыми номерами можно было использовать дл
я вашей идентификации, она считалась бы персональными данными. Как ИНН. Как и паспортные данные.
Допустим, лично меня по ИНН найти проще простого. Берёте мой ИНН, вбиваете в поиске – и вот он я, мои ФИО, компании, к которым я причастен. Идентифицирует? Идентифицирует.[C1] Иначе можно договориться до того, что ничто не является персональными данными, и ФИО и паспортные данные, и даже биометрия.
Понять эти ведомства тоже можно, ведь им нужно оправдать повсеместное и открытое использование ИНН без создания дополнительных бюрократических проволочек. Но помните, что по общему правилу разъяснения органов исполнительной власти не являются НПА, а значит не имеют правоустанавливающей силы. К примеру, в анкете в РКН ИНН указаны как ПД.
Как вы поняли, с персональными данными есть проблемы. А если я вам скажу, что существует длинная юридическая дискуссия на предмет отчуждаемости персональных данных? Это вообще огромная головная боль, ведь распоряжаться персональными данными начали задолго до того, как их начали толком защищать. И мы только на начальном этапе нашего пути.
К примеру. В разных колл-центрах персональные данные людей продают без указания на их ФИО, заменяя это внутренним номером реестровой записи. Допустим, я любитель рыбалки, мне можно позвонить по этому вопросу. Любовь к рыбалке – это специальные ПД или иная категория (зависит от степени любви, видимо). Есть телефон, общая категория, может ФИО – и больше ничего, для идентификации меня в реестре используется только реестровая запись.
Такая реестровая запись ПД, с точки зрения многих, не является, а значит и ИНН, будучи реестровой записью, к ПД не относится. Но это всё попытка вас запутать. Обезличенные ПД – это тоже ПД, любая реестровая запись вас не определяет до тех пор, пока она не может для этого использоваться.
У нас есть закон, который прямо указывает, что является ПД: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Получается, если бы эту базу данных с реестровыми номерами можно было использовать дл
я вашей идентификации, она считалась бы персональными данными. Как ИНН. Как и паспортные данные.
Допустим, лично меня по ИНН найти проще простого. Берёте мой ИНН, вбиваете в поиске – и вот он я, мои ФИО, компании, к которым я причастен. Идентифицирует? Идентифицирует.[C1] Иначе можно договориться до того, что ничто не является персональными данными, и ФИО и паспортные данные, и даже биометрия.
Понять эти ведомства тоже можно, ведь им нужно оправдать повсеместное и открытое использование ИНН без создания дополнительных бюрократических проволочек. Но помните, что по общему правилу разъяснения органов исполнительной власти не являются НПА, а значит не имеют правоустанавливающей силы. К примеру, в анкете в РКН ИНН указаны как ПД.
Как вы поняли, с персональными данными есть проблемы. А если я вам скажу, что существует длинная юридическая дискуссия на предмет отчуждаемости персональных данных? Это вообще огромная головная боль, ведь распоряжаться персональными данными начали задолго до того, как их начали толком защищать. И мы только на начальном этапе нашего пути.
Главное, что вы должны знать – необходимо примерно понимать их виды и следовать принципам обработки, защищать ПД от утечек, не использовать ПД излишне, регистрироваться в качестве оператора, принимать правильные локальные нормативные акты, регламентирующие порядок обработки и защиты ПД. Если не уверены в своих силах – подключайте комплаенс в сфере персональных данных.
Справка: локальный нормативный акт – это официальный документ, который принимают органы управления организации для определения обязательных правил поведения в компании. В случае с ПД – это политика обработки персональных данных, акты об уничтожении, различные справки и типовые договоры.
Если не верите, насколько это всё серьёзно, посмотрите КоАП РФ Статья 13.11. Штрафы за нарушение законодательства в сфере персональных данных для юрлиц доходят до миллиона – и больше.
На оператора персональных данных возлагается перечень обязанностей, в т.ч. размещение политики приватности (согласие на обработку персональных данных), определение внутренних правил обработки персональных данных, обеспечение их защиты, внутренний контроль.
Относительно трансграничной передачи персональных данных, всё тоже непросто. Много сил было потрачено законодателем на локализацию персональных данных в России и усиление контроля за их трансграничной передачей, что было большой частью т.н. «Пакета Яровой». И сейчас в случае трансграничной передачи персональных данных, операторы ИС в определённых случаях обязаны обеспечить нахождение на территории РФ баз данных, хранящих ПД.
Если вы собираетесь передать их за границу, необходимо предусмотреть следующий порядок: работник проверяет, входит ли государство в Конвенцию о защите физических лиц в отношении автоматизированной обработки данных личного характера CETS № 108, либо в особый перечень Роскомнадзора (конечно, есть нюансы).
На оператора персональных данных возлагается перечень обязанностей, в т.ч. размещение политики приватности (согласие на обработку персональных данных), определение внутренних правил обработки персональных данных, обеспечение их защиты, внутренний контроль.
Относительно трансграничной передачи персональных данных, всё тоже непросто. Много сил было потрачено законодателем на локализацию персональных данных в России и усиление контроля за их трансграничной передачей, что было большой частью т.н. «Пакета Яровой». И сейчас в случае трансграничной передачи персональных данных, операторы ИС в определённых случаях обязаны обеспечить нахождение на территории РФ баз данных, хранящих ПД.
Если вы собираетесь передать их за границу, необходимо предусмотреть следующий порядок: работник проверяет, входит ли государство в Конвенцию о защите физических лиц в отношении автоматизированной обработки данных личного характера CETS № 108, либо в особый перечень Роскомнадзора (конечно, есть нюансы).
GDPR и защита персональных данных в ЕС
Есть такой замечательный документ – General Data Protection Regulation (GDPR), Общий регламент по защите данных, он наделал в своё время очень много шума. GDPR и российское законодательство о данных имеют ряд ключевых различий и этот Регламент, не скрою, нравится мне несколько больше, чем российское регулирование вопроса, хотя тоже не без греха.
Если вам кажется, что он действует только в Европе, я разочарую: у него экстерриториальная сфера применения GDPR. Как это работает: его действие распространяется на компании, зарегистрированные в ЕС или странах, распространивших действие Регламента; и компании, которые производят товары и услуги резидентам ЕС; либо производят мониторинг действий резидентов ЕС. Грубо говоря, если гражданин ЕС заполнил твою форму обратной связи, ты уже должен следовать Регламенту.
Конечно, паниковать смысла нет, но, если у вас международный проект, привести его в соответствие с требованиями GDPR имеет смысл (а вы этого ещё не сделали? Куда смотрит ваш юрист?!). Штрафы за несоблюдение могут достигать миллионов евро. Особенно может не повезти крупным компаниям: штраф могут назначить в процентах от оборота.
GDPR устанавливает принципы обработки персональных данных, которые в целом схожи с российскими, за исключением нюанса с пакетом Яровой, некоторых нюансов формулировок и правоприменения, а также в ЕС есть понятие прозрачность (транспарентность) – это новация GDPR, из-за которой соглашения о конфиденциальности очень простые, а уведомления о куки открывается нередко на полэкрана (вот здесь можете почитать об этом).
Кроме того, они похожи терминологией: контроллер (аналог оператора), и процессор (лицо, осуществляющее обработку персональных данных). С регистрацией и многим другим тоже есть нюансы, о ней могу рассказать в другой статье.
Из отличий можно выделить разделение в ЕС понятий анонимизации и псевдонимизации. Анонимизация – это такая обработка ПД, которая ведёт их к переходу в статус неперсональных данных, т.е. они уже не смогут идентифицировать конкретного человека. Псевдонимизация, в свою очередь – это такая обработка ПД, которая лишает их возможности идентифицировать лицо без дополнительной информации. Т.о, анонимизированные данные не являются ПД, а псевдонимизированные – это всё ещё ПД.
Возможно, к такому делению возникают вопросы, разве можно так анонимизировать информацию, чтобы она никогда не могла кого-то идентифицировать без дополнительной информации? Но звучит логично.
Можно ещё рассказать про классификацию ПД в ЕС, особенности работы крупных ИТ-гигантов и т.д., но не буду здесь сильно грузить этим Регламентом, лучше напишу об этом отдельную статью. Кроме того, помните, что в данном случае речь идёт о наднациональном законодательстве (т.н. secondary legislation), есть ещё и внутренние нюансы регулирования.
