Закон о персональных данных
Принятие в России закона о персональных данных – следствие присоединения РФ к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», которая определяет ряд основных принципов защиты персональных данных в европейских государствах.
Этой Конвенцией и последовавшими за ней несколькими Директивами Евросоюза были сформулированы задачи, которые национальным законодательством должны решаться в процессе регулирования работы с персональными данными:
- защищать персональные данные от несанкционированного доступа к ним других лиц;
- обеспечивать сохранность, целостность и достоверность данных, включая передачу по каналам связи;
- обеспечивать надлежащий правовой режим этой информации при работе с ними для разных категорий персональных данных;
- обеспечивать контроль над использованием персональных данных самими гражданами;
- создавать специальную независимую структуру, обеспечивающую эффективность контроля за защитой его персональных данных.
Российским законом во многом повторяется ряд основных положений европейского законодательства в рассматриваемой сфере, которое считают одним из наиболее строгих в мире.
Способы обработки персональных данных
Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании этой информации физическому лицу, то есть субъекту персональных данных.
Законом предусмотрен ряд следующих способов обрабатывать персональные данные:
- сбор;
- систематизация;
- накопление;
- хранение;
- уточнение;
- использование;
- действия с персональными данными, которые оператор совершает, чтобы найти решение или совершить иное действие, порождающее юридические последствия относительно субъекта персональных данных;
- распространение – передача персональных данных третьим лицам, обнародование в СМИ и пр.;
- обезличивание – действия, в результате которых не может быть определена принадлежность персональных данных;
- блокирование – временное прекращение работы с информацией, содержащей персональные данные;
- уничтожение.
Принципы и условия обработки персональных данных
Положения закона направляются в первую очередь на предотвращение незаконного сбора и использования персональных данных.
Персональные данные необходимо хранить в формате, дающем возможность определять субъект, не дольше, чем это требуется целью их обработки, а также уничтожать их после того, как будет достигнута цель их обработки либо утрачена необходимость ее достижения. В таком случае законодательством впервые устанавливается для информации и документации максимальный и условный срок хранения – до момента достижения целей обработки.
Организациями должны быть установлены сроки хранения документов с персональными данными, при этом должно быть заранее продумано обоснование выбранного срока хранения. Это довольно сложный вопрос, вызывающий массу проблем и споров.
Также специалисты должны обращать свое внимание на следующие моменты: цели сбора и обработки персональных данных должны быть определены до того, как начата работа, необходимо тщательно работать над их формулировками.
Наиболее затруднительное требование для организации – требование статьи 6 о необходимости получения согласия субъекта на обработку сведений. Получать согласие не требуется только в нескольких случаях:
- чтобы исполнить договор с субъектом персональных данных;
- в статистических или научных целях;
- для защиты жизни и здоровья субъекта персональных данных;
- для доставки почтовых отправлений организациями почтовой связи;
- при осуществлении профессиональной журналистской, научной и прочих видов деятельности;
- если информация подлежит опубликованию в соответствии с федеральным законодательством;
- с целью защитить основы конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны и безопасности страны.
Обязанности оператора персональных данных
В соответствии со статьей 18, обязанности оператора включают, в первую очередь, предоставление по просьбе гражданина, информации о его персональных данных. Помимо этого, оператору необходимо разъяснять субъекту персональных данных ряд юридических последствий отказа от предоставления своих персональных данных, если такая обязанность установлена в федеральном законе.
Статьей 20 устанавливаются очень жесткие сроки исполнения запросов от субъектов персональных данных к операторам:
- предоставить данные в течение 10-ти рабочих дней с момента получения запроса;
- выдать мотивированный отказ в течение 7-ми рабочих дней.
Если возникает необходимость устранить нарушения законодательства в сроки, предусмотренные в статье 21 закона, то оператор попадает в еще более строгие условия. Блокировку необходимо осуществить с момента обращения или с момента получения запроса, а устранить нарушения – в течение 3-х рабочих дней. В отдельных случаях оператор обязан уничтожить персональные данные в течение 3х рабочих дней, такими условиям являются:
- невозможность устранить допущенные нарушения;
- достигнута цель обработки персональных данных;
- субъект персональных данных отозвал согласие на обработку своих персональных данных.
Блокировка и уничтожение персональных данных может быть не простым занятием, а иногда и неосуществимым в эксплуатируемых в настоящий период времени информационных системах и базах данных, в которых ранее не была предусмотрена такая возможность. Еще сложнее оператору, если им персональные данные получены не непосредственно от гражданина, а переданы третьим лицом.
