Памятка по работе с персональными данными

Что такое персональные данные

Юридическое определение дано в ФЗ-152 «О персональных данных»: это любая информация, относящаяся к конкретному физическому лицу. Важно понимать, что это понятие гораздо шире, чем просто паспортные данные или номер телефона.

Персональные данные делятся на несколько широких категорий. Рассмотрим, что входит в каждую из них.

• Общедоступные: ФИО, возраст, информация об образовании, место жительства, контакты (номер телефона, Email).
• Биометрические: фотографии, видеоизображения, отпечатки пальцев, генетическая информация.
• Специальные: расовая и национальная идентификация, медицинские сведения, религиозные и политические убеждения.

Если личные данные не попадают в одну из вышеперечисленных категорий, их относят к иным. Например, в эту группу попадает некоторая информация, связанная с профессиональной деятельностью (стаж, размер заработной платы).

Основные принципы работы с персональными данными

Любая компания или организация имеет доступ к личным данным сотрудников или клиентов – без этого просто невозможно вести документацию, заключать сделки, продавать товары или услуги. Есть несколько общих принципов, на которых строится вся работа с персональными данными.

Законность и целевое ограничение. Мы собираем данные не «про запас», а строго для конкретных, заранее определенных законных целей. Нельзя использовать номер телефона клиента, полученный для отправки статуса заказа, для рассылки рекламных материалов без его отдельного согласия.

Конфиденциальность. Доступ имеют только те сотрудники, которым это необходимо для выполнения своих прямых трудовых функций. Распространение личной информации других людей без их прямого согласия или пересылка баз данных по незащищенным каналам связи недопустимы.

Безопасность. Компания или организация обязаны обеспечить защиту от несанкционированного доступа, уничтожения или изменения. Это достигается не только с помощью технических средств (шифрование, антивирусы), но и за счет строгого соблюдения регламентов каждым сотрудником.

Практические правила для сотрудников

Информация о клиентах компании или посетителях государственного учреждения, а также личные данные сотрудников – все это требует большой осторожности и соблюдения законодательных и корпоративных норм.

Существуют строгие правила обработки персональных данных на всех этапах – от получения информации до ее уничтожения.

Получение

Самое главное правило: осуществлять обработку данных о человеке можно только с его согласия.

Что это значит на практике? Перед тем, как начать работу, получите согласие на обработку персональных данных. Учтите, что согласие получается под определенную цель: если вы получили согласие человека только на то, чтобы отправить ему по электронной почте статус заказа, вы не можете прислать ему еще и рекламную рассылку.

Мы не замечаем, как часто даем право использовать информацию о нас. Подавая заявление на поступление в университет, мы подписываем согласие кандидата на обработку персональных данных, а делая заказ в онлайн-магазине, подписываемся на рассылку рекламных писем.

Дело в том, что получить согласие на обработку персональных данных можно разными способами. Главное, составить локальный документ, который отражает условия и цель работы с информацией. А дальше человек, ознакомившись с документом, может подписать физическое согласие или просто поставить галочку в чек-боксе на сайте.

Хранение

Базы данных, файлы с клиентскими списками или личными делами сотрудников должны храниться только на защищенных корпоративных ресурсах (выделенные сетевые диски, защищенные папки). Запрещается хранить такие файлы на личных флеш-накопителях, личной почте или на рабочем столе компьютера без пароля.

Помните, что с 1 июля 2025 года вступил в силу запрет на хранение данных россиян за рубежом. Это значит, что все базы данных из иностранных сервисов нужно перевести на отечественные аналоги. Многие компании, особенно небольшие, активно используют Google таблицы для хранения информации о клиентах – это серьезное нарушение, которое может повлечь за собой штраф. Также под запрет фактически попадают зарубежные CRM-системы.

Передача

Пересылая документы, всегда используйте корпоративную почту. Перед отправкой файла удостоверьтесь, что адресат верен. Если данные передаются контрагенту, убедитесь, что у вас есть согласие на передачу персональных данных.

Есть ситуация, в которой согласие лица на передачу информации не требуется, – это работа с обезличенными данными. В этом случае сведения нельзя связать с конкретным лицом, поэтому передавать их можно без дополнительного согласования.

Уничтожение

Распечатанные резюме, служебные записки с личными данными, устаревшие пропуска нельзя просто выбросить в мусорную корзину. Их необходимо уничтожать с помощью шредера (устройства для уничтожения бумаг).

Общее правило такое: уничтожить персональные данные нужно так, чтобы злоумышленники не могли их восстановить или использовать. В зависимости от места хранения потребуется уничтожение материального носителя или безвозвратное стирание цифровых записей.

Хотите научиться работать с персональными данными, соблюдая все законодательные требования? Пройдите обучение в Академии непрерывного образования. Онлайн-курс Система работы с персональными данными в организации позволит всего за неделю получить необходимые знания и официальное удостоверение.

Ответственность за нарушения

Большая часть нарушений, связанных с обработкой персональных данных, ведет к административной ответственности, однако в некоторых ситуациях применяются положения УК РФ (обычно речь идет о намеренном разглашении информации или взломе охраняемых баз данных).

Согласно Кодексу об административных правонарушениях РФ (ст. 13.11 КоАП РФ), штрафы для юрлиц достигают 6 миллионов рублей. Помимо серьезной финансовой ответственности, компания понесет репутационный ущерб: потеря доверия порой имеет более разрушительные последствия для бизнеса.

Частые ошибки при работе с персональными данными

Анализ типичных нарушений позволяет выделить несколько повторяющихся ошибок при работе с персональными данными:

1. Отсутствие закрепленного перечня сотрудников, имеющих доступ к такой информации.
2. Создание общей сетевой папки с полным доступом для всех сотрудников.
3. Запрос информации, которая явно избыточна для заявленной цели.
4. Отсутствие отдельного согласия на использование информации в рекламных целях, например, на Email-рассылку.
5. Ошибки в уведомлении Роскомнадзора о работе компании с персональными данными или полное отсутствие такого уведомления.
6. Хранение баз данных в зарубежных сервисах сбора и анализа информации.

Соблюдение этих правил не просто формальность. Это проявление профессиональной культуры и реальный вклад в безопасность компании, сохранение ее репутации. Пристальное внимание государства к работе с персональными данными граждан РФ делает эту сферу объектом проверок и крупных штрафов.

Пройдите обучение – и будьте уверены в своей работе.