Консалтинг Онлайн
Защита персональных данных

Персональные данные: что это и какие обязанности наступают у организаций при работе с ними

Многие компании считают, что не обрабатывают персональные данные. Это заблуждение: если у вас есть сотрудники и клиенты, вы наверняка запрашиваете личную информацию о них. Разбираем, с какими персональными данными обычно работает бизнес и что предпринять, чтобы избежать нарушений законодательных требований.
Персональные данные: что это и какие обязанности наступают у организаций при работе с ними
Иллюстрация: freepik/freepik

Как понять, что компания работает с персональными данными

Персональные данные — это информация, по которой можно прямо или косвенно идентифицировать физлицо. Именно такую трактовку дает закон № 152-ФЗ. На практике понять такую формулировку трудно — именно поэтому многие компании допускают ошибки при работе с личными данными сотрудников, клиентов и контрагентов.

Чтобы понять, относятся ли те или иные сведения к персональным данным, последовательно задайте себе три вопроса:

  1. Относится ли информация к конкретному физлицу? Ответ на этот вопрос утвердительный, если сведения описывают личность человека, его навыки, деятельность и другие характеристики. Например, это могут быть ФИО гражданина, его дата и место рождения, паспортные данные.

  2. Позволяет ли информация идентифицировать человека? При ответе на вопрос важно учесть, что некоторые сведения о физлице сами по себе не позволяют установить его личность. Например, если вы знаете только возраст и пол, определить конкретного их обладателя не получится. В совокупности с ФИО, серией и номером паспорта вы сможете идентифицировать личность гражданина, поэтому все эти сведения — его персональные данные.

  3. Выражены ли сведения в определенной форме? Личная информация может быть зафиксирована в документах, неофициальных бумагах, фотографиях, цифровых данных и в других формах. Это значит, что любой источник, в котором она есть, содержит персональные данные.

Какие бывают персональные данные

Личные данные о человеке принято делить на три группы. Для каждой из них существуют отдельные правила обработки. Чтобы не получить штраф за их нарушение, важно определиться, с какой группой сведений работает ваша компания.

Общие

Это наиболее обширная группа личных сведений. Требования к их обработке упрощены по сравнению с остальными категориями персональных данных. Тем не менее, сложность заключается в том, что перечень общих персданных нигде не закреплен. Это значит, что в каждом конкретном случае придется самостоятельно разбираться, относятся ли те или иные сведения к личной информации.

Самые очевидные примеры общих персданных — ФИО, дата и место рождения, адрес, профессия и должность. Но контролирующие органы и суды относят к таким данным и другую информацию. Например, заработную плату, файлы cookie, номер телефона и адрес электронной почты (письма Минкомсвязи от 07.07.2017 № П11-15054-ОГ, Роскомнадзора от 07.02.2014 № 08-КМ-3681).

Специальные

Специальные персональные данные — это сведения о человеке, которые информируют о его расовой и национальной принадлежности, политических и философских взглядах, состоянии здоровья и вероисповедании.

Чаще всего компании сталкиваются с информацией о состоянии здоровья своих сотрудников, которая содержится в справках, медицинских картах и больничных листах. Это значит, что работодателям необходимо учитывать особые требования к обработке таких сведений (ст. 10 закона № 152-ФЗ).

Биометрические

Такие персональные данные отражают физиологические и биологические характеристики конкретного человека. Например, их источником может быть фотография на пропуске, который сотрудник использует для того, чтобы попасть в офис или на производственный объект компании. Также биометрией считают видеозаписи с человеком, аудиозаписи с его голосом и отпечатки пальцев.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Какие обязанности должны исполнять компании, чтобы правомерно обрабатывать персданные

Любые действия с персональными данными являются их обработкой, даже их сбор и хранение. Поэтому абсолютное большинство компаний обязаны соблюдать требования законодательства о персональных данных. Закон возлагает на такие компании множество обязанностей, рассмотрим основные из них.

