Какие данные считаются персональными
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному физическому лицу (статья 3 ФЗ от 27.07.2006 №152-ФЗ). Важно, чтобы по этим сведениям можно установить конкретного человека, даже если для этого требуется сопоставление нескольких факторов.
Закон делит персональные данные на несколько категорий:
Обычные ПДн: фамилия, имя, отчество, дата и место рождения, паспортные данные, адрес, номер телефона, ИНН, СНИЛС и т.д.
Специальные категории персональных данных: сведения о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных допускается только в случаях, прямо указанных в статье 10 ФЗ №152-ФЗ. Например, если есть согласие субъекта или ПДн нужны для исполнения трудового законодательства.
Биометрические ПДн. Это данные, которые характеризуют физиологические и биологические особенности человека и используются для идентификации: изображение лица, отпечатки пальцев, голос, радужка глаза (статья 11 ФЗ №152-ФЗ).
Иные ПДн: служебные идентификаторы, логины, IP-адреса, данные о действиях пользователя на сайте, если их можно связать с конкретным лицом.
Например, имя физлица, номер телефона и адрес электронной почты, указанные при оформлении заказа в интернет-магазине — это ПДн, а просто имя или фамилия — нет.
Какие данные не относятся к персональным
Не вся информация о человеке является персональными данными. ФЗ № 152-ФЗ защищает только те сведения, по которым можно точно идентифицировать конкретное лицо.
Например, отдельно взятые имя или фамилия без дополнительной информации (должности, телефона, адреса) — это не ПДн. Данные становятся персональными, когда их объединяют. Комбинация ФИО, а также связка имени с номером телефона, email-адресом или аккаунтом в сервисе уже позволяют установить личность.
Персональными данными также не считаются полностью обезличенные или агрегированные сведения, которые невозможно отнести к конкретному человеку даже косвенным путем. Например, не считается ПДн статистика посещаемости сайта (общее число визитов, просмотров страниц) или обезличенные итоги опроса или исследования.
Кто считается оператором персональных данных
Оператором признается государственный или муниципальный орган, юридическое либо физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных (статья 3 закона «О персональных данных» №152-ФЗ). Оператор не только работает с ПДн, но и определяет цели обработки, состав персональных данных и конкретные действия с ними.
На практике оператором считается почти любой бизнес или специалист, который собирает данные клиентов, сотрудников или контрагентов. Форма деятельности значения не имеет: онлайн или офлайн, с автоматизацией или без нее.
Примеры операторов:
Интернет-магазин, принимающий заказы и доставку.
Стоматологическая клиника, ведущая медицинские карты пациентов.
Работодатель, обрабатывающий данные сотрудников.
Образовательная платформа с регистрацией пользователей.
Индивидуальный предприниматель, оказывающий услуги по договору.
Считается ли самозанятый оператором персональных данных
Да, самозанятый считается оператором ПДн, если он осуществляет обработку персональных данных физических лиц. То же самое касается и ИП на НПД. Даже если бизнес небольшой — например, фриланс, онлайн-услуги или консультации — при обработке ФИО, телефонных номеров, адресов электронной почты или других ПДн вы считаетесь оператором.
Кто считается субъектом персональных данных
Субъектом персональных данных является любое физическое лицо, чьи сведения собираются, хранятся или иным образом обрабатываются оператором. Проще говоря, это человек, к которому относятся конкретные данные, и чьи права защищает ФЗ №152-ФЗ. Субъект не зависит от возраста, профессии или гражданства — достаточно, чтобы его личность могла быть прямо или косвенно установлена по информации, которой владеет оператор.
На практике субъектами персональных данных выступают самые разные люди, взаимодействующие с бизнесом, государственными органами или сервисами. Примеры:
Клиент медицинской клиники, оставивший контактные данные и медицинскую карту.
Человек, обратившийся за муниципальной услугой, например, оформлением паспорта.
Заказчик по договору оказания услуг, передавший ФИО, паспортные данные и контактную информацию.
Пользователь онлайн-платформы, зарегистрировавшийся на сайте и указавший ФИО и email.
Сотрудник компании, чьи данные хранятся в кадровой системе.
Субъекты ПДн по закону ряд ключевых прав: например, могут запросить информацию об обработке своих данных, потребовать их исправить или удалить, а также запретить обработку, для которой нужно согласие. Ваша задача как оператора — эти права соблюдать и обеспечивать их реализацию.
Что такое обработка персональных данных
Обработка персональных данных — это любые действия или совокупность действий, которые совершаются с данными как с помощью автоматизированных систем, так и без них. Закон включает в это понятие широкий спектр операций: сбор, запись, систематизацию, накопление, хранение, уточнение или обновление, извлечение, использование, передачу другим лицам, обезличивание, блокирование, удаление и уничтожение.
