Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Энциклопедия решений. Принципы обработки персональных данных (ноябрь 2024)
Принципы обработки персональных данных
Принципы обработки персональных данных закреплены в ст. 5 Закона N 152-ФЗ.
1. Обработка персональных данных должна осуществляться на законной и справедливой основе
Законность обработки персональных данных означает прежде всего, что должно иметь место одно из правовых оснований такой обработки, указанное в законе, поскольку по общему правилу обработка персональных данных в отсутствие легитимного основания запрещена.
Справедливость обработки персональных данных предполагает необходимость учета интересов субъектов персональных данных и их разумных ожиданий, недопустимость злоупотребления оператором возникшими у него правами, связанными с обработкой персональных данных.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных
Данный принцип направлен на обеспечение предсказуемости процессов обработки персональных данных для их субъектов, возможности реализации ими своих прав по управлению этими данными. Содержание рассматриваемого принципа включает в себя три составляющих:
- цели обработки персональных данных должны быть конкретно определены и доведены до сведения субъекта персональных данных на начальном этапе сбора конфиденциальной информации;
- данные цели должны быть законными;
- последующие действия с персональными данными должны быть совместимыми с целью обработки, заявленной на момент сбора этих данных. Например, если заявленной целью видеонаблюдения в организации является обеспечение безопасности, а впоследствии видеозапись используется для привлечения работника к дисциплинарной ответственности за отсутствие на рабочем месте более четырех часов, то имеет место несовместимость целей обработки персональных данных работников.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой
Этот принцип нашел отражение и в п. 5 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687, где указано, что при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки
Суть данного принципа состоит в том, что обработка конфиденциальной информации должна быть ограничена лишь теми данными, которые минимально необходимы для достижения заявленных целей обработки. Этот принцип основан на постулате, что чем меньше информации будет иметь оператор для реализации своих целей, тем больше минимизированы риски для субъекта персональных данных в случае утечки его данных или неправомерных действий с ними.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При этом законодатель не определяет критериев подобной избыточности. Однако по смыслу Закона N 152-ФЗ можно сделать вывод, что обработка избыточных персональных данных означает превышение объема обработки персональных данных, установленного законом или договором. Так, например, управление Роскомнадзора при проведении проверки соблюдения требований законодательства в сфере защиты персональных данных пришло к обоснованному выводу, что оператор производит обработку избыточных персональных данных по сравнению с теми, которые определены к заявленным целям их обработки для прохождения регистрации на Едином портале государственных услуг, поскольку нормы права не обязывают при выдаче кода активации обратившемуся лицу истребовать у него паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства) (см. постановление Четырнадцатого ААС от 25.04.2013 N 14АП-2080/13).
И, напротив, если какие-либо правовые акты предусматривают необходимость получения оператором тех или иных сведений о субъекте, то их сбор и последующая обработка не могут квалифицироваться как избыточные. Так, например, в абз. 2 п. 6.1 Указания Банка России от 11.03.2014 N 3210-У "О порядке ведения кассовых операций юридическими лицами и упрощенном порядке ведения кассовых операций индивидуальными предпринимателями и субъектами малого предпринимательства" указано, что кассир выдает получателю наличных денег истребуемую сумму только после проведения его идентификации по предъявленному им паспорту или другому документу, удостоверяющему личность в соответствии с требованиями законодательства РФ, либо по предъявленным получателем наличных денег доверенности и документу, удостоверяющему личность. За несоблюдение установленного порядка ведения кассовых операций юридическое лицо может быть привлечено к административной ответственности (ст. 15.1 КоАП РФ). В связи с этим продавец при возврате уплаченной за товар денежной суммы вправе требовать у покупателя документ, удостоверяющий личность, хоть прямо такая обязанность не предусмотрена ни в ГК РФ, ни в Законе РФ от 07.02.1992 N 2300-1 "О защите прав потребителей" (см. постановление Верховного Суда РФ от 15.06.2015 N 25-АД15-3; апелляционное определение Павлово-Посадского городского суда Московской области от 22.11.2013 по делу N 11-37/2013; решение Ленинского районного суда г. Чебоксары Чувашской Республики - Чувашии от 26.01.2015 по делу N 12-39/2015.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных
Точность предполагает недопустимость искажения персональных данных граждан, т.к. недостоверные сведения могут нарушать права и законные интересы физического лица.
Персональные данные считаются достаточными, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Например, персональные данные, собранные после подведения итогов переписи населения, являются неактуальными, поскольку были собраны несвоевременно и утратили свою значимость по отношению к целям обработки.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Так, например, прекращение трудовых отношений с работником формально является основанием для прекращения обработки его персональных данных работодателем. Однако пп. 5 п. 3 ст. 24 НК РФ установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Следовательно, в течение этого времени работодатель должен хранить персональные данные уволенных работников в том объеме, в котором это необходимо для исполнения налоговой обязанности.
Если же срок хранения персональных данных федеральным законом не предусмотрен, то правовое значение будут иметь условия договора либо локального акта оператора, разработка которого является его прямой обязанностью.
В тех случаях, когда обработка персональных данных предусматривает несколько целей, то обязанность по уничтожению и обезличиванию персональной информации возникает у оператора по достижению каждой из них.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах