Очередной вебинар был проведен Пермской ТПП 25 мая в рамках Недели предпринимательства.
Тема обработки персональных данных по-прежнему не теряет своей актуальности и у бизнеса регулярно возникают вопросы, как работать с персональными данными своих клиентов и сотрудников, какие действия с этими сведениями можно совершать, а какие нет, когда нужно брать согласие на обработку персональных данных, а когда в этом нет необходимости. На эти и многие другие вопросы предпринимателей в прямом эфире ответил главный специалист отдела защиты персональных данных краевого Управления Роскомнадзора Анатолий Устюжанин.
Прежде всего, спикер обозначил, что персональным данными законодательно признана любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. А оператором таких данных является государственный или муниципальный орган, а также физическое или юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с этими данными.
Как отметил Анатолий Устюжанин, все персональные данные можно разделить на несколько категорий:
- общие – информация, которую можно отнести к определенному или определяемому физическому лицу. Например, ФИО, данные документа удостоверяющего личность, данные водительского удостоверения, адрес регистрации, сведения о месте проживания, учебе, работе и др., позволяющие посредством простого выбора данных отнести их к определенному лицу;
- специальные категории персональных данных – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, т.е. это любые сведения, касающиеся ЛИЧНОЙ жизни физического лица;
- биометрические – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (отпечатки пальцев, термограмма лица и т.д.).
При этом важно отличать форматы работы с персональными данными. Это может быть:
- обработка персональных данных, которая подразумевает любые действия, не важно, используются при этом средства автоматизации или нет. Например, сбор, запись, систематизация, накопление, хранение, уточнение (объявление, изменение), извлечение, использование, передача, распространение, предоставление или распространение;
- распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц;
- информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
В своем выступлении спикер подчеркнул, что независимо от формы обработки персональных данных, она должна осуществляться на законной, справедливой основе и ограничиваться достижением конкретных, заранее определенных целей, которые не противоречат закону. При этом обработке подлежат только те персональные данные, которые отвечают целям их обработки и исключается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Хранить персональные данные следует в форме, которая позволяет определить субъекта персональных данных, не дольше, чем этого требуют цели обработки конкретной информации. Исключения могут быть только в случае, когда другой срок определен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является тот человек, которому эти персональные данные принадлежат.
Отдельно Анатолий Устюжанин остановился на том, что нужно сделать бизнесу, чтобы соответствовать требованиям законодательства. Он рекомендовал:
- Назначить ответственного за организацию обработки персональных данных.
- Разработать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки.
- Ознакомить работников с положениями законодательства о персональных данных, с локальными актами оператора.
- Уведомить Роскомназор о своем намерении осуществлять обработку персональных данных.
Кроме того, во время мероприятия главный специалист отдела защиты персональных данных краевого Управления Роскомнадзора рассказал участникам об обязанностях ответственного за организацию обработки персональных данных и особенностях осуществления внутреннего контроля, проинформировал о требованиях законодательства при обработке такой информации, а также представил примеры наиболее характерных нарушений. Подробнее об этом смотрите в записи трансляции вебинара на YouTube-канале Пермской ТПП: