Персональные данные

1. ВОПРОСЫ К ОБСУЖДЕНИЮ:

ЧЕМ РЕГУЛИРУЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ?
КАК ОБЕСПЕЧИТЬ ПРАВОМЕРНОСТЬ СБОРА И ПОСЛЕДУЮЩЕЙ
ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ?
РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО
ПОЛИТИКУ
ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ ЗАКОНОДАТЕЛЬСТВА РФ В
ОБЛАСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ: НОВЕЛЛЫ КОАП РФ, УК РФЧ

2. 1

ЧЕМ
РЕГУЛИРУЕТСЯ
ПЕРСОНАЛЬНЫХ
ДАННЫХ?
ОБРАБОТКА

3. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОСНОВА ПРАВОВОГО РЕГУЛИРОВАНИЯ:
1. Федеральный закон от 27.07.2006 № 152-ФЗ
«О персональных данных»
Ч. 1 СТ. 4 ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Особенности обработки персональных данных работников:
Законодательство Российской Федерации в
области персональных данных состоит из
настоящего Федерального закона и других
определяющих случаи и особенности
обработки персональных данных
федеральных законов
2. Трудовой кодекс Российской Федерации
(глава 14 «Защита персональных данных»)
Особенности неавтоматизированной обработки персональных
данных (бумажный документооборот):
3. Постановление Правительства РФ от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации»
Обработка персональных данных операторами – органами гос.
власти, местного самоуправления:
4. Постановление Правительства РФ от 21.03.2012 № 211
«Об утверждении Перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»
3

4. МЕРЫ

1
Назначение ответственного за организацию обработки
персональных данных
назначение одного ответственного за организацию обработки
персональных данных;
указание в должностном регламенте ответственного полномочий,
указанных в ст. 221 ФЗ «О персональных данных»
Ч.1 СТ. 181 ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
2
Оператор обязан принимать меры, необходимые и
достаточные для обеспечения выполнения
обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в
соответствии с ним нормативными правовыми
актами, в том числе:
Издание документов, определяющих политику оператора в
отношении обработки персональных данных, локальных актов
по вопросам обработки персональных данных, локальных
актов, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства
РФ, устранение последствий таких нарушений
наличие документа, закрепляющего порядок обработки ПДн в ИСПДн,
порядок предоставления доступа к ИСПДн (перечень лиц, которым может
быть предоставлен доступ к ИСПДн, порядок наделения пользователей
полномочиями доступа к ИСПДн и пр.);
наличие документа, закрепляющего порядок обработки персональных
данных
пользователей сайтов
3
Осуществление внутреннего контроля и (или) аудита
соответствия обработки персональных данных ФЗ «О
персональных данных» и принятым в соответствии с
ним нормативным правовым актам
проведение на систематической основе внутреннего
всестороннего контроля,
включающего оценку достаточности принимаемых мер
4

5. 2

КАК
ОБЕСПЕЧИТЬ
ПРАВОМЕРНОСТЬ
И
ПОСЛЕДУЮЩЕЙ
СБОРА
ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ
ДАННЫХ?

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДн

Ч. 1 СТ. 6 ФЗ «О ПЕРСОНАЛЬНЫХ
ДАННЫХ»
Обработка персональных данных
должна осуществляться с
соблюдением принципов и правил,
предусмотренных ФЗ
«О персональных данных».
Обработка персональных данных
допускается в
следующих случаях:
С согласия субъекта на обработку его персональных данных;
Для достижения целей, предусмотренных международным договором РФ или
законом, осуществления и выполнения возложенных законодательством РФ на оператора
функций, полномочий и обязанностей;
В связи с участием лица в судопроизводстве и для исполнения судебного акта;
Для предоставления государственных и муниципальных услуг;
Для заключения и исполнения договора, по которому субъект персональных данных
является стороной, выгодоприобретателем или поручителем;
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных
является стороной, выгодоприобретателем или поручителем;
Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в
случаях взыскания задолженности в порядке, установленном федеральным законом;
Для осуществления профессиональной деятельности журналиста, СМИ либо научной,
литературной или иной творческой деятельности при условии, что при этом не нарушаются права
и законные интересы субъекта персональных данных;
В статистических или иных исследовательских целях при условии обязательного
обезличивания персональных данных;
Обработка персональных данных, полученных в результате обезличивания персональных
данных, осуществляется в целях повышения эффективности государственного или муниципального
управления, а также в иных целях, предусмотренных федеральными законами об экспериментальноправовых режимах;
Обработка персональных данных, подлежащих опубликованию или обязательному
раскрытию в соответствии с федеральным законом.
6

7.

