Маргарита Отдельнова
Обработка и управление персональными данными

1. Требования по персональным данным

1.1. Обработка персональных данных

Под обработкой персональных данных понимаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

Таким образом, даже если организация, например, всего лишь получает паспортные данные своих клиентов или создала базу данных их телефонных номеров, она обрабатывает персональные данные и признается их оператором. Это значит, что организация обязана под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных. Так, она должна определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.

1.2. Какими способами можно обрабатывать персональные данные

Персональные данные могут обрабатываться данные с использованием или без использования средств автоматизации (п. 3 ст. 3 Закона о персональных данных).

Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).

Обратите внимание, что оператор обязан использовать базы данных, находящиеся в России, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуется использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных.

До начала трансграничной передачи персональных данных необходимо:

получить ряд сведений от органов власти иностранного государства, иностранных физлиц или юрлиц, которым планируете передавать данные. Сведения предоставьте в Роскомнадзор по его запросу;

направить в Роскомнадзор уведомление о трансграничной передаче персональных данных, составленное на бумажном носителе или в форме электронного документа. Включите в него обязательные сведения и подпишите. Оно направляется отдельно от уведомления об обработке персональных данных.

После представления уведомления о трансграничной передаче:

можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые являются сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных или включены в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Делать это можно до принятия Роскомнадзором решения о запрете или ограничении передачи данных;

до истечения установленных сроков не можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые не являются сторонами названной Конвенции Совета Европы и не включены в упомянутый Перечень. Исключение: трансграничная передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных (других лиц).