Tratamiento de datos personales. ¿Cuál es el propósito del procesamiento de datos personales? Cómo determinar los propósitos del procesamiento de datos personales

1. El tratamiento de los datos personales debe realizarse de conformidad con los principios y normas previstos en esta Ley Federal. El tratamiento de datos personales está permitido en los siguientes casos:

1) el procesamiento de datos personales se lleva a cabo con el consentimiento del sujeto de datos personales para el procesamiento de sus datos personales;

2) el procesamiento de datos personales es necesario para lograr los objetivos previstos por un tratado internacional de la Federación de Rusia o por la ley, para la implementación e implementación de las funciones, poderes y deberes impuestos por la legislación de la Federación de Rusia al operador ;

3) el procesamiento de datos personales se lleva a cabo en relación con la participación de una persona en procedimientos constitucionales, civiles, administrativos, penales, procedimientos en tribunales de arbitraje;

3.1) el procesamiento de datos personales es necesario para la ejecución de un acto judicial, un acto de otro organismo u oficial, sujeto a ejecución de conformidad con la legislación de la Federación de Rusia sobre procedimientos de ejecución (en adelante, la ejecución de un actuar);

4) el procesamiento de datos personales es necesario para ejercer los poderes de los órganos ejecutivos federales, los órganos de los fondos extrapresupuestarios estatales, los órganos ejecutivos del poder estatal de las entidades constituyentes de la Federación de Rusia, los órganos del gobierno local y las funciones de las organizaciones involucradas en la prestación de servicios estatales y municipales, respectivamente, prevista por la Ley Federal del 27 de julio de 2010 año N 210-FZ "Sobre la organización de la prestación de servicios estatales y municipales", incluido el registro del sujeto de datos personales en un único portal de servicios estatales y municipales y (o) portales regionales de servicios estatales y municipales;

(ver texto en la edición anterior)

5) el procesamiento de datos personales es necesario para la ejecución de un contrato, en el que el sujeto de los datos personales es parte o beneficiario o garante, así como para celebrar un acuerdo por iniciativa del sujeto de datos personales o un acuerdo bajo el cual el sujeto de los datos personales será el beneficiario o garante;

(ver texto en la edición anterior)

6) el procesamiento de datos personales es necesario para proteger la vida, la salud u otros intereses vitales del sujeto de datos personales, si es imposible obtener el consentimiento del sujeto de datos personales;

7) el tratamiento de datos personales es necesario para el ejercicio de los derechos e intereses legítimos del operador o de terceros, incluso en los casos previstos por la Ley Federal "Sobre la Protección de los Derechos e Intereses Jurídicos de las Personas Físicas en la Ejecución de Actividades para la Devolución de Deudas Vencidas y las Enmiendas a la Ley Federal "Sobre actividades microfinancieras y organizaciones microfinancieras", o para lograr metas socialmente significativas, siempre que esto no viole los derechos y libertades del sujeto de datos personales;

(ver texto en la edición anterior)

8) el tratamiento de datos personales es necesario para el desarrollo de la actividad profesional de un periodista y (o) la actividad legítima de los medios de comunicación o la actividad científica, literaria o creativa, siempre que no vulnere los derechos e intereses legítimos del sujeto de los datos personales;

9) el procesamiento de datos personales se lleva a cabo con fines estadísticos o de investigación, con la excepción de los fines especificados en el artículo 15 de esta Ley Federal, sujeto a la despersonalización obligatoria de los datos personales;

10) el procesamiento de datos personales se lleva a cabo, el acceso de un número ilimitado de personas a las cuales es proporcionado por el sujeto de datos personales o por su solicitud (en adelante, datos personales puestos a disposición del público por el sujeto de datos personales);

11) procesamiento de datos personales sujetos a publicación o divulgación obligatoria de acuerdo con la ley federal.

1.1. El tratamiento de los datos personales de los objetos de protección estatal y de sus familiares se lleva a cabo teniendo en cuenta las especificidades estipuladas por la Ley Federal del 27 de mayo de 1996 N 57-FZ "Sobre la Protección del Estado".