Важно понимать, что данные могут обрабатываться не только в офлайне, но и в интернете. Например, когда вы собираете персональные данные на сайте — форму регистрации, контактные данные или историю заказов — вы уже осуществляете обработку. То же касается базы клиентов в Excel, кадровой системы или CRM: любые действия с данными попадают под определение обработки.
Главное правило для оператора — каждая операция должна быть законной и безопасной, а права субъектов персональных данных — соблюдены.
Когда нужно согласие субъекта на обработку персональных данных
Документ нужен в большинстве случаев, но иногда ПДн можно обрабатывать и без него (ст.6 ФЗ №152-ФЗ):
Выполнение обязательств по договору, стороной которого является субъект.
Исполнение судебного акта или решения другого органа.
Предоставление государственных или муниципальных услуг.
Защита жизни, здоровья или жизненно важных интересов субъекта, если согласие получить невозможно.
Осуществление профессиональной деятельности журналиста, законной деятельности СМИ, научной, литературной или иной творческой деятельности без нарушения прав субъекта.
Статистические или исследовательские цели при обязательном обезличивании данных.
Обработка данных, подлежащих обязательному раскрытию по закону.
При работе с персональными данными работников и клиентов важно:
четко объяснять цели обработки;
обеспечивать точность и актуальность данных;
принимать меры по защите персональных данных физлиц;
документировать процессы обработки и соблюдать все правила ФЗ №152-ФЗ.
Например, для регистрации на большинстве сайтов нужно вводить ПДн, и в таком случае согласие обязательно. Если же клиент оформляет заказ товара онлайн, оно не понадобится.
Можно ли использовать одно универсальное согласие на все цели обработки
Нет, использовать одно согласие на все цели обработки персональных данных нельзя. По закону важно, чтобы согласие было конкретным и информированным: субъект должен понимать, какие именно данные обрабатываются и с какой целью. Универсальное согласие не дает человеку возможности контролировать, каким образом его сведения будут использоваться, и нарушает принцип прозрачности, закрепленный в ст.5 ФЗ №152-ФЗ.
Важно помнить два ключевых правила:
Одна цель — одно согласие. Например, согласие соискателя на обработку ПДн не дает право на использование его данных для маркетинговых рассылок, к тому же для них нужно другое согласие.
Обработка — не передача. Согласие на работу с данными внутри вашей компании не означает автоматического разрешения передавать их партнерам или другим третьим лицам. На передачу нужно получать отдельное согласие.
Как правильно оформить отзыв согласия на обработку персональных данных
Отзыв согласия на обработку оформляется письменно или в электронной форме тем же способом, которым оно было дано. Например, если документ подписан на бумаге — отзыв оформляется письменно, если через сайт или email — в электронном виде.
После получения отзыва оператор обязан прекратить обработку в течение 30 дней.
Кто должен подавать уведомление об обработке персональных данных в Роскомнадзор
Перед сбором ПДн у первого субъекта оператор обязан направить уведомление в уполномоченный орган — Роскомнадзор — о своем намерении осуществлять обработку. Это необходимо для внесения оператора в реестр и контроля соблюдения требований законодательства. Уведомление подается независимо от формы деятельности, если используются любые средства автоматизации персональных данных.
Направлять уведомление не нужно в исключительных случаях (ст.22 ФЗ №152-ФЗ):
Если данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка.
Если обработка проводится исключительно без использования средств автоматизации.
Если обработка связана с обеспечением транспортной безопасности, защиты интересов личности, общества и государства в транспортной сфере.
Как проверить регистрацию в реестре операторов Роскомнадзора
Это можно сделать за несколько минут: Для этого используется открытый реестр операторов персональных данных на официальном сайте ведомства.
Перейдите на официальный сайт Роскомнадзора и откройте раздел «Реестр операторов ПДн».
Введите в форму поиска ИНН организации или ИП — это самый точный способ проверки.
При отсутствии ИНН можно указать ОГРН или полное наименование компании, но в этом случае важно учитывать регистр и возможные совпадения.
Нажмите кнопку «Найти» и проверьте результат.
Если сведения найдены, значит, оператор подал уведомление и включен в реестр.
Может ли оператор передавать персональные данные субъекта
Да, может это делать, но только при наличии законного основания: например, согласия субъекта. Если речь идет о ПДн сотрудников, действуют дополнительные требования трудового законодательства. При передаче персональных данных работника работодатель обязан (ст. 88 ТК):
не сообщать данные третьей стороне без письменного согласия работника, за исключением случаев, связанных с угрозой жизни и здоровью или прямо установленных законом;
не использовать ПДн работника в коммерческих целях без его письменного согласия;
предупреждать получателей данных о целевом использовании и требовать соблюдения конфиденциальности;
осуществлять передачу данных внутри организации или у одного ИП только на основании локального нормативного акта, с которым работник ознакомлен под роспись;
предоставлять доступ к данным только уполномоченным лицам и в объеме, необходимом для выполнения их функций;
не запрашивать сведения о состоянии здоровья, кроме случаев, связанных с возможностью выполнения трудовой функции.
Важно! Если ПДн передаются по запросу государственных или правоохранительных органов, в ФНС, СФР или военкомат, согласие не нужно.
Что считается распространением персональных данных
Распространение ПДн — это действия, в результате которых сведения становятся доступными неограниченному кругу лиц. Распространение принципиально отличается от передачи данных конкретному получателю, так как в этом случае оператор не контролирует, кто именно получит доступ к информации.
Для распространения ПДн нужно отдельное согласие субъекта. Без него распространять ПДн нельзя, даже если субъект ранее давал согласие на обычную обработку. Например, согласие на распространение обязательно понадобится для публикации списка сотрудников с указанием персданных на сайте компании.
Как законно обрабатывать персональные данные клиентов и контрагентов
Основная задача оператора — обеспечение безопасности персональных данных и соблюдение требований ФЗ №152-ФЗ на всех этапах работы с информацией.
Чтобы выстроить все процессы, необходимо:
Назначить ответственное лицо за организацию обработки персональных данных. Он взаимодействует с Роскомнадзором, организует обучение сотрудников, участвует в разработке документов и в других процессах, связанных с ПДн.
Подготовить пакет документов по персональным данным: Политику обработки ПДн, локальные нормативные акты, формы согласий, регламенты доступа и хранения данных. Документы должны отражать реальные процессы.
Подать уведомление о начале обработки, если это обязательно по ст.22 ФЗ №152-ФЗ.
Оформить шаблоны согласий: на обработку, распространение, передачу.
Проводить регулярный аудит процессов обработки — не реже одного раза в год, чтобы вовремя выявлять риски.
Вносить изменения в документы по ПДн при любом изменении процессов обработки: например, внедрении новой CRM-системы.
Как хранить персональные данные
Хранение персональных данных возможно как с использованием средств автоматизации, так и без них. Формат зависит от того, в каком виде получены данные и какие процессы используются у оператора. При любом варианте ключевое требование закона — ограничить доступ к персональным данным только уполномоченным лицам.
Автоматизированное хранение включает компьютеры, программное обеспечение, корпоративные серверы и облачные сервисы. Оператор обязан обеспечить защиту таких систем: использовать пароли, двухфакторную аутентификацию и ролевую модель доступа. Например, бухгалтеру предоставляется доступ к зарплатным данным, а менеджеры по продажам и HR не видят эти разделы.
Неавтоматизированное хранение — это бумажные носители. Документы с персональными данными хранятся в закрытых сейфах или специально оборудованных помещениях. Доступ к ним имеют только сотрудники, чьи функции напрямую связаны с обработкой данных, например, кадровые специалисты.
Сроки хранения определяются ФЗ №152-ФЗ, ФЗ от 22.10.2004 №125-ФЗ и приказом Росархива № 236. Личные дела сотрудников хранят 75 лет, если делопроизводство завершено до 01.01.2003, и 50 лет — если после. Согласия на обработку персональных данных хранятся не менее 3 лет.
Что такое трансграничная передача персональных данных
Здесь подразумевается передача ПДн на территорию иностранного государства иностранному органу власти, физлицу или организации. Если персональные данные в организации передаются за пределы России, оператор обязан заранее подать в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу. Без этого отправлять ПДн нельзя.
Дальнейший порядок зависит от страны получателя:
Если государство входит в перечень стран с адекватной защитой ПДн, оператор может сразу передавать данные после подачи уведомления.
Если страна не признана «адекватной», нужно выждать 10 рабочих дней — Роскомнадзор может запретить передачу или установить ограничения.
Важно! Перечень стран, обеспечивающих адекватную защиту, утвержден приказом Роскомнадзора от 05.08.2022 г. № 128. В него входят, например, Грузия, Австрия, Ирландия, КНР и другие, а вот США — нет.
Что означает требование о локализации персональных данных
При сборе персональных данных граждан РФ их первичная запись, систематизация, накопление и хранение должны происходить на территории России. Это правило закреплено в части 5 статьи 18 ФЗ №152-ФЗ и действует независимо от способа сбора данных, в том числе через интернет.
