Что такое персональные данные

Поговорим о том, что такое персональные данные и что к ним относится.

Персональные данные (ПДн) — это информация, которая касается конкретного человека и позволяет его идентифицировать.

Что считается персональными данными, определено в N 152-ФЗ РФ.

Выдержка из закона о персональных данных

Бизнес собирает персональные данные, чтобы делать клиентам более выгодные предложения.

Например, если мы знаем историю покупок или средний чек, то предложим покупателю скидки и интересную подборку товаров.

Другой пример — через приложение в смартфоне компания знает как минимум ФИО клиента, номер его телефона и адрес электронной почты. А ещё — адреса доставки, транзакции по карте, дату рождения, состав семьи, и кучу всего.

Третий пример — компания проводит опросы, используя наши квизы. Спрашивает разное — от вкусов в еде и одежде до периодичности посещений стоматолога.

А что из перечисленного является ПД?

Что относится к персональным данным, а что нет

Тут определим, что является персональными данными.

Персональные данные, что к ним относится

В законе N 152-ФЗ нет точного определения, что относится к персональным данным человека, есть только указание на возможность идентификации человека по этим данным.

То, что точно позволяет идентифицировать клиента, — это:

— паспортные данные,

— реквизиты банковского счета,

— ИНН,

— СНИЛС и др.

Некоторые данные о человеке, к примеру номер телефона или его имя, по отдельности не позволяют его идентифицировать, однако если у компании есть доступ к ним в совокупности, это сделать просто. По имени «Иван Петров» нельзя определить личность, но если мы знаем его место работы, например, ООО «Альянс Плюс», мы уже сможем найти его среди сотрудников этой компании.

Далее расскажем, что чаще всего входит в персональные данные физического лица.

Что входит в персональные данные

➕ Имя, фамилия, отчество

➕ Контактная информация: адрес, номера телефонов, email, почтовые адреса.

➕ Идентификационные номера: номера паспорта, ИНН, СНИЛС и другие идентификационные коды.

➕ Информация о местоположении человека: GPS-координаты.

➕ Финансовая информация: банковские реквизиты, номера карт, информация о доходах, расходах, кредитах.

➕ Медицинская информация: данные о здоровье и медицинская история.

➕ Информация о работе и образовании: место работы, должность, образование.

➕ Фото человека.

Персональные данные в заявке

Вот так выглядит персональная информация, собранная с помощью квиза по подбору загородного дома в аренду. Клиент потратил на прохождение квиза всего одну минуту, и оставил много полезных сведений.

Что не является персональными данными

➖ Анонимные данные: информация не может быть связана с конкретным человеком. Например, мы проводим анонимный опрос о качестве обслуживания среди наших клиентов

➖ Агрегированные данные: данные обобщены и не могут быть использованы для идентификации отдельного человека. Пример — компания использует данные CRM, чтобы составить усреднённый портрет целевой аудитории

➖ Общие контактные данные: общие адреса электронной почты или телефонные номера компаний, как правило, не считаются персональными данными, если они не связаны с конкретными людьми

☝ А как же данные из социальных сетей? Пользователи указывают много личной информации, но она не является общедоступной, даже если доступ открыт для всех. Собирать досье на человека из соцсетей не разрешается

Зачем бизнесу собирать персональные данные

Бизнес собирает персональные данные по разным причинам, и это может быть полезным как для самих компаний, так и для их клиентов.

Вот некоторые основные цели сбора персональных данных бизнесом:

1. Персонализация — для создания персонализированных предложений, услуг и рекомендаций на основе предпочтений и интересов клиентов.

Ответы клиента не являются персональными данными

С помощью квиза клиенты легко делятся планами о покупке квартиры

2. Маркетинг и реклама — для настройки таргетированной рекламы и маркетинговых кампаний на определенную аудиторию на основе данных о пользователях и их интересов.

Соглашение на использование куки появляется в виде всплывающего окна на главной странице Марквиз

3. Управление отношениями с клиентами — для улучшения взаимодействия с клиентами, лучшего обслуживания и поддержки.

Узнать у покупателей, что они про вас думают — это полезно для бизнеса и приятно для клиента. Чтобы собрать все ответы в одном месте и привлечь больше респондентов, воспользуйтесь готовым шаблоном квиза

4. Анализ данных и исследования — для понимания потребительских тенденций и разработки новых стратегий.

Как узнать обратную связь о мероприятии, если участников было более тысячи? Чтобы улучшать продукт в соответствии с запросами клиентов, можно провести онлайн-опрос с помощью готового шаблона квиза для сбор мнений

5. Безопасность и защита — для обеспечения безопасности и аутентификации пользователей.

При повторном входе в конструктор Марквиз система подставит почту и пароль автоматически

6. Исследования и разработка продуктов — для анализа данных о предпочтениях и потребностях клиентов.

Для стартапа важно выяснить, нужен ли людям новый продукт и что они от него ждут. Здесь подойдёт шаблон квиза для исследования рынка

7. Предоставление услуг — для доставки товаров или медицинского обслуживания.

Какой косметический уход рекомендовать клиенткам? Чтобы узнать, какие проблемы они хотят решить, можно предложить квиз и персональную подборку косметики. Готовый шаблон есть в Галерее

8. Образование и обучение — для анализа успеваемости учеников или студентов.

Квиз собирает данные клиентов для онлайн-школы

Обучение иностранному языку начинается с определения уровня знаний студента. С помощью квиза можно сделать это в игровой форме, если воспользоваться готовым шаблоном

9. Контроль сотрудников — компании могут собирать данные для контроля рабочей активности и оценки производительности сотрудников.

Важно информировать клиентов о целях сбора данных и получить от них согласие на обработку персональных данных.

Что такое согласие на обработку персональных данных?

Согласие на обработку персональных данных — это однозначное разрешение от конкретного человека на то, чтобы компания могла обрабатывать его персональные данные.

Согласие на обработку персональных данных должно соответствовать следующим критериям:

✅ Должно быть четко указано, для каких целей данные будут использоваться. Это может быть предоставление определенных услуг, рассылка или реклама.

✅ Человек должен явно выразить согласие на обработку своих персональных данных.

✅ Должно быть указано, какие конкретные данные будут собираться: имя, адрес, номер телефона, адрес электронной почты и т. д.

✅ Указаны сроки обработки персональных данных.

✅ Прописаны права пользователя на доступ к данным, право на исправление неточностей, право на удаление данных и др.

✅ Если данные будут передаваться третьим лицам, это также должно быть указано в согласии.

✅ Нужно получить отдельное согласие на маркетинговые коммуникации.

Если данные будут использоваться для маркетинговых целей, пользователь должен дать отдельное согласие на это. То же самое относится к согласию на использование «cookies».

✅ Указана возможность отменить согласие.

✅ Указаны контактные данные оператора.

Должны быть предоставлены контактные данные ответственного лица, чтобы пользователь мог обратиться с вопросами или запросами.

✅ Оформлено информированное согласие.

Согласие должно быть предложено после того, как человек получил всю необходимую информацию и полностью понимает, как его данные будут использоваться.

Все эти пункты собирают в два отдельных документа — Политику конфиденциальности и Согласие на обработку персональных данных.

☝ Правила по получению согласия на обработку ПД прописаны в Общем регламенте о защите данных (GDPR) в Европейском Союзе и Федеральном законе РФ «О персональных данных» от 27.07.2006 N 152-ФЗ.

Субъекты и операторы

Разберём термины, которые используются в законодательстве по защите персональных данных.

Субъекты персональных данных — это пользователи, у которых запрашивают какие-то данные.

Операторы персональных данных — это компании, которые собирают и обрабатывают полученные данные.

Например, девушка Маша — субъект ПД — решает сделать покупку в нашем интернет-магазине. Для этого ей необходимо зарегистрироваться на сайте магазина и оформить заказ.

Наш интернет-магазин — оператор ПД — собирает информацию о Маше:

👩 имя

🚚 адрес доставки

☎️ номер телефона

🧾 данные о платеже

Маша читает и принимает политику конфиденциальности, проверяет на сайте соглашение об обработке персональных данных.

Интернет-магазин обрабатывает данные Маши для оформления заказа и доставки товаров.

Маша получает подтверждение о заказе и информацию о доставке на свою почту. Она также может задавать вопросы о заказе или попросить удалить данные после завершения сделки.

Как оператору работать с персональными данными

Как правильно работать с персональными данными, указано в 5 статье ФЗ 152.

Обозначим основные этапы:

1. Сбор персональных данных.

Например, когда пользователь регистрируется в социальной сети и указывает своё имя и адрес электронной почты, это сбор персональных данных.

2. Обработка персональных данных.

На этом этапе данные анализируются или преобразуются. Так, если приложение рекомендует музыку на основе того, что клиент слушал раньше, это обработка данных.

