что такое неавтоматизированная обработка персональных данных

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Консультант Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Источник

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением.

3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

Председатель Правительства
Российской Федерации

15 сентября 2008 г.

Положение
об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
(утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Любые сведения о гражданине (фамилия, имя, отчество, дата и место рождения, адрес, семейное положение и т.п.) составляют персональные данные о нем. Законодательством РФ допускается их обработка, в том числе сбор, хранение, уточнение, использование и уничтожение.

Определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации. При этом действия с такими сведениями в отношении каждого из лиц производятся при непосредственном участии человека. Предусмотрено, что в таком случае данные должны отделяться от другой информации (путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм). При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.

Лица, работающие со сведениями без использования автоматизированных средств, должны знать о способе и особенностях их обработки, категориях данных. При этом в отношении каждой категории следует определить место хранения материальных носителей и установить перечень лиц, причастных к обработке.

Постановление вступает в силу по истечении 1 месяца со дня его официального опубликования.

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования

Текст постановления опубликован в «Российской газете» от 24 сентября 2008 г. N 200, в Собрании законодательства Российской Федерации от 22 сентября 2008 г. N 38 ст. 4320

Источник

Автоматизированная и неавтоматизированная обработка персональных данных

Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № согласно которому:

Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн

Разобраться в том, что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.

В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:

Автоматизированная обработка персональных данных: что это и какие АС существуют

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.

На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.

Данная статья актуализирована с учетом последних изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.

Источник

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Источник