Способы обработки персональных данных в 2025 году

11/02/25

Б-152

Способы обработки персональных данных в 2025 году

В современных реалиях право человека на конфиденциальность ограничено. Информацию о частной жизни, паспортных данных и т.д. нужно предоставлять повсеместно: и государственным органам, и банкам, и другим организациям.

После того как персональные данные переходят в распоряжение какой-либо компании, она признается оператором ПДн и вправе производить с информацией разнообразные действия, регламентированные законом. Это право дает сам человек, который подписывает согласие на то, что его личные данные будут обрабатывать. Какие способы обработки персональных данных существуют, что может делать со сведениями оператор, каковы его обязанности ― читайте далее.

Вообще понятие «персональные данные» было введено в российское правовое поле в начале 2000-х. Позаимствовали его из законов Европы и США. Ввели термин в законодательные акты РФ для того, чтобы обеспечить защиту информации о частной жизни человека от доступа посторонних лиц.

Закон “О персональных данных” ФЗ-152 был введен 27 июля 2006 года. Под способами обработки персональных данных, согласно ФЗ-152, понимают разнообразные действия, которые производятся с личной информацией людей и выполняются либо физическими лицами, либо компаниями.

Что входит в состав личных сведений ― в законе прямо не говорится. Но в нем присутствует словосочетание «любая информация», которая относится к человеку. Если сделать соответствующие выводы, то, вероятно, это ФИО, дата рождения, адрес, телефон и прочие сведения.

Существует только один способ отзыва согласия на обработку персональных данных ― подать заявление в свободной форме и соответствующей компании. На протяжении 30 дней после получения оператор должен уничтожить информацию. Это не касается банков ― они обязаны хранить сведения, но использовать их, например, для рассылок, они не могут.

Подать заявление можно:

• Лично, в бумажном формате. Необходимо написать два экземпляра. В одном из них должен расписаться представитель компании.
• В электронной форме ― через приложение или сайт организации.
• По почте ― отправить заказное письмо с уведомлением.

В заявление необходимо вписать личные сведения и данные оператора.

Законом устанавливаются определенные принципы обработки персональных данных. Компании и физлица обязаны их соблюдать. Вот эти принципы:

• Используя разные способы обработки персональных данных, следует руководствоваться порядком, прописанным в ФЗ-152.
• Собирать, обрабатывать и использовать личные сведения без определенных целей категорически запрещено.
• Объем собранной информации должен соответствовать целям, для которых ее собирают. Собирать избыточные данные категорически запрещено.
• Способы и сроки обработки персональных данных установлены законодательно, они определены соглашением с владельцем информации либо целью, с которой обрабатываются сведения.
• Личные сведения должны быть актуальными, максимально точными и достаточными. То есть, если оператор ПДн узнал, что информация изменилась, он должен внести корректировки.

Перед тем как приступать к обработке данных, потенциальный оператор должен отправить уведомление в Роскомнадзор. Не уведомлять государственный орган можно только в нескольких случаях (ч. 2, ст. 22, ФЗ-152):

• информацию обрабатывают в рамках трудовых отношений;
• данные получены в результате заключения соглашения и не подлежат передаче третьим лицам;
• сведения ― общедоступные;
• ведется обработка исключительно ФИО субъекта;
• информацию собирают однократно для пропуска лица на территорию компании;
• данные собирают без применения автоматизированных средств.

В течение 30 дней после получения уведомления Роскомнадзор вносит информацию в реестр. Процедура для заявителя полностью бесплатная.

Основная задача компании, которая собирает, хранит и обрабатывает данные ― обеспечить их защиту и неприкосновенность. Поэтому оператор обязан предпринимать следующие меры:

• Разработать политику работы с персональными данными и довести ее до сведения клиентов.
• Запрашивать согласие на обработку ПДн.
• При использовании автоматизированных систем четко определять потенциальные угрозы и исключать возможность распространения данных.
• Соблюдать меры безопасности, которые установлены приказом ФСТЭК №21 от 18.02.2013 и приказом ФСБ №378 от 10.07.2014.
• Протоколировать все случаи нелегального доступа к информации, восстанавливать данные, которые были утрачены или повреждены после такого доступа.
• Устанавливать регламент, согласно которому люди могут получить доступ к сведениям.
• Контролировать соответствие обработки ПД законодательным требованиям.

Роскомнадзор вправе инициировать проверку за соблюдением всех указанных мер.

В ФЗ-152 указано, какие действия можно производить с личными сведениями, которые поступили в распоряжение организации. Этот список ограничен, никаких приложений и дополнений к нему нет.

Итак, оператор вправе осуществлять:

• Сбор персональных данных.

В этом случае речь идет о фактической передаче субъектом информации о себе компании.

• Запись персональных данных.

Осуществляется вручную или автоматизированным способом.

• Систематизация персональных данных.

Это определенные технические действия, за счет которых оператору становится проще обрабатывать персональную информацию.

• Накопление персональных данных.

Под этим термином понимают хранение объемов информации на бумажных носителях или с помощью автоматизированных средств вплоть до того, как она будет уничтожена.

• Хранение персональных данных.

К методам защиты при хранении информации предъявляется масса требований на законодательном уровне. Они могут быть как физическими, так и техническими.

• Уточнение персональных данных.

Это либо обновление, либо корректировка сведений.

• Извлечение персональных данных.

Речь идет о переносе сведений из хранилищ автоматизированных средств на бумажные носители.

• Использование персональных данных.

То есть сведения используются в конкретных целях.

• Передача персональных данных.

Речь идет о предоставлении доступа к информации посторонним лицам, а также о распространении сведений. Распространение ― это публикация информации для неограниченного доступа третьих лиц. Они могут получить данные с сайта, газеты и так далее. Предоставление ― это совершение аналогичных действий, но в отношении определенного количества субъектов. Предоставление определяется договором или другим методом.

• Обезличивание персональных данных.

Такой метод предусматривается системами безопасности. Обезличивание почти полностью исключает возможность извлечения личных сведений определенного субъекта из базы, общей для всех. Оно осуществляется только в случаях, когда данные обрабатывают автоматизированно. Когда применяют обезличивание, выделить информацию об определенном лице из общего массива получится только с помощью специализированных средств.

• Блокировка персональных данных.

Это прекращение практически всех действий с ПДн на какое-то время. Сведения блокируются по заявлению владельца персональных данных либо по требованию со стороны регулирующего ведомства. Если сведения заблокированы, обрабатывать их можно исключительно для уточнения.

• Удаление персональных данных.

Выполняется при корректировке личных сведений или чтобы решить определенные технические задачи.

• Уничтожение персональных данных.

Личная информация уничтожается полностью без возможности восстановления. Если информация находилась на материальных носителях ― их также уничтожают. Уничтожение выполняется по требованию владельца ПДн или когда срок обработки сведений завершается.

Разрешенные способы обработки персональных данных в организации указаны в ст. 3 ФЗ-152. Это:

• автоматизированный способ;
• обработка персональных данных неавтоматизированным способом.

На сайте Роскомнадзора тоже можно увидеть аналогичные сведения о способах обработки персональных данных.

Это совершение разнообразных действий с личными сведениями человека, связанных с применением средств вычислительной техники. Что такое «средства вычислительной техники» — в законе не указано, но и так понятно, что это IT-системы.

Для автоматизированного способа существует одно важное ограничение: нельзя принимать решения, на основании которых могут изменяться права или обязанности человека, только с ориентиром на результаты обработки сведений средствами вычислительной техники. Требования к средствам и способам автоматизации, с помощью которых осуществляется обработка ПДн, определяет ФСТЭК России.

Занесение персональных сведений вручную на бумажные носители. Далее организация продолжает работать с такими носителями. В отношении этого способа действительны общие принципы и специальные организационные мероприятия, которые затрудняют физический доступ третьих лиц к информации. Например, разграничивается функционал персонала организации и обеспечивается физическая защита помещений.

Допускается возможность обработки персональных данных с применением смешанного способа ― это сочетание автоматизированных и неавтоматизированных средств.

В ФЗ-152 указано, что любая обработка личных сведений должна основываться на конкретных принципах. Обязанность каждого оператора ПДн ― строго им следовать.

Основные из них:

• Справедливость и законность. Обрабатывать личные сведения можно исключительно на основании законных целей. Причем и владельцы ПДн, и операторы находятся в равных условиях.
• Конкретность. Обрабатывать личную информацию можно только для того, чтобы достичь определенных целей, которые оператор определяет заранее. Запрещено обрабатывать сведения, если это не соответствует установленным целям.
• Недопущение избыточности. Можно обрабатывать только тот объем информации, который необходим для достижения назначенных целей. Запрашивать у человека избыточные сведения запрещено.
• Точность, достаточность и актуальность. Неправильную информацию должен удалять оператор. Если субъект подал заявление об изменении сведений ― оператор должен их актуализировать.
• Минимальная идентификация. Хранить ПДн в средствах автоматизации можно только так, чтобы идентифицировать их владельца можно было исключительно в строго определенное время и для решения конкретных задач.

Любая компания должна придерживаться конкретных условий обработки личных данных, указанных в законодательстве.

• Обрабатывать ПДн можно только после того, как человек согласился на это и не отозвал свое согласие.
• Если субъект не выражал согласие ― обрабатывать информацию можно только в ситуациях, строго определенных законодательством. Речь идет о нескольких ситуациях. Например, на оператора возложена обязанность по осуществлению деятельности, предполагающей обязательную обработку личной информации, или если это указано в требованиях международных договоров, законов РФ, действующих в важных областях, например, в сфере противостояния терроризму. Также к этому случаю относятся ситуации, когда личные сведения предоставляют государственным либо федеральным органам для исполнения их обязанностей, которые установлены на законодательном уровне.
• Обрабатывать личные сведения без согласия человека можно в рамках различных судебных процессов.

Есть еще один частный случай. Обрабатывать личные данные без согласия их владельца можно в ситуациях, когда это требуется для защиты жизни и здоровья человека. Журналисты тоже могут обрабатывать персональные сведения, но с условием, что они не нарушают интересы и права лица на тайну личной жизни.

Придерживаться норм и принципов в сфере обработки ПДн обязан любой оператор ― будь то коммерческая организация или государственные органы. Нарушения в этой области могут привести к административным штрафам и ответственности оператора.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме