Каков порядок уничтожения персональных данных?

Содержание

8(499)938-71-68

Уничтожение персональных данных | Статьи | Журнал «Кадровое дело»

Каков порядок уничтожения персональных данных?

Персональные данные работников относятся к той категории информации, которая должна не только храниться должным образом, но и уничтожаться, если в ней отпадает необходимость. Данный процесс гарантирует, что после окончания делового сотрудничества важные сведения не попадут в руки стороннего лица и не будут использованы во вред бывшему сотруднику, клиенту или партнеру организации.

Из представленной статьи вы узнаете:

  • в каких случаях необходимо уничтожить персональных данных;
  • каков порядок уничтожения персональных данных;
  • когда должно происходить уничтожение персональных данных;
  • как уничтожаются персональные данные;
  • образец акта об уничтожении персональных данных.

В каких случаях необходимо уничтожить персональных данных?

Уничтожать персональные данные одна из сторон сотрудничества должна в том случае, когда в текущей информации она уже не нуждается.

Такие ситуации возникают, когда, к примеру, компании перестают предоставлять определенные услуги своим клиентам или увольняется кто-либо из сотрудников учреждения.

В обязанности руководителя организации входит забота о том, чтобы персональные данные лиц, с которыми ранее он сотрудничал, не могли быть использованы в корыстных целях.

Все оригиналы ранее принятых в использование документов отдаются гражданину на руки, а копии (бумажные и цифровые) удаляются после определенного срока хранения.

Порядок уничтожения персональных данных

Порядок уничтожения персональных данных должен соответствовать установленным законом правилам и порядкам:

  • после процесса уничтожения информация не должна иметь возможность быть восстановленной;
  • содержать документальное сопровождение, подтверждающее право на уничтожение;
  • процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев;
  • под уничтожение не должны попадать источники с актуальной информацией, которую еще предполагается использовать в работе;
  • после завершения процедуры создается специальный нормативный акт, подписываемый членами комиссии и руководителем предприятия.

Уничтожение персональных данных начинается с выпуска специального акта, подписываемого обеими сторонами сотрудничества. Данная процедура проводится в помещении при надзоре специальной комиссии, в чьи права подпадает осуществление контроля за правильностью уничтожения. Когда ликвидация данных проведена, комиссия издает специальный акт, выдаваемый на подписание директору компании.

Узнайте о  персональных данных: образце согласия на обработку персональных данных

Когда должно происходить уничтожение персональных данных?

Согласно Положению о порядке уничтожения персональных данных, утвержденном Федеральным Законом № 149 от 27.07.2006г.

, процесс уничтожения персональной информации должен проводиться не позднее 30-дневного срока после того, как актуальность данных сведения утратила свою полезность. При этом специальная комиссия утверждает перечень подлежащей ликвидации документации соответствующим актом.

Исправления в акте не допустимы, но если имеется необходимость уточнить какие-либо пункты, то необходимо составить дополнение, где и будут прописаны уточняющие факты.

Как уничтожаются персональные данные?

Если информация присутствует на бумажном носителе, то допускается уничтожать ее посредством сжигания или размельчения на мелкие частицы. При этом необходимо помнить, что части не должны подлежать восстановлению, за что несут ответственность члены специально составленной комиссии.

Если персональные данные располагаются на машиночитаемом носителе, то файлам необходимо так же нанести непоправимый вред, что позволит минимизировать возможность их восстановления. Такой результат можно достичь путем сжигания или деформирования носителя с последующей его полной ликвидацией.

Персональные сведения клиентов, подчиненных или деловых партнеров, располагаемые на компьютерных носителях, удаляются путем проведения специальных процедур в операционной системе (удаление не в корзину, а полное – с жесткого диска).

Образец акта об уничтожении персональных данных

После того, как комиссией и ответственными сотрудниками была проведена соответствующая процедура, составляется специальный акт, регламентирующий правильность совершенной операции ликвидации сведений. Документ отправляется на утверждение непосредственному руководителю организации с обязательным указанием следующей информации:

  • когда было проведено уничтожение;
  • кто несет ответственность за верность процедуры;
  • количество и виды уничтоженных носителей;
  • каково было основание для уничтожения;
  • какой применялся способ.

Руководитель организации вправе провести самостоятельную оценку результатов ликвидации источников информации и в тех случаях, когда он посчитает нужным, допускается провести дополнительные процедуры по затиранию или сжиганию персональных данных.

Рекомендуем материалы по теме:

Источник: https://www.kdelo.ru/art/383867-qqq-16-m11-unichtojenie-personalnyh-dannyh

Персональные данные: уничтожение персональных данных

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях. Читайте в статье об основаниях, сроках и порядке уничтожения.

Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанаваливает ряд обязанностей оператора в отношении:

  • сбора данных,
  • использования,
  • хранения,
  • защиты и т. д

В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.

Для уничтожения персональных данных есть четыре основания

Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал.

В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.

Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировтаь данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

  1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
  2. Компания выявила, что данные обрабатываются неправомерно (ч. 3 ст. 21 закона № 152-ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
  3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
  4. Владелец данных отозвал согласие на обработку информации о себе (ч. 5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть два исключения, при которых уничтожение персональных данных можно не проводить:

  1. Если иное условие присутствуе в договоре между компанией и субъектом данных.
  2. Если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.

Компании нужно соблюдать порядок уничтожения персональных данных

Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:

  1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно в ходит в функции комисии (определить, какие персональные данные подлежат уничтожению и т. п.)
  2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
  3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.

Срок уничтожения персональных данных зависит от причины уничтожения

Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:

  1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
  2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
  3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
  4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.

Источник: https://www.law.ru/article/21816-unichtojenie-personalnyh-dannyh

Порядок уничтожения и уточнения персональных данных из информационных систем персональных данных

Порядок уничтожения и уточнения персональных данных из информационных систем персональных данных

В случае достижения цели обработки персональных данных администратор прекращает обработку персональных данных и уничтожает их в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных.

Уведомление о факте уничтожения персональных данных субъекта высылается только при получении обращения от субъекта или запросе от уполномоченного органа по защите прав субъектов персональных данных.

Рассмотрим более подробно цель обработки персональных данных, которая является одним из существенных элементов письменного согласия.

Напомним, что существенными элементами письменного согласия субъекта персональных данных на обработку своих персональных данных являются:

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Цель обработки персональных данных определяется и прописывается в согласии субъекта персональных данных, и указанная цель, несомненно, должна совпадать с целью обработки персональных данных оператором, указанной в уведомлении об обработке персональных данных, направленном в Роскомнадзор.

Часто цель обработки персональных данных в договоре с субъектом выглядит как «в целях заключения и реализации Договора», что приводит к коллизиям.

То есть, в ряде случаев, например, при страховании, день окончания договора может и не являться датой достижения цели обработки персональных данных в связи с тем, что, например, обращение по договору страхования может произойти и после окончания договора, – по страховому случаю, которое произошло во время действия договора.

Кроме того, существуют и другие факторы, например: сроки ремонта автомобиля, длительность возможного судебного процесса и др. Однако, сроки хранения персональных данных в ИСПДн будут определяться в соответствии с указанной в согласии целью обработки персональных данных, то есть до дня окончания договора.

В случае использования формулировки «в целях заключения и реализации Договора» оператор обязан удалить персональные данные из всех ИСПДн после дня окончания договора. Всю дальнейшую обработку персональных данных можно проводить после получения согласия субъекта на обработку своих персональных данных.

Существенным условием согласия на обработку персональных данных является срок, в течение которого действует согласие, а также порядок его отзыва.

Приведем пример срока, в течение которого действует согласие: «Страховщик может осуществлять обработку моих персональных данных в течение действия Договора страхования и в течение 5 (пяти) лет после его прекращения».

Исходя из пункта 4 статьи 21 Закона, включение в согласие на обработку персональных данных срока заведомо большего, чем определяет цель обработки данных, не может служить основанием не уничтожения персональных данных. Персональные данные должны быть уничтожены.

Другое дело, если после окончания договора будет заключен новый договор; в этом случае при не обновлении согласия через пять лет должен вступить в силу пункт 5 статьи 21 Закона об отзыве субъектом персональных данных, то есть персональные данные также подлежат уничтожению, но по другому основанию.

Как рекомендация к вышесказанному является пожелание более продуманного описания цели обработки данных в договорах.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Юрист направляет его Администратору, который прекращает обработку персональных данных путем блокирования и, если иное не предусмотрено договором, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва. Об уничтожении персональных данных Юрист уведомляет субъекта персональных данных.

В случае отзыва субъектом персональных данных согласия, законодатель дает возможность продолжения обработки персональных данных оператору в случае выполнения им целей обработки персональных данных. Порядок отзыва согласия носит уведомительный характер и может включать как весь перечень персональных данных, так и избирательный (например, только номер телефона).

Необходимо дополнить, что в сроки отведенных регулятором по прекращению обработки персональных данных, оператор обязан обеспечить их прекращение и другими лицами, обрабатывающих персональные данные по поручению оператора.

6. МЕХАНИЗМ КОНТРОЛЯ

По всем уточнениям, уничтожению персональных данных составляется акт, подписанный юристом, администратором и администратором безопасности. По результатам выполненных работ подготавливаются уведомления:

  • Уведомление о внесении изменений в персональные данные.
  • Уведомление об устранении нарушений в порядке обработки персональных данных.
  • Уведомление об уничтожении персональных данных.

ЗАКЛЮЧЕНИЕ

Порядок действий оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению и уничтожению персональных данных не так однозначен.

Наибольшую неопределенность вызывает вопрос уничтожения персональных данных. Это связано как с большим разнообразием бумажных, электронных документов, так и наличием широкого спектра законодательных актов по их хранению и обработке.

Кроме того, необходимо помнить, что уничтожение данных приводит к их безвозвратной потере.

Трудности при определении срока хранения персональных данных остаются, и это связано не только с наличием большого перечня существенных условий в согласии субъекта на обработку персональных данных, но и необходимости учета федерального законодательства.

Изменение законодателем сроков устранения нарушений законодательства, допущенных при обработке персональных данных, в большую сторону, позволит оператору выполнять требования регулятора только при отлаженном, регламентированном процессе устранения нарушений. При этом выполнения одних организационных мер  недостаточно – требуется доработка всех программных систем по обеспечению заданных сроков хранения персональных данных путем их своевременного блокирования и последующего уничтожения.

Источник: http://www.vipstd.ru/nauteh/index.php/---ep13-03/817

Хранение и обработка персональных данных. Инструкция

Хранение и обработка персональных данных. Инструкция

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна.

 Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору.  Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию —  более объемной.

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному.

В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия.

Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена.

При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно.

Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.    

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке.

Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником.

В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность.

В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные.

Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок.  Само уведомление заполнить несложно. Его форму можно найти здесь. (ссылка на  ).

В каких случаях можно не уведомлять Роскомнадзор:

  1. При обработке персональных данных работников организации
  2. Если персональные данные включают только  фамилии, имена и отчества субъектов персональных данных.
  3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора.  Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.  
  4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать здесь). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.     

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.  Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.  Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы  идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных (скачать образец)
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.  

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение  и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Источник: https://hrdco.org/manual/hranenie-i-obrabotka-personalnyh-dannyh-instruktsiya/

О рекомендациях по применению фз «о персональных данных»

Проблемам применения ФЗ «О персональных данных» (далее – Закон) было посвящено много публикаций, прошла уже не одна конференция. Вместе с тем, приходится констатировать, что проблемы не разрешены, а участники отношений, регулируемых данным Законом, не обладают точной информацией о порядке его применения и исполнения, в том числе – выполнения возложенных на них обязанностей.

К числу таких участников относятся и кредитные организации, специфика деятельности которых требует большего внимания законодателя, когда речь идет о регулировании отношений, связанных с обработкой персональных данных. Хотя во многом проблематика будет актуальна и для иных субъектов, например, страховых компаний.

Однако об этом, а также о существующих проектах по изменению Закона можно прочитать отдельно [1].

Изменение Закона, причем кардинальное, необходимо. Однако в настоящее время каждый день следует исполнять этот Закон, поскольку он действует.

И в этой связи принципиально важной следует признать работу по выработке общих подходов к решению существующих проблем применения Закона.

Положительным примером такой деятельности следует признать организацию Ассоциацией российских банков Консультационнного центра по проблемам применения Закона [2].

В настоящее время подготовлено и размещено на сайте АРБ уже четыре информационных письма, посвященных отдельным проблемам применения законодательства о персональных данных. Вместе с тем, по ряду вопросов трудно согласиться с авторами указанных писем.

В Информационном письме № 3 «О порядке хранения, архивирования и уничтожения информации о персональных данных в ИСПДн банков» в п.

3 указано следующее: «При уничтожении ПДн клиентов необходимо учитывать требования законодательства, в частности, сроки взаимной исковой давности, ФЗ-152 и др.

До уничтожения данных, если срок их хранения будет превышать предусмотренный ФЗ-152, персональные данные могут блокироваться».

Указанное положение представляется слишком вольной трактовкой Закона. Под блокировкой понимается, согласно п. 6 ст.3 Закона, временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Между тем, необходимость хранения данных сверх срока, предусмотренного Законом, заключается в том, что данные, хранимые в силу требований иных нормативных актов, касающихся, например, архивного хранения, могут быть востребованы. Смысл же блокировки, как видно, иной.

Кроме того, из тех норм Закон, где регулируется действия по блокировке, предлагаемого варианта поведения совершенно не следует [3].

