Что такое обработка персональных данных: простое определение

Если говорить простыми словами, обработка персональных данных (ПДн) — это любое действие или совокупность действий, совершаемых с вашей личной информацией. Когда вы оставляете свои данные на сайте, в анкете у врача, при трудоустройстве или оформлении кредита — вся дальнейшая работа с этой информацией и есть её обработка.

С юридической точки зрения, это понятие закреплено в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Согласно ему, обработка — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования. Ключевое слово — «любое». Даже простое хранение вашей фамилии в базе данных уже считается обработкой.

Таким образом, обработка начинается с момента получения ваших данных и заканчивается только при их полном уничтожении или обезличивании.

Кто участвует в процессе обработки?

В этом процессе всегда есть две основные стороны:

  • Субъект персональных данных — это вы, физическое лицо, чьи данные обрабатываются. Ваше имя, паспортные данные, адрес, телефон, история покупок — всё это относится к вам как к субъекту.
  • Оператор персональных данных — это организация, индивидуальный предприниматель или даже государственный орган, который определяет цели и способы обработки ваших данных и непосредственно её осуществляет. Например, банк, работодатель, поликлиника, интернет-магазин или социальная сеть.

Какие данные считаются персональными?

Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. К ним относятся:

  1. Общедоступные данные: ФИО, дата и место рождения.
  2. Биометрические данные: отпечатки пальцев, рисунок радужной оболочки глаза, ДНК, фотографии и видеозаписи, позволяющие установить личность.
  3. Специальные категории данных: информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Их обработка, как правило, запрещена, за исключением строго оговорённых законом случаев (например, медицинское учреждение имеет право обрабатывать данные о здоровье пациента).
  4. Иные данные: адрес, телефон, сведения об образовании, профессии, доходе, семейном положении, истории покупок (потребительское поведение), IP-адрес, cookie-файлы в браузере.

Основные виды и этапы обработки ПДн

Обработка — это не единичный акт, а процесс, который включает в себя несколько этапов и видов действий. Закон прямо перечисляет их:

  • Сбор: Получение данных от субъекта или из других источников (например, из базы данных другого оператора с согласия субъекта).
  • Запись и систематизация: Внесение данных в базы, картотеки, электронные системы.
  • Накопление и хранение: Удержание данных в базах в течение определённого срока.
  • Уточнение (обновление, изменение): Корректировка данных, если они изменились или оказались неточными.
  • Использование: Применение данных для достижения целей обработки. Например, банк использует ваши данные для расчёта кредитного рейтинга, а интернет-магазин — для доставки заказа.
  • Передача (распространение, предоставление, доступ): Раскрытие данных третьим лицам. Это может быть передача курьерской службе (только адрес и телефон для доставки) или обезличенная передача данных партнёрам для аналитики.
  • Обезличивание: Действия, после которых невозможно определить принадлежность данных конкретному лицу без использования дополнительной информации.
  • Блокирование: Временное прекращение обработки (например, по требованию субъекта или контролирующего органа).
  • Уничтожение: Действия, после которых невозможно восстановить содержание данных в системе, и/или уничтожение материальных носителей (бумажных анкет, жёстких дисков).

На каких принципах основана обработка?

Вся обработка ПДн в России должна соответствовать ключевым принципам, установленным законом:

  1. Законность и справедливость. Обработка должна иметь правовое основание (согласие субъекта, договор, исполнение закона).
  2. Ограничение по цели. Данные можно обрабатывать только для заранее определённых, конкретных и законных целей. Нельзя собирать данные «про запас» или использовать их для других целей.
  3. Достаточность. Нельзя собирать избыточные данные. Если для выдачи дисконтной карты нужны только ФИО и телефон, то требовать паспортные данные незаконно.
  4. Точность и актуальность. Оператор должен принимать разумные меры для уточнения или удаления неполных или неточных данных.
  5. Хранение в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели обработки. После достижения целей данные должны быть уничтожены или обезличены.
  6. Конфиденциальность и безопасность. Оператор обязан защищать данные от несанкционированного доступа, утечки или уничтожения.

Правовые основания для обработки

Оператор не может просто так взять и начать обрабатывать ваши данные. Для этого необходимо одно из следующих оснований:

  • Согласие субъекта ПДн. Самое распространённое основание. Согласие должно быть конкретным, информированным и сознательным, часто оформляется в письменной или электронной форме (галочка в форме на сайте).
  • Заключение или исполнение договора, стороной которого является субъект. Например, для заключения кредитного договора банк вправе обрабатывать ваши данные без отдельного согласия, так как это необходимо для исполнения этого договора.
  • Исполнение обязанностей, возложенных законом на оператора. Работодатель обязан обрабатывать данные сотрудника для ведения кадрового делопроизводства, расчёта налогов и взносов. Банк обязан передавать данные в Росфинмониторинг по закону о противодействии отмыванию доходов.
  • Защита жизненно важных интересов субъекта. Например, передача данных о группе крови и аллергиях врачам скорой помощи, если человек без сознания.
  • Осуществление правосудия. Обработка данных судами.
  • Осуществление профессиональной деятельности журналиста или творческой деятельности. Имеет ряд ограничений.

Таким образом, обработка персональных данных — это комплексный, строго регламентированный законом процесс работы с личной информацией гражданина. Понимание его сути помогает осознанно давать согласие на использование своих данных и знать свои права, защищённые 152-ФЗ.