3. Хранение персональных данных.

После сбора и обработки данные должны где-то храниться. Можно хранить на серверах или в базах данных.

4. Защита персональных данных.

Компании обязаны заботиться о безопасности данных и предотвращать утечки или взломы. Это включает прогноз угроз безопасности и шифрование.

5. Знакомство с документами и правилами.

Компания обязана предоставлять документы, которые определяют, как они работают с данными. Это политика конфиденциальности и процедуры для соблюдения законов о защите данных.

6. Ответственность.

Операторы персональных данных несут ответственность за правильную и законную обработку информации.

☝ Что требует Европейское законодательство в сфере защиты персональных данных, рассказываем в статье Что такое GDPR

Собрали в таблицу самые распространенные случаи, когда возникает вопрос о правильности сбора ПД:

Пример Относится ли к ПД Почему Нужно ли согласие на обработку данных
Клиент заказал обратный звонок, указал номер телефона и имя Нет Номер телефона и имя сами по себе не помогут идентифицировать человека. В этом случае клиент запросил звонок и предоставил эти данные только для этой цели Нет
Компания собирает куки Да Постоянные идентификаторы, которые сайты используют куки, можно использовать для определения личности человека Да
Компания собирает данные о клиентах, чтобы делать рассылку с рекламными предложениями Да В этом случае email привязан к определённому клиенту Да
Компания узнаёт ФИО и номер телефона клиента, чтобы подключить его к программе лояльности Да Клиента регистрируют в программе, чтобы дальше собирать данные о его активности, в сумме полученные данные позволяют идентифицировать человек Да (например, клиент подтверждает свою личность через смс)
Компания проводит анонимный опрос о качестве своего продукта и публикует результаты на своем сайте и пресс-релизах Нет Данные обезличены Нет
Компания оформляет договор с клиентом Да Данные точно идентифицируют клиента Нет
Компания открывает клиенту доступ к сервису Да У компании есть ФИО и номер банковской карты, по которым можно определить человека Да
Компания передаёт службе доставки адрес, имя и телефон клиента Да Достаточно точно определяют личность клиента Нет
Компания делает рассылку по подписке Да Нужны ФИО, адрес электронной почты, номер банковской карты — данные позволяют определить личность клиента Да

Какие условия обязан соблюдать оператор при обработке персональных данных

Компания обязана подать заявление в Роскомнадзор до начала сбора ПД. Это можно сделать через госуслуги, подать заявление лично или через сайт ведомства. После подачи заявления, в течение 30 дней компанию включат в реестр операторов, осуществляющих обработку персональных данных.

☝ Также заявление нужно подавать, если сведения из прошлого заявления изменятся или если сбор ПД будет прекращён.

Перед подачей заявления нужно определить ответственного сотрудника, а затем указать его в заявлении.

Марквиз занесён в Реестр операторов

Марквиз является оператором персональных данных и включён в Реестр операторов.

Ещё нужно составить Политику конфиденциальности для пользователей и Положение об обработке и обеспечении безопасности персональных данных для внутреннего пользования.

Опубликованная поликтика конфиденциальности

Наша политика конфиденциальности доступна на главной странице сайта

Также понадобится форма согласия на обработку ПД.

Галочка для согласия на обработку ПД

В квизах мы указываем чекбокс с положением об обработке ПД и политикой конфиденциальности, чтобы собирать данные о клиентах законно.

Соблюдение этих условий и правил важно для защиты частной жизни людей.

Заключение

Квизы собирают именно те персональные данные, которые нужны компании для продвижения своих товаров или услуг. С помощью этого инструмента люди сами рассказывают о себе важную информацию.

Мы бережно храним полученную информацию. За последние 6 лет работы у нас не случилось ни одной утечки.

Регистрируйтесь в конструкторе Марквиз и попробуйте собрать квиз для вашего бизнеса.

Курс-знакомство с квизами

Узнайте, как создать свой первый квиз, зачем вам использовать квизы и как создавался Марквиз
до знакомства
Получаете низкую конверсию и используете сложные инструменты в маркетинге
Не знаете, как забота влияет на бизнес-показатели
после знакомства
Нашли способ применить квиз в своём деле
Знаете, как делать квизы с высокой конверсией и освоили новый инструмент

Блог

Кейсы, дайджесты и отборные рекомендации

Упс! Что-то пошло не так при отправке формы.