Наш телеграм-канал

Что значит обработка персональных данных

Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., электронная почта, адрес проживания, телефон), так как за нарушения в этой области могут налагаться административные штрафы. Что закон подразумевает под обработкой персональной информации и что нужно учесть, чтобы вас не привлекли к ответственности, рассказываем далее.
Вам помогут документы и бланки:

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Наш тест: персональные данные - работаем без штрафа Время прохождения около 5 мин. Пройти тест

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, электронная почта, ссылка на профиль в социальной сети и т. д.

Ознакомиться с экспертным определением понятия персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

С 1 сентября 2022 г. вступают в силу новые требования законодательства к обработке персональных данных. Подробнее — здесь.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

Эксперты «КонсультантПлюс» рассказали об особенностях обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Узнайте больше из специальной публикации, размещенной в системе «КонсультантПлюс», о порядке уведомления Роскомнадзора об обработке персональных данных. Получите пробный доступ к материалу бесплатно.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Соблюдение указанных мер проверяет Роскомнадзор в рамках контрольно-надзорных мероприятий. Узнайте больше об особенностях их проведения ведомством.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

Подробнее о процедуре отзыва человеком согласия на обработку персональных данных читайте в специальной публикации.

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Мера ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций

Ч. 1.1 ст. 13.11 КоАП РФ

Повторное совершение нарушения по ч. 1

Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 6–10 тыс. руб. для граждан, 20–40 тыс. руб. для должностных лиц, 30– 150 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 2– 4  тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций

Ч. 5.1 ст. 13.11 КоАП РФ

Повторное нарушение по ч. 5

Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 6–12 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.