Персональные данные — собираем и обрабатываем правильно


Персональные данные — собираем и обрабатываем правильно

Персональные данные (ПД) – ценная информация. За ней «охотится» каждая компания, которая занимается производством товаров или оказанием услуг, ведь благодаря ней можно составить образ своего потребителя, проанализировав предпочтения покупателей, или пойти еще дальше и предлагать персонализированные предложения для каждого клиента, исходя из его привычек.

Из-за этого ПД превратились в очень ценный товар (базы данных с ФИО, телефонами клиентов), который недобросовестные компании продают друг другу, от чего страдают граждане.

В России ПД охраняются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Об ответственности за нарушения, связанные с их сбором, обработкой и хранением поговорим в следующей статье, а в этой остановимся на основных понятиях и ключевых моментах, выполнение которых позволит избежать наказания за нарушение действующего законодательства.

Согласно Закону № 152-ФЗ ПД – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это такая информация о клиенте, как ФИО, место жительства, контакты (телефон и электронная почта), о месте работы, профессии и прочая, совокупность которой позволяет идентифицировать человека.

Оператором ПД являются государственные органы, муниципальные органы, юридические или физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку ПД, а также определяют цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка ПД – это любое действие (несколько действий), которые совершаются с использованием (или без) средств автоматизации. Вот некоторые из них:

  • сбор;
  • хранение;
  • запись;
  • систематизация;
  • обновление (изменение);
  • использование;
  • передача;
  • уничтожение.

Исчерпывающий перечень действий, которые относятся к обработке ПД, перечислен в статье 3 Закона № 152-ФЗ.

Если вы являетесь оператором персональных данных, то вам необходимо выполнить следующие обязанности:

  1. До начала обработки ПД уведомить Роскомнадзор о своем намерении осуществлять обработку ПД (без уведомления обрабатывать можно закрытый перечень информации, установленной частью 2 статьи 22 Закона № 152-ФЗ). Форма такого уведомления разработана Роскомнадзором (Приказ Роскомнадзора от 28.10.2022 № 180). На основании таких уведомлений Роскомнадзор ведет общедоступный реестр операторов ПД. Подача уведомлений возможна через личный кабинет на Госуслугах, или на сайте Роскомнадзора.

В случае изменения сведений, содержащихся в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. Форма уведомления также установлена вышеуказанным приказом Роскомнадзора.

  1. Получить согласие на обработку ПД. При этом оператор обязан объяснить юридические последствия их предоставления (отказа от предоставления).

Требования к содержанию согласия на обработку ПД установлены статьей 9 Закона № 152-ФЗ.

Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, утверждены  приказом Роскомнадзора от 24.02.2021 № 18. Такое согласие оформляется отдельно от других согласий.

Также отдельно установлены формы согласий на размещение и обработку ПД в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС) – см. распоряжение Правительства РФ от 09.04.2024 № 856-р.

  1. При сборе ПД предоставить субъекту ПД (по его запросу) следующую информацию (часть 7 статьи 14 Закона № 152-ФЗ):

1) подтверждение факта их обработки конкретным оператором;

2) правовые основания и цели обработки;

3) цели и способы обработки;

4) наименование и место нахождения оператора, сведения о лицах (помимо работников оператора), которые имеют доступ к ПД, или которым они могут быть раскрыты согласно договору или закону;

5) перечень ПД, источник их получения;

6) сроки обработки и хранения ПД;

8) информацию о фактической или предполагаемой трансграничной передаче данных и прочие сведения.

  1. Назначить ответственного за организацию обработки ПД (если оператором является юридическое лицо);
  2. Издать документ, определяющий политику оператора в отношении обработки ПД. Такой документ должен быть размещен в открытом доступе (в случае сбора ПД в сети «Интернет» — на своем сайте) и быть доступен для ознакомления.

Роскомнадзором разработаны рекомендации по составлению документа, определяющего политику оператора в отношении обработки ПД (размещены у них на сайте).

Так, ведомство рекомендует включить в политику обработки ПД следующие моменты:

1) общие положения – информация об операторе, правах и обязанностях оператора и субъектов ПД;

2) цели обработки ПД (установите их исчерпывающим образом!).

При описании целей руководствуйтесь направлениями деятельности оператора, установленными в учредительных документах, анализируйте бизнес-процессы в компании;

3) основания обработки ПД (федеральные законы, регулирующие деятельность оператора (Закон № 152-ФЗ в качестве основания не подойдет), локальные акты оператора, договоры, согласия на обработку ПД – укажите все);

4) объем, категории ПД (должны соответствовать целям обработки и НЕ быть избыточными), категории субъектов ПД (работники, бывшие работники, соискатели, родственники работников, контрагенты, клиенты, их представители и работники).
Лучше прописывать каждой категории субъектов ПД и для каждой цели обработки конкретный перечень ПД (исчерпывающий);

5) порядок и условия обработки ПД (какие действия совершаются с ПД, какими способами осуществляется обработка, в какие сроки). Если обработка предполагает передачу данных третьим лицам – указать условия передачи, а также сведения, позволяющие их идентифицировать;

6) сведения о соблюдении требований конфиденциальности ПД (гарантии);

7) условия хранения ПД;

8) порядок актуализации, исправления, удаления и уничтожения ПД, порядок работы с запросами субъектов ПД.

  1. Разработать иные документы (локальные), которые определяют перечень обрабатываемых ПД, цель обработки, способы обработки и хранения, порядок их уничтожения – Положение о работе с ПД (утвержденная форма отсутствует), Обязательство о неразглашении ПД (подписать с работниками) ;
  2. Принять меры по недопущению нарушения безопасности ПД (ознакомиться с ними можно в статье 19 Закона № 152-ФЗ), соблюдать требования к защите ПД (см. постановление Правительства РФ от 01.11.2012 № 1119);
  3. Провести внутренний аудит и контроль за соблюдением действующего законодательства и локальных актов при обработке ПД;
  4. Провести обучающие мероприятия с сотрудниками;
  5. Оценить потенциальные риски нарушения прав субъектов ПД при невыполнении требований законодательства.