Обработка персональных данных без согласия субъекта

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Можно ли использовать личные данные человека без его согласия? Без законного на то основания обработка личной информации запрещена и влечет за собой ответственность – уголовную, административную или гражданскую. Но существуют установленные законодательством случаи, когда передача третьим лицам персональных данных (ПДн) разрешена.

Когда разрешается обработка ПДн без согласия субъекта

Законодательство предусматривает следующие случаи передачи данных без необходимости получения на это согласия субъекта:

  • Если требуемые данные заносятся в базы государственных реестров Российской Федерации.
  • Если сведения будут использованы третьими лицами для семейных нужд (но только в случае, если это не нарушает права субъекта этих сведений).
  • Засекречивание данных о субъекте (государственная тайна).
  • Если ПДн требуются государству для соблюдения условий законов либо договоров международного уровня.
  • Если субъект вовлечен в судебный процесс, при необходимости данных для исполнения актов суда.
  • В случае получения субъектом государственных услуг.
  • Требуется заключение или исполнение договора, к которому причастен субъект, либо он получает выгоду от этого.
  • Присутствует угроза жизни или здоровью субъекта, и невозможно получить согласие.
  • Если информация нужна для совершения общественно важных дел.
  • Персональные данные лица необходимы для журналистских расследований либо средствам массовой информации в случае, если при этом не нарушаются права субъекта.
  • Использование для статистических, демографических целей (только если данные обезличены).
  • В случае законодательного требования в обязательном порядке раскрыть эти данные.
  • Организации почтовой связи, мобильной связи также могут использовать персональную информацию о человеке без его разрешения (для совершения расчетов за пользование почтовыми или коммуникационными услугами). Также, если гражданин признает свои данные общедоступными, их можно использовать без его разрешения.

В случаях, которые не подпадают под условия, описанные выше, обработка данных возможна только при подписании согласия этим человеком.

Сколько стоит информация?

Необходимо знать о штрафных санкциях, которые будут применены государством к объекту, использовавшему информацию о другом лице без его согласия. Так, согласно Статьям 13.11 и 13.14 Кодекса Российской Федерации об административных правонарушениях, должностное лицо заплатит штраф от 3 000 до 20 000 рублей. Частный предприниматель будет оштрафован на сумму от 5 000 до 20 000 рублей, а фирма или организация – до 75 000 рублей.

Штрафы за нарушение законодательства в области ПДн

Как происходит обработка персональных данных без ведома их владельца?

Существует установленный законодательством порядок, согласно которому такая информация может быть получена и использована. Выглядит процесс следующим образом:

  1. При наличии веских законных оснований человек (организация, уполномоченное лицо) получает необходимую информацию о субъекте. При этом сообщать субъекту об использовании его сведений не нужно.
  2. С полученными данными осуществляются необходимые операции, но важное условие – проводятся они только в рамках заявленной цели их использования.
  3. Когда сведения обработаны и больше не нужны, они должны быть удалены либо обезличены.

Если до владельца ПДн доходит информация об использовании его данных, он может оспорить это в судебном порядке. При таком обстоятельстве конфликт можно разрешить, предоставив доказательства необходимости получения ПДн, и даже вопреки несогласию субъекта, если законом предусмотрено данное действие, конфликт будет решен в пользу получения нужных ПДн.

Как получить согласие на обработку персональных данных

В первую очередь составляется текст, описывающий политику обработки личной информации, и само согласие. Если вы являетесь ИП или владеете фирмой – тогда в обязательном порядке заверяете политику обработки специальным актом. В этом документе указывается человек (работник), который назначается ответственным за работу с ПДн на вашем предприятии. 

Если у вашего предприятия есть сайт или аккаунт, данная политика обязательно должна быть там опубликована и в открытом доступе. Также, если предусмотрено заполнение анкет (форм) пользователями, куда они будут вписывать свои данные, под каждым таким элементом должен стоять чекбокс, куда пользователь ставит галочку по типу «Даю разрешение на использование информации обо мне».

Важно не забыть предоставить пользователю активную ссылку на страницу или документ, содержащий политику обработки ПДн, чтобы он без затруднения мог прочесть ее.

Политика обработки ПДн

Работа с персональными данными: как не нарушать федеральный закон о ПДн?

Ниже приведено несколько обязательных правил, соблюдение которых позволит избежать проблем с законом и при этом без препятствий собирать нужные вам сведения.

  1. В первую очередь нужно пройти регистрацию в Роскомнадзоре.
  2. Вся информация (политика использования конфиденциальной информации, пользовательское соглашение) должна быть предоставлена в открытом доступе посетителям сайта, если он есть у вашей организации.
  3. Собирать нужные данные требуется в рамках конкретной цели. Не нужно просить лишнюю информацию (например, адрес прописки гражданина для рассылки видеоматериалов по e-mail).
  4. Если собранная информация предназначена для публикации в общедоступных ресурсах, обязательно требуется запрашивать письменное согласие владельца на использование этих сведений. Если же информация нужна всего лишь для внутренней работы организации, предоставлять пользователям возможность ограничить передаваемые данные.
  5. Сведения о пользователях надо применять только для осуществления тех задач, которые указаны в политике конфиденциальности.
  6. По требованию субъекта всегда нужно предоставлять ему в полном объеме сведения об имеющихся данных о нем: какие они, где и как хранятся, как обеспечивается их защита, кому предоставлен доступ к этим ПДн.
  7. По просьбе субъекта оператор обязан удалять из базы личную информацию о нем.
  8. Все персональные данные клиентов, пользователей и работников должны храниться в базе данных надежно – оператор должен обеспечить максимальную степень защиты БД (это правило указано в федеральном законе). 
  9. Работодатель должен выбрать человека на должность ответственного за обеспечение сохранности ПД.
  10. Провести инструктаж со всеми работниками о том, как работать с конфиденциальными данными.

В первом пункте сказано про регистрацию в системе Роскомнадзора. Эту процедуру необходимо проходить всем операторам (оператор в данном контексте – это лицо, осуществляющее сбор и обработку ПДн). Сведения об операторе вносятся Роскомнадзором в специальный Реестр операторов. 

Можно не регистрироваться в Роскомнадзоре в случае, если на предприятии:

  • обрабатываются только ПДн сотрудников;
  • необходимы для обработки лишь фамилия и инициалы субъекта ПДн;
  • конфиденциальные сведения открыты и опубликованы по просьбе их владельца.

Несоблюдение закона о защите ПДн – это не только огромная административная и гражданская ответственность со всеми вытекающими большими суммами штрафов и ограничений. Это еще и вторжение в личную жизнь людей. 

Спам, надоедающие рассылки, рекламные сообщения с неизвестных номеров – все это происходит из-за недобросовестного использования операторами персональных сведений о людях. 

Действуя в рамках законодательства и соблюдая все вышеописанные правила, компания обезопасит себя от привлечения к ответственности за некорректное использование ПДн.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними