ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УДК 347.5
Мельникова Милена Евгеньевна
Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации, Сибирский институт управления, студентка,
те1т.к_тИа@таИ-ги
Аннотация
В статье детально проанализированы правовые аспекты и особенности процесса обработки персональных данных в Российской Федерации. Рассмотрены положения базовых нормативно-правовых документов в области персональных данных. Дан подробный алгоритм организации работы по обработке персональных данных для операторов, а также раскрыты все необходимые для понимания проблемы термины. Отдельное внимание в работе уделено правовым аспектам получения согласия субъекта персональных данных на обработку его данных.
Ключевые слова: персональные данные, обработка персональных данных, циф-ровизация, согласие на обработку персональных данных, Роскомнадзор.
PROCEDURE AND CONDITIONS FOR PROCESSING PERSONAL DATA
Melnikova Milena Evgenievna
The Russian Presidential Academy of National Economy and Public Administration, Siberian Institute of
Management, student melnik_mila@mail-ru
Abstract
The article analyzes in detail the legal aspects and features of the process of processing personal data in the Russian Federation. The provisions of the basic legal documents in the field of personal data are considered. A detailed algorithm for organizing work on the processing of personal data for operators is given, and all the terms necessary to understand the problem are disclosed. Special attention is paid to the legal aspects of obtaining the consent of the subject of personal data to the processing of his data.
Keywords: personal data, personal data processing, digitalization, consent to the processing of personal data, Roskomnadzor.
Порядок работы с персональными данными строго регламентирован действующим законодательством. От неукоснительного выполнения требований закона зависит правомерность деятельности оператор обработки персональных данных. Анализ статистики работы Роском-надзора позволяет сделать вывод, что невыполнение требований Федерального закона № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных, ФЗ № 152-ФЗ) является одним из самых частых оснований для привлечения операторов к ответственности [6].
Законодательство о персональных данных Российской Федерации весьма разнообразно, и зачастую лицам, которые планируют или уже осуществляют деятельность по обработке персональных данных сложно разобраться во всех тонкостях нормативных требований и правил. В настоящее время Министерство цифрового развития, связи и массовых коммуникаций РФ разработало методические рекомендации по организации процесса обработки персональных данных (далее - Методические рекомендации, рекомендации) -письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059 «О методических рекомендациях» [2].
Данные рекомендации ориентированы на общеобразовательные организации, достаточно подробны, однако могут использоваться для ориентации в организации своей деятельности и компании иных профилей работы.
Порядок организации работы по об-
работке персональных данных может быть представлен следующим образом:
1) Первоначально, необходимо определиться, относится ли организация к числу операторов, и занимается обработкой персональных данных. В соответствии с п. 3 ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Перечень действий по обработке персональных данных не ограничен.
2) До начала обработки персональных данных, оператор должен уведомить об этом уполномоченный орган по защите прав субъектов персональных данных - Роскомнадзор (ст. 22 Закона о персональных данных) [6]. Уведомление направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе, и представляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В соответствии с ч. 3 ст. 22 Закона о персональных данных уведомление должно содержать:
1. Наименование (фамилию, имя, отче-
ство), адрес оператора.
2. Цель обработки персональных данных.
3. Категории персональных данных
4. Категории субъектов, персональные данные которых обрабатываются.
5. Правовое основание обработки персональных данных
6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
7. Описание мер, предусмотренных ст. 18.1 и 19 закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
8. Фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
9. Дату начала обработки персональных данных.
10. Срок или условие прекращения обработки персональных данных.
11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.
13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными постановлением Правительства РФ от 01.11.2012 № 1119.
Также при оформлении уведомления рекомендуется руководствоваться Прика-
зом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» [4].
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов персональных данных. Однако если представляются неполные или недостоверные сведения, Роскомнадзор представляет 30 дней с момента получения запроса организации возможность уточнить данные сведения. Информация о внесении сведений об операторе в реестр операторов размещается на официальном сайте и Портале персональных данных в общедоступной форме по адресу: http://pd.rkn.gov.ru.
При этом операторами персональных данных юридические или физические лица являются независимо от включения в реестр операторов персональных данных. В Законе о персональных данных установлен исчерпывающий перечень случаев, когда оператору не требуется уведомлять Роскомнадзор об обработке персональных данных:
1 . Обрабатываемых в соответствии с трудовым законодательством. 2. Полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (при этом такие персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональ-
ных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных)
3. Относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством рф, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных.
4. Сделанных субъектом персональных данных общедоступными.
5. Включающих в себя только фамилии, имена и отчества субъектов персональных данных.
6. Необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. Обрабатываемых без использования средств автоматизации;
9. Обрабатываемых в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты
интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства [6].
3) Оператору необходимо определить способ обработки персональных данных:
1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2. Неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии человека.
3. Смешенная обработка персональных данных [1, с. 15].
Критерии обработки персональных данных без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008 № 687, утвердившим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации [3].
4) Оператору необходимо получить согласие субъекта на обработку его персональных данных. В зависимости от целей обработки и вида обрабатываемых персональных данных в ФЗ № 152-ФЗ установлены требования к получению согласия в письменной или устной форме. При этом письменная форма согласия считается соблюденной как при оформлении документа на бумажном носителе, так и в электронном виде. В ч. 3 ст. 9 Закона о персональных данных в императивном порядке обязанность по доказыванию получения согласия от
субъекта на обработку его персональных данных, возложена на оператора. В ряде случаев, согласие субъекта персо-нальныхданныхнаобработкуегоданныхне требуется (п.п. 2-11 ч. 1 ст. 6 ФЗ № 152-ФЗ):
1. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом,, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
2. Обработка персональных данных осущ,ествляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
4. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином порта-
ле государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
5. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
7. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»>, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные инте-
ресы субъекта персональных данных.
9. Обработка персональных данных осуществляется, по общему правилу, в статистических или иных исследовательских целях, при условии обязательного обезличивания, персональных данных..
10. Осуществляется обработка персональных: данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом [6].
Указанные действия можно отнести к подготовительным. Все перечисленные операции оператор должен осуществить на момент приготовления к осуществлению действий по обработке персональных данных, в том числе, их сбору, хранению, использованию, блокированию, уничтожению и другое.
В отношении каждой из операций, относящейся к процессу обработки персональных данных, Закон о персональных данных устанавливает свои требования, включающие в себя: перечень действий, которые необходимо совершить оператором; порядок взаимодействия с субъектом персональных данных и третьими лицами; соблюдение сроков, установленных законом, в отношении ответов на запросы субъекта персональных данных, контролирующих лиц, правоохранительных органов, а также в отношении действий по хранению, блокировке, уничтожению персональных данных и многое другое.
Список использованных источников:
1. Гнедков А.В., Нищик А.В. Особенности распространения персональных данных в последней редакции законодательства о персональных данных // Научно-методическое обеспечение оценки качества образования. 2022. №1 (15). С. 13-18.
2. Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059 «О методических рекомендациях».
3. Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4. Приказ Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
5. Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» от 02.07.2010 N 151-ФЗ.
6. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ.
© Мельникова М.Е., 2022