Проще говоря, если вы собираете данные клиентов или сотрудников из России, использовать иностранные базы данных для первичного сбора и хранения нельзя. Сначала данные должны попасть в российскую базу, и только после этого возможна их дальнейшая обработка, включая трансграничная передача, если соблюдены требования закона.
Исключения есть, но они ограничены и прямо перечислены в статье 6 ФЗ №152-ФЗ. На практике бизнесу важно заранее проверить, где физически находятся серверы сайтов, CRM и облачных сервисов, чтобы не нарушить требование о локализации.
Какие документы по персональным данным должны быть в организации
Работа с персональными данными невозможна без правильно оформленных документов. Они подтверждают, что оператор соблюдает требования ФЗ №152-ФЗ и правильно выстроил процессы обработки. Состав документов зависит от масштаба бизнеса и способов обработки данных, но базовый набор нужен любой организации:
Политика обработки персональных данных — публичный документ, который описывает цели обработки, категории данных и права субъектов. Его размещают на сайте, если данные собираются через интернет.
Положение о защите персональных данных — внутренний документ, с которым нужно ознакомить всех сотрудников, допущенных к ПДн.
Приказ о назначении ответственного за организацию обработки персональных данных.
Перечень обрабатываемых персональных данных и категорий субъектов.
Формы согласий на обработку, передачу и распространение персональных данных.
Регламенты доступа к ПДн и правила разграничения прав сотрудников.
Инструкции по обеспечению безопасности ПДн при автоматизированной и неавтоматизированной обработке.
Акты, журналы учета и т.д.
Если способы хранения, состав данных или цели меняются, документы нужно обновлять, иначе при проверке выяснится, что они не соответствуют реальным процессам, и компания получит предписание.
Обязательно ли назначать ответственного за обработку персональных данных
Да, это обязательное требование. Сотрудник (или сторонняя компания), ответственный за защиту персональных данных, выполняет ключевые задачи:
контролирует соблюдение закона № 152-ФЗ;
выстраивает внутренние процессы для хранения, обработки и защиты информации;
взаимодействует с Роскомнадзором.
Хотя состав мер защиты компания определяет самостоятельно, назначить ответственного обязано каждое юридическое лицо. Это необходимо даже при небольшом объеме данных для обеспечения законности и безопасности всей работы с ними.
Что делать при утечке персональных данных
Если произошла утечка, оператору необходимо действовать быстро. В течение 24 часов с момента выявления утечки нужно направить уведомление в Роскомнадзор. В течение 72 часов необходимо отчитаться о результатах расследования причин инцидента и о принятых мерах.
Также важно оповестить пострадавших — сотрудников, клиентов или контрагентов, чтобы сохранить доверие и минимизировать репутационные риски.
Если утечка произошла в результате хакерской атаки, оператор обязан передать сведения о взломе в ГосСОПКА — государственную систему для обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Какие штрафы предусмотрены за нарушения в сфере персональных данных
Мы подготовили таблицу со штрафами за самые распространенные нарушения ФЗ №152-ФЗ операторами:
Нарушение
Размер штрафа (рублей)
Обработка персональных данных без согласия, когда оно обязательно
Неопубликование Политики обработки в открытом доступе
Для ИП — от 10 000 до 20 000, для юрлиц — от 30 000 до 60 000
Невыполнение требований субъекта по уточнению, блокированию, уничтожению ПДн
Для ИП — от 20 000 до 40 000, для организаций — от 50 000 до 90 000
Нарушение правил хранения носителей ПДн на бумаге, если это повлекло несанкционированный доступ
Для ИП — от 20 000 до 40 000, для юрлиц — от 50 000 до 100 000
Неподача уведомления о начале обработки ПДн
Для ИП и юрлиц — от 100 000 до 300 000
Несоблюдение требования об уведомлении РКН об утечке ПДн
Для ИП и организаций — от 1 до 3 млн
Утечка ПДн
Кто несет ответственность при передаче обработки ПДн подрядчику
Передавая данные подрядчику, оператор не снимает с себя ответственность. Он отвечает перед субъектами за соблюдение их прав, законность целей обработки и правомерность самой передачи. Подрядчик обязан обеспечить безопасность ПДн, но основная ответственность все равно возлагается на первоначального оператора.
При передаче персональных данных третьим лицам, включая банки или IT-подрядчиков, оператор должен:
заключить договор с подрядчиком, где прописаны обязанности по защите ПДн;
проверить, что подрядчик применяет меры безопасности, соответствующие законодательству;
контролировать использование данных только для целей, указанных в договоре;
при необходимости взять согласие субъекта на передачу.
Пример: банк передает персональные данные клиентов колл-центру для проведения обзвона. Даже если колл-центр соблюдает все правила, ответственность за законность передачи и защиту данных несет банк.
