Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Чего не требует от операторов закон "О персональных данных"?
Protectiva Compliance Manager    Типовые документы по ИБ


 

Чего не требует от операторов закон "О персональных данных"?

Автор: Александр Астахов опубликовано: 23-04-2010 последнее изменение: 05-10-2016

Проблемы, возникающие при попытке выполнить требования Федерального закона №152-ФЗ "О персональных данных" слишком часто переоцениваются. Со стороны компаний, предлагающих свои услуги в данной области, здесь просматривается умысел. Со стороны же самих операторов ПДн - невнимательное чтение первоисточников и трудности с интерпретацией хитросплетений российской нормативной базы в области защиты информации.

Попробуем же разобраться с существующей мифологией. С этой целью рассмотрим наиболее распространенные заблуждения насчет обязанностей операторов ПДн.

Заблуждение 1. Закон требует от операторов получения согласий на обработку ПДн от субъектов ПДн

Во многих случаях это не так.

Многим операторам ПДн вовсе не требуется получение согласий от субъектов ПДн на обработку данных. Часть 2 Статьи 6 ФЗ-152 определяет для этого довольно много случаев, включая статистическую и научную деятельность; защиту жизни, здоровья или иных жизненно важных интересов субъекта; доставку почтовых отправлений; расчеты с пользователями услуг связи; журналисткую, литературную деятельность и прочие виды творческой деятельности и т.д.

Если обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн (очень распространенный случай), то никаких согласий также не требуется. Не стоит беспокоится о получении согласий туристическому бизнесу, операторам связи и всем кто предоставляет услуги физическим лицам по договору. Излишне напоминать и о том, что не требуется никаких согласий от ваших собственных сотрудников и прочих лиц, состоящих с вами в трудовых отношениях.

Не требуется также получения согласий, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов ПДн. Законов таких, я подозреваю, довольно много: об оперативно-розыскной, врачебной, адвокатской, благотворительной, банковской и прочих видах деятельности. Если какой-либо ФЗ, регулирующий ваш вид деятельности, например, в качестве профессионального участника рынка ценных бумаг, предусматирвает получение ПДн от субъектов и их обработку в целях осуществления вашей деятельности, то никаких согласий вам для этого не требуется.  Есть еще законы о бухгалтерском учете, об акционерных обществах, об ООО и много чего еще...

Не требуется получение согласий на обработку персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, кандидатов на выборные государственные или муниципальные должности и т.п.

Кроме этого, Часть 3 Статьи 6 делает исключение и для специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. В частности, п. 4 Части 2 Статьи 10 разрешает обработку персональных данных, которая "осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну", при этом никаких согласий не требуется. Выходит зря так переживают представители медицинских учреждений на этот счет: Персональные данные в медицине: лечить или собирать согласия?

Согласно той же Статье 10 не стоит также беспокоиться о согласиях и органам правосудия и органам правопорядка и МЧС, общественным и религиозным организациям и многим государственным органам. 

Заблуждение 2. Оператор обязан уведомить Роскомнадзор об обработке персональных данных

Во многих случаях это не так.

Часть 2 Статьи 22 определяет случаи, в которых уведомление об обработке ПДн не является обязательным:

  1. если субъекта ПДн связывают с оператором трудовые отношения
  2. если обработка ПДн осуществляется лишь для исполнения договора, заключенного с субъектом ПДн
  3. если персональные данные относятся к членам общественных объединений или религиозных организаций
  4. если персональные данные являются общедоступными
  5. если персональные данные включают только ФИО
  6. если персональные данные необходимы только для однократного пропуска субъекта ПДн на территорию организации или в аналогичных целях
  7. если речь идет о федеральных АИС, а также государственных АИС, созданных для обеспечения безопасности государства и защиты общественного порядка
  8. если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Рассмотрим чуть более сложный случай, который в законе явным образом не обозначен.

Во всех организациях есть системы электронной почты, в которых содержаться персональные данные представителей внешних сторон (партнеров, клиентов, поставщиков, подрядчиков и т.п.). Эти персональные данные обычно включают в себя ФИО, адрес электронной почты, почтовые адреса, рабочий и мобильный телефоны. Если даже не ведутся адресные книги в Outlook, то все равно эта информация содержиться в почтовой базе в виде подписей к сообщениям. К сожалению этот случай не подпадает под рассмотренные исключения. Казалось бы, это означает, что по закону здесь необходимо уведомлять Роскомнадзор об обработке персональных данных?

Однако этого можно избежать, если признать эти данные общедоступными. Часть 12 Статьи 3 дает следующее определение: "Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных". Если подпись, содержащая контактную информацию субъекта ПДн, автоматически проставляется во всех его электронных сообщениях, как это имеет место быть на практике, то эти данные фактически являются общедоступными, т.к. предоставляются с согласия субъекта потенциально неограниченному кругу лиц. Значит и здесь операторам не стоит сильно беспокоиться.

Продолжение ...

Comments (12)

Tiger 28-04-2010 05:35

Re

1.Все организации передают данные третьим лицам - головным организациям (при условии что они разные юрлица), в фонд ДМС, для оформления зарплатных карт.
И это не подходит в части согласия с субъектом под рассматриваемые вами случаи.

2. С общедоступными ПДн вообще все сложно.
В приведенном примере ПДн в подписи предоставляются с целью контакта с ограниченным кругом респондентов, как бы велик он не был. Этот круг никак нельзя назвать неограниченным.

Вообще сложность и различия в понимании почти любых понятий законодательства о ПДн даже специалистами дает повод крайне скептически от носиться к реализации защиты прав субъектов.
Александр Астахов 28-04-2010 06:04

сложность понимания законодательства о ПДн

Конечно, каждый случай нуждается в отдельном рассмотрении и юридической оценке правомочности передачи или обработки конкретных ПДн. Поскольку моя юридическая грамотность оставляет желать лучшего, я рассуждаю с точки зрения простого здравого смысла, задействуя при этом житейский опыт и первоисточники.

В перечисленных случаях (ДМС, зарплатные карты), по моему опыту, речь идет, в конечном счете, о заключении договора с физическими лицами - сотрудниками организации. Без соответствующего договора банковские карты и страховые полисы не выдаются. Значит и согласия на обработку ПДн в целях исполнения данного договора не требуется.

Во втором случае (подписей к сообщениям) и по логике вещей и по букве закона контактную информацию следует признать общедоступными данными, т.к. их получает каждый, вступающий в контакт с соответствующими должностными лицами организации по электронной почте. А круг лиц, получающих доступ к данным, всегда будет на практике ограничен, даже если эти данные опубликовать в газете или в Интернет. Данный случай, я сразу сказал, - не самый очевидный. Но, думаю, большинство правоведов слонятся в сторону признания этих ПДн общедоступными, тем более, если подпись к сообщениям формируется автоматически.
Tiger 30-04-2010 03:56

Otvet

Встречал эти мнения
1.Изложу то что вы хотели сказать другими словами:

" Вполне возможна такая ситуация, когда компания ТОЛЬКО платит за сотрудника.
Я не заключаю договор со своей компанией о медстраховке и о получении денег на карту, а основанием взаимоотношений между сотрудником и медицинским учреждением или банком является страховой полис или договор, то есть форма гражданско-правового договора, пусть и специфическая.
В Компании может быть именно так: Директор подписывает соответствующий договор с банком или страховой компанией, а моя Компания только платит за это.
Тогда получается, что и я и моя компания вступили в договорные отношения со страховщиком и банком: компания гарантирует оплату договора, а я пользуюсь его благами (при этом я выступаю выгодоприобретателем в понимании ГК РФ).
В данном случае оператором ПДн выступает именно банк или страховщик, а меня с ним связывают договорные отношения "

Теперь внимание ответ юриста:

"насчет договорных отношений - договорные отношения бывают только у сторон договора, подписавших договор и достигших тем самым согласия по всем его условиям; указавших свои данные и реквизиты в договоре. Все остальные, даже выгодоприобретатели, договорными отношениями не связаны и с условиями договора не соглашались; их реквизиты (место нахождения/место жительства; пасп.данные, данные ИНН,КПП и т.д.) в договоре не указаны"


Александр Астахов 30-04-2010 05:21

насчет договорных отношений

Правильно отвечает ваш юрист. Только это итак понятно. Закон говорит о том, что если есть договор с субъектом ПДн (неважно письменный или устный, нотариально заверенный или нет, зарегистрированный в установленом порядке или нет), то получать согласие этого субъекта на обработку его ПДн в целях исполнения данного договора не требуется. Что более чем логично. Если нет договора с субъектом, то надо спросить согласие на обработку его ПДн.

Данные по банковским картам, выдаваемым сотрудникам, обрабатывает банк? Договора с сотрудниками у банка есть? Данные обрабатываются только с целью исполнения условий договора? Если ответы на все вопросы положительные, то не требуется ни согласия сотрудников, ни уведомления Роскомнадзора.
Tiger 30-04-2010 03:59

Re::


Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
С согласия… то есть вам нужно брать согласие на признание этих данных общедоступными как минимум. А что кстати будет если ваши сотрудники не согласятся его дать?

Общее замечание. ФЗ прямо не говорит об этом, но из принципов обработки следует, что «общедоступность» не означает «вседозволенность». Иными словами, цель, которую можно преследовать при использовании данных, должна быть ясна из контекста (опубликования - придания «общедоступности). Пример: телефонные справочники. Персональные данные, извлеченные из них, должны использоваться только для целей установления контакта. А не для целей прямого маркетинга, например.

То же самое визитки.
Визитки распространяются «кому попало». Но передавая визитку, ее владелец подразумевает ее использование только тем, кому он ее передает. И не подразумевает, что эта визитка будет «висеть на всех заборах» (быть «общедоступной).

>Если подпись, содержащая контактную информацию субъекта ПДн, автоматически
>проставляется во всех его электронных сообщениях, как это имеет место быть на практике, >то эти данные фактически являются общедоступными

А заодно видимо и е-майл признать общедоступным? А чего ж после на спам жаловаться? )
Принцип цели. Из того, что эти данные «гуляют» по сотням организаций НЕ следует, что они «общедоступны». В каждом ТАКОМ случае существует определенная цель, как правило исключающая цель иную.

Я это вообще только к тому что все неоднозначно ;-)
Александр Астахов 30-04-2010 05:07

Об общедоступных ПДн

В жизни вообще все неоднозначно и в мозгу у человека все неоднозначно. Это не повод, чтобы давать себя запутать порой на ровном месте. Если все вопросы смешать в кучу, то со стороны действительно может показаться, что обсуждаемая проблема уж очень сложна и неоднозначна. А цель моей публикации заключалась как-раз в обратном - в том, чтобы показать надуманность многих "проблем", ассоциируемых с ФЗ-152.

1. Общедоступность ПДн не означает вседозволенность в их использовании. Этой темы я вообще не затрагивал. Общедоступность ПДн означает, что об их обработке не надо уведомлять Роскомнадзор. О чем я и написал выше. В чем здесь вы видите неоднозначность?

2. Зачем усложнять закон и придумывать "согласие на признание данных общедоступными"? В законе, насколько мне известно, такой нормы не содержится. В законе говориться о получении согласия на обработку ПДн. Не надо смешивать вопросы общедоступности данных и вопросы получения согласия на их обработку.

3. Прямой маркетинг разве не является одной из разновидностей прямого контакта? Почему же вы тогда считаете, что для этого нельзя использовать общедоступные телефонные справочники? На них что есть пометка "торговым агентам не беспокоить"? Опять идет смешение понятий доступности и видов разрешенного использования.

4. С email тоже самое смешение понятий. Сам по себе email-адрес - это обезличенные ПДн (которые могут быть как общедоступными, так и нет). Для таких данных обеспечение конфиденциальности не требуется (часть 2 статья 7 ФЗ-152). Это не означает, что закон разрешает использовать email-адреса в каких угодно целях без разрешения субъекта ПДн.
Tiger 04-05-2010 01:16

Re

1. Договора с СОТРУДНИКОМ у банка нет! Есть договор только с организацией сотрудника!
А это не одно и то же. Сотрудник может даже и не знать, что у организации есть договор.
И даже никогда не читать его!
Из этого следует, что и согласие сотрудника на передачу организацией его ПДн третьему лицу и уведомление РКН необходимо.
Такова по крайней мере позиция РКН и судебная практика.

2. Необходимость согласия на признание общедоступности ПДн следует из определения общедоступных ПДн.
Более того, ПДн субъекта могут быть признаны общедоступными только на основании согласия этого субъекта.
Нет общедоступных ПДН только исходя из того, что ВЫ именно решили почему-то, что они общедоступны.
Александр Астахов 04-05-2010 01:35

общедоступность персональных данных

1) Если у банка с сотрудником договора на обслуживание банковской карты нет, тогда конечно необходимо и согласие сотрудника и уведомление РКН. С этим никто не спорит.

2) Данные общедоступны, если к ним предоставляется доступ для неограниченного круга лиц с согласия субъекта персональных данных. Это не значит, что согласие нужно обязательно получать. Человек может сам предоставлять свои данные неограниченному кругу лиц. В приведенном мной примере, контактная информация проставляется во всех электронных сообщениях автоматически с согласия субъекта персональных данных (точнее человек сам эти данные предоставляет). Эти данные получает любой, кто вступает в переписку с субъектом ПДн. Это и есть по моему мнению общедоступность.
Tiger 06-05-2010 09:40

Re

2)А как подвердить наличие согласия в нашей стране , кроме как не в письменной форме? ;-)
В принципе та форма согласия о которой вы говорите называется у юристов КОНКЛЮДЕНТНЫЕ ДЕЙСТВИЯ
КОНКЛЮДЕНТНЫЕ ДЕЙСТВИЯ - действия лица, выражающие его волю установить правоотношение, но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.
Однако есть одно но.. Наши регуляторы (РКН)не слыхали о такой форме подтверждения согласия (
А потому вполне могут выписать..

Tiger 06-05-2010 04:50

Re

Вот кстати моя статейка по этой теме
http://a-datum.ru/forum/viewtopic.php?f=52&t=358

В принципе, если заметите, я тоже предлагаю использовать этот метод..
Или, точнее сказать, рассмотреть возможность использования.
Но если и использовать, то только осторожно, избирательно и при наличии лояльности.
тема не столь проста и окончательный выбор за оператором.
Если что то и можно рекомендовать - то согласовать свое понимание общедоступных ПДн с РКН, а также их трактовку полученных вами у сотрудников согласий.
Посетитель 17-06-2015 11:58

договор

При зачислении в образовательную организацию заключают договор об образовании, например с родителями. Требуется ли здесь заключать отдельное соглашение на обработку ПДн? Нужна ли строчка внизу договора типа: "Согласен на обработку персональных данных в порядке, установленном статьей 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и подпись?
Александр Астахов 19-06-2015 12:40

договор

На мой взгляд, не требуется, поскольку здесь обработка персональных данных необходима для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных (ст. 6, п. 5, 152-ФЗ).
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex