Маргарита Отдельнова - Обработка и управление персональными данными

Под обработкой персональных данных понимаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

Таким образом, даже если организация, например, всего лишь получает паспортные данные своих клиентов или создала базу данных их телефонных номеров, она обрабатывает персональные данные и признается их оператором. Это значит, что организация обязана под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных. Так, она должна определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.

Персональные данные могут обрабатываться данные с использованием или без использования средств автоматизации (п. 3 ст. 3 Закона о персональных данных).

Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).

Обратите внимание, что оператор обязан использовать базы данных, находящиеся в России, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуется использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных.

До начала трансграничной передачи персональных данных необходимо:

получить ряд сведений от органов власти иностранного государства, иностранных физлиц или юрлиц, которым планируете передавать данные. Сведения предоставьте в Роскомнадзор по его запросу;

направить в Роскомнадзор уведомление о трансграничной передаче персональных данных, составленное на бумажном носителе или в форме электронного документа. Включите в него обязательные сведения и подпишите. Оно направляется отдельно от уведомления об обработке персональных данных.

После представления уведомления о трансграничной передаче:

можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые являются сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных или включены в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Делать это можно до принятия Роскомнадзором решения о запрете или ограничении передачи данных;

до истечения установленных сроков не можете передавать персональные данные на территории указанных в уведомлении иностранных государств, которые не являются сторонами названной Конвенции Совета Европы и не включены в упомянутый Перечень. Исключение: трансграничная передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных (других лиц).

Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все действия с персональными данными должны быть связаны с той целью, с которой их получили.

За обработку персональных данных, не совместимую с целями их сбора, могут привлечь к ответственности.

Цель должна быть:

законной;

заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуется также закрепить ее в локальном акте, посвященном обработке данных. Лучше, если цель обработки будет соответствовать той деятельности, которую вы фактически осуществляете и которая предусмотрена вашими учредительными документами;

конкретной. Чтобы у контролирующих органов не было повода придраться, рекомендуется не использовать абстрактные формулировки, а указать цель максимально конкретно. Например, если вы хотите повысить продажи путем СМС-рассылки, в качестве цели должно быть указано не "повышение продаж", а "осуществление рекламной СМС-рассылки".

Чтобы обработка данных была целевой, необходимо удостовериться в том, что:

содержание и объем данных соответствуют целям их обработки, то есть вы не обрабатываете избыточные данные. Избыточным может быть признано получение данных, никак не связанных с оказываемыми услугами. Например, если салон красоты просит клиентов сообщить их имущественное положение или образование;

у вас созданы раздельные базы для персональных данных, обработка которых осуществляется в целях, не совместимых между собой. В частности, рекомендуем иметь раздельные базы для сотрудников и клиентов;

вы обеспечиваете точность и достаточность, а при необходимости и актуальность данных по отношению к целям их обработки. Например, время от времени актуализируете базу телефонных номеров клиентов, обновляете полученные ранее копии документов. В противном случае вы рискуете нарушить закон. Например, это произойдет, если сменился владелец телефонного номера, а вы продолжаете отправлять на него рекламные сообщения, хотя новый владелец своего согласия на это не давал.

Также вы должны обеспечить удаление или уточнение неполных или неточных данных;

вы уничтожаете либо обезличиваете данные, если цели обработки достигнуты или утрачена необходимость в их достижении (если законом не предусмотрено иное). В частности, не рекомендуем хранить документы, содержащие персональные данные, дольше, чем это необходимо в целях бухгалтерского и налогового учета.