Персональные данные: что к ним относится и как с ними работать

Персональные данные (ПДн) — это информация, которая касается конкретного человека и позволяет его идентифицировать.

Что считается персональными данными, определено в N 152-ФЗ РФ:

Бизнес собирает персональные данные, чтобы делать клиентам более выгодные предложения.

Когда у компании на руках личные данные клиентов, как узнать, как это регулируется законом?

Давайте разбираться.

Что относится к персональным данным, а что нет

Например, если в базе интернет-магазина хранится история покупок и средний чек. Или через приложение в смартфоне компания знает как минимум ФИО клиента, номер его телефона и адрес электронной почты. А ещё — адреса доставки, транзакции по карте, дату рождения, состав семьи, и кучу всего.

Или вот ещё пример — компания проводит опросы через квизы. Спрашивает разное — от вкусов в еде и одежде до периодичности посещений стоматолога.

‍И вот тут кажется, что всё это и есть персональные данные, но это не совсем так.

Персональные данные, что к ним относится

В законе N 152-ФЗ нет точного определения, что относится к персональным данным человека, есть только указание на возможность идентификации человека по этим данным.

То, что точно позволяет идентифицировать клиента, — это:

— паспортные данные,

— реквизиты банковского счета,

— ИНН,

— СНИЛС и др.

Некоторые данные о человеке, к примеру номер телефона или его имя, по отдельности не позволяют его идентифицировать, однако если у компании есть доступ к ним в совокупности, это сделать просто. По имени «Иван Петров» нельзя определить личность, но если мы знаем его место работы, например, ООО «Альянс Плюс», мы уже сможем найти его среди сотрудников этой компании.

Что входит в персональные данные

➕ Имя, фамилия, отчество

➕ Контактная информация: адрес, номера телефонов, email, почтовые адреса.

➕ Идентификационные номера: номера паспорта, ИНН, СНИЛС и другие идентификационные коды.

➕ Информация о местоположении человека: GPS-координаты.

➕ Финансовая информация: банковские реквизиты, номера карт, информация о доходах, расходах, кредитах.

➕ Медицинская информация: данные о здоровье и медицинская история.

➕ Информация о работе и образовании: место работы, должность, образование.

➕ Фото человека.

Также бывают категории персональных данных:

1. Общие — смотрим перечень в разделе выше.

2. Специальные — расовая принадлежность, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь.

По общему правилу их нельзя обрабатывать, если только:

• есть письменное согласие пользователя;
• это требуется по закону (например, в медицине);
• это нужно для охраны жизни или здоровья (если человек не может дать согласие);
• данные уже были опубликованы самим человеком.

3. Биометрические — отпечатки пальцев, распознавание лиц, сетчатка глаза, ДНК, голос и т. п. Такие данные требуют отдельного и явно выраженного согласия на обработку. Их защита особенно жёстко регулируется.

4. Общедоступные персональные данные — человек сам сделал общедоступными, например:

• написал своё имя и номер телефона в открытом профиле соцсети;
• разместил резюме;
• указал e-mail в объявлении на Авито.

Даже если данные стали общедоступными, обработка по-прежнему регулируется законом. Например, нельзя использовать такие данные для спама или передачи третьим лицам без согласия.

Что не является персональными данными

➖ Анонимные данные: информация не может быть связана с конкретным человеком. Например, мы проводим анонимный опрос о качестве обслуживания среди наших клиентов

➖ Агрегированные данные: данные обобщены и не могут быть использованы для идентификации отдельного человека. Пример — компания использует данные CRM, чтобы составить усреднённый портрет целевой аудитории

➖ Общие контактные данные: общие адреса электронной почты или телефонные номера компаний, как правило, не считаются персональными данными, если они не связаны с конкретными людьми

☝ А как же данные из социальных сетей? Пользователи указывают много личной информации, но она не является общедоступной, даже если доступ открыт для всех. Собирать досье на человека из соцсетей не разрешается

Как собирать персональные данные через квиз по закону

Если компания собирает данные в квизе или другой форме анкеты или опроса, и по ним можно определить личность пользователя — значит, компания обрабатывает персональные данные и обязана соблюдать требования закона (получать согласие, обеспечить защиту и т. д.).

В квизе есть:

— вопросы, которые могут касаться разных сфер жизни. Без контактных данных эти ответы не будут являться персональными данными. Если форма контактов отключена, то все данные становятся анонимными и не подпадают под действие ФЗ. 

— форма контактов, которую можно настроить с разной степенью детализации, например спрашивать только имя и почту, или узнать адрес, телефон, мессенджер.

Пример расширенной формы контактов в конце опроса

‍

Так выглядит персональная информация в заявки с квиза по подбору загородного дома в аренду. Клиент потратил на прохождение квиза всего одну минуту, и оставил много полезных сведений о себе

Чтобы сбор персональных данных через квиз был законным, человек должен дать своё согласие на обработку персональных данных. 

В квизе в форме контактов стоит чекбокс, и прежде, чем отправить данные, человек должен поставить галочку

Компания, которая использует квиз, может использовать стандартную политику конфиденциальности и публичную оферту по ссылке или использовать свою, которую разработали юристы компании.

Важный момент — хотя это условность и читать политику и оферту мало, кто будет, по закону нужно действие, подтверждающее согласие. Поэтому в Марквизе мы против предустановленной галочки и предупреждаем об этом клиентов. 

Соблюдение этих условий и правил важно для защиты частной жизни людей.

Зачем бизнесу собирать персональные данные

Бизнес собирает персональные данные по разным причинам, и это может быть полезным как для самих компаний, так и для их клиентов.

Вот некоторые основные цели сбора персональных данных бизнесом:

1. Персонализация — для создания персонализированных предложений, услуг и рекомендаций на основе предпочтений и интересов клиентов.

С помощью квиза клиенты легко делятся планами о покупке квартиры

2. Маркетинг и реклама — для настройки таргетированной рекламы и маркетинговых кампаний на определенную аудиторию на основе данных о пользователях и их интересов.

Соглашение на использование куки появляется в виде всплывающего окна на главной странице Марквиз

3. Управление отношениями с клиентами — для улучшения взаимодействия с клиентами, лучшего обслуживания и поддержки.

Узнать у покупателей, что они про вас думают — это полезно для бизнеса и приятно для клиента. Чтобы собрать все ответы в одном месте и привлечь больше респондентов, воспользуйтесь готовым шаблоном квиза

4. Анализ данных и исследования — для понимания потребительских тенденций и разработки новых стратегий.

Как узнать обратную связь о мероприятии, если участников было более тысячи? Чтобы улучшать продукт в соответствии с запросами клиентов, можно провести онлайн-опрос с помощью готового шаблона квиза для сбор мнений

5. Безопасность и защита — для обеспечения безопасности и аутентификации пользователей.

При повторном входе в конструктор Марквиз система подставит почту и пароль автоматически

6. Исследования и разработка продуктов — для анализа данных о предпочтениях и потребностях клиентов.

Для стартапа важно выяснить, нужен ли людям новый продукт и что они от него ждут. Здесь подойдёт шаблон квиза для исследования рынка

7. Предоставление услуг — для доставки товаров или медицинского обслуживания.

Какой косметический уход рекомендовать клиенткам? Чтобы узнать, какие проблемы они хотят решить, можно предложить квиз и персональную подборку косметики. Готовый шаблон есть в Галерее

8. Образование и обучение — для анализа успеваемости учеников или студентов.

Обучение иностранному языку начинается с определения уровня знаний студента. С помощью квиза можно сделать это в игровой форме, если воспользоваться готовым шаблоном

9. Контроль сотрудников — компании могут собирать данные для контроля рабочей активности и оценки производительности сотрудников.

Важно информировать клиентов о целях сбора данных и получить от них согласие на обработку персональных данных.

Что такое согласие на обработку персональных данных?

Согласие на обработку персональных данных — это однозначное разрешение от конкретного человека на то, чтобы компания могла обрабатывать его персональные данные.

Согласие на обработку персональных данных должно соответствовать следующим критериям:

✅ Должно быть четко указано, для каких целей данные будут использоваться. Это может быть предоставление определенных услуг, рассылка или реклама.

✅ Человек должен явно выразить согласие на обработку своих персональных данных.

✅ Должно быть указано, какие конкретные данные будут собираться: имя, адрес, номер телефона, адрес электронной почты и т. д.

✅ Указаны сроки обработки персональных данных.

✅ Прописаны права пользователя на доступ к данным, право на исправление неточностей, право на удаление данных и др.

✅ Если данные будут передаваться третьим лицам, это также должно быть указано в согласии.

✅ Нужно получить отдельное согласие на маркетинговые коммуникации.

