Порядок работы с персональными данными, построение системы защиты персональных данных

В условиях развития цифровой экономики и внедрения информационных технологий в разные сферы деятельности общества все большую значимость приобретает информация и необходимость ее защиты. Персональные данные собираются и обрабатываются повсеместно. Существенно вырос объем трансграничных потоков персональных данных. Компании, входящие в международные холдинги, все чаще централизуют свои данные для повышения эффективности внутренних процессов. Все это обусловливает возрастающий интерес регулятора к сфере персональных данных.

За последние годы значительно возросли штрафы, налагаемые на операторов за административные правонарушения в области персональных данных. Так, с 1 июля 2017 г. максимальные штрафы по ст. 13.11 Кодекса РФ об административных правонарушениях возросли с 10 000 руб. для юридических лиц и 1000 руб. для должностных лиц до 75 000 руб. и 20 000 руб. соответственно по отдельным составам правонарушения.

2 декабря 2019 г. вступил в силу Федеральный закон от 02.12.2019 № 405-ФЗ, устанавливающий существенные штрафы за нарушение требования об обработке персональных данных граждан РФ с использованием баз данных, находящихся на территории России (так называемое правило локализации"):

• административный штраф для юридических лиц от 1 млн до 6 млн руб., для должностных лиц компании - от 100 тыс. до 200 тыс. руб.;
• за повторное совершение - административный штраф для юридических лиц от 6 млн до 18 млн руб., для должностных лиц компании - от 500 тыс. до 800 тыс. руб.

Как же организовать в компании обработку персональных данных и защитить себя и компанию от претензий контролирующих органов? Давайте разберемся с общими требованиями.

Сначала определим, что же такое представляют из себя персональные данные. Законодательство содержит достаточно широкое определение данного термина. В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ О персональных данных" (далее - Закон) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Что является персональными данными определенного физического лица, а что нет, должно определяться в каждом конкретном случае. Определенные сведения, обрабатываемые сами по себе (вне связи с другими данными) могут не быть персональными данными, но становиться таковыми при обработке в совокупности с другими данными, если эта совокупность позволяет определить физическое лицо, к которому они относятся.

Обычно признаются персональными данными (некоторые самостоятельно, некоторые - в сочетании с другими данными):

• имя, фамилия и (при наличии) отчество;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность (паспорт или иные);
• стр... ✂