Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), которая включает фамилию, имя, отчество, дату и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессию, доходы и др.
Обработка персональных данных – это любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общие положения, касаемые принципов обработки персональных данных, содержатся в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Среди них ограничение таких действий достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.
Хранение персональных данных не должно длиться дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Взаимоотношения работников с работодателями в части обработки персональных данных урегулированы главой 14 Трудового кодекса Российской Федерации. Работники имеют право на полную информацию о своих персональных данных, в том числе об их обработке.
Порядок хранения и использования персональных данных работников в организации должен осуществляться на основании разработанного работодателем локального нормативного акта – «Положения о персональных данных работников».
Работодатель при нарушении правил хранения, обработки персональных данных несет ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях (далее – КоАП РФ). В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
– на граждан – от 6 000 до 10 000 руб.;
– должностных лиц – от 20 000 до 40 000 руб.;
– юридических лиц – от 30 000 до 150 000 руб.
При допущении повторных нарушений предусмотрены повышенные штрафы.
Специальной нормы об ответственности за нарушение законодательства о персональных данных в Уголовном кодексе Российской Федерации (далее – УК РФ) нет. Несмотря на это, действия лица, нарушившего правила работы с персональными данными, могут содержать признаки уголовно наказуемых деяний.
Например, уголовная ответственность установлена: за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ); неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ); неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).