Организация обработки персональных данных: обязательные меры в соответствии с законами РФ
08 января 2024 г., актуализировано январь 2025 г.
Автор - Саленкова Татьяна
Узнайте, что относится к персональным данным и какие есть требования по обработке и защите персональных данных. Обеспечение безопасности персональных данных с позиции обязательных мер, которые должны быть предприняты операторами в соответствии с законодательством Российской Федерации. Проверьте себя, внесены ли в документы, касающиеся обработки персональных данных, все необходимые данные, учитывая последние изменения в законодательстве?
За последние несколько лет вопросы обработки и защиты персональных данных стали предметом все большей озабоченности как для граждан, так и для организаций в РФ. Развитие информационных технологий и проникновение интернета во все сферы нашей жизни обусловили необходимость законодательного регулирования этой области. В России основным документом, регулирующим обработку персональных данных, является Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Выделяют следующие категории персональных данных:
➢ общедоступные (абз. 3 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Закона о персональных данных; с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных;
➢ специальные (абз. 1 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 10 Закона о персональных данных) – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
➢ биометрические (абз. 2 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 11 Закона о персональных данных) – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
➢ иные (абз. 4 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, отличные от вышеприведенных (не общедоступные, не специальные и не биометрические).
Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно ст.7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Выделяют следующие категории персональных данных:
➢ общедоступные (абз. 3 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Закона о персональных данных; с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных;
➢ специальные (абз. 1 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 10 Закона о персональных данных) – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
➢ биометрические (абз. 2 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 11 Закона о персональных данных) – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
➢ иные (абз. 4 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, отличные от вышеприведенных (не общедоступные, не специальные и не биометрические).
Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно ст.7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
Статья 2 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»
Цель закона – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Согласно ст.22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (им является Федеральная служба по надзору в сфере массовых коммуникаций – Роскомнадзор – на основании п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 г. № 228) о своем намерении осуществлять обработку персональных данных, при этом оператор вправе осуществлять без уведомления Роскомнадзора:
➢ включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
➢ в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
➢ обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Ст. 24 Закона о персональных данных определена ответственность за нарушение требований федерального закона «О персональных данных». Виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ. Ниже на слайдах приведены типовые нарушения законодательства в области персональных данных и меры ответственности.
Согласно ст.22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (им является Федеральная служба по надзору в сфере массовых коммуникаций – Роскомнадзор – на основании п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 г. № 228) о своем намерении осуществлять обработку персональных данных, при этом оператор вправе осуществлять без уведомления Роскомнадзора:
➢ включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
➢ в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
➢ обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Ст. 24 Закона о персональных данных определена ответственность за нарушение требований федерального закона «О персональных данных». Виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ. Ниже на слайдах приведены типовые нарушения законодательства в области персональных данных и меры ответственности.
Какие необходимо подготовить документы по законодательству о персональных данных, достаточные для прохождения проверок Роскомнадзора? На официальном сайте в сети «Интернет» должны быть размещены:
➢ Политика в отношении обработки и обеспечения защиты персональных данных (или Политика конфиденциальности);
➢ Политика использования cookie-файлов (или Соглашение об использовании cookie-файлов);
➢ Согласие на обработку персональных данных (с информированием посетителей в формах сбора данных);
➢ Пользовательское соглашение.
Для установления номенклатуры и порядка разрабатываемых документов в конкретной организации необходимо определить цели обработки персональных данных на основе которых сформируется требуемый собираемый объем персональных данных, порядок их обработки и срок хранения персональных данных. Хотите бесплатно узнать, какой перечень документов должен быть разработан в Вашей организации? Просто напишите мне info@methodisthelp.ru или оставьте заявку через форму на сайте.
➢ Политика в отношении обработки и обеспечения защиты персональных данных (или Политика конфиденциальности);
➢ Политика использования cookie-файлов (или Соглашение об использовании cookie-файлов);
➢ Согласие на обработку персональных данных (с информированием посетителей в формах сбора данных);
➢ Пользовательское соглашение.
Для установления номенклатуры и порядка разрабатываемых документов в конкретной организации необходимо определить цели обработки персональных данных на основе которых сформируется требуемый собираемый объем персональных данных, порядок их обработки и срок хранения персональных данных. Хотите бесплатно узнать, какой перечень документов должен быть разработан в Вашей организации? Просто напишите мне info@methodisthelp.ru или оставьте заявку через форму на сайте.
ТОП-3 вопросов
Оценка вреда субъектам персональных данных – требования?
Согласно Приказу Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» с 1 марта 2023 года все операторы персональных данных обязаны проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных. Оператор для целей оценки вреда должен определить одну из степеней вреда (высокую, среднюю или низкую) и результаты оценки вреда оформить актом оценки вреда.
Какой порядок уничтожения персональных данных?
По истечению срока хранения персональных данных или при достижения целей их обработки организация обязана уничтожить документы с такими персональными данными. С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (дата окончания его действия - 01 марта 2029 года). В случае если обработка персональных данных осуществляется оператором:
➢ без использования средств автоматизации - документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных;
➢ с использованием средств автоматизации - документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Порядок уничтожения персональных данных имеет следующий алгоритм: разработан локальный нормативный акт об уничтожении персональных данных с определением в нем способов и этапов уничтожения; создана комиссия по уничтожению персональных данных с включением в нее ответственного за обработку документов, которые планируется уничтожить; фиксация уничтожения с отражением в акте об уничтожении персональных данных. Таким образом, с 1 марта 2023 г. необходимо фиксировать факт уничтожения персональных данных, причем если ранее акт об уничтожении оформлялся в свободной форме, то теперь Приказом Роскомнадзора от 28.10.2022 г. № 179 указаны обязательные его реквизиты для включения.
Проведение проверок Роскомнадзором
За нарушение работы с персональными данными наказать могут и без выезда в организацию. Как разъясняется в Письме Роскомнадзора от 31.01.2023 г. № 09–6488 «Об особенностях возбуждения Роскомнадзором дел об административных правонарушениях без проведения КНМ во взаимодействии с контролируемым лицом» в соответствии с ч. 3.1 ст. 28.1 КоАП РФ дело об административном правонарушении, выражающемся в несоблюдении обязательных требований, оценка соблюдения которых является предметом государственного контроля (надзора), муниципального контроля, при наличии одного из предусмотренных пунктами 1 - 3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела может быть возбуждено только после проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом, проверки, совершения контрольного (надзорного) действия в рамках постоянного государственного контроля (надзора), постоянного рейда и оформления их результатов, за исключением случаев, предусмотренных ч. 3.2 - 3.5 ст. 28.1 и ст. 28.6 КоАП РФ.
Ч.3.5 ст. 28.1 КоАП РФ установлен перечень ст. КоАП РФ, по которым Роскомнадзор вправе возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом. Проведение Роскомнадзором контрольных (надзорных) без взаимодействия в целях возбуждения дел об административных правонарушениях, установленных Перечнем, при наличии одного из предусмотренных пунктами 1–3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела об административном правонарушении, также не требуется.
Согласно Приказу Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» с 1 марта 2023 года все операторы персональных данных обязаны проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных. Оператор для целей оценки вреда должен определить одну из степеней вреда (высокую, среднюю или низкую) и результаты оценки вреда оформить актом оценки вреда.
Какой порядок уничтожения персональных данных?
По истечению срока хранения персональных данных или при достижения целей их обработки организация обязана уничтожить документы с такими персональными данными. С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (дата окончания его действия - 01 марта 2029 года). В случае если обработка персональных данных осуществляется оператором:
➢ без использования средств автоматизации - документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных;
➢ с использованием средств автоматизации - документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Порядок уничтожения персональных данных имеет следующий алгоритм: разработан локальный нормативный акт об уничтожении персональных данных с определением в нем способов и этапов уничтожения; создана комиссия по уничтожению персональных данных с включением в нее ответственного за обработку документов, которые планируется уничтожить; фиксация уничтожения с отражением в акте об уничтожении персональных данных. Таким образом, с 1 марта 2023 г. необходимо фиксировать факт уничтожения персональных данных, причем если ранее акт об уничтожении оформлялся в свободной форме, то теперь Приказом Роскомнадзора от 28.10.2022 г. № 179 указаны обязательные его реквизиты для включения.
Проведение проверок Роскомнадзором
За нарушение работы с персональными данными наказать могут и без выезда в организацию. Как разъясняется в Письме Роскомнадзора от 31.01.2023 г. № 09–6488 «Об особенностях возбуждения Роскомнадзором дел об административных правонарушениях без проведения КНМ во взаимодействии с контролируемым лицом» в соответствии с ч. 3.1 ст. 28.1 КоАП РФ дело об административном правонарушении, выражающемся в несоблюдении обязательных требований, оценка соблюдения которых является предметом государственного контроля (надзора), муниципального контроля, при наличии одного из предусмотренных пунктами 1 - 3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела может быть возбуждено только после проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом, проверки, совершения контрольного (надзорного) действия в рамках постоянного государственного контроля (надзора), постоянного рейда и оформления их результатов, за исключением случаев, предусмотренных ч. 3.2 - 3.5 ст. 28.1 и ст. 28.6 КоАП РФ.
Ч.3.5 ст. 28.1 КоАП РФ установлен перечень ст. КоАП РФ, по которым Роскомнадзор вправе возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом. Проведение Роскомнадзором контрольных (надзорных) без взаимодействия в целях возбуждения дел об административных правонарушениях, установленных Перечнем, при наличии одного из предусмотренных пунктами 1–3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела об административном правонарушении, также не требуется.
⬇
Разработка пакета документов в области обработки и защиты персональных данных + помощь в составлении и подаче уведомления / информационного письма в Роскомнадзор
- Консультация по обязанностям и требованиям к обработке и защите персональных данных в организации. Разработка пакета документов по персональным данным «с нуля». Помощь в формировании уведомления об обработке персональных данных или информационного письма о внесении изменений в сведения в реестр операторовСоблюдаются ли в организации требования законодательства Российской Федерации по обработке и защите персональных данных? Уведомила ли организация уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных? Внесены ли в документы, касающиеся обработки персональных данных, все необходимые данные, учитывая последние изменения в законодательстве? Обращайтесь! Проведу консультацию, а при необходимости окажу помощь в разработке пакета документов в области обработки и защиты персональных данных «под ключ».
- Стоимость по согласованиюЗависит от объема (количества) документов, требующих разработки в организации Заказчика, а также от требуемых сроков исполнения.
Как получить услугу?
Заполните форму обратной связи на сайте (см. ниже) или напишите на info@methodisthelp.ru
В течение 24 часов Ваш запрос/заявка будет обработан, свяжусь с Вами по указанной электронной почте или перезвоню на указанный телефон. Просьба указывать полные контактные данные для связи, если Вам важно получить ответ!
Получение услуги
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.) .
2. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью.
3. Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021 г.).
4. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Постановление Правительства РФ от 16.03.2009 г. 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
7. Приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
8. Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
9. Приказ ФСТЭК России от 18.02.2013 г. № 21 (ред. от 14.05.2020 г.) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
10. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
11. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
12. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
12. Федеральный закон от 29.12.2012 г. N 273-ФЗ «Об образовании в Российской Федерации».
2. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью.
3. Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021 г.).
4. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Постановление Правительства РФ от 16.03.2009 г. 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
7. Приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
8. Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
9. Приказ ФСТЭК России от 18.02.2013 г. № 21 (ред. от 14.05.2020 г.) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
10. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
11. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
12. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
12. Федеральный закон от 29.12.2012 г. N 273-ФЗ «Об образовании в Российской Федерации».