Что такое обработка персональных данных и как она производится?
Обработка личных персональных данных осуществляется операторами (госорганами, физлицами или коммерческими компаниями). Она представляется собой сбор, запись, систематизацию, хранение информации о человеке, а также выполнение действий направленных на ее блокирование и уничтожение.
Использование сведений возможно только после согласия на это их владельца либо без него, но исключительно в случаях предусмотренных законодательством.
Скрыть содержание
- Какие сведения собираются?
- Для каких целей?
- Ответственные лица
- Правовые основания
- Начало процедуры
- Необходимая документация и защита ПО
- Сбор и архивирование
- Возможности обрабатывающих систем
- Как осуществляется эта работа в организации?
- Субъекты процедуры
- Что значит ЦОД?
- Полезное видео
- Заключение
Какие сведения собираются?
Персональные сведения – это данные о физическом лице:
- фамилия, имя, отчество;
- место и дата рождения;
- адрес;
- семейный и социальный статус;
- доходы и активы;
- образование;
- медицинский диагноз;
- сведения и заключения о состоянии здоровья;
- полис ОМС;
- оказанные медицинские услуги.
Внимание! Обработка персональных сведений осуществляется только с согласия в письменной форме либо подачи документа, подписанного электронной подписью. Оператор вправе поручить обработку другой компании (с согласия субъекта личной информации).Для каких целей?
Обработка данных – это определенный набор действий для их использования (сбор, накопление, хранение и пр.). Еще до начала сбора информации должна быть сформирована цель, ради, которой собираются данные. Например, идентификация клиента среди других либо учет сведений обо всех партнерах и потребителях компании. Обработка должна ограничиваться достижением этих целей.
Требования к обработке информации:
- Осуществляется с согласия владельца.
- Без согласия, но при этом:
- в целях судопроизводства, в том числе исполнительного;
- для выполнения журналистской работы;
- в статистических или иных исследовательских целях.
Обрабатываемые данные подлежат уничтожению либо обезличиванию, когда договор закончился или обязательства выполнены. Сведения, которая передаются, должны быть в любое время исключены из общедоступных источников, если человек не согласен с таким обнародованием либо если есть соответствующее решение суда.
О том, каковы цели обработки ПД, мы более подробно рассказываем тут.
Ответственные лица
Обработку сведений осуществляет оператор. Для этого он назначает ответственного специалиста, который обязан осуществлять контроль за соблюдением требований закона о защите данных. Это может быть, например, сотрудник технического или юридического отдела, бухгалтерии или отдела кадров. Эти функции должны быть обозначены в его должностной инструкции или трудовом контракте.
Функции ответственного:
подготовка организационно-распорядительной документации;
- информировать руководство обо всех попытках несанкционированного доступа к охраняемым сведениям;
- следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности;
- контролировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
- прием и обработка обращений и запросов владельцев данных.
Важно! Ответственный обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы и пресекать действия других лиц, которые могут привести к разглашению такой информации.В случае увольнения ответственный обязан вернуть все документы и материалы, относящиеся к своей деятельности.
Пошаговую инструкцию по назначению лица, ответственного за организацию обработки ПД, мы привели в отдельной статье.
Правовые основания
Вопрос использования личной информации о потребителе регулируется законом «О персональных данных», а также целым рядом подзаконных актов (Перечнем персональных данных, Положением об особенностях обработки, должностными инструкциями) и другими документами.
Сами компании разрабатывают целый пакет документов, регулирующих вопросы получения и защиты, полученных от клиента сведений. Например, Политику в отношении обработки.
- Скачать бланк должностной инструкции ответственного за обработку персональных данных
- Скачать образец должностной инструкции ответственного за обработку персональных данных
О правовом обеспечении обработки ПД читайте здесь.
Начало процедуры
Обычно дата начала использования сведений соответствует дате создания компании. Операторы, которые осуществляли сбор данных до 2006 года, обязаны направить в Роскомнадзор уведомление об этом. Уведомление заполняется в электронном виде http://rkn.gov.ru/personal-data/forms/notification/. После заполнения электронной формы Уведомления необходимо распечатать его на бланке организации, подписать и направить в местное Управление Роскомнадзора.
Датой начала обработки в уведомлении должна быть указана дата начала совершения действий с ними. Она может совпадать с датой регистрации или постановки организации на учет в налоговом органе.
- Скачать бланк уведомления в Роскомнадзор об обработке персональных данных
- Скачать образец уведомления в Роскомнадзор об обработке персональных данных
С чего начать и как организовать процесс обработки ПД мы рассказываем в отдельной статье.
Необходимая документация и защита ПО
Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).
При обработке необходимо:
Четко сформулировать цель.
- Определить, данные каких категорий будут использоваться.
- Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
- Позаботиться о защитных средствах.
- Определить структуру информационной системы.
- Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
- Идентифицировать местонахождение технических средств системы.
Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.Сбор и архивирование
Процесс систематизации, хранения и использования сведений включает в себя обособление данных от другой информации, в частности путем фиксации на материальных носителях, в спецразделах или на полях форм (бланков), если речь идет об неавтоматизированной обработке. Либо сведения могут быть обработаны в автоматизированных системах (на компьютере, например). Для обработки различных категорий нужно использовать отдельные носители.
Возможности обрабатывающих систем
Все системы, с помощью которых обрабатываются данные, подразделяются на типовые и специальные. К первым относятся системы, в которых требуется обеспечить только свойство конфиденциальности. Все остальные системы относятся к специальным.
Типовым системам могут быть присвоены четыре класса, в зависимости от масштаба негативных последствий для владельца конфиденциальной информации. Необходимо будет присвоить информационной системе соответствующий класс и его документально оформить.
Существует два вида обработки: автоматизированный и неавтоматизированный (делается человеком).
- Автоматизированная включает операции, осуществляемые полностью или частично с помощью автоматизированных средств:
- хранение данных;
- осуществление логических, арифметических операций;
- изменение, уничтожение, поиск или распространение данных.
Для хранения и систематизации используется компьютер, электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства.
- Для неавтоматизированного хранения и использования также могут быть использованы различные материальные носители, но при условии, что данные не будут сохранены в памяти, или скопированы.
О том, как происходит автоматизированная обработка ПД, мы рассказываем в специальной статье, а про обработку без использования средств автоматизации читайте здесь.
Как осуществляется эта работа в организации?
Рассмотрим, как проходит процесс сбора и обработки на примере создания интернет-магазина.
Для хранения и использования сведений о покупателях, компании или ИП, которые владеют интернет-магазином, нужно зарегистрироваться в качестве оператора на сайте Роскомнадзора.
До этого нужно будет разработать регламенты и форму пользовательского соглашения. В них обычно пишется, что если пользователь зарегистрируется на сайте или заполнит заявку — эти действия будут считаться согласием на обработку его данных.
Покупатели обычно передают на сайт:
- Ф.И.О;
- дата рождения;
- реквизиты платежной карты;
- контактный телефон;
- личные фотографии (иногда);
- личный адрес.
Внимание! Если магазин собирается передавать данные покупателей третьим лицам, то это можно делать только в целях исполнения пользовательского соглашения (например, раскрывать сведения службе доставки, которая будет заниматься перевозом купленного товара).Если же цели иные, то на это требуется отдельное согласие пользователя.
Владельцу сайта нужно разработать Политику в отношении обработки данных и опубликовать ее. Необходимо также указать электронный адрес, куда стоит обращаться с тем, чтобы его сведения были удалены. Придется также заключить соглашение об обеспечении безопасности, в котором будет указано, что будет обрабатываться и в каких целях.
- Скачать бланк Соглашения на обработку персональных данных
- Скачать образец Соглашения на обработку персональных данных
Субъекты процедуры
Наиболее часто мы передаем данные при обращении в банк, интернет-магазин либо в страховую компанию. Например, если мы заказываем страховой полис на сайте страховщика, то всегда даем согласие на использование данных еще до регистрации и получения доступа в свой личный кабинет. Для этого просто ставится галочка о согласии на передачу сведений в конце заполненной онлайн формы заявления о страховании.
Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).
В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.
Собирают информацию о клиенте и банки. Например, при оформлении кредита заемщик передает по требованию кредитора сведения о своем доходе от работодателя, других полученных кредитах, семейном положении, адресе не только своем, но и своих поручителей и пр. Эти сведения хранятся в автоматизированной системе банка и защищаются спецсредствами. Если клиент использует систему интернет-банкинга, то используются дополнительные меры для защиты от хакерского взлома и незаконного использования счетов.
Что значит ЦОД?
Центр обработки данных (ЦОД) – это структура, обеспечивающая автоматизацию бизнес-процессов и гарантирующая безотказную работу информационной системы. Центры позволяют работать с большим объемом данных, организовывать их хранение и обеспечивать связь между центрами и пользователями.
При выходе из строя ЦОД могут заблокировать доступ к информации, поэтому их защищают на случай отключения света, аварий, пожаров, взлома хакерами, кражи данных.
Больше информации о том, что такое ЦОД, найдете в этой статье.
Полезное видео
Смотрите видео на тему: “Что такое обработка персональных данных?” :
Заключение
Использование персональных данных – важный процесс, который обеспечивает оператор. Он включает хранение, сбор, систематизацию, блокирование и уничтожение информации о клиентах и другие действия, которые необходимы для заключения договора.
Использование информации производится с соблюдением мер безопасности, чтобы не допустить утечку и незаконное распространение конфиденциальных сведений о личности. В основном в этом случае передается информация необходимая для заключения договора (адрес, паспортные данные и пр.).