Что такое личные данные и их обработка. Что входит в состав личной информации
Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Наш тест: персональные данные - работаем без штрафа Время прохождения около 5 мин.Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.
Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, электронная почта, ссылка на профиль в социальной сети и т. д.
Ознакомиться с экспертным определением понятия персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.
Принципы обработки личной информации
Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:
- Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
- Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
- Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
- Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
- Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.
Способы и условия обработки данных
Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.
Также законом определены условия обработки персональных данных:
- Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
- Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
- Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
- Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.
Эксперты «КонсультантПлюс» рассказали об особенностях обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.
Уведомление Роскомнадзора об обработке личной информации
Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.
Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:
- данные обрабатываются в рамках трудовых отношений;
- сведения получены в результате заключения договора и не передаются иным лицам;
- информация является общедоступной;
- обрабатываются только фамилия, имя, отчество;
- данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
- данные собираются без использования средств автоматизации.
Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. Форма документа приводится в приложении к приказу Роскомнадзора от 28.10.2022 № 180.
После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.
Узнайте больше из специальной публикации, размещенной в системе «КонсультантПлюс», о порядке уведомления Роскомнадзора об обработке персональных данных. Получите пробный доступ к материалу бесплатно.
Меры, которые должен принять оператор при обработке сведений
В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:
- Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
- Запрашивать согласие на обработку персональной информации.
- В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
- Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
- Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
- Устанавливать правила, по которым люди могут получить доступ к информации.
- Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.
Соблюдение указанных мер проверяет Роскомнадзор в рамках контрольно-надзорных мероприятий. Узнайте больше об особенностях их проведения ведомством.
Запрет на обработку информации
В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:
- исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
- в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
- направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).
Подробнее о процедуре отзыва человеком согласия на обработку персональных данных читайте в специальной публикации.
Ответственность за нарушения в работе с личными сведениями
За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ. С 30.05.2025 она ужесточается.
|
Статья Кодекса Российской Федерации об административных правонарушениях |
Основание для привлечения к ответственности |
Мера ответственности до 30.05.2025 |
Мера ответственности после 30.05.2025 |
|
Ч. 1 ст. 13.11 КоАП РФ |
Обработка данных в случае, если она противоречит целям их сбора |
Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций |
Штраф 10–15 тыс. руб. для граждан, 50–100 тыс. руб. для должностных лиц, 150–300 тыс. руб. для организаций |
|
Ч. 1.1 ст. 13.11 КоАП РФ |
Повторное совершение нарушения по ч. 1 |
Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц |
Штраф 15–30 тыс. руб. для граждан, 100–200 тыс. руб. для должностных лиц, 300–500 тыс. руб. для юрлиц |
|
Ч. 2 ст. 13.11 КоАП РФ |
Обработка информации без согласия ее владельца |
Штраф 10–15 тыс. руб. для граждан, 100–300 тыс. руб. для должностных лиц, 300– 700 тыс. руб. для организаций |
Штраф 10–15 тыс. руб. для граждан, 100–300 тыс. руб. для должностных лиц, 300– 700 тыс. руб. для организаций |
