Здравствуйте, в этой статье мы постараемся ответить на вопрос: «В каких случаях допускается обработка персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Организации почтовой связи, мобильной связи также могут использовать персональную информацию о человеке без его разрешения (для совершения расчетов за пользование почтовыми или коммуникационными услугами).
Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.
Как получить согласие на обработку персональных данных
Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
Так как ФЗ «О персональных данных» является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.
«Шпаргалка» от Роскомнадзора: как защищать права субъектов персональных данных
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.
Если собранная информация предназначена для публикации в общедоступных ресурсах, обязательно требуется запрашивать письменное согласие владельца на использование этих сведений.
Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
Если не получить согласие на обработку и использование персональных данных
Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Для защиты личных данных физлиц в РФ положениями закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) предусмотрено важное правило — обязательное получение согласия такого лица на обработку его персональных данных (далее — ПД). Ниже приведено несколько обязательных правил, соблюдение которых позволит избежать проблем с законом и при этом без препятствий собирать нужные вам сведения.
Зачастую причиненный вред не имеет явно выраженной имущественной оценки и (или) сложно доказать причинную связь между деяниями оператора и причиненным вредом. По этой причине более эффективным представляется использование такой формы гражданско-правовой защиты, как компенсация морального вреда.
Отдельные вопросы порядка работы с персональными данными
Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД.
В частности, обработка персональных данных без согласия субъекта персональных данных возможна в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных действующим российским законодательством на оператора функций, полномочий и обязанностей.
Существует установленный законодательством порядок, согласно которому такая информация может быть получена и использована.
Также обработка персональных данных без согласия работника производится в следующих случаях (п. 1-5 разъяснений Роскомнадзора от 14.12.2012):
- необходимость обработки данных предусмотрена законодательством, например, публикация сведений о работниках в Интернете;
- обработка персональных сведений близких родственников работника в объеме, предусмотренном личной карточкой по форме № Т-2;
- обработка сведений в целях получения алиментов, оформления социальных выплат и допуска к гостайне;
- обработка сведений о состоянии здоровья работника осуществляется для проверки возможности выполнения им своих трудовых обязанностей;
- обработка перссведений связана с выполнением должностных обязанностей;
- персональные данные обрабатываются в целях осуществления пропускного режима на предприятии, если работодатель осуществляет это самостоятельно.
Если до владельца ПДн доходит информация об использовании его данных, он может оспорить это в судебном порядке. При таком обстоятельстве конфликт можно разрешить, предоставив доказательства необходимости получения ПДн, и даже вопреки несогласию субъекта, если законом предусмотрено данное действие, конфликт будет решен в пользу получения нужных ПДн.
Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.
Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.
Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.
Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.
При обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных.
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной. Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал — и, возможно, забыл. Или просто взял на заметку.
Деяниям и санкциям за нарушения требований о безопасности ПД посвящен ряд норм КоАП РФ (ст. 13.11, 13.12, 13.13, 13.14 КоАП РФ).
Трудовое законодательство предусматривает наказание для лиц, виновных в нарушении положений законодательства РФ по обработке ПД работников.
В процессе деятельности компании (индивидуального предпринимателя) появляется потребность в обработке персональных сведений работников. В большинстве случаев для этого требуется получить у них письменное согласие. Так как унифицированного бланка этого документа нет, он может быть составлен в произвольной форме.
Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.
Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Без законного на то основания обработка личной информации запрещена и влечет за собой ответственность – уголовную, административную или гражданскую. Но существуют установленные законодательством случаи, когда передача третьим лицам персональных данных (ПДн) разрешена.
Социальные сети подливают масла в огонь, делая персональные данные пользователей практически общедоступными.
Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение.
Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.
Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.
Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку.
В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27.07.2006 № 152-ФЗ).
Распространяются ли требования Закона о персональных данных на юридическое лицо иностранного государства?
Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.