Персональные данные: обработка, защита, согласие на обработку — СКБ Контур

Пять базовых принципов закона о персональных данных

24 января 2022 51 6497

Деятельность по обработке персональных данных регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

В 2021 году значительно выросли штрафы за нарушения в работе с персональными данными. Появились и другие нововведения, которые обеспечили им дополнительную защиту. Так, прояснился вопрос о получении согласия на распространение данных. 

Но начинать разбираться в теме нужно с законодательных основ.

Закон касается всех организаций — и коммерческих, и бюджетных

Персональные данные, как следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных), это любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и т.д.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется на все без исключения организации. Поскольку в каждой есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. 

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. 

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, турагентства) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. 

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании. 

У товариществ собственников жилья нет ни работников, ни клиентов. Это объединение собственников квартир. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

Обработке подлежат персональные данные, отвечающие целям их обработки

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами. 

Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Например, для доставки товара интернет-магазину достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров. 

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие на обработку персональных данных у субъекта данных (ст. 9 Закона о персональных данных). 

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам СМС-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. 

В ч. 1 ст. 15 Закона о персональных данных указано на то, что рекламные контакты с клиентами совершаются только при условии получения их согласия.

Обработка биометрических персональных данных

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 Закона о персональных данных) и биометрических персональных данных (ст. 11 Закона о персональных данных).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). 

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 Закона о персональных данных).

Требования к обработке персональных данных

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 Закона о персональных данных):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, Политики в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т.д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы Политика в отношении обработки персональных данных была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие обращения, уточняется в ст. 20 и ст. 21 Закона о персональных данных

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

Чек-лист: что нужно сделать

  1. Разобраться, с данными каких категорий субъектов имеет дело бизнес, на каком основании и с какой целью он использует их.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать Политику в отношении обработки персональных данных и быть готовыми выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах. Стоит отметить, что закон предоставляет бизнесу свободу в выборе технических мер. Что касается госкомпаний, то для них требования по использованию средств защиты информации четко определены и подробно описаны. 
Защита персональных данных
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Защита персональных данных
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
7 комментариев
ИВ
Ирина Воронкова 19 июля 2017
Добрый день!

Перечитав тонны информации в интернете пришла к выводу что нужны 2 документа:
1. Политика в отношении обработки ПД (в футере можно ссылку на нее дать) и
2. Согласие на обработку персональных данных. Ссылку на него нужно дать из формы обратной связи.

Верно ли я поняла по 2 документу? Можно ли обойтись на сайте без согласия, только Политикой в футере?
Игорь Луканин 19 июля 2017
Добрый день! В законе «О персональных данных» нет точного списка документов, которые вам нужно подготовить, выполняя его требования. Политика в отношении обработки данных и согласие на обработку данных — самые известные документы. Неудивительно, что вы их нашли. Если вы собираете персональные данные через сайт в интернете, вам точно стоит их подготовить.

Однако при проверке Роскомнадзор может попросить у вас и другие документы. Подробнее читайте в этих статьях: https://152.kontur.ru/blog/getting-familiar-with-documents и https://152.kontur.ru/blog/meet-rkn-in-2015.
ДП
Дмитрий Пашков 1 декабря 2020
Игорь Луканин, сервис 152.контур.ру уже закрыли? Как давно?
ИВ
Ирина Воронкова 19 июля 2017
Спасибо!
Еще один вопрос.

Сервис https://152.kontur.ru позволяет подготовить документы, в т.ч. Политику в отношении обработки ПД.
Но "Согласия на обработку персональных данных" посетителей сайта нет в списке документов, верно? Или я что-то пропустила и этот документ имеется?
Игорь Луканин 19 июля 2017
Обратите внимание на п. 37 вот на этой странице: https://152.kontur.ru/blog/getting-familiar-with-documents
ИВ
Ирина Воронкова 19 июля 2017
Да, у нас эта форма сформирована для сотрудников, как приложение к трудовому договору.
А если говорить о сборе заявок с сайта, где пользователь указывает имя, тел, то такая форма-Согласие не сформировалась. Или мы что-то упустили при формировании?
АД
Алиев Дмитрий 18 августа 2018
Добрый день. Работаю гражданским в воинской части. Все необходимые данные предоставлял в отдел кадров. Имеет ли право мой непосредственный начальник (да и вообще входит ли это в круг его обязанностей) требовать от меня следующие данные: вероисповедание, когда получал загранпаспорт, когда был за пределами России (за всю мою жизнь), мою электронную почту, когда женился, сведения о ближайших родственниках и т.д.? Если "НЕТ", то как ему аргументированно ответить? Спасибо