Правовой центр » Права потребителей 🛍 » Закон о персональных данных

Что нужно знать об обработке и хранении персональных данных в России? Правовое регулирование

Автор статьи
Время на чтение: 8 минут
Дата публикации:
Последнее обновление:

Деятельность государственных органов, предпринимателей и общественных объединений часто бывает сопряжена с обработкой и хранением личных данных о клиентах, сотрудниках либо прочих взаимосвязанных лицах.

Законодательство запрещает раскрывать третьим лицам такую информацию. В связи с этим операторы, выполняющие процессы с конфиденциальными данными, имеют четкие обязанности по их защите.

Разделы материала
  1. Что значит обработка личной информации и каковы её цели?
  2. Автоматизированная обработка
  3. Правовое основание этой деятельности в России
  4. Правила и принципы
  5. Требования к хранению
  6. Система хранения
  7. Порядок
  8. Сроки

Что значит обработка личной информации и каковы её цели?

Справка. На основании ст. 3 ФЗ № 152 от 27.07.2006, персональной является любая информация, которая прямо или косвенно касается конкретного физического лица.

К личным сведениям причисляются:

  • ФИО;
  • дата и место рождения человека;
  • его адрес;
  • уровень образования;
  • должность;
  • фото- и видеозаписи;
  • семейное положение;
  • родственники;
  • биографические факты;
  • подробности о судимости;
  • место работы;
  • финансовое состояние;
  • подтверждение службы в армии;
  • оценочные характеристики;
  • национальность;
  • раса;
  • религиозные взгляды;
  • состояние здоровья;
  • политические убеждения;
  • интимная жизнь;
  • биометрия;
  • прочие идентифицирующие личность факты.

Такая информация может содержаться в:

  • паспортах;
  • трудовых книжках;
  • военных билетах;
  • справках о составе семьи;
  • дипломах;
  • декларациях о доходах;
  • анкетах;
  • личных карточках;
  • свидетельствах о бракосочетании и метриках на детей;
  • медицинских картах.
Внимание. Обработка личной информации – это любые действия, которые производятся над ней.

Она проходит следующие этапы:

  1. сбор;
  2. запись;
  3. систематизация;
  4. накопление;
  5. хранение;
  6. уточнение (обновление, изменение);
  7. извлечение;
  8. использование;
  9. передача;
  10. обезличивание;
  11. блокирование;
  12. уничтожение.

Автоматизированная обработка

Используется несколько способов обработки личной информации:

  • автоматизированный;
  • неавтоматизированный;
  • смешанный.

Автоматизированная обработка производится с применением средств автоматизации.

Правовое основание этой деятельности в России

В этой сфере следует руководствоваться нормами ФЗ № 152, № 149 и иными нормативными актами относительно защиты данных. Требования нормативных актов в сфере защиты личной информации затрагивают деятельность различных участников экономических процессов:

  • интернет-магазинов;
  • работодателей;
  • организаций;
  • государственных органов;
  • центров обработки информации.
Важно. В последние годы полномочия Федеральной службы Роскомнадзор, на которую возложен надзор за соблюдением законодательства в этой сфере и контроль операторов, обрабатывающих личные сведения граждан, были расширены.

Правила и принципы

Личная информация является конфиденциальной. Оператор имеет право осуществлять любые действия с ней в предусмотренных законом случаях:

  • при оказании социальной помощи;
  • в связи с трудовыми отношениями;
  • в случае предоставления пенсионного обеспечения;
  • для установления прав человека и в связи с судопроизводством;
  • при страховании;
  • при предоставлении услуг;
  • в прочих ситуациях.

Персональные сведения оператор может получить:

  • от самих субъектов;
  • от третьих лиц с обязательным подтверждением согласия от граждан, которых они касаются, на передачу таких сведений (о том, всегда ли нужно согласие на обработку персональных данных, как отозвать, читайте тут).

Обрабатывая личную информацию, оператор должен следовать таким принципам:

  • придерживаться законодательных норм;
  • следовать целенаправленности в обработке;
  • собирать только необходимую, являющуюся достаточной, базу для поставленной цели;
  • не допускать объединения баз данных, являющихся несовместимыми между собой;
  • уничтожать или обезличивать сведения после выполнения действий с ними или в случае утраты необходимости в них.
  1. Оператор может по договору поручить обработку собранной базы третьей стороне с согласия граждан, которых она касается. Третья сторона обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре:
    • определяется список операций со сведениями;
    • формулируются цели;
    • вменяется в обязанность обеспечивать конфиденциальность и безопасность;
    • указываются требования к защите обрабатываемых сведений.
  2. С согласия граждан для целей обработки оператор может передавать персональные сведения в другие страны.
  3. Третьим лицам раскрывать и распространять данные без согласия граждан, которых они касаются, не допускается. В ситуациях, когда раскрытия личных сведений требует закон или судебное решение, разглашение информации нарушением законодательных норм не считается.
  4. Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя, для сохранения в браузере). Cookies не передаются третьим лицам.
  5. Оператор не несет ответственности за сведения, предоставленные самим гражданином в общедоступной форме.
  6. Оператор имеет право отправлять рекламные и прочие информационные сообщения на электронные ящики и мобильные телефоны граждан, к которым относятся эти персональные данные, только по их согласию. Сервисные сообщения, отправляемые автоматически на этапах обслуживания гражданина, не могут быть отклонены им.

