Документы, связанные с обработкой персональных данных, не ограничиваются ФЗ № 152. Их так много, что можно классифицировать по предмету регулирования.
Со временем перечень обязательных НПА для обработки персданных расширяется. Операторам, взаимодействующим с этими сведениями, приходится соблюдать больше правил. Важно понимать, какие продиктованы требованиями закона, а какие неправильно интерпретированы или вовсе выдуманы. Поэтому все актуальнее становится вопрос, какие нормативно-правовые акты защищают персональные данные граждан, занесенные в соответствующую базу. На него мы и ответим.
На практике одному оператору вряд ли понадобится полный перечень этих НПА. Но лучше видеть картину полностью, чтобы понимать, где искать необходимые предписания. Не забываем, что периодически появляются новые документы: важно следить за изменениями в законодательстве.
Классификация документов, регулирующих работу с персональными данными
Анализ показывает, что нормативная база по персональным данным в России достаточно насыщенна. Еще больше расширяется она за счет международных актов.
Нередко правовые акты делят по предмету регулирования — на касающиеся обработки и защиты ПД. Разделение это довольно условное, но для наглядности придерживаемся его.
Например, согласие на обработку персональных данных для несовершеннолетних получать обязательно: это требование закона для работы с ними. Но с их защитой соответствующие предписания напрямую не связаны.
Напротив, документ о неразглашении персональных данных законодатель требует подписать для гарантии их безопасности. Он непосредственно становится подтверждением обязательства, взятого на себя оператором перед подписантом хранить конфиденциальность ПД последнего.
Может пригодиться: как составить согласие на обработку персональных данных
Документы, регулирующие обработку ПД
Начнем с того, что подразумевается под обработкой персданных в понимании законодателя. Фактически это любые операции с ними:
- сбор;
- фиксация;
- хранение;
- практическое применение;
- актуализация;
- передача;
- уничтожение.
Основной документ, регламентирующий действия с персональными сведениями, — Федеральный закон от 27.07.2006 № 152-ФЗ. В пункте 3 статьи 3 и содержится это определение.
Для определения других НПА, подлежащих включению в эту категорию, вспомним пределы обработки персданных: с ними разрешено взаимодействовать только в заранее обозначенных целях.
Общие для всех правила сведены в Постановление Правительства РФ от 21.03.2012 № 211. Но не забываем и о более узких:
- глава 14 ТК РФ — в рамках трудовых отношений;
- глава 7 Федерального закона от 27.07.2004 № 79-ФЗ — в рамках несения государственной службы;
- Постановление Правительства РФ от 15.09.2008 № 687 — для неавтоматизированной обработки;
- Приказ Роскомнадзора от 05.09.2013 № 996 — для обезличивания;
- Приказ Роскомнадзора от 30.05.2017 № 94 — для уведомления Роскомнадзора о начале соответствующей деятельности;
- Постановление Правительства РФ от 16.06.2022 № 1089 — для работы с биометрией.
Они дают общие рекомендации по получению и дальнейшей работе с подобными сведениями. Требования к их защите в НПА данной группы обычно не затрагиваются или упоминаются косвенно.
Для сведения: какие документы являются персональными данными
Эксперты КонсультантПлюс разобрали, кто и какую ответственность несет за нарушение законодательства о персональных данных. Используйте эти инструкции бесплатно.
Документы, регулирующие защиту ПД
Эта группа НПА регулирует конкретные действия, обеспечивающие сохранность ПД и их охрану от посягательств неуполномоченных лиц.
В целом мы уже выяснили, какой закон регламентирует защиту персональных данных, — это упомянутый ФЗ № 152. Но его дополняют и конкретизируют:
- отдельные нормы Федерального закона от 27.07.2006 № 149-ФЗ, регулирующие вопросы ограничения доступа к информации;
- Приказ ФСТЭК России от 18.02.2013 № 21, приводящий перечень мер технической безопасности информации;
- Постановление Правительства РФ от 01.11.2012 № 1119, устанавливающие требования к охране ПД при автоматизированной работе с ними;
- Постановление Правительства РФ от 06.07.2008 № 512, касающееся материальных носителей биометрии.
Федеральным законом от 19.12.2005 № 160-ФЗ Россия ратифицировала Конвенцию о защите граждан при автоматизированной обработке их ПД, которую Совет Европы принял еще в 1981 году. Но нормы международного права обязательны, только если не противоречат отечественному законодательству.
Надо знать: можно ли отказаться от предоставления персональных данных
