На прошедшем рабочем совещании Межрегионального координационного совета российских немцев Урала был поднят вопрос о легальности сбора персональных данных организациями российских немцев. Мы решили рассмотреть эту тему подробнее.
На прошедшем рабочем совещании МКС Урала был поднят вопрос о легальности сбора персональных данных организациями российских немцев. Мы решили рассмотреть эту тему подробнее.
Основой нормативного регулирования обработки и использования персональных данных является Федеральный закон «О персональных данных» (Закон №152-ФЗ «О персональных данных»). Согласно изменениям, внесённым Законом №363-ФЗ от 27 декабря 2009 года, Операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствии с законом до 1 января 2011 года.
Рассмотрим важные основные понятия. Текст закона приводится с сокращениями, оставлены только важные для нас детали:
персональные данные — любая информация, относящаяся к определенному… физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
оператор — … юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Таким образом, мы являемся оператором персональных данных.
Условия обработки персональных данных
Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных.
Согласие не требуется в следующих случаях:
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (например, трудовой договор);
обработка осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
Обязанность предоставить доказательство получения согласия возлагается на оператора.
Письменное согласие должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных.
Меры по обеспечению безопасности персональных данных при их обработке
Оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Таким образом, минимальные условия, которые должна выполнить, чтобы соответствовать закону о защите персональных данных — это собрать данные, взяв предварительное письменное согласие.
Статья 13.11 КОАП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
МННКА г. Пермь
Информацию подготовил Прохор Шучалов
Обратная связь: p@shucahlov.ru