При анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос об информации о гражданах, находящейся в обработке у юридических лиц.

Какие персональные данные обрабатывают юридические лица

Федеральный закон № 152-ФЗ определяет, что к персональным данным относится любая информация, которая прямо или косвенно относится к конкретному физическому лицу или позволяет его идентифицировать. Таким образом, к ПДн могут быть отнесены самые разные сведения – от паспортных данных до номера телефона гражданина (поскольку другому гражданину этот же номер оператор выдать не может), номера автомобиля (зарегистрированного на физлицо) и т.д.

Деятельность юридического лица практически невозможна без обработки персональных данных. Работать с этой информацией необходимо и в рамках трудовых отношений с сотрудниками, и при взаимодействии с гражданами-клиентами, и в ходе маркетинговых активностей, и во многих других процессах.

Поэтому любой организации необходимо выполнять требования законодательства о персональных данных: от уведомления регулятора и регламентации процессов работы с этими сведениями до обеспечения их конфиденциальности.

Персональные данные, например, клиентские базы или информация из программ лояльности, могут иметь коммерческую ценность для компании. В таком случае, их защита требует дополнительно введения режима коммерческой тайны.

Передача персональных данных юридическим лицом на обработку третьим лицам

В ряде случаев персональные данные, собранные одной компанией, передаются для обработки в другую организацию. Примером может быть деятельность группы компаний, в которой персональные данные всех клиентов хранятся на одном сервере. 

Схожая ситуация с точки зрения обработки ПДн возникает при передаче банком информации страховой компании для страхования кредита. Еще одним примером может служить передача данных сотрудников компании, оказывающей услуги аутсорсинга бухгалтерии или кадровой службы. Третьим случаем передачи данных третьему лицу будет хранение сведений на облачных ресурсах. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она другим.

Согласно положениям закона, передача персональных данных третьему лицу должна быть согласована с гражданином. Кроме того, в политике обработки персональных данных организации необходимо отразить, что эта информация может передаваться третьим лицам для определенных действий. Отношения с организациями, которым переданы персональные данные, должны быть оформлены договором (например, договором поручения на обработку ПДн). 

Оператор персональных данных несет ответственность перед гражданином не только за свои действия, но и за действия своих контрагентов, которым была поручена обработка этой информации. Обработчики персональных данных отвечают, в свою очередь, перед изначальным оператором.

Ответственность юридических лиц при обработке персональных данных

Несоблюдение норм обработки ПД чревато ответственностью организации. Ответственность может быть:

• гражданско-правовой, в виде компенсации гражданину вреда за утечку или несогласованное использование ПД. Следует учитывать, что ответственность перед гражданином за действия контрагента, которому поручена обработка персональных данных, несет изначальный оператор;
• административной, в виде штрафа, например, за утечку персональных данных. С июня 2025 года, с поправками в ст. 13.11 КоАП(Закона об оборотных штрафах),  первая же утечка данных грозит организации штрафом от 150 тыс. до 15 млн руб., в зависимости от состава и количества пострадавших данных. Повторный инцидент может повлечь штраф в 1-3% от годового оборота. За не уведомление регулятора об обработке данных и об инцидентах с ними предусмотрены отдельные штрафы. В первом случае предусмотрен штраф в 100-300 тыс. руб, во втором – 1-3 млн руб. 

При этом, обеспечивать защиту персональных данных должны и контрагенты, которым была передана эта информация. Уровень ИБ контрагентов при оценке их надежности и добросовестности считают необходимым учитывать 60% российских компаний.

Подход к построению системы защиты, включающей риски работы с контрагентами (с точки зрения соответствия законодательству и актуальным угрозам) в настоящее время включает следующие этапы:

1.изучение системы технической защиты информации контрагента на предмет соответствия текущим рискам. Отдельное внимание стоит уделять тем случаям, когда передается значительный объем данных или особо чувствительная информация (данные о здоровье граждан, платежная информация и т.п.);

2.включение в согласие на обработку персональных данных условия о передаче данных третьим лицам. Об этой необходимости говорит и судебная практика;

3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, используемых в коммерческой деятельности, например, клиентских баз;

4.включение в договоры с контрагентами положений об обязательной защите передаваемых им персональных данных и коммерческой тайны.

Принятие этих мер позволит минимизировать риски при передаче персональных данных контрагентам.

Во избежание рисков штрафных санкций и нарушения бизнес-процессов, всем операторам, вне зависимости от того, как они получили персональные данные, необходимо выполнять комплекс мер ИБ, отвечающих актуальным ИБ-угрозам. Обязанности операторов в части информационной безопасности изложены, в частности, в ст. 19 Закона о персональных данных и в постановлении Правительства РФ № 1119 от 01.11.2012. Требования к организационно-техническим мерам ИБ для операторов ПД приведены в Приказе ФСТЭК № 21.

Среди ИБ-задач операторов персональных данных – разграничение доступа к этой информации, защита ее от раскрытия, выявление и расследование ИБ-инцидентов. Эти и другие нормативно определенные задачи выполняются с помощью комплекса DLP-, DCAP- и SIEM-систем.

Ознакомиться с тем, как SIEM-системы позволяют выполнять нормы текущего законодательства можно здесь.

Какие требования законодательства по защите данных позволяют закрывать DCAP и DLP-системы описано здесь. Использование современных средств защиты информации позволяет как минимизировать риски инцидентов, так и снизить вероятность получения оборотных штрафов.