Что такое персональные данные: что к ним относится и почему их важно защищать

В классе моей дочери двое родителей отказались подписать согласие на обработку персональных данных. Причины мне неизвестны, зато известно, что теперь в классе числятся Марьяна Ш. и Илья В. Вот прямо так и написано и в школьных журналах, и в списках на ОГЭ, который они сдавали прошлым летом. Все, конечно, знают фамилии этих детей, но в документах — так. Потому что имя вместе с фамилией — это уже они, персональные данные. Разберемся, что это вообще такое.

Что такое персональные данные

Персональные данные (ПД) — это любые сведения, которые прямо или косвенно относятся к конкретному человеку: его фамилия, имя и отчество, адрес проживания, номер телефона, дата рождения и даже IP-адрес устройства.

Эти данные важны, потому что они позволяют компаниям лучше понимать клиентов, предлагать им персонализированные услуги, продукты и контент. Государству тоже необходимы ПД для обеспечения безопасности, для выплаты пенсии и разного рода пособий, для ведения статистики. Налоговая служба использует такую информацию для контроля уплаты налогов, а Министерство здравоохранения — для учета медицинских услуг и планирования закупок лекарств и оборудования.

Простыми словами, персональные данные — это любая информация, которая позволяет установить личность человека.

Читайте также:

Что такое мессенджер-маркетинг и как его использовать для привлечения клиентов

Виды персональных данных

У каждого из них есть своя специфика использования. Рассмотрим самые важные.

Общие идентификационные данные

Это самый распространенный вид, включающий информацию, которую легко получить о человеке:

• Фамилия, имя, отчество: Лиходеев Степан Богданович.
• Дата рождения: 01.01.1980 год.
• Адрес: Москва, улица Большая Садовая, дом 302-бис, квартира 50.

Такая информация часто используется для регистрации на сайтах, оформления заявлений и других документов, для банковских операций и других повседневных действий.

Контактная информация

Этот вид включает разные способы связи с человеком.

• Телефон: +7 (999) 123-45-67.
• Электронная почта: stepa.lixodeev@yandex.ru.
• Социальная сеть: https://vk.com/v.chursina_copywriting/.

Контактная информация важна для того, чтобы люди могли поддерживать связи с другими людьми, компаниям и какими-то государственными структурами.

Финансовые данные

К этому виду ПС относятся сведения, связанные с финансовыми операциями и активами человека:

• Номер банковской карты: 1234 5678 9012 3456, Сбер.
• История покупок: Покупка беговых лыж в интернет-магазине «Чемпион», покупка свитера в магазине Ostin.
• ИНН, идентификационный номер налогоплательщика: 1234 5678 9009.
• СНИЛС, страховой номер индивидуального лицевого счета: 123-456-789 00.

Финансовые данные особенно уязвимы, так как их утечка может привести к серьезным денежным потерям.

Биометрические данные

Эта информация связана с физическими характеристиками человека, и всегда уникальна:

• Отпечаток пальца. Используется для разблокировки смартфона или входа в систему.
• Голосовая запись. Применяется для идентификации в некоторых сервисах.
• Сетчатка глаза. Используется банками, государственными организациями, системами контроля и управления доступом для подтверждения личности конкретного человека.

Информация о здоровье

Информация медицинского характера относится к одной из самых чувствительных и приватных категорий, не зря она охраняется врачебной тайной:

• Медицинская карта. Здесь есть диагнозы, результаты анализов, история болезней.
• Страховой полис. ОМС, то есть обязательного медицинского страхования, или ДМС, если страхование добровольное, например, корпоративное.

Технологическая информация

Этот вид информации связан с использованием цифровых устройств и сервисов, условно его можно назвать цифровым следом:

• IP-адрес. Это уникальный сетевой адрес устройства, с которого человек выходит в интернет.
• Cookie. Это файлы, которые хранят информацию о посещениях сайтов.

Технологические данные помогают отслеживать поведение пользователей в сети и предоставляют бизнесу возможность персонализации контента.

Комбинированная информация

Это личный кабинет человека на государственном портале «Госуслуги». Для доступа к нему требуется регистрация с указанием ФИО, даты рождения, СНИЛС. А в процессе работы с порталом нужны контактные данные (например, электронная почта или номер телефона) или финансовые данные при оплате налогов, государственных пошлин или штрафов.

