Принципы и условия обработки персональных данных

Принципы обработки персональных данных, принципы и условия обработки ПНд

Принципы и условия обработки персональных данных

25 октября 2019 Персональные данные

Ранее наши коллеги из компании «ИТ-ГРАД» уже рассказали, что такое персональные данные (ПНд). Теперь пришло время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных»[1]. Рассмотрим наиболее значимые пункты:

  • обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
  • закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;

Автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия на это! Можно считать классическим примером обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;

Кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования (ФСС), когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
  • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

  • наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн;
  • обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности»;
  • наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн;
  • без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.

Согласие субъекта – тонкости и особенности

Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.

Но и здесь не обходится без нюансов.

Как показывает практика, наиболее частым способом выражения согласия являются конклюдетные действия[2], когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?В этом случае регулятор хочет видеть дисклеймер[3], который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • включение персональных данных в общедоступные источники;
  • обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных;
  • трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
  • принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • распространение персональных данных членов (участников) общественного объединения или религиозной организации;
  • передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Полезный вебинар о переносе ПНд в облако:

Источник.

И обязательно следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели. Положение об обработке персональных данных работников

Каков порядок обработки персональных данных работников, их родственников, в т.ч. при размещении их в облаке. Каков объем прав у сотрудников на защиту их персональных данных, нужно ли получать согласие работников.

Средства защиты персональных данных в организации

Организация данных и информации на предприятии – какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

ЦОД и 152-ФЗ Как и нужно ли проводить проверку на соответствие организации, ее бизнес-процессов, сайта, серверов на соответствие Федеральному закону №152-ФЗ «О персональных данных».

Источник: https://integrus.ru/blog/it-decisions/printsipy-obrabotki-personalnyh-dannyh.html

Принципы и условия обработки персональных данных, их конфиденциальность

Принципы и условия обработки персональных данных

Законодательство о персональных данных

Общие положения

Законодательство в области персональных данных состоит из Федерального закона «О персональных данных» и других федеральных законов, определяющих случаи и особенности обработки персональных данных.

Предметом правового регулирования в области персональных данных являются отношения, связанные с обработкой этих данных с применением средств автоматизации или без их применения.

Исключение составляют отношения, возникающие:

· в связи с обработкой персональных данных физическими лицами для личных и семейных нужд;

· при формировании и использовании Архивного фонда Российской Федерации;

· в случае, если эти данные составляют государственную тайну;

· предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К особым категориям персональных данных относится информация о субъекте, касающаяся расы, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также физиологических особенностей, на основании которых можно установить его личность (биометрические персональные данные).

Цель правового регулирования заключается в обеспечении защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайны. Основные угрозы безопасности этих прав и свобод заключаются в неправомерном использовании собираемых персональных данных государственными органами, органами местного самоуправления, юридическими и физическими лицами.

В целях противодействия указанной угрозе законодательно закрепляются:

· принципы и условия обработки персональных данных и их конфиденциальность;

· права субъектов персональных данных;

· обязанности оператора при обработке персональных данных;

· механизм контроля и надзора за соблюдением законодательства.

Под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Принципы и условия обработки персональных данных, их конфиденциальность

Обработка персональных данных должна осуществляться на основе следующих принципов:

· законность целей и способов обработки персональных данных и добросовестность;

· соответствие целей обработки заранее объявленным и заявленным при сборе персональных данных, а также полномочиям оператора;

· соответствие объема и характера обрабатываемых персональных данных, способов их обработки заявленным целям;

· достоверность персональных данных, их достаточность для целей обработки и недопустимость их избыточности;

· недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

· уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Основным условием обработки персональных данных является согласие субъекта этих данных, которое он дает своей волей и в своем интересе.

При составлении общедоступных источников персональных данных (в том числе справочников, адресных книг), специальных категорий персональных данных, биометрических персональных данных согласие должно быть дано в письменной форме и включать:

· фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи документа и выдавшем его органе;

· наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

· цель обработки персональных данных;

· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

Предварительное согласие субъекта персональных данных на их использование является обязательным условием использования этих данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

Обязанность доказывать наличие согласия субъекта персональных данных на обработку или отнесение персональных данных к общедоступным лежит на операторе.

Согласие субъекта персональных данных не требуется в таких случаях:

· как обязательное предоставление таких данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

· обработка биометрических персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством, законодательством о порядке выезда из Российской Федерации и въезда в нее;

· обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

· обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных;

· обработка персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

· обработка данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получено его согласие;

· обработка персональных данных для доставки почтовых отправлений организациями почтовой связи, осуществления операторами электросвязи расчетов с пользователями услуг связи;

· обработка персональных данных в целях профессиональной деятельности журналиста либо в целях научной, литературной или

· иной творческой деятельности при условии, что не нарушаются права и свободы субъекта персональных данных;

· обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

Государственные и муниципальные органы создают в пределах своих полномочий государственные и муниципальные информационные системы персональных данных. Операторы и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность, за исключением случаев обезличивания данных и обработки общедоступных данных.

Дата добавления: 2016-04-14; просмотров: 1027; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ

ПОСМОТРЕТЬ ЁЩЕ:

Источник: https://helpiks.org/7-86179.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.