2. Las peculiaridades del procesamiento de categorías especiales de datos personales, así como los datos personales biométricos, se establecen en consecuencia y esta Ley Federal.

3. El operador tiene derecho a confiar el procesamiento de datos personales a otra persona con el consentimiento del sujeto de los datos personales, a menos que la ley federal disponga lo contrario, sobre la base de un acuerdo celebrado con esta persona, incluido un estado o municipal. contrato, o mediante la adopción de un acto apropiado por parte de un organismo estatal o municipal (en adelante, orden del operador). La persona que procesa datos personales en nombre del operador está obligada a cumplir con los principios y reglas para el procesamiento de datos personales previstos en esta Ley Federal. La orden del operador debe definir una lista de acciones (operaciones) con datos personales que serán realizadas por la persona que procesa los datos personales, y los propósitos del procesamiento, la obligación de dicha persona de mantener la confidencialidad de los datos personales y garantizar la seguridad de los datos personales durante su procesamiento, así como los requisitos para la protección de los datos personales procesados ​​de acuerdo con el artículo 19 de esta Ley Federal.

4. Una persona que procesa datos personales en nombre del operador no está obligada a obtener el consentimiento del interesado para procesar sus datos personales.

5. En el caso de que el operador confíe el procesamiento de datos personales a otra persona, el operador es responsable ante el sujeto de los datos personales por las acciones de esta persona. La persona que procesa los datos personales en nombre del operador es responsable ante el operador.

La empresa no puede prescindir de obtener información personal de empleados, clientes y contratistas. Necesitamos nombres, direcciones, otra información. Sin embargo, la empresa tiene derecho a procesar datos personales solo para fines específicos. Cualquier otro uso de los datos constituye una infracción que conllevará medidas administrativas.

Las finalidades para las que se solicita la información deben ser acordes con la ley y las necesidades de la empresa.

En el curso de sus actividades comerciales, una empresa se ocupa de la información que debe protegerse. La información confidencial incluye información sobre tecnologías, proyectos, desarrollos, la especificidad de las transacciones, etc. Asimismo, la ley obliga a proteger la información sobre las personas que trabajan en la empresa, son sus clientes o representan a sus contrapartes. El “Sobre Datos Personales” se encuentra vigente en cumplimiento del principio constitucional de protección de la privacidad (Art. 2 de la Ley N ° 152). Los requisitos de la ley se aplican a cualquier organización que reciba datos de sus sujetos (Art. 1 de la Ley N ° 152).

Una empresa que comienza a procesar datos personales tiene derecho a solicitarlos solo para fines específicos (parte 2 del artículo 5 de la ley núm. 152). Además, la cantidad de datos depende de los objetivos. No se puede solicitar información que la empresa no necesite (partes 4 y 5 del artículo 5 de la ley núm. 152). Por ejemplo, una tienda en línea no tiene derecho a exigir datos de pasaporte al comprador o solicitar una dirección postal si el cliente recoge la mercancía por sí mismo.

La propia empresa determina las finalidades del tratamiento de los datos personales de clientes y empleados.

La empresa determina exactamente para qué se solicitó la información (cláusula 2 del artículo 3 de la ley núm. 152). Como regla general, la organización solicita datos personales de clientes, contratistas, empleados para:

  1. Celebración de contratos. Estos pueden ser contratos con consumidores de los servicios o bienes de la empresa, con otro tipo de clientes, con socios comerciales, convenios laborales, etc. Para cualquier contrato que la empresa vaya a suscribir se requerirán datos personales - un empleado que actúe en sus intereses, un representante la contraparte o la propia contraparte, si es una persona particular. La inclusión de datos es necesaria para que la empresa pueda cumplir con sus obligaciones.
  2. Sistematización de información sobre personal, registros de personal y labores de oficina. Los datos de los empleados son necesarios no solo para la celebración de contratos de trabajo, sino también para todas las demás operaciones en el marco de una relación laboral.
  3. Cumplimiento de los requisitos de la ley sobre la deducción de impuestos al presupuesto, contribuciones de seguros, etc. La empresa retiene el impuesto sobre la renta de las personas físicas, las contribuciones de los empleados y transfiere estas cantidades al estado, al Fondo de Pensiones de Rusia y otras organizaciones (Art 22 de la Ley núm. 152, artículo 86 del Código del Trabajo de la Federación de Rusia).
  4. Formación de estadísticas. Para ello, los datos deben ser despersonalizados (cláusula 9, parte 1, artículo 6 de la Ley N ° 152).

¡Invitado, familiarízate -!

La empresa está obligada a advertir al sujeto de los datos personales sobre los fines del procesamiento.

La empresa está obligada a notificar al empleado o cliente sobre el propósito para el cual solicita sus datos personales para el procesamiento (cláusula 4, parte 4, artículo 9 de la Ley N ° 152). Esto se hace como parte de la obtención del consentimiento para proporcionar información. La lista de objetivos debe:

  • ser integral y específico;
  • cumplir con las disposiciones de la carta, así como con los actos locales de la organización;
  • corresponden a los objetivos que la empresa persigue realmente.

Por ejemplo, un banco solicita información a un cliente. El propósito del procesamiento es servir su cuenta, que incluye:

  • abrir una cuenta,
  • administración de cuentas,
  • operaciones para transferir fondos desde y hacia la cuenta,
  • asesorar al cliente.

Otro ejemplo de información es la lista de las finalidades del tratamiento de los datos personales de los empleados en la política de la empresa. La organización declara que la información es utilizada por:

  • al trabajar con el currículum de los solicitantes;
  • para cumplir con las obligaciones de la empresa en virtud de un contrato de trabajo;
  • para cumplir con las leyes laborales, tributarias y de pensiones;
  • organizar la formación de los empleados, mejorar su nivel profesional;
  • al calcular y calcular los salarios;
  • controlar la calidad del trabajo de los empleados;
  • al brindar diversas garantías y beneficios, etc.

El consentimiento para el procesamiento debe obtenerse del interesado en casi todos los casos. Si el propósito de la colección es promover la empresa en el mercado o hacer campañas políticas, el operador debe demostrar que la persona ha dado su consentimiento (parte 1 del artículo 15 de la ley núm. 152). En caso contrario, se considera no solicitado.

Además del acuerdo con el empleado o cliente, los propósitos de obtener datos deben reflejarse en un documento especial: la política de la empresa sobre el trabajo con dichos datos. Debe ser un documento público. Por regla general, se publica en el sitio web de la organización en una sección especial.

Sistema de ayuda profesional para abogados, donde encontrará la respuesta a cualquier pregunta, incluso la más difícil.

De acuerdo con la Parte 2 del Art. 85 del Código del Trabajo de la Federación de Rusia procesamiento de datos personales de un empleado - se trata de la recepción, almacenamiento, combinación, transferencia o cualquier otro uso de los datos personales del empleado.

El procesamiento de los datos personales de un empleado puede llevarse a cabo únicamente con el propósito de asegurar el cumplimiento de las leyes y otros actos legales reglamentarios, asistir al empleado en el empleo, la capacitación y la promoción, garantizar la seguridad metropolitana, así como monitorear la cantidad y calidad de trabajo realizado por él y garantizar la seguridad de la propiedad (cláusula 1 del artículo 86 del Código de Trabajo de la Federación de Rusia).

Según el párrafo 3 del art. 3 de la Ley Federal "Sobre Datos Personales", el procesamiento de datos personales son acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), uso, distribución (incluida la transferencia), despersonalización , bloqueo, destrucción de datos personales. Debe tenerse en cuenta que, independientemente del número de operaciones funcionales enumeradas en la legislación, la regulación legal debe cubrir todas las etapas del procesamiento de datos personales, desde la recepción hasta la destrucción sin excepciones o excepciones.

Dicha Ley se refiere a los principios del procesamiento de datos personales de la siguiente manera:

  • la licitud de las finalidades y métodos de tratamiento y la buena fe;
  • el cumplimiento de los fines del procesamiento con los objetivos predeterminados y declarados en la recolección de datos personales, así como las facultades del operador;
  • correspondencia del volumen y la naturaleza de los datos procesados, métodos de procesamiento con los fines de su procesamiento;
  • la fiabilidad de los datos personales, su suficiencia para los fines del procesamiento, la inadmisibilidad del procesamiento de datos personales que no estén relacionados con los fines declarados al recopilar datos;
  • inadmisibilidad de combinar bases de datos de sistemas de información de datos personales creadas con fines incompatibles.

El procesamiento de los datos personales del empleado comienza con su recepción. Como regla general, todos los datos personales deben obtenerse del propio empleado. En casos excepcionales, cuando los datos personales del empleado solo puedan obtenerse de un tercero, se deberá notificar al empleado con antelación y se deberá obtener su consentimiento por escrito. El empleador está obligado a informar al empleado sobre los fines, las supuestas fuentes y métodos de obtención de datos personales, así como la naturaleza de los datos personales que se recibirán y las consecuencias de la negativa del empleado a dar su consentimiento por escrito para recibirlos (cláusula 3 del artículo 86 del Código del Trabajo de la Federación de Rusia). Sin embargo, el empleador no tiene derecho a recibir y procesar los datos personales del empleado sobre sus creencias políticas, religiosas y de otro tipo y su vida privada (cláusula 4 del artículo 86 del Código de Trabajo de la Federación de Rusia). Además, el empleador no puede solicitar información sobre el estado de salud del empleado, si esto no se aplica para resolver el problema de la capacidad del empleado para realizar la función laboral (artículo 88 del Código Laboral de la Federación de Rusia).

Los requisitos separados del Código Laboral de la Federación de Rusia imponen a la organización y tecnología del procesamiento de datos personales por parte del empleador. La obligación de familiarizar a los empleados y sus representantes contra la firma con los documentos del empleador que establecen el procedimiento para el procesamiento de los datos personales de los empleados, así como sus derechos y obligaciones en esta área, sugiere la necesidad de desarrollar y adoptar un acto legal regulatorio local adecuado. Tal acto, dependiendo de los detalles de la actividad y la discreción del empleador, puede llamarse un reglamento o instrucción y, como regla, incluye las siguientes secciones:

  • conceptos y disposiciones básicos;
  • procesamiento de los datos personales del empleado;
  • formación de los datos personales del empleado;
  • contabilidad, almacenamiento y transferencia de los datos personales del empleado;
  • los derechos y obligaciones del empleado en el ámbito del tratamiento y protección de sus datos personales.

Tal acto legal regulatorio local determina el régimen de confidencialidad (acceso limitado) de los datos personales del empleado con un empleador específico. Los empleadores del empleador que reciban los datos personales del empleado están obligados a cumplir con este régimen, el cual debe ser indicado no solo en sus descripciones de funciones, sino también en los contratos de trabajo celebrados con ellos. El reglamento (instrucción) sobre la protección de datos personales es el documento principal que refleja los detalles del procesamiento y transferencia de datos personales de un empleado dentro de una organización específica, con un empresario individual específico. Si existe un componente automatizado en el marco de esta actividad, el empleador no tiene derecho a tomar decisiones con respecto al empleado en base a datos personales obtenidos únicamente como resultado de su procesamiento automatizado o recepción electrónica (cláusula 6 del artículo 86 del Código del Trabajo de la Federación de Rusia). Un empleador no tiene que estar limitado por la adopción de un reglamento sobre la protección de los datos personales de los empleados de su organización. Sin embargo, la presencia de esta ley local es obligatoria y su ausencia es considerada por la inspección del trabajo estatal como una violación grave de la legislación laboral.

Por esta y otras violaciones de las reglas que rigen la recepción, el procesamiento y el empleado, el empleador puede llevar a los perpetradores a responsabilidad material y disciplinaria, y a los órganos estatales pertinentes, a responsabilidad civil, administrativa y penal.

Esta información es cualquier acción u operación con los datos personales del sujeto: recolección, registro, sistematización, acumulación, almacenamiento, aclaración, extracción, uso, transferencia, despersonalización, bloqueo, borrado, destrucción.

¿Por qué recopilar información sobre un tema y dar su consentimiento para su análisis?

Para cliente / paciente

La información sobre el estado de salud de un ciudadano pertenece a una categoría especial de datos personales. De acuerdo con la parte 2 del párrafo 4 del art. 10 ФЗ № 152, el procesamiento de dicha información está permitido sin el consentimiento del sujeto, siempre que se lleve a cabo para:

  • establecer un diagnóstico;
  • prevención de la enfermedad;
  • prestación de servicios médicos y médico-sociales.

Esta regla es válida para situaciones en las que el procesamiento lo lleva a cabo un médico profesional que está obligado a mantener la confidencialidad médica de acuerdo con la legislación de la Federación de Rusia.

La excepción son aquellas situaciones en las que es imposible obtener el consentimiento, pero necesario para proteger la vida o la salud del paciente.

Si una persona utiliza cualquier servicio, concluye un acuerdo, redacta un préstamo, es decir, es un cliente, la información personal sobre él también se puede procesar de acuerdo con la Ley Federal No. 152.

Los datos del cliente se pueden utilizar para:

  1. Prestación de servicios de consultoría, información y mediación.
  2. Conclusión y ejecución de un contrato con un cliente.
  3. Realización de trabajos de personal y servicios contables.
  4. Otras transacciones no prohibidas por la legislación de la Federación de Rusia.

Para un empleado de la organización

El empleador tiene derecho a sus empleados, está consagrado en el art. 22 ФЗ № 152. Finalidades del tratamiento de datos personales en la organización:

  • Registro de contratos civiles con ciudadanos, previsto por la legislación de la Federación de Rusia y la Carta de la empresa.
  • Contabilidad de personal, cumplimiento de leyes y registro de obligaciones laborales y civiles.
  • Asistencia en empleo, educación o promoción, registro y uso de beneficios.
  • Garantizar la seguridad personal del empleado y la seguridad de la propiedad.
  • Cumplimiento de los requisitos de la legislación fiscal y previsional en el cálculo de las cotizaciones al seguro de pensiones.
  • Formación de estadísticas de acuerdo con los Códigos Laborales, Tributarios y las leyes federales.
  • Control sobre el trabajo realizado por el empleado.

(Art. 86 "Código del Trabajo de la Federación de Rusia" de 30 de diciembre de 2001, núm. 197-FZ). La información personal sobre un empleado que se clasifica como "especial" no está sujeta a procesamiento por parte del empleador.

Se debe establecer el período de vigencia del Consentimiento para el procesamiento de datos personales, puede ser una fecha o evento específico, por ejemplo, despido o revocación del consentimiento por parte de un empleado.

Ejemplos de

Sector bancario

Banco "Financiero". La finalidad del tratamiento de los datos personales del cliente es realizar operaciones bancarias y de otro tipo, incluso:

  1. Abrir y mantener cuentas bancarias.
  2. Transferencia de fondos a través de cuentas bancarias.
  3. Transferencia de fondos de personas naturales y jurídicas sin abrir una cuenta bancaria.
  4. Compraventa de moneda extranjera.
  5. Prestación de servicios de consultoría e información, incluso mediante una dirección de correo electrónico.

Organización médica

Organización médica "Salud". Finalidad del tratamiento:

  • Organización de la atención médica.
  • Emisión de recetas para trato preferencial.
  • Pago de facturas en el sistema de seguro médico obligatorio y seguro médico voluntario.
  • Se utiliza para estadísticas y trabajos de investigación.
  • Informar a través de notificaciones por SMS sobre los resultados de los análisis, promociones en curso y el horario de trabajo de los especialistas.

Conclusión

Con un cliente o un paciente, no todo es tan sencillo como parece a primera vista. Así, sin consentimiento y aviso, no pueden ser cedidos a terceros ni utilizados para aquellas finalidades con las que el sujeto no esté de acuerdo. Si una persona se enfrenta al hecho de que se han filtrado sus datos personales, siempre puede acudir a Roskomnadzor o al tribunal.

¿No encontró la respuesta a su pregunta? Descubrir, cómo resolver exactamente su problema - llame ahora mismo:

Publicaciones similares