Читайте также:

Что такое клиентский сервис и как им управлять

Зачем защищать персональные данные и что будет, если этого не делать

Как выяснили эксперты аналитического центра компании InfoWatch, в 2023 году только из российских финансовых организаций ушли «гулять» в сеть 170,3 миллиона ПД клиентов. Это в 3,2 раза больше, чем в 2022, и в 57 (!) раз больше, чем в 2021 году. Так что защищать ПД необходимо — чем меньше несанкционированной информации о человеке есть в открытом доступе, тем более безопасна его жизнь. По крайней мере, с точки зрения возможных мошенничеств. 

Разберемся, что будет, если не защищать ПД.

Кража личности

При краже ПД злоумышленники и прочие романтики с большой дороги могут использовать их для создания фальшивых учетных записей. А с такими записями и кредит на имя человека можно взять и покупать что-то в интернете от его имени и за его счет. А также рассылать спам и даже совершать преступления.

Финансовые потери

Утечка финансовой информации, такой как реквизиты банковских карт или счетов, может привести к прямым денежным убыткам. Мошенники могут снять деньги со счета человека, оплатить какие-то левые покупки или перевести средства на свои счета. Кстати, банки иногда возвращают деньги, украденные мошенниками, но это точно потерянные время и нервы.

Одна из крупных утечек из банков случилась в сентябре 2023 года в «МТС банке». Тогда аферисты обнародовали базу данных 1 миллиона держателей карт этого банка. В сеть попали персональные данные клиентов, в том числе ФИО, ИНН, номера телефонов и адреса электронной почты. А еще — номера банковских карт и срок их действия. То есть такие данные, имея которые можно спокойно тратить деньги с чужой карты, ведь CVV код запрашивается далеко не всегда, особенно если операции на небольшие суммы.

Репутационный ущерб

Если личная информация человека окажется у недоброжелателей, ее могут использовать для шантажа. Или просто распространить, рассказать всем о диагнозах человека — мало приятного, правда? Или о том, какие сайты он посещал. Иногда это может сильно навредить репутации, как в профессиональном плане, так и в личном.

Вспомним, как несколько лет назад в сети оказались интимные фото певицы Наташи Королевой с ее мужем Сергеем Глушко (Тарзаном). Ничего незаконного там не было, но фигурантам было наверняка неприятно. Или личное видео футболиста Артема Дзюбы, которые попали в поле зрение всей страны — лучше такого не допускать.

Принципы обработки персональных данных

Обработка личной информации в России регулируется законодательством — ФЗ №149 «Об информации, информационных технологиях и защите информации». В документе предусмотрены несколько принципов работы с ПД людей — они обязательны и для госструктур, и для бизнеса.

Законность

Сбор и обработка личной возможны, только если есть законные основания.

Например, ИНН может запросить Федеральная налоговая служба, и это законно. А вот если его запрашивает интернет-магазин снаряжения для рыбалки — закон тут и мимо не пробегал. И информацию предоставлять не то, что не обязательно, а просто не нужно.

Целесообразность

Сбор и обработка ПД должны быть обоснованными. Нельзя собирать избыточные данные, которые не требуются в конкретной ситуации. Например, для доставки товара достаточно знать адрес клиента, и нет необходимости запрашивать его медицинскую историю.

Минимизация

Принцип минимизации предполагает сбор и обработку только той личной информации, которая действительно необходима. Избыточную информацию, как в примере выше, человек предоставлять не обязан.

Конфиденциальность

Любой бизнес и любые госструктуры обязаны обеспечивать конфиденциальность личной информации. То есть доступ к ним должны иметь только уполномоченные лица, а сама информация должна быть защищена и от несанкционированного доступа, и от изменения или уничтожения.

Правдивость и актуальность

ПД должны быть точными, полными и актуальными. Госструктуры обязаны принимать меры для обновления устаревших данных и исправления ошибок, а бизнес просто по логике должен к этому стремиться.

Все эти принципы вместе обеспечивают защиту прав субъектов персональных данных, то есть каждого конкретного человека. И предотвращают злоупотребления при обработке информации.

Читайте также:

Как вести деловые переговоры с клиентами, партнерами, инвесторами

Права субъекта персональных данных

Субъект ПД — то я, вы, любой человек из вашего окружения и вообще каждый человек. И наше законодательство предусматривает, что у человека есть права относительно своих персональных данных. Вот они:

• Право на доступ. Вы имеете право узнать, какие именно данные собирают, хранят и обрабатывают операторы (компании, госструктуры), а также для чего это делается.
• Право на исправление. Если ваши данные неточны или устарели, вы можете требовать их обновления или исправления ошибок.
• Право на удаление. На западе это называется «правом на забвение». Но именно такого термина у нас нет. А вот право на удаление из интернета закреплено в статье 10.3 Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации». Оператор по требованию человека, должен удалить страницу сайта, где есть сведения о заявителе. Но не всегда, а если для этого есть основания: например, ПД утратили значение для человека или ошибочны. Или же человек отозвал согласие на их обработку — тоже вариант.

Чтобы воспользоваться этими правами, придется обращаться непосредственно к каждому оператору — будь то «Яндекс», интернет-магазин «5 пуговиц», или интернет-провайдер. Обычно операторы дают контактные данные в политике конфиденциальности или просто на сайте — свяжитесь с ними через те каналы, которые указаны: например, через электронную почту, по телефону, через форму обратной связи.

При обращении важно четко указать, чего вы хотите — выражаясь юридическим языком, какое свое право хотите реализовать — и подтвердите свою личность. Оператор обязан рассмотреть обращение и принять меры. А если не принимает и отмораживается, вы всегда можете подать жалобу в «Роскомнадзор».

Читайте также:

Автоматический обзвон клиентов голосовым роботом: зачем он нужен и как правильно запустить

Законодательство о персональных данных в мире

В Евросоюзе есть регламент GDPR (General Data Protection Regulation), вступивший в силу в 2018 году, а в США, в штате Калифорния, есть закон от 2020 года CCPA (California Consumer Privacy Act).

У нас же в России все, что касается индивидуальной информации людей, регулируется Федеральным законом №152-ФЗ «О персональных данных». Он был принят еще в 2006 году, и с тех пор неоднократно обновлялся и дополнялся.

Как гласит этот закон, любая организация или компании обязаны получать явное согласие на обработку личной информации, обеспечивать ее безопасность и предоставлять пользователям доступ к своим данным. Нарушение закона предусматривает административную ответственность, а это и штрафы, и даже приостановка деятельности.

Продвижение сайтов

• Любой формат сотрудничества: позиции, лиды, трафик.
• Подбираем запросы, которые приводят реальных покупателей!

Подробнее

Что можно сделать, чтобы защитить свои персональные данные

• Создавайте надежные пароли. Используйте сложные комбинации букв, цифр и символов. Избегайте очевидных вариантов вроде “123456”, “qwerty” или “password”. Постарайтесь использовать разные пароли для каждого сайта или сервиса. Да, это несколько усложняет жизнь, зато повышает кибербезопасность. В сервисах, где такое предусмотрено, выбирайте двухфакторную аутентификацию. Она добавляет дополнительный уровень защиты, требуя ввести код, отправленный на ваш телефон или email, помимо обычного пароля.
• Обновляйте ПО. Насчет операционных систем есть вопросы, потому что некоторые апдейты приводят к их зависанию и краху, а браузеры и мобильные приложения лучше обновлять. Обновления часто содержат важные новшества для повышения безопасности закрывают уязвимости, которые обнаружили программисты, и которым могут пользоваться злоумышленники.
• Помните о фишинге. Фишинг — это метод кражи личной информации, когда мошенники пытаются обмануть вас, выдавая себя за официальные сайты или сервисы. Никогда не переходите по подозрительным ссылкам и не открывайте вложения в письмах от неизвестных отправителей. Не ленитесь проверять URL-адреса сайтов перед тем, как вводить какую-то личную и особенно финансовую информацию.
• Следите за настройками конфиденциальности. Проверьте настройки приватности в социальных сетях и приложениях. Ограничивайте доступ к личной информации, и публикуйте только то, что вы готовы показать неограниченно широкой аудитории.
• Делайте резервные копии личной информации. Выработайте привычку регулярно сохранять важные файлы и документы. И не только у себя в гаджетах, но и в облаке. Это поможет избежать потери данных.

Коротко о главном

• Персональные данные — это любая информация, позволяющая идентифицировать конкретного человека.
• У каждого человека есть права, связанные с защитой своих ПД, включая доступ, исправление, и даже удаление.
• Важно соблюдать практические рекомендации по защите данных: создание сложных паролей, обновление ПО и настройка конфиденциальности.
• Регулярное внимание к вопросам личной кибербезопасности поможет снизить риски утечки и потери информации и риск злоупотребления вашими личными данными.