Основы обработки персональных данных: нужно ли брать согласие на их обработку?

В качестве ключевого спикера круглого стола Пермской ТПП был приглашен главный специалист-эксперт отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Пермскому краю Анатолий Устюжанин. Он детально на примерах рассмотрел ключевые аспекты обеспечения безопасности персональных данных, сбор которых осуществляет тот или иной бизнес, дал рекомендации, как безопасно хранить и обрабатывать персональные данные, а также привел примеры типичных ошибок и нарушений в данной области.

Одной из важнейших для предпринимателей тем, которая по-прежнему не теряет своей актуальности, и в связи с этим обсуждалась в рамках круглого стола, стала область сбора согласий на обработку персональных данных, а именно то, когда проводить ее необходимо, а когда этого не требуется.

Как подчеркнул главный специалист-эксперт отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Пермскому краю, обработка персональных данных любого гражданина, в том числе работника может осуществляться без согласия гражданина, в случаях, предусмотренных п.п. 2- 10 ч. 1 ст. 6 ФЗ «О персональных данных».

Также персональные данные могут обрабатываться с согласия, который дал субъект персональных данных (далее – ПД) или его представитель в любой позволяющей подтвердить факт его получения форме. Например, если это заявление о приёме на работу с заполненной анкетой или автобиографией (кроме органов власти); получение бонусной карты у лица оказывающего услуги (автозаправки, магазины и т.д.), в части заполненной анкеты-заявления на получение такой карты; заявление о приёме для получения платной медицинской услуги и т.д.

Однако в случаях трансграничной передачи ПД, биометрических ПД, специальных категорий ПД, ведения личного дела гражданского служащего, при включении персональных данных в общедоступные источники персональных данных, при решении, порождающем юридические последствия в отношении субъекта персональных данных, может быть принято на основании исключительно автоматизированной обработки его персональных данных, получение согласия на обработку персональных данных происходит в письменной форме, соответствующей ч. 4 ст. 9 ФЗ «О персональных данных».

Кроме того, существуют случаи, при наступлении которых допускается обработка персональных данных (включая предоставление, раскрытие) без согласия субъектов персональных данных, установлены п.п. 2-10 ч. 1 ст. 6 ФЗ «О персональных данных»):

• в соответствии с законом (например: в целях исполнения требований ТК);
• в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• в целях исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
• в целях оказания государственных и муниципальных услуг;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных + для заключения договора по инициативе субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• взыскание задолженности (230-ФЗ);
• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (пример: интервью данное самим СПД);
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением агитации и продвижения товаров;
• персональные данные, сделанные общедоступными субъектом персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1. Назначить ответственного лица за организацию обработки персональных данных.
2. Разработать документы, определяющие политику в отношении обработки ПД, локальные акты по вопросам обработки ПД.
3. Ознакомить работников с положениями законодательства о персональных данных, с локальными актами оператора.
4. Уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
5. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Пермская ТПП продолжает практику проведения встреч для бизнеса с представителями контрольно-надзорных органов в рамках своего проекта «Всё, что важно для бизнеса». Следующее, запланированное Палатой мероприятие – круглый стол с участием представителей Государственной инспекции труда в Пермском крае и специалистами Фонда Социального страхования Российской Федерации. Встреча пройдет в июле. Следите за анонсами на сайте Пермской ТПП в разделе «События» https://permtpp.ru/info/articles/