Суть закона о персональных данных (152 ФЗ)

Содержание: 

• Что такое персональные данны
• Кто такой оператор и обработчик данных
• Требования к оператору данных
• Политика обработки данных
• Виды персональных данных
• Общие
• Биометрические
• Особые
• Кому можно передать обработку данных

Вы точно взаимодействуете с персональными данными (ПД), если принимаете сотрудников на работу, заключаете договора, обрабатываете финансовые транзакции.

Все требования по работе с ПД указаны в федеральном законе №152-ФЗ «О персональных данных». Он действует с 2007 года, серьезно изменился в 2023 году и вопросов по нему по-прежнему много. Рассмотрим, как должны храниться персональные данные, что должен знать оператор и владелец ПД.

Что такое персональные данны

Персональные данные — любые сведения, с помощью которых можно идентифицировать личность человека. Это ФИО, национальность, место регистрации, место работы, образование, телефонный номер.

В перечень ПД может входить этнос, политические предпочтения или мировоззрение, религиозные убеждения, сведения о месте прописки.

Эти данные не всегда являются персональными. Например:

• Если собирают только e-mail — такая информация не конкретизированная и к ПД отношения не имеет. Однако электронный адрес, указанный вместе с ФИО, уже относится к ПД.
• Отдельно взятый номер телефона тоже не ПД. Но когда стоит отметка о том, что условный номер +7(333) 321-54-76 зарегистрирован на Петра Петровича Петрова, это уже сведения, которые позволяют идентифицировать владельца.

Снимки человеческого лица тоже не всегда считаются ПД, и поэтому для их обработки не требуется прямое согласие. Например, фотография, которая хранится в личном деле работника, не приравнивается к биометрии, поскольку ее не используют для установления личности.

Часто именно ФИО становится ключевым элементом в идентификации человека. Допустим, если мы проводим опрос посетителей сайта о доходах анонимно, то мы не собираем информацию, позволяющую выявить личность. Если в процессе опроса мы выясняем их фамилии и имена, такая информация уже приобретает статус персональных данных.

Полное имя, фамилия и отчество (ФИО) тоже не во всех случаях признается персональными данными. Допустим, мы не знаем человека и не располагаем иными сведениями чтобы его идентифицировать. Ведь носителей имени «Петр Петрович Петров» может быть много. Сведения превращаются в персональные данные, когда к ФИО прилагается номер телефона.

Кто такой оператор и обработчик данных

Оператор — лицо, которое обрабатывает чужие персональные данные (передает, хранит, записывает). В том числе это:

• Банки. Собирают разную информацию о клиентах (ФИО, ИНН, паспортные данные) при предоставлении кредитов или открытии счетов.
• Интернет-магазины. Запрашивают у пользователей ПД при регистрации на сайте, оформлении заказа и доставки товаров.
• Медицинские учреждения. Больницы и клиники собирают сведения о пациентах, включая медицинскую историю, результаты анализов, информацию о состоянии здоровья, СНИЛС и паспортные данные.
• Образовательные учреждения. Школы, университеты и другие учебные заведения обрабатывают ПД студентов и учащихся.

То есть любой ресурс в интернете или информационная система, которая позволяет зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку, собирает персональные данные пользователей.

Краткое содержание закона №152-ФЗ в том, что оператор обязан соблюдать установленные законом правила сбора и обработки персональных данных.

Субъект персональных данных — человек, которому принадлежат ПД и которого по ним можно определить. Вы станете субъектом, если укажете личные сведения при регистрации на сайте.

Оператор может передать обработку ПД стороннему лицу — обработчику. Обработчик — тот, кто выполняет обработку информации по поручению оператора. Это может быть кадровое агентство, которое работает на аутсорсе и ищет сотрудников для клиентов.

При этом обработчик сам не обязан собирать согласия с владельцев данных, за это отвечает тот, кто его нанял.

Требования к оператору данных

Если кратко, закон о персональных данных не дает права обрабатывать ПД без согласия от владельцев данных. Они должны знать, каким образом хранятся и обрабатываются их сведения и с какой целью. Исключения перечислены в законе:

• Обработка ПДн происходит из открытых источников.
• Сбор ограничивается исключительно ФИО без дополнительных контактных данных.
• Данные обрабатываются вручную без средств автоматизации (фиксируются на бланках, в формах или на других физических носителях).

Что еще стоит учитывать оператору при сборе и обработке ПД на сайтах в сети или в приложениях:

• Нельзя обрабатывать данные несовершеннолетних, кроме случаев, установленных законодательством РФ.
• Обработка может быть только в заранее установленных целях. Если салон записывает клиента на стрижку, использовать его номер и тем более передавать стороннему лицу нельзя.
• Реагировать на запросы пользователей нужно в течение десяти рабочих дней. Продлить срок можно до пятнадцати, но только если есть веская причина.
• Хранить данные можно только до выполнения целей обработки. После этого оператор обязан их уничтожить.

Перед началом обработки ПД лицо должно зарегистрироваться в РКН как оператор персональных данных, отправив уведомление об этом на сайте ведомства. В уведомлении указывают:

• ФИО и адрес оператора;
• тип обработки (автоматизированный или ручной);
• дату начала обработки;
• информацию о расположении базы данных информации, в которой содержатся ПД российских граждан.

