Как обрабатывать персональные данные

Обработка персональных данных — это сложный процесс, который требует не только технических решений, но и строгого соблюдения законодательных норм.

Для начала необходимо назначить ответственного за организацию обработки персональных данных, если вы — юрлицо. В обязанности такого ответственного входит, в частности, внутренний контроль за соблюдением законодательства РФ о персональных данных. Обрабатывать персональные данные нужно с соблюдением принципов, предусмотренных ст. 5 Закона о персональных данных.

Обрабатывайте персональные данные только в случаях, предусмотренных ч. 1 ст. 6 Закона о персональных данных. Например, обработка персональных данных нужна, если заключается и исполняется договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Получите согласие на обработку персональных данных физлица. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого субъекта на обработку его персональных данных.

Разъясните физлицу юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление данных и (или) получение вами согласия на их обработку являются обязательными.

Есть случаи, когда получать согласие не нужно.

 

 

 

Полный перечень случаев, когда согласие на обработку персональных данных не требуется, я подобрала для Вас в КонсультантПлюс.

Субъект персональных данных или его представитель по общему правилу могут дать такое согласие в любой форме, которая позволяет подтвердить факт его получения оператором. В случаях, предусмотренных федеральным законом, оператор вправе обрабатывать персональные данные только с письменного согласия их субъекта. Оно может быть дано в бумажной или электронной форме. Сведения, которые должно содержать согласие, перечислены в п. п. 1-9 ч. 4 ст. 9 этого Закона. В частности, оно должно содержать сведения о субъекте персональных данных, цель обработки таких данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.

 

 

 

 

 

Образец согласия на обработку персональных данных я нашла для Вас в СПС КонсультантПлюс.

Учёт и хранение персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счёт своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Оформление журналов учёта персональных данных

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учёта персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учёта внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нём какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого, также следует вести журнал учёта выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учёта персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер.

В частности, работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обратите внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый режим доступа в них, требования к оборудованию, установить перечень лиц, имеющих право доступа в данные помещения.

Исходя из п. 21 Методических рекомендаций по ведению воинского учёта в организациях (утв. Минобороны России 11.07.2017) документы воинского учёта, содержащие персональные данные работников, рекомендуем хранить в железных шкафах в специально оборудованных помещениях.

Прекращение обработки персональных данных

Если выявлено, что обработка осуществляется неправомерно, прекратите в срок не более трёх рабочих дней с даты этого выявления обработку персональных данных или обеспечьте её прекращение лицом, действующим по вашему поручению.

По требованию субъекта персональных данных вы обязаны немедленно прекратить обработку его данных, если она осуществляется для продвижения товаров, работ, услуг на рынке путём прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

Если обеспечить правомерность обработки персональных данных невозможно, в срок не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных уничтожьте такие персональные данные или обеспечьте их уничтожение.

Уведомьте физическое лицо (его представителя) об устранении допущенных нарушений или об уничтожении персональных данных, а также Роскомнадзор, если обращение (запрос) получено от него.

Если цели обработки персональных данных достигнуты, вы по общему правилу должны прекратить обработку персональных данных или обеспечить её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Это нужно сделать в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.

Если субъект персональных данных отозвал согласие на обработку его персональных данных, вы по общему правилу должны прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Если при этом сохранение персональных данных более не требуется для целей обработки персональных данных, вы по общему правилу должны уничтожить такие данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Это нужно сделать в срок не более 30 дней с даты поступления указанного отзыва.

Если субъект персональных данных обратился к вам с требованием о прекращении обработки персональных данных, вы обязаны в течение 10 рабочих дней с даты получения требования прекратить её или обеспечить её прекращение (если обработка осуществляется другим лицом). Исключение — случаи, предусмотренные п. п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней.

Если субъект персональных данных направил требование прекратить обработку данных, разрешённых для распространения, прекратите передачу, распространение, предоставление таких данных, доступ к ним. Действие согласия этого субъекта на обработку его персональных данных, разрешенных для распространения, прекращается с момента поступления этого требования.

Если уничтожить персональные данные в течение установленного срока невозможно, заблокируйте персональные данные или обеспечьте их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению) и обеспечьте уничтожение данных в срок не более шести месяцев. Иной срок может быть установлен федеральными законами.

Подтвердить уничтожение персональных данных в случаях, предусмотренных ст. 21 Закона о персональных данных, нужно в соответствии с Требованиями, утверждёнными Приказом Роскомнадзора от 28.10.2022 N 179.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Как уничтожить персональные данные и подтвердить их уничтожение можно найти в СПС КонсультантПлюс.

Новые штрафы за нарушения в сфере персональных данных

За невыполнение обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, вас могут привлечь к административной ответственности. Так, с 30 мая 2025 года операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. Начнут применяться более строгие наказания за непредставление Роскомнадзору ряда уведомлений.

Утечка персональных данных

В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:

  • должностным лицам государственного или муниципального органа либо некоммерческой организации — от 200 тыс. до 400 тыс. руб.;
  • ИП и компаниям — от 3 млн до 5 млн руб.

На те же суммы оштрафуют в случае утечки от 10 тыс. до 100 тыс. идентификаторов физлиц. Это уникальные обозначения, которые находятся в информсистемах операторов. За более масштабные происшествия введут более крупные штрафы.

Неправомерное распространение персональных данных спецкатегорий обернётся штрафом:

  • для упомянутых должностных лиц — от 1 млн до 1,3 млн руб.;
  • для ИП и компаний — от 10 млн до 15 млн руб.

Сейчас таких составов в КоАП РФ нет. Однако действует правило об ответственности за необеспечение сохранности данных при их неавтоматизированной обработке, если это повлекло, например, неправомерный или случайный доступ к ним. Штрафы по данной норме значительно ниже.

Неуведомление Роскомнадзора

За несообщение ведомству об утечке, которой нарушены права субъектов персональных данных, назначат такие штрафы:

  • должностным лицам государственного или муниципального органа либо некоммерческой организации — от 400 тыс. до 800 тыс. руб.;
  • ИП и компаниям — от 1 млн до 3 млн руб.

За неуведомление о намерении обрабатывать личную информацию грозит штраф:

  • упомянутым должностным лицам — от 30 тыс. до 50 тыс. руб.;
  • ИП и компаниям — от 100 тыс. до 300 тыс. руб.

Такие же наказания установят для тех, кто известил Роскомнадзор несвоевременно.

Сейчас в этих ситуациях, полагаем, могут применить общую статью КоАП РФ о непредоставлении сведений. Она предусматривает предупреждение или намного более низкий штраф.

Нарушение прав потребителей

Отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии, повлечёт штраф:

  • для любых должностных лиц и ИП — от 50 тыс. до 100 тыс. руб.;
  • для любых компаний — от 200 тыс. до 500 тыс. руб.

Этот состав станет исключением из действующего правила. По нему штрафуют за отказ потребителю из-за того, что он правомерно не предоставил персональные сведения. Размер санкций по данному правилу в несколько раз ниже.