Требования к хранению

Нормативными документами РФ регламентируются:

  • место хранения личной информации граждан РФ;
  • порядок ее хранения;
  • сроки хранения.
Внимание. Оператор должен обеспечивать защиту персональных сведений от неправомерного их использования или утраты за счет собственных средств.

О том, в каких ситуациях следует обращаться за защитой персональных данных, как составить и куда направить жалобу, читайте тут.

В процессе сбора, обработки и хранения личных сведений должны оформляться следующие документы:

  • заявления граждан о согласии на проведение действий с их данными;
  • журналы учета персональной информации, ее выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные сведения.

Система хранения

На законодательном уровне введены обязанности хранить данные российских граждан только на территории РФ. Для соблюдения этого требования законодательства российские операторы, которые пользуются зарубежными сервисами, имеют возможность перейти на агентскую схему контрактов с конечными пользователями.

В таком случае они выступают в отношениях с зарубежным поставщиком сервиса от имени пользователя и никакой ответственности в этом качестве не несут.

Права и обязанности по договору возникают непосредственно у зарубежного владельца сервиса, на которого требования российского законодательства не распространяются.

Чтобы обойти законодательные ограничения, есть возможность также изменить систему хранения данных. Персональные сведения можно хранить на российских серверах, а связанные с ними обезличенные данные обрабатывать за рубежом.

Перечень мест хранения персональных сведений должен быть установлен приказом руководителя организации-оператора.

Важно. Все документы, которые содержат личную информацию, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Порядок

Перечень мер, необходимых для обеспечения сохранности личных сведений, необходимо установить приказом руководителя организации-оператора. Оператор должен утвердить документ, содержащий перечень персональных данных, используемых в его деятельности. В этом перечне должны быть указаны документы, содержащие конфиденциальные сведения о гражданах, которые оператор представляет в различные государственные органы.

Оператор должен назначить ответственных за работу с личными данными и ответственных за обеспечение их безопасности соответствующими приказами. Можно назначить ответственными как конкретного сотрудника, так и подразделение оператора. В последнем случае личную ответственность будет нести руководитель такого подразделения. О том, что такое персональные данные и какова ответственность за разглашение, читайте тут.

Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством.

Перечни документов, предусмотренные ФЗ от 22 октября 2004 г. № 125 “Об архивном деле в Российской Федерации”, необходимо хранить в архиве в течение предусмотренных законодательством сроков.

Предлагаем вашему вниманию статьи о том, что относится к персональным данным работника, каков порядок защиты и хранения информации в организации, как заполнить согласие на обработку персональных данных несовершеннолетнего и зачем оно нужно, а также о тонкостях защиты ПД в интернете.

Сроки

Операторы обязаны обеспечивать сохранность архивных документов в течение времени их хранения, установленных федеральными законами Российской Федерации. Хранение персональной информации после прекращения ее обработки допускается только после обезличивания.

Документы передаются на хранение в архив с января года, который идет вслед за годом окончания использования документа. Документы, передаваемые в архив, имеют четкий срок хранения, который необходимо законодательно соблюдать.

Различают документы:

  • временного хранения (до 50 лет);
  • постоянного хранения.
Важно. По истечении срока хранения документы следует уничтожить.

Законодательство РФ четко регламентирует порядок сбора, обработки и хранения персональной информации. За исполнением законодательства в этой сфере следит Роскомнадзор. Этот орган имеет право проверять:

  • наличие разрешений субъектов на обработку их персональных сведений;
  • утверждение оператором организационных регламентов, устанавливающих порядок действий с такой информацией, и подписи сотрудников о знании их прав и обязанностей в этой области;
  • соблюдение условий хранения и защиты персональных данных оператором;
  • соответствие документации об обработке личных сведений требованиям законодательства.
Наверх
Автор статьи
Суворов Михаил
Ведущий юрист сайта. Стаж – 26 лет. Закончил Московский государственный юридический университет имени О. Е. Кутафина. Все виды юридической поддержки для физ.лиц, ИП, организаций.
Написано статей
1948
Об авторе
Плохо
0
Полезно!
0
Правовой Центр
Дзен
Перейти на канал
Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий
Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.