Загружаем 1ОПД
Подготавливаем страницу…
Главная / Обработка персональных данных
Требования 152-ФЗ
Обработка персональных данных:что это и как делать правильно
Обработка персональных данных — это любые действия с данными о людях: сбор, запись, хранение, использование, передача. Если вы делаете хоть что-то из этого — вы попадаете под 152-ФЗ.
Что считается обработкой ПДн
Согласно ст. 3 152-ФЗ, обработка персональных данных — это любое действие (операция) или совокупность действий, совершаемых с ПДн с использованием средств автоматизации или без таковых.
Сбор и запись
Систематизация
Накопление и хранение
Уточнение и обновление
Извлечение и использование
Передача и распространение
Блокирование и удаление
Обезличивание
Уничтожение
Правовые основания для обработки ПДн
для большинства сайтов
Согласие субъекта
Наиболее распространённое основание для сайтов и маркетинга. Согласие должно быть информированным, конкретным, добровольным и зафиксированным.
для e-commerce, B2B
Исполнение договора
Если данные необходимы для исполнения договора с субъектом (например, оказание услуг, доставка товара) — отдельное согласие не требуется.
для HR, бухгалтерии
Требование закона
Ряд отраслей обязан обрабатывать ПДн по закону: бухгалтерия, HR, медицина, образование. Основание — конкретная норма федерального закона.
ограниченное применение
Законные интересы
Применяется ограниченно: оператор должен доказать, что его интересы перевешивают интересы субъекта на защиту данных.
Обязанности оператора ПДн
01Уведомить Роскомнадзор о начале обработки персональных данных
02Разработать и опубликовать политику обработки персональных данных
03Получать согласие субъектов в случаях, предусмотренных законом
04Обеспечить защиту данных (технические и организационные меры, включая ИСПДН)
05Не передавать данные третьим лицам без надлежащих оснований и договоров
06Отвечать на запросы субъектов (на доступ, исправление, удаление данных) в течение 30 дней
07Уведомлять РКН об инцидентах с ПДн в течение 24 и 72 часов
08Хранить данные на серверах, расположенных на территории РФ (для первичного сбора)
09Уничтожать данные после достижения цели обработки или при отзыве согласия
Проверьте соответствие вашего бизнеса 152-ФЗ
Аудит покажет, все ли основания для обработки корректны, есть ли нужные документы и согласия.
Частые вопросы
Что считается персональными данными?
Любая информация, которая позволяет прямо или косвенно идентифицировать человека: ФИО, email, телефон, адрес, IP-адрес в сочетании с другими данными, cookie-идентификаторы, данные о местонахождении.
Кто является оператором персональных данных?
Любое лицо или организация, которые самостоятельно или совместно с другими определяют цели и способы обработки ПДн. Если вы собираете контактные данные клиентов или ведёте CRM — вы оператор ПДн.
На каких основаниях можно обрабатывать данные?
152-ФЗ предусматривает несколько оснований: согласие субъекта, исполнение договора, законное требование, защита жизни, осуществление правосудия, выполнение государственных функций. Наиболее распространённое для бизнеса — согласие и договор.
Что такое поручение обработки?
Когда вы передаёте ПДн подрядчику (CRM-система, колл-центр, облачный сервис), это называется поручением обработки. Необходимо заключить договор поручения, в котором подрядчик обязуется соблюдать требования 152-ФЗ.
Нужно ли хранить данные только в России?
По ст. 18.1 152-ФЗ первичная запись, систематизация и накопление ПДн российских граждан должны происходить с использованием баз данных на территории РФ. Последующая трансграничная передача допустима при соблюдении требований.
Как долго можно хранить персональные данные?
Данные нужно хранить не дольше, чем это необходимо для достижения целей обработки. После достижения целей или при отзыве согласия — данные должны быть уничтожены в течение 30 дней (если иное не предусмотрено законом).