3.11.09

Нужно ли согласие субъекта ПДн, если у вас есть с ним договор

Вчера мы рассмотрели конклюдентность действий при обработке персданных. Сегодня хочу рассмотреть еще один связанный с этим вопрос, который я также рассматриваю в курсе по персональным данным. Вопрос простой - нужно ли получать согласие субъекта ПДн при наличии договора с ним?

Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных". Ни слова о дополнительном условии в виде явно данного согласия. И это логично. Заключая договор, мы понимаем, что должны указать свои персональные данные. Они являются существенным условием договора. И обработка этих персональных данных нужна именно для целей исполнения договора. Иными словами, предоставляя свои ПДн, мы совершаем конклюдентные действия. Т.е. никакого дополнительного согласия на обработку ПДн, указанных при заключении договора, не требуется.

ЗЫ. Но только для целей исполнения договора. Если оператор передает ПДн третьим лицам, а из договора это не следует, то потребуется явное согласие.

ЗЗЫ. Привлекайте юристов к проектам по персданным ;-)

24 коммент.:

Анонимный комментирует...

Миф №_ "Нужно получать согласие субъекта ПДн, даже если у вас есть с ним договор"

Анонимный комментирует...

А если договор затем расторгнут, выполнен, или прекратил действие по истечению срока?
А ПД ведь остались...

Анонимный комментирует...

ПДн подлежат уничтожению, так как достигнута цель обработки

Анонимный комментирует...

>ЗЫ. Но только для целейисполнения >договора. Если оператор передает >ПДн третьим лицам, а из договора >это не следует, то потребуется >явное согласие.

1.Потребуется явное согласие на что??
- обработку оператором ПДн субъекта?
- обработку 3м лицом переданных ему оператором ПДн субъекта??
- передачу оператором ПДн субъекта третьему лицу ?
- или требуется ВСЕ это вместе??

2. Нужно ли дополнительно заключить соглашения с этим 3м лицом о соблюдении им конфиденциальности при обработке переданных ему ПДн?

Александр Шелипов комментирует...

>ПДн подлежат уничтожению, так как достигнута цель обработки

Особенно этот пункт понравился банкам, поскольку, по закону о банковской деятельности, банки обязаны хранить какое-то время всю информацию о всех своих операциях.
И теперь вопрос, что делать? Стирать все ПДн с болванок с бэкапами за n лет, подчиняясь ФЗ 152, или же подчиниться закону о банковской деятельности и оставить, тем самым нарушив закон о ПДн?

Алексей Лукацкий комментирует...

Коллеги, не путайте цель договора и цель обработки ПДн. Они могут и не совпадать. Если в качестве цели обработки я напишу "выполнение требований Трудового Кодекса", то я буду хранить форму Т-2 75 лет и мне будет все равно, что трудовой договор с сотрудником уже расторгнут.

Анонимный комментирует...

а 75 лет - то, это ведь по закону об архивном деле в РФ, которое как известно не попадает в сферу действия ЗоПД.
А причем здесь ТК? У ТК как раз цель - трудовые отношения, равно как и у заключаемого по нему трудового договора. И вот они, эти отношения, прекратились, и дальше что?

Алексей Лукацкий комментирует...

75 - это по ТК и по ряду других документов. И этот срок никак не привязан к наличию/отсутствию трудового договора.

Анонимный комментирует...

ссылку плиз на статью ТК..
Что-то Вы вводите в заблуждение людей, имхо ;-(

Анонимный комментирует...

ТК РФ Глава 14. Защита персональных данных работника, Статья 87. Хранение и использование персональных данных работников:
"Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов".
При этом "Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения" утвержден Руководителем Федеральной архивной службы России 6 октября 2000 года в ред. решения Росархива от 27.10.2003).
Более подробно можно посмотреть, например, в статье http://www.ippnou.ru/article.php?idarticle=005149

Алексей Лукацкий комментирует...

В чем я ввожу в заблуждение? В том что срок хранения в 75 лет никак не привязан к завершению действия трудового договора?

Анонимный комментирует...

Алексей, не могли бы ВЫ все таки ответить на вопросы заданные мной 3Ноября 2009 г. 9:41 ??

Анонимный комментирует...

цитата: "75 - это по ТК и по ряду других документов". 75 лет хранения ТОЛЬКО по закону об архивном деле.

Анонимный комментирует...

А тем вводите в заблуждение, что хранение в течение 75 лет
НЕ есть обработка в той диспозиции, которую определяет 152-ФЗ..

Andy_AiF комментирует...

    А вот у меня нет сомнений по поводу "75 лет":
152-ФЗ, ст.3, п.3:
"обработка ПДн - действия ..., включая ... хранение ..."

Анонимный комментирует...

To Andy_AiF:

Тогда почитайте
п.2 ч.2 ст.1 152-ФЗ
а заодно и Федеральный закон от 22.10.2004 N 125-ФЗ
"Об архивном деле в Российской Федерации"

Анонимный комментирует...

Тут есть одна штука, которая интеграторам не видна а банкирам видна
Например клиент открыл депозит и положил 1 000 000. Согласие не брали так как ясно что ПД нужны что бы договор был
а далее его ПД из ИБС перетекают в другую ИС, например в колцентр. Например этого клиента поздравляют по телефону с ДР. И вот тут цель обработки ПД уже явно не РКО.
Так как бизнес-подразделения того же банка открывают новые продукты и плодят новые ИСПДн не особо над этим задумаюсь, то я рекомендую брать согласие ВСЕГДА и на ЛЮБУЮ обработку внутри БАНКа как минимум!

kreol комментирует...

А как на любую, если по закону требуется согласие на обработку для определенных целей? :( ИМХО, согласие на любую обработку неправомочно

Алексей Лукацкий комментирует...

Неправомочно, если банкам не задекларировать что-то вроде "Осуществление возложенных на кредитную организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России"

Алексей Лукацкий комментирует...

на вопросы заданные мной 3Ноября 2009 г. 9:41:
1. 1-я и 3-я операции
2. Нужно

Dan комментирует...

>Алексей Лукацкий
на вопросы заданные мной 3Ноября 2009 г. 9:41:
1. 1-я и 3-я операции
2. Нужно

Алексей, а зачем п.1 т.е.
согласие на обработку оператором ПДн субъекта?
Эта обработка происходит по договору!
а вот на передачу есть п.3

- соглашение на передачу оператором ПДн субъекта третьему лицу.

Алексей Лукацкий комментирует...

Что-то я потерялся - можно повторить вопрос целиком без отсылок?

Dan комментирует...

>ЗЫ. Но только для целейисполнения >договора. Если оператор передает >ПДн третьим лицам, а из договора >это не следует, то потребуется >явное согласие.

1.Потребуется явное согласие на что??
- обработку оператором ПДн субъекта?
- обработку 3м лицом переданных ему оператором ПДн субъекта??
- передачу оператором ПДн субъекта третьему лицу ?
- или требуется ВСЕ это вместе??

2. Нужно ли дополнительно заключить соглашения с этим 3м лицом о соблюдении им конфиденциальности при обработке переданных ему ПДн?

Ваш ответ
1. 1-я и 3-я операции
2. Нужно

Вопрос
Алексей, а зачем нужна 1-ая операция
-согласие на обработку оператором ПДн субъекта
если есть договор?

а вот на передачу (т.е 3я операция)согласие нужно, правильно?

Алексей Лукацкий комментирует...

Верно, не нужно.