Принципы обработки персональных данных

Вся информация на в статье на тему: "Принципы обработки персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Читайте так же:  Ходатайство о немедленном исполнении решения суда образец

Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 3–6 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Источник: http://nalog-nalog.ru/personalnye_dannye/chto-znachit-obrabotka-personalnyh-dannyh/

Принципы обработки персональных данных

Статья 5. Принципы обработки персональных данных

Комментарий к статье 5

Принцип ограничения обработки конкретной целью вступает в существенные противоречия с идеологией, лежащей в основе использования технологий «больших данных». В ней главный акцент делается на повторном использовании данных, поскольку все без исключения данные приобретают потенциальную ценность. При этом такое повторное использование зачастую предполагает постановку новой цели, отличной от цели первоначального сбора персональных данных . И если применительно к использованию технологий «больших данных» для научно-исследовательских и статистических целей можно в ряде случаев полагаться на специальное основание для обработки персональных данных в отсутствие согласия субъекта (п. 9 ч. 1 ст. 6 Закона о персональных данных), то для применения их в коммерческих целях (для адресной рекламы, индивидуализации сервиса, анализа платежеспособности и др.) необходимо получение явно выраженного согласия субъекта.
———————————
См. подробнее: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «больших данных» (Big Data) // Право. Журнал Высшей школы экономики. 2015. N 1. С. 43 — 67. URL: https://publications.hse.ru/articles/150345962.

5. Принцип недопустимости объединения баз данных для совместной обработки персональных данных, собранных с несовместимыми целями, является конкретизацией принципа ограничения такой обработки конкретной целью. Данное положение, так же как и в случае с предыдущим принципом, накладывает существенные ограничения на осуществление легитимной деятельности посредством инструментария «больших данных», результаты которой могут влиять на экономическое, социальное или юридическое положение индивидов. В литературе о «больших данных» подчеркивается, что «истинная ценность данных — как айсберг в океане. На первый взгляд видна лишь незначительная их часть, в то время как все остальное сокрыто под водой. Такая скрытая ценность может быть зачастую получена путем объединения одного набора данных с другим, на первый взгляд совершенно с ним не связанным, поскольку при анализе «больших данных» совокупность важнее отдельных частей, а при перекомпоновке совокупностей нескольких наборов данных получается еще более удачная совокупность» (см. подробнее комментарий к ст. 16 Закона о персональных данных).
———————————
Майер-Шенбергер В., Кукьер К. Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслим. М., 2014. С. 111.

Но и помимо «больших данных» существуют проблемные области регулирования, находящегося в противоречии с указанным принципом. В качестве примера можно привести так называемую универсальную электронную карту, выпуск которой предусмотрен положениями Федерального закона от 27 июля 2010 г. N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». Такая карта включает идентификационные данные, данные обязательного медицинского страхования, пенсионные данные, а также имеет область для размещения других сведений . Данная карта может использоваться для получения государственных и муниципальных услуг, осуществления банковских платежей и в иных целях. Однако, как справедливо отмечает Л.К. Терещенко, аккумулирование такого количества персональных данных в одном месте очень опасно как с позиций создания условий для нарушения прав субъектов персональных данных, так и в случае утраты данной карты .
———————————
Постановление Правительства РФ от 24 марта 2011 г. N 208 «О технических требованиях к универсальной электронной карте и федеральным электронным приложениям».
Терещенко Л.К. Модернизация информационных отношений и информационного законодательства: Монография. М.: Институт законодательства и сравнительного правоведения при Правительстве РФ; ИНФРА-М, 2013. С. 132.

Источник: http://kommentarii.org/2017/personal_dannie/page9.html

Вопрос 48. Принципы и условия обработки персональных данных

— совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными,

6. уточнение (обновление, изменение),

9. передачу (распространение, предоставление, доступ),

13. уничтожение персональных данных

v Обработкой ПД занимается оператор.

· Оператор — это государственный орган или муниципальный орган, юридическое или физическое лицо,

— самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПД,

— а также определяющий:

§ цели обработки ПД,

§ состав ПД, подлежащих обработке,

§ действия, операции, совершаемые с ПД.

Читайте так же:  Моральный вред денежная компенсация

— Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

Принципы обработки

  1. должна осуществляться на законной и справедливой основе.
  2. должна ограничиваться достижением конкретных, заранее определенных и законных целей.

— Не допускается обработка ПД, несовместимая с целями сбора персональных данных.

  1. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  3. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки.

— Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.

  1. При обработке ПД должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
  2. Хранение ПД должно осуществляться

— в форме, позволяющей определить субъекта ПД,

— не дольше, чем этого требуют цели обработки ПД,

— если срок хранения персональных данных не установлен ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.

— Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Только сон приблежает студента к концу лекции. А чужой храп его отдаляет. 9046 —

| 7678 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Видео (кликните для воспроизведения).

Источник: http://studopedia.ru/4_57053_vopros—printsipi-i-usloviya-obrabotki-personalnih-dannih.html

Принципы и условия обработки персональных данных

Федеральным законом от 19 декабря 2005 г. № 160-ФЗ Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.). При этом был сделан ряд заявлений, согласно которым Российская Федерация:

  • – не будет применять Конвенцию к персональным данным:
    • а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
    • б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;
  • – будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
  • – заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Согласно Конвенции все персональные данные при автоматизированной обработке:

  • – должны быть получены и обработаны добросовестным и законным образом;
  • – должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
  • – должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
  • – должны быть точными и в случае необходимости обновляться;
  • – должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

Принципы, закрепленные в Конвенции, нашли отражение в российском законодательстве – в первую очередь в Федеральном законе «О персональных данных», а также в ТК РФ.

Трудовым кодексом РФ определен закрытый перечень целей, в которых работодатель может получать и обрабатывать персональные данные работника:

  • – обеспечение соблюдения законов и иных нормативных правовых актов;
  • – содействие работникам в трудоустройстве, обучении и продвижении по службе;
  • – обеспечение личной безопасности работников;
  • – контроль количества и качества выполняемой работы;
  • – обеспечение сохранности имущества.

При этом определяя объем и содержание обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. Таким образом, возможность работодателя произвольно расширять объем собираемых о работнике сведений законодательно ограничена, объем информации, обрабатываемой в соответствии с ТК РФ в качестве «персональных данных работника», значительно уже, нежели предусмотрено определением, данным Федеральным законом «О персональных данных».

Существует также ряд иных ограничений, которые работодатель обязан соблюдать, обрабатывая персональные данные работника. В частности, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами. Так, например, работодатель обязан обрабатывать сведения о членстве работника в профсоюзной организации при его увольнении по основаниям, предусмотренным п. 2, 3 и 5 ч. 1 ст. 81 ТК РФ. При этом работодатель обязан передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни работника, относятся в соответствии со ст. 10 Федерального закона «О персональных данных» к специальным категориям персональных данных. Обработка сведений, относящихся к специальным категориям персональных данных, нс допускается, за исключением случаев, предусмотренных ТК РФ и иными федеральными законами. В частности, обработка специальных категорий персональных данных работника допускается в случаях, если:

  • – работник дал согласие в письменной форме на обработку своих персональных данных;
  • – персональные данные работника сделаны им самим общедоступными;
  • – обработка персональных данных осуществляется в соответствии с трудовым законодательством;
  • – обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, об обязательных видах страхования, со страховым законодательством;
  • – обработка персональных данных необходима для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
  • – обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством РФ;
  • – обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника либо других лиц и получение согласия работника невозможно и т.д.
Читайте так же:  Гражданско правовая ответственность в полном объеме

При определении объема обрабатываемой работодателем информации о состоянии здоровья работника необходимо учитывать, что он не должен превышать тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. Такие сведения содержатся в медицинских заключениях по результатам предварительных, периодических и внеочередных медицинских осмотров (обследований) и психиатрических освидетельствований, проводимых в соответствии с трудовым законодательством, а также в иных медицинских заключениях, представляемых работниками в случаях, предусмотренных ТК РФ и иными федеральными законами. Кроме того, сведения о состоянии здоровья работника в соответствии со ст. 13 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» составляют врачебную тайну, и разглашение этих сведений лицами, которым они стали известны, в том числе при исполнении трудовых обязанностей, не допускается.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка (если иное не установлено федеральным законом).

Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Поскольку персональные данные работника относятся к конфиденциальной информации, их защита от неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном законодательством.

Определение порядка хранения и использования персональных данных работников отнесено ТК РФ к компетенции работодателя. При этом работодатель обязан соблюдать требования ТК РФ и иных федеральных законов. Например, в соответствии со ст. 22.1 Федерального закона «О персональных данных» работодатель обязан назначать работника, ответственного за организацию обработки персональных данных. На этого работника возлагаются, в частности, обязанности:

  • – осуществлять внутриорганизационный контроль за соблюдением работодателем и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
  • – доводить до сведения работников положения законодательства РФ о персональных данных, локальных нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • – организовывать прием и обработку обращений и запросов работников и (или) их представителей, и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В случае передачи персональных данных работников третьим лицам работодатель должен соблюдать дополнительные условия:

  • – в коммерческих целях сообщение персональных данных работника не допускается без его письменного согласия;
  • – лица, получающие персональные данные работника, должны быть предупреждены о том, что эти данные могут быть использованы лишь в тех целях, для которых они сообщены, и от этих лиц должно быть затребовано подтверждение того факта, что это правило соблюдено.

Источник: http://studme.org/94631/pravo/printsipy_usloviya_obrabotki_personalnyh_dannyh

Принципы обработки персональных данных.

Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия и требования обработки персональных данных.

Обработка персональных данных допускается в следующих случаях:

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Читайте так же:  Назначение дела к судебному разбирательству производится

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством РФ.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Специальные категории персональных данных — это категории сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, физиологических особенностей человека, на основе которых можно установить личность данного лица. Сюда же относятся биометрические персональные данные, сведения интимной жизни. По общему правилу обработка подобных сведений не допускается, так как эта информация по своей природе носит частный характер.

Однако даже для таких сведений в строго определенных случаях российский закон допускает исключения. Так, согласно ст. 10 Федерального закона «О персональных данных» обработка специальных категорий персональных данных допускается в случаях, если:

Источник: http://studme.org/82158/pravo/printsipy_obrabotki_personalnyh_dannyh

Принципы обработки персональных данных (персональные данные в облаке, часть 2)

Теперь, когда ситуация с трактованием персональных данных прояснилась (смотрите статью «Тонкости законодательства – что относится к персональным данным с точки зрения российского регулятора»), самое время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных». Рассмотрим наиболее значимые пункты:

  • Обработка ПДн должна проводиться назаконной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн.
  • Закон требует ограничивать обработку ПДнконкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе.

Пример нарушения

Для понимания сказанного приведем пример, когда автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия – это классический пример обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • Состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением.

Пример нарушения

Как известно, кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования, когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • Следующий принцип обработки – точность, достаточность и актуальностьобрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права.
  • Последний принцип, на котором надо остановиться, – закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

Читайте так же:  Обжалование определения об отмене судебного приказа

Согласие субъекта – тонкости и особенности

Но и здесь не обходится без нюансов. Как показывает практика, наиболее частым способом выражения согласия являются конгруэнтные действия, когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?

В этом случае регулятор хочет видеть дисклеймер, который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • Включение персональных данных в общедоступные источники.
  • Обработка специальных категорийперсональных данных.
  • Обработка биометрических персональных данных.
  • Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов.
  • Принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • Распространение персональных данных членов (участников) общественного объединения или религиозной организации.
  • Передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

Источник: http://iaas-blog.it-grad.ru/bezopasnost/principy-obrabotki-personalnyx-dannyx-personalnye-dannye-v-oblake-chast-2/

Принципы и условия обработки персональных данных.

Право строится и функционирует на определенных принципах, выражающих его сущность и социальное назначение, отражающих главные свойства и особенности. За последние годы сложилась практика, согласно которой при принятии основополагающих федеральных законов в отдельных статьях формулируется законодательное понимание поименованных в данных законах принципов. В ст. 5 Закона о персональных данных закреплены принципы обработки персональных данных.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных основывается на следующих принципах:

Обработка персональных данных допускается в следующих случаях:

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, когда:

Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Особый порядок обработки установлен для биометрических персональных данных — сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Биометрические персональные данные и сведения, которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, когда обработка осуществляться в связи с реализацией международных договоров РФ о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 № 687.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ, а также организации вправе соответствующими нормативными актами устанавливать правила обработки персональных данных, осуществляемой без использования средств автоматизации, при обязательном учете требований данного Положения.

Видео (кликните для воспроизведения).

Источник: http://studme.org/78424/pravo/printsipy_usloviya_obrabotki_personalnyh_dannyh

Принципы обработки персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here