Персональные данные: как соблюдать 152-ФЗ

Федеральный закон № 152-ФЗ «О персональных данных», принятый в 2006 году, регулирует обработку информации, относящейся к физическим лицам. Персональными данными считается любая информация, позволяющая прямо или косвенно идентифицировать человека: ФИО, дата рождения, паспортные данные, номер телефона, адрес электронной почты, фотографии, биометрические данные и даже IP-адрес в определенных случаях.
Закон выделяет несколько категорий данных: общедоступные (например, ФИО в справочниках), специальные (раса, здоровье, религиозные убеждения) и биометрические (отпечатки пальцев, голос). Каждая категория требует особого подхода к обработке и защите. Например, обработка биометрических данных возможна только с письменного согласия субъекта, а нарушение этого требования может привести к серьезным санкциям.
Понимание видов данных помогает бизнесу правильно классифицировать информацию и применять соответствующие меры защиты.

Основная цель закона — защитить права граждан на конфиденциальность их личной информации, предотвратить утечки и неправомерное использование данных. Закон был разработан в ответ на рост цифровых технологий и увеличение случаев кражи персональной информации. В условиях цифровизации, когда компании собирают огромные объемы данных, 152-ФЗ устанавливает строгие правила, чтобы минимизировать риски для граждан. Например, закон обязывает операторов данных внедрять меры безопасности и уведомлять Роскомнадзор об обработке данных.

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в п. п. 2 - 11 ч. 1 ст. 6 Закона о персональных данных. В частности, согласие не нужно, если обработка необходима:

1. для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у вас помещение и вы указываете в договоре его паспортные данные;
2. исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если вы запрашиваете адрес гражданина для доставки ему товара;
3. осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Разъяснения Минкомсвязи России);
4. осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если вы в целях обеспечения безопасности записываете Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона о персональных данных). Например, придется получить согласие, если вы собираете данные граждан для маркетингового исследования или уступаете требование к должнику - физическому лицу.

Оператором персональных данных считается любое юридическое или физическое лицо, которое собирает, хранит, использует или передает персональные данные. Это могут быть компании, обрабатывающие данные клиентов (интернет-магазины, банки), работодатели (данные сотрудников), а также владельцы сайтов с формами обратной связи. Даже небольшая компания, собирающая номера телефонов для рассылки, считается оператором. Закон не делает исключений для малого бизнеса, поэтому любая организация, работающая с данными, должна соответствовать требованиям 152-ФЗ.

Субъекты персональных данных — это физические лица, чьи данные обрабатываются: клиенты, сотрудники, посетители сайтов. Например, данные клиентов включают информацию, предоставленную при оформлении заказа (ФИО, адрес доставки), а данные сотрудников — трудовые договоры, паспортные данные, сведения о зарплате. Закон требует учитывать различия между категориями субъектов при обработке данных, так как данные сотрудников и клиентов могут подпадать под разные уровни защищенности.

Некоторые случаи обработки данных освобождены от требований 152-ФЗ. Например, обработка данных в личных целях (ведение личной записной книжки) или данные, необходимые для государственных функций (перепись населения), не подпадают под закон. Однако такие исключения редки, и большинство коммерческих организаций обязаны соблюдать все требования.

Перед началом обработки персональных данных оператор обязан уведомить Роскомнадзор, предоставив информацию о целях обработки, категориях данных и мерах защиты. Уведомление подается через портал Роскомнадзора или в письменной форме. Исключения предусмотрены для случаев, когда данные обрабатываются в рамках трудовых отношений или с согласия субъекта. Несвоевременное уведомление может привести к штрафу. Уведомление — это первый шаг к легальной обработке данных, и его отсутствие часто становится причиной проверок.

Оператор обязан получить письменное или электронное согласие субъекта на обработку данных. Согласие должно быть конкретным, информированным и добровольным, с указанием целей обработки. Например, форма на сайте должна содержать текст согласия и галочку, которую пользователь ставит самостоятельно. Отсутствие согласия или его неправильное оформление влечет штрафы. Важно, чтобы субъект мог отозвать согласие в любой момент, а оператор обязан это обеспечить.

Закон требует от операторов внедрения технических и организационных мер для защиты данных от утечек, утраты или неправомерного доступа. Это включает шифрование, ограничение доступа к данным, регулярное обновление ПО и обучение сотрудников. Конфиденциальность подразумевает, что данные не могут быть переданы третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законом.

Субъект данных имеет право запросить у оператора информацию о том, какие данные обрабатываются, с какой целью и кому они передаются. Оператор обязан ответить. Также субъект может потребовать уточнения, блокировки или уничтожения данных, если они устарели или используются неправомерно. Невыполнение этих требований влечет штрафы.

Технические меры включают использование шифрования (например, SSL/TLS для сайтов), ограничение доступа к базам данных, установку межсетевых экранов и антивирусов. Важно регулярно обновлять программное обеспечение и проводить тестирование на уязвимости. Например, внедрение двухфакторной аутентификации для сотрудников снижает риск несанкционированного доступа.

Организационные меры включают разработку внутренней политики обработки данных, обучение сотрудников и назначение ответственного за защиту данных. Политика должна быть доступна на сайте и содержать информацию о целях обработки, мерах защиты и правах субъектов. Обучение сотрудников помогает предотвратить случайные утечки, например, из-за отправки данных по незащищенным каналам.

Для регистрации в Роскомнадзоре оператор подает уведомление через портал, указывая категории данных, цели обработки и меры защиты. Процесс занимает до 30 дней, после чего оператор включается в реестр. Регистрация подтверждает, что компания готова к проверкам и соблюдает закон.

Политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Политика - это главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. При этом по разъяснениям ведомства вы вправе самостоятельно определять структуру и содержание политики в отношении обработки персональных данных (Письмо от 19.10.2021 N 08-71063).

Независимо от способа сбора персональных данных вы обязаны обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. Если у вас есть сайт, через страницы которого вы получаете персональные данные, разместите в том числе на них политику (иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063)

Локальные акты (п. 2 ч. 1 ст. 18.1 Закона о персональных данных), которые должны быть в отношении:

• по вопросам обработки персональных данных. Они должны, в частности, определять категории и перечень персональных данных для каждой цели их обработки, способы, сроки обработки и хранения;
• об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий.

Приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник.

Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных.

Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Согласие на обработку данных должно содержать четкое описание целей, объема данных и способов их обработки. На сайтах это реализуется через формы с чекбоксами, которые пользователь подтверждает добровольно. Важно, чтобы текст согласия был понятным и не содержал юридически сложных формулировок.

Проверки могут быть плановыми или внеплановыми, инициированными жалобами субъектов. Оператор должен предоставить документы: уведомление, политику обработки, согласия субъектов и журналы аудита. Подготовка включает регулярное обновление мер защиты и обучение сотрудников.

Передача данных за границу допускается только в страны, обеспечивающие адекватный уровень защиты (список утвержден Роскомнадзором). Оператор обязан уведомить Роскомнадзор о трансграничной передаче и получить согласие субъекта.

Основной риск — утечка данных при передаче на зарубежные серверы. Для минимизации рисков рекомендуется использовать шифрование, заключать соглашения с иностранными партнерами и проводить аудит их систем защиты. Также важно проверять, включена ли страна в список Роскомнадзора.

Возмещение убытков, морального вреда (независимо от вины), неустойки. Суд учитывает вину, страдания. Организация отвечает за вред от сотрудников.

Незаконное использование/сбор/хранение ПД; отказ в предоставлении документов. Только для физлиц. Организация может быть привлечена административно.

За нарушения, допущенные работниками оператора, которым оператор передал персональные данные для исполнения ими служебных обязанностей, гражданско-правовую ответственность несет оператор (п. 1 ст. 1068 ГК РФ, п. 20 Постановления Пленума Верховного Суда РФ от 15.11.2022 N 33). Например, если работник передал третьему лицу документ с персональными данными другого работника в открытом виде, моральный вред могут взыскать с работодателя (Определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 N 88-22268/2022).

При этом к административной ответственности в таком случае могут одновременно привлечь и оператора, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП РФ).

Если же бывший работник продолжил после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП РФ привлекают именно его (Постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 N П16-4000/2022).

Роскомнадзор проводит плановые проверки раз в 3 года и внеплановые по жалобам. Проверка включает анализ документов, мер защиты и процессов обработки данных. Уведомление о проверке направляется за 3 дня (для плановых) или немедленно (для внеплановых).

Для проверки необходимо предоставить:

• Уведомление об обработке данных.
• Политику обработки данных.
• Образцы согласий субъектов.
• Журналы аудита и обучения сотрудников.
• Документы о технических мерах защиты.

Отсутствие любого документа может стать основанием для штрафа.

Инспекторы часто отмечают:

• Отсутствие политики обработки данных на сайте.
• Неправильное оформление согласий.
• Недостаточные меры защиты (например, отсутствие шифрования).
• Несвоевременное уведомление Роскомнадзора.

Регулярный аудит помогает устранить эти проблемы до проверки.

Частые ошибки включают:

• Игнорирование регистрации в Роскомнадзоре.
• Отсутствие согласия на обработку данных.
• Не публикация политики обработки данных.
• Недостаточные меры защиты (например, слабые пароли).
• Передача данных третьим лицам без согласия.

Эти ошибки легко устранить при правильной организации процессов.

Малый бизнес может:

1. Зарегистрироваться в Роскомнадзоре через портал.
2. Использовать готовые шаблоны политики и согласий.
3. Внедрить базовые меры защиты (SSL, антивирус).
4. Проводить обучение сотрудников раз в год.
5. Назначить ответственного за защиту данных.

Эти шаги минимизируют затраты и риски.