Обзор законодательства

Можно: в каких случаях выдается разрешение на обработку персональных данных


Вопросом, в каких случаях можно обрабатывать персональные (ПДн), задаются как те, чьи данные будут обрабатываться, так и те, кто будут эту обработку проводить. Эту деятельность регулирует 152-ФЗ «О персональных данных». Условия, которыми необходимо руководствоваться операторам, прописаны в законе в статье 6.

Руки или компьютер

Стоит отметить, что обработка персональных данных может быть автоматизированной, то есть осуществляться с применением техники, и неавтоматизированной.

К неавтоматизировано обработанным причисляются документы, шаблоны которых подготовлены на компьютере, но при этом переменная часть персональных данных в них заполнена от руки. Хранятся такие документы в шкафу.

Если же переменная часть заполнена на компьютере, считается, что документ обработан автоматически, даже если храниться он будет на полке в папке. Также к примерам автоматизированной обработки можно отнести размещение ПДн на сайте, внесение их в таблицу и др.

Принципы обработки персональных данных

Согласно 152-ФЗ «О персональных данных» обработку ПДн необходимо осуществлять при соблюдении семи принципов, которые должны выполняться одновременно.

  1. Обработку данных необходимо осуществлять на законных основаниях.
  2. Нельзя объединять базы данных, которые содержат ПДн, обработка которых проводилась в конкурирующих целях.
  3. Обработка ПДн должна ограничиваться достижением только поставленных ранее целей.
  4. Объем полученных персональных данных должен четко соответствовать объему их обработки.
  5. Если персональные данные не отвечают целям обработки, обрабатывать их нельзя.
  6. ПДн должны быть точными и актуальными, чтобы их можно было корректно обработать. Актуализировать, уточнять и удалять данные должен оператор.
  7. Если срок хранения ПДн не установлен законом или договором, хранить персональные данные можно ровно столько, сколько этого требуют цели обработки. Уничтожению или обезличиванию ПДн подлежат после достижения целей обработки либо если цели утратили актуальность (если законом не предусмотрено иное).

Допуск получен?

Закон №152 также регламентирует ситуации, в которых операторам разрешается обработка персональных данных. В последней редакции их 11.    

  1. Обработка ПДн осуществляется только с согласия респондента.
  2. Персональные данные можно обрабатывать только с определенной целью, поставленной оператором, в соответствии с международным договором РФ или законом.
  3. ПДн обрабатываются, если человек или организация участвует в судопроизводстве. Обработка в этом случае необходима, чтобы исполнить судебный акт или акт другого органа в соответствии с законодательством РФ.
  4. Обработка персональных данных необходима для работы министерств, федеральных служб и агентств, департаментов, внебюджетных фондов, которые предоставляют услуги, предусмотренные 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
  5. Подлежат обработке персональные данные человека в случае заключения договора, где он является или становится выгодоприобретателем или поручителем.
  6. Обработка ПДн необходима, чтобы защитить жизнь, здоровье и жизненно важные интересы человека, если получить его согласие невозможно.
  7. Обрабатывать персональные данные необходимо для защиты прав и интересов операторов или третьих лиц, включая случаи прописанные в 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях». Также обработку необходимо осуществлять при достижении общественно значимых целей, не нарушая при этом права и свободы человека.
  8. Обработка ПДн необходима для работы журналистов и СМИ, научной, творческой и литературной деятельности.
  9. Персональные данные обрабатываются в статистических и исследовательских целях с обязательным обезличиванием ПДн. Исключение к исполнению этого правила прописано в статье 15 закона «О персональных данных» (обработка ПДн для рекламы товаров без согласия человека).
  10. Персональные данные можно обрабатывать, если человек разрешил к ним доступ неограниченному кругу людей.
  11. ПДн, которые подлежат обязательному раскрытию или опубликованию в соответствии с законом, необходимо обрабатывать. Обработка персональных данных объектов государственной охраны и их родных регламентируется 57-ФЗ «О государственной охране». Биометрические данные обрабатываются в соответствии со статьями 10 и 11 закона «О персональных данных».

Оператор может передать права на обработку персональных данных подрядчику, который должен действовать согласно договору. В подобных случаях оператор обозначает перечень действий с ПДн, цели их обработки, обеспечивает конфиденциальность и безопасность персональных данных и обозначает требования к защите информации в соответствии со статьей 19 закона «О персональных данных». Ответственность за действия контрагента несет оператор, который в свою очередь отвечает за свою работу перед субъектом. Получать согласие человека на обработку персональных данных на их обработку подрядчик не обязан.

Когда не нужно получать согласие на обработку персональных данных

Отметим, что согласно статье 22 закона №152 согласие на обработку ПДн требуется не всегда. Получать его не нужно, если данные:

  • обрабатываются в личных или семейных целях;
  • получены по договору и не передаются третьим лицам;
  • необходимы для соблюдения трудового законодательства;
  • принадлежат членам религиозных организаций или общественных объединений, действующих в правовом поле (если передача третьим лицам разрешена);
  • обрабатываются для обеспечения работы транспорта и в соответствии с законами РФ о транспортной безопасности;
  • входят в государственные информационные системы, созданные для обеспечения безопасности и порядка;
  • являются общедоступными по желанию субъекта;
  • включают только ФИО;
  • нужны, чтобы единоразово попасть на территорию оператора обработки ПДн;
  • обрабатываются вручную.