Что такое персональные данные и как их хранить

Какие именно данные считаются персональными

По определению в законе, персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Например, ФИО, ИНН, СНИЛС, электронная почта, номер телефона, адрес жительства, сведения об образовании, месте работы, фотография и т. д. При этом персональные данные — это всегда совокупность информации. В этой совокупности обязательно должен присутствовать идентифицирующий лицо элемент — ФИО, ИНН, паспортные данные и тому подобное.

Помимо тех данных, которые однозначно являются идентифицирующими конкретное лицо, есть серая область, по которой единого мнения в разъяснениях регулирующих органов и судебной практике нет. Например, об отнесении номера телефона (или адреса электронной почты) к уникальному идентифицирующему лицо признаку. С одной стороны, это информация о техническом устройстве лица, с которого совершаются какие-то действия. С другой стороны, номер телефона можно считать идентификатором лица по принципу его уникальности.

То же самое касается и cookies — текстовых файлов, сгенерированных сайтами. В cookie-файлы заносятся уникальные идентификаторы, по которым можно отличить одного пользователя из массы других, а значит они являются онлайн-идентификатором определенного физического лица.

Разъяснения Роскомнадзора и судебная практика говорят в пользу отнесения cookie-файлов к персональным данным.

Как не нарушать закон о персональных данных

Многие сайты используют формы обратной связи, в которых просят пользователя указать свои персональные данные. В связи с этим компаниям все важнее надежно хранить такую информацию. Более того, необходимо соответствовать всем требованиям законодательства.

В первую очередь нужно:

• Разместить информацию о политике обработки персональных данных на сайте в общем доступе;
• Предусмотреть согласие на обработку персональных данных для пользователей сайта при сборе их персональных данных. Например, при регистрации в личном кабинете;
• Уведомить Роскомнадзор об обработке персональных данных;
• Если вы пользуетесь иностранными метрическими программами для сбора персональных данных пользователя, например, Google Analytics, нужно уведомить Роскомнадзор о трансграничной передаче персональных данных — ведомство примет решение о разрешении или ограничении такой передачи. Также вы можете перейти на российские сервисы веб-аналитики, например, «Яндекс. Метрика»;
• Производить мониторинг на предмет утечки базы персональных данных, владельцем которой вы являетесь. В случае обнаружения утечки, об этом необходимо уведомить Роскомнадзор в течение 24 часов (первичное уведомление о произошедшем инциденте) и в течение 72 часов с момента обнаружения (дополнительное уведомление о результатах внутреннего расследования выявленного инцидента);
• Также владельцы сайта, являясь операторами персональных данных, должны соблюдать и иные требования по защите персональных данных. Можно оценить выполнение закона о персональных данных в своей организации с помощью проверочного листа Роскомнадзора (Приказ Роскомнадзора от 24.12.2021 № 253).

Недавно Министерство цифрового развития, связи и массовых коммуникаций выступило с инициативой, относящейся к персональным данным. Суть ее заключается в добавлении еще одного индикатора риска, который является основанием для проведения внеплановой проверки. Новым индикатором риска является отсутствие специалистов по информационной безопасности, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных в аккредитованной организации. В связи с этим можно сделать вывод, что защита персональных данных пользователей — важнейшая часть современного онлайн-бизнеса, на которую необходимо выделять кадровые и технологические ресурсы.