Самые важные сведения о правовом обеспечении обработки персональных данных: что необходимо знать?
Возможность осуществления большинства мошеннических действий обеспечивается доступом злоумышленников к персональной информации: от телефонных номеров и адреса места жительства до кода регистрации плательщика налогов и паспортных данных.
Совсем исключить возможность утечки, к сожалению, не получится, ведь предоставлять информацию о себе гражданам приходится для того, чтобы иметь возможность состоять в социально-правовых отношениях с другими лицами. Поэтому важно знать общие сведения, а именно: в каких случаях может потребоваться предоставление персональных данных (ПД) и какие на это могут быть основания.
Скрыть содержание
- Что это такое?
- Каким может быть обоснование?
- Где требуется?
- Что может являться обоснованием?
- Что писать в документе?
- Заключение
Что это такое?
Согласно ст. 18 и 22 ФЗ №152, правовое основание обработки ПД – неотъемлемая часть документов, сопровождающих операции с ПД. В заявлениях о сборе и уведомлениях о намерении осуществлять обработку данных отдельным пунктом обязательно должны быть указаны правовые основания.
То же правило действует и при получении субъектом информации о работе, которая проводилась оператором с его данными: любая операция должна осуществляться на определенных основаниях.
Каким может быть обоснование?
В целом в юридической терминологии правовое основание – обязательное условие, без соблюдения которого отношения определенного рода между сторонами невозможны.
В главе 2 ФЗ №152 статьёй 5 описываются общие условия: обработка должна производиться в законных и точно определенных целях, при этом ставится акцент на том, что данные должны использоваться только в том количестве, которое необходимо для достижения поставленных задач.
Статья 6 этого же закона конкретизирует обоснования для обработки. Наиболее очевидное условие – согласие субъекта ПД в письменном виде.
Также предусмотрен перечень оснований, при которых согласие субъекта не требуется, вот основные из них:
- Необходимость исполнения полномочий и обязанностей оператора ПД, предусмотренных законом.
- Участие субъекта в судопроизводстве арбитражных судов.
- Необходимость исполнения судебных актов и полномочий органов исполнительной власти.
- Требование к соблюдению условий договоров между лицами.
- Защита интересов субъекта если сам он дать разрешения на обработку не может.
- Соблюдение прав лиц, осуществивших заём денежных средств субъекту.
- Ведение журналистской, исследовательской, творческой деятельности и соблюдение федеральных законов при условии, что действия по обработке не противоречат действующему законодательству.
Где требуется?
Примеров ситуаций, в которых может требоваться обработка персональных данных, достаточно много. И, как мы уже знаем, в каждом отдельном случае все действия над данными должны проводиться законно, то есть:
- Описаны причины, по которым необходим доступ к ПД.
- Четко сформулированы цели, которые планируется реализовать путем использования данных, а также перечислены категории данных и перечень планируемых действий с ним.
- Оформлены документы, которыми подтверждается факт обращения с ПД и назначаются лица, ответственные за их защиту.
Все эти требования должны соблюдаться путем уведомления оператором органа, уполномоченного вести контроль за обеспечением прав субъектов ПД. Поэтому ответ на вопрос «Где может потребоваться основание на обработку персональных данных» лучше начать с описания тех ситуаций, где такого основания не требуется. А именно:
- Если субъект и оператор состоят в трудовых отношениях.
- Если между субъектом и оператором заключен договор, требующий обработки ПД для исполнения условий, но при этом данные не распространяются третьим лицам.
- Если этого требует устав общественной организации, в которой состоит субъект ПД.
- Если субъект сам сделал информацию о себе публичной.
- Если используются только фамилии, имена и отчества субъектов.
- Если данные используются однократно в процессе взаимоотношений с субъектом и оператором.
- Если данные содержатся в государственных информационных системах, либо если работа с ними проводится без применения средств автоматизации (что такое автоматизированная обработка ПД?).
Во всех остальных случаях оператор обязан уведомлять органы контроля о намерении обработки ПД, а значит должен явно указывать на правовое основание для своих действий.
Правовые основания должны указываться при получении данных от субъекта и при его обращении за получением сведений о текущем статусе личной информации и совершаемых с ней операциях.Что может являться обоснованием?
Важно разобраться, какого рода основания действительно могут быть признаны весомыми, а в каких они не имеют юридической силы. Наиболее очевидный пример – письменное согласие субъекта, где обозначены цели и допустимые методы обработки данных. Это – действительно веское основание.
В иных случаях оператор волен ссылаться на основной закон, руководствуясь трудовым, административным или уголовным законодательством, а также федеральными законами, в первую очередь – упомянутым выше ФЗ «О персональных данных». При этом надо писать полное название законодательного акта и те его части, которые имеют непосредственное отношение к субъекту ПД или касаются полномочий и обязанностей оператора.
Также в качестве основания может выступать уставная документация предприятия или общественного объединения если в ней содержится раздел, закрепляющий порядок обращения с ПД участников. При этом обязательно должны указываться серия и номер лицензии, на основании которой оператор осуществляет свою деятельность, а также пункты лицензионных соглашений и договоров.
Достаточным условием для обработки ПД не может быть личное требование оператора или иного лица, а также пункты и положения законодательных актов, не относящихся напрямую к деятельности субъекта или лица, распоряжающегося личной информацией.
Нельзя считать основанием законы и положения нормативно-правовых документов, вступившие в силу после заключения договоров или подписания субъектом условий обработки его ПД.Что писать в документе?
Как правило, правовое основание указывается первым пунктом уведомления о намерении совершить обработку ПД или другого документа, оформление которого предусмотрено ФЗ №152. В содержании этого пункта первыми обычно указывают сам федеральный закон «О персональных данных» и Конституцию РФ.
Далее следует перечень дополнительных оснований – законодательных и правовых актов, регулирующих отношения между оператором и субъектом ПД в соответствии с их спецификой.
Например, если страховой компании или ООО требуется использовать ПД клиентов с целью защиты их интересов, в качестве дополнительных ссылок могут приводиться федеральные законы, регулирующие деятельность страховых компаний, ГК РФ, а также серия и номер лицензии, позволяющей вести страховую деятельность.
Соответствующий пункт документа будет выглядеть следующим образом:
Правовое основание: Федеральный закон №152 «О персональных данных», ст. 23, 24 Конституции РФ, Федеральный закон №40 «Об обязательном страховании гражданской ответственности владельцев транспортных средств», гл. 48 ГК РФ, Лицензия (полное название предприятия) на осуществление страхования (Серия и номер).
Скачать образец правового основания обработки персональных данных для ООО
В организации должна быть политика обработки персональных данных. О том, как составить этот документ, а также что такое ЦОД и как назначить ответственного за обработку ПД – читайте на нашем сайте.Заключение
Законодательство РФ в сфере защиты персональных данных хоть и не лишено изъянов, но при этом обеспечивает достаточно строгий порядок обращения с личными данными граждан. И все же гарантированное соблюдение прав субъекта персональных данных возможно лишь в том случае, если им лично будет контролироваться порядок работы оператора, который обязан обращаться с ПД исключительно на основаниях, предусмотренных законом.
