Обработка персональных данных
Обработка персональных данных — это любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Данное понятие является ключевым в законодательстве о защите информации и регулируется во многих странах мира, в том числе в Российской Федерации Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Правовое регулирование
Законодательство Российской Федерации
В России основным нормативным актом, регулирующим обработку персональных данных, является Федеральный закон № 152-ФЗ. Он устанавливает принципы, условия и требования к обработке, а также права субъектов персональных данных. Ключевые принципы включают законность целей и способов обработки, соответствие целей заранее определенным и заявленным, а также недопустимость объединения баз данных, собранных для разных целей.
Обработка допускается только с согласия субъекта, за исключением случаев, предусмотренных законом (например, для исполнения договора, в целях правосудия, для защиты жизни и здоровья). Согласие должно быть конкретным, информированным и сознательным. Оператор обязан уведомить Роскомнадзор о намерении обрабатывать данные, за исключением случаев, когда обработка осуществляется в рамках трудовых отношений, договоров с физическими лицами или относится к членам общественных объединений.
Международное регулирование
На международном уровне важнейшим актом является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу в 2018 году. GDPR устанавливает строгие требования к обработке, включая необходимость назначения представителя в ЕС, ведение реестра обработки, проведение оценки воздействия на защиту данных и обязательное уведомление об утечках. Штрафы за нарушения могут достигать 4% от глобального годового оборота компании.
Классификация видов обработки
По степени автоматизации
- Автоматизированная обработка — осуществляется с использованием средств вычислительной техники. Включает сбор через веб-формы, хранение в базах данных, анализ с помощью алгоритмов.
- Неавтоматизированная обработка — ведется без использования средств автоматизации, например, заполнение бумажных карточек, ведение журналов учета. Российское законодательство предъявляет особые требования к таким системам: данные должны быть физически обособлены от других массивов, а каждый лист документа должен содержать отметку об отнесении к персональным данным.
По целям обработки
- Обработка в рамках трудовых отношений — включает сбор данных о сотрудниках (ФИО, паспортные данные, ИНН, СНИЛС, сведения об образовании, состоянии здоровья в части, необходимой для выполнения трудовой функции). Регулируется Трудовым кодексом РФ и локальными актами работодателя.
- Обработка в целях маркетинга и рекламы — сбор данных о потребителях для таргетированной рекламы, анализа предпочтений, проведения опросов. Требует явного согласия субъекта, которое может быть отозвано в любой момент.
- Обработка в государственных целях — ведение реестров, кадастров, баз данных избирателей, налогоплательщиков. Регулируется специальными федеральными законами и подзаконными актами.
- Обработка в научных или статистических целях — допускается при условии обязательного обезличивания данных, то есть удаления сведений, позволяющих идентифицировать конкретное лицо.
Основные этапы и операции
Сбор и запись
Сбор данных может происходить как напрямую от субъекта (заполнение анкеты, регистрация на сайте), так и из других источников (от третьих лиц, из публичных реестров). При сборе оператор обязан предоставить субъекту информацию о целях, правовых основаниях, сроках обработки и способах защиты. Запись данных фиксируется на материальном носителе (бумажном или электронном).
Систематизация и накопление
Собранные данные структурируются — заносятся в базы данных, картотеки, реестры. Систематизация позволяет эффективно осуществлять поиск, обновление и анализ. Накопление подразумевает постоянное пополнение массива данных новыми сведениями, при этом объем хранимых данных должен соответствовать заявленным целям.
Хранение
Хранение персональных данных должно обеспечивать их защиту от несанкционированного доступа, уничтожения, модификации и копирования. Российское законодательство требует, чтобы базы данных, содержащие персональные данные граждан РФ, находились на территории Российской Федерации (требование локализации). Сроки хранения устанавливаются законодательством или договором, по истечении которых данные подлежат уничтожению.
Использование и передача
Использование данных включает их применение для принятия решений (например, одобрение кредита, назначение пособия), для аналитики, для внутреннего учета. Передача данных может быть внутренней (между подразделениями оператора) и внешней (третьим лицам, государственным органам). Внешняя передача, как правило, требует согласия субъекта, за исключением случаев, установленных законом (например, передача данных в Пенсионный фонд, налоговые органы).
Блокирование и уничтожение
Блокирование — временное прекращение обработки данных (например, при отзыве согласия, при выявлении недостоверности). Уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе. Уничтожение производится по достижении целей обработки, по истечении установленных сроков хранения, а также по требованию субъекта.
Требования к безопасности
Организационные меры
Оператор обязан назначить ответственного за организацию обработки персональных данных, разработать политику в отношении обработки, утвердить перечень лиц, имеющих доступ к данным, и проводить периодический контроль. Также необходимо вести журнал учета обращений субъектов и журнал учета инцидентов.
Технические меры
Для защиты данных используются:
- Антивирусная защита и межсетевые экраны;
- Системы обнаружения вторжений;
- Средства криптографической защиты информации (шифрование);
- Разграничение доступа на уровне операционной системы и приложений;
- Резервное копирование.
Уровень защиты должен соответствовать категории обрабатываемых данных и возможному ущербу от утечки. Для специальных категорий (состояние здоровья, биометрические данные) применяются повышенные меры защиты.
Права субъекта персональных данных
Субъект имеет право:
- Получать информацию о том, какие его данные обрабатываются, с какой целью, на каком основании, кому они передавались;
- Требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, недостоверными или обрабатываются незаконно;
- Отозвать согласие на обработку в любой момент (за исключением случаев, когда обработка обязательна по закону);
- Обжаловать действия оператора в уполномоченный орган (Роскомнадзор) или в суд;
- Требовать возмещения убытков и компенсации морального вреда, причиненных нарушением законодательства.
Ответственность за нарушения
Административная ответственность
Кодекс об административных правонарушениях РФ (ст. 13.11) предусматривает штрафы за обработку данных без согласия, за невыполнение обязанности по уведомлению Роскомнадзора, за нарушение требований к хранению и защите. Для должностных лиц штрафы составляют от 10 000 до 50 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей. За повторные нарушения, а также за обработку специальных категорий данных без законных оснований, штрафы могут достигать 500 000 рублей.
Уголовная ответственность
Уголовный кодекс РФ (ст. 137, 138, 272) устанавливает ответственность за незаконный сбор или распространение сведений о частной жизни лица, за нарушение тайны переписки, за неправомерный доступ к компьютерной информации. Наказание может включать штрафы до 300 000 рублей, обязательные работы, ограничение свободы или лишение свободы до 4 лет.
Современные тенденции
С развитием цифровых технологий и распространением интернета вещей (IoT) объемы обрабатываемых персональных данных постоянно растут. Усиливаются требования к прозрачности обработки, к информированному согласию. Внедряются технологии искусственного интеллекта, которые позволяют анализировать большие массивы данных, что создает новые риски для приватности. В России активно развивается система мониторинга и контроля за оборотом персональных данных, включая автоматизированную проверку сайтов на предмет соблюдения законодательства.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
- Кодекс Российской Федерации об административных правонарушениях, ст. 13.11.
- Уголовный кодекс Российской Федерации, ст. 137, 138, 272.
- Регламент Европейского парламента и Совета ЕС 2016/679 (Общий регламент по защите данных, GDPR).
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Методические рекомендации Роскомнадзора по уведомлению об обработке персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →