Вчера мы рассмотрели конклюдентность действий при обработке персданных. Сегодня хочу рассмотреть еще один связанный с этим вопрос, который я также рассматриваю в курсе по персональным данным. Вопрос простой - нужно ли получать согласие субъекта ПДн при наличии договора с ним?
Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных". Ни слова о дополнительном условии в виде явно данного согласия. И это логично. Заключая договор, мы понимаем, что должны указать свои персональные данные. Они являются существенным условием договора. И обработка этих персональных данных нужна именно для целей исполнения договора. Иными словами, предоставляя свои ПДн, мы совершаем конклюдентные действия. Т.е. никакого дополнительного согласия на обработку ПДн, указанных при заключении договора, не требуется.
ЗЫ. Но только для целей исполнения договора. Если оператор передает ПДн третьим лицам, а из договора это не следует, то потребуется явное согласие.
ЗЗЫ. Привлекайте юристов к проектам по персданным ;-)
Миф №_ "Нужно получать согласие субъекта ПДн, даже если у вас есть с ним договор"
ОтветитьУдалитьА если договор затем расторгнут, выполнен, или прекратил действие по истечению срока?
ОтветитьУдалитьА ПД ведь остались...
ПДн подлежат уничтожению, так как достигнута цель обработки
ОтветитьУдалить>ЗЫ. Но только для целейисполнения >договора. Если оператор передает >ПДн третьим лицам, а из договора >это не следует, то потребуется >явное согласие.
ОтветитьУдалить1.Потребуется явное согласие на что??
- обработку оператором ПДн субъекта?
- обработку 3м лицом переданных ему оператором ПДн субъекта??
- передачу оператором ПДн субъекта третьему лицу ?
- или требуется ВСЕ это вместе??
2. Нужно ли дополнительно заключить соглашения с этим 3м лицом о соблюдении им конфиденциальности при обработке переданных ему ПДн?
>ПДн подлежат уничтожению, так как достигнута цель обработки
ОтветитьУдалитьОсобенно этот пункт понравился банкам, поскольку, по закону о банковской деятельности, банки обязаны хранить какое-то время всю информацию о всех своих операциях.
И теперь вопрос, что делать? Стирать все ПДн с болванок с бэкапами за n лет, подчиняясь ФЗ 152, или же подчиниться закону о банковской деятельности и оставить, тем самым нарушив закон о ПДн?
Коллеги, не путайте цель договора и цель обработки ПДн. Они могут и не совпадать. Если в качестве цели обработки я напишу "выполнение требований Трудового Кодекса", то я буду хранить форму Т-2 75 лет и мне будет все равно, что трудовой договор с сотрудником уже расторгнут.
ОтветитьУдалитьа 75 лет - то, это ведь по закону об архивном деле в РФ, которое как известно не попадает в сферу действия ЗоПД.
ОтветитьУдалитьА причем здесь ТК? У ТК как раз цель - трудовые отношения, равно как и у заключаемого по нему трудового договора. И вот они, эти отношения, прекратились, и дальше что?
75 - это по ТК и по ряду других документов. И этот срок никак не привязан к наличию/отсутствию трудового договора.
ОтветитьУдалитьссылку плиз на статью ТК..
ОтветитьУдалитьЧто-то Вы вводите в заблуждение людей, имхо ;-(
ТК РФ Глава 14. Защита персональных данных работника, Статья 87. Хранение и использование персональных данных работников:
ОтветитьУдалить"Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов".
При этом "Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения" утвержден Руководителем Федеральной архивной службы России 6 октября 2000 года в ред. решения Росархива от 27.10.2003).
Более подробно можно посмотреть, например, в статье http://www.ippnou.ru/article.php?idarticle=005149
В чем я ввожу в заблуждение? В том что срок хранения в 75 лет никак не привязан к завершению действия трудового договора?
ОтветитьУдалитьАлексей, не могли бы ВЫ все таки ответить на вопросы заданные мной 3Ноября 2009 г. 9:41 ??
ОтветитьУдалитьцитата: "75 - это по ТК и по ряду других документов". 75 лет хранения ТОЛЬКО по закону об архивном деле.
ОтветитьУдалитьА тем вводите в заблуждение, что хранение в течение 75 лет
ОтветитьУдалитьНЕ есть обработка в той диспозиции, которую определяет 152-ФЗ..
А вот у меня нет сомнений по поводу "75 лет":
ОтветитьУдалить152-ФЗ, ст.3, п.3:
"обработка ПДн - действия ..., включая ... хранение ..."
To Andy_AiF:
ОтветитьУдалитьТогда почитайте
п.2 ч.2 ст.1 152-ФЗ
а заодно и Федеральный закон от 22.10.2004 N 125-ФЗ
"Об архивном деле в Российской Федерации"
Тут есть одна штука, которая интеграторам не видна а банкирам видна
ОтветитьУдалитьНапример клиент открыл депозит и положил 1 000 000. Согласие не брали так как ясно что ПД нужны что бы договор был
а далее его ПД из ИБС перетекают в другую ИС, например в колцентр. Например этого клиента поздравляют по телефону с ДР. И вот тут цель обработки ПД уже явно не РКО.
Так как бизнес-подразделения того же банка открывают новые продукты и плодят новые ИСПДн не особо над этим задумаюсь, то я рекомендую брать согласие ВСЕГДА и на ЛЮБУЮ обработку внутри БАНКа как минимум!
А как на любую, если по закону требуется согласие на обработку для определенных целей? :( ИМХО, согласие на любую обработку неправомочно
ОтветитьУдалитьНеправомочно, если банкам не задекларировать что-то вроде "Осуществление возложенных на кредитную организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России"
ОтветитьУдалитьна вопросы заданные мной 3Ноября 2009 г. 9:41:
ОтветитьУдалить1. 1-я и 3-я операции
2. Нужно
>Алексей Лукацкий
ОтветитьУдалитьна вопросы заданные мной 3Ноября 2009 г. 9:41:
1. 1-я и 3-я операции
2. Нужно
Алексей, а зачем п.1 т.е.
согласие на обработку оператором ПДн субъекта?
Эта обработка происходит по договору!
а вот на передачу есть п.3
- соглашение на передачу оператором ПДн субъекта третьему лицу.
Что-то я потерялся - можно повторить вопрос целиком без отсылок?
ОтветитьУдалить>ЗЫ. Но только для целейисполнения >договора. Если оператор передает >ПДн третьим лицам, а из договора >это не следует, то потребуется >явное согласие.
ОтветитьУдалить1.Потребуется явное согласие на что??
- обработку оператором ПДн субъекта?
- обработку 3м лицом переданных ему оператором ПДн субъекта??
- передачу оператором ПДн субъекта третьему лицу ?
- или требуется ВСЕ это вместе??
2. Нужно ли дополнительно заключить соглашения с этим 3м лицом о соблюдении им конфиденциальности при обработке переданных ему ПДн?
Ваш ответ
1. 1-я и 3-я операции
2. Нужно
Вопрос
Алексей, а зачем нужна 1-ая операция
-согласие на обработку оператором ПДн субъекта
если есть договор?
а вот на передачу (т.е 3я операция)согласие нужно, правильно?
Верно, не нужно.
ОтветитьУдалить