Обработка персональных данных: что необходимо знать юристу

Крупные штрафы, проверки Роскомнадзора и репутационные риски — правила обработки персональных данных (ПДн) постоянно ужесточаются. Но этих рисков можно избежать, если знать, как грамотно работать с личной информацией физлиц. Мы расскажем, какие данные считаются персональными, как юристу организовать обработку ПДн без нарушений и защитить компанию от санкций.

Что такое персональные данные и кто с ними работает

Персональные данные — это информация о человеке, которая позволяет его идентифицировать. Как правило, полная идентификация возможна при сочетании одних ПДн с другими: например, адрес проживания и ФИО.

Обработкой ПДн занимается оператор — организация или ИП, которые собирают их в своих целях: например, рассмотрение анкеты соискателя, продажа товаров или оказание услуг, проведение маркетинговых исследований и другое.

Ответственным за обработку ПДн могут назначить юриста. Он должен правильно организовать работу с ПДн, включая:

• сбор;
• систематизацию;

Каждое действие с ПДн регулируется законодательством. Например, оператор вправе передавать их только с письменного согласия субъекта, за некоторыми исключениями, и не может собирать данные, не предусмотренные целью обработки. Рассмотрим все более подробно.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Правила работы с персональными данными

Оператор при работе с ПДн должен соблюдать требования нескольких законов, в первую очередь это ФЗ от 27.07.2006 №152-ФЗ. Дополнительные требования установлены ФЗ от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации». Вопросы защиты ПДн регулируются Постановлением Правительства от 01.11.2012 №1119.

Что важно учитывать:

1. В большинстве случаев требуется согласие на обработку персональных данных (ст. 9 ФЗ №152-ФЗ). Без него можно обойтись только в исключительных ситуациях: например, если ПДн обрабатываются в рамках трудового законодательства.
2. Ответственный за обработку ПДн должен утвердить Политику обработки. Это обязательный документ, который должен быть доступен для клиентов и других физлиц. Его можно разместить на информационном стенде, на сайте компании (при наличии).
3. Перед началом работы с данными необходимо подать уведомление в Роскомнадзор (РКН) для регистрации в реестре операторов. Если этого не сделать, организация рискует получить штраф — до 300 000 рублей.
4. Если планируется передача данных на сервер, расположенный на территории иностранного государства, это нужно согласовать с РКН — подать уведомление о трансграничной передаче и дождаться согласия.
5. В случае изменения сведений в первоначальном уведомлении о начале обработки нужно подать другое уведомление, чтобы Роскомнадзор обновил данные об операторе в реестре.
6. При утечке ПДн необходимо сообщить об этом в РКН в течение 24 часов, а о результатах проверки — в течение 72 часов.
7. При достижении целей обработки, выявлении незаконного получения ПДн или неправомерной обработке оператор обязан своевременно уничтожить данные. Это подтверждается актом об уничтожении и выгрузкой из журнала регистрации событий в информационной системе.
8. Разработайте и утвердите пакет внутренних документов: Положение о работе с ПДн, регламенты уничтожения, Политику обработки, согласия, обязательства сотрудников о неразглашении. Может понадобиться до 60 документов в зависимости от специфики деятельности, оформлением занимаются юристы.

Кроме того, с 01 марта 2023 года по март 2029 года, операторы персональных данных обязаны проводить оценку потенциального вреда для субъектов в случае нарушения ФЗ №152-ФЗ. Роскомнадзор установил три уровня рисков (высокий, средний и низкий) и определил критерии их оценки в соответствии с Приказом от 27.10.2022 № 178.

Как защитить персональные данные

Оператор обязан защищать персональные данные от утечки и неправомерных действий, соблюдая требования, установленные законодательством: Определите формат обработки данных (автоматизированный или бумажный) — от этого зависят меры защиты. Для электронных систем потребуются специализированное ПО. При работе с бумажными носителями ведите учетные журналы и регламентируйте порядок внесения записей. В обоих случаях доступ к ПДн нужно ограничить.

Рекомендуется регулярно проводить аудит,чтобы понять, каких документов не хватает, и проверять, соблюдаются ли меры защиты ПДн.Это позволит избежать крупных штрафов — в некоторых случаях они достигают 500 млн рублей.

Что в итоге

Обработка персональных данных по ФЗ №152-ФЗ требует системного подхода: от разработки внутренних документов до регулярного аудита. Юристу могут предоставить доступ к данным или назначить ответственным за обработку. Грамотная организация работы с ПДн минимизирует риски компании, в том числе репутационные. Главное — действовать превентивно, а не тогда, когда Роскомнадзор уже начал проверку.