Для обработки ПДн оператор подчиняется ст. 5, 6 Закона РФ «О персональных данных». В нем регламентируется, что обработка данных проводится на законных основаниях, в соответствии с требованием законодательства или при наличии согласия, данного субъектом этих данных.
Рассмотрим возможные нарушения обработки ПДн на примерах.
Обработка ограничивается конкретными целями, заявленными в момент сбора данных.
На заправке автомобилисты заполняли анкету на получение скидочной карты. Затем всем, кто заполнял анкету, пришло «заманчивое» предложение от кредитной организации. При заполнении анкеты не оговаривалось, что данные будут переданы банку. Это – явное нарушение ст. 15 закона «О персональных данных» и ст. 18 «О рекламе», т.к. цели сбора данных не совместимы с их последующим использованием.
Объем ПДн и их состав не должен отклоняться от заявленных целей обработки.
Отдел кадров хранит и передает информацию о всех сотрудниках в ФСС. В документах есть графы о национальности родителей, супругов, которые заполняются по желанию, т.е. относятся к особой категории, на обработку которой необходимо согласие субъекта. Отдел кадров допускает два правонарушения. Первое – обработка данных ведется без письменного подтверждения, и второе – она противоречит нормам законодательства в части, касающейся отклонения от заявленных целей.
Вся собираемая информация должна быть точной, достаточной и актуальной. Если она не соответствуют данным критериям, ее следует либо уточнить, либо уничтожить.
Данные хранятся только до момента достижения цели обработки. После того, как надобность в обработке минует, данные подлежат уничтожению либо обезличиванию.
Законность условий обработки
Законной считается работа с данными, если она:
- выполняется с сознательного согласия;
- производится в соответствии с законами либо договорами, в обязательном порядке предписывающими данное действие;
- осуществляется на основе документа, где субъект ПДн выступает в качестве поручителя или выгодоприобретателя (например, при отправке резюме в агентство по трудоустройству).
Не требуется согласие субъекта, если данные получены из открытых источников. Однако есть судебные прецеденты, когда такие ПНд признавались запрещенными к обработке.
Особенности получения согласия субъекта
Согласие должно даваться добровольно, осознанно и в доказательной (письменной) форме. Однако и тут есть свои нюансы. Например, на ресепшене паспорт или документы сканируются с молчаливого согласия субъекта. Этот способ не является законным.
Если веб-ресурс собирает персональные данные, то в пяти ситуациях он должен получить согласие исключительно в письменной форме:
- информация попадает в открытые источники;
- обработка коснется специальных категорий ПДн;
- обрабатывается биометрия;
- производится трансграничная передача без гарантий адекватной защиты данных;
- обработка ПДн может способна нанести вред правам субъекта и иметь для него последствия юридического типа.
Еще следует отметить, что в законе не прописаны два случая. Нельзя распространять данные, принадлежащие участникам общественных объединений (в т.ч. религиозных) и передавать любые данные для использования третьими лицами, если в лицензии оператора зафиксирован запрет на подобную передачу.
Подробнее: https://integrus.ru/blog/it-decisions/printsipy-obrabotki-personalnyh-dannyh.html