Всё о персональных данных: ответы на вопросы! 🔍

Бесплатная консультация

Надеждина Ольга Евгеньевна

Позвоните нам! Мы действительно любим консультировать!

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному физическому лицу - субъекту персональных данных.

КАКИЕ ДАННЫЕ СЧИТАЮТСЯ ПЕРСОНАЛЬНЫМИ?

К основным видам персональных данных относятся:

Личные данные:

ФИО,
телефоны,
e‑mail,
адреса проживания и регистрации,
паспортные реквизиты и т. п.

Технические данные:

IP‑адреса,
cookie‑файлы и прочая информация, передающаяся браузером при обращении к сайту.

Поведенческие данные:

какие страницы смотрит пользователь, сколько времени он проводит на сайте, какие материалы просматривает и т. д.

КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ПОСТАНОВЛЕНИЮ №1119

Общие персональные данные:

ФИО,
адрес регистрации,
место работы,
телефон,
e‑mail.

Эти данные обычно доступны в открытых источниках.

Специальные данные:

раса,
национальность,
политические и религиозные взгляды,
состояние здоровья,
интимная жизнь,
сведения о судимостях.

Примечание Корпоративной практики: Эти данные требуют повышенной защиты.

Биометрические данные:

физиологические или биологические признаки, применяемые для идентификации:
фото,
отпечатки,
голос,
генетика.

Примечание Корпоративной практики: Эти данные считаются биометрическими только при хранении/обработке для установления личности.

Иные персональные данные:

всё, что не попадает в предыдущие категории — зарплата, стаж, корпоративная информация, принадлежность к группам и т. п.

ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ ЭТО

Оператор – лицо, организующее и/или осуществляющее обработку персональных данных. Оператор сам определяет цели обработки, состав персональных данных и действия, совершаемые с ними.

ЧТО ТАКОЕ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Сама обработка может осуществляться путем

сбора,
записи,
систематизации,
накопления,
хранения,
уточнения (обновления, изменения),
извлечения,
использования,
передачи (распространения, предоставления, доступа),
обезличивания,
блокирования,
удаления,
уничтожения персональных данных.

Обработка персональных данных это любые операции с персональной информацией, которые совершает оператор — компания или предприниматель.

Примеры:

хранение номеров клиентов в телефонной книге,
рассылка коммерческих писем по e‑mail.

Правильная организация обработки защищает и бизнес, и права клиентов.

Корпоративная практика - лучшая поддержка для бизнеса!

Надеждина Ольга: перечислю ключевые изменения для бизнеса:

С 01.09.2025 — теперь в ГИС можно отправлять и биометрические данные, такие как лицо, голос, только при их обезличивании.
Доступ к защищённой платформе получат только российские компании с соответствующей проверкой.
С конца мая 2025 — обязательное предварительное уведомление Роскомнадзора о начале сбора/хранения персональных данных, за нарушение— штрафы до 1 000 000 ₽.
Обязательное хранение ПД на территории РФ — запрет на использование зарубежных «облаков» без локализации.
При утечке данных — уведомление Роскомнадзора оператором в течение 24 часов.
С 01.09.2025 — согласие на обработку ПД должно быть оформлено отдельным документом, а не включаться в общий договор.

WhatsApp Наш Блог

В нашем блоге - лучшие юридические лайф-хаки, каждый не более 33 слов.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласие на обработку персональных данных — это добровольное правовое основание для использования персональных данных —сбор, хранение, обработка, передача, уничтожение.

С 01.09.2025 согласие обязательно должно быть отдельным документом: нельзя указывать его в договоре, пользовательском соглашении или анкете.

Надеждина Ольга - юрист года 2024,2025:
КЛЮЧЕВЫЕ ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ СОГЛАСИЯ:

согласие должно быть конкретным, информированным и однозначным;
запрещены практики «по умолчанию» и смешивание разных согласий в одном документе;
обязательные реквизиты документа:

данные субъекта,
данные представителя — если есть,
наименование оператора,
цель и перечень обрабатываемых данных,
третьи лица‑получатели,
действия и способы обработки,
сроки и порядок отзыва, подпись.

WhatsApp Наш Блог

В нашем блоге - лучшие юридические лайф-хаки, каждый не более 33 слов.

Примечание Корпоративной практики: нововведение направлено на повышение прозрачности и гарантию свободного выбора субъекта данных.

Для особых категорий персональных данных — информация о здоровье, биометрия, религия, судимость и т. п. — требуется письменное согласие на обработку персональных данных.

СОГЛАСИЕ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

Если вы передаёте персональные данные третьим лицам, то вы должны получить у субъекта отдельное письменное согласие. Это требование касается только передачи данных, осуществляемой после 1 сентября 2025 года.

В согласии о передаче укажите:

наименование получателей,
цель передачи,
допустимые действия с данными,
условия/ограничения передачи.

Примечание Корпоративной практики: Согласие не требуется при передаче данных в государственные органы: Социальный фонд, налоговые органы, военкоматы и по запросам других органов.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ О СОГЛАСИИ

Штрафы по ст. 13.11 КоАП РФ за отсутствие или неправильное оформление согласия:

физлица — 10–15 тыс. ₽;
должностные лица — 100–300 тыс. ₽;
юрлица/ИП — 300–700 тыс. ₽.

При повторном нарушении штрафы растут:

до 30 тыс. ₽ для граждан,
до 500 тыс. ₽ — для должностных лиц,
до 1 млн ₽ для ИП, до 1,5 млн ₽ для организаций.

Кроме штрафов, Роскомнадзор может выдать предписание об устранении нарушений — несоблюдение предписания приведёт к дополнительным мерам.

ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор должен принять меры для защиты персональных данных.

Выделяют два виды мер:

1.Правовые

Создание пакета документов.

2.Организационные и технические

Совершение определенных действий для обеспечения безопасности.

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ

При хранении персональных данных на бумажных носителях достаточно ограничитель доступ физических лиц к ним, например, хранить документы в сейфе. Сами меры не перечислены в законе, они определяются и устанавливаются оператором самостоятельно.

Советуем предпринимать следующее:

- хранить бумажные носители данных в отдельных помещениях с ограниченным доступом.

Хранить персональные данные, обрабатываемые в разных целях, необходимо раздельно (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).

- утвердить перечень лиц, имеющих доступ в помещения (п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).

- обеспечить безопасность помещения, например, организовать охрану, установить сигнализацию, поставить решетки на окна и т.п.

Существуют конкретные требования к мерам безопасности в отношении определенных персональных данных. Например, сохранность документов по воинскому учету должна обеспечиваться в специально оборудованных помещениях и железных шкафах (п. 21 Методических рекомендаций по ведению воинского учета в организациях).

При хранении данных в электронном виде необходимо:

- определить тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах).

- исходя из типа угрозы подобрать уровень защиты персональных данных.

От этого будут зависеть меры защиты, которые необходимо предпринимать.

Требования к этим мерам установлены в п. 13-16 Постановления Правительства РФ от 01.11.2012 N 111 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Угрозы безопасности ПДн — это факторы, повышающие риск несанкционированного доступа к персональным данным в процессе их обработки.

Они делятся на три типа:

угрозы 1‑го типа — не задокументированные возможности в системном ПО — ОС, сервисы, антивирусы;
угрозы 2‑го типа — незадекларированные возможности в прикладном ПО — СУБД, бухгалтерские программы и т. п.;
угрозы 3‑го типа — прочие уязвимости в системном и прикладном ПО.

Оператор определяет тип угроз с учётом потенциального вреда.

При использовании лицензионного системного ПО и сертифицированных средств защиты в защищённой среде угрозы 1 и 2 обычно неактуальны.

УРОВНИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уровни защиты персональных данных по постановлению Правительства РФ №119:

УЗ1 — высшая степень защиты: специальные, биометрические и иные ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные ПДн более 100 000 нештатных лиц.
УЗ2 — следующий уровень: обработка общедоступных ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные данные сотрудников/третьих лиц <100 000, общедоступные данные у иных лиц >100 000, биометрия; при угрозах 3‑го типа — специальные данные >100 000 нештатных лиц.
УЗ3 — применим при угрозах 2 и 3‑го типов: общедоступные и иные ПДн сотрудников/третьих лиц <100 000; при угрозах 3‑го типа — специальные ПДн сотрудников/третьих лиц <100 000, иные — >100 000, плюс биометрические данные.
УЗ4 — минимальный описанный уровень: общедоступные ПДн и иные ПДн работников/третьих лиц <100 000 при угрозах 3‑го типа.

Эти уровни помогают выбрать набор технических и организационных мер защиты в зависимости от типа обрабатываемых данных.

ПРАВОВЫЕ МЕРЫ

Основные локальные документы:

- Политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 ФЗ о персональных данных);

Устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования.

Необходимо обеспечить неограниченный доступ к этому документу. Это можно сделать путем публикации на сайте и/или на стенде.

- Положение о защите персональных данных (п. 2 ч. 1 ст. 18.1 ФЗ о персональных данных);

- приказ о назначении лица, ответственного за организацию обработки персональных данных в организации (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 ФЗ о персональных данных);

- приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц.

У работников, имеющих доступ к персональным данным, следует взять письменное обязательство о неразглашении персональных данных (абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 ФЗ о персональных данных).

Комплект документы может быть шире в зависимости от структуры компании и способа обработки персональных данных.

ОБЯЗАТЕЛЬСТВО О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательство о неразглашении персональных данных — это официальный документ, фиксирующий ответственность сотрудника за сохранность персональной информации.

Он обязателен для сотрудников банков, медицинских центров, IT‑команд, колл‑центров и других организаций, где работа сопряжена с обработкой ПДн.

В обязательстве указывают:

ФИО и должность подписанта,
наименование организации,
полный перечень защищаемых данных: паспортные данные, контакты, медицинская информация, платёжные реквизиты и т. п.,
срок действия,
меры ответственности за утечку,
подтверждающую подпись с датой.

Наличие такого документа помогает минимизировать риски утечек и подтверждает соблюдение требований законодательства по защите персональных данных.

ПОДАЧА УВЕДОМЛЕНИЯ В РОСКОМНАДЗОР

До начала обработки персональных данных необходимо подать уведомление в Роскомнадзор. Исключение составляет случаи обработки персональных данных без использования средств автоматизации, то есть при непосредственном участии в обработке человека (п. 8 ч. 2 ст. 22 ФЗ о персональных данных).

Порядок подачи уведомления включает в себя:

- заполнение формы уведомления, размещенной на сайте Роскомнадзора.

- предоставление уведомление в бумажном или электронном виде.

В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан сообщить об этом уполномоченному органу не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ о персональных данных).

В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 ФЗ о персональных данных).