Что значит обработка персональных данных: кем и по каким правилам осуществляется

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кого касается закон?

  • Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.
  • Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

Читайте также:  Права, обязанности и ответственность главного бухгалтера

Что такое обработка персональных данных и как она производится?

Что значит обработка персональных данных: кем и по каким правилам осуществляетсяОбработка личных персональных данных осуществляется операторами (госорганами, физлицами или коммерческими компаниями). Она представляется собой сбор, запись, систематизацию, хранение информации о человеке, а также выполнение действий направленных на ее блокирование и уничтожение.

Использование сведений возможно только после согласия на это их владельца либо без него, но исключительно в случаях предусмотренных законодательством.

Скрыть содержание

Какие сведения собираются?

Что значит обработка персональных данных: кем и по каким правилам осуществляется

  • фамилия, имя, отчество;
  • место и дата рождения;
  • адрес;
  • семейный и социальный статус;
  • доходы и активы;
  • образование;
  • медицинский диагноз;
  • сведения и заключения о состоянии здоровья;
  • полис ОМС;
  • оказанные медицинские услуги.

Внимание! Обработка персональных сведений осуществляется только с согласия в письменной форме либо подачи документа, подписанного электронной подписью. Оператор вправе поручить обработку другой компании (с согласия субъекта личной информации).

Обработка данных – это определенный набор действий для их использования (сбор, накопление, хранение и пр.). Еще до начала сбора информации должна быть сформирована цель, ради, которой собираются данные. Например, идентификация клиента среди других либо учет сведений обо всех партнерах и потребителях компании. Обработка должна ограничиваться достижением этих целей.

Требования к обработке информации:

  1. Осуществляется с согласия владельца.
  2. Без согласия, но при этом:
    • в целях судопроизводства, в том числе исполнительного;
    • для выполнения журналистской работы;
    • в статистических или иных исследовательских целях.

Обрабатываемые данные подлежат уничтожению либо обезличиванию, когда договор закончился или обязательства выполнены. Сведения, которая передаются, должны быть в любое время исключены из общедоступных источников, если человек не согласен с таким обнародованием либо если есть соответствующее решение суда.

О том, каковы цели обработки ПД, мы более подробно рассказываем тут.

Ответственные лица

Обработку сведений осуществляет оператор.

Для этого он назначает ответственного специалиста, который обязан осуществлять контроль за соблюдением требований закона о защите данных.

Это может быть, например, сотрудник технического или юридического отдела, бухгалтерии или отдела кадров. Эти функции должны быть обозначены в его должностной инструкции или трудовом контракте.

Функции ответственного:

  • Что значит обработка персональных данных: кем и по каким правилам осуществляетсяподготовка организационно-распорядительной документации;
  • информировать руководство обо всех попытках несанкционированного доступа к охраняемым сведениям;
  • следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности;
  • контролировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
  • прием и обработка обращений и запросов владельцев данных.

Важно! Ответственный обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы и пресекать действия других лиц, которые могут привести к разглашению такой информации.

В случае увольнения ответственный обязан вернуть все документы и материалы, относящиеся к своей деятельности.

Пошаговую инструкцию по назначению лица, ответственного за организацию обработки ПД, мы привели в отдельной статье.

Правовые основания

Вопрос использования личной информации о потребителе регулируется законом «О персональных данных», а также целым рядом подзаконных актов (Перечнем персональных данных, Положением об особенностях обработки, должностными инструкциями) и другими документами.

Сами компании разрабатывают целый пакет документов, регулирующих вопросы получения и защиты, полученных от клиента сведений. Например, Политику в отношении обработки.

О правовом обеспечении обработки ПД читайте здесь.

Начало процедуры

Обычно дата начала использования сведений соответствует дате создания компании. Операторы, которые осуществляли сбор данных до 2006 года, обязаны направить в Роскомнадзор уведомление об этом. Уведомление заполняется в электронном виде http://rkn.gov.ru/personal-data/forms/notification/. После заполнения электронной формы Уведомления необходимо распечатать его на бланке организации, подписать и направить в местное Управление Роскомнадзора. Датой начала обработки в уведомлении должна быть указана дата начала совершения действий с ними. Она может совпадать с датой регистрации или постановки организации на учет в налоговом органе.

С чего начать и как организовать процесс обработки ПД мы рассказываем в отдельной статье.

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

При обработке необходимо:

  1. Что значит обработка персональных данных: кем и по каким правилам осуществляетсяЧетко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.

Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Сбор и архивирование

Процесс систематизации, хранения и использования сведений включает в себя обособление данных от другой информации, в частности путем фиксации на материальных носителях, в спецразделах или на полях форм (бланков), если речь идет об неавтоматизированной обработке. Либо сведения могут быть обработаны в автоматизированных системах (на компьютере, например). Для обработки различных категорий нужно использовать отдельные носители.

Возможности обрабатывающих систем

Все системы, с помощью которых обрабатываются данные, подразделяются на типовые и специальные. К первым относятся системы, в которых требуется обеспечить только свойство конфиденциальности. Все остальные системы относятся к специальным.

Типовым системам могут быть присвоены четыре класса, в зависимости от масштаба негативных последствий для владельца конфиденциальной информации. Необходимо будет присвоить информационной системе соответствующий класс и его документально оформить.

Существует два вида обработки: автоматизированный и неавтоматизированный (делается человеком).

  1. Автоматизированная включает операции, осуществляемые полностью или частично с помощью автоматизированных средств:
    • хранение данных;
    • осуществление логических, арифметических операций;
    • изменение, уничтожение, поиск или распространение данных.

    Для хранения и систематизации используется компьютер, электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства.

  2. Для неавтоматизированного хранения и использования также могут быть использованы различные материальные носители, но при условии, что данные не будут сохранены в памяти, или скопированы.

О том, как происходит автоматизированная обработка ПД, мы рассказываем в специальной статье, а про обработку без использования средств автоматизации читайте здесь.

Как осуществляется эта работа в организации?

Что значит обработка персональных данных: кем и по каким правилам осуществляетсяРассмотрим, как проходит процесс сбора и обработки на примере создания интернет-магазина.

Для хранения и использования сведений о покупателях, компании или ИП, которые владеют интернет-магазином, нужно зарегистрироваться в качестве оператора на сайте Роскомнадзора.

До этого нужно будет разработать регламенты и форму пользовательского соглашения. В них обычно пишется, что если пользователь зарегистрируется на сайте или заполнит заявку — эти действия будут считаться согласием на обработку его данных.

Покупатели обычно передают на сайт:

  • Ф.И.О;
  • дата рождения;
  • реквизиты платежной карты;
  • контактный телефон;
  • личные фотографии (иногда);
  • личный адрес.

Внимание! Если магазин собирается передавать данные покупателей третьим лицам, то это можно делать только в целях исполнения пользовательского соглашения (например, раскрывать сведения службе доставки, которая будет заниматься перевозом купленного товара).

Если же цели иные, то на это требуется отдельное согласие пользователя.

Владельцу сайта нужно разработать Политику в отношении обработки данных и опубликовать ее. Необходимо также указать электронный адрес, куда стоит обращаться с тем, чтобы его сведения были удалены. Придется также заключить соглашение об обеспечении безопасности, в котором будет указано, что будет обрабатываться и в каких целях.

Субъекты процедуры

Наиболее часто мы передаем данные при обращении в банк, интернет-магазин либо в страховую компанию.

Например, если мы заказываем страховой полис на сайте страховщика, то всегда даем согласие на использование данных еще до регистрации и получения доступа в свой личный кабинет.

Для этого просто ставится галочка о согласии на передачу сведений в конце заполненной онлайн формы заявления о страховании.

Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).

В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Что значит ЦОД?

Центр обработки данных (ЦОД) – это структура, обеспечивающая автоматизацию бизнес-процессов и гарантирующая безотказную работу информационной системы. Центры позволяют работать с большим объемом данных, организовывать их хранение и обеспечивать связь между центрами и пользователями.

Читайте также:  Есть ли сейчас мораторий на налоговые проверки?

При выходе из строя ЦОД могут заблокировать доступ к информации, поэтому их защищают на случай отключения света, аварий, пожаров, взлома хакерами, кражи данных.

Больше информации о том, что такое ЦОД, найдете в этой статье.

Что значит обработка персональных данных: порядок, участники процесса

Персональные данные — это любые сведения личного характера, относящиеся к конкретному физическому лицу. В законе «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) отсутствует точный перечень таких сведений.

В качестве примера можно назвать следующие:

  • фамилия, имя, отчество;
  • адрес места жительства;
  • профессия и доход;
  • дата рождения, любые значимые даты (вступление в брак, рождение детей и т. д.);
  • реквизиты документов, удостоверяющих личность;
  • права на объекты недвижимого имущества;
  • биометрические данные и многие другие.

