Что означает обработка персональных данных

Персональные данные – это информация, относящаяся к определенному индивиду, которая может быть идентифицирована или связана с этим лицом. В рамках современного цифрового общества, где технологии играют все более важную роль в нашей повседневной жизни, понятие персональных данных обретает особую значимость.

Понятие

Обработка персональных данных что это? Понятие интерпретируется достаточно широко и включает в себя множество видов информации. Основными элементами, которые могут быть отнесены к ПД, являются:

1. Идентификационная информация. Непосредственно идентифицирует человека. Речь идет об имени, дате рождения, фотографии, паспортных данных и номере идентификации, включая СНИЛС и ИНН.
2. Контактная информация. Позволяет связаться с человеком. Речь идет об адресе проживания, номере телефона, электронном адресе и аккаунтах в социальных сетях.
3. Финансовая информация. Сведения о банковских счетах, кредитных картах, доходах и расходах, а также другая информация, которая связана с денежными операциями.
4. Медицинская информация. Сведения, которые относятся к состоянию здоровья человека, врачебным рекомендациям, истории болезни, результатам анализов и диагнозам.
5. Информация о профессиональной деятельности. Включает сведения о месте работы, должности, видах деятельности, зарплате и других аспектах, которые связаны с карьерой.
6. Информация о личной жизни. Сюда включаются сведения о семейном положении, детях, супруге, родителях и других близких родственниках.
7. Информация об образовании. Это сведения о полученных образовательных степенях, учебных заведениях, пройденных курсах и других аспектах, связанных с образованием.

Следует отметить, что перечисленные категории персональных данных не являются исчерпывающими. В информационном обществе понятие неуклонно расширяется. С ним связываются все больше аспектов личности человека.

Защита ПД является актуальной проблемой во многих странах, где разрабатываются и принимаются специальные нормативные акты. Это необходимо для обеспечения конфиденциальности такой информации.

Внимание! Ответственность за постоянное улучшение мер безопасности лежит на компаниях, которые обрабатывают ПД.

Виды

В Постановлении правительства №1119 перечислены различные категории персональных данных. Их всего четыре: общие (или общедоступные), специальные, биометрические и иные.

1. Общие ПД включают базовую информацию о личности: ФИО, место регистрации, номер телефона и адрес электронной почты. Обычно эти сведения известны некоторым другим людям. Например, друзья человека в социальных сетях могут знать о его месте работы.
2. Специальные персональные данные отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно получить только лично у человека или через официальный запрос в больницу, полицию или суд. К специальным ПД относятся:
   - национальная принадлежность;
   - политические и религиозные взгляды;
   - состояние здоровья;
   - интимные детали жизни;
   - информация о судимостях.
3. Биометрические ПД включают физиологические или биологические особенности человека, которые используются для идентификации его личности. Это может быть фотография, отпечатки пальцев, группа крови или генетическая информация. Не все данные этой категории являются биометрическими. Они становятся таковыми только при использовании с целью идентификации личности (например, при применении системы распознавания лиц для идентификации сотрудников).
4. Иные персональные данные включают информацию, которую нельзя отнести к общедоступным, специальным или биометрическим сведениям. Это может быть принадлежность к определенной социальной группе (например, членство в клубе) или корпоративная информация (зарплата, отпуска, стаж работы), которая хранится в бухгалтерии.

Обработка

Обработка ПД включает в себя различные операции:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение;
• извлечение;
• использование;
• передача;
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Например, когда вы заключаете трудовой договор и передаете свои документы в отдел кадров, работодатель осуществляет сбор, запись и хранение ваших ПД. Также, если он передает ваши сведения типографии для печати визитки, это является операцией передачи ПД.

Когда продавец сжигает документы, содержащие данные клиентов, он уничтожает ПД. А при покупке товара через Интернет, когда покупатель передает свои ПД владельцу сайта, сведения сохраняются в электронной базе сайта, что также является операцией сбора, записи и хранения ПД.

Примеры демонстрируют, что персональные данные могут быть как на бумажных носителях, так и на электронных.
 

Пути осуществления

Сбор персональных сведений может осуществляться автоматизированным, смешанным или неавтоматизированным путем:

1. Автоматизированная обработка включает использование средств вычислительной техники (компьютеры, телефоны, программы).
2. Смешанная обработка происходит, когда человек использует средства вычислительной техники для обработки сведений (например, вводит в программу personal data из бумажного заявления на отпуск).
3. Неавтоматизированная обработка не требует использования автоматизации.

После обработки ПД отправляются на хранение в архив. Это может быть отдельное специализированное помещение (если речь идет о бумажных документах) или электронное хранилище (например, облачное).

Внимание! Независимо от вида хранилища, необходимо иметь возможность оперативно найти сведения для их уничтожения по требованию субъекта или передачи в соответствии с законом.

Законодательное регулирование

Нарушение законодательства о персональных данных может привести к штрафам в соответствии со статьей 13.11 Кодекса об Административных Правонарушениях (КоАП РФ):

• Несовместимая с целью сбора обработка персональных сведений может привести к штрафам:
  - до 3 тыс. для граждан;
  - до 10 тыс. для должностных лиц;
  - до 50 тыс. для организаций.
• Обработка ПД без письменного согласия субъекта может привести к штрафам:
  - до 5 тыс. для граждан;
  - до 20 тыс. для должностных лиц;
  - до 75 тыс. для организаций.
• Не публикация документа о политике оператора в отношении обработки ПД может привести к штрафам:
  - до 1,5 тыс. для граждан;
  - до 6 тыс. для должностных лиц;
  - до 10 тыс. для индивидуальных предпринимателей;
  - до 30 тыс. для юридических лиц.

Внимание! Сбор ПД граждан РФ на серверы, расположенные за пределами РФ, также может привести к штрафам до 6 миллионов.

Для соблюдения требований закона необходимо:

1. Зарегистрироваться в Роскомнадзоре в качестве оператора ПД.
2. Получать разрешения на сбор информации от субъектов.
3. Отвечать на запросы субъектов.
4. Собирать и хранить информацию только для определенных целей и на определенный срок.
5. Обеспечивать конфиденциальность personal data, а при передаче их третьим лицам – с документальным подтверждением и только аттестованным.

Также важно уточнять, блокировать или уничтожать информацию по запросу субъектов или когда ее сбор достигает своей цели.

Требования к обработке и оператору

1 января 2023 года были внесены изменения в закон о персональных данных №152-ФЗ (№266-ФЗ от 14.07.2022). С 1 марта 2023 года вступили в силу приказы Роскомнадзора и ФСБ, касающиеся утечки сведений и определения уровня угрозы. Эти изменения усложняют исполнение обязанностей операторов.

Далее будут перечислены основные изменения.

Уведомление в Роскомнадзоре:

Изменился срок подачи уведомления в Роскомнадзор относительно персональных данных. Организации и индивидуальные предприниматели должны уведомлять Роскомнадзор о начале обработки ПД. Соответствующий документ требовалось подавать в течение 10 рабочих дней до 1 марта 2023 года.

Внимание! Если ПД обрабатываются для обеспечения безопасности государства, общественного порядка и транспортной безопасности, уведомление в РКН можно не подавать.

Также нет необходимости уведомлять Роскомнадзор, если данные обрабатываются без использования автоматизированных средств. Например, если в предоставленной ранее информации произошли изменения, требовалось уведомить РКН в течение 10 рабочих дней. А если в течение месяца произошло несколько изменений, каждое из них должно быть зафиксировано отдельно.

Что изменилось? После внесения изменений в персональные данные c 1 марта 2023 года, уведомление обо всех изменениях должно быть подано в РКН до 15 числа следующего месяца (часть 7 статьи 22 №152-ФЗ). Оператор оформляет одно уведомление для всех изменений, произошедших в течение месяца. Больше нет необходимости информировать о каждом из них отдельно.

Внимание! С 26 декабря 2022 года уведомления в Роскомнадзор подаются по новым формам (Приказ Роскомнадзора №180 от 28.10.2022).

Согласие на обработку

Согласие на обработку персональных данных – это ваше добровольное решение предоставить оператору свои ПД для их обработки в соответствии с определенными целями.

Согласие должно быть оформлено:

1. Письменно, если такое требование предусмотрено законодательством.
2. В остальных случаях закон допускает оформление согласия в любой другой форме, которая позволяет оператору подтвердить факт его получения (например, можно поставить галочку рядом с текстом о предоставлении согласия при регистрации на сайте).

Письменное согласие обязательно должно содержать следующие пункты:

• Полное имя, адрес, реквизиты паспорта или другого документа, удостоверяющего личность.
• Название организации или полное имя, адрес оператора.
• Цель обработки personal data – вы должны понимать, для каких целей даете свое согласие на обработку сведений.  

Внимание! Если оператор планирует обрабатывать personal data для иных целей, это будет считаться нарушением закона.

• Перечень ПД, которые будут обрабатываться оператором.
• Информация о лице, которое будет обрабатывать ваши сведения по поручению оператора. Например, работодатель может передать ваши данные сторонней организации, предоставляющей бухгалтерские или кадровые услуги. Для этого требуется ваше согласие.
• Перечень действий, которые оператор может осуществлять с вашими personal data: собирать, хранить, передавать.
• Срок, на который выдается согласие.
• Способ отзыва согласия.
• Подпись.

Образец согласия:

Права при даче согласия на обработку

Вы имеете право обратиться к оператору с требованием о предоставлении следующей информации:

1. Подтверждение факта обработки ваших персональных данных оператором – он должен подтвердить или опровергнуть эту информацию.
2. Правовые основания и цели обработки ваших персональных данных – если вы дали свое согласие на обработку ПД, оператор должен указать на это. Если оператор имеет право на обработку сведений без вашего согласия, он должен ссылаться на конкретные положения закона. Оператор также обязан указать цели, для которых проводится обработка ПД.
3. Способы обработки ваших ПД – это может происходить либо автоматизированным способом с использованием компьютерных технологий, либо без использования автоматизации, когда обработку проводит человек.
4. Название и местонахождение оператора.
5. Информация о лицах (за исключением работников оператора), имеющих доступ к вашим персональным данным. Это могут быть органы государственной власти, которым оператор передает ваши ПД, а также другие третьи лица.
6. Перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно сведения он обрабатывает и как получил их.
7. Сроки обработки и хранения ПД.
8. Порядок осуществления вами прав, предусмотренных Законом о персональных данных. Эта информация объясняет, как вы можете воспользоваться своими правами у данного оператора.
9. О передаче ПД за пределы страны.
10. Информация о лице, осуществляющем обработку ваших персональных данных вместо оператора. Например, если сторонняя организация обрабатывает ПД сотрудников вместо работодателя в целях предоставления кадровых и бухгалтерских услуг.
11. Другая информация, предусмотренная законодательством.

Право на получение такой информации не распространяется на случаи, когда персональные данные обрабатываются в целях обеспечения безопасности страны, государства, правопорядка.

Заключение

Из статьи мы выяснили, что означает обработка персональных данных. Речь идет об информации, относящейся к определенному индивиду, которая может быть идентифицирована или связана с этим лицом.