Муниципальное бюджетное учреждение дополнительного образования «Дом детского творчества»

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

С 1 сентября 2022 г. вступают в силу новые требования законодательства к обработке персональных данных. Подробнее — здесь.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

• Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
• Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
• Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
• Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса

  Уведомление Роскомнадзора об обработке личной информации

  Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

  Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

  Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

  После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
2. Запрашивать согласие на обработку персональной информации.
3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
6. Устанавливать правила, по которым люди могут получить доступ к информации.
7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

 

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

• исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
• в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
• направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

 

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях	Основание для привлечения к ответственности	Мера ответственности
Ч. 1 ст. 13.11 КоАП РФ	Обработка данных в случае, если она противоречит целям их сбора	Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций
Ч. 1.1 ст. 13.11 КоАП РФ	Повторное совершение нарушения по ч. 1	Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц
Ч. 2 ст. 13.11 КоАП РФ	Обработка информации без согласия ее владельца	Штраф 6–10 тыс. руб. для граждан, 20–40 тыс. руб. для должностных лиц, 30– 150 тыс. руб. для организаций
Ч. 3 ст. 13.11 КоАП РФ	Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными	Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций
Ч. 4 ст. 13.11 КоАП РФ	Непредоставление гражданам информации об обработке их персональной информации	Штраф 2– 4  тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций
Ч. 5 ст. 13.11 КоАП РФ	Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях	Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций
Ч. 5.1 ст. 13.11 КоАП РФ	Повторное нарушение по ч. 5	Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц
Ч. 6 ст. 13.11 КоАП РФ	Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц	Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций
Ч. 7 ст. 13.11 КоАП РФ	Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений	Штраф 6–12 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.