E-mail — это персональные данные или нет? А ваш рост и вес?
28.01.2023
Сегодня — Международный день защиты персональных данных. По этому случаю потрясли нашего безопасника и попросили ответить на частые вопросы о личных данных. Емейл puma1718@gmail.com — это персональные данные или нет? Может ли компания списывать деньги с карты после того, как вы удалили ее из личного кабинета? И что бывший работодатель обязан делать с вашими персданными после увольнения? Во всем разобрались.
Ответ ищем в законе «О защите персональных данных». Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Что это значит? Например, паспортные данные — однозначно персданные, физическое лицо по ним можно идентифицировать. Также мы можем идентифицировать человека по росту, весу, номеру телефона, привычкам, адресу, марке и номеру машины, на которой он ездит, и даже телефону, которым он пользуется. Все это может относиться к конкретному человеку и по всему этому мы можем его распознать.
Что касается емейла puma1718@gmail.com — обычному человеку такой адрес ничего не даст. Да и юрлицу такой адрес без какой-либо другой информации ничего не даст. А вот если у компании есть этот емейл, а к нему еще номер телефона и имя человека — это уже однозначно персональные данные.
Возьмем другой емейл. Например, vasilbykau1924@gmail.com. Казалось бы, в названии содержится много информации, но такой емейл тоже не будет являться персданными, если не привязан к прочим данным физлица. То есть если такой адрес будет напечатан на визитке, которая лежит на столе, — это не будет личными данными.
Однозначно да. Cookie — набор данных для поведенческого анализа пользователя сайта. Значит, это обрабатываемый пласт сведений, которые относятся к конкретному физическому лицу. И оно по ним может быть идентифицировано. А здесь смотрите ответ 1.
Все зависит от компании и варианта реализации защиты персональных данных в ней. Самый простой сценарий — введенные данные попадают в CRM-систему с дополнительной информацией о вашем заказе — датой, временем, товаром, сроками доставки и т. д. Обычно все это хранится в базе данных этой самой CRM, сайта или другой системы.
Чаще всего доступ к таким данным есть у менеджеров, которые обрабатывают заказ. И у того, кто сопровождает и обслуживает систему, — это IT-специалисты.
В идеале такая информация должна храниться в зашифрованном виде и аттестованном контуре. Более того, это предусмотрено законом.
Может ли списывать? Может. Законно ли это? Нет.
Опять же, это вопрос автоматизации систем в компании. То, что вы нажали кнопку в личном кабинете с запросом на удаление конкретных данных, не равно тому, что это удаление в итоге произошло. В идеальном мире такие нюансы должны быть прописаны в оферте или договоре.
И, конечно, после вашего запроса информация должна быть удалена. Но так происходит не всегда. Намеренно это делается или в результате какого-то сбоя — мы сказать не можем.
Есть критерии, по которым фото или видео относится к персональным данным. Например, панорамный снимок улицы с прохожими, на который вы случайно попали, не относится к персональным данным и его можно использовать без вашего согласия. Если же это фото с ремаркой «На фото — частый гость ресторана N по адресу X» — это уже персональные данные и нужно брать согласие на использование и/или публикацию фотографии.
Еще пример. Возьмем фотографию из школьного альбома. На снимке 20 человек без подписей. Это не является персональными данными. Но это же фото, но уже с подписью имени и фамилии под каждым учеником, — уже персданные. Или даже так. На фото — 20 школьников. Все без подписи, а девушка в центре — «Учащаяся такая-то такого-то класса». Это уже будет персональными данными, но только в отношении этой ученицы.
Сразу ответим и на вопрос, законно ли видеонаблюдение в заведениях. Недавно в закон добавили упоминание и об этом. Если видеонаблюдение необходимо в силу прямого требования законодательных актов, обработка таких персональных данных может проводиться без согласия субъекта персданных. А вот если видеонаблюдение напрямую не предусмотрено законодательными актами, то только с его согласия.
При устройстве на работу наниматель действительно запрашивает большой пласт ваших личных данных. Набор таких данных и порядок их обработки прописан в Трудовом кодексе и рекомендациях Национального центра по защите персональных данных.
Личные дела сотрудников должны безопасно храниться 55 лет. Это связано с тем, что в любой момент к личному делу конкретного сотрудника может потребоваться доступ. Например, для налоговой. Или по завершении трудового возраста будет необходима информация о суммах начислений заработной платы, чтобы рассчитать размер вашей пенсии.
Удаляются личные дела довольно просто. По истечении 55 лет, если они были в бумажном виде, их отдают на растерзание шредеру или вывозят на специальные фабрики, а там сжигают. Если всё хранилось в электронном виде, данные удаляются из базы или обезличиваются. Например, делается маскированная запись типа ******* или случайного набора символов.
Прежде всего это ретейл, потом — разные онлайн-сервисы. А уже потом финансовые и страховые компании, а также госсектор.
Информацию об утечках компании должны передавать в Центр персональных данных, после чего тот приходит с проверкой. Также пользователи могут оставлять жалобы, если заподозрили, что их данные хранятся или используются как-то не так. На основе таких жалоб Центр готовит список плановых проверок на год. К слову, в перечне организаций, к которым в 2023 году Национальный центр защиты персданных придет с проверкой, как раз компании из сферы ретейла и финансов.
