Одним из нарушений обработки персональных данных (ПДн) организацией может являться обработка ПДн в объеме, превышающем цели этой обработки.
Как законодательство регулирует целевое применение обработки ПДн?
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
п. 3 статья 3 Федерального закона №152-ФЗ от 27.07.2006 года.
Основные принципы обработки персональных данных указаны в статье 5 Федерального закона "О персональных данных".
Целевое назначение обработки ПДн регулируют несколько принципов:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Чем могут быть полезны гражданам знания принципов обработки персональных данных?
Сначала про организации:
Если организация государственная, то их процессы обработки ПДн регламентируются законодательством, а также внутренними инструкциями, положениями, приказами и автоматизированными компьютерными процессами, которые проверены специалистами правовой сферы и надзорными органами.
Теоретически, ошибки в обработке ПДн могут быть в любой организации, но, как правило, при внедрении информационных процессов в государственных организациях происходит проверка возможных нарушений законодательства.
В коммерческих организациях, сэкономивших на юридических услугах путём внедрения в делопроизводство шаблонных решений интернет-магазинов, CRM-систем, автоматизированных call-центров, шаблонных политик конфиденциальности, правил обработки ПДн и других регулирующих документов, могут быть скрытые нарушения, о которых не знают руководители до наступления соответствующих проверок.
Гражданин в соответствии с действующим законодательством уполномочен самостоятельно распоряжаться правом управления процессами обработки своих персональных данных и в связи с этим он может интересоваться:
- Для каких целей организация запрашивает у него персональные данные?
- В каком виде и с каким способом будут храниться его персональные данные?
- Какой срок будут храниться персональные данные?
- Как будут удалены его персональные данные?
Как гражданину управлять обработкой своих персональных данных?
По любым запросам персональных данных и любым видам их обработки гражданин вправе:
- разрешать обработку своих персональных данных свободно, своей волей и в своем интересе (часть 1 статьи 9 Федерального закона №152-ФЗ от 27.07.2006 года);
- уточнять у организации, обрабатывающей его персональные данные информацию обо всех обработанных его ПДн и целевое назначение таких действий (часть 7 статьи 14 Федерального закона №152-ФЗ от 27.07.2006 года);
- вправе возражать против избыточности сбора, обработки или предоставления данных (часть 5 статьи 5 Федерального закона №152-ФЗ от 27.07.2006 года);
- отзывать согласие на обработку персональных данных (часть 2 статьи 9 Федерального закона №152-ФЗ от 27.07.2006 года).
В случае отзыва субъектом согласия на обработку персональных данных оператор должен удалить персональные данные субъекта, кроме тех данных, обработка которых требуется в соответствии со смежным законодательством, регулирующим отношения по оказанию услуг, продаже товаров.
В СЛУЧАЕ ВОЗНИКНОВЕНИЯ СПОРНЫХ СИТУАЦИЙ ПО ПРАВОМЕРНОСТИ ОБРАБОТКИ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАНИНА, ГРАЖДАНИН МОЖЕТ ОБРАТИТЬСЯ С ВОПРОСОМ В НАДЗОРНЫЕ ОРГАНЫ, НАПРИМЕР РОСКОМНАДЗОР (https://rkn.gov.ru/personal-data/).
Дополнительная информация по теме статьи:
5 мая 2019 года.
автор: Демешин Сергей Владимирович (юрист).
Сохраните адрес этой статьи в своих закладках браузера, как полезную информацию.