Что такое персонализация персональных данных
Что нужно знать про закон о персонализации данных
Сперва следует понимать, что относится к персональным данным. К ним в первую очередь относится ФИО, адрес прописки, контактный телефон, адрес электронной почты и др. Под обработкой таких данных принято понимать их получение, в результате переписки, телефонного разговора и пр. Исходя из этих понятий, под закон ФЗ 152 попадает деятельность любого коммерческого Интернет-ресурса.
Меры наказаний
С 01 июля 2017 года статья 13.11 КоАП РФ пополнилась новыми составами нарушений в разделе обработки персональных данных. Было 1 такой пункт, и к нему добавилось еще 6. При этом не обошли стороной и размер штрафа. Он увеличился с 10 000 рублей до 290 000 рублей. Максимальное денежное наказание касается тех, кто умудрится нарушить абсолютно все пункты указанной статьи.
Избегаем штрафов
Штраф накладывается на операторов, которые занимаются обработкой персональных данных. Элементарный запрос электронной почты или номер мобильного телефона – уже подходит под обработку.
Наличие на сайте любой формы обратной связи, подписки на рассылку или формы заказа товара, дает Роскомнадзору все основания подтверждающие, что вы обрабатываете данные ваших клиентов или посетителей сайта. В результате этого, вас в любой момент могут проверить на соответствие вашего сайта пункту закона.
Самое главное – это создание на сайте документа «Политика обработки» и формы с информацией, что вы даете согласие на использование «cookies» сервисов поисковых систем. Также должна быть кнопка «Согласен(на)». Доступ к тексту документа должен быть на любой странице сайта, поэтому ссылку на него лучше всего разместить в footer’e («подвале»). Также нужно проверить, что никакие сторонние сервисы не занимаются сбором и обработкой данных посетителей. После осуществления таких действий, можно спасть спокойно!
Сторонние сервисы
В таком случае ваш ресурс все равно будет соответствовать закону, если используемый сторонний сервис предусматривает выполнение всех пунктов закона. Однако стоит помнить, что сервис не несет ответственность за соблюдение требований ФЗ №152 «О персональных данных», и если таковы имеются (а такое может быть), то лучше не использовать не проверенные сервисы.
Как тогда лучше поступить? Наиболее оптимальным выходом из сложившейся ситуации – это привлечь сторонних (внешних) программистов или web-студию, которая не просто создаст все необходимые формы и документы, но и и сделает их стилизацию по вашему вкусу и в дизайне сайта. Безусловно, это тоже потребует денежных вложений, но лучше заплатить 1 раз небольшую сумму денег за работу программиста, и навсегда лишить Роскомнадзор повода для проверка сайта.
Роскомнадзор не уведомляем
Многих волнует вопрос, нужно ли отправлять уведомление в Роскомнадзор? Тут конечно каждый сам решает, стоит или нет. Однако согласно ч. 2 ст. 22 ФЗ №152 оператор, выполняющий обработку персональных, имеет законное право делать её без уведомления в ряде случаев.
Основные случаи, в которых можно оставить Роскомнадзор без уведомлений – это при получении информации, в случае заключения договора, субъект которого является источником персональных данных, и которые в свою очередь нужны исключительно для выполнения условий договора обеими сторонами. При этом без согласия обеих сторон, эти данные не передаются третьим лицам.
И вот тут снова нужно поговорить о сервисах, выполняющих функцию обработки данных. Ведь по факту выходит, что сторонний сервис (например, callibri.ru) и является третьим лицом, и в таких случаях у вас уже не будет «железного алиби» и придется отправлять уведомления в Роскомнадзор.
Также не стоит забывать, что вопросы с законом всегда будут спорными. И закон ФЗ №152 не исключение. Многие пользуются ситуацией и выдавая себя за юристов (не имея судебной практики), занимаются мошенничеством. Якобы в суде могут отстоять ваши интересы, а в реальности просто выманивают деньги.
Без судебной практики пока трудно что-то конкретное утверждать, и тут уже каждый сам выбирает по какому ему пути следовать:
Cookie файлы
Не стоит обходить стороной обработку и использование cookie-файлов. Многие не знают, нужно ли предупреждать посетителей сайта об их обработке. С одной стороны, информация полученная через эти файлы, не является персональной, а с другой – неизвестно, какая поправка выйдет завтра к закону. Поэтому лучше всего обратится к разработчикам своего сайта, и добавить строку, в которой пользователи согласны на обработку cookie-файлов.
Здравствуйте, меня зовут Владимир, я менеджер SunWeb
Я с радостью отвечу на все вопросы
Давайте познакомимся лично!
Заполните заявку и я свяжусь с Вами в ближайшее время
О нас.
Персональные данные: как хранить, обрабатывать и защищать по закону
Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.
Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.
Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:
«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»
Телефон, email, фотография, ФИО — всё это может считаться ПДн.
Также к ПДн можно отнести:
Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.
Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.
Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.
Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.
Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.
Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.
Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.
Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.
Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:
Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.
Определенные ПДн входят в категорию специальных, а именно информация о:
Это информация о физиологических и биологических особенностях человека:
Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:
Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.
Сюда входят ПДн, что не относятся ко всем предыдущим. Например:
В законе есть две сущности: субъект и оператор ПДн.
Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.
Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.
Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.
В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.
Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.
Для сбора cookies тоже понадобится разрешение на сбор ПДн.
Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».
Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.
Что такое персонализация данных и как она помогает повышать продажи
Человек в процессе интернет-серфинга постоянно находит полезные товары для себя — по своим интересам, гендеру, возрасту, бытовым условиям. Товары предлагаются таргетированной рекламой, дополняют корзину в интернет-магазине, на почту приходят уведомления об интересных предложениях и акциях на них. Это улучшает качество жизни покупателя и приносит прибыль продавцам, которые умело пользуются, пожалуй, самым действенным инструментом продажи — персонализацией.
Наглядный пример: в семье родился ребенок, первый год его жизни наполнен постоянными изменениями в потребностях, поэтому детские вещи теряют свою актуальность за месяц-другой. Возраст ребенка предопределяет то, какие товары ему необходимы на данном этапе. Начинает переворачиваться — пора начинать играть на полу, и мама заранее получает рекламу о детских теплых ковриках, пора приучать к горшку — пожалуйста, в наличии самые разные: со спинкой, с музыкой, всех цветов. Предложение товара должно не только решать проблему потребителя, но и быть своевременным.
Что такое персонализация данных?
Сейчас на рынке очень много товаров и услуг. Продавцы, которые предлагают одинаковые или подобные товары по схожим ценам, оказываются в ситуации, когда за клиента нужно бороться. Самый действенный метод привлечения клиента и доведения его до покупки — персонализация данных. Это инструмент для предоставления наиболее подходящего контента пользователю на основании его данных, полученных из легальных источников. Это очень обширное направление, которое включает в себя персонализацию контента, товарных рекомендаций, каналов коммуникации, рекламы и т. д.
Магазины в качестве преимущества используют разные данные о пользователе и индивидуально для каждого покупателя или группы покупателей формируют предложение. Отклик на персонализированное предложение намного больше чем у обычной рекламы «для всех». Человеку приятно, когда предложение отвечает его ожиданиям, обращается к нему по имени, сразу предлагает сопутствующие товары и рассчитывает стоимость доставки в его город. Собирая данные о клиентах вы можете сделать для себя неожиданные инсайты, которые станут вашим конкурентным преимуществом.
Как можно использовать персонализацию в бизнесе?
Большинство пользователей ожидают, что сервисы сами предугадают их потребности. Для того, чтобы сообщить клиенту о новых подходящих ему товарах, рассказать об акциях и напомнить о товарах в корзине существует множество вариантов. Выбор каждого из нижеперечисленных инструментов зависит от бизнеса и его цели.
1. Email-рассылка — присылать рекламное предложение нужно «по адресу». Хуже нет, чем когда мужчинам приходит предложение купить женское пальто по скидке, а лысому — расческа. Необходимо разбить аудиторию на сегменты, например, пол, возраст, семейное положение, место жительства и разные дополнительные данные — об интересах, сфере деятельности и прочее. Также можно настроить рассылку на определенное время или подобрать тему так, чтобы увеличить шанс на открытие письма;
2. SMS и push-уведомления — всплывающие уведомления отличный способ сообщить клиенту об акциях, новых товарах, напомнить о незавершенной покупке. Если уведомление придет в нужное время нужному человеку, это значительно повысит конверсию в продажи;
3. Показ и ретаргетинг рекламы — персонализация поможет выдавать рекламу покупателю в зависимости от стадии покупки или поведения его в сети. Например, пользователь никогда не переходит по ссылке с первого раза, но кликнет на уже знакомую рекламу. Или если он уже однажды переходил по ссылке, то можно начать показывать ему объявления по другим предложениям;
4. В личном кабинете — редактируя кабинет в приложении или на сайте, с учетом интересов пользователя. Большее количество знаний о покупателе позволяют продавцу усовершенствовать работу личного кабинета, сообщать об интересных покупателю скидках, предлагать актуальный товар, сразу рассчитывать стоимость доставки;
5. Чат-боты — можно использовать данные пользователя в CRM для персонализации взаимодействия с чат-ботами. Обычно программа-собеседник задает общие вопросы типа «Какой у вас вопрос?», но теперь боты умеют задавать индивидуализированный вопрос.
Какие данные о пользователе будут полезны?
Как и где собирать данные о пользователе?
Для удобства мы разделяем данные на четыре группы — идентификационные, количественные, социально-демографические и качественные. Каждая из этих групп соответствует определенным запросам. Ниже приведем примеры этих данных и способы их сбора, однако они вариативны, в зависимости от сферы деятельности.
Собирая и храня данные клиентов не забывайте о законах своей страны и региона пребывания клиента. Изучайте Федеральный закон о персональных данных
Идентификационные данные. Базовые сведения о человеке, а также контактные данные.
Как собирать? Предложите клиенту форму регистрации, но не задавайте слишком много вопросов — это отпугнет клиента, лучше анкетировать его мягко по ходу его взаимодействия с сервисом. Вы можете предложить заполнить скидочные купоны, предпродажные предложения, в процессе оформления заказа и гарантийного талона. 
Количественные данные. Теперь, когда вы познакомились с клиентом «лично» вы можете понять то, как он взаимодействует с вами. Это можно сделать на основе customer journey (карта пути клиента). Изучите конверсию, которая приводит к покупкам, онлайн-активность клиента, историю покупок, его взаимодействие со службой поддержки.
Социально-демографические данные: в этой статье уже не раз было сказано о важности этих данных. Сюда относится информация о семейном положении, образе жизни, образовании, карьере. Для получения информацию проведите интервью с открытыми вопросами (на которые нужен развернутый ответ), опросы и исследования, соберите фокус-группу, воспользуйтесь расширенными лид-формами.
Качественные данные. Эти данные позволяют понять почему клиент делает тот или иной выбор, почему клиенты уходят или остаются с вами. Наличие этих данных позволяют предугадать вероятность повторной покупки, понять вашу ценность для клиента. Для этого вы можете внедрить систему оценки, предложить персонализированную подписку, проанализировать качество обратной связи.
Инструменты для хранения и анализа данных
С ростом бизнеса растет и объем данных о пользователях, и нужны специализированные сервисы. Сначала это делали в Excel, но он перестал отвечать современным запросам. На смену пришли CRM, DMP, CDP. Было бы хорошо заранее выбрать подходящий вашим задачам сервис.
CRM (Customer Relationship Management). Эта платформа появилась первой. Она позволяет собирать и анализировать уже имеющиеся данные, обеспечивает коммуникацию и быстро автоматизирует много маркетинговых задач, интегрируются с внешними системами для лучшей персонализации.
DMP (Data Management Platform). Позволяет проводить таргетированные медиа кампании. В отличие от CRM, DMP собирают анонимные ID через сторонних поставщиков данных. Сегментирует пользователей для персонализации маркетинговых кампаний.
CDP (Customer Data Platform). Новая платформа по управлению пользовательскими данными и сочетает в себе лучшее из CRM и DMP и дает бренду полный обзор на данные. Она позволяет улучшить не только текущие кампании, но и предугадать оптимальный следующий шаг. Однако, для начала работы в CDP нужно провести всесторонний data-аудит, ведь это прежде всего надстройка и рассчитана для компании, которые уже активно используют пользовательские данные.
Резюме
Персонализация данных — сложный, кропотливый процесс, который дает свои плоды. Конкурентное преимущество и инсайты, которые позволяет сделать анализ данных неоценимо велик. Данные о клиентах — это настоящий бизнес-актив, позволяющий расти, развиваться и делать большие продажи. Помните, что сохранить реальных клиентов гораздо проще чем привлечь новых.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Кратко и доступно: что такое персональные данные, их хранение и обработка
Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:
| Не ПДн | ПДн |
| ivan999@mail.ru | ФИО: Иванов Иван Иванович, email: ivan999@mail.ru |
| 30% опрошенных женаты | Иванов Иван Иванович женат |
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.