Обработка персональных данных

Обработка персональных данных — это любое действие с персональными данными лица, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

Организации и индивидуальные предприниматели обрабатывают персональные данные своих клиентов, работников, контрагентов. Чаще всего такие данные они могут получать и использовать при найме сотрудников, выдаче карт лояльности, проведении рекламных акций и новостных рассылок, при регистрации клиентов на сайтах и ведении продаж через интернет-магазины. В отдельных случаях персональные данные могут передаваться организации третьим лицом с согласия клиентов (например, для использования в рекламных целях).

Персональные данные представляют собой любую информацию, которая прямо или косвенно относится к определённому физическому лицу и позволяет его идентифицировать. Законом не установлен четкий перечень данных, которые считаются персональными. Отнесение данных к персональным будет зависеть от того, возможно ли на основании этих данных идентифицировать человека. Например, широко распространённая фамилия и имя без указания какой-либо дополнительной информации о лице не считаются персональными данными, поскольку не позволяют идентифицировать конкретное лицо.

Как правило, к персональным данным относятся полное ФИО лица, его возраст, адрес проживания, контактная информация, уровень дохода, профессия, фотография и т.д. При возникновении споров, вопрос об отнесении информации о лице к персональной решается судом.

Соблюдать требования к обработке и защите персональных данных должны все организации и индивидуальные предприниматели, которые работают с такими данными. В том случае, если ИП и организации занимаются обработкой персональных данных, они являются операторами персональных данных. Основная обязанность оператора — обеспечить соблюдение конфиденциальности при обработке персональных данных (т.е. обеспечить их надлежащую защиту от использования третьими лицами).

Обработка персональных данных допускается с согласия лица, которому принадлежат персональные данные. Такое согласие не обязательно должно быть оформлено в письменной форме (кроме случаев, когда обрабатываются сведения о расовой принадлежности, религиозных убеждениях состоянии здоровья и т.д.), однако в случае проверки контролирующих органов, оператор должен иметь возможность доказать, что такое согласие действительно было им получено.

Для продвижения товаров, работ, услуг путём прямого контакта с потребителем с помощью средств связи (например, телефонных звонков) необходимо предварительно получить согласие лица на использование его данных для таких целей.

Согласие на обработку персональных данных не нужно получать в том случае, если обработка:

осуществляется в целях исполнения договора. Однако, если продажа товаров осуществляется через интернет-магазин и пользователь вводит свою персональную информацию для регистрации в личном кабинете и совершения покупки, то такие данные считаются персональными и на их обработку необходимо получить прямое согласие клиента (поскольку данные будут использоваться продавцом не только для прямого исполнения договора, т.е. продажи товара, но и для дополнительных целей, например, смс-информирования, email-рассылок и т.д.);
осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
осуществляется в целях профессиональной деятельности журналиста или в целях научной, литературной и иной творческой деятельности, если при этом не нарушаются права того лица, чьи данные обрабатываются;
в иных случаях, установленных ст. 6 Федерального закона «О персональных данных».

Персональные данные должны использоваться только для тех целей, в соответствии с которыми они были собраны. Лицо может отозвать согласие на обработку персональных данных в любой момент.

Конфиденциальность персональных данных не нужно обеспечивать:

при обезличивании персональных данных;
в отношении общедоступных данных;
если персональные данные включают только ФИО лица;
если персональные данные используются для оформления однократного пропуска на территорию;
если персональные данные используются для исполнения договора;
если это данные членов общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

За правильность обработки персональных данных отвечает Роскомнадзор, который является главным контролирующим органом в данной сфере. ФСТЭК России занимается проверкой выполнения требований к технической защите информации, а ФСБ России — выполнение требований по применению криптографии.

За несоблюдение требований и правил обработки персональных данных предусмотрено наложение административной ответственность в виде штрафа.

Для того, чтобы осуществлять деятельность в соответствии с требованиями закона об обработки информации, организациям и индивидуальным предпринимателям необходимо:

подготовить пакет внутренней документации — локальные акты и политики, которые регулируют обработку и защиту персональных данных (форма получения согласия на обработку персональных данных, политика в отношении обработки персональных данных, акт о неразглашении полученных персональных данных сотрудниками и т.д.).
обеспечить техническую защиту персональных данных.
хранить базы с данными на территории РФ.
подать уведомление в Роскомнадзор об обработке персональных данных.

Уведомление в Роскомнадзор не нужно подавать, если:

между лицом и оператором установлены трудовые отношения;
персональные данные используются только для исполнения договора;
персональные данные являются общедоступными;
персональные данные включают только ФИО лица;
персональные данные требуются только для оформления однократного пропуска на территорию;
персональные данные обрабатываются без использования средств автоматизации
персональные данные включены в федеральные автоматизированные информационные системы персональных данных и в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка.

См. также

Нормативно-правовая база

Категории : Торговля и услуги | Права потребителей | Кадры

Поделиться