Условия и принципы обработки персональных данных

Вопросы обработки персональных данных особенно актуальны в свете растущего числа персональных данных, которые собираются через сеть Интернет. Это связано в том числе с ростом рынка электронной коммерции, а также со стремлением большинства компаний обеспечить присутствие в сети Интернет. Использование Интернета для коммуникации с потребителями, как правило, подразумевает получение их персональных данных для целей организации доставки товаров или оказания услуг, распространения таргетированной рекламы (то есть сообщений, демонстрируемых строго определенной выборке пользователей), публикации отзывов и так далее. Очевидно, что такие санкции за нарушение законодательства, как блокировки интернет-сайтов, создают серьезные риски для организации, активно использующей Интернет в повседневной хозяйственной деятельности.

В первую очередь следует помнить, что обработка персональных данных допускается при наличии хотя бы одного из условий, предусмотренных в ч. 1 ст. 6 Закона N 152-ФЗ. Наиболее типичными условиями являются: наличие согласия субъекта персональных данных на их обработку (п. 1); обработка необходима для исполнения договора, стороной/выгодоприобретателем в котором является субъект персональных данных (п. 5); а также обработка персональных данных, сделанных общедоступными их субъектом (п. 10).

При этом операторам важно учитывать содержащиеся в ст. 5 Закона N 152-ФЗ принципы обработки, среди которых надо отдельно выделить следующие:

-соответствие обрабатываемых персональных данных, их содержания и объема целям обработки (ч. ч. 4, 5 ст. 5);

-хранение персональных данных не дольше срока, отвечающего целям обработки персональных данных (ч. 7 ст. 5).

Следует обратить внимание, что такие принципы не являются исключительно декларативными. Их нарушение само по себе будет основанием для привлечения к ответственности. Более того, в новой редакции ст. 13.11 КоАП РФ (вступает в силу с 01.07.2017) ч. 1 посвящена случаям нарушений, когда имеет место обработка персональных данных без согласия субъекта или обработка не в соответствии с заявленными целями сбора персональных данных. Для юридических лиц предусмотрен штраф до 50 тыс. руб.

В этом смысле показательным является дело N А 53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 пришел к выводу, что "для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения". В то же время суд счел, что хранение на рабочем месте копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона N 152-ФЗ.

Вышеуказанные принципы могут также приниматься во внимание и в потребительских спорах. Так, в Постановлении Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу N А 56-56137/2013 суд пришел к выводу, что бланк согласия, предложенный потребителю, содержит избыточные персональные данные (такие, как семейное и имущественное положение и т.д.), и признал правомерным привлечение медицинской организации к ответственности по ч. 1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований.

Источник: Консультант Плюс