Персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать человека. К таким данным относятся: фамилия, имя, отчество, дата рождения, номер телефона, место жительства, адрес электронной почты, место работы и должность, образование, паспортные данные, никнеймы в социальных сетях, файлы cookie, цвет глаз, рост и другие сведения. Важно понимать, что нет строгого перечня, какие именно данные считаются персональными — всё зависит от возможности идентификации личности.
Что включает обработка персональных данных
Обработка персональных данных включает широкий круг действий, таких как:
-
сбор;
-
систематизация;
-
накопление;
-
хранение;
-
уточнение (обновление, изменение);
-
использование;
-
передача третьим лицам;
-
обезличивание;
-
блокировка;
-
уничтожение.
Эти действия регулируются законодательством о защите персональных данных, и каждая организация, работающая с такими данными, обязана соблюдать установленные правила.
Организации используют персональные данные клиентов для решения различных бизнес-задач, включая:
-
сегментацию клиентской базы;
-
доставку товаров и услуг на дом;
-
отправку уведомлений, акций и рекламных предложений;
-
предоставление персонализированных скидок;
-
регистрацию и участие в программах лояльности.
Компетентное и ответственное обращение с персональными данными — это не только юридическое требование, но и важный элемент доверия между бизнесом и клиентом. Поэтому важной задачей является защита персональных данных клиентов.
Требования к безопасному хранению персональных данных по Федеральному закону №152-ФЗ представляют собой полное соответствие законодательству.
Персональные данные (ПДН) должны храниться и обрабатываться в соответствии с требованиями законодательства РФ. Компания обязана обеспечить конфиденциальность и защиту хранимой информации от несанкционированного доступа.
Как безопасно и где допустимо хранение персональных данных по 152-ФЗ:
-
Локальные серверы компании с соблюдением технических мер защиты
-
Облачные хранилища российских провайдеров с подтвержденной безопасностью
-
Специализированные центры обработки данных с сертификатами соответствия
Место хранения персональных данных должно соответствовать законодательству и обеспечивать конфиденциальность. Для хранения ПДн используются собственные серверы, облачные серверы, сертифицированные по требованиям ИСПДн, и базы данных. Облачные серверы обеспечивают доступ к данным из любой точки мира и не требуют покупки и обслуживания собственного оборудования. Базы данных используются для хранения структурированной информации и обеспечивают быструю обработку больших объемов данных. Блокчейн подходит для хранения критически важных данных, таких как паспортные данные, медицинские записи и финансовые транзакции. CRM и HRM-системы используются для управления взаимодействием с клиентами и персоналом и предоставляют инструменты для управления доступом и анализа данных. Менеджеры паролей помогают безопасно хранить и управлять конфиденциальной информацией, включая пароли, логины и номера банковских карт.
Технические требования представляют собой защиту информации.
Защита персональных данных клиентов должна включать:
-
Шифрование данных при передаче и хранении
-
Регулярное резервное копирование
-
Контроль доступа на основе ролей
-
Журналирование действий с данными
-
Антивирусная защита
-
Физическая охрана помещений
Правовые аспекты 152-ФЗ
Согласие субъекта персональных данных должно содержать:
-
Цели обработки данных
-
Перечень обрабатываемых данных
-
Сроки хранения
-
Права субъекта данных
-
Способы отзыва согласия
Хранение персональных данных по 152 ФЗ
Период хранения персональных данных по 152-ФЗ определяется, законодательством РФ для определенных категорий данных, целями обработки данных, соглашением между компанией и субъектом данных
Компания обязана, назначить ответственного за обработку ПДН. Проводить обучение сотрудников. Регулярно проводить аудит безопасности. Информировать субъектов о случаях утечки данных. Обработка персональных данных должна обеспечивать правовую защиту данных
При работе с биометрическими данными: Требуется дополнительное согласие субъекта. Необходимо усиленное шифрование личной информации субъекта. Запрещена передача третьим лицам. Требуется особый порядок уничтожения данных
Для мер по обеспечению безопасности компания должна:
-
Разработать политику обработки ПДН
-
Назначить ответственное лицо за реализацию по ПДН
-
Провести оценку рисков
-
Внедрить организационные меры защиты
-
Обеспечить конфиденциальность при передаче данных
-
Регулярно обновлять защитные меры
При обнаружении утечки: Незамедлительно уведомить Роскомнадзор. Информировать субъектов данных. Принять меры по устранению последствий . Провести внутреннее расследование. Усилить меры защиты
Компания обязана вести документацию и контроль: журнал регистрации операций с данными, документировать меры защиты, сохранять протоколы аудита безопасности, вести акты проверок соответствия, вести договоры с подрядчиками по обработке данных
Соблюдение данных требований позволит компании обеспечить надлежащую защиту персональных данных и избежать нарушений законодательства РФ. Очень важно соблюдать все меры по защите персональных данных клиентов.
