Открыть сервис

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Данное понятие является ключевым в законодательстве о защите информации и регулируется во многих странах мира, в том числе в Российской Федерации Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Правовое регулирование

Законодательство Российской Федерации

В России основным нормативным актом, регулирующим обработку персональных данных, является Федеральный закон № 152-ФЗ. Он устанавливает принципы, условия и требования к обработке, а также права субъектов персональных данных. Ключевые принципы включают законность целей и способов обработки, соответствие целей заранее определенным и заявленным, а также недопустимость объединения баз данных, собранных для разных целей.

Обработка допускается только с согласия субъекта, за исключением случаев, предусмотренных законом (например, для исполнения договора, в целях правосудия, для защиты жизни и здоровья). Согласие должно быть конкретным, информированным и сознательным. Оператор обязан уведомить Роскомнадзор о намерении обрабатывать данные, за исключением случаев, когда обработка осуществляется в рамках трудовых отношений, договоров с физическими лицами или относится к членам общественных объединений.

Международное регулирование

На международном уровне важнейшим актом является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу в 2018 году. GDPR устанавливает строгие требования к обработке, включая необходимость назначения представителя в ЕС, ведение реестра обработки, проведение оценки воздействия на защиту данных и обязательное уведомление об утечках. Штрафы за нарушения могут достигать 4% от глобального годового оборота компании.

Классификация видов обработки

По степени автоматизации

По целям обработки

Основные этапы и операции

Сбор и запись

Сбор данных может происходить как напрямую от субъекта (заполнение анкеты, регистрация на сайте), так и из других источников (от третьих лиц, из публичных реестров). При сборе оператор обязан предоставить субъекту информацию о целях, правовых основаниях, сроках обработки и способах защиты. Запись данных фиксируется на материальном носителе (бумажном или электронном).

Систематизация и накопление

Собранные данные структурируются — заносятся в базы данных, картотеки, реестры. Систематизация позволяет эффективно осуществлять поиск, обновление и анализ. Накопление подразумевает постоянное пополнение массива данных новыми сведениями, при этом объем хранимых данных должен соответствовать заявленным целям.

Хранение

Хранение персональных данных должно обеспечивать их защиту от несанкционированного доступа, уничтожения, модификации и копирования. Российское законодательство требует, чтобы базы данных, содержащие персональные данные граждан РФ, находились на территории Российской Федерации (требование локализации). Сроки хранения устанавливаются законодательством или договором, по истечении которых данные подлежат уничтожению.

Использование и передача

Использование данных включает их применение для принятия решений (например, одобрение кредита, назначение пособия), для аналитики, для внутреннего учета. Передача данных может быть внутренней (между подразделениями оператора) и внешней (третьим лицам, государственным органам). Внешняя передача, как правило, требует согласия субъекта, за исключением случаев, установленных законом (например, передача данных в Пенсионный фонд, налоговые органы).

Блокирование и уничтожение

Блокирование — временное прекращение обработки данных (например, при отзыве согласия, при выявлении недостоверности). Уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе. Уничтожение производится по достижении целей обработки, по истечении установленных сроков хранения, а также по требованию субъекта.

Требования к безопасности

Организационные меры

Оператор обязан назначить ответственного за организацию обработки персональных данных, разработать политику в отношении обработки, утвердить перечень лиц, имеющих доступ к данным, и проводить периодический контроль. Также необходимо вести журнал учета обращений субъектов и журнал учета инцидентов.

Технические меры

Для защиты данных используются:

Уровень защиты должен соответствовать категории обрабатываемых данных и возможному ущербу от утечки. Для специальных категорий (состояние здоровья, биометрические данные) применяются повышенные меры защиты.

Права субъекта персональных данных

Субъект имеет право:

Ответственность за нарушения

Административная ответственность

Кодекс об административных правонарушениях РФ (ст. 13.11) предусматривает штрафы за обработку данных без согласия, за невыполнение обязанности по уведомлению Роскомнадзора, за нарушение требований к хранению и защите. Для должностных лиц штрафы составляют от 10 000 до 50 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей. За повторные нарушения, а также за обработку специальных категорий данных без законных оснований, штрафы могут достигать 500 000 рублей.

Уголовная ответственность

Уголовный кодекс РФ (ст. 137, 138, 272) устанавливает ответственность за незаконный сбор или распространение сведений о частной жизни лица, за нарушение тайны переписки, за неправомерный доступ к компьютерной информации. Наказание может включать штрафы до 300 000 рублей, обязательные работы, ограничение свободы или лишение свободы до 4 лет.

Современные тенденции

С развитием цифровых технологий и распространением интернета вещей (IoT) объемы обрабатываемых персональных данных постоянно растут. Усиливаются требования к прозрачности обработки, к информированному согласию. Внедряются технологии искусственного интеллекта, которые позволяют анализировать большие массивы данных, что создает новые риски для приватности. В России активно развивается система мониторинга и контроля за оборотом персональных данных, включая автоматизированную проверку сайтов на предмет соблюдения законодательства.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →