Определение целей обработки персональных данных и способов работы с ними

Определение целей обработки персональных данных и способов работы с нимиРабота с личной информацией должна выполняться в строгом соответствии с законодательством. В частности, одним из основополагающих принципов обработки личных сведений является четкое соблюдение целей использования, заявленных в разрешении от владельца, и оговоренных в нем объемов.

Понятие персональных данных и принципов их обработки

Закон 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Он начал действовать с 23 января 2007 года. До его вступления в силу такая информация не имела юридической защиты.

В нем определено понятие того, что относится к данной категории ведомостей. Как сформулировано в статье 3 закона 152-ФЗ, персональные сведения включают в себя всё, что имеет отношение к конкретному человеку. Причём сюда входят те, которые имеют к нему прямое отношение и те, которые имеют только косвенное.

Нормативный акт регламентирует деятельность юридических и физических лиц, которые занимаются сбором сведений о различных людях. В частности, получить всё это в большинстве случаев возможно, только если получено согласие человека, о котором идет речь. Однако, предусмотрены отдельные случаи, когда информация может быть получена без такого согласия. Они перечислены в статье 6 закона № 152-ФЗ.

Одно из положений устанавливает требование, согласно которому все персональные сведения о гражданах Российской Федерации должны находиться на серверах, расположенных на территории страны. Не разрешается пополнять свою информацию на основе той, которая взята с сайтов, расположенных вне российских границ.

В ситуации, когда человек считает какие-либо сообщения о нём не соответствующими действительности, он может обратиться к оператору (в соответствии со статьёй 14 закона 152-ФЗ) с просьбой удалить или соответствующим образом откорректировать их.

В случае отказа такой человек имеет право обратиться в суд.

Согласие на обработку персональных данных

Такой документ должен содержать следующие разделы:

  1. В документе указывается, кто выражает согласие, указываются паспортные данные.
  2. Даётся наименование оператора, которому даётся разрешение.
  3. Пишут, для каких целей обработки даётся согласие.
  4. Конкретно перечисляется список данных, на обработку которых даётся разрешение.
  5. Перечисляются все операции с ними, о которых идёт речь.
  6. Период времени действия разрешения.
  7. Ставится подпись, ее расшифровка и дата.

Составленное разрешение согласно образцу, даёт разрешение только на то, что в нем конкретно указано.

Документы для скачивания (бесплатно)

  • Согласие на обработку персональных данных (образец)

Цели обработки

Использование рассматриваемых сведений необходимо для:

  1. Ведения документов в отделе кадров.
  2. Заключения договоров и выполнения других юридических действий.
  3. В связи с выполнением требований налогового законодательства.
  4. Других целей аналогичного рода.

При этом надо заметить, что:

  • в каждом таком случае получение информации определяется нормативными актами;
  • оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.

Примеры целевого использования личных сведений

В различных сферах экономики и общественной жизни персональные данные граждан жизненно важны.

Определение целей обработки персональных данных и способов работы с нимиВ медицинском учреждении важно знать подробности о здоровье человека в течение всей его жизни. При этом обладателем персональных сведений является пациент. Оператор, который их использует — поликлиника или другое медучреждение. Она обязана получить разрешение Роскомнадзора для обработки. Если поликлиника передаёт данные, например, в специализированную больницу, она должна получить письменное согласие гражданина.

Для банка жизненно важно при предоставлении кредита обоснованно предположить, будет ли способен кандидат вернуть одолженные деньги или у нет подходящих финансовых ресурсов. Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие. Владельцем информации является клиент. Банк — это оператор, который проводит обработку. Клиент имеет право отозвать разрешение на пользование сведениями о нём. Цели работы с информацией — обеспечение выполнения требований банковского законодательства РФ.

Без предоставления этой или подобной информации обойтись нельзя. Но при этом важно, чтобы её использование не нарушало требований действующих нормативов.

Правила и принципы работы с информацией

Закон №152-ФЗ формулирует основные принципы, на которых необходимо основываться, работая с персональными ведомостями граждан:

  1. Делаться это должно на основе справедливости и законности. В частности, это означает, что каждый раз, когда кто-либо собирает или обрабатывает рассматриваемые материалы. У него должно быть законное основание для таких действие, а также согласие того, к кому эта информация относится.
  2. Есть ограничение, которое относится к целям обработки. То есть подробности о человеке могут собираться только с конкретными, заранее определёнными целями. Когда происходит обработка, то для других направлений деятельности эти данные использовать запрещено.
  3. Каждый способ работы с личными материалами подразумевает, что они должны быть строго определённого вида и их объем должен соответствовать заявленным целям и не быть избыточным. Это означает, что у человека нельзя запрашивать ведомостей о нем больше, чем необходимо для конкретного случая.
  4. Важным принципом является требование о том, чтобы сведения соответствовали определённым критериям. Они должны быть точны и полны, не могут быть устаревшими, полученными незаконно или такими, которые не соответствуют заявленным целям. Если получена информация, которая указанным характеристикам не соответствует, оператор обязан её уничтожить.
  5. Для такой работы установлены строгие временные рамки. Ведомости могут собираться, храниться и обрабатываться только до того момента, когда заявленная для этого цель выполнена. После этого может быть сделано одно из двух действий: она может быть сделана обезличенной или должна быть уничтоженной.

