Любые действия с персональными данными граждан, включая их получение, хранение, использование и иные операции, признаются обработкой. Лицо, осуществляющее такую деятельность, является оператором. Перед началом обработки необходимо четко определить ее цель, которой должны соответствовать все последующие действия. Недопустимо запрашивать данные, не связанные с установленной целью, например, получать информацию о членах семьи при заключении договора с самим гражданином.
Если персональные данные граждан используются исключительно для заключения и исполнения договоров и не передаются третьим лицам, получение согласия на обработку не требуется. При обработке данных без использования средств автоматизации уведомление Роскомнадзора также не требуется.
Обработка персональных данных включает в себя сбор, систематизацию, хранение, уточнение, использование, распространение и удаление. Даже простое получение паспортных данных клиентов или создание базы телефонных номеров подпадает под определение обработки и делает вас оператором. Это налагает обязанность соблюдать требования законодательства, включая определение цели обработки, получение согласия (при необходимости), уведомление Роскомнадзора и принятие мер по защите данных.
Обработка персональных данных клиентов и контрагентов, а также индивидуальных предпринимателей осуществляется в общем порядке, предусмотренном законодательством о персональных данных, поскольку для этих категорий субъектов не установлены специальные правила. Индивидуальные предприниматели, будучи физическими лицами, являются субъектами персональных данных. При этом на обработку некоторых их персональных данных согласие может не требоваться.
Обработка персональных данных может осуществляться как с использованием средств автоматизации (с помощью вычислительной техники), так и без них (при непосредственном участии человека). Средства автоматизации – это совокупность аппаратных и программных средств, предназначенных для выполнения функций. Конкретный перечень таких средств законодательством не определен, но к ним относятся, например, информационные системы, формирующие отчетность автоматически.
По общему правилу, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, расположенных за пределами территории РФ, не допускаются. Это касается и сбора данных через Интернет. Рекомендуется использовать базы данных, находящиеся в России, для всех получаемых персональных данных, если не предусмотрены способы определения гражданства. Трансграничная передача данных возможна только после их внесения в базу данных на территории РФ и с соблюдением установленных правил.
Для осуществления трансграничной передачи персональных данных необходимо получить сведения от иностранных органов власти или лиц, которым планируется передача, и направить уведомление в Роскомнадзор. После этого данные могут передаваться в иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенные в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В противном случае передача возможна только в исключительных случаях, например, для защиты жизненно важных интересов. Правительство РФ может определять случаи, когда требования статьи 12 Закона о персональных данных не применяются к государственным и муниципальным органам.
Целевая обработка персональных данных означает, что все действия с ними должны быть ограничены достижением конкретной, законной, заранее определенной и конкретной цели. Обработка, несовместимая с целями сбора, может повлечь ответственность. Цель должна быть сформулирована максимально конкретно, например, вместо «повышение продаж» – «осуществление рекламной СМС-рассылки».
Для обеспечения целевой обработки необходимо убедиться, что содержание и объем данных соответствуют целям, не обрабатываются избыточные данные, созданы раздельные базы для несовместимых целей, обеспечивается точность и актуальность данных. Неполные или неточные данные должны быть удалены или уточнены. Данные подлежат уничтожению или обезличиванию после достижения целей обработки.
При сборе персональных данных оператор обязан предоставить гражданину информацию о том, кто, на каком основании, с какой целью и какими способами будет обрабатывать его данные, а также разъяснить последствия отказа от предоставления данных или согласия на их обработку, если это обязательно по закону. Факт разъяснения рекомендуется оформлять документально.
Согласие на обработку персональных данных не требуется в случаях, предусмотренных законом, например, для заключения и исполнения договоров, осуществления законодательно возложенных функций, а также для реализации законных интересов при условии ненарушения прав и свобод гражданина. В остальных случаях обработка осуществляется с согласия гражданина.
Единой утвержденной типовой формы согласия на обработку персональных данных не существует. Типовые формы могут разрабатываться отдельными органами государственной власти или организациями. Самостоятельно разработанная форма должна соответствовать установленным требованиям, в том числе специальным требованиям при получении согласия на распространение персональных данных. Согласие должно оформляться отдельно от другой информации.
Срок действия согласия на обработку персональных данных зависит от его цели и может быть определен конкретной датой, периодом или наступлением события. Не рекомендуется получать бессрочное согласие или определять прекращение обработки исключительно отзывом согласия.
Последствия отказа от предоставления согласия на обработку персональных данных включают обязанность оператора разъяснить гражданину эти последствия. При отзыве ранее предоставленного согласия оператор, как правило, должен прекратить обработку данных и уничтожить их. Обработка персональных данных без согласия, когда оно обязательно, может повлечь административную ответственность.
Биометрические персональные данные могут обрабатываться без согласия гражданина только в случаях, установленных законом. При отказе предоставить биометрические данные или дать согласие на их обработку, нельзя отказывать в обслуживании, если получение согласия не является обязательным по федеральному закону.
Обработка биометрических персональных данных, как правило, требует получения согласия гражданина. Согласие требуется, если обработку производит сам оператор. Биометрическими данными считаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для этой цели. К ним относятся фотографическое и видеоизображение, дактилоскопические данные, информация о радужной оболочке глаза, результаты анализов ДНК, данные о голосе.
Фотографическое изображение относится к биометрическим персональным данным, если оно используется для установления личности человека, например, фото на пропуск.
Обрабатывать биометрические персональные данные может любое лицо – оператор персональных данных, соблюдая общий порядок и особые требования. В установленных случаях обработка осуществляется с использованием единой биометрической системы (ЕБС). Организации и ИП, использующие ЕБС для аутентификации, должны соответствовать установленным критериям. Также возможно использование других информационных систем аккредитованных организаций.
Обработка и хранение биометрических персональных данных могут осуществляться с использованием или без использования информационных систем. При хранении вне информационных систем необходимо использовать материальные носители и технологии, обеспечивающие защиту данных от неправомерного доступа, уничтожения, изменения и т.д. Требования к таким носителям и технологиям установлены законодательством. Материальный носитель должен обеспечивать защиту от несанкционированной повторной записи, возможность доступа уполномоченных лиц, идентификацию информационной системы и оператора, а также невозможность несанкционированного доступа к данным.
Банки, МФЦ и иные организации в случаях, определенных федеральными законами, размещают биометрические персональные данные в ЕБС с согласия физлица. В ЕБС размещаются и обрабатываются изображение лица и запись голоса. Сбор биометрических данных производится при личном присутствии физлица уполномоченным сотрудником. Полученные данные обрабатываются с применением подтвержденных соответствию требованиям информационных технологий и технических средств. При обработке биометрических данных в информационных системах необходимо использовать средства защиты информации от установленных угроз безопасности.
Биометрические персональные данные хранятся в ЕБС не менее 50 лет, за исключением данных, размещенных в соответствии с определенными пунктами, которые хранятся не менее пяти лет. Векторы ЕБС, используемые для аутентификации, разрешено использовать не дольше пяти лет (в определенных случаях – не более двух лет).
Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно и должно соответствовать требованиям Роскомнадзора. В согласие включаются сведения о субъекте, операторе, цели обработки, категориях и перечне данных, сроке действия. Физическое лицо вправе установить запреты и условия обработки данных неограниченным кругом лиц. Молчание или бездействие не считается согласием.
Определение общедоступных персональных данных в Законе о персональных данных отсутствует. К общедоступным относятся сведения из реестра операторов (за исключением сведений о средствах обеспечения безопасности). Также к общедоступным могут относиться данные из общедоступных источников, создаваемых в соответствии с законом, например, справочники или адресные книги, при условии письменного согласия гражданина. Сведения из социальных сетей или открытых интернет-площадок, содержащих объявления, в судебной практике не всегда признаются общедоступными.
Уведомление Роскомнадзора об обработке персональных данных не требуется, если данные обрабатываются в государственных информационных системах в целях защиты безопасности государства и общественного порядка, исключительно без использования средств автоматизации, или в соответствии с законодательством о транспортной безопасности. В остальных случаях уведомление обязательно.
Европейский регламент о персональных данных (GDPR) может распространяться на компании, учрежденные за пределами ЕС, если они обрабатывают данные граждан ЕС, предлагая им товары или услуги, или осуществляют мониторинг их поведенческой активности. Требования GDPR во многом совпадают с российским законодательством, но предусматривают дополнительные меры, такие как оценка воздействия на защиту данных, назначение инспектора по защите данных и незамедлительное уведомление субъекта о утечке данных при высоком риске.