Пять базовых принципов закона о персональных данных

Деятельность по обработке персональных данных регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

В 2021 году значительно выросли штрафы за нарушения в работе с персональными данными. Появились и другие нововведения, которые обеспечили им дополнительную защиту. Так, прояснился вопрос о получении согласия на распространение данных.

Но начинать разбираться в теме нужно с законодательных основ.

Персональные данные, как следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных), это любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и т.д.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется на все без исключения организации. Поскольку в каждой есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, турагентства) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

У товариществ собственников жилья нет ни работников, ни клиентов. Это объединение собственников квартир. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Например, для доставки товара интернет-магазину достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие на обработку персональных данных у субъекта данных (ст. 9 Закона о персональных данных).

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам СМС-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью.

В ч. 1 ст. 15 Закона о персональных данных указано на то, что рекламные контакты с клиентами совершаются только при условии получения их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 Закона о персональных данных) и биометрических персональных данных (ст. 11 Закона о персональных данных).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 Закона о персональных данных).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 Закона о персональных данных):

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, Политики в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т.д.

Эти меры связаны с деятельностью компании. Закон требует, чтобы Политика в отношении обработки персональных данных была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие обращения, уточняется в ст. 20 и ст. 21 Закона о персональных данных.

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

Чек-лист: что нужно сделать

1. Разобраться, с данными каких категорий субъектов имеет дело бизнес, на каком основании и с какой целью он использует их.
2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
3. Принять соответствующие организационные меры. Например, опубликовать Политику в отношении обработки персональных данных и быть готовыми выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
4. Позаботиться о технических мерах. Стоит отметить, что закон предоставляет бизнесу свободу в выборе технических мер. Что касается госкомпаний, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.