Вселенная персональных данных: защита в интернете
5 мин • 2 вопроса
Условия (правовые основания) обработки персональных данных – это то, что позволяет оператору законно обрабатывать ваши данные. Частое заблуждение: персональные данные допустимо обрабатывать только на основании согласия или договора. Если согласия или договора нет, значит, обработка незаконна и можно требовать её прекращения.
В действительности в Законе о персональных данных перечислено целых 12 основных самостоятельных правовых оснований, при наличии которых обработка персональных данных законна.
Основание «договор» – это:
Как инициатива, так и сам договор должны обладать рядом признаков, чтобы их можно было считать основанием обработки. Среди них:
О согласии на обработку персональных данных нужно знать следующее:
Посмотреть случаи
Если оператор говорит, что обрабатывает ваши данные, так как этого требует закон или международный договор, попросите его уточнить:
Например, оператор может обрабатывать ваши персональные данные во исполнение требований законодательства о противодействии отмыванию доходов. Если оператор является вашим работодателем, определённый набор данных он может обрабатывать для того, чтобы производить соответствующие отчисления в Социальный фонд России, Федеральную налоговую службу.
Законный интерес как основание обработки предполагает, что оператор может обрабатывать ваши данные для осуществления:
Пример использования законного интереса как основания обработки: определённый набор данных может обрабатываться в рамках законного интереса, направленного на обеспечение безопасности финансовых операций, предотвращение случаев хищения денежных средств.
Обработка персональных данных в статистических и исследовательских целях также может быть самостоятельным основанием обработки ваших данных.
При этом оператор должен выполнить следующие требования:
Если оператор не обезличил данные или цель обработки связана с продвижением товаров, работ, услуг – значит, нельзя использовать цели статистики и исследований как самостоятельное основание обработки. Должно быть другое основание – например, согласие.
Судебные акты, акты иных органов власти или должностных лиц также могут являться самостоятельным основанием обработки персональных данных.
Однако это возможно только в том случае, когда исполнение этих актов обязательно для оператора в соответствии с законодательством об исполнительном производстве.
Например, если работодатель должен исчислить определённую сумму из доходов работника в связи с обязанностью уплаты им алиментов или иных задолженностей, он может использовать персональные данные работника-должника в рамках данного основания.
Участие лица в судопроизводстве – тоже основание обработки его персональных данных, которые, например, могут содержаться в материалах дела.
Дополнительных оснований для обработки таких данных не требуется.
Ещё одно основание – обработка персональных данных, подлежащих опубликованию или раскрытию.
Это значит, что данные могут обрабатываться в связи с тем, что законом предусмотрено их обязательное опубликование или раскрытие.
Например, определённый набор данных о генеральном директоре компании или ИП содержится в ЕГРЮЛ/ЕГРИП. Включение таких данных в ЕГРЮЛ/ЕГРИП осуществляется на основании требований законодательства. Дополнительных оснований для обработки данных, подлежащих включению в ЕГРЮЛ/ЕГРИП, не требуется.
Обработка персональных данных в случае, когда это необходимо для защиты ваших жизни, здоровья, иных жизненно важных интересов – также самостоятельное основание обработки.
Важное условие: не должно быть возможным получение согласия.
Такое основание особенно актуально в экстренных ситуациях: например, когда нужно срочно передать персональные данные пострадавшего в скорую помощь, а скорой помощи – принять вызов и помочь пациенту.
Если персональные данные нужны для осуществления профессиональной деятельности журналиста, законной деятельности СМИ либо для осуществления научной, литературной, иной творческой деятельности – это также самостоятельное основание обработки, которое не требует никаких других оснований (согласия, договора и т.п.).
Опять же, важное условие: обработка не должна нарушать ваши права и законные интересы.
Обработка персональных данных может также осуществляться для исполнения полномочий государственных органов, органов власти субъектов РФ, муниципальных органов, государственных внебюджетных фондов. Иных оснований для обработки в таком случае не нужно. Именно поэтому, предоставляя вам какую-либо государственную услугу, согласие на обработку персональных данных у вас могут не запрашивать.
Наконец, обрабатывать персональные данные можно в целях:
Обязательное условие: предварительное обезличивание используемых для этого персональных данных.
Обработка персональных данных в отсутствие правовых оснований, о которых мы поговорили с вами ранее, не допускается. Если у оператора нет ни одного из предусмотренных законом оснований обработки, тогда обработка неправомерна.
Последовательность действий оператора при неправомерной обработке зависит от того, как был выявлен факт неправомерной обработки.
Шаг 1. Оператор должен заблокировать неправомерно обрабатываемые персональные данные с момента получения: обращения от субъекта или его представителя; запроса от Роскомнадзора.
Причём сделать это нужно на весь период проверки поступившей информации.
Шаг 2. Если информация о неправомерности обработки подтвердится в период проверки, оператор обязан прекратить неправомерную обработку в течение трёх дней с момента выявления факта неправомерности.
Шаг 3. Если обеспечить правомерность невозможно, тогда оператор обязан уничтожить неправомерно обрабатываемые персональные данные в течение 10 дней с даты выявления неправомерной обработки. Если уничтожение в такой срок обеспечить невозможно, тогда допускается мотивированное продление срока до 6 месяцев, но не более.
Шаг 1. Оператор обязан прекратить неправомерную обработку в течение трёх дней с момента выявления факта неправомерности.
Шаг 2. Если обеспечить правомерность невозможно, тогда оператор обязан уничтожить неправомерно обрабатываемые персональные данные в течение 10 дней с даты выявления неправомерной обработки. Если уничтожение в такой срок обеспечить невозможно, тогда допускается мотивированное продление срока до 6 месяцев, но не более.
В каждом случае об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя. Если поступил запрос от Роскомнадзора или же им было направлено в адрес оператора обращение субъекта или его представителя, об устранении нарушений также нужно уведомить Роскомнадзор.
Вы хотите заключить договор ипотечного кредитования. Сначала вы заполняете заявку на получение кредита, в которой указываете ФИО, телефон, уровень дохода, желаемую сумму кредита, объект недвижимости, который хотели бы приобрести. Далее вы заключаете договор, по которому дополнительно предоставляете иные данные, которые необходимы для исполнения обязательств по договору. Данные собираются исключительно для того, чтобы оказать вам услугу, связанную с предоставлением кредита. Ни в одном из случаев вам не было предложено подписать согласие на обработку персональных данных.
Как вы считаете, должны ли вас в описанной ситуации попросить подписать согласие на обработку персональных данных?
Почему в предыдущем вопросе вы сделали такой выбор?
Ответьте на все вопросы, чтобы проверить
Россия, Москва, 117997, ул. Вавилова, 19
© 1997—2024 ПАО Сбербанк
Генеральная лицензия на осуществление банковских операций от 11 августа 2015 года. Регистрационный номер — 1481.
www.sberbank.ruСберБанк обрабатывает Cookies с целью персонализации сервисов и чтобы пользоваться веб-сайтом было удобнее. Вы можете запретить обработку Cookies в настройках браузера. Пожалуйста, ознакомьтесь с политикой использования Cookies. Подробно рассказываем, как CберБанк обрабатывает и защищает ваши персональные данные на странице.