В процессе деятельности граждане практически постоянно обмениваются своими данными и вынуждены предоставлять их всюду: при устройстве на работу — работодателю, при оплате коммунальных платежей — управляющей компании и поставщикам услуг, при заключении любых договоров — контрагентам, оказывающим услуги.

Важно! Под обработкой персональных данных следует понимать любые действия и операции, которые с ними производятся.

Перечень возможных способов обработки персональных данных приведен в ст. 3 закона № 152-ФЗ и не является исчерпывающим:

  • запись;
  • хранение;
  • распространение и передача;
  • удаление;
  • изменение и др.

Эти действия могут производиться как с использованием автоматизированной техники, так и без него.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Пример

Гражданин обращается в медицинскую организацию для обследования и заключает договор об оказании медицинских услуг. Он предоставляет свои паспортные данные, а также личные сведения о состоянии своего здоровья, заключения, результаты обследований и т. д.

Сотрудник медицинского центра вносит данные в базу, распечатывает договор, где фигурируют эти данные, направляет по адресу электронной почты гражданину результаты его анализов.

Все эти действия представляют собой не что иное, как обработку персональных данных гражданина.

Основные условия обработки персональных данных

Так как персональные данные носят сугубо личный характер, законом № 152-ФЗ установлено, что любая обработка персональных данных, в чем бы она ни выражалась, должна производиться исключительно при соблюдении нескольких условий.

Цель обработки

Любые личные данные должны собираться и обрабатываться с конкретной целью (ч. 2 ст. 5 закона № 152-ФЗ). Цель обработки персональных данных должна быть законной и определенной заранее.

Соответственно цели определяется и объем собираемых данных (ч. 5 ст. 5 закона № 152-ФЗ).

Так, в приведенном нами примере про медицинскую организацию оправданной будет обработка ею данных о здоровье лица, перенесенных им заболеваниях, но совершенно неоправданной, например, о месте его работы и размере дохода.

Срок хранения и иных операций по обработке также должен определяться целью. Если цель достигнута, оператор обязан уничтожить персональные данные (ч. 7 ст. 5 закона № 152-ФЗ). Например, если договор на оказание услуг расторгнут, медицинский центр должен удалить данные о своем клиенте.

Точность данных

Обработка персональных данных не должна приводить к искажению информации о предоставившем ее человеке (ч. 6 ст. 5 закона № 152-ФЗ). Сведения должны храниться и передаваться точными.

Конфиденциальность

Важнейшим правилом обработки персональных данных является соблюдение строгой конфиденциальности. Это означает, что лицо, непосредственно осуществляющее действия по обработке, обязано сохранять тайну сведений и не распространять их без согласия лица.

Согласие субъекта на обработку данных

Любая обработка личных сведений может быть осуществлена только с предварительного согласия лица. Обычно такое согласие субъекту предлагают подписать в виде письменного документа на бумажном носителе. Однако допускается взятие согласия в электронном виде с электронной подписью (ч. 4 ст. 9 закона № 152-ФЗ). Согласие субъекта является правовым основанием обработки персональных данных.

Любой субъект, давший согласие, в любой момент может передумать и отозвать его, что будет означать для оператора запрет на обработку персональных данных.

В то же время в ряде случаев оператор вправе продолжить использование данных даже после отзыва согласия, например, если данные используются в связи с расследованием уголовного дела, исполнением судебного акта, оказанием государственной услуги и т. д. (пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ).

Уведомление об обработке персональных данных

Кроме соблюдения оператором всех вышеперечисленных условий на него возлагается также обязанность направить в Роскомнадзор уведомление об обработке персональных данных.

Уведомление составляется по форме, утвержденной приказом Роскомнадзора «Об утверждении методических рекомендаций по уведомлению…» от 30.05.2017 № 94 (приложение 1).

Оно является дополнительной гарантией прав субъектов, доверивших личную информацию о себе операторам.

Между тем в ряде случаев уведомление об обработке персональных данных не требуется (ч. 2 ст. 22 закона № 152-ФЗ):

  1. При обработке работодателями данных работников, причем как уже работающих по трудовому договору, так и потенциальных, то есть соискателей. Из буквального толкования п. 1 ч. 2 вышеназванной статьи следует, что если работодатель каким-либо образом обрабатывает информацию, не связанную непосредственно с трудовыми отношениями, то такое уведомление ему следует направить. Например, работодателю могут быть известны некоторые факты об уплате алиментов, наличии у работника судимостей и т. д.
  2. Обработке данных, полученных при заключении договора.
  3. Обработке общественными и религиозными организациями данных об их членах.
  4. Если субъект сам уже сделал свои данные общедоступными.
  5. Если получены только данные о фамилии, имени и отчестве.
  6. Данные взяты только для однократного прохода или проезда на территорию.
  7. Данные включаются в государственные автоматизированные системы.
  8. Обработка осуществляется без использования средств автоматизации.
  9. Данные предоставлены для обеспечения работы транспортной системы, например при покупке билетов.

Ответственность за незаконную обработку персональных данных

Нарушения установленного порядка обработки персональных данных влекут различные виды ответственности. Наиболее распространены случаи возникновения административной ответственности по Кодексу об административных правонарушениях РФ.

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Нарушение законодательства об обработке персональных данных также может повлечь уголовную ответственность по ст. 137, 140, 272 Уголовного кодекса РФ.

Если такие нарушения привели к причинению убытков или морального вреда, то возникает и гражданско-правовая ответственность (ст. 15, 151 Гражданского кодекса РФ, ст. 24 закона № 152-ФЗ).

Работник, разгласивший личные сведения о своем коллеге, может быть привлечен к дисциплинарной ответственности в виде увольнения (подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ).

***

Итак, обработка персональных данных представляет собой любые действия, производимые с ними, начиная с их получения и заканчивая распространением. Обработка данных должна совершаться строго с соблюдением определенных условий, нарушение которых влечет административную, гражданско-правовую, дисциплинарную и уголовную ответственность.

Защита персональных данных по 152-ФЗ: требования к системам, права и обязанности сторон

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Закон «О защите персональных данных» действует в России уже 14 лет. Он был нужен – ситуация складывается так, что все чаще конфиденциальная информация становится общедоступной. А в последние годы это стало еще актуальнее – регулярно происходят серьезные утечки с крупных ресурсов: фото, пароли, адреса. Так как злоумышленники только и ждут удобного случая нажиться на чужой беде, разберемся, как защитить себя и наказать виновных в утечке информации.

Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению.

За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность.

При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека. При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту.

Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.

Последние серьезные изменения были приняты в июле 2017, по которым усилились требования к хранению персональных данных и ужесточилась ответственность за несоблюдение установленных правил.

Кому пригодится этот закон?

Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним.

Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения.

Читайте также:  Ст. 101 ТК РФ: вопросы и ответы

А в соцсетях вообще выставляется вся своя жизнь.

Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  • возможность зарегистрировать и использовать личный кабинет;
  • анкеты с личными данными;
  • форма для оформления рассылки, заказа или обратной связи;
  • сбор личной информации или биометрических данных.

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

  1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
  2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
  3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
    • фотография;
    • отпечаток пальца или сетчатка глаза;
    • зубная карта;
    • группа крови;
    • запись образца голоса;
    • другая генетическая информация.

    При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

  4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
  5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
  6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Кто отвечает за защиту персональных данных?

Ответственность за защиту данных несет оператор персональных данных. Это может быть любая компания, которая занимается сбором, хранением или обработкой информации.

Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.).

В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.

Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД. Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта.

Как наказывают виновных в утечке конфиденциальной информации?

Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило.

Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году.

Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  1. У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  2. Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  3. От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.
  4. Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  5. При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет.

Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Как обезопасить себя операторам персональных данных?

Самые простые правила для операторов ПД состоят в том, чтобы четко следовать должностным инструкциям, а именно:

  • оповещать, что ведется сбор информации;
  • получать информацию только по согласию другой стороны;
  • собирать только действительно нужные данные;
  • своевременно удалять устаревшую информацию;
  • применять полученную информацию только в заранее оговоренных целях;
  • держать в открытом доступе информацию о системе обработки персональных данных вашим ресурсом и ее надежности;
  • честно рассказывать о том, как будет применяться информация;
  • соблюдать все нормы и правила сохранности и достоверности полученной информации;
  • при первом требовании удалять ранее полученную информацию;
  • использовать современные системы безопасности для предупреждения утечки.

Если компания нашла в общем доступе мобильный номер, ее можно наказать за навязывание услуг?

Конечно! Именно это и является главным нарушением при использовании чужих персональных данных.

Если организация нашла в свободном доступе номер (на столбе, в рекламе, в личной переписке, со слов другого клиента) это еще не дает ей право свободно им распоряжаться.

Если номер был указан в объявлении, то использовать его могут только лица, звонящие по конкретному объявлению в личных целях.

Если же страховая компания предлагает оформить страховой полис, получив номер из объявления, то эти действия незаконны. Человек не давал компании права на обработку его личных данных, а тем более права предлагать ему свои услуги без получения на это соответствующего согласия.

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *