Деятельность по обработке персональных данных регулирует Федеральный закон. Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.
В 2021 году значительно выросли штрафы за нарушения в работе с персональными данными. Появились и другие нововведения, которые обеспечили им дополнительную защиту. Так, прояснился вопрос о получении согласия на распространение данных. Но начинать разбираться в теме нужно с законодательных основ.
Закон касается всех организаций — и коммерческих, и бюджетных
Персональные данные, как следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных), это любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и т.д.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.
Закон распространяется на все без исключения организации. Поскольку в каждой есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.
Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компании могут использовать данные различных категорий субъектов
С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.
Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, турагентства) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.
Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.
У товариществ собственников жилья нет ни работников, ни клиентов. Это объединение собственников квартир. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.
Обработке подлежат персональные данные, отвечающие целям их обработки
Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.
Необходимо знать, какие именно данные нужно использовать
Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Например, для доставки товара интернет-магазину достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.
Необходимо понимать, когда требуется согласие на обработку данных
Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.
Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие на обработку персональных данных у субъекта данных (ст. 9 Закона о персональных данных).
Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.
Если интернет-магазин после доставки товара планирует рассылать клиентам СМС-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью.
В ч. 1 ст. 15 Закона о персональных данных указано на то, что рекламные контакты с клиентами совершаются только при условии получения их согласия.
Обработка биометрических персональных данных
Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 Закона о персональных данных) и биометрических персональных данных (ст. 11 Закона о персональных данных).
К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).
К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал письменное согласие).
Отдельно закон говорит о передаче данных за границу (ст. 12 Закона о персональных данных).
Требования к обработке персональных данных
С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 Закона о персональных данных):
- Правовые меры
Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, Политики в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т.д.
- Организационные меры
Эти меры связаны с деятельностью компании. Закон требует, чтобы Политика в отношении обработки персональных данных была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие обращения, уточняется в ст. 20 и ст. 21 Закона о персональных данных.
- Технические меры
Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.
Чек-лист: что нужно сделать
- Разобраться, с данными каких категорий субъектов имеет дело бизнес, на каком основании и с какой целью он использует их.
- Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
- Принять соответствующие организационные меры. Например, опубликовать Политику в отношении обработки персональных данных и быть готовыми выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
- Позаботиться о технических мерах. Стоит отметить, что закон предоставляет бизнесу свободу в выборе технических мер. Что касается госкомпаний, то для них требования по использованию средств защиты информации четко определены и подробно описаны.
По материалам СКБ Контур