Закон о персональных данных: краткий обзор

Ключевые термины

Прежде чем переходить к нюансам работы с персональными данными и основам их государственного регулирования, необходимо понимать, с какими понятиями вы будете сталкиваться. Перечислим основные:

1. Под персональными данными в контексте действующего законодательства понимается любая информация, использую которую можно установить личность того или иного физического лица.
2. Под оператором персональных данных понимается любое лицо, которое своими силами или при помощи третьих лиц осуществляет обработку ПД, определяет цели взаимодействия с такой информацией и состав обрабатываемых данных.
3. Обработка информации — любые операции, которые оператор совершает с персональными данными людей, включая сбор, обработку, хранение, уничтожение и т.д.
4. Распространение информации — раскрытие сведений неопределенному кругу лиц.
5. Предоставление сведений — раскрытие данных конкретной организации.
6. Трансграничная передача данных — предоставление доступа к информации лицу, которое находится за пределами РФ.
7. Информационная система персональных данных — базы данных, которые включают в себя ПД, а также связанные с ними программно-аппаратные решения, требуемые для их обработки.

Как вы видите, законодательство достаточно четко прописывает основные термины, используемые в работе с персональными данными. Поэтому принципиальную важность имеет их верная трактовка, которая позволит корректно взаимодействовать с конфиденциальной информацией и тем самым снизить риски нарушений и последующих за ними крупных штрафов.

На каких принципах базируется обработка персональных данных

Принципы взаимодействия с персональной информацией в рамках предприятия не должны противоречить требованиям, прописанным в ст. 5 ФЗ №152 о персданных. Выделим следующие:

1. Законные и справедливый характер. Любые операции с персональными данными должны иметь под собой правовое основание в виде согласия субъекта, договора, закона. Исключение составляют ситуации, описанные в п. 2 — 9 ч. 1 ст. 6 вышеупомянутого ФЗ — в этих случаях допускается обработка без согласия физлица.
2. Цели обработки сведений должны быть ограниченными. То есть не выходить за их рамки.
3. Объем и содержание запрашиваемых сведений должны соотноситься с установленными целями. Избыточность в данном случае является нарушением.
4. Определение срока, в течение которого данные будут храниться.
5. Полная и строжайшая конфиденциальность. Под запретом раскрытие персональных данных третьим лицам (без согласия субъекта на это).
6. Сохранность. Оператор должен реализовывать комплекс мер по обеспечению безопасности личной информации людей.
7. Прозрачность. Субъект правомочен запрашивать и получать информацию о том, как его сведения обрабатываются.

Нарушение любого из принципов может привести к административной ответственности, а в ряде ситуаций — даже к уголовной.

Какие обязанности закреплены за оператором

Начав осуществлять сбор персональной информации, оператор должен предоставить владельцу по его требованию полный набор сведений относительно того, что он с этими данными намеревается делать:

• цель сбора;
• временные промежутки обработки и хранения;
• наименование/название оператора и его местоположение;
• если предполагается трансграничная передача, известить об этом.

Какие еще моменты необходимо учесть, согласно положениям ст. 18 ФЗ №152:

1. Если требуется согласие на обработку ПД, компания должна разъяснить физлицу последствия непредставления такого согласия или информации о самом субъекте.
2. При получении данных не от субъекта нужно сообщить ему наименование организации-оператора, цель и правовое обоснование обработки, перечень полученных данных, а также источник, из которого они стали известны. Исключение — если владелец ПД знает о работе с его данными, они были получены на основании договора или закона, или оператор работает с ними для сбора статистики, в рамках профессиональной деятельности журналиста: в этом случае уведомлять субъекта не нужно.
3. Осуществляя сбор сведений, оператор обязуется их данные систематизировать, хранить, накапливать, уничтожать, обновлять, изменять. Это необходимо в ситуации, когда сбор осуществляется через Интернет.

Есть и иные принципиально важные момента, о которых должен знать каждый оператора персональных данных:

1. Прежде чем начать работать с персональными данными, каждый оператор должен направить уведомление в реестр Роскомнадзора. Делается это в онлайн формате через сайт надзорного органа, Госуслуги или в бумажном варианте.
2. Утечка данных — основание для направления соответствующего извещения о произошедшем в адрес РКН. У компании на это будет 24 часа.
3. Если вы планируете передавать личные сведения граждан РФ на территорию иностранного государства, направьте в Роскомнадзор уведомление о планах осуществлять трансграничную передачу данных.

Ответственность за нарушения в работе с персональными данными

Чаще всего бизнес сталкивается с нарушениями по ст. 13.11 КоАП РФ. В частности, возможны следующие последствия:

1. Отсутствие согласия на обработку ПД — штраф до 700 тысяч рублей.
2. Неопубликование политики работы с ПД или непредоставление доступа к ней — штраф до 60 тысяч рублей.
3. Сбор личной информации без обеспечения записи, систематизации, накопления и уточнения может обернуться санкцией до 6 млн. рублей.

Отсутствие регистрации в реестре РКН наказывается штрафом на сумму до 5 тысяч рублей. Однако в самое ближайшее время санкция за это нарушение будет увеличена в десятки раз. Так, с 30 мая 2025 года отсутствие регистрации в реестре Роскомнадзора может привести к штраф до 33 тысяч рублей. Незаконная передача информации о 1-10 тысячах человек обернется для оператора штрафом до 5 млн. руб. А распространение специальных категорий ПД может привести к санкциям до 15 млн. руб.

В современных реалиях регулятор предъявляет суровые требования к обработке ПД. Их несоблюдение может серьезно пошатнуть финансовое положение компании и обернуться многомиллионными штрафами. Поэтому настоятельно рекомендуем привести собственную систему работы с персональными данными в полное соответствие законодательным требованиям и быть уверенными в том, что огромные штрафы и претензии надзорного органа вам не страшны.