Обзор законодательства

Закон 152-ФЗ «О персональных данных»: что нужно знать

Деятельность, которая связана с персональными данными человека, регламентируется 152-ФЗ «О персональных данных». Закон регулирует порядок взаимодействия юридических и физических лиц в области сбора, обработки и хранения ПДн. Несмотря на то, что законопроект принят в 2006 году, у операторов возникают некие сложности с его пониманием и трактованием.

Стоит отметить, что в 152-ФЗ нет ничего страшного: защита личных данных человека – мировая практика. Если правильно оформить все необходимые документы и внимательно относиться к чужой персональной информации, штрафных санкций можно избежать. Главное – понимать основные требования и порядок действия закона.

О чем 152-ФЗ?

Федеральный закон №152-ФЗ от 27 июля 2006 года «О персональных данных» призван обеспечивать защиту прав и свобод человека и гражданина при обработке его персональных данных.

То есть, не допускать распространение личной информации о человеке без его согласия. В ФЗ указаны принципы и условия обработки ПДн, права человека, чьи данные обрабатывают, обязанности организации-оператора данных, порядок контроля за процедурой обработки и ответственность за нарушение закона.

Если нарушение произошло, организация, которая является оператором ПДн и имеет право собирать данные человека, обрабатывать или передавать их, может понести не только материальное наказание, но и стать фигурантом уголовного дела. Ответственность оператора прописана в:

• кодексе об административных правонарушениях;
• уголовном кодексе;
• гражданском кодексе;
• трудовом кодексе.

Один из основных вопросов, возникающих при изучении закона, какие данные считать персональными. Закон дает на него размытый ответ.

Что такое персональные данные?

Согласно 152-ФЗ персональные данные — это набор сведений, относящийся прямо или косвенно к определенному или определяемому физическому лицу. То есть, персданными можно считать любую информацию о человеке, которая поможет его идентифицировать.

К ним можно отнести как очевидные:

• ФИО;
• дата и место рождения;
• адрес проживания;
• образование;
• место работы;
• семейное положение;
• биометрические данные и пр.;

Так и не совсем очевидные:

• номер телефона;
• размер одежды или обуви;
• электронная почта;
• фото;
• данные о пересечении границы.

Источниками персональных данных являются:

• паспорт (гражданский и заграничный);
• документы об образовании;
• трудовая книжка;
• справки о доходах;
• анкеты, заполняемые для работодателя или продавца и пр.

Многое зависит от ситуации, при которой данные были получены, с какой целью обработаны, есть ли какие-либо дополнения. Поэтому в каких-то случаях информация будет относиться к персональным данным, а в каких-то – нет.

Оператор должен четко представлять, какие данные о человеке он собирает, с какой целью он это делает и как он будет их хранить.

Кого можно считать оператором ПДн?

Оператор персональных данных – это тот, кто собирает, обрабатывает и хранит ПДн. Им могут быть организации, госорганы или индивидуальные предприниматели, которые работают с данным, исходя из специфики деятельности, и обычный человек, который создал форум и запрашивает данные для регистрации в нем. Любая манипуляция с персональными данными – это их обработка, а значит на действия необходимо разрешение.

Стоит отметить, что когда информация обрабатывается и хранится в личных целях, она не попадает под действие закона. К таким данным можно отнести номера телефонов друзей и знакомых, адреса коллег, визитки партнеров. Но если сведения о субъекте с определенной целью передаются третьим лицам, публикуются в общем доступе или появляются в каких-либо базах данных без разрешения, — это нарушение.

Как получить согласие на обработку персональных данных?

Чтобы обработка персданных осуществлялась в рамках законодательства, оператору необходимо получить от человека согласие. Это можно сделать двумя способами: разместив форму на сайте или предоставив ее для подписи на бумаге.

Создавать соглашение необходимо на основании «Положения о персональных данных», в котором будут прописаны требования к правилам составления и оформления документации.

Получить согласие посредством телефонного разговора тоже возможно, но для этого должен быть выполнен перечень необходимых условий. Организация должна точно знать, что конкретный номер принадлежит именно тому человеку, чьи данные обрабатываются. В противном случае получить согласие на обработку ПДн по телефону нельзя.

Кто регулирует исполнение 152-ФЗ?

Правильность соблюдения закона «О персональных данных» контролируют три органа: ФСТЭК, Роскомнадзор, ФСБ. У каждого ведомства своя зона ответственности.

Роскомнадзор работает с обращениями и жалобами людей, ведет реестр операторов персональных данных, проводит контрольные мероприятия. Опираясь на закон, орган может обязать оператора удалить персональные данные, ограничить доступ к информации, направлять иски в суд для защиты людей и представлять их интересы, привлечь виновных к административной ответственности.

ФСТЭК проверяет организации, использующие государственные информационные системы. Для ведомства важно, чтобы у оператора ПДн были составлены модели угроз и нарушителей, имелись средства защиты информации, лицензии и сертификаты на их использование, материалы аттестационных испытаний.

ФСБ также контролирует операторов, которые работают с госинформационными системами. Орган проверяет наличие моделей нарушителей, разработанных согласно его требованиям, правильность использования средств криптографической защиты и документы, разрешающие их использование.

Операторы, нарушившие требования 152-ФЗ, могут подвергнуться дисциплинарной, административной, гражданской или уголовной ответственности.

Главное помнить, что при возникновении проблем с самостоятельным изучением 152-ФЗ «О персональных данных», необходимо обратиться к помощи профессионального юриста.

• номер телефона;
• размер одежды или обуви;
• электронная почта;
• фото;
• данные о пересечении границы.

Источниками персональных данных являются:

• паспорт (гражданский и заграничный);
• документы об образовании;
• трудовая книжка;
• справки о доходах;
• анкеты, заполняемые для работодателя или продавца и пр.

Многое зависит от ситуации, при которой данные были получены, с какой целью обработаны, есть ли какие-либо дополнения. Поэтому в каких-то случаях информация будет относиться к персональным данным, а в каких-то – нет.

Оператор должен четко представлять, какие данные о человеке он собирает, с какой целью он это делает и как он будет их хранить.

Кого можно считать оператором ПДн?

Оператор персональных данных – это тот, кто собирает, обрабатывает и хранит ПДн. Им могут быть организации, госорганы или индивидуальные предприниматели, которые работают с данным, исходя из специфики деятельности, и обычный человек, который создал форум и запрашивает данные для регистрации в нем. Любая манипуляция с персональными данными – это их обработка, а значит на действия необходимо разрешение.

Стоит отметить, что когда информация обрабатывается и хранится в личных целях, она не попадает под действие закона. К таким данным можно отнести номера телефонов друзей и знакомых, адреса коллег, визитки партнеров. Но если сведения о субъекте с определенной целью передаются третьим лицам, публикуются в общем доступе или появляются в каких-либо базах данных без разрешения, — это нарушение.

Как получить согласие на обработку персональных данных?

Чтобы обработка персданных осуществлялась в рамках законодательства, оператору необходимо получить от человека согласие. Это можно сделать двумя способами: разместив форму на сайте или предоставив ее для подписи на бумаге.

Создавать соглашение необходимо на основании «Положения о персональных данных», в котором будут прописаны требования к правилам составления и оформления документации.

Получить согласие посредством телефонного разговора тоже возможно, но для этого должен быть выполнен перечень необходимых условий. Организация должна точно знать, что конкретный номер принадлежит именно тому человеку, чьи данные обрабатываются. В противном случае получить согласие на обработку ПДн по телефону нельзя.

Кто регулирует исполнение 152-ФЗ?

Правильность соблюдения закона «О персональных данных» контролируют три органа: ФСТЭК, Роскомнадзор, ФСБ. У каждого ведомства своя зона ответственности.

Роскомнадзор работает с обращениями и жалобами людей, ведет реестр операторов персональных данных, проводит контрольные мероприятия. Опираясь на закон, орган может обязать оператора удалить персональные данные, ограничить доступ к информации, направлять иски в суд для защиты людей и представлять их интересы, привлечь виновных к административной ответственности.

ФСТЭК проверяет организации, использующие государственные информационные системы. Для ведомства важно, чтобы у оператора ПДн были составлены модели угроз и нарушителей, имелись средства защиты информации, лицензии и сертификаты на их использование, материалы аттестационных испытаний.

ФСБ также контролирует операторов, которые работают с госинформационными системами. Орган проверяет наличие моделей нарушителей, разработанных согласно его требованиям, правильность использования средств криптографической защиты и документы, разрешающие их использование.

Операторы, нарушившие требования 152-ФЗ, могут подвергнуться дисциплинарной, административной, гражданской или уголовной ответственности.

Главное помнить, что при возникновении проблем с самостоятельным изучением 152-ФЗ «О персональных данных», необходимо обратиться к помощи профессионального юриста.