Чтобы избежать штрафов, проверок прокуратуры и предписаний от РКН при работе с персональными данными, воспользуйтесь бесплатной консультацией на сайте «Роском Онлайн». Здесь вы найдете всю информацию для операторов: от регистрации в Роскомнадзоре до подготовки документов в соответствии с законом 152-ФЗ, а также организации работы с персональными данными для ИП и компаний. На сайте доступен для скачивания чек-лист с перечнем необходимых внутренних документов и ссылками на законодательные акты.

Уведомить Роскомнадзор об обработке

Большинство организаций должны уведомить ведомство о намерении обрабатывать личные сведения. Исключений не так много, все они закреплены в п. 79 ч. 2 ст. 22 закона № 152-ФЗ.

Сообщить регулятору о том, что компания будет обрабатывать персональные данные, нужно до начала такой обработки. Уведомление заполняют по форме из приказа Роскомнадзора от 28.10.2022 № 180. Также придется проинформировать ведомство в двух случаях:

  • изменились сведения, которые компания указала в первоначальном уведомлении;

  • компания прекращает обрабатывать персданные.

Подробнее о том, как подготовить и направить сообщение в Роскомнадзор, рассказали в статье.

Подготовить необходимые локальные акты

Компания, которая работает с личной информацией о клиентах и сотрудниках, обязана издать и утвердить ряд документов (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ):

  • политику в отношении обработки персданных, в которой определяют общие положения такой обработки;

  • положение об обработке и защите персональных данных, которое содержит конкретные процедуры и механизмы обработки.

С документами необходимо ознакомить сотрудников компании, а также обеспечить к ним неограниченный доступ. Обычно ЛНА размещают на сайте компании и корпоративном портале.

Обратите внимание: такой пакет документов не универсален. Чтобы разработать все необходимые документы, нужно учитывать специфику компании, цели и категории персональных данных. Подробнее о том, какие еще документы понадобятся компании, рассказали в статье.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Соблюдать требования к обработке

Основное правило, которому необходимо следовать, — иметь правовое основание для обработки личных сведений.

Зачастую для этого получают согласие человека, информацию о котором обрабатывает компания. Требования к такому согласию закреплены в ч. 4 ст. 9 закона № 152-ФЗ.

Обратите внимание: для распространения персональных данных согласие нужно получать отдельно и в особой форме (ст. 10.1 закона № 152-ФЗ).

В некоторых случаях согласие на обработку не потребуется. Например, общие персональные данные можно обрабатывать для выполнения обязанностей работодателя, которые предусматривает трудовое законодательство. Чтобы разобраться, нужно ли вам получать согласие, необходимо учесть условия обработки личной информации, которые закреплены в ст. 6 закона № 152-ФЗ

Защищать персональные данные

Обеспечить защиту личных сведений — наиболее трудная задача. Компания обязана предотвращать утечки, копирование и распространение персданных. Для этого нужно предпринять три группы мер:

  • Правовые. Например, издать документы в сфере обработки личной информации.

  • Технические. Можно установить антивирусы и другое ПО на компьютеры сотрудников, которые работают с персональными данными.

  • Организационные. Например, нужно назначить ответственного за обработку персданных в компании, а также дать провести для него обучение в этой сфере.

Информировать об утечках

Если компания допустила утечку личной информации, она должна сообщить об этом в Роскомнадзор и ФСБ. Правила уведомления закреплены в приказах Роскомнадзора от 14.11.2022 № 187 и ФСБ от 13.02.2023 № 77.

Главное требование — своевременная реакция на утечку. Первое уведомление в Роскомнадзор потребуется направить в первые 24 часа с момента, когда компания обнаружила инцидент. Затем потребуется провести внутреннее расследование и уведомить о ведомство о его результатах.

За нарушение правил работы с персональными данными предусмотрены значительные штрафы — подробнее о них рассказали в статье. Снизить риски финансовых потерь и наладить работу с персданными помогут специалисты Консалтинг Онлайн. Оставьте заявку на консультацию и получите надежную гарантию безопасной работы без претензий Роскомнадзора.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K33Pi

Начать дискуссию