Обработка персональных данных должна осуществляться с
соблюдением
принципов, в частности - ЦЕЛЕПОЛАГАНИЯ
СТ. 5 ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Обработка персональных данных должна ограничиваться достижением
конкретных, заранее определенных и законных целей. Не допускается обработка
персональных данных, несовместимая с целями сбора персональных данных.
Обработке подлежат только персональные данные, которые отвечают целям
их обработки.
Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки. Обрабатываемые персональные
данные не должны быть избыточными по отношению к заявленным целям их
обработки.
Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели
обработки персональных данных, если срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект
персональных данных. Обрабатываемые персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае
утраты необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.
7

8. Срок обработки персональных данных

Ч. 4 СТ. 21 ФЗ
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
В случае достижения цели обработки персональных данных
оператор обязан прекратить обработку персональных данных
или обеспечить ее прекращение(если обработка персональных
данных осуществляется другим лицом, действующим по
поручению оператора) и уничтожить персональные данные или
обеспечить их уничтожение (если обработка персональных
данных осуществляется другим лицом, действующим по
поручению оператора) в срок, не превышающий тридцати дней с
даты достижения цели обработки персональных данных, если
иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является
субъект персональных данных, иным соглашением между
оператором и субъектом персональных данных либо если
оператор не вправе осуществлять обработку персональных
данных без согласия субъекта персональных данных на
основаниях, предусмотренных настоящим Федеральным законом
или другими федеральными законами.
ТРУДОВЫЕ ОТНОШЕНИЯ:
обработка персональных данных соискателей
после принятия решения об отказе в устройстве
на работу (в случае отсутствия внешнего
кадрового резерва)
ИСКЛЮЧЕНИЕ: государственные служащие
обработка персональных данных в ИСПДн
по истечении установленных
законодательством сроков (пример:
ИСПДн в подразделениях «Кадры» –
истечение 5 лет с момента увольнения
работника)
ДОГОВОРНЫЕ ОТНОШЕНИЯ:
обработка персональных данных по истечении
сроков, установленных законодательством РФ, после
достижения целей обработки (ГК РФ (общие сроки
исковой давности) и т.д.).
Требования к подтверждению уничтожения
персональных данных утверждены
приказом Роскомнадзора от 28.10.2022 № 179
8

9. 3

РЕКОМЕНДАЦИИ ПО
СОСТАВЛЕНИЮ
ДОКУМЕНТА,
ОПРЕДЕЛЯЮЩЕГО
ПОЛИТИКУ ОПЕРАТОРА В
ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

10. Содержание документа, определяющего политику оператора в отношении обработки персональных данных

П.2 Ч. 1 СТ. 181 ФЗ
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Определять для каждой цели обработки персональных
данных:
1. категории и перечень обрабатываемых персональных данных,
2. категории субъектов, персональные данные которых
обрабатываются,
3. способы обработки персональных данных,
4. сроки их обработки и хранения,
5. порядок уничтожения персональных данных при достижении
целей их обработки или при наступлении иных законных
оснований…
Не может содержать положения, ограничивающие права субъектов
персональных данных, а также возлагающие на операторов не
предусмотренные законодательством Российской Федерации
полномочия и обязанности
Информация в документе должна
отражать фактически осуществляемую
деятельность оператора по обработке
персональных данных, в частности
указанную в уведомлении об обработке
персональных данных
(ст. 22 ФЗ «О персональных данных»)
Оператор обязан обеспечить
неограниченный доступ к указанному
документу. В случае сбора персональных
данных на сайте – опубликовать на каждой
странице сайта, с помощью которой
осуществляется сбор персональных
данных (ч. 2 ст. 181 ФЗ «О персональных
данных»)
10

11. Рекомендации по содержанию документа, определяющего политику оператора в отношении обработки персональных данных

ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ (НАИМЕНОВАНИЕ, ИНН ИЛИ ФИО)
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СПОСОБЫ, СРОКИ ИХ
ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ИХ
ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
(П.2. Ч.1 СТ. 181 ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»)
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (В СООТВЕТСТВИИ С Ч.1 СТ. 6 ФЗ
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»)
ПЕРЕЧЕНЬ МЕР, ПРИНИМАЕМЫХ ОПЕРАТОРОМ И НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ
ОПЕРАТОРОМ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
ИНФОРМАЦИЯ О ПЕРЕДАЧЕ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ С УКАЗАНИЕМ ПРАВОВОГО
ОСНОВАНИЯ, ЦЕЛИ, СОСТАВА ПЕРЕДАВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПРИ ОСУЩЕСТВЛЕНИИ)
СПОСОБЫ СВЯЗИ С ОПЕРАТОРОМ ДЛЯ РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ (АДРЕС
ЭЛЕКТРОННОЙ ПОЧТЫ, ПОЧТОВЫЙ АДРЕС И Т.Д.
11

12. N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской

N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных
данных" и отдельные законодательные акты Российской Федерации"
1
2
Дополнение статьи 6
Часть 1.2: Обработка персональных данных сотрудников
органов федеральной службы безопасности и других
защищаемых
категорий
(судьи,
сотрудники
правоохранительных органов и т.д.) будет осуществляться
с учетом специфических требований, установленных
рядом федеральных законов, направленных на их защиту.
Это включает законы о государственной защите, внешней
разведке и охране.
Изменение части 5 статьи 18
Часть 5: При сборе персональных данных через
интернет, запись и хранение данных граждан
Российской Федерации за пределами страны не
допускаются,
за
исключением
определенных
случаев, указанных в статье 6
3 Дополнение статьи 19
Часть 15: Оператор обязан обрабатывать
персональные данные защищаемых категорий
(сотрудники ФСБ, судьи, участники уголовного
судопроизводства и т.д.) с учетом требований
соответствующих
федеральных
законов,
обеспечивающих их защиту.

13. 4

ОТВЕТСТВЕННОСТЬ
ЗА
. ЗАКОНОДАТЕЛЬСТВА
РФ В ОБЛАСТИ
НАРУШЕНИЕ
ПЕРСОНАЛЬНЫХ
ДАННЫХ: НОВЕЛЛЫ
КОАП РФ, УК РФ

14. Виды ответственности за нарушения в области обработки персональных данных

СТ. 24 ФЗ «О ПЕРСОНАЛЬНЫХ
ДАННЫХ»
1. Лица, виновные в нарушении требований
настоящего
Федерального
закона,
несут
предусмотренную
законодательством
Российской
Федерации ответственность.
2.
Моральный
вред,
причиненный
субъекту
персональных данных вследствие нарушения его прав,
нарушения правил обработки персональных данных,
установленных настоящим Федеральным законом, а также
требований
к
защите
персональных
данных,
установленных в соответствии с настоящим Федеральным
законом, подлежит возмещению в соответствии с
законодательством Российской Федерации. Возмещение
морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных
субъектом персональных данных убытков.
Административная
(в том числе по ст. 197,
1311 КоАП РФ)
Уголовная
(в том числе по ст. 137 УК
РФ, 2721 УК РФ)
Дисциплинарная
(в том числе за нарушение работниками
локальных актов по обработке
персональных данных)
Гражданско-правовая
(в том числе за нарушение условий
договоров в части обработки
персональных данных, компенсация
морального вреда в соответствии с ГК
РФ)
14

15. СТАТЬЯ 1311 КоАП РФ

НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ В
ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
15

16.

1
11
2
21
3
4
5
51
Обработка персональных данных в случаях, не предусмотренных
законодательством РФ в области персональных данных, ЛИБО
обработка персональных данных, несовместимая с целями сбора
персональных данных*
6
Повторно ч. 1 ст. 1311 КоАП РФ
Обработка персональных данных без согласия в письменной
форме субъекта персональных данных на обработку его
персональных данных в случаях, когда такое согласие должно
быть получено ЛИБО с нарушением требований к составу такого
согласия*
7
Повторно ч. 2 ст. 1311 КоАП РФ
Невыполнение обязанности по опубликованию или обеспечению
иным образом неограниченного доступа к документу,
определяющему политику оператора в отношении обработки
персональных данных, или сведениям о реализуемых
требованиях к защите персональных данных
8
Невыполнение оператором предусмотренной законодательством
РФ
в
области
персональных
данных
обязанности
по
предоставлению субъекту персональных данных информации,
касающейся обработки его персональных данных
Невыполнение
оператором
в
сроки,
установленные
законодательством РФ в области персональных данных, требования
субъекта персональных данных или его представителя либо
Роскомнадзора(ТУ) об уточнении персональных данных, их
блокировании или уничтожении в случае, если персональные данные
являются
неполными,
устаревшими,
неточными,
незаконно
полученными или не являются необходимыми для заявленной цели
обработки
Повторно ч. 5 ст. 1311 КоАП РФ
9
Невыполнение оператором при обработке персональных
данных без использования средств автоматизации обязанности
по соблюдению условий, обеспечивающих в соответствии с
законодательством РФ в области персональных данных
сохранность персональных данных при хранении материальных
носителей
персональных
данных
и
исключающих
несанкционированный к ним доступ, если это повлекло
неправомерный или случайный доступ к персональным
данным,
их
уничтожение,
изменение,
блокирование,
копирование, предоставление, распространение либо иные
неправомерные действия в отношении персональных данных *
Невыполнение оператором, являющимся государственным или
муниципальным органом, предусмотренной законодательством
РФ в области персональных данных обязанности по
обезличиванию персональных данных либо несоблюдение
установленных требований или методов по обезличиванию
персональных данных
Невыполнение оператором при сборе персональных данных, в том
числе посредством информационно-телекоммуникационной сети
"Интернет", предусмотренной законодательством РФ в области
персональных данных обязанности по обеспечению записи,
систематизации, накопления, хранения, уточнения (обновления,
изменения) или извлечения персональных данных граждан РФ с
использованием баз данных, находящихся на территории РФ
Повторно ч. 8 ст. 1311 КоАП РФ
С 30 мая 2025 года
1018
НОВЫЕ СОСТАВЫ АДМИНИСТРАТИВНЫХ
ПРАВОНАРУШЕНИЙ

17.

УВЕДОМЛЕНИЯ
Невыполнение или несвоевременное выполнение оператором
предусмотренной законодательством РФ в области персональных данных
обязанности по уведомлению Роскомнадзора (ТУ) :
1
0
1
1
о намерении осуществлять обработку персональных данных
в случае установления факта неправомерной или случайной
передачи персональных данных, повлекшей нарушение прав
субъектов персональных данных
«УТЕЧКИ» ПЕРСОНАЛЬНЫХ ДАННЫХ
Действия (бездействие) оператора, повлекшие неправомерную
передачу информации, включающей персональные данные :
1
2
1
3
1
4
1
5
от 1 тыс. до 10 тыс. субъектов персональных данных и (или)
от 10 тыс. до 100 тыс. идентификаторов *
от 10 тыс. до 100 тыс. субъектов персональных данных и (или)
от 100 тыс. до 1 млн идентификаторов *
более 100 тыс. субъектов персональных данных и (или)
более 1 млн идентификаторов *
Совершение административного правонарушения, предусмотренного
чч. 12 - 14 ст. 1311 КоАП РФ, лицом, подвергнутым административному
наказанию за административные правонарушения, предусмотренные
чч. 12 -18 ст. 1311 КоАП РФ
Действия (бездействие) оператора, повлекшие
неправомерную передачу информации, включающей:
1
6
1
7
1
8
специальную категорию персональных данных
биометрические персональные данные
Совершение административного правонарушения, предусмотренного
чч. 16 или 17 ст. 1311 КоАП РФ, лицом, подвергнутым
административному наказанию за административные
правонарушения, предусмотренные чч. 12 -18 ст. 13 11 КоАП РФ

18.

СТАТЬЯ 2721 УК РФ
Незаконные использование и (или) передача, сбор
и (или) хранение компьютерной информации,
содержащей персональные данные, а равно
создание и (или) обеспечение функционирования
информационных ресурсов, предназначенных для
ее незаконных хранения и (или) распространения
18

19. СТАТЬЯ 2721 УК РФ

1
Незаконные использование и (или) передача
(распространение, предоставление, доступ),
сбор и (или) хранение компьютерной
информации, содержащей персональные
данные, полученной путем неправомерного
доступа к средствам ее обработки, хранения
или
иного
вмешательства
в
их
функционирование либо иным незаконным
путем
Криминализация деятельности лиц,
осуществивших неправомерный доступ к
информационным системах, в результате
чего были незаконно использованы и (или)
переданы, собраны и (или) хранились
персональные данные
2
Создание
и
(или)
обеспечение
функционирования информационного ресурса
(сайта в сети «Интернет» и (или) страницы
сайта в сети «Интернет», информационной
системы,
программы
для
электронных
вычислительных
машин),
заведомо
предназначенного для незаконных хранения,
передачи (распространения, предоставления,
доступа)
компьютерной
информации,
содержащей
персональные
данные,
полученной незаконным путем
Криминализация деятельности различных
сервисов
интернет-пробива
(«глазбога», «saverudata», «химера» и пр.)
19