Алгоритм работы с персональным данными

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Чтобы начать обрабатывать персональные данные, нужно:

• определить лицо, ответственное за организацию обработки персданных;
• утвердить политику обработки персданных, определяющую цели, виды обрабатываемых ПД, порядок и условия их обработки;
• уведомить Роскомнадзор о начале обработке ПД по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Получив уведомление, РКН включит компанию в реестр операторов персданных.

После включения в реестр операторов персональных данных потребуется своевременно направлять в Роскомнадзор различные уведомления о работе с ПД (об изменениях или о прекращении их обработки, об инцидентах, связанных с утечкой ПД), а также предоставлять документы и информацию по запросам Роскомнадзора или граждан, данные о которых обрабатываются.

Обработка персданных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

При обработке персданных нужно соблюдать принципы их обработки. Одним из принципов обработки персональных данных является согласие субъекта персональных данных для их обработки. Обработка персональных данных допускается в случае, если обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Без согласия гражданина обрабатывать ПД нельзя. Важно правильно его оформить – письменно либо в форме электронного документа. Согласие на обработку персональных данных, которые гражданин разрешает распространять, оформляется отдельно.

Помимо этого, обработка таких сведений должна быть целевой и достаточной. Необходимо обеспечивать раздельное хранение персональных данных, обработка которых осуществляется в различных целях.

При сборе, обработке, хранении ПД оператор обязан принимать меры для их защиты от неправомерного и случайного доступа, копирования, блокирования и распространения. Это могут быть организационные и технические меры. Требования к защите персональных данных в информационных системах утверждены постановлением Правительства от 01.11.2012 № 1119, а без использования средств автоматизации – постановлением Правительства от 15.09.2008 № 687.

Оператор ПД обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, а хранить доказательства уничтожения ПД не менее 3 лет.

Несоблюдение требований к обработке персданных может повлечь административную ответственность, установленную статьей 13.11 КоАП.