В последнее время много внимания удаляется защите персональных данных, в частности в 2017 г. ужесточили меры по соблюдению соответствующего законодательства. Мы попросили наших экспертов рассказать, в чем они видят проблемы и коллизии правового регулирования защиты персональных данных, с какими нарушениями в этой сфере приходится чаще всего сталкиваться на практике, а также какие нюансы обязательно следует учесть при разработке локальных актов на предприятии, направленных на защиту, обработку и хранение персональных данных.
— Одну из наибольших сложностей до сих пор вызывает вопрос о необходимости получения согласия на обработку персональных данных. Нормы Федерального закона «О персональных данных» сформулированы таким образом, что не всегда можно сразу понять, нужно получать согласие для обработки персональных данных либо нет, и если нужно, то в какой форме. Более того, из многих положений существуют исключения. Например, не нужно получать согласие, когда персональные данные обрабатываются в связи с заключением и исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Но если оператор захочет поручить обработку персональных данных другому лицу, то на это уже нужно получить отдельное согласие.
Согласно п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» оператор (т.е. лицо, осуществляющее обработку персональных данных), являющийся юридическим лицом, издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных. В первую очередь в локальном акте следует определить цели сбора персональных данных, поскольку обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
В соответствии с определенными целями указываются объем и категории обрабатываемых персональных данных, а также категории субъектов персональных данных. Например, в качестве субъектов персональных данных работодатель может указать работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников. Согласно рекомендациям Роскомнадзора целесообразно включить формы запросов/обращений субъектов персональных данных по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным.