Что такое обработка персональных данных
С одной стороны, передовые технологии обработки данных позволяют улучшить качество предоставляемых услуг, упростить рабочие процессы и сделать коммуникации более эффективными. С другой, сбор и использование персональной информации может стать причиной нарушения конфиденциальности и угрожать личной безопасности. Поэтому необходимо обеспечивать баланс между инновациями, требующими обработки данных, и защитой приватности. Важную роль в этом играют юристы.
В статье мы рассмотрим ключевые аспекты обработки персональных данных: основные принципы, типы обработки, роль оператора. Также уделим внимание законодательному вопросу: нормативным правовым актам и штрафам, которые могут грозить за нарушения.
Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.
Что такое персональные данные
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ, персональные данные — это любая информация, которая относится к определенному или определяемому физическому лицу (субъекту персональных данных).
Информация может включать в себя такие данные, как:
имя
адрес
номер телефона
адрес электронной почты
паспортные данные
фотографии
пол и многое другое.
Персональные данные могут быть как прямо указанными субъектом данных, так и собранными без его прямого участия, например, через веб-сайты, мобильные приложения или другие средства сбора информации.
Что такое обработка персональных данных
Обработка персональных данных подразумевает любые операции или набор операций, которые совершаются с персональными данными: сбор, запись, организация, хранение, адаптация, изменение, извлечение, использование, передача, распространение и уничтожение. Обработка персональных данных может осуществляться как автоматизированными средствами, так и без использования таких средств, при условии, что это делается в рамках систематизированной деятельности.
Персональные данные должны обрабатываться в соответствии с целями, для которых они были собраны или затребованы. Например, интернет-магазин может обрабатывать данные своих клиентов для выполнения условий договора о покупке товаров, а автошкола может использовать данные своих учеников для организации обучения вождению. Это означает, что организациям необходимо ясно понимать, какие категории персональных данных они обрабатывают и с какой целью, учитывая особенности своей деятельности.
Также важно знать: Распространение персональных данных означает передачу таких данных неопределенному кругу лиц.
Предоставление персональных данных подразумевает передачу таких данных конкретному лицу или определенной группе лиц.
Кто такой оператор персональных данных
В законе определены две ключевые роли: субъект данных и оператор персональных данных. Субъект — лицо, информация о котором собирается или используется оператором персональных данных (человек, чьи личные данные собираются для последующей обработки).
Оператор же может быть физическим или юридическим лицом, которое:
собирает, обрабатывает, хранит и передает персональные данные;
определяет цели и характер обработки этих данных.
Например, работодатель становится оператором персональных данных, когда обрабатывает личную информацию своих сотрудников. Даже в случае, если сотрудник только один, работодатель все равно обязан соблюдать требования оператора персональных данных.
Какие типы персональных данных существуют
В постановлении Правительства РФ от 1 ноября 2012 года № 1119 перечислены различные категории персональных данных.
Общедоступные категории персональных данных.
Это информация, которая получена из общедоступных источников. Однако эти данные не являются автоматически общедоступными: владелец данных может дать свое согласие на включение своей информации в эти источники. Доступ к таким источникам имеет широкий круг лиц. Если владелец данных или органы власти потребуют удаление информации из таких источников, это должно быть сделано.
Например: имя, фамилия, дата рождения, адрес проживания, контактные данные, информация о профессии и т. д.
Специальные категории.
Это информация о расовой или национальной принадлежности, политических убеждениях, религиозных или философских взглядах, состоянии здоровья, интимной жизни.
Биометрические категории персональных данных.
Информация о физиологических и биологических особенностях человека, которые могут использоваться для идентификации личности.
Другие категории персональных данных.
Те данные, которые не попадают под общедоступные, специальные или биометрические категории.
Какие НПА регулируют обработку персональных данных
Политика обработки персональных данных должна составляться в соответствии с требованиями следующих актов:
Федеральный закон от 27.07.2006. №152-ФЗ «О персональных данных»;
Указ Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дел»;
Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Это основные нормативные акты, но список этим не заканчивается.
Какие штрафы предусмотрены за нарушение обработки ПД
Ответственность за нарушения правил обращения с персональными данными прописана как в Кодексе административных правонарушений (КоАП), так и в Уголовном кодексе Российской Федерации (УК РФ). Например, в КоАП (№195-ФЗ) содержится статья 13.11, которая предусматривает наказание за нарушение законодательства о персональных данных, устанавливая максимальный размер административного штрафа до 18 миллионов рублей. В декабре 2023 года были приняты поправки в КоАП о повышении штрафов за нарушение правил обработки персональных данных:
за сбор личной информации без согласия владельца должностным лицам грозит штраф от 100 000 до 300 000 рублей, а юридическим лицам — от 300 000 до 700 000 рублей;
при повторном нарушении штрафы для должностных лиц составят от 300 000 до 500 000 рублей, для индивидуальных предпринимателей — от 500 000 до 1 миллиона рублей, а для юридических лиц — от 1 миллиона до 1,5 миллионов рублей.
Также ужесточилось наказание за незаконное размещение и обновление биометрических данных. По новой статье 13.11.3 Кодекса об административных правонарушениях за это предусмотрена ответственность: для должностных лиц — от 100 000 до 300 000 рублей, а для юридических лиц — от 500 000 до 1 миллиона рублей.
В УК РФ статья 137 касается нарушения неприкосновенности частной жизни. Это также может включать ответственность за нарушение правил работы с персональными данными, но необходимо доказать, что нарушитель сознательно стремился причинить вред другому человеку, как непосредственно, так и косвенно. Согласно статье, за нарушение обработки персональных данных предусмотрены:
штрафы до 200 000 рублей или обязательные работы до 360 часов;
лишение права занимать определенные должности или запрет на определенную деятельность на срок до 3 лет или лишение свободы на срок до 2 лет;
если нарушение совершено лицом с использованием своего служебного положения, штраф может составить от 100 000 до 300 000 рублей, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, или лишение свободы до 4 лет;
за распространение информации о несовершеннолетних штраф может достигать 350 000 рублей или лишение свободы до 5 лет.
Ответственный юрист — профессионал, для которого важно знать все нюансы и уметь защитить персональные данные граждан. Moscow Digital School поддерживает такой подход. Именно поэтому мы предлагаем вам посмотреть вебинар «Обработка персональных данных». Спикеры вебинара: директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович, юрист MDS Иван Мелихов, главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.
За полтора часа эксперты расскажут:
кто зарабатывает на обогащении персональных данных;
как собирать персональных данные своих пользователей;
как правильно реагировать на изменения 152-ФЗ;
вступят ли в силу оборотные штрафы для компаний и какие есть альтернативные варианты.
Вы можете включить вебинар где угодно и в любое удобное для вас время.