Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Что делать, если субъект отказывается давать разрешение на обработку своих ПДн, ... бывают и такие неадекватные субъекты, сам сегодня столкнулся
Коллеги, такая ситуация.
У нас ВУЗ, вся информация о студентах (паспортные данные, успеваемость, оплата обучения) хранится в базе данных. Так вот у нас появился субъект, который крайне несогласен с автоматизированной обработкой своих персональных данных, о чем нас и уведомил.
Честно говоря, не знаю, что с ним делать - технология обучения у нас полностью построена на компьютерной обработке ПДн. Вручную обрабатывать его ПДн слишком дорого (надо озадачивать дополнительной работой людей, вводить дополнительные ставки). Объясняем ему, что вынуждены будем разорвать с ним договор - обещает пойти в суд (и скорее всего пойдет). Никто с таким не сталкивался?
Ну у вас ведь должен быть договор с ним. А в Статье 6, пункт 2 сказано:

Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1)...

2)обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
Цитата
Денис пишет:

Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1)...

2)обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
То есть, в рамках исполнение договора мы имеем право обрабатывать ПДн субъекта (в том числе и автоматизированными методами) независимо от мнения субъекта? Даже если он завалит нас и Роскомнадзор письмами о своем несогласии?
Цитата
Stas пишет:
То есть, в рамках исполнение договора мы имеем право обрабатывать ПДн субъекта (в том числе и автоматизированными методами) независимо от мнения субъекта? Даже если он завалит нас и Роскомнадзор письмами о своем несогласии?
вот тут рядом юрист сидит... говорит что такой договор можно и опротестовать в суде... так как законодательством утверждён перечень документов которые абитурьент должен сдать... но вроде ничего нету об обязательно обработке в электронном виде... типа вы ущемляете его права, дескриминируете... отказывая ему в обучении из-за "ваших хотелок"

мде... засада...

пойдитесь по ФЗ на основании которых вы работаете, уставным документам, приказам... может там есть на что ссылаться...
хотя завалить письмами, и опротестовать может в любом случае... вопрос выиграите в суде или нет
Цитата
Stas пишет:
Так вот у нас появился субъект, который крайне несогласен с автоматизированной обработкой своих персональных данных, о чем нас и уведомил.
Так вы наверное просили признать его персональные данные общедоступными, т.е. 4-ой категории?
В этом случае он имеет полное право отказаться, и вам необходимо защищать его ПДн по полной программе. И в законе не указан тип обработки, он либо соглашается на обработку любыми методами (при условии защиты его интересов(данных)), либо не соглашается на обработку... в этом случае все его ПДн должны быть удалены из систем (уничтожены), если иное не предусмотрено законами.
Цитата
Гость пишет:
Так вы наверное просили признать его персональные данные общедоступными, т.е. 4-ой категории?
Ничего такого мы не просили, мы не собираемся пользуясь юридической неграмотностью человека выбить из него согласие на безконтрольное распоряжение его ПДн. Просто просили разрешение на автоматизированную обработку его ПДн и хранение их в электронном виде сроком до 75 лет (срок хранения бумажных архивов). К нам в день обращается по нескольку человек с просьбой выдать справку о том, что они когда-то учились или работали у нас. Согласитесь по электронной базе такую справку выдать гораздо быстрее, чем рыться в бумажном архиве. Даже если нужен будет доступ к бумажному личному делу, то по базе найти место его хранения гораздо быстрее, чем вручную
Цитата
Дмитрий пишет:
типа вы ущемляете его права, дескриминируете... отказывая ему в обучении из-за "ваших хотелок"
Ну тогда можно пересчитать ему стоимость обучения, исходя из себестоимости ручной обработки его ПДн.
Цитата
Stas Lutatovsky пишет:
Ну тогда можно пересчитать ему стоимость обучения, исходя из себестоимости ручной обработки его ПДн
точно! :-D
.....То есть, в рамках исполнение договора мы имеем право обрабатывать ПДн субъекта (в том числе и автоматизированными методами) независимо от мнения субъекта? Даже если он завалит нас и Роскомнадзор письмами о своем несогласии?....

Свое мнение в части обработки своих ПДн субъект дает в письменном согласии, в котором в том числе указывается цель обработки ПДн, перчень действий, на совершение которых дается согласие, общее описание используемых оператором способов обработки (т.е. автоматизированная, не автоматизировання...). Поэтому давая согласие , он имеет право сам выбирать как обрабатывать ПДн. Как писал выше в случае исполнения договора такое согласие не требуется! Т.е. вы имеете право обрабатывать ПДн субъекта , об ограничениях в способах и видах обработки в законе ничего нет! Вроде бы все отлично, но!

Далее, нужно понимать какие данные вы обрабатываете (категорию). Потому как если вы обрабатываете данные специальной категории, то согласие все-равно надо будет получать, не взирая на то, что у вас договор. И опять приходим, что субъект сам укажет что и как он разрешает обрабатывать.

Также надо определиться какая же у Вас все-таки обработка - автоматизированная или нет, т.к. согласно ПП-687:
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Т.е. просто хранение в БД ПДн не является автоматизированной обработкой.

Вообще еще раз посмотрите 152-ФЗ и Постановление правительства №687 - может что-то прояснится лучше.
Изменено: Денис - 16.09.2009 12:17:12
Цитата
Денис пишет:
Т.е. просто хранение в БД ПДн не является автоматизированной обработкой.
Если Вы докажете в суде, что не пользуетесь ПДн, находящимися в БД, а просто они там существуют в виде абстрактной информации, которую по халатности кто-то забыл стереть, то, так и быть, Роскомнадзор Вам поверит :)
Но если Вы по нескольку раз на дню вносите ПДн в БД, редактируете, сортируете их и делаете выборки, то никакое Постановление правительства №687 Вам не поможет считать такую обработку неавтоматизированной. По этому поводу уже было много споров.
Изменено: Stas Lutatovsky - 16.09.2009 13:05:37
Если Вы докажете в суде, что не пользуетесь ПДн, находящимися в БД, а просто они там существуют в виде абстрактной информации, которую по халатности кто-то забыл стереть, то, так и быть, Роскомнадзор Вам поверит

Вообще не понятно к чему это?
Доказывать в суде, что у вас есть ПДн, непонятно зачем, кем, хранимые, обрабатываемые - это самобичевание какое-то!

Я ПДн в БД ИСПОЛЬЗУЮ! согласно ПП 687:
... если такие действия с персональными данными, как использование...
что такое ИСПОЛЬЗОВАНИЕ персональных данных я так и не нашел. :) По Вашим рассуждением иначе выходит, что неавтоматизированной обработки не существует в принципе! Потому, что сам процесс хранения данных в БД протекает без участия человека :) А хранение = обработке согласно 152-ФЗ.
БД по определению - средство автоматизированного (а в некоторых случаях и автоматического) хранения и обработки информации. Посмотрите в любой энциклопедии определение БД. Если Вы храните ПДн в БД, то значит уже обрабатываете с применением средств автоматизации.
Тот пункт ПП 687, который любят приводить сторонники считать все и вся неавтоматизированной обработкой:
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее
служит лишь для того, чтобы избежать юридических казусов в ситуациях, когда ПДн находятся в информационной системе не с целью обработки или хранения, а для каких-то других целей (например для перевода их в бумажный вид и последующего уничтожения электронных копий).
Таким образом, если:
а) ПДн находятся внутри средства автоматизированной обработки,
б) находятся там с целью хранения и предоставления возможности просмотра и редактирования в электронном виде,
в) к ним осуществляется регулярный доступ,
то тут как не цепляйся к словам ПП 687 получается автоматизированная обработка.
P.S. Автоматизированный - это значит осуществляемый человеком с применением средств автоматизации. Не путайте с автоматическим - т.е. осуществляемым без участия человека, одними средствами автоматизации.
Изменено: Stas Lutatovsky - 16.09.2009 14:47:20
БД по определению - средство автоматизированного (а в некоторых случаях и автоматического) хранения и обработки информации.

Не согласен. СУБД - еще может быть, но БД - это просто массив данных.

... (например для перевода их в бумажный вид и последующего уничтожения электронных копий)...

Процесс такого перевода по определению является обработкой ПДн.

Но суть не в этом.
Мы понятия не имеем что было в голове регуляторов при написании тех или иных формулировок в РД, но работать придется именно по этим РД. И пока не будет каких-то разъяснений спорить можно до посинения.
Понятия "автоматизированной обработки" в нормативных документах по персональным данным(152-ФЗ, ПП781)нет, а без использования средств автоматизации (неавтоматизированной) дано в ПП687,
следовательно, если обработка ПД осуществлятся как указано в п.1 Положения (ПП687), то такую
обработку можно считать неавтоматизированной.
Цитата
Денис пишет:
...
в части обработки своих ПДн субъект дает в письменном согласии, в котором в том числе указывается цель обработки ПДн, перчень действий, на совершение которых дается согласие, общее описание используемых оператором способов обработки (т.е. автоматизированная, не автоматизировання...)
...
Не подскажете откуда следует (из какого документа), что способы обработки означают -автоматизированная, не автоматизировання...?
Не подскажете откуда следует (из какого документа), что способы обработки означают -автоматизированная, не автоматизировання...?

За отсутствием разъяснений регуляторов - что такое способы обработки, каждый может понимать под этим что угодно. Я учитывая РД и ПП считаю, что под способами как-раз имеется ввиду автоматизированная, неавтоматизированная. Может у Вас есть другие варанты.
Вы договор заключили до уведомления о порядке обработки персональных данных? Тогда Вам необходимо получить согласие со всех на данный вид обработки в Вашей БД. Работа архива регламентируется Архивным деломм и выведено из 152 закона. Вы сделали новую систему, на которую необходимо отдельное согласие-))) Получайте согласие. Любое принуждение будет считаться нарушением прав субъекта песональных данных.
Увы нет согласия - не можете обратывать, при этом данный субъект вас еще и к ответственности привлечет за обработку персональных данных без предварительного указания цели и сроков обработки.
Какой-то юридический казус: с одной стороны согласно Гражданского кодекса субъект при вступлении в договорные отношения обязан предоставить свои ПДн к обработке, а с другой стороны тут же письменно запрещает свои ПДн обрабатывать. Ну и как в этом случае исполнять договор?
Изменено: Stas Lutatovsky - 17.09.2009 09:48:57
Цитата
Дмитрий Левиев пишет:
Вы договор заключили до уведомления о порядке обработки персональных данных? Тогда Вам необходимо получить согласие со всех на данный вид обработки в Вашей БД.
Не факт
Наличие договора уже является основанием для обработки ПДн и совершенно не обязательно получать еще дополнительное согласие (если обработка ведется исключительно в целях исполнения договора и согласно сопутствующих законов).
Цитата
Дмитрий Левиев пишет:
Вы сделали новую систему, на которую необходимо отдельное согласие-))) Получайте согласие. Любое принуждение будет считаться нарушением прав субъекта песональных данных.
Только если с созданием этой ИС появились дополнительные цели обработки - на которые уже действительно необходимо согласие
Цитата
Stas Lutatovsky пишет:
с одной стороны согласно Гражданского кодекса субъект при вступлении в договорные отношения обязан предоставить свои ПДн к обработке, а с другой стороны тут же письменно запрещает свои ПДн обрабатывать. Ну и как в этом случае исполнять договор?
Здесь 2 варианта:
1. Продолжате обрабатывать ПДн на основании только договора
2. Предлагаете субъекту расторгнуть договор и тогда (в установленные законодательством сроки, учитывая не только 152-ФЗ) прекращаете обработку его ПДн
Хранение информации в течении 75 лет в автоматизированной системе с обеспечением юридической значимости - отдельный вопрос.
Человек дал согласие на обработку своих персональных данных в части исполнения договора - обучения. Хранение осуществляется согласно каких требований - локальный нормативный акт или государственный архив? Если это локальный нормативный акт - то хранение документа согласно полученного разрешения. Если он отзовет свое разрешение на автоматизированную обработку - это его право, ведь бумага останется-))). просто время ответа будет чуть дольше, но не более установленного законом срока. причем стоимость будет одинакова-))).
Вопрос в том, что субъект еще учится, т.е. состоит с нами в договорных отношениях (с ним заключен договор на подготовку специалиста) и собирается учиться еще 5 лет. А отзывает разрешение на обработку своих ПДн уже сейчас.
Наши юристы склонны предложить ему расторгнуть договор, а если он откажется, то продолжать обработку ПДн в целях исполнения договора.
Страницы: 1 2 3 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)