Процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность.
Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.
Что такое личные данные и их обработка. Что входит в состав личной информации
Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.
Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.
Принципы обработки личной информации
Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:
- Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
- Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
- Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
- Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
- Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.
Способы и условия обработки данных
Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.
Также законом определены условия обработки персональных данных:
- Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
- Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
- Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
- Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.
Уведомление Роскомнадзора об обработке личной информации
Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.
Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:
- данные обрабатываются в рамках трудовых отношений;
- сведения получены в результате заключения договора и не передаются иным лицам;
- информация является общедоступной;
- обрабатываются только фамилия, имя, отчество;
- данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
- данные собираются без использования средств автоматизации.
Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.
После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.
Меры, которые должен принять оператор при обработке сведений
В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность.
Для этого он должен принять следующие меры:
- Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
- Запрашивать согласие на обработку персональной информации.
- В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
- Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
- Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
- Устанавливать правила, по которым люди могут получить доступ к информации.
- Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.
Запрет на обработку информации
В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:
- исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
- в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
- направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).
Ответственность за нарушения в работе с личными сведениями
За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.
Статья Кодекса Российской Федерации об административных правонарушениях | Основание для привлечения к ответственности | Мера ответственности |
Ч. 1 ст. 13.11 КоАП РФ | Обработка данных в случае, если она противоречит целям их сбора | Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций |
Ч. 2 ст. 13.11 КоАП РФ | Обработка информации без согласия ее владельца | Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций |
Ч. 3 ст. 13.11 КоАП РФ | Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными | Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций |
Ч. 4 ст. 13.11 КоАП РФ | Непредоставление гражданам информации об обработке их персональной информации | Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций |
Ч. 5 ст. 13.11 КоАП РФ | Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях | Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций |
Ч. 6 ст. 13.11 КоАП РФ | Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц | Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций |
Ч. 7 ст. 13.11 КоАП РФ | Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений | Штраф 3–6 тыс. руб. |
Статья взята с сайта Налог-налог.ру