Основные понятия. Условия обработки персональных данных

В системе российского законодательства понятие «персональные данные» появилось в конце 1990-х гг. Оно использовалось в ряде указов

Президента РФ, в ТК РФ, где определялось применительно к трудовым отношениям («информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника»).

В п. 1 ст. 3 Закона о персональных данных дано следующее определение: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Перечень таких сведений открыт. Его содержание может меняться в зависимости от изменений в жизни физического лица.

Таким образом, к персональным данным относятся: фамилия, имя, отчество, год, месяц, дата и место рождения лица; его адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Персональные данные также включают сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи физического лица; данные, позволяющие определить его место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи; данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера и т. д.

В общем массиве персональных данных закон выделяет общедоступные персональные данные. Доступ к ним неограниченного круга лиц, как правило, предоставляется с согласия физического лица. Общедоступными могут быть признаны такие данные, как фамилия, имя, отчество, год и место рождения лица, сведения о его профессии. Обычно не скрывается информация о том, какого человек пола.

Итак, эти сведения общедоступны. Но при этом общее правило состоит в том, что персональные данные — одна из разновидностей конфиденциальной информации, доступ к которой ограничен.

Под оператором Закон о персональных данных понимает государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В Законе о персональных данных даны также следующие определения.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3).

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11). Они могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3).

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3).

Главным условием обработки персональных данных является согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных). Форма получения такого согласия может быть любой, если иное не установлено федеральным законом. Подразумевается, что обычно согласие субъекта персональных данных получается в устной форме. Закон указывает на то, что если согласие дается представителем указанного субъекта, оператор вправе проверить полномочия данного представителя. Можно предположить, что это подтверждение также можно получить в устной форме.

В этой связи возникает ряд вопросов. Возможно ли получение согласия на обработку персональных данных по телефону и с помощью СМС? Закон не дает ответов на эти вопросы, и можно предположить, что в случае судебного спора решение будет зависеть от усмотрения суда. Представляется, что оператор, обращаясь к субъекту персональных данных по его персональному телефонному номеру, может рассчитывать на то, что согласие дает именно данный субъект. То же самое можно сказать и об СМС, поступившем с персонального номера субъекта персональных данных.

А что является доказательством получения согласия на обработку персональных данных при покупке товара в интернет-магазинах?

Можно допустить, что при заполнении веб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети Интернет критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцептируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

И еще один важный момент. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Закон предусматривает основания, дающие возможность обработки персональных данных при отсутствии согласия на то их субъекта (п. 2—11 ч. 1 ст. 6 Закона о персональных данных). Такая обработка допускается, если она:

  • — необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
  • — необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве (далее — исполнение судебного акта);
  • — необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
  • — необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договоров, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • — необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • — необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • — необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

— осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных.

Субъект персональных данных сам может предоставить доступ к ним неограниченному числу лиц. Тогда эти данные можно обрабатывать без каких-либо дополнительных согласований.

Определенные данные подлежат обязательному раскрытию в соответствии с федеральным законом. Например, законодательством о выборах предусмотрена необходимость публикации информации о доходах и недвижимой собственности кандидата. А в ряде случае и супруги (супруга) кандидата.

Что касается обработки биометрических персональных данных, то она может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных: законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе; уголовно-исполнительным законодательством РФ; законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >