00. С чего начать работу над политикой?
Для хорошей политики обработки персональных данных важно будет ответить на три вопроса:
🔹Какие персональные данные будем собирать?
🔹Зачем их будем собирать?
🔹Что с ними будем делать?
Ответы на эти вопросы — это и есть политика обработки данных, она же политика конфиденциальности.
💡 На практике понятие “политика конфиденциальности” и “политика в отношении обработки персональных данных” используются как равнозначные понятия. Можно использовать любое.
01. Какие персональные данные будем собирать?
Что такое персональные данные?
📍Разберемся в определениях. Что же такое эти загадочные персональные данные? Закон содержит довольно широкое определение данного понятия, а его толкование занимает умы многих ученных по всему миру. Я, например, люблю размышлять об юридическом статусе голоса с точки зрения персональных данных и даже статью об этом написал. Но это так, хвастаюсь просто ☺️
📍На самом деле, чтобы не усложнять, давайте определим персональные данные, как любые данные о человеке. Это может быть: ФИО, телефон, адрес, фотография, ссылка на профиль в социальных сетях, адрес электронной почты, дата рождения, ИНН, СНИЛС, паспортные данные.
📍Единого большого списка персональных данных нет, определять относятся ли данные к персональным или нет приходится каждый раз самостоятельно. Для этого надо учитывать характер самих данных и контекст их использования. Например, абстрактный адрес электронной почты: «kotik-pushistiy@mail.ru», сам по себе, вряд ли можно отнести к персональным данным. Без контекста адрес никак не связать с человеком. Котик и котик🐱. А вот адрес «ilya.ilyin@legalgeek.ru» да еще оставленный в качестве контактного адреса в анкете на сайте, уже будет относиться к персональными данным. Можно определить, что это адрес почты Ильина Ильи. В общем все зависит от ситуации. В помощь тут многочисленная судебная практика и разъяснения Роскомнадзора.
📍Есть еще такие файлы cookie 🍪. Позиция Роскомнадзора заключается в том, что это тоже персональные данные. Будем придерживаться этой позиции и мы. Правда сделаем оговорку, что файлы cookie они разные. Есть такие, которые просто нужны для работы сайта. Например, которые помогают запомнить выбранный язык. А есть те, которые создают профиль пользователя, отслеживают действия на сайте и т.п. Это различие надо учитывать, когда будем отвечать на вопрос о целях сбора и способах обработки персональных данных.
Какие категории персональных данных бывают?
Знать категорию персональных данных важно по двум причинам:
📍Некоторые категории имеют особенности при обработке и защите. С этими данными, надо быть особенно внимательными.
📍Категорию обрабатываемых персональных данных нужно указать в политике конфиденциальности. Это требование закона🤓.
Хорошая новость заключается в том, что большая часть информации, которую мы используем, попадает под общую категорию персональных данных и обрабатывается в общем порядке. Плохая — не всегда очевидно к какой категории персональных данных относится та или иная информация.
❗️Категории данных, которые требуют повышенного внимания❗️:
🔹«Биометрические» — физиологические или биологические особенности человека. Например: отпечаток пальца, радужная оболочка глаз, ДНК, голос, изображение человека и т.п. Биометрические данные используются для идентификации человека. Для обработки требуется письменное согласие. Есть дополнительные требования к обеспечению безопасности.
Как отличить, когда персональные данные относятся к биометрическим, а когда нет?
На сегодняшний день это можно сделать, ответив на вопрос, используются ли данные для идентификации человека или нет. Самый частый пример это фотография с изображением человека. Если фотография используется для идентификации личности, например, на пропуске, тогда она будет относиться к биометрическим данным. Если для других целей, то нет. Все зависит от контекста обработки. Такой подход логичен. Иначе бы на любой заправке, кафе, магазине с видеонаблюдением, пришлось бы брать письменное согласие на обработку биометрических данных. Однако он основан на разъяснениях Роскомнадзора, которые утратили свою силу и до настоящего времени новых разъяснений по этому вопросу нет. Ждем.
⚠️Стоит отметить, что кроме закона о персональных данных, изображение человека охраняется еще и гражданским кодексом, который устанавливает, что использование изображения человека возможно только с его согласия.
Исключения:
- изображение используется в государственных целях;
- согласие было получено при съемке;
- съемка проводилась в открытых местах или на публичных мероприятиях, например, на конференции;
- гражданин позировал за плату.
🔹«Специальные» или «чувствительные» — это сведения о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. По общему правилу такие данные нельзя обрабатывать, за исключением, когда субъект данных дал отдельное согласие на обработку.
🔹«Персональные данные, разрешенные для распространения» — это данные, которые с согласия субъекта были распространены и стали доступны неограниченному кругу лиц. Это, например, фотография пользователя в отзыве на сайте. Для использования этих данных, кроме согласия на обработку, потребуется еще одно согласие на распространение.
Резюме: Для ответа на первый вопрос понадобится изучить потоки данных. Для этого смотрим, какую информацию, где и каким образом мы запрашиваем у наших пользователей и клиентов. Ключевым будет установить, позволяет ли эта информация определить человека или нет. А для того, чтобы персональные данные было легче обнаружить в потоке информации, делюсь с Вами матрицей персональных данных. Матрица подскажет, какие именно персональные данные можно найти в проекте, а также, отнесет их к соответствующей категории.
02. Зачем будем собирать персональные данные?
Цель обработки персональных данных 🎯
Цель — это то, для чего вы собирали персональные данные.
Все, что вы делаете с персональными данными, должно быть связано и ограничено целью обработки, иначе могут оштрафовать. Целей может быть несколько. Например, адрес электронной почты может потребоваться как для создания личного кабинета, так и для проведения рекламной рассылки.
Как сформулировать цель?
🔹 Заранее — до начала каких-либо действий с этими данными;
🔹 Конкретно и понятно — избегайте общих формулировок. Например, не стоит писать “повышение уровня продаж” вместо “проведения рекламной рассылки”;
🔹 Законно — цель обработки не должна нарушать закон.
Чтобы сформулировать цели, можно, например, изучить подробнее бизнес-процессы, в которых есть персональные данные и определить зачем они там нужны. Роскомнадзор рекомендует обратиться к целям вашей коммерческой деятельности и формулировать цели обработки исходя из них.
📍 Формулируя цель важно помнить, что содержание и объем данных должны им соответствовать. Иными словами Вы не должны собирать данных больше, чем нужно. Например, для оформления доставки не стоит интересоваться уровнем образования или философскими убеждениями заказчика (с последними, кстати, надо быть очень аккуратными — это специальная категория данных).
Где указывать цели?
Цели надо не только сформулировать, но еще о них рассказать. Вот перечень документов, в которых необходимо это сделать:
🔹 Политика обработки персональных данных;
🔹 Согласие на обработку персональных данных;
🔹 Уведомление о начале обработки персональных данных.
Как указывать?
Закон говорит, что в отношении каждой цели надо указать: чьи персональные данные обрабатываются (пользователя, клиента, покупателя и т.п.), их перечень и категории, а также способы, сроки обработки и порядок уничтожения. Визуально можно оформить в виде таблицы, вынеся какие-то постоянные элементы в текстовую редакцию. Таблица, например, может выглядеть вот так:
Что делать после того, как цели определены?
(вместо резюме 😀 )
🔹 создать раздельные базы с персональными данными, обработка которых осуществляется в целях, не совместимых между собой (например, базы данных сотрудников и клиентов);
🔹 следить за актуальностью данных по отношению к целям их обработки. Обновлять базы данных;
🔹 удалять/уточнять неполные или неточные данные;
🔹 удалить данные после окончания срока обработки.
03. Что будем делать с персональными данными?
Итак, цели обработки есть 🎯. Теперь определим конкретные действия, которые необходимо выполнить, чтобы достичь этих целей, т.е. определим, как будем обрабатывать данные.
Обработка данных
Способ обработки данных:
Сначала выберем способ. Для этого решим, будем ли обрабатывать данные на бумаге 📁 или же при помощи компьютера👨💻. В зависимости от этого определяем, каким именно способом данные будут обрабатываться:
🔹 автоматизированным;
🔹 неавтоматизрованным;
🔹 смешанным — сразу двумя.
На практике отказаться от неавтоматизрованного способа довольно затруднительно, поэтому чаще всего выбирают смешанный способ обработки. Обработка персональных данных на бумаге, например, может потребоваться для соблюдения трудового законодательства, организации пропускного режима и т.п.
В большинстве случаев используется смешанный способ 🤓 .
Действия с персональными данными📝 :
Обработка персональных данных — любые действия с персональными данными. Так что же это могут быть за действия?
Примеры конкретных действий, которые бы считались обработкой персональных данных перечислены в законе. Однако, не каждому действию закон дает определение. Ниже в таблице собрал действия и то, как на сегодняшний день в практике толкуется их значение.
Что делать дальше?
Проверить, указан ли способ обработки и конкретные действия с данными в:
🔹 Политике обработки персональных данных;
🔹 Согласии на обработку персональных данных;
🔹 Уведомлении о начале обработки персональных данных.
Срок обработки данных⏳:
Сроки обработки персональных данных указываются по отношению к каждой цели в следующих документах:
🔹политике конфиденциальности;
🔹согласии на обработку персональных данных;
🔹уведомлении о начале обработки персональных данных.
Как определить срок обработки?
📍За редким исключением мы сами решаем, сколько времени нам требуется для обработки данных. Как правило, обработка завершается или достижением целей или же просто по каким-то причинам становится невозможной. Например, если согласие на обработку персональных данных было отозвано или же его срок истек.
❗️ Важно, после достижения целей обработки есть 30 дней на то, чтобы удалить персональные данные.