Персональные данные: основные понятия
Персональные данные
— это любая информация, которая позволяет идентифицировать человека. Это могут быть как фамилия, имя, отчество, так и фотографии. Персональными данными может считаться даже место работы, если оно упоминается вместе с именем человека и позволяет определить конкретного сотрудника.
Все, что вы делаете с этой информацией, называется обработкой персональных данных. Тот, кто определяет цели и способы обработки, называется оператором. Именно он получает согласие на обработку. Работу с персональными данными регулирует Роскомнадзор.
Как использовать персональные данные
- Для обработки необходимо получить согласие граждан, чьи данные вы используете.
Нельзя передавать персональные данные третьим лицам, пока нет прямого согласия граждан
Из-за широкого и обобщенного определения таких данных в законе, не всегда можно с уверенностью сказать, относятся ли к ним те или иные сведения и нужно ли получать согласие на их использование и передачу.
Простое согласие на обработку данных представляет собой проставление «галочки» в веб-форме или сам факт использования сайта, на котором размещена политика обработки данных (об этом ниже).
- О намерении осуществлять обработку персональных данных лучше уведомлять Роскомнадзор.
Есть исключения, которые позволяют этого не делать. Например, при обработке персональных данных участников общественного объединения, если вы получили их согласие. Или если человек сам сделал эти данные общедоступными.
Если персональные данные были опубликованы в соцсетях, то их нельзя априори считать общедоступным. Обработка таких данных без согласия может иметь последствия
Многие стараются не уведомлять Роскомнадзор, чтобы не привлекать к себе внимание. Юристы на всякий случай советуют отправлять такие уведомления.
- Публикуйте политику обработки персональных данных в открытом доступе.
Политика содержит описание данных, которые может обрабатывать сайт организации. Человек, который пользуется сайтом НКО, таким образом, соглашается на обработку данных. Образец обращения, например, можно найти на сайте «ВКонтакте».
В политике лучше указывать все возможные категории персональных данных, способы их обработки и перечень людей, которым они могут передаваться
- Биометрические и специальные персональные данные требуют более сложной процедуры согласия.
Форма согласия в этом случае представляет собой подписанный на бумажном носителе документ (или электронный документ с электронной подписью) с перечислением данных, которые вы обрабатываете, действий, которые вы планируете с ними делать, цели и сроков использования. К специальным категориям относятся, например, сведения о расовой, национальной принадлежности, вероисповедании, состоянии здоровья.
- Человек, передающий вам персональные данные другого человека, должен иметь его согласие.
Согласие на обработку персональных данных вам может дать их владелец, для недееспособных — законный представитель, в случае смерти лица — его наследники. Все остальные люди, предоставляющие данные о своих родственниках или знакомых, не могут дать согласие на их обработку. Для передачи данных они должны сами получить согласие на передачу данных.
- Согласие на обработку данных лучше давать в письменной форме.
Согласие в устной форме напрямую не указано в законе, поэтому его лучше получать только в присутствии свидетелей. Но самый безопасный вариант — согласие в письменной форме.
- При передаче персональных данных в другие страны, необходимо отдельное согласие.
Без ограничений можно передавать данные в страны ЕС и страны из перечня Роскомнадзора. Для всех остальных стран от человека необходимо получить согласие, которое напрямую упоминает эту страну.
- Вы должны обеспечить безопасность при обработке персональных данных.
Персональные данные других людей не стоит хранить в открытом доступе
Если доступ к данным закрыт, вы можете доказать Роскомнадзору, что обеспечиваете безопасность данных — это необходимое условие при их обработке.
- Получать повторное согласие на использование данных человека после совершеннолетия не нужно.
Если вы получили согласие на обработку персональных данных от законного представителя несовершеннолетнего человека, то у вас нет обязанности получать повторное согласие после наступления совершеннолетия. В идеальном варианте согласие должно предусматривать период, на которое оно принимается. В нем можно указать, что человек может отозвать согласие после совершеннолетия, но если этого не произошло, согласие продолжает действовать.
- Согласие для обработки данных нужно получать для каждого юридического лица, которое их использует.
Если согласие получает одна организация, а обрабатывает другая (пусть и дружественная или подведомственная первой), то данные обрабатываются незаконно. В согласии нужно упомянуть все организации, которые будут заниматься обработкой.
- Получать согласие на обработку персональных данных нужно и при съемке.
Изображение, которое позволяет идентифицировать человека, тоже рассматривается как персональные данные. Если человек не основной объект съемки и попал в кадр случайно, то согласие не требуется. Согласие на использование изображений не нужно получать при съемке на публичных мероприятиях.
Если вы сомневаетесь, что ваше событие публичное (например, вход по приглашениям или по регистрации), лучше получить согласие на обработку персональных данных его участников.
Санкции
На организацию может быть наложен штраф, если данные обрабатываются не с той целью, что была указана в согласии, или другими нарушениями, если на сайте не опубликована политика о персональных данных, если человеку не предоставили информацию о том, каким образом будут использованы его данные. Кроме того, санкции накладываются, если оператор не удалил или не изменил персональные данные по просьбе их владельца. Человек может отказаться от согласия на обработку персональных данных в любой момент.
Круглый стол проводился в медиацентре «АСИ-Благосфера» по инициативе Благотворительного фонда «Дорога вместе». Запись доступна здесь.
Медиацентр «АСИ-Благосфера» — это совместный проект центра «Благосфера» и Агентства социальной информации. Его цель – продвижение в обществе идей благотворительности и социальной ответственности, социальной активности граждан с использованием различных медиаформатов.