Сегодня персональные данные (ПД) обрабатывают практически любые организации: коммерческие компании, органы власти, бюджетные учреждения. Способы их обработки, как с использованием средств автоматизации, так и без, регламентируются с учетом:

• нормативных требований: законов, постановлений правительства, приказов контролирующих органов; 
• запросов субъектов (владельцев) персональных данных; 
• специфики и задач работы организации;
• состава самих персональных данных и операций с ними;
• порядка взаимодействия с субъектами персональных данных.

Нормативно-правовое регулирование

Основой нормативной базы в регулировании ПД являются международные акты и национальные законы о персональных данных. Среди таких законов:

• Российский Федеральный закон №152-ФЗ «О персональных данных», действует с 2006 г.;
• Европейский General Data Protection Regulation (GDPR), вступил в силу в 2018 г. не заменяет собой национальные законы европейских стран, такие как немецкий German Federal Data Protection Act, (Bundesdatenschutzgesetz, BDSG) от 1978 г., французский Act No.78-17 от 1978 г. и др.;
• Американский Privacy Act от 1974 г., предписывает «как должны храниться записи федерального агентства с индивидуально идентифицирующей информацией, кто может получить доступ к такой информации и когда правительство может использовать или раскрывать ее».
• Китайский Personal Information Protection Law of the People’s Republic of China (PIPL) действует с 2021 г.;
• Закон Республики Казахстан «О персональных данных и их защите», 2013 г.;
• Закон Республики Узбекистан «О персональных данных», 2019 г.;
• Закон Кыргызской Республики «Об информации персонального характера», 2008 г.

Законы о персональных данных, в свою очередь, являются частью законодательного регулирования информационной безопасности.

Примеры: 

• Российский закон № 152-ФЗ  дополняет блок актов, включающий Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации» и Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• Китайский PIPL составляет единую систему правового регулирования вместе с Законом о безопасности данных (Data Security Law), Законом о кибербезопасности (Cybersecurity Law), Гражданским кодексом (Civil Code) и Регламентом о защите безопасности критической информационной инфраструктуры (Critical Information Infrastructure Security Protection Regulations).

Способы обработки

Статья 3 закона о персональных данных определяет два способа обработки персональных данных:

• с использованием средств автоматизации;
• без их применения.

Ручной способ обработки персональных данных – это занесение их на материальные носители без применения компьютерной техники и дальнейшая работа с такими носителями.

Особенности обработки ПД без использования средств автоматизации регулируются отдельным постановлением Правительства РФ №687.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые операторы могут производить с полученными персональными данными:

• сбор – это фактическое получение персональных данных оператором;
• запись – фиксация данных на каком-либо носителе, может происходить и ручным, и машинным способом;
• систематизация – расположение персональных данных в порядке, облегчающем их обработку;
• накопление и хранение содержание персональных данных оператором без их изменения;
• уточнение – обновление или изменение персональных данных для обеспечения их достоверности и актуальности;
• извлечение –  перенос персональных данных из памяти средств автоматизации на материальные носители;
• использование – операции с персональными данными, предназначенные для осуществления каких-либо задач оператора;
• передача – этот термин содержит в себе три аспекта: распространение и предоставление, доступ. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией. Для предоставления характерна передача персональных данных ограниченному кругу лиц. Доступ предполагает возможность самостоятельного ознакомления, использования или передачи персональных данных кем-либо;
• блокирование – под ним подразумевается временное прекращение любых действий с персональными данными;
• удаление – изъятие информации о человеке из обработки с возможностью ее восстановления впоследствии;
• уничтожение – изъятие персональных данных из обработки без возможности их последующего восстановления.
• обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств.

Примеры 

• Российский Федеральный закон № 233-ФЗ от 08.08.2024 РФ (вступает в силу 1 сентября 2025 г.), содержащий требования о предоставлении операторами ПД обезличенных данных. 
• Регламент Евросоюза об искусственном интеллекте (принят 13 марта 2024 г.). 
• Закон КНР о безопасном применении ИИ, действует с 2023 г.
• США: Указ президента (принят в 2023 г.), обязывающий разработчиков, провайдеров ИИ-сервисов и пользователей ИИ учитывать риски и делиться соответствующей информацией с регуляторами. 

Принципы обработки

Федеральный закон «О персональных данных» утверждает, что любая обработка персональных данных должна быть соответствовать принципам, которых должен придерживаться каждый оператор. Среди них:

• законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
• целевой характер – персональные данные должны обрабатываться только в соответствии с заранее определенными конкретными целями. По их достижении следует прекратить обработку;
• достаточность – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
• точность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно, или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
• минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной или уголовной ответственности операторам персональных данных необходимо придерживаться установленных законодательством условий обработки персональных данных. Среди основных:

1.обработка персональных данных допускается тогда, когда человек выразил на это согласие и пока он не отозвал его. Согласие предоставляется на обработку конкретных данных, для конкретных целей и в рамках определенных операций. Субъект персональных данных должен быть ознакомлен с политикой обработки персональных данных, где представлена информация о самом операторе, целях обработки данных, категориях собираемых данных, способах, сроках обработки и хранения, порядке уничтожения;

2.в отсутствие согласия обработка допускается только в определенных законом или международным договором случаях, когда на оператора возлагаются определенные функции, полномочия или обязанности. Например, работодатели обязаны хранить персональные данные сотрудников согласно положениям Приказа Росархива № 236, принятому в соответствии с п. 3 ст. 6 Федерального закона «Об архивном деле в РФ».

Частным, но не менее важным случаем обработки ПД без согласия субъекта является ситуация, когда это необходимо для защиты жизни и здоровья человека, например, если он не в состоянии дать согласия на обработку ПД, но ему необходима медицинская помощь. 

Безопасность персональных данных при обработке

Защита персональных данных, обеспечение их конфиденциальности – основная обязанность операторов ПД. За нарушения правил обработки персональных данных предусмотрена уголовная и административная ответственность. В 2024-2025 годах ее объемы значительно выросли. Например, ст. 13.11  КоАП РФ предусматривает штрафы для операторов ПД, в т.ч. оборотные, в размере до 500 млн рублей, а ст. 272.1 УК РФ – заключение на срок до 10 лет для нарушителей – виновников инцидентов. 

В России операторам персональных данных законом предписано: 

• отразить порядок обработки и защиты этой информации в своих локальных актах (политиках, положениях об обработке персональных данных);
• назначить ответственного за обработку ПД;
• реализовывать организационные и технические меры их защиты.

Также, в соответствии с постановлением Правительства № 1119, операторам необходимо определить угрозы безопасности и соответствующий уровень защищенности для своей информационной системы персональных данных. Меры защиты, которые необходимо применять в зависимости от этого уровня, отражены в Приказе ФСТЭК № 21. 

В случае утечки персональных данных оператор обязан уведомить регулятора. Если оператор относится к КИИ, то уведомление происходит через систему ГосСОПКА. В других случаях уведомление отправляют Роскомнадзору. 

Среди основных ИБ-средств, позволяющих разграничить доступ к персональным данным, предотвратить нарушения с ними на ранней стадии, расследовать инциденты и автоматизировать взаимодействие с регуляторами - DLP, DCAP и SIEM-системы.