В большей степени вопросы возникают относительно Информационного письма № 4 «О частных случаях порядка применения ст. 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональьных данных». Данное письмо посвящено одному из наиболее спорных вопросов применения Закона – получению согласия субъекта персональных данных.

Предлагаемые рекомендации должны предоставлять какой-то однозначный, соответствующим образом мотивированный вариант поведения. Между тем, абсолютно верно указывая в п.

1 письма, что в случае заключения договора между банком и физическим лицом не требуется получать согласие последнего в силу п. 2 ч. 2 ст.

6 Закона, авторы письма далее пишут, что на практике банки все равно по ряду причин предпочитают получить такое согласие.

Банки абсолютно правы в своих действиях, поскольку неточности и недоработки Закона не позволяют пользоваться этой “льготой”, но в чем же тогда ценность данной рекомендации?

Такой же характер рекомендации содержится и в п. 2 письма, где рассматривается вопрос о необходимости получения согласий от предпринимателей и должностных лиц организаций. Правильно ссылаясь на п. 3 ч. 2 ст.

1 Закона, которым установлено, что действие закона не распространяется на отношения по обработке персональных данных предпринимателей, подлежащих включению в госреестр, где также находятся и сведения о должностных лицах организаций, в связи с чем они являются общедоступными, авторы письма указывают, что банки все равно берут согласия у указанных лиц.

Банки вновь делают все правильно, поскольку не все необходимые им сведения и не все должностные лица организаций указаны в госреестре, но в чем же вновь ценность рекомендации?

Следует выразить категорическое несогласие с п. 4 письма.

Здесь утверждается, что не требуется получать согласие третьих лиц при заключении договоров в их пользу, «поскольку третье лицо (выгодоприобретатель) не является стороной договора» и соответствущие права третье лицо получит в порядке, предусмотренном статьями 430 и 842 ГК РФ. Но ведь это противоречит уже рассмотренному п.

1 письма, где со ссылкой на Закон было правильно отмечено, что согласие субъекта персональных данных не требуется, в частности, в случае когда обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Третье лицо действительно не является стороной договора, и именно поэтому требуется его согласие при обработке его персональных данных.

Предложенная идея о том, что в этом случае ответственность на себя берет лицо, заключающее договор с банком, во-первых, не находит подтверждения в Законе, а во-вторых – неинтересна банку, поскольку ответственность за нарушение Закона банк будет нести в любом случае, если не выполнит требования, содержащиеся в ч. 3 ст. 18 Закона, о предоставлении третьему лицу установленной информации (о себе, о целях обработки и пр.), что осуществить часто просто невозможно.

Неверное толкование п. 2 ч. 2 ст. 6 Закона привело к неточному обоснованию в целом верного ответа в п.

5 письма: «В случаях, когда по заключенному договору разовые платежи осуществляются третьими лицами в целях его исполнения, согласия третьего лица на обработку его ПДн также не требуется, что вытекает из п. 2 ч. 2 ст. 6 ФЗ-152». В данном случае ссылка на п. 2 ч. 2 ст.

6 Закона относится не к заключенному договору, во исполнение которого третье лицо производит платежи, а к самому платежу третьего лица. Указанный платеж представляет собой перевод денежных средств по поручению физического лица без открытия банковского счета.

Выполнение такой операции, как известно, предусмотрено ст. 5 ФЗ «О банках и банковской деятельности», п. 1.2. Положения ЦБ РФ от 1.04.2003 № 222-П «О порядке осуществления безналичных расчетов физическими лицами в Российской Федерации». Нормы гражданского законодательства, в частности ст.

434 ГК РФ, позволяют заключать договор в любой форме, если это не противоречит закону. Таким образом, между третьим лицом и банком возникают договорные отношения, предметом которых является осуществление указанного платежа, а, следовательно, именно поэтому не требуется получать согласие третьего лица.

Полагаю, что такое критическое осмысление данной, однозначно положительной деятельности АРБ, должно принести пользу для выработки и систематизации мнений относительно разрешения проблем применения ФЗ «О персональных данных».

[1] См., напр.: Кукушкин В. Проблемы применения законодательства о персональных данных в банковской деятельности // Хозяйство и право. 2011. № 4. С. 79.

[2] http://www.arb.ru/site/action/list_news.php?id=4169.

[3] Это можно увидеть, проанализировав п.3 и п. 6 ст. 3, п. 1 и п. 4 ст. 19, п. 3 ст. 20, п. 1 и п. 2 ст. 21, п.п. 3 п. 2 ст. 23 Закона.

Источник: http://bankir.ru/publikacii/20110518/o-rekomendaciyah-po-primeneniu-fz-o-personalnih-dannih-9858128/

Добавить комментарий