Требования №152-ФЗ об обработке и защите персональных данных в организациях
Закон о персональных данных включил в обязанности Роскомнадзора наблюдение за защитой конфиденциальной информации. В 2020 году ужесточилась ответственность за обработку ПД, введены новые требования и правила, определен регламент проведения проверок.
Чтобы не допустить ошибок и штрафов, необходимо знать законодательство в области обработки и защиты персональных данных.
Наш онлайн-курс сэкономит ваше время на изучении нормативных актов, поможет грамотно организовать работу с личными сведениями работников. Учитывая последние требования No152 ФЗ «О персональных данных» с изменениями, вы успешно пройдете проверку Роскомнадзора. |
Условия и принципы обработки персональных данных по 152-ФЗ
Главные тезисы процесса обработки по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует соответствия целей характеру обрабатываемых данных:
- Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
- Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
- Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели. Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.
Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.
Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД поручитель, выгодоприобретатель или сторона не определено другое время хранения.
Важно! Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают. |
Статья, устанавливающая принципы обработки - ст. 5 закона 152-ФЗ о персональных сведениях.
Правила обработки разных категорий персональных данных
В федеральном законе они определены в ст. 10-11 — специальные или биометрические, перечисляются разновидности конфиденциальных сведений. Выделяют специальные категории, среди которых — затрагивающие расу, национальность, политические, религиозные, философские принципы, здоровье, интимную жизнь.
Закон устанавливает порядок защиты персональных данных, относящихся к специальным — их обработка запрещена. Даны исключения — перечень ситуаций, позволяющих совершать установленные действия с этими ПДн. Он исчерпывающий, не подлежит расширению. По устранению причин, приведших к необходимости обработки спецданных, операции с ними надлежит оперативно прекратить.
В ст. 11 законодатель дает понятие биометрических сведений — совокупности физиологических и биологических признаках субъекта, позволяющих его идентифицировать. Право на обработку персональных данных этой категории оператор получает при имеющемся у него разрешении владельца ПД (согласие на обработку). Часть 2 статьи комментирует разрешение использования биометрии без позволения владельца.
Права субъекта персональных данных
Глава 3 Закона о персональных данных 152-ФЗ дает расширенное толкование прав субъекта. В статьях 14 -17 рассматриваются права на:
- беспрепятственный допуск к личной информации;
- согласие субъекта на использование его личных сведений в рекламных и прочих целях;
- защиту от принятия юридически важных для персоны решений, основанных на личной информации, прошедшей обработку в ИСПДН;
- возможность воспрепятствования таким решениям;
- обжалование в суде незаконных действий или бездействия оператора ПД.
О том, какую информацию разрешено открыть субъекту персональных данных, закон 152-фз говорит далее:
- подтверждение того, что оператор обрабатывает его ПД;
- доказательства необходимости обработки (основания и цели);
- методы, механизмы обработки; перечень работников, имеющих допуск к персданным субъекта;
- полный список обрабатываемых ПДн, источники их получения;
- сколько времени будут обрабатываться и храниться данные;
- как субъект сможет реализовать свои права в области ПД;
- о передаче личной информации за рубеж;
- информация о лицах, которые проводят обработку по поручению оператора.
Важно! Если окажется, что персональные данные неполные, некорректные или избыточные/полученные с нарушением закона, владелец вправе требовать их коррекции, блокировки или уничтожения. |
Обязанности оператора персональных данных
Принятые при сборе информации о субъекте меры должны быть достаточны для реализации требований федерального закона о персональных данных. Закон разрешает оператору самостоятельно выбирать, устанавливать способы охраны персональных сведений. Оператор вправе:
- назначать ответственных лиц;
- разрабатывать, издавать специальные локальные акты;
- применять механизмы (правовые, технические, организационные), обеспечивающие безопасность ПД;
- проводить внутренние проверки на предмет соответствия порядка обработки конфиденциальных данных федеральному закону 152-ФЗ, другим нормативным (локальным) требованиям;
- оценивать потенциальный вред при нарушениях, соотносить его с осуществляемыми мерами безопасности;
- обучать (знакомить) своих сотрудников с нормами защиты и обработки персональных данных— федеральными, локальными, другими.
Определена обязанность оператора по открытости и доступности информации, о том, какие требования защиты конфиденциальности он выполняет, о проводимой им политики в области обработки ПД.
Важно! Как оператор обеспечивает сохранность конфиденциальных сведений при их обработке по федеральному закону о персональных данных 152 ФЗ:
|
Федеральный закон 152 определяет порядок действий оператора персональных данных в следующих ситуациях:
- если субъект обращается к нему непосредственно, либо в виде запроса от владельца ПД / его представителя - ст.20;
- в каких ситуациях производятся уточнение или блокирование (уничтожение) личных сведений, прекращение обработки и в какие сроки - ст.21.
Ст. 22 формулирует права и обязанности оператора по извещению Роскомнадзора о начале обработки персональных данных для осуществления учета. Определяет порядок направления уведомления, содержание уведомления, а также случаи, при которых его не требуется направлять.
Обязанности ответственного за обработку ПД на предприятии, порядок его назначения оператором определен статьей 22.1.
Заключение
Глава 5 Закона посвящена порядку госконтроля за обработкой персданных. В ней подробно перечислены права, обязанности и общая деятельность Роскомнадзора в сфере обработки и защиты персональных данных и их субъектов. Законом No152-ФЗ также регламентирована ответственность за его неисполнение или нарушения.
Уважаемые читатели! Мы постарались понятным языком донести до вас, что такое обработка ПДн по 152-ФЗ. Понимаем, что в рамках статьи не получится разъяснить все нюансы законодательства. Поэтому приглашаем вас записаться на онлайн-курс, в котором ведущие эксперты Валентина Митрофанова и Мария Финатова внятно и доходчиво расскажут, как правильно обрабатывать ПД, как избежать рисков при их обработке. |
Дорогие коллеги! Поделитесь в комментариях к статье опытом внедрения положений закона о персональных данных в своей организации.
- Комментарии