Если данные будут использоваться для маркетинговых целей, пользователь должен дать отдельное согласие на это. То же самое относится к согласию на использование «cookies».

✅ Указана возможность отменить согласие.

✅ Указаны контактные данные оператора.

Должны быть предоставлены контактные данные ответственного лица, чтобы пользователь мог обратиться с вопросами или запросами.

✅ Оформлено информированное согласие.

Согласие должно быть предложено после того, как человек получил всю необходимую информацию и полностью понимает, как его данные будут использоваться.

Все эти пункты собирают в два отдельных документа — Политику конфиденциальности и Согласие на обработку персональных данных.

☝ Правила по получению согласия на обработку ПД прописаны в Общем регламенте о защите данных (GDPR) в Европейском Союзе и Федеральном законе РФ «О персональных данных» от 27.07.2006 N 152-ФЗ.

Субъекты и операторы

Разберём термины, которые используются в законодательстве по защите персональных данных.

Субъекты персональных данных — это пользователи, у которых запрашивают какие-то данные.

Операторы персональных данных — это компании, которые собирают и обрабатывают полученные данные.

Например, девушка Маша — субъект ПД — решает сделать покупку в нашем интернет-магазине. Для этого ей необходимо зарегистрироваться на сайте магазина и оформить заказ.

Наш интернет-магазин — оператор ПД — собирает информацию о Маше:

👩 имя

🚚 адрес доставки

☎️ номер телефона

🧾 данные о платеже

Маша читает и принимает политику конфиденциальности, проверяет на сайте соглашение об обработке персональных данных.

Интернет-магазин обрабатывает данные Маши для оформления заказа и доставки товаров.

Маша получает подтверждение о заказе и информацию о доставке на свою почту. Она также может задавать вопросы о заказе или попросить удалить данные после завершения сделки.

Как оператору работать с персональными данными

Как правильно работать с персональными данными, указано в 5 статье ФЗ 152.

Обозначим основные этапы:

1. Сбор персональных данных.

Например, когда пользователь регистрируется в социальной сети и указывает своё имя и адрес электронной почты, это сбор персональных данных.

2. Обработка персональных данных.

На этом этапе данные анализируются или преобразуются. Так, если приложение рекомендует музыку на основе того, что клиент слушал раньше, это обработка данных.

3. Хранение персональных данных.

После сбора и обработки данные должны где-то храниться. Можно хранить на серверах или в базах данных.

4. Защита персональных данных.

Компании обязаны заботиться о безопасности данных и предотвращать утечки или взломы. Это включает прогноз угроз безопасности и шифрование.

5. Знакомство с документами и правилами.

Компания обязана предоставлять документы, которые определяют, как они работают с данными. Это политика конфиденциальности и процедуры для соблюдения законов о защите данных.

6. Ответственность.

Операторы персональных данных несут ответственность за правильную и законную обработку информации.

☝ Что требует Европейское законодательство в сфере защиты персональных данных, рассказываем в статье Что такое GDPR

Собрали в таблицу самые распространенные случаи, когда возникает вопрос о правильности сбора ПД:

‍

Какие условия обязан соблюдать оператор при обработке персональных данных

Компания обязана подать заявление в Роскомнадзор до начала сбора ПД. Это можно сделать через госуслуги, подать заявление лично или через сайт ведомства. После подачи заявления, в течение 30 дней компанию включат в реестр операторов, осуществляющих обработку персональных данных.

☝ Также заявление нужно подавать, если сведения из прошлого заявления изменятся или если сбор ПД будет прекращён.

Перед подачей заявления нужно определить ответственного сотрудника, а затем указать его в заявлении.

Марквиз является оператором персональных данных и включён в Реестр операторов.

Заключение

Квизы помогают бизнесу собирать только нужные данные — те, которые важны для продаж и персональных предложений. Если данные позволяют определить личность — значит, это персональные данные, и с ними нужно работать по закону.

Чтобы всё было корректно:

✅ получайте согласие пользователя перед отправкой формы;

✅ указывайте цели обработки и добавьте политику конфиденциальности;

✅ не ставьте галочку о согласии заранее — пользователь должен сам подтвердить согласие.

Marquiz уже восемь лет помогает компаниям собирать данные через квизы — без утечек и нарушений, соответствии с законом РФ. Протестируйте квиз для своего бизнеса — это просто, быстро и законно.

‍