Работодатель обязан спрашивать у кандидата разрешение на обработку его персональных данных. Потребуется отдельный документ, электронная форма на сайте, простой галочки под пользовательским соглашением не хватит.

В судебной практике было немало случаев, когда компанию штрафовали за отсутствие локального акта, который устанавливает порядок внутренней передачи ПД сотрудников. Или за то что не составлен список физических лиц, который допускается к обработке персональных данных работников.

Политика обработки данных

Это документ, в котором указывают:

• с какой целью данные будут собираться и обрабатываться;
• какие операции обработки могут выполняться (сбор, хранение, передача или удаление);
• меры для защиты информации;
• должностные лица, у которые есть доступ к данным.

Если у компании есть сайт или аккаунт, политику обязательно публикуют там в открытом доступе. Под формами обратной связи, куда пользователи вписывают личные данные, должен находиться чекбокс и подпись по типу «Даю разрешение на использование информации обо мне».

Важно, чтобы политика была на видном месте, чтобы пользователи могли без проблем найти ее и прочесть.

Форма, которая грозит владельцам сайта штрафом до 75 000 руб., так как не предполагает окошка для галочки

Виды персональных данных

Документ № 152-ФЗ о персональных данных делит на несколько категорий в зависимости от уровня конфиденциальности, сложности сбора, возможности использования сторонними лицами.

Общие

К персональным данным относится основная информация о человеке:

• ФИО;
• место жительства;
• паспортные данные;
• информация об образовании;
• e-mail.

Как уже было сказано, по отдельности это не всегда персональные данные, как, например, номер телефона, который по уточнениям Роскомнадзора не позволяет точно идентифицировать личность без связи с другими сведениями. В совокупности с другой информацией, номер телефона становится частью ПД.

Общие данные о человеке указываются в официальных документах — паспорте, военном билете или трудовой книжке. Для их сбора нередко достаточно поставленной галочки в анкете. Однако простота доступа к этой информации может привести к неприятностям для владельца, начиная от нежелательной рекламы и заканчивая мошенничеством и вымогательством.

Биометрические

Это уникальные физиологические и биологические характеристики человека:

• Дактилоскопические данные. Отпечатки пальцев, которые используются для идентификации личности, при проверках безопасности или оформлении документов.
• Анализы ДНК. Генетический код, который выступает высокоточным способом идентификации.
• Группа крови. Хотя она не является уникальной для человека, в сочетании с другими данными может помочь в определении личности.
• Физические характеристики. Рост, цвет глаз и вес также могут быть использованы с целью идентификации.

Эти персональные данные часто необходимы в медицинских учреждениях, при устройстве на работу в госорганы, при оформлении паспортов и виз.

Особые

Особые ПД затрагивают глубоко личную и конфиденциальную информацию:

• Расовую и этническую принадлежность. Сведения о расе или национальности человека, используемые, например, для демографического анализа.
• Политические убеждения. Информация о политических взглядах или участия в политических партиях. Она может быть использована для политического воздействия или дискриминации.
• Религиозные или философские убеждения. Могут быть основанием для дискриминации в различных социальных сферах.
• Информация о здоровье. Содержит данные о медицинском состоянии, истории болезней и получении медицинских услуг.
• Судимости и нарушения закона: Это данные о судимостях, судебных и административных нарушениях, что может влиять на возможности трудоустройства и другие социальные взаимодействия.

Чтобы третьи лица получили доступ к особым ПД, тоже потребуется согласие владельца данных.

Кому можно передать обработку данных

После последних изменений суть закона о персональных данных не изменилась, но требования операторам выросли, а штрафы ужесточились. За нарушения грозят серьезные санкции, даже если их допустили в первый раз.

Особенно нужно быть внимательнее тем, кто хочет разместить персональные данные российских граждан на иностранных серверах. Раньше законодатели на это внимание не обращали, зато теперь могут оштрафовать в размере до шести миллиона рублей. Данные не должны храниться на серверах, расположенных за пределами территории России без разрешения от РКН. Но даже если получить разрешение, в будущем могут возникнуть проблемы.

Чтобы избежать подобных санкций, рекомендуется перенести обработку ПД на российские ресурсы. Существуют проверенные и надежные отечественные операторы, например QForm. Эта облачная платформа, зарегистрированная в реестре Роскомнадзора гарантирует сохранность и защиту персональных данных. Она позволяет создавать формы обратной связи, квизы и встраивать на сайт видеовиджеты.

При этом клиенту не нужно будет напрямую взаимодействовать с Роскомнадзором, проходить регистрацию или проверки, подготавливать документы.

С помощью QForm можно создать любые формы обратной связи без помощи программиста. Юрист тоже не понадобится: все формы отвечают закону №152-ФЗ, что обеспечивает законность обработки данных. QForm поможет сохранить время и деньги, которые ушли бы на оплату услуг юристов и IT-специалистов.

Читайте по теме: 

• Какие штрафы грозят за нарушение закона о персональных данных в 2024 году?