Мы уже разобрались с вами, что такое персональные данные, как они оказываются в интернете, какие киберриски и опасности поджидают нас и наши данные в сети. Мы даже поняли, что можно делать, а что нельзя. Теперь предлагаем выйти на новый уровень вселенной персональных данных и разобраться, в каких случаях обработка ваших данных законна, какие у вас есть права, к кому обращаться за помощью, если права нарушены, и что делать, когда произошла утечка персональных данных или они были неправомерно переданы кому-то. Давайте начнём с первого вопроса: законность обработки.
Условия (правовые основания) обработки персональных данных
Условия (правовые основания) обработки персональных данных – это то, что позволяет оператору законно обрабатывать ваши данные. Частое заблуждение: персональные данные допустимо обрабатывать только на основании согласия или договора. Если согласия или договора нет, значит, обработка незаконна и можно требовать её прекращения.
В действительности в Законе о персональных данных перечислено целых 12 основных самостоятельных правовых оснований, при наличии которых обработка персональных данных законна.
Договор
Основание «договор» – это:
- либо инициатива на заключение договора;
- либо заключённый договор.
Как инициатива, так и сам договор должны обладать рядом признаков, чтобы их можно было считать основанием обработки. Среди них:
- обработка необходима для заключения договора или исполнения обязательств по нему;
- вы, будучи субъектом персональных данных, являетесь в рамках договора:
▹ либо стороной;
▹ либо выгодоприобретателем;
▹ либо поручителем.
Согласие
О согласии на обработку персональных данных нужно знать следующее:
- предоставление согласия – ваше право, однако в ряде случав без согласия оператор не сможет предоставить вам продукты, сервисы, услуги;
- согласие может быть дано вами в любой форме, которая позволяет оператору подтвердить факт его получения;
- по отдельной форме у вас должны получить согласие на распространение ваших данных;
- есть случаи, когда обязательна письменная форма.
Письменная форма согласия обязательна, если оператор:
- хочет включить ваши данные в общедоступные источники (справочники, адресные книги);
- планирует обрабатывать биометрию (например, изображение лица, если в последующем вы будете совершать платежи «по лицу») или данные, относящиеся к специальным категориям (например, сведения о здоровье, судимости, национальности, поле, политических взглядах, религиозных убеждениях);
- принимает решение, которое будет затрагивать ваши права, интересы, порождать юридические последствия (например, об увольнении, отказе в кредите) на основании анализа, проведённого программой/искусственным интеллектом, без последующей проверки человеком результатов этого анализа;
- планирует передавать персональные данные работников третьим лицам.
Если оператор не получил от вас согласие в письменной форме, уточните причину. Отсутствие такого согласия – не всегда признак незаконной обработки. Закон допускает обработку указанных данных и без согласия, если это предусмотрено законодательством.
Требования закона
Если оператор говорит, что обрабатывает ваши данные, так как этого требует закон или международный договор, попросите его уточнить:
- реквизиты закона или международного договора, для достижения целей которых это нужно;
- или реквизиты закона, которыми на оператора возлагаются функции, полномочия, обязанности, во исполнение которых он планирует обрабатывать данные.
Например, оператор может обрабатывать ваши персональные данные во исполнение требований законодательства о противодействии отмыванию доходов. Если оператор является вашим работодателем, определённый набор данных он может обрабатывать для того, чтобы производить соответствующие отчисления в Социальный фонд России, Федеральную налоговую службу.
Законный интерес
Законный интерес как основание обработки предполагает, что оператор может обрабатывать ваши данные для осуществления:
- своих прав и законных интересов;
- прав и законных интересов третьих лиц.
Пример использования законного интереса как основания обработки: определённый набор данных может обрабатываться в рамках законного интереса, направленного на обеспечение безопасности финансовых операций, предотвращение случаев хищения денежных средств.
Статистика, исследования
Обработка персональных данных в статистических и исследовательских целях также может быть самостоятельным основанием обработки ваших данных.
При этом оператор должен выполнить следующие требования:
- персональные данные, обрабатываемые для целей статистики и исследований, должны быть обязательно обезличены;
- цель обработки не должна быть связана с продвижением товаров, работ, услуг, с политической агитацией.
Если оператор не обезличил данные или цель обработки связана с продвижением товаров, работ, услуг – значит, нельзя использовать цели статистики и исследований как самостоятельное основание обработки. Должно быть другое основание – например, согласие.
Акты органов власти
Судебные акты, акты иных органов власти или должностных лиц также могут являться самостоятельным основанием обработки персональных данных.
Однако это возможно только в том случае, когда исполнение этих актов обязательно для оператора в соответствии с законодательством об исполнительном производстве.
Например, если работодатель должен исчислить определённую сумму из доходов работника в связи с обязанностью уплаты им алиментов или иных задолженностей, он может использовать персональные данные работника-должника в рамках данного основания.
Судопроизводство
Участие лица в судопроизводстве – тоже основание обработки его персональных данных, которые, например, могут содержаться в материалах дела.
Дополнительных оснований для обработки таких данных не требуется.
Опубликование
Ещё одно основание – обработка персональных данных, подлежащих опубликованию или раскрытию.
Это значит, что данные могут обрабатываться в связи с тем, что законом предусмотрено их обязательное опубликование или раскрытие.
Например, определённый набор данных о генеральном директоре компании или ИП содержится в ЕГРЮЛ/ЕГРИП. Включение таких данных в ЕГРЮЛ/ЕГРИП осуществляется на основании требований законодательства. Дополнительных оснований для обработки данных, подлежащих включению в ЕГРЮЛ/ЕГРИП, не требуется.
Жизнь, здоровье
Обработка персональных данных в случае, когда это необходимо для защиты ваших жизни, здоровья, иных жизненно важных интересов – также самостоятельное основание обработки.
Важное условие: не должно быть возможным получение согласия.
Такое основание особенно актуально в экстренных ситуациях: например, когда нужно срочно передать персональные данные пострадавшего в скорую помощь, а скорой помощи – принять вызов и помочь пациенту.
СМИ, творчество, наука
Если персональные данные нужны для осуществления профессиональной деятельности журналиста, законной деятельности СМИ либо для осуществления научной, литературной, иной творческой деятельности – это также самостоятельное основание обработки, которое не требует никаких других оснований (согласия, договора и т.п.).
Опять же, важное условие: обработка не должна нарушать ваши права и законные интересы.
Государственные органы
Обработка персональных данных может также осуществляться для исполнения полномочий государственных органов, органов власти субъектов РФ, муниципальных органов, государственных внебюджетных фондов. Иных оснований для обработки в таком случае не нужно. Именно поэтому, предоставляя вам какую-либо государственную услугу, согласие на обработку персональных данных у вас могут не запрашивать.
Эксперимент
Наконец, обрабатывать персональные данные можно в целях:
- повышения эффективности государственного и муниципального управления;
- в рамках законодательства об экспериментальных режимах.
Обязательное условие: предварительное обезличивание используемых для этого персональных данных.
Что должен сделать оператор, если отсутствуют основания для обработки персональных данных
Обработка персональных данных в отсутствие правовых оснований, о которых мы поговорили с вами ранее, не допускается. Если у оператора нет ни одного из предусмотренных законом оснований обработки, тогда обработка неправомерна.
Последовательность действий оператора при неправомерной обработке зависит от того, как был выявлен факт неправомерной обработки.
Если оператору об этом сообщили вы,ваш представитель, или Роскомнадзор, тогда шаги будут следующими.
Шаг 1. Оператор должен заблокировать неправомерно обрабатываемые персональные данные с момента получения: обращения от субъекта или его представителя; запроса от Роскомнадзора.
Причём сделать это нужно на весь период проверки поступившей информации.
Шаг 2. Если информация о неправомерности обработки подтвердится в период проверки, оператор обязан прекратить неправомерную обработку в течение трёх дней с момента выявления факта неправомерности.
Шаг 3. Если обеспечить правомерность невозможно, тогда оператор обязан уничтожить неправомерно обрабатываемые персональные данные в течение 10 дней с даты выявления неправомерной обработки. Если уничтожение в такой срок обеспечить невозможно, тогда допускается мотивированное продление срока до 6 месяцев, но не более.
Если оператор самостоятельно выявил факт неправомерной обработки, шаги должны быть такими.
Шаг 1. Оператор обязан прекратить неправомерную обработку в течение трёх дней с момента выявления факта неправомерности.
Шаг 2. Если обеспечить правомерность невозможно, тогда оператор обязан уничтожить неправомерно обрабатываемые персональные данные в течение 10 дней с даты выявления неправомерной обработки. Если уничтожение в такой срок обеспечить невозможно, тогда допускается мотивированное продление срока до 6 месяцев, но не более.
Важно
В каждом случае об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя. Если поступил запрос от Роскомнадзора или же им было направлено в адрес оператора обращение субъекта или его представителя, об устранении нарушений также нужно уведомить Роскомнадзор.
Проверьте себя
Представьте ситуацию.
Вы хотите заключить договор ипотечного кредитования. Сначала вы заполняете заявку на получение кредита, в которой указываете ФИО, телефон, уровень дохода, желаемую сумму кредита, объект недвижимости, который хотели бы приобрести. Далее вы заключаете договор, по которому дополнительно предоставляете иные данные, которые необходимы для исполнения обязательств по договору. Данные собираются исключительно для того, чтобы оказать вам услугу, связанную с предоставлением кредита. Ни в одном из случаев вам не было предложено подписать согласие на обработку персональных данных.
