Что значит обработка данных
Основы обработки персональных данных
Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного — САМ ЗАКОН ВЫ НЕ ЧИТАЛИ. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.
Основы основ
«Обработка персональных данных базируется на принципах законности и справедливости» — гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:
1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.
2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.
3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.
4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.
5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.
Этапы работы с персональными данными
3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.
4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.
БОНУС
Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.
На этом все, коллеги. Да прибудет с вами милость Эру!
ОБРАБОТКА ДАННЫХ
Смотреть что такое «ОБРАБОТКА ДАННЫХ» в других словарях:
обработка данных — Систематическое осуществление операций над данными. [ИСО/МЭК 2382 1] [ГОСТ Р 52292 2004] обработка данных Технологическая операция, в результате которой изменяет свое значение хотя бы один из показателей, характеризующих состояние данных (объем… … Справочник технического переводчика
Обработка данных — процесс выполнения последовательности операций над данными. Обработка данных может осуществляться в интерактивном и фоновом режимах. По английски: Data processing Синонимы английские: Performing data См. также: Обработка данных Данные Финансовый… … Финансовый словарь
Обработка данных — [data processing, information processing] процесс приведения данных к виду, удобному для использования. Независимо от вида информации, которая должна быть получена, и типа оборудования любая система О.д. выполняет три основные группы операций:… … Экономико-математический словарь
ОБРАБОТКА ДАННЫХ — (data processing, DP) Класс компьютерных операций, состоящих в манипулировании большими объемами информации. В бизнесе к таким операциям относят бухгалтерский учет, калькуляции платежных ведомостей и общую регистрацию поступающей информации.… … Словарь бизнес-терминов
обработка данных — 7.1.1 обработка данных: Систематическое осуществление операций над данными. (ИСО/МЭК 2382 1) [1] Источник: ГОСТ Р 52292 2004: Информационная технология. Электронный обмен информацией. Термины и определения … Словарь-справочник терминов нормативно-технической документации
обработка данных — duomenų apdorojimas statusas T sritis automatika atitikmenys: angl. data handling; data processing vok. Datenbehandlung, f; Datenverarbeitung, f rus. обработка данных, f pranc. traitement de données, m; traitement de information, m; traitement… … Automatikos terminų žodynas
обработка данных — duomenų apdorojimas statusas T sritis fizika atitikmenys: angl. data processing; handling of data vok. Datenverarbeitung, f rus. обработка данных, f pranc. traitement de données, m … Fizikos terminų žodynas
Обработка данных — Возможно, эта статья содержит оригинальное исследование. Добавьте ссылки на источники, в противном случае она может быть выставлена на удаление. Дополнительные сведения могут быть на странице обсуждения. (25 мая 2011) На настоящий момент,… … Википедия
ОБРАБОТКА ДАННЫХ — один из этапов социологич. исследования. Включает ряд компонентов, каждый из к рых требует решения организационных, технич., методич., а подчас и теоретич. проблем. Необходимо подчеркнуть взаимосвязь этапа О.д. с др. этапами исследования. Многие… … Российская социологическая энциклопедия
ОБРАБОТКА ДАННЫХ — комплекс процедур, направленных на преобразование и обобщение данных социологического исследования. В отечественной социологии термин трактуется очень широко. Обычно к О.Д. относят процедуры проверки и кодирования заполненного инструментария, в… … Социология: Энциклопедия
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Персональные данные: что такое их обработка и как она происходит? Кто является субъектом и какие у нее цели?
Персональные данные – это любые сведения, которые относятся к определенному физическому лицу. Стремительное развитие информационных технологий привело к тому, что персональные данные нуждаются в серьезной защите от утечки и мошеннических посягательств.
В данной статье мы рассмотрим что это такое, их обработку и как она происходит? Кто является субъектом и какие у нее цели?
Что включает в себя обрабатывание ПД и зачем нужно?
Обработка персональных данных (ПД) означает любые манипуляции, которые производятся с личной информацией указанного лица. К действиям с ПД относятся:
Отношения в сфере передачи, обработки и хранения персональных данных регламентированы законодательно и подробно описаны в Федеральном законе от 27.07.06 № 152-ФЗ «О персональных данных». В акты регулярно вносятся дополнения, последнее из которых отразилось в Федеральном законе от 07.02.17 № 13-ФЗ, ужесточающем штрафные санкции за нарушения при обработке информации оператором. Подробнее о том, как обработка ПД регламентируется правовым полем, мы рассказывали тут.
Конкретные сведения, подпадающие под определение ПД, различаются в зависимости от субъекта обработки информации.
Больше информации о том, что значит обработка ПД, найдете в нашей специальной статье, а для чего нужна эта процедура мы рассказывали тут.
Физическое лицо
К общим данным относят следующие:
Дополнительными ПД являются:
Биометрические сведения тоже подлежат обработке и охране:
Сотрудник организации
Работодатель может запросить от наемного работника следующие данные:
При посещении поликлиники
Медицинское учреждение также имеет дело с различной информацией, касающейся пациентов. Помимо паспортных реквизитов к ПД при посещении поликлиники относят:
Ведущей целью взаимодействия с ПД является обеспечение прав и свобод гражданина, утвержденных Конституцией и законодательными актами РФ. Работа с ПД должна выполнять следующие задачи:
Цели могут отличаться в зависимости от объекта, который осуществляет манипуляции с ПД. Так, на предприятии процесс может затрагивать такие вопросы:
В каких целях и для чего проводится обработка ПД мы более подробно рассказываем тут.
Способы
В зависимости от вовлеченности вычислительной техники в процесс выделяют обработку:
Подробнее об автоматизированной обработке ПД мы рассказываем здесь, а тут вы узнаете о процессе без использования средств автоматизации.
Принципы
Целевой характер практического применения информации. Процесс должен осуществляться с учетом строгого контроля за объемом и размером обработки. Запрещается объединять несколько баз данных разной целенаправленности.
Точность передаваемых сведений, их достоверность, полнота и актуальность. При необходимости их дополнение и уточнение либо удаление неверной информации. Ограниченный срок хранения данных в соответствии с законодательством или двусторонним договором. По истечении указанного срока сведения подлежат уничтожению.
Условия работы
В Федеральном законе №152 “О персональных данных” указаны основные условия их обработки:
Каждая организация или учреждение разрабатывает собственный внутренний документ, в котором указываются основные положения и методы обработки ПД, а также круг лиц, которые несут ответственность за исполнение пунктов указанного документа. О том, как организации разрабатывают свою Политику обработки ПД, читайте в специальной статье, а о назначении сотрудника, ответственного за организацию процесса, мы рассказывали тут.
Согласно Федеральному закону №152 гражданин имеет право отказаться от обрабатывания ПД или запретить передавать информацию третьим лицам. В экстренных случаях согласия не требуется – в ситуациях, когда существует угроза для жизни и здоровья, а лицо находится в бессознательном или невменяемом состоянии.
В соблюдении условий и принципов обрабатывания ПД заинтересованы обе стороны взаимоотношений – субъект получает гарантии конфиденциальности личной информации, а оператор защищает себя от законных санкций и штрафов.
Кратко и доступно: что такое персональные данные, их хранение и обработка
Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:
| Не ПДн | ПДн |
| ivan999@mail.ru | ФИО: Иванов Иван Иванович, email: ivan999@mail.ru |
| 30% опрошенных женаты | Иванов Иван Иванович женат |
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.