Бесплатная консультация
Англ
 
Бесплатная консультация
Англ
Надеждина Ольга Евгеньевна
Позвоните нам! Мы действительно любим консультировать!
+7(999)7183385

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


Какие данные считаются персональными?


К основным видам персональных данных относятся:


  • Личные данные: ФИО, телефоны, e‑mail, адреса проживания и регистрации, паспортные реквизиты и т. п.
  • Технические данные: IP‑адреса, cookie‑файлы и прочая информация, передающаяся браузером при обращении к сайту.
  • Поведенческие данные: какие страницы смотрит пользователь, сколько времени он проводит на сайте, какие материалы просматривает и т. д.

Категории персональных данных по Постановлению №1119 — кратко и понятно:


  • Общие персональные данные: ФИО, адрес регистрации, место работы, телефон, e‑mail.

Обычно доступны в открытых источниках.

  • Специальные данные: раса, национальность, политические и религиозные взгляды, состояние здоровья, интимная жизнь, сведения о судимостях — требуют повышенной защиты.
  • Биометрические данные: физиологические или биологические признаки, применяемые для идентификации: фото, отпечатки, голос, генетика.

Важно: данные считаются биометрическими только при хранении/обработке для установления личности.


  • Иные персональные данные: всё, что не попадает в предыдущие категории — зарплата, стаж, корпоративная информация, принадлежность к группам и т. п.

Оператор – лицо, организующее и/или осуществляющее обработку персональных данных. Оператор сам определяет цели обработки, состав персональных данных и действия, совершаемые с ними.


Сама обработка может осуществляться путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.

ЧТО ТАКОЕ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ?

Это любые операции с персональной информацией, которые совершает оператор — компания или предприниматель.


Примеры:


  • хранение номеров клиентов в телефонной книге,
  • рассылка коммерческих писем по e‑mail.

К типовым действиям обработки ПД относятся:


  • сбор,
  • запись,
  • систематизация,
  • накопление,
  • хранение,
  • уточнение,
  • обновление,
  • изменение,
  • извлечение,
  • передача,
  • обезличивание,
  • блокировка,
  • удаление и уничтожение данных.

Зачем нужна обработка персональных данных?


Основные задачи:


  • выполнение договорных обязательств,
  • управление персоналом,
  • предоставление государственных и муниципальных услуг,
  • соблюдение требований закона,
  • проведение исследований
  • другие законные цели.

Правильная организация обработки защищает и бизнес, и права клиентов.

NB! Надеждина Ольга:

Новое в законодательстве — ключевые изменения для бизнеса:
  • С 01.09.2025 — передача данных в ГИС только в обезличенном виде; теперь в ГИС можно отправлять и биометрические данные, такие как лицо, голос, только при их обезличивании.
  • Доступ к защищённой платформе получат только российские компании с соответствующей проверкой.
  • С конца мая 2025 — обязательное предварительное уведомление Роскомнадзора о начале сбора/хранения персональных данных, за нарушение— штрафы до 1 000 000 ₽.
  • Обязательное хранение ПД на территории РФ — запрет на использование зарубежных «облаков» без локализации.
  • При утечке данных — уведомление Роскомнадзора оператором в течение 24 часов.
  • С 01.09.2025 — согласие на обработку ПД должно быть оформлено отдельным документом, а не включаться в общий договор.

Рекомендация: обновите политику конфиденциальности, проверьте локализацию хранилищ и порядок получения согласий, чтобы избежать штрафов и блокировок.
WhatsApp Наш Блог
В нашем блоге - лучшие юридические лайф-хаки простым языком.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласие на обработку персональных данных — это добровольное правовое основание для использования персональных данных —сбор, хранение, обработка, передача, уничтожение.


С 01.09.2025 согласие обязательно должно быть отдельным документом:

нельзя указывать его в договоре, пользовательском соглашении или анкете.


Нововведение направлено на повышение прозрачности и гарантию свободного выбора субъекта данных.


Ключевые требования к оформлению согласия:


  • согласие должно быть конкретным, информированным и однозначным;
  • запрещены практики «по умолчанию» и смешивание разных согласий в одном документе;
  • обязательные реквизиты документа:
  1. данные субъекта,
  2. данные представителя — если есть,
  3. наименование оператора,
  4. цель и перечень обрабатываемых данных,
  5. третьи лица‑получатели,
  6. действия и способы обработки,
  7. сроки и порядок отзыва,
  8. подпись.
Важно: для особых категорий персональных данных — информация о здоровье, биометрия, религия, судимость и т. п. — требуется письменное согласие на обработку персональных данных.

СОГЛАСИЕ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

Если вы передаёте персональные данные третьим лицам, то вы должны получить у субъекта отдельное письменное согласие.


Это требование касается только передачи данных, осуществляемой после 1 сентября 2025 года.


В согласии о передаче укажите:


  • наименование получателей,
  • цель передачи,
  • допустимые действия с данными,
  • условия/ограничения передачи.
Согласие на передачу данных требуется не всегда: передача персональных данных государственным органам может осуществляться без нее. Так, согласие не требуется при передаче данных в Социальный фонд, налоговые органы, военкоматы и по запросам других органов.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ О СОГЛАСИИ

Штрафы по ст. 13.11 КоАП РФ за отсутствие или неправильное оформление согласия:


  • физлица — 10–15 тыс. ₽;
  • должностные лица — 100–300 тыс. ₽;
  • юрлица/ИП — 300–700 тыс. ₽.

При повторном нарушении штрафы растут:


  • до 30 тыс. ₽ для граждан,
  • до 500 тыс. ₽ — для должностных лиц,
  • до 1 млн ₽ для ИП, до 1,5 млн ₽ для организаций.
Кроме штрафов, Роскомнадзор может выдать предписание об устранении нарушений — несоблюдение предписания приведёт к дополнительным мерам.

ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обезличивание персональных данных — это преобразование сведений так, чтобы их было нельзя отнести к конкретному человеку без дополнительной информации.


Постановление Правительства РФ №1154 фиксирует основные методы обезличивания:


  • введение идентификаторов с таблицей соответствий;
  • изменение состава или семантики данных – включая статистическую обработку или удаление полей;
  • декомпозиция массива на независимые части;
  • перемешивание записей;
  • агрегирующее преобразование данных.

Эти подходы применяются для обеспечения конфиденциальности при аналитике, публикации и передаче данных.

ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор должен принять меры для защиты персональных данных.


Выделяют два виды мер:


1.Правовые


Создание пакета документов.


2.Организационные и технические


Совершение определенных действий для обеспечения безопасности.

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ

При хранении персональных данных на бумажных носителях достаточно ограничитель доступ физических лиц к ним, например, хранить документы в сейфе. Сами меры не перечислены в законе, они определяются и устанавливаются оператором самостоятельно.


Советуем предпринимать следующее:


- хранить бумажные носители данных в отдельных помещениях с ограниченным доступом.


Хранить персональные данные, обрабатываемые в разных целях, необходимо раздельно (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).


- утвердить перечень лиц, имеющих доступ в помещения (п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).


- обеспечить безопасность помещения, например, организовать охрану, установить сигнализацию, поставить решетки на окна и т.п.


Существуют конкретные требования к мерам безопасности в отношении определенных персональных данных. Например, сохранность документов по воинскому учету должна обеспечиваться в специально оборудованных помещениях и железных шкафах (п. 21 Методических рекомендаций по ведению воинского учета в организациях).


При хранении данных в электронном виде необходимо:


- определить тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах).


- исходя из типа угрозы подобрать уровень защиты персональных данных.


От этого будут зависеть меры защиты, которые необходимо предпринимать.


Требования к этим мерам установлены в п. 13-16 Постановления Правительства РФ от 01.11.2012 N 111 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Угрозы безопасности ПДн — это факторы, повышающие риск несанкционированного доступа к персональным данным в процессе их обработки.


Они делятся на три типа:


  1. угрозы 1‑го типа — не задокументированные возможности в системном ПО — ОС, сервисы, антивирусы;
  2. угрозы 2‑го типа — незадекларированные возможности в прикладном ПО — СУБД, бухгалтерские программы и т. п.;
  3. угрозы 3‑го типа — прочие уязвимости в системном и прикладном ПО.

Оператор определяет тип угроз с учётом потенциального вреда.

При использовании лицензионного системного ПО и сертифицированных средств защиты в защищённой среде угрозы 1 и 2 обычно неактуальны.

УРОВНИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уровни защиты персональных данных по постановлению Правительства РФ №119:


  • УЗ1 — высшая степень защиты: специальные, биометрические и иные ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные ПДн более 100 000 нештатных лиц.
  • УЗ2 — следующий уровень: обработка общедоступных ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные данные сотрудников/третьих лиц <100 000, общедоступные данные у иных лиц >100 000, биометрия; при угрозах 3‑го типа — специальные данные >100 000 нештатных лиц.
  • УЗ3 — применим при угрозах 2 и 3‑го типов: общедоступные и иные ПДн сотрудников/третьих лиц <100 000; при угрозах 3‑го типа — специальные ПДн сотрудников/третьих лиц <100 000, иные — >100 000, плюс биометрические данные.
  • УЗ4 — минимальный описанный уровень: общедоступные ПДн и иные ПДн работников/третьих лиц <100 000 при угрозах 3‑го типа.

Эти уровни помогают выбрать набор технических и организационных мер защиты в зависимости от типа обрабатываемых данных.

ПРАВОВЫЕ МЕРЫ

Основные локальные документы:


- Политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 ФЗ о персональных данных);


Устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования.


Необходимо обеспечить неограниченный доступ к этому документу. Это можно сделать путем публикации на сайте и/или на стенде.


- Положение о защите персональных данных (п. 2 ч. 1 ст. 18.1 ФЗ о персональных данных);


- приказ о назначении лица, ответственного за организацию обработки персональных данных в организации (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 ФЗ о персональных данных);


- приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц.


У работников, имеющих доступ к персональным данным, следует взять письменное обязательство о неразглашении персональных данных (абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 ФЗ о персональных данных).


Комплект документы может быть шире в зависимости от структуры компании и способа обработки персональных данных.

ОБЯЗАТЕЛЬСТВО О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательство о неразглашении персональных данных — это официальный документ, фиксирующий ответственность сотрудника за сохранность персональной информации.


Он обязателен для сотрудников банков, медицинских центров, IT‑команд, колл‑центров и других организаций, где работа сопряжена с обработкой ПДн.


В обязательстве указывают:


  • ФИО и должность подписанта,
  • наименование организации,
  • полный перечень защищаемых данных: паспортные данные, контакты, медицинская информация, платёжные реквизиты и т. п.,
  • срок действия,
  • меры ответственности за утечку,
  • подтверждающую подпись с датой.

Наличие такого документа помогает минимизировать риски утечек и подтверждает соблюдение требований законодательства по защите персональных данных.

ПОДАЧА УВЕДОМЛЕНИЯ В РОСКОМНАДЗОР

До начала обработки персональных данных необходимо подать уведомление в Роскомнадзор. Исключение составляет случаи обработки персональных данных без использования средств автоматизации, то есть при непосредственном участии в обработке человека (п. 8 ч. 2 ст. 22 ФЗ о персональных данных).


Порядок подачи уведомления включает в себя:

- заполнение формы уведомления, размещенной на сайте Роскомнадзора.

- предоставление уведомление в бумажном или электронном виде.


В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан сообщить об этом уполномоченному органу не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ о персональных данных).


В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 ФЗ о персональных данных).

РЕКОМЕНДАЦИИ ДЛЯ СНИЖЕНИЯ РИСКОВ

Эффективная защита персональных данных строится на практической и документированной системе безопасности.


Ниже — сжатые, но применимые рекомендации, которые помогут снизить риски утечек и соответствовать требованиям закона.



Классифицируйте данные по степени чувствительности

  • Разделите данные на обычные, специальные категории и биометрические.
  • Для каждой категории определите минимально необходимые меры защиты и срок хранения.

Жёстко контролируйте удалённый доступ сотрудников

  • Внедрите VPN и многофакторную аутентификацию.
  • Запретите копирование данных на личные устройства и используйте корпоративные зашифрованные хранилища.

Автоматизируйте оповещения о подозрительных событиях

  • Настройте уведомления при нештатных входах, массовом скачивании данных или изменении прав доступа.
  • Логи должны храниться и регулярно анализироваться.

Регулярно обновляйте программное обеспечение

  • Включите плановые обновления ОС, СУБД и приложений, работающих с персональными данными.
  • Применяйте патчи безопасности оперативно.

Проверяйте подрядчиков и облачные сервисы

  • Запрашивайте подтверждения соответствия требованиям безопасности: сертификаты, отчёты аудита.
  • Заключайте договоры с условиями ответственности и требованиями к защите данных.

Защищайте резервные копии

  • Шифруйте резервные копии и храните их отдельно от основной инфраструктуры.
  • Регулярно тестируйте восстановление данных.

Применяйте принцип минимизации данных

  • Собирайте и храните только те сведения, которые нужны для выполнения задач.
  • Очистка устаревших данных — регулярная процедура.

Анализируйте инциденты и совершенствуйте меры

  • После каждого инцидента проводите анализ причин, обновляйте политики и инструкции.
  • Пересматривайте права доступа и конфигурации в ответ на выявленные уязвимости.
Рекомендация: оформите эти меры в виде политики обработки персональных данных и регламентов для сотрудников — это упростит контроль и проверку со стороны надзорных органов.
Корпоративная практика - лучшая поддержка для бизнеса!
Все фотографии, тексты и видеоматериалы принадлежат их владельцам и использованы для демонстрации. Пожалуйста, не используйте контент шаблона в коммерческих целях.
Made on
Tilda