Конференции и совещания
К материалам совещанияАкулова Юлия Николаевна,
ведущий юрисконсульт
ТОГБУК «ТОУНБ им. А. С. Пушкина»
Обработка и защита персональных данных пользователей и работников общедоступных (публичных) библиотек Тамбовской области в соответствии с Федеральным законом РФ № 152 «О персональных данных» от 27.07.2006 г.
Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Законодатель требует, чтобы ПД обрабатывались также с соблюдением принципа соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора. Поэтому в организациях, обрабатывающих ПД, целесообразно иметь документ, который будет отражать политику организации в отношении обработки ПД. Это может быть Положение об обработке персональных данных. Такой документ может определять:
— цели и способы обработки ПД;
— категории, типы обрабатываемых ПД;
— категории субъектов, ПД которых обрабатываются;
— правовое основание обработки ПД;
— перечень действий с ПД;
— условия прекращения обработки ПД;
— порядок получения доступа к ПД;
— условия раскрытия и объем ПД, доступных партнерам и третьим лицам;
— перечень лиц, ответственных за рассмотрение жалоб и запросов.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
Понятие персональных данных работника. Обработка персональных данных работника
1. В ст. 85 ТК содержится легальное (но только для целей ТК) определение персональных данных работника. Они представляют собой информацию (устную, письменную, содержащуюся во всякого рода документах, на бумажном, магнитном, ином носителях), которая:
1) необходима для работодателя в связи с тем, что он заключил трудовой договор с данным работником и между ними возникли (либо возникнут) трудовые отношения. Это всякого рода документы, справки, дипломы и т.п. содержащие сведения об образовании, состоянии здоровья, наличии судимости, наличии допуска к государственной тайне, месте жительства и т.п. сведения;
2) касается конкретно данного работника. Иначе говоря, требовать от работника представления информации о других лицах (в том числе и членах его семьи, ранее репрессированных, осужденных и т.д.) — работодатель не вправе.
2. Ст. 85 ТК имеет важное значение для правильного применения ст.
1) получение (в том числе от самого работника, от третьих лиц, путем запросов в госорганы, органы местного самоуправления), из иных общедоступных информационных ресурсов, из архивов, из информационных ресурсов ФСБ, МВД и т.д) персональных данных. Речь идет о законных способах получения последних;
2) хранение (в том числе в памяти компьютера, на бумажных носителях, в архивах и т.п.) комбинирование (т.е. переработка, модификация, анализ, соединения и т.п. операциях) этих данных;
3) передача (в том числе по телефону, компьютерным сетям, электронной почтой и т.п.) либо любое иное использование персональных данных работника. Следует иметь в виду, что нормы Закона о персональных данных применяются лишь в той мере, в какой они не противоречат ТК (для целей регулирования трудовых отношений нормы главы 14 ТК — имеют приоритет).
Порядок обработки персональных данных работников, а также права и обязанности работников должны быть закреплены в локальном нормативном акте организации, с которым все работники и их представители должны быть ознакомлены под роспись.
Все персональные данные на конкретного работника могут быть подвергнуты необходимой обработке (например, формирование списков работников в целом по организации, по структурному подразделению, полу, возрасту, профессии, образованию и т.п.; подготовка работодателем списков работников, подлежащих медицинским осмотрам, и другое). Основное требование при обработке персональных данных работника — соблюдение конституционных норм, гарантирующих охрану прав и свобод человека и гражданина.
Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется.
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии1;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Исходя из вышесказанного, случаи, когда ваше согласие на обработку персональных данных не требуется, — строго регламентируются законодательством.
В целом, обычно согласие субъект может давать, а может и не давать. Но есть ситуации, когда вы будете обязаны предоставить свои персональные данные: это происходит в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. (ст. 9 Федерального закона «О персональных данных»)
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.
Итак, ПД должны обрабатываться в первую очередь на основе принципа законности целей и способов обработки ПД и добросовестности. Анализ норм Закона позволяет сформулировать некоторые основные практические советы, которыми должен руководствоваться оператор при обработке ПД для соблюдения требований действующего законодательства:
— должна быть обеспечена конфиденциальность ПД;
— ПД не должны передаваться третьим лицам без согласия субъекта данных;
— ПД должны быть защищены от несанкционированного доступа и распространения;
— ПД должны использоваться только для тех целей, для которых они были собраны и храниться не дольше, чем это требуется для достижения целей обработки;
— обработка ПД возможна только при условии согласия субъекта;
— оператор должен направить уведомление об обработке ПД в Уполномоченный орган (за исключением ряда случаев, о которых будет рассказано в комментарии к п. 2 ст. 22 Закона), а также иметь документ, в котором отражена политика обработки ПД;
— субъект ПД должен иметь возможность знакомиться с данными о себе;
— оператор должен информировать граждан о факте обработки ПД, предоставлять сведения о целях и способах обработки;
— граждане имеют право требовать уточнения информации, а также блокирования и уничтожения неточных ПД;
— обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях и при соблюдении определенных условий.
Обработка данных без использования средств автоматизации
Обработка персональных данных может осуществляться с использованием и без использования средств автоматизации. Применительно к последнему случаю Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средства автоматизации (далее — Положение об особенностях обработки). Согласно п. 1 под обработкой персональных данных без использования средств автоматизации (неавтоматизированной) понимается обработка персональных данных, содержащихся в информационной системе либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение, в отношении каждого из субъектов этих данных осуществляются при непосредственном участии человека.
Следует обратить внимание на п. 7 Положения об особенностях обработки. Он содержит условия, которые необходимо соблюдать при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, например, унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата РФ от 05.01.2004 N 1. В частности:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения последних, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе обработки, общее описание используемых оператором способов обработки;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на их обработку, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на такую обработку;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться с ними, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта этих данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия (п. 8):
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных их субъектом;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска на территорию, на которой находится оператор.
Комментарии читателей
Вы можете оставить свой комментарий:
