Продукты
Продукты
close
Menu
02
База знаний
05
Услуги
01
О нас
04
2024
Контакты
phone
e-mail:
Обучение
03
Специальные категории персональных данных: почему это так важно?
13.01.2023
В конце 2024 года был обозначен дальнейший курс законодательства в сфере персональных данных — усиление ответственности за нарушения операторов, в том числе и за утечки специальных категорий персональных данных как одного из видов «чувствительной» информации.
04/03/25
Б-152
Дарья Давыдова
Специальные категории персональных данных: почему это так важно?
Одним из важных аспектов персональных данных, на котором был один из фокусов, в том числе и с точки зрения штрафов, — специальные категории. Но что же такое специальные категории и почему так важно разбираться в деталях их обработки?
Определение
Статья 10 Федерального закона № 152-ФЗ «О персональных данных» указывает, что к специальным категориям относятся сведения о субъекте персональных данных, касающиеся:
- расовой принадлежности;
- национальной принадлежности;
- политических взглядов;
- религиозных или философских убеждений;
- состояния здоровья;
- интимной жизни;
- наличия (или отсутствия) судимости.
Следует помнить, что это именно категории персональных данных, а не строгий перечень конкретных сведений. Законодатель возложил на оператора обязанность определять, относится ли конкретная информация к специальным категориям, исходя из контекста использования данных.
Почему важно разбираться в специальных категориях персональных данных?
Знание и понимание того, какие именно сведения относятся к специальным категориям, помогает:
- Защитить права субъектов. Неправомерная обработка особенно чувствительных сведений может привести к дискриминации, утрате конфиденциальности и другим негативным последствиям для человека.
- Избежать крупных штрафов. Законодательство предусматривает серьёзную финансовую ответственность за нарушения, связанные с несанкционированным сбором, обработкой и хранением подобных данных.
- Сохранять репутацию. Утечка или нецелевое использование подобных сведений может нанести серьёзный ущерб доверию со стороны клиентов и партнёров.
- Обеспечить соответствие требованиям закона. Понимание правовых норм и исключений позволит корректно применять разрешённые основания для обработки и избегать конфликтов с регулирующими органами.
Общий запрет на обработку
По общему правилу обработка таких данных не допускается (ч. 1 ст. 10 152-ФЗ). Это объясняется их особой чувствительностью и возможными рисками для субъекта.
Исключения из запрета
Несмотря на общий запрет, части 2 и 2.1 ст. 10 152-ФЗ содержат ограниченный перечень случаев, когда обработка специальных категорий персональных данных всё же допустима. При этом необходимо соблюдать все требования законодательства.
Сравнивая основания, предусмотренные статьей 6 152-ФЗ (общие требования обработки для персональных данных в целом), и положения статьи 10 152-ФЗ, можно найти схожие условия, например, обработку на основании согласия субъекта. Однако важно понимать, что перечень оснований для обработки специальных категорий закрыт и не подлежит расширительному толкованию.
Операторы, пытающиеся выйти за эти рамки, рискуют столкнуться со штрафами от Роскомнадзора. Более того, как только устранены причины (или достигнуты цели обработки специальных категорий персональных данных) такая обработка должна быть немедленно прекращена (ч. 4 ст. 10 152-ФЗ).
Так, п. 1 ч. 2 ст. 10 152-ФЗ предусмотрена возможность получения согласия на обработку персональных данных в письменной форме, соответствующей ч. 4 ст. 9 152-ФЗ. При этом, такое условие не работает в отношении сведений о наличии (или отсутствии) судимости.
Пример нарушения
Допустим, организация при приёме на работу запрашивает сведения о наличии или отсутствии судимости. Руководство полагает, что действует на основании п. 2.3 ч. 2 ст. 10 152-ФЗ, то есть в соответствии с трудовым законодательством.
Однако, согласно ст. 65 ТК РФ, такие сведения требуются лишь в конкретных сферах деятельности, например:
- образование, медицина, социальная защита (ст. 351.1 ТК РФ);
- федеральная служба безопасности (п. «в» ч. 3 ст. 16 Федерального закона от 03.04.1995 № 40-ФЗ);
- объекты топливно-энергетического комплекса (п. 1 ч. 1 ст. 10 Федерального закона от 21.07.2011 № 256-ФЗ).
Если деятельность организации не подпадает под указанные сферы, требование предоставить такие сведения будет незаконным. Письменная форма согласия на обработку персональных данных, полученная по всем требования ч. 4 ст. 9 152-ФЗ, также не поможет в данной ситуации.
В соответствии с ч. 3 ст. 10 152-ФЗ обработка сведений о наличии (или отсутствии) судимости может осуществляться либо на основании федеральных законов (то, что было рассмотрено выше), либо государственными или муниципальными органами в пределах своих полномочий. В связи с этим, не рекомендуем запрашивать такие сведения у субъектов, если у организации отсутствуют правовые основания.
Ответственность за нарушение
При отсутствии правовых оснований для обработки специальных категорий персональных данных такая деятельность признаётся незаконной и влечёт ответственность в размере от 300 до 700 тыс. рублей по ч. 2 ст. 13.11 КоАП РФ, и от 1 до 1,5 млн рублей за повторное нарушение по ч. 2.1 ст. 13.11 КоАП РФ.
Дополнительно, с 31 мая 2025 года вводится новая часть в ст. 13.11 КоАП РФ, устанавливающая штраф от 10 до 15 млн рублей за утечку специальных категорий персональных данных. Это подчёркивает особую важность защитных мер и точного соблюдения законодательства.
Выводы и практические рекомендации
Понимание особенностей специальных категорий персональных данных и правильный выбор законных оснований для их обработки — ключевой фактор в соблюдении требований российского законодательства. Операторам, обрабатывающим такие сведения, следует:
- Оценить свои процессы. Выявите, где может обрабатываться информация, относящаяся к специальным категориям, и оцените риски.
- Уточнять законные основания. Перед сбором и обработкой критически важно убедиться, что вы имеете чёткую норму закона или согласие субъекта (если оно допустимо).
- Обеспечить безопасность. Для специальных категорий, особенно подверженных рискам утечки, необходимо внедрять дополнительные меры защиты и контролировать доступ к таким данным.
- Проводить регулярные аудиты. Проверяйте, как персональные данные обрабатываются на практике, и актуальны ли применяемые меры безопасности.
- Обучать сотрудников. Персонал, работающий с чувствительной информацией, должен чётко понимать правила и риски обработки специальных категорий.
Таким образом, грамотный подход к обработке специальных категорий персональных данных не только позволяет избежать правовых санкций, но и обеспечивает безопасность и прозрачность взаимодействия с субъектами данных.
Оставить заявку на консультацию по техническому аудиту информационных систем персональных данных
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме