Найти тему
KPIB - Комитет по информационной и правовой безопасности
105 подписчиков

Основные принципы защиты персональных данных: что важно знать оператору?

5 мин
Оглавление

В России Федеральный закон «О защите персональных данных» вступил в силу 27 июля 2006 года. За время своего существования он как минимум несколько раз претерпевал изменения и внесение правок. Так, в марте 2021 года в законе появились три новых вида правонарушений, а штрафы за несоблюдение установленных правил выросли вдвое. Очередное ужесточение требований произошло в 2023-м году, когда в закон были внесены правки касательно сроков уведомления Роскомнадзора, удаления персональных данных (ПД), оценки вреда их утечки и не только. Если времени на самостоятельное изучение закона и всех его актуальных правок у вас нет, рассмотрим базовые принципы защиты ПД.

Базовые определения и понятия

Персональными данными называется та информация, которая прямо или косвенно характеризует конкретное физическое лицо (он же — субъект ПД). К ним относятся:

  • ФИО;
  • Номер телефона;
  • Электронная почта;
  • Профессия;
  • Возраст;
  • Семейное положение и не только.

При этом способ и тип самой персональной информации может быть любым:

  • Текстовая или письменная;
  • Личная (имя, возраст) или техническая (геоданные);
  • Правдивая или ложная.

Обработка персональных данных — это любые действия, которые выполняются с личной информацией конкретного человека:

  • Сбор;
  • Хранение;
  • Передача;
  • Уничтожение;
  • Запись;
  • Систематизация и т.д.

Оператор персональных данных — это сторона, которая выполняет обработку ПД:

  • Сайт;
  • Работодатель;
  • Магазин и т.д.

Рассмотрим пример: вы трудоустраиваете нового сотрудника и формируете его личную анкету. Вы являетесь оператором персональных данных. Сотрудник — их субъектом. А данные в анкете — непосредственно ПД.

Основные требования закона в отношении операторов

Все операторы персональных данных (будь то администратор сайта, руководитель компании или проводящий опрос ученый) обязаны соблюдать все требования закона № 152-ФЗ. Основными можно назвать следующие:

  1. Открытая публикация политики конфиденциальности. На сайте магазина, компании или другого ресурса должна быть опубликована политика конфиденциальности, в которой подробно раскрыты все условия обработки персональных данных (какая именно нужна информация, для каких целей она используется и т.д.).
  2. Добровольное согласие. Обрабатывать персональные данные гражданина без его согласия — нельзя. За это можно получить штраф до 75 000 рублей. Согласие может быть получено в любой форме: письменная или устная. Главное, чтобы факт его предоставления был зафиксирован.
  3. Хранение персональных данных в РФ. В соответствии с действующими требованиями, обработка персональных данных должна проводиться с помощью баз данных, находящихся на территории России.
  4. Документационное сопровождение. Кроме непосредственного обеспечения безопасности обработки ПД, операторы обязаны подготовить все локальные акты, в которых будут отражены все действия касательно работы с персональными данными. Их список зависит от специфики деятельности компании.
  5. Уведомление Роскомнадзора. Каждый оператор, работающий с персональными данными, обязан уведомить об этом Роскомнадзор. Не касается такое требование только работодателей, которые обрабатывают исключительно ПД сотрудников, а также операторов, работающих с общедоступными данными (из социальных сетей, порталов и т.д.). Не нужно подавать заявление и при условии, если оператор работает только с ФИО.

Соблюдать такие требования обязаны как юрлица, так и предприниматели и даже физические лица. Исключением является только обработка ПД ввиду личных или семейных нужд (когда сбор, передача и другие действия с данными никак не связаны с работой, предпринимательством, заработком).

Принципы обработки персональных данных

Помимо соблюдения актуального закона касательно работы с ПД в целом, операторы обязаны соблюдать и базовые принципы обработки персональных данных. Во-первых, она должна проводиться в соответствии с заранее определенными (естественно, законными) целями. Проще говоря, вы не можете собирать данные с целью формирования анкеты сотрудника, а после — использовать их же для проведения статистических анализов. Касается данное требование и объема собираемой информации: он должен быть именно таким, какой необходим для решения конкретных задач (если для них не нужен телефонный номер, то оператор не имеет права его запрашивать). Перед обработкой ПД важно четко определить ее цели и строго их придерживаться.

Во-вторых, объединять между собой можно только те базы данных, информация в которых используется для одних целей. Если в одной БД вы собираете данные для анкетирования, а в другой — для регистрации пользователя, то объединить их не выйдет (не нарушив при этом закон).

И в-третьих, оператор обязан обеспечивать законность не только обработки ПД, но и их хранения. Как минимум, для этого должны использоваться сервера, находящиеся на территории РФ. Как максимум, оператору необходимо регулярно предпринимать меры по обновлению устаревших ПД, уточнению недостающей информации и ее полному удалению из общей базы по достижению целей обработки ПД.

Важные нововведения 2023 года

В 2023 году закон «О защите персональных данных» претерпел ряд правок и корректировок. Среди наиболее значимых можно выделить следующие:

  • Уведомить Роскомнадзор об изменении ПД необходимо не позднее 15-го числа месяца, который следует за месяцем внесения изменений (ранее на это представлялось 10 дней);
  • Уничтожение персональных данных в бумажном виде должно сопровождаться соответствующим актом, в электронном — выгрузкой журнала с указанием всех событий;
  • При необходимости трансграничной передачи ПД компания должна предоставить соответствующее уведомление об этом в Роскомнадзор и получить решение (с 1 марта 2023 года Роскомнадзор может ограничивать трансграничную передачу данных);
  • Операторы ПД обязаны создать акт, отражающий все риски возможной утечки персональных данных.

Закон «О защите персональных данных» регулярно совершенствуется и видоизменяется. И полностью исключить риск его нарушения можно только одним способом — внимательно изучая все новые поправки и изменения законодательства. Если делать это самостоятельно невозможно (ввиду отсутствия желания, времени, сил), доверьтесь юристам, специализирующимся на информационной и правовой безопасности. Сотрудники KPIB помогут вам проводить свою деятельность и обрабатывать персональные данные в полном соответствии с действующим законодательством.

Официальный сайт - https://kpib.ru/

Номер телефона - +7(812) 240-8166