В каждой организации в той или иной форме происходит работа с персональными данными работников. Однако она должна происходить только в рамках, которые определены российским законодательством.

Для того, чтобы сотрудникам был понятен порядок такой работы, обычно, принимается локальный нормативный акт, который подробно описывает процедуры такой работы и требования, которые к ней предъявляются.

Обычно такой документ носит название «Положение об обработке персональных данных на предприятии». Стандартно, такой документ включает в себя следующие разделы:

  1. Объяснение, с какой целью составлен и принят такой документ.
  2. Перечень нормативных актов, на которых основано его действие.
  3. Точные формулировки юридических понятий, которые используются далее.
  4. Конкретные правила обработки таких материалов. Сначала перечисляются цели использования (обычно, они ограничиваются различными кадровыми вопросами).
  5. Порядок получения информации у самого субъекта, его законного представителя, третьих лиц. При этом должно быть получено согласие сотрудника.
  6. Требование об ограничении видов и глубины получения данных рамками конкретных ситуаций. При этом даётся список таких ситуаций.
  7. Запрет на получение избыточных подробностей о сотрудниках (обычно в этом случае речь идёт о национальности, религиозной принадлежности и т.п.).
  8. Отмечается также, что на основании полностью автоматизированных процедур не будут приниматься такие решения, у которых будут юридические последствия для субъекта.
  9. Обеспечение неразглашения имеющейся информации.
  10. Указывается, что получение персональных данных может быть сделано только в случае получения письменного согласия гражданина на это.
  11. Образец такого разрешительного документа.
  12. Регламент для всех процедур на предприятии, которые связаны с проведением обработки персональных сведений.

Этот документ устанавливает порядок работ в указанной сфере на конкретном предприятии.

Понятие об обезличенных персональных данных и правила работы с ними

Считается, что ведомости, которые были собраны и нужда в которых отпала, должны быть уничтожены или обезличены. Как поступать с ними — для государственных учреждений рассмотрено в Методических рекомендациях к Приказу Роскомнадзора №996:

  1. Определение целей обработки персональных данных и способов работы с нимиУстановка абстрактных идентификаторов вместо имён и фамилий и других объектов, позволяющих точно определить субъекта такой информации.
  2. Изменение состава ранее собранного для работы.
  3. Применение хранения по частям. При этом каждая часть не даёт возможность установить владельца.
  4. Использование перемешивания информации по специальному алгоритму. При этом по итоговым таблицам невозможно установить первоначально собранные материалы.

Можно понять, что случайному лицу непосредственно из обезличенной информации нельзя получить исходные тексты. Однако сама эта организация восстановить его впоследствии сможет.

Нарушения, связанные с нецелевым использованием персональных данных

Начиная с 1 июля 2017 года в КоАП внесены изменения в статью 13.11, которые определяют ответственность за нарушение закона №152-ФЗ. При нарушении установленных правил закон предусматривает соответствующие наказания.

Если собирается информация в тех случаях, когда для этого нет законного основания или производится обработка с незаконными целями, налагается штраф. Для физических лиц сумма составит от 1 до 3 тысяч руб., должностные лица заплатят от 5 до 10 тысяч руб., предприятия — от 30 до 50 тысяч руб.

Если имело место разглашение информации, штраф начисляется в связи с каждым отдельным таким случаем. Он может составлять от 500 до 1000 руб. с сотрудника, по чьей вине произошло нарушение. Если речь идёт об организации, которая несёт ответственность за происшедшее, то сумма возрастает. Теперь она может составить от 5 до 10 тысяч руб.

В рассматриваемом нормативном акте указано, что соблюдение положений закона 152-ФЗ должен контролировать Роскомнадзор. До начала обработки по статье 22 Закона о защите персональных данных он должен отослать туда уведомление. В частности, он проводит соответствующие проверки и, если выявляются нарушения, выдаёт предписание о недостатках, которые требуется устранить. Если распоряжение не выполнено, на виновного налагается штраф, который может составлять 20 тысяч руб.

О том, как правильно организовать работу с чужими данными, расскажет автор следующего ролика.

Поделитесь с друзьями в соц.сетях

Еще полезные публикации:

  1. Запись в трудовой книжке за прогул: основание для внесения, образец
  2. Исполнение обязанностей гендиректора по доверенности
  3. Освидетельствование на опьянение: право или обязанность работника?
  4. Периодические освидетельствования работников у психиатра
  5. Отдельные компоненты штатного расписания

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *