Что такое обработка персональных данных
Хозяйственная деятельность большинства организаций и ИП в современных условиях связана с использованием информации о гражданах. Работа с ней строго регламентирована законом. Разберем, что представляет собой обработка персональных данных и какие правила при этом требуется соблюдать.
НПА, регулирующие обработку персональных данных
Вопросы обработки документов, содержащих персональные данные физических лиц (далее — ПД), регулируют следующими НПА:
- Федеральные законы № 152-ФЗ от 27.07.2006, № 149-ФЗ от 27.07.2006.
- Трудовой кодекс РФ (глава 14).
- Постановления Правительства РФ № 687 от 15.9.2008, № 211 от 21.03.2012, № 1119 от 01.11.2012, № 996 от 05.09.2013, № 1046 от 29.06.2021 и др.
- Приказы Роскомнадзора № 178 от 27.10.2022, № 179 и 180 от 28.10.2022, № 187 от 14.11.2022 и т.д.
Что такое персональные данные, и что входит в их состав
Персданными считаются любые сведения, которые относятся к человеку и позволяют провести его идентификацию среди других людей.
На законодательном уровне перечень информации, которая является персональными данными, не определен. ПД считаются любые сведения, которые прямо либо косвенно относятся к физическому лицу. Они включают в себя, в частности, следующие сведения:
- ФИО.
- Дату и место рождения.
- Реквизиты документов (паспорт, ИНН, СНИЛС и др.).
- Образование.
- Место трудоустройства, получения образования.
- Почтовый адрес, телефонный номер, e-mail.
- Медицинские диагнозы, результаты медицинских анализов.
- Расу, национальность.
- Вероисповедание.
- ДНК.
- Отпечатки пальцев.
- Изображение лица и пр.
Подробнее: какие бывают виды персональных данных
Что такое обработка персональных данных
Обработкой персданных является совершение с ними любых действий. К мероприятиям по работе с персданными относятся, в частности:
- Сбор.
- Систематизация.
- Хранение.
- Внесение в ПД изменений.
- Передача третьим лицам
- Блокировка ПД.
- Обезличивание.
- Уничтожение материальных носителей, содержащих ПД или их удаление из информационных систем и др.
Отдельно узнайте, каковы сроки хранения персональных данных
Эксперты КонсультантПлюс разобрали, какие существуют требования к обработке персональных данных работников организации. Используйте эти инструкции бесплатно.
Кто считается оператором персональных данных
Оператором ПД является любое лицо, которое их обрабатывает или совершает с ними любые другие действия. К ним относятся:
- Физические лица.
- Индивидуальные предприниматели.
- Организации, как коммерческие, так и некоммерческие.
- Органы власти — государственной или муниципальной — в лице соответствующих учреждений и должностных лиц.
Может пригодиться: как стать оператором персданных в реестре Роскомнадзора
Правила обработки персональных данных
Обработку персданных оператором требуется производить с соблюдением ряда обязательных правил. К ним, в частности, относятся следующие:
- Производить обработку ПД в строгом соответствии с требованиями действующего законодательства.
- Перед тем как начать обрабатывать персданные, требуется уведомить об этом органы Роскомнадзора. В ряде случаев, установленных законом, направлять уведомление о начале обработки не требуется. Например, если работа производится в рамках трудовых правоотношений, обрабатываются только ФИО, сведения носят общедоступный характер или получены в результате заключения договора, а передача их третьим лицам не производится.
- Персданные обрабатываются исключительно с согласия субъекта ПД. Согласие в установленных законодательством случаях требуется получить в письменной форме со включением в документы ряда обязательных положений (например, ФИО, реквизиты документа, удостоверяющего личность субъекта ПД, цель, с которой персданные обрабатываются, перечень обрабатываемых ПД, срок выдачи согласия, способы отзыва). В иных случаях разрешено получение согласия обрабатывать ПД иными способами (например, путем проставления галочки в соответствующем поле на сайте при регистрации). Допускается осуществлять работу с персданными без получения согласия субъекта в случаях, установленных законом (например, судебное делопроизводство).
- При получении от субъекта ПД отзыва ранее данного согласия на обработку персональных данных оператор обязан прекратить их обрабатывать и уничтожить материальные носители, содержащие такие данные, удалить сведения из информационных систем. В ряде случаев закон позволяет обрабатывать ПД и после отзыва согласия. Например, при выполнении госорганами возложенных на них полномочий, судебное разбирательство в отношении субъекта ПД, выполнение обязательств по гражданско-правовым договорам.
- Сбор и обработка персональных данных производятся со строго определенной целью, что должно определять объем обрабатываемых персданных. Запрещается обрабатывать ПД без определенной цели либо те персональные данные, которые не требуются для достижения обозначенной цели.
- Следить за актуальностью ПД, при их изменении вносить в процессе обработки необходимые сведения.
- Поручение оператором обрабатывать персональные данные иным лицам допускается в случае, если такое право установлено законом или договором.
- Соблюдать конфиденциальность при работе с персданными. Не допускать их передачу третьим лицам без согласия субъекта ПД. Исключение составляют случаи, предусмотренные законом.
- При необходимости производить обезличивание персданных.
- Обеспечить при работе с персональными данными их безопасность, исключающую несанкционированный доступ к ним третьих лиц.
- Назначить ответственных лиц, отвечающих за обработку, хранение и защиту ПД в организации.
- Разработать и утвердить локальные нормативные акты, которыми регулируются вопросы обработки персданных (положения, политика, правила и т.п.). Ознакомить с указанными ЛНА сотрудников, которые обрабатывают ПД. Провести обучение сотрудников по работе с персданными, регулярно проводить переобучение, доводя до сотрудников изменения, происходящие в законодательстве, регулирующем работу с ПД.
- Своевременно выявлять и устранять нарушения, допускаемые в процессе работы с ПД.
Обязательно прочитайте: о защите персональных данных
Пример согласия:
Актуальный бланк и образец этого документа есть в КонсультантПлюс Скачать бесплатно
Подробнее: как составить согласие на обработку персональных данных
Ответственность за нарушение правил обработки персональных данных
За нарушение правил работы с персданными оператор привлекается к следующим видам ответственности:
- Административная, которая предусмотрена ст. 13.11 КоАП РФ. Наказание устанавливается в виде штрафа, размер которого составляет для граждан от 1500 до 30 000 руб., для должностных лиц — от 6000 до 500 000, для ИП — от 10 000 до 1 млн руб., для организаций — от 30 000 до 1,5 млн руб.
- Уголовная ответственность будет по ст. 137, ч. 1 ст. 272 УК РФ.
- Гражданская предусмотрена по иску субъекта персональных данных, права которого нарушены при работе с ПД, о взыскании компенсации морального вреда.
Постановление Правительства РФ от 21.03.2012 N 211
Постановление Правительства РФ от 01.11.2012 N 1119
Постановление Правительства РФ от 29.06.2021 N 1046
Приказ Роскомнадзора от 27.10.2022 N 178
Приказ Роскомнадзора от 28.10.2022 N 179
Приказ Роскомнадзора от 28.10.2022 N 180
Приказ Роскомнадзора от 14.11.2022 N 187
Федеральный закон от 27.07.2006 N 149-ФЗ
Федеральный закон от 27.07.2006 N 152-ФЗ
Постановление Правительства РФ от 15.09.2008 N 687
Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
Статья 85 ТК РФ. Утратила силу. - Федеральный закон от 07.05.2013 N 99-ФЗ.
Статья 137 УК РФ. Нарушение неприкосновенности частной жизни
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации