Что такое личные данные и их обработка. Что входит в состав личной информации
Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Наш тест: персональные данные - работаем без штрафа Время прохождения около 5 мин.Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.
Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, электронная почта, ссылка на профиль в социальной сети и т. д.
Ознакомиться с экспертным определением понятия персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.
Принципы обработки личной информации
Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:
- Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
- Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
- Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
- Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
- Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.
С 1 сентября 2022 г. вступают в силу новые требования законодательства к обработке персональных данных. Подробнее — здесь.
Способы и условия обработки данных
Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.
Также законом определены условия обработки персональных данных:
- Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
- Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
- Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
- Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.
Эксперты «КонсультантПлюс» рассказали об особенностях обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.
Уведомление Роскомнадзора об обработке личной информации
Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.
Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:
- данные обрабатываются в рамках трудовых отношений;
- сведения получены в результате заключения договора и не передаются иным лицам;
- информация является общедоступной;
- обрабатываются только фамилия, имя, отчество;
- данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
- данные собираются без использования средств автоматизации.
Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.
После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.
Узнайте больше из специальной публикации, размещенной в системе «КонсультантПлюс», о порядке уведомления Роскомнадзора об обработке персональных данных. Получите пробный доступ к материалу бесплатно.
Меры, которые должен принять оператор при обработке сведений
В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:
- Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
- Запрашивать согласие на обработку персональной информации.
- В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
- Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
- Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
- Устанавливать правила, по которым люди могут получить доступ к информации.
- Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.
Соблюдение указанных мер проверяет Роскомнадзор в рамках контрольно-надзорных мероприятий. Узнайте больше об особенностях их проведения ведомством.
Запрет на обработку информации
В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:
- исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
- в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
- направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).
Подробнее о процедуре отзыва человеком согласия на обработку персональных данных читайте в специальной публикации.
Ответственность за нарушения в работе с личными сведениями
За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.
|
Статья Кодекса Российской Федерации об административных правонарушениях |
Основание для привлечения к ответственности |
Мера ответственности |
|
Ч. 1 ст. 13.11 КоАП РФ |
Обработка данных в случае, если она противоречит целям их сбора |
Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций |
|
Ч. 1.1 ст. 13.11 КоАП РФ |
Повторное совершение нарушения по ч. 1 |
Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц |
|
Ч. 2 ст. 13.11 КоАП РФ |
Обработка информации без согласия ее владельца |
Штраф 6–10 тыс. руб. для граждан, 20–40 тыс. руб. для должностных лиц, 30– 150 тыс. руб. для организаций |
|
Ч. 3 ст. 13.11 КоАП РФ |
Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными |
Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций |
|
Ч. 4 ст. 13.11 КоАП РФ |
Непредоставление гражданам информации об обработке их персональной информации |
Штраф 2– 4 тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций |
|
Ч. 5 ст. 13.11 КоАП РФ |
Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях |
Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций |
|
Ч. 5.1 ст. 13.11 КоАП РФ |
Повторное нарушение по ч. 5 |
Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц |
|
Ч. 6 ст. 13.11 КоАП РФ |
Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц |
Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций |
|
Ч. 7 ст. 13.11 КоАП РФ |
Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений |
Штраф 6–12 тыс. руб. |
Итоги
Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.