Обработка персональных данных (в разработке)
Нужно узнать пункт закона?Статьи в Справочнике состоят из параграфов, почти каждый из которых сопровождается соответствующими цитатами из нормативных правовых документов. Такие параграфы отмечены зеленой или желтой линией (подробнее). Чтобы показать цитаты, нажмите на иконку « » справа от текста. |
- Персональные данные (ПД)
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- 06.2025 — в третьем чтении принят закон, согласно которому согласие на обработку персональных данных должно быть оформлено отдельно от иных информации или документов, которые подтверждает или подписывает субъект персональных данных.
- Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор, запись, систематизацию, накопление, хранение;
- уточнение (обновление, изменение);
- извлечение, использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование, удаление, уничтожение персональных данных.
Принципы обработки персональных данных:
- Обработка должна осуществляться на законной и справедливой основе;
- Обработка согласно цели:
- Обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Не допускается обработка, несовместимая с целями сбора.
- Обработке подлежат только данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки.
- Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.
- Не допускается объединение баз ПД, обработка которых осуществляется в целях, несовместимых между собой.
- При обработке должны быть обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки.
- Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных.
- Хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.
- Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
- Распространение персональных данных
Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Предоставление персональных данных
Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
В июне 2022 года Минцифры разработало законопроект, по которому бизнес по запросу должен будет передавать в уполномоченный орган необезличенную персональную информацию граждан (без согласия человека).
- Блокирование персональных данных
Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Уничтожение персональных данных
Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обработка персональных данных допускается в следующих случаях:
- получено согласие субъекта персональных данных на обработку его персональных данных;
- цели обработки предусмотрены международным договором РФ или законом;
- лицо участвует в судопроизводстве;
- ведется исполнительное производство;
- исполняются полномочия органов власти, органов местного самоуправления, организаций, участвующих в предоставлении государственных, муниципальных услуг;
- регистрация на портале государственных и муниципальных услуг;
- исполнение договора, участником (стороной, выгодоприобретателем, поручителем) которого является субъект ПД;
- обработка необходима для жизненно важных интересов субъекта персональных данных, а получение согласия невозможно;
- обработка необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей;
- осуществление профессиональной деятельности журналиста или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности;
- статистические и иные исследовательские цели при условии обезличивания;
- повышение эффективности государственного или муниципального управления при условии обезличивания;
- экспериментальное внедрение технологий ИИ, цифровых инноваций согласно 123-ФЗ от 24.04.2020, 258-ФЗ от 31.07.2020;
- опубликование или раскрытие в соответствии с федеральным законом.
- Оператор персональных данных
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующие и (или) осуществляющие обработку персональных данных;
- определяющие:
- цели обработки персональных данных;
- состав персональных данных, подлежащих обработке;
- действия (операции), совершаемые с персональными данными.
По мнению Роскомнадзора, изложенному в письме №08-318180 от 10.07.2025, индивидуальные предприниматели и юридические лица, заключающее договоры подряда, осуществляющие деятельность по обработке персональных данных, являются операторами.
- Согласие на обработку персональных данных
Документ, подтверждающий решение субъекта о предоставлении его персональных данных и разрешении их обработки.
В межевой, технический план вносятся сведения о заказчике кадастровых работ. В связи с этим требуется предоставление согласия на любые действия с этими данными, необходимые для осуществления кадастрового учета и регистрации прав.
По общему правилу в письменной форме согласие должно включать в себя, в частности:
- сведения о субъекте (представителе);
- реквизиты документа, удостоверяющего личность;
- сведения об операторе, получающем согласие;
- сведения о лице, обрабатывающем обработку данных по поручению;
- перечень действий с данными;
- описание способов обработки;
- цель обработки;
- перечень данных;
- срок действия согласия;
- особый способ его отзыва;
- подпись.
С 01.07.2021 отдельно оформляется согласие на обработку данных, разрешенных для распространения. При этом с 01.09.2021 года вступает в силу Приказ Роскомнадзора №18 от 24.02.2021, согласно которому согласие должно содержать также:
- контактную информацию;
- расширенные сведения об операторе (регистрационные номера в реестрах);
- URL информационных ресурсов оператора, посредством которых будут осуществляться действия с данными;
- категории и перечень разрешенных, разрешенных с определенными условиями и запрещенных к обработке данных:
- персональные (ФИО, дата и место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, иное);
- специальные (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- биометрические.
Так как новые требования к содержанию согласия сложнее предыдущих, для разработки шаблона можно воспользоваться информационной системой Роскомнадзора, в которой оператору необходимо авторизоваться через ЕСИА, заполнить форму предполагаемого согласия и отправить результат на проверку. В ответ должны быть представлены рекомендации по использованию шаблона согласия.
Вместе с тем, это требование не применяется в случае обработки данных в целях выполнения возложенных на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей [п.15 ст.10.1 152-ФЗ].
Остается ожидать от Росреестра, Национального объединения и СРО разъяснений о необходимости или отсутствии необходимости включения двух согласий в состав приложений к межевым, техническим планам, и, возможно, отраслевой рекомендуемой формы.
Последние события:
- 09.2022 — Минцифры предлагает создать реестр согласий с возможностью отзыва через Госуслуги;
- 09.2022 — по мнению Роскомнадзора, изложенному в письме №08-84259 от 16.09.2022, инициатору общего собрания в доме следует направить в Роскомнадзор уведомление о предстоящей обработке персональных данных владельцев помещений;
- 08.2023 — ВС РФ подтвердил, что для сбора через форму на сайте адреса электронной почты и номера телефона без указания ФИО не требуется согласие на обработку персональных данных;
- 06.2025 — в третьем чтении принят закон, согласно которому согласие на обработку персональных данных должно быть оформлено отдельно от иных информации или документов, которые подтверждает или подписывает субъект персональных данных.
- Информационная система персональных данных
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
По мнению Роскомнадзора, изложенному в письме №08-318180 от 10.07.2025, если обработка персональных данных в информационных системах персональных данных включает в себя только вышеописанные действия с персональными данными, то такая обработка может признаваться без использования средств автоматизации, что исключает необходимость направления в уполномоченный орган уведомления об обработке (о намерении осуществлять обработку) персональных данных.
- Обезличивание персональных данных
Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Несмотря на название, обезличенные данные в обязательном порядке изначально создаются таким образом, чтобы в случае необходимости можно было установить исходную информацию и, соответственно, связанные с ней персональные данные. Это осуществляется с помощью ключей, позволяющих сопоставить идентификаторы и персональные данные, в отношении которых были произведены действия по обезличиванию персональных данных. Ключи должны храниться оператором отдельно от массива персональных данных, подлежащих обезличиванию.
Последние события:
- 07.2024 — одобрен закон об обезличивании персональных данных, формировании региональных составов данных и предоставления доступа к ним;
- 09.2024 — Ассоциация больших данных (АБД) предложило стандартизацию безопасной работы с обезличенными персональными данными;
- 02.2025 — представлен на обсуждение законопроект Минцифры о государственной информационной системе, предназначенной для обработки персональных данных, полученных в результате обезличивания персональных данных;
- 04.2025 — разработан проект ПП о правилах обезличивания персональных данных, включая методы:
- метод введения идентификаторов — замена части сведений идентификаторами с созданием «таблицы соответствия исходным данным», изменение состава или семантики данных, в том числе путем удаления части сведений;
- метод декомпозиции — разбиение массива персональных данных на несколько частей и раздельное их хранение;
- метод перестановки отдельных записей, групп записей в массиве персональных данных;
- метод преобразования — агрегация данных через их обобщение, например по качественным значениям;
- 06.2025 — утверждены требования к обезличиванию персональных данных и методов обезличивания персональных данных (Приказ Роскомнадзора от 19.06.2025 №140, вступает в силу с 01.09.2025)
В Едином реестре видов контроля представлен раздел по Федеральному государственному контролю (надзору) за обработкой персональных данных: https://ervk.gov.ru/public/104158.
- Портал персональных данных
Адрес сайта: https://pd.rkn.gov.ru/
В октябре 2021 года был представлен проект приказа Минцифры России №01/02/10-21/00121799 «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных»:
- выявление в течение шести месяцев более десяти фактов невыполнения контролируемым лицом однотипных требований об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путём персональных данных;
- поступление в течение шести месяцев более десяти информационных сообщений от различных лиц о доступе, распространении, предоставлении в Интернете баз ПД, принадлежащих контролируемому лицу.
07.01.2025 в социальных сетях распространилось сообщение о получении хакерами доступа к неким данным Росреестра общим объемом около 1 Тб (более 2 млрд записей). В свободный доступ был выложен фрагмент базы данных. В нем почти 82 млн записей, содержащие в том числе персональные данные физических лиц с предположительной актуальностью на март 2024 года. В данных нет связей с объектами недвижимости.
Практически сразу же в официальном канале Росреестра было опубликовано сообщение, о том, что ведомство «не подтверждает утечку данных из Единого государственного реестра объектов недвижимости (ЕГРН)». Про другие информационные ресурсы пока не говорится.
По состоянию на начало 2025 года максимальный штраф за допущение утечки согласно статье 13.11 КоАП РФ составлял для компаний 100 тыс. рублей (300 тыс. — при повторном нарушении). С 01.03.2025 вступили в силу изменения, внесенные 420-ФЗ от 30.11.2024. Максимальный штраф составляет 15 млн рублей (500 млн — при повторном нарушении).
Каждая такая утечка позволяет заинтересованным лицам, в том числе мошенникам, обогащать свои информационные базы, составляя детальные профайлы буквально на каждого человека. У таких нелегальных систем есть официальный государственный аналог — Цифровой профиль (ЕСИА 2.0).
Невозможно не упомянуть советы Роскомнадзора детям в форме прекрасного стихотворения.
Цитирование
Представленные материалы являются объектом авторских прав. При их использовании следует указывать в источниках библиографическое описание:
Обработка персональных данных (в разработке). – Текст : электронный // Справочник кадастрового инженера Cadastre.ru : монография / С. А. Атаманов, С. А. Григорьев, З. С. Косаруков, М. С. Чуприн. – Москва, 2025. – URL: http://cadastre.ru/article/51 (дата обращения: 08.12.2025).
По подписке вы получаете полный доступ ко всем материалам и сервисам портала:
- справочные материалы и тематические книги-курсы:
- о кадастре
- об информационных системах и технологиях
- о градостроительстве
- о земле и учёте природных ресурсов
- сервисы кадастровой лаборатории, в том числе:
- База нормативных правовых актов и нормативной технической документации
- Градостроительный калькулятор
- Отраслевая энциклопедия
- Оценка качества пространственных данных
- Расчет площадей и погрешностей (П/0393)
- Учебный симулятор деятельности кадастровой организации
- Хронология учета недвижимости в России
- регулярные аналитические обзоры и журнал «Учет недвижимости».
Cadastre.ru — это источник актуальной структурированной и обоснованной информации для непрерывного образования и работы:
- Каждый день мы отслеживаем происходящее в отрасли по примерно ста отраслевым ресурсам
- По наиболее интересным событиям и документам пишем разъясняющие статьи
- Все новые знания сразу включаем в соответствующий тематический раздел
- Тексты наиболее крупных нормативно-правовых актов загружаем в базу данных
- Сопровождаем тексты цитатами из загруженных НПА
- Когда НПА обновляется, проверяем тексты, для которых связанные цитаты более неактуальны
- Размечаем все тексты ссылками на термины с предпросмотром по клику
- Собираем и категоризируем термины из всех материалов в одну отраслевую энциклопедию
- Дополняем материалы иллюстрациями, блок-схемами, интерактивными сервисами и тестами
Консультация кадастрового инженера
