Что такое обработка персональных данных

Когда работаете с персональными данными сотрудников, соблюдайте утвержденный порядок получения, передачи, хранения и уничтожения персданных. Специалисты Системы Главбух рассказали, как организовать обработку персональных данных.

Как работать с личными данными: инструкцияСкачать бесплатно

Что является обработкой персональных данных
Термин «обработка персональных данных» закреплен законом «О персональных данных» от 27.07.2006  № 152-ФЗ. Он включает в себя различные операции с личной информацией граждан (например, сбор, хранение, систематизация, использование, передача другим лицам и т. д.), которые могут выполняться как физическими лицами, так и организациями.
Что можно отнести к персональным данным? Закон не дает четкого определения, но упоминает «любую информацию», относящуюся к человеку. Это позволяет заключить, что персональные данные включают Ф. И. О., дату рождения, адрес, телефон, электронную почту, профили в социальных сетях и прочее.
Не пренебрегайте требованиями закона к работе с персданными. С 30 мая 2025 года действуют повышенные штрафные санкции. Работодателям грозят миллионные штрафы и даже уголовный срок. Вместе с экспертом по защите персданных Максимом Лагутиным подготовили инструкцию, какие документы надо успеть исправить, чтобы избежать претензий.

Как работать с персданными без штрафов
Правила обработки персональных данных
Операторы персональных данных обязаны соблюдать несколько ключевых правил. Например, обработка должна проводиться в соответствии с действующим законодательством. Перед началом обработки необходимо уведомить Роскомнадзор, хотя в некоторых случаях уведомление не требуется (например, при обработке в рамках трудовых отношений, если данные общедоступны или получены в результате договора).
Персональные данные обрабатываются только с согласия их субъекта, которое в ряде случаев должно быть оформлено письменно с указанием обязательных положений (Ф. И. О., реквизиты удостоверяющего личность документа, цель обработки, список данных и срок согласия). В иных ситуациях согласие может быть дано в иной форме (например, путем установки галочки на сайте при регистрации).
Операторы обязаны прекратить обработку и уничтожить данные при отзыве согласия, за исключением случаев, предусмотренных законом (например, при выполнении госорганами своих обязанностей или судебном разбирательстве).
Обработка персональных данных должна быть целенаправленной, и объем данных должен соответствовать этой цели. Обработка данных без определенной цели или избыточных данных запрещена. Операторам необходимо поддерживать актуальность данных и обновлять их при изменении.
Оператор может поручать обработку данных другим лицам, если это предусмотрено законом или договором. При работе с данными необходимо соблюдать конфиденциальность и не передавать их третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законом.
Также важно проводить обезличивание данных и обеспечивать их безопасность от несанкционированного доступа. Необходимо назначить ответственных за обработку данных сотрудников, разработать и утвердить локальные нормативные акты, ознакомить с ними сотрудников и регулярно проводить обучение, своевременно выявлять и устранять нарушения в процессе работы с данными.
Способы обработки персональных данных
Закон определяет два способа обработки данных: автоматизированный и неавтоматизированный. В любом случае основная задача оператора — обеспечить сохранность и конфиденциальность данных. В организациях для этого разрабатываются правила обработки, внутреннего контроля, список лиц, имеющих доступ к данным, и получение согласия на обработку данных.
Обработка персональных данных без использования средств автоматизации может включать ручную обработку документов, содержащих персональные данные, или использование бумажных носителей информации.
При автоматизированной обработке дополнительно выявляются потенциальные угрозы утечки и предотвращается неправомерное распространение данных.
Ответственность за нарушение правил обработки персональных данных
За нарушение правил обработки персональных данных предусмотрены административная и уголовная ответственность. Административная ответственность регламентирована ст. 13.11 КоАП РФ и предусматривает с 30 мая штрафы: для граждан — от 10 000 до 15 000 руб., для должностных лиц — от 50 000 до 100 000 руб., для организаций — от 150 000 до 300 000 руб.
Уголовная ответственность предусмотрена ст. 137 и ч. 1 ст. 272 УК РФ. Гражданская ответственность может возникнуть по иску субъекта данных при нарушении его прав.
Важно: наличие в организации единственного сотрудника - руководителя компании - не освобождает оператора обработки персданных от подачи уведомления в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ).