Главная Как бизнесу работать с персональными данными, не нарушая закон Урок 1.4. Что еще важно знать в области защиты ПДн

Проверим?

Как вы думаете, может ли согласие на обработку ПДн быть частью другого документа (например, пользовательского соглашения)?

Нет. С 1 сентября 2025 года действует нова редакция Федерального закона № 152-ФЗ. Теперь согласие на обработку ПДн должно оформляться отдельно, а не быть частью другого документа (например, политики конфиденциальности или пользовательского соглашения). Подробнее о том, какие документы оформлять, рассказываем в уроке Х.

Главный закон и подзаконные акты

В уроке 1.1. мы писали, что основной документ, регулирующий обработку персональных данных в России — Федеральный закон «О персональных данных» от 27.07.2026 № 152-ФЗ (далее 152-ФЗ). В него регулярно вносят изменения.

В законе прописаны:

Основные принципы и условия обработки персональных данных.
Обязанности операторов при работе с персональными данными.
Права субъектов персональных данных.

Для реализации положений 152-ФЗ приняты различные подзаконные акты.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства РФ от 15.09.2008 № 687 (ред. от 18.01.2025) «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Комплекс правовых актов обеспечивает всестороннее регулирование вопросов, связанных с обработкой и защитой персональных данных в России.

Кто такой оператор персональных данных

Оператор ПДн — юридическое лицо или индивидуальный предприниматель, который самостоятельно определяет для чего, какие данные и каким образом будет использовать. Оператору ПДн нужно зарегистрироваться в специальном реестре Роскомнадзора. Для этого необходимо заполнить и отправить форму уведомления в бумажном или электронном виде на сайте Роскомнадзора. Об этом мы подробнее поговорим в уроке 2.1.

Если при ведении бизнеса вы собираете, храните или используете данные клиентов, вы в большинстве случаев являетесь оператором. Это значит, что именно вы отвечаете за законность обработки и защиту этих данных.

Для законной обработки оператор обязан:

Определить цель обработки перед ее началом.
Обрабатывать только те данные, которые соответствуют заявленной цели.
Обеспечить точность, актуальность и достаточность данных.
Обеспечить защиту данных (принять технические и организационные меры). Подробнее об этом рассказываем в модуле 3.
Прекратить обработку при достижении цели, утрате необходимости или при заявлении субъекта персональных данных.

Кто такой обработчик персональных данных

Обработчик данных — юридическое лицо или индивидуальный предприниматель, выполняющие обработку данных по заданию (поручению) оператора. В законе напрямую термин «обработчик» не выделен, но он подразумевается как лицо, которому оператор поручает обработку данных (ч. 3 ст. 6 закона 152-ФЗ).

Пример

IT-компания, которая по договору обслуживает CRM с клиентской базой, является обработчиком ПДн.

Между оператором и обработчиком заключается договор поручения обработки с описанием перечня обрабатываемых данных, операций с персональными данными, целей, мер защиты и других обязательных условий.

Различия между оператором и обработчиком заключаются в уровне ответственности и объеме обязанностей перед субъектами данных.

Права субъекта персональных данных

Напомним, что субъект персональных данных — это просто человек (физическое лицо), чьи данные собирают, хранят или используют. Это может быть клиент, сотрудник, пациент, ученик, пользователь сайта и пр.

Вот, например, какие права есть у субъекта ПДн:

получить сведения об операторе и обрабатываемых данных;
требовать внесения изменений или удаления данных, если они неполные, устаревшие или обработаны незаконно и др;
отозвать согласие на обработку персональных данных.

Вы отписались от рассылки!

Спасибо, что были с нами! Возобновить подписку можно в любой момент на сайте СберБизнес Live

Урок 1.4.
Что еще важно знать в области защиты ПДн

Проверим?

Посмотреть ответ

Главный закон и подзаконные акты

Основные подзаконные акты по теме обработки ПДн

Кто такой оператор персональных данных

Кто такой обработчик персональных данных

Права субъекта персональных данных

Подтвердите свой email

Вы отписались от рассылки!