|
Ч. 2.1 ст. 13.11 КоАП РФ |
Повторное совершение нарушения по ч. 2 |
Штраф 15–30 тыс. руб. для граждан, 300–500 тыс. руб. для должностных лиц, 500 тыс. –1 млн руб. для ИП, 1–1,5 млн руб. для юрлиц |
Штраф 15–30 тыс. руб. для граждан, 300–500 тыс. руб. для должностных лиц, 500 тыс. –1 млн руб. для ИП, 1–1,5 млн руб. для юрлиц |
|
Ч. 3 ст. 13.11 КоАП РФ |
Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными |
Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций |
Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций |
|
Ч. 4 ст. 13.11 КоАП РФ |
Непредоставление гражданам информации об обработке их персональной информации |
Штраф 2– 4 тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций |
Штраф 2– 4 тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций |
|
Ч. 5 ст. 13.11 КоАП РФ |
Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях |
Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций |
Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций |
|
Ч. 5.1 ст. 13.11 КоАП РФ |
Повторное нарушение по ч. 5 |
Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц |
Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц |
|
Ч. 6 ст. 13.11 КоАП РФ |
Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц |
Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций |
Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций |
|
Ч. 7 ст. 13.11 КоАП РФ |
Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений |
Штраф 6–12 тыс. руб. для должностных лиц |
Штраф 6–12 тыс. руб. для должностных лиц |
|
Ч. 8 ст. 13.11 КоАП РФ |
Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ |
Штраф 30–50 тыс. руб. для граждан, 100–200 тыс. руб. для должностных лиц, 1–6 млн руб. для организаций |
Штраф 30–50 тыс. руб. для граждан, 100–200 тыс. руб. для должностных лиц, 1–6 млн руб. для организаций |
|
Ч. 9 ст. 13.11 КоАП РФ |
Повторное нарушение по ч. 8 |
Штраф 50–100 тыс. руб. для граждан, 500–800 тыс. руб. для должностных лиц, 6–18 млн руб. для организаций |
Штраф 50–100 тыс. руб. для граждан, 500–800 тыс. руб. для должностных лиц, 6–18 млн руб. для организаций |
| Новые составы с 30.05.2025 | |||
|
Ч. 10 ст. 13.11 КоАП РФ |
Неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку персональных данных | Штраф 5–10 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 100–300 тыс. руб. для организаций | |
|
Ч. 11 ст. 13.11 КоАП РФ |
Неуведомление или несвоевременное уведомление РКН о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных | Штраф 50–100 тыс. руб. для граждан, 400–800 тыс. руб. для должностных лиц, 1–3 млн руб. для организаций | |
|
Ч. 12 ст. 13.11 КоАП РФ |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1 тысячи до 10 тысяч субъектов персональных данных и (или) от 10 тысяч до 100 тысяч идентификаторов | Штраф 100–200 тыс. руб. для граждан, 200–400 тыс. руб. для должностных лиц, 3–5 млн руб. для организаций | |
|
Ч. 13 ст. 13.11 КоАП РФ |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10 тысяч до 100 тысяч субъектов персональных данных и (или) от 100 тысяч до 1 млн идентификаторов | Штраф 200–300 тыс. руб. для граждан, 300–500 тыс. руб. для должностных лиц, 5–10 млн руб. для организаций | |
|
Ч. 14 ст. 13.11 КоАП РФ |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более 100 тысяч субъектов персональных данных и (или) более 1 млн идентификаторов | Штраф 300–400 тыс. руб. для граждан, 400–600 тыс. руб. для должностных лиц, 10–15 млн руб. для организаций | |
|
Ч. 15 ст. 13.11 КоАП РФ |
Повторные нарушения по ч. 12-14 | Штраф 400–600 тыс. руб. для граждан, 800 тыс. –1,2 млн руб. для должностных лиц, от 1 до 3 процентов выручки за прошлый год, но не менее 20 и не более 500 млн рублей. для организаций | |
|
Ч. 16 ст. 13.11 КоАП РФ |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных | Штраф 300–400 тыс. руб. для граждан, 1–1,3 млн руб. для должностных лиц, 10–15 млн руб. для организаций | |
|
Ч. 17 ст. 13.11 КоАП РФ |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 | Штраф 400–500 тыс. руб. для граждан, 1,3–1,5 млн руб. для должностных лиц, 15–20 млн руб. для организаций | |
|
Ч. 18 ст. 13.11 КоАП РФ |
Повторные нарушения по ч. 16-17 | Штраф 500–800 тыс. руб. для граждан, 1,5–2 млн руб. для должностных лиц, от 1 до 3 процентов выручки за прошлый год, но не менее 25 и не более 500 млн рублей. для организаций | |
Итоги
Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.