Комплаенс в области персональных данных
Комплаенс (compliance) – это ряд мероприятий по приведению деятельности компании в соответствие с требованиями законов, правил, разъяснений, судебной практики и т.д. Но, комплаенс, как правило, применяется чаще по отношению к соблюдению т.н. soft law. То есть, неких норм и установлений, не относящихся к обязательным, вследствие декларативности, гибкости, своей природы и т.д.
В контексте персональных данных, есть нормы, которые обязательно соблюдать, и которые можно было бы и соблюдать. Чтобы не грузить вас терминологией и контекстом, напишу краткий список того, что нужно сделать:
1. Посмотреть, какие персональные данные и как предполагаются к обработке организацией. Можно ли сократить перечень? Какие это данные исходя из типологии?
2. Принять локальные нормативные акты, регулирующие использование ПД, политику конфиденциальности.
3. В случае необходимости (почти всегда) зарегистрироваться в реестре РКН как оператор персональных данных.
4. Проверить себя на необходимость соблюдения GDPR. Если необходимости нет, всё равно применить некоторые лучшие практики от них.
5. При обработке ПД техническими средствами, определить, какие средства лучше всего использовать, чтобы не допустить утечки ПД и т.д.
6. И не забывайте, что персональные данные можно передавать не только в Интернет.
В контексте персональных данных, есть нормы, которые обязательно соблюдать, и которые можно было бы и соблюдать. Чтобы не грузить вас терминологией и контекстом, напишу краткий список того, что нужно сделать:
1. Посмотреть, какие персональные данные и как предполагаются к обработке организацией. Можно ли сократить перечень? Какие это данные исходя из типологии?
2. Принять локальные нормативные акты, регулирующие использование ПД, политику конфиденциальности.
3. В случае необходимости (почти всегда) зарегистрироваться в реестре РКН как оператор персональных данных.
4. Проверить себя на необходимость соблюдения GDPR. Если необходимости нет, всё равно применить некоторые лучшие практики от них.
5. При обработке ПД техническими средствами, определить, какие средства лучше всего использовать, чтобы не допустить утечки ПД и т.д.
6. И не забывайте, что персональные данные можно передавать не только в Интернет.
СПРАВКА: защита персональных данных в России и ЕС имеют ряд существенных отличий, но Регламент ЕС GDPR и российское законодательство о данных схожи в плане наличия серьезных санкций за несоблюдение норм по обеспечению конфиденциальности ПД и необходимости оставаться в рамках закона, даже если у тебя просто небольшой сайт с формой обратной связи по e-mail.
Таким образом, основной проблемой защиты персональных данных – это понять, что и как защищать. Большинство компаний недолжным образом их защищают не потому, что они этого хотят, а потому что они даже не понимают, что им нужно делать для защиты и не могут понять, что защищать.
Работа с персональными данными – плохо формализованная и недостаточно изученная сфера права, своего рода новая отрасль, где практика применения может быть противоречивой, но где уже придумали штрафы и санкции за несоблюдение существующих требований. Если вы никак не можете обойтись без обработки ПД в рамках своего бизнеса – всегда хорошая идея обзавестись компетентным специалистом в штат или обратиться за сопровождением на аутсорсе.
Главное, что требуется – это просто всегда осознавать, что именно и зачем вы делаете, а также просто следовать простым правилам комплаенса. И лучше, конечно, просто обратиться к юристу. Это не очень дорогая услуга (в обычных условиях), но полезная.
Работа с персональными данными – плохо формализованная и недостаточно изученная сфера права, своего рода новая отрасль, где практика применения может быть противоречивой, но где уже придумали штрафы и санкции за несоблюдение существующих требований. Если вы никак не можете обойтись без обработки ПД в рамках своего бизнеса – всегда хорошая идея обзавестись компетентным специалистом в штат или обратиться за сопровождением на аутсорсе.
Главное, что требуется – это просто всегда осознавать, что именно и зачем вы делаете, а также просто следовать простым правилам комплаенса. И лучше, конечно, просто обратиться к юристу. Это не очень дорогая услуга (в обычных условиях), но полезная.