В современном мире сложно представить хозяйственную деятельность организации в интернете и не только без использовании информации о гражданах (пользователях). Работа с такого рода информацией (персональными данными) строго регламентирована законом РФ. Разберем, что же представляет собой обработка персональных данных, соблюдение каких правил и выполнение каких регламентов требуется при этом от организаций регулятором.
Установлено, что совершение любых действий с персональными данными является их обработкой. В частности к мероприятиям по обработке персональных данных можно отнести: ⁃ Сбор. ⁃ Систематизация. ⁃ Хранение. ⁃ Внесение в персональные данные изменений. ⁃ Передача персональных данных третьим лицам. ⁃ Блокировка персональных данных. ⁃ Обезличивание персональных данных. ⁃ Уничтожение материальных носителей, содержащих персональные данные или их удаление из информационных систем и др.
Обработку персональных данных операторами необходимо производить с соблюдением ряда обязательных правил. К ним, в частности, относятся следующие:
1. Производить обработку персональных данных в строгом соответствии с требованиями действующего законодательства РФ.
2. Организация обязана уведомить органы Роскомнадзора перед тем, как начать обрабатывать персональные данные граждан. Однако, в ряде случаев установленных законом, уведомление не требуется. Например если обработка персональных данных производится в рамках трудовых правоотношений ( об этом подробно можно прочитать здесь): обрабатывается только ФИО, данные получены из трудового договора или сведения носят общедоступный характер, а передача их третьим лицам не производится.
3. Персональные данные обрабатываются исключительно с согласия субъекта ПД. В установленных законодательством случаях требуется получить согласие на обработку в письменной форме. В документ в обязательном порядке должен быть включен ряд положений, например, ФИО, реквизиты документа, удостоверяющего личность субъекта ПД, цель, с которой персональные данные обрабатываются, их перечень, срок выдачи согласия на обработку и способы его отзыва. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено. В иных случаях разрешено получение согласия обрабатывать персональные данные иными способами — та самая галочка в форме на сайте. В случаях, установленных законом, например — судопроизводство, допускается обрабатывать персональные данные без согласия субъекта ПД.
4. Если субъект ПД отзывает данное ранее согласие, оператор обязан не только прекратить операции с персональными данными субъекта, но и уничтожить материальные носители, содержащие данные, и удалить все сведения о субъекте ПД из информационных систем. Законом разрешено обрабатывать персональные данные после отзыва согласия при выполнении госорганами возложенных на них полномочий, судебного разбирательства в отношении субъекта ПД, выполнении обязательств по гражданско-правовым договорам.
5. Сбор и обработка персональных данных всегда производятся со строго определенной целью, которая должна определять объем обрабатываемых персональных данных. Обрабатывать персональные данные без определенной цели либо избыточные (те персональные данные, которые не требуются для достижения обозначенной цели) запрещено.
6. Следить за актуальностью персональных данных, при их изменении вносить в процессе обработки необходимые сведения.
7. Поручение оператором обрабатывать персональные данные иным лицам допускается в случае, если такое право установлено законом или договором.
8. Соблюдать конфиденциальность при работе с персональными данными.
9. Не допускать передачу персональных данных третьим лицам без согласия субъекта ПД. Исключение составляют случаи, предусмотренные законом. При необходимости производить обезличивание персданных.
10. Обеспечить при работе с персональными данными их безопасность, исключающую несанкционированный доступ к ним третьих лиц.
11. Назначить ответственных лиц, отвечающих за обработку, хранение и защиту персональных данных в организации.
12. Необходимо разработать и утвердить локальные нормативные акты, которыми регулируются вопросы обработки персональных данных в организации(положения, политика, правила и т.п.). Ознакомить с указанными ЛНА сотрудников, которые обрабатывают персональные данные, и провести их обучение. Регулярно проводить переобучение и тестирование сотрудников, участвующих в обработке персональных данны. Доводить до сотрудников изменения, происходящие в законодательстве, регулирующем работу с ПД.
13. Своевременно выявлять и устранять нарушения, допускаемые в процессе работы с персональными данными.
Выполнять операции с персональными данными граждан по разрешению субъекта ПД может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т. д. После достижения результата, ради которого осуществлялся сбор данных, оператор теряет легальную возможность их использования и несет ответственность при их намеренном разглашении.