Как хранить персональные данные

1237

Вопрос

С 01.09.2015 вступит в силу Федеральный закон от 21.07.2014 N 242-ФЗ (ред. от 31.12.2014)"О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". В связи с эти просим пояснить.- Можно ли хранить персональные данные (в том числе полученные посредством информационно-телекоммуникационной сети «Интернет»), параллельно, в дата центре России и дата центрах стран ЕС (Эстония) в порядке трансграничной передачи, или личные данные должны находится только в России и нигде больше?- Закон предписывает хранение данных на территории РФ или и хранение и обработку тоже?- Можно ли обрабатывать личные данные, хранящиеся в России, на серверах стран ЕС в порядке трансграничной передачи. Грубо говоря, база личных данных находится в РФ, а программа использующая эти данные находится на сервере в стране ЕС.- Нужно ли как-то информировать пользователей о том, как и где хранятся \ используются их личные данные. Может на какие-то операции с личными данными нужно получить согласие пользователя…

Ответ

1) Исходя из буквального толкования п. 1 ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ персональные данные должны храниться только в России.

2) Хранение и обработку. В соответствии с п. 3 ст. 3 Закона № 152-ФЗ обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В п. 1 ст. 2 Закона № 242-ФЗ говорится о записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации.

3) Скорее всего, можно. В Законе говорится только о том, что базы данных должны находиться в РФ.

4) Нет, не нужно. Субъект персональных данных вправе запросить эту информацию в соответствии с ч. 7 ст. 14 Закона № 152-ФЗ. Необходимо получить согласие субъекта на обработку его персональных данных на основании ст. 9 Закона № 152-ФЗ. В данном согласии можно также прописать согласие субъекта на обработку его биометрических данных (ст. 11 Закона), специальных категорий персональных данных (ст. 10 Закона), трансграничную передачу персональных данных (ст. 12 Закона).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».


Согласие на обработку персональных данных. Как решаются спорные вопросы на практике

«Согласие требуется во всех случаях, которые не названы в качестве исключений в части 2 статьи 6 закона № 152-ФЗ. Согласно части 1 статьи 9 закона № 152-ФЗ, такое согласие субъект ПДн дает своей волей и в своем интересе. На практике операторы собирают подтверждения согласия практически в любом случае обработки данных. Основная причина этой ситуации заключается в том, что предусмотренные в части 2 статьи 9 закона № 152-ФЗ исключения не учитывают нюансов практики обработки ПДн в конкретной компании. Иногда непросто определить, требуется ли согласие в определенной ситуации, поэтому фактически согласия берутся „на всякий случай“.*

Примеры спорных ситуаций

Приведем наиболее распространенные примеры трудностей в применении исключений из общего правила об обязательности получения согласия на обработку ПДн.

Передача ПДн работника в банк. Согласно пункту 1 части 2 статьи 6 закона № 152-ФЗ, согласие не требуется, если обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

Трудовой кодекс является федеральным законом и устанавливает в статье 86 исчерпывающий список целей обработки ПДн работников: для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На практике возникает вопрос: можно ли считать передачу ПДн работника в банк для начисления заработной платы на банковскую карту случаем обработки данных в целях, заявленных в статье 86 Трудового кодекса? В отсутствие однозначного решения данного вопроса многие работодатели предпочитают брать согласия работников.

Онлайн-заявка с ПДн. Другое исключение из общего правила позволяет не брать согласие, когда обработка данных осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн (п. 2 ч. 2 ст. 6 закона № 152-ФЗ). Например, физическое лицо заполняет на сайте компании онлайн-заявку на продажу товаров, оказание услуг, выполнение работ и указывает свои ПДн. Требуется ли в данном случае согласие на обработку ПДн? С одной стороны, субъект ПДн фактическими своими конклюдентными действиями выражает согласие на возникновение договорных отношений с компанией. Такую ситуацию можно рассматривать как акцепт публичной оферты (п. 1 ст. 437, п. 3 ст. 438 ГК РФ), то есть обработка данных осуществляется в целях исполнения договора. Но в то же время эта ситуация подпадает под действие статьи 15 закона № 152-ФЗ, которая обязывает оператора, обрабатывающего ПДн „в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи“, осуществлять обработку данных только при условии предварительного согласия субъекта ПДн. Поэтому в данном случае тоже безопаснее запросить согласие клиента.

Выдача дисконтных карт. Еще одна распространенная ситуация — указание ПДн при заполнении анкеты для выдачи дисконтной карты. Хотя участие в дисконтной программе тоже, по сути, является разновидностью договорных правоотношений субъекта ПДн с компанией, вопрос о том, нужно или не нужно брать согласие, необходимо решать с учетом целей обработки данных в каждом конкретном случае. Статья 5 закона № 152-ФЗ закрепляет принцип соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе данных. Если ПДн, указанные в анкете, используются исключительно для оформления и использования дисконтных карт, то обработка ПДн осуществляется в рамках договорных отношений с субъектом данных. Акцепт условий действия дисконтной программы в форме совершения конклюдентных действий (заполнения заявления или анкеты для выдачи дисконтной карты) можно рассматривать как заключение дополнительного соглашения к договору купли-продажи товара. Следовательно, в таком случае согласие на обработку ПДн не требуется. Но если данные, указываемые клиентами в анкетах, обрабатываются не только для реализации дисконтной программы, но и для последующей рассылки клиентам рекламной информации, то в таком случае их согласие на обработку данных необходимо.

Передача данных третьим лицам. Особо следует отметить случаи, когда полученные в целях исполнения договора с клиентом ПДн оператор передает третьим лицам. Необходимо разграничивать в договорах передачу ПДн, которая осуществляется непосредственно в целях исполнения договора, и передачу данных в интересах только одной стороны договора (например, компания делится с партнерами базой данных клиентов). Во втором случае необходимо согласие субъектов на передачу их данных третьим лицам, поскольку такая передача не является предметом договорных отношений между субъектами ПДн и компанией, которой они предоставили свои данные. По мнению некоторых территориальных управлений Роскомнадзора, согласие на передачу данных третьим лицам необходимо и в случаях, когда ПДн содержатся в доверенностях, выданных компанией своим сотрудникам для представления ее интересов в договорных отношениях с третьими лицами, если эти доверенности передаются третьим лицам.

Форма согласия на обработку персональных данных

Согласно части 4 статьи 9 закона № 152-ФЗ, в случаях, предусмотренных данным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. При этом закон № 152-ФЗ устанавливает пять случаев для получения согласия именно в письменной форме. Во-первых, при обработке специальных категорий ПДн, то есть данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 закона № 152-ФЗ). Во-вторых, при включении ПДн в общедоступные источники (ч. 1 ст. 8 закона № 152-ФЗ). В-третьих, для обработки биометрических ПДн (ч. 1 ст. 11 закона № 152-ФЗ). В-четвертых, при трансграничной передаче данных на территории стран, не обеспечивающих адекватной защиты прав субъектов ПДн (ч. 3 ст. 12 закона № 152-ФЗ). Наконец, письменное согласие требуется, если оператор принимает решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его данных (ч. 2 ст. 16 закона 152-ФЗ). Письменное согласие может быть заменено лишь согласием в форме электронного документа, если он подписан ЭЦП (ч. 4 ст. 9 закона № 152-ФЗ).*

Форма согласия в других случаях. Закон № 152-ФЗ не уточняет форму получения согласия субъекта ПДн в иных случаях, для которых прямо не установлена письменная форма. Но при этом обязанность предоставить доказательство получения согласия субъекта ПДн возлагается на оператора (ч. 3 ст. 9 закона № 152-ФЗ). Поэтому операторы стараются по возможности брать согласия в письменной форме в любом случае. Однако, учитывая, что закон не ограничивает возможность получения согласия в иных, кроме письменной, формах, допустим, например, вариант проставления „галочки“ или иного знака в специальном поле электронной заявки о согласии на обработку ПДн.

Вопрос в тему

Согласие субъекта персональных данных на обработку его данных является окончательным и неизменным?

Нет, субъект персональных данных в любой момент имеет право отозвать свое согласие (ч. 1 ст. 9 закона № 152-ФЗ).

Основные случаи, когда согласие не обработку данных не требуется (ч. 2 ст. 6 закона № 152-ФЗ)

В законе № 152-ФЗ названо восемь случаев, когда согласие на обработку данных не требуется. В практике коммерческих компаний наиболее распространены следующие случаи:

1. Обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора.

2. Обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн.

3. Обработка ПДн осуществляется для статистических или иных научных целей, и данные обезличиваются.

4. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно.

5. Обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.»



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.