Сообщений в теме: 41

[Nestan]

Коллеги, обращаюсь за помощью, так как данный вопрос для меня совершенно не знаком, никогда не сталкивалась. Помогите разобраться в следующей ситуации:
В организацию приходит обращение (письмо) от субъекта ПДн (либо сам субъект передает обращение секретарю) по какому-либо вопросу. В этом обращении содержатся ПДн данного субъекта (к примеру, паспортные данные, ФИО, адрес проживания, номера телефонов и т.п.). Но в обращении (ни в тексте, ни отдельным документом), нет письменного согласия данного субъекта на обработку его ПДн в этой организации.
Как в этом случае должен поступить секретарь (организация-оператор) в соответствии с требованиями ФЗ «О персональных данных»? (отклонить обращение, запросить письменное согласие до начала обработки обращения, не регистрировать обращение до момента получения согласия и т.п.).
Вопрос крайне срочен, буду длагодарна за любые практические советы, подкрепленные нормами.

P.S. пошла изучать фз № 152.

[Kalipso2012]

В силу части 1 статьи 22 данного Федерального закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Пункт 2 части 2 статьи 22 указанного Федерального закона определяет, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом.

В Вашем случае секретарю лучше запросить письменное разрешение на обработку персоналных данных.

[Nestan]

В силу части 1 статьи 22 данного Федерального закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Пункт 2 части 2 статьи 22 указанного Федерального закона определяет, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом.

В Вашем случае секретарю лучше запросить письменное разрешение на обработку персоналных данных.

Я согласна с тем, что письменный документ всегда лучше. Сомнения вызывает следующее:
Согласно ст. 6 ФЗ оператор имеет право обрабатывать ПД при условии получения согласия субъекта ПД на такую обработку. Субъект ПД должен принять решение о предоставлении своих ПД и дать согласие на их обработку своей волей и в своем интересе (ст. 9 ФЗ). При этом согласие на обработку ПД может быть отозвано субъектом ПД.
Оператору ПД следует учитывать, что обязанность предоставить доказательство получения согласия гражданина на обработку его ПД, а в случае обработки общедоступных ПД обязанность доказывания того, что обрабатываемые ПД являются общедоступными, возлагается на оператора (п. 3 ст. 9 ФЗ).
Так как в законе нет прямого указания получать письменное согласие для всех случаев обработки ПД, для большинства случаев обработки ПД достаточно устного согласия субъекта, за исключением случаев, когда необходимо получить письменное согласие субъекта ПД, в соответствии с п. 4 ст. 9 Закона.

Законом прямо не установленна обязанность требовать письменное согласие во всех случаях обработки ПД, а перечень случаев согласно п. 4 ст. 9 я тоже не нашла

[Leximus]

Nestan,

Законом прямо не установленна обязанность требовать письменное согласие во всех случаях обработки ПД, а перечень случаев согласно п. 4 ст. 9 я тоже не нашла

Когда законом предусмотрено обязательно письменное согласие?
1. ч.1 ст.8 ФЗ (Включение ПД в общедоступные источники);
2. пп.1) ч.2 ст.10 ФЗ (Обработка расовой, нац. принадлежности, полит взглядов, сост. здоровья и т.д.);
3. ч.1 ст.11 ФЗ (Биометрические данные);
4. пп.1) ч.4 ст.12 ФЗ (трансграничная передача ПД в гос-ва без адекватной защиты ПД);
5. ч.2 ст.16 ФЗ (Принятие решения на основании автоматизированной обработки).

Сложность заключается в этом положении ч.3 ст.9 ФЗ:

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

Т.е. даже если по закону и не требуется письменное согласие, Вы, как оператор, должны доказать, что получили это согласие и именно от этого субъекта.

На мой взгляд, то, что субъект сам своими действиями передает Вам ПД, можно расценить как согласие на их обработку, в свете ч.1 ст.9 ФЗ:

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Но сложность заключается в том, чтобы подтвердить то, что это письмо передал именно ОН, а не кто-то другой написал чужие ПД и передал Вам.

К сожалению, на практике с таким не сталкивался, но предположу, что совершение субъектом надписи на письме примерно следующего характера: "Согласен на обработку указанных ПД организацией Лютик. Иванов И.И.", - может исправить ситуацию.

Сообщение отредактировал Leximus: 20 September 2011 - 17:35

[Nestan]

Leximus, спасибо за совет.
Я написала ру4ководству приблизительно так же, что лучше иметь письменное согласие, дабы в будущем избежать проблемм.

[toparenko]

В организацию приходит обращение (письмо) от субъекта ПДн (либо сам субъект передает обращение секретарю) по какому-либо вопросу. В этом обращении содержатся ПДн данного субъекта (к примеру, паспортные данные, ФИО, адрес проживания, номера телефонов и т.п.). Но в обращении (ни в тексте, ни отдельным документом), нет письменного согласия данного субъекта на обработку его ПДн в этой организации.

Порядок ответа предусмотрен ст.20 ЗоПД

Согласно п.2 ч.1 ст.6 ЗоПД:

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Таким образом по данной цели согласие не требуется

Как в этом случае должен поступить секретарь (организация-оператор) в соответствии с требованиями ФЗ «О персональных данных»? (отклонить обращение, запросить письменное согласие до начала обработки обращения, не регистрировать обращение до момента получения согласия и т.п.).

Зарегистрировать обращение, довести до ответственных должностных лиц, в течении 30 дней выполнить обязанности, предусмотренные ст.20 ЗоПД

[pavelser]

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Таким образом по данной цели согласие не требуется

А какие полномочия и обязанности в данном случае на оператора ПД возложены законом ?

[Leximus]

toparenko,

Порядок ответа предусмотрен ст.20 ЗоПД

Так в ст.20 ЗоПД говорится о запросе субъекта ПД к Оператору о наличии его ПД у Оператора и ознакомлении с ними в свете реализации его права, предусмотренного ст.14 ЗоПД (право на доступ к его ПД).

А, насколько я понял, Nestan имела в виду не такой запрос, а вообще какой-либо входящий документ, содержащий какие-либо ПД (в том числе ПД субъекта, который и предоставил корреспонденцию).

[werefish]

http://base.garant.ru/12146661/
данный документ имеет преимущество, при рассмотрении обращения.
в частности, статьи 6 и 7.

а также 9

Федеральный закон от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации"

[pavelser]

werefish ,
А при чем тут письмо в организацию и государственные органы и органы местного самоуправления?

[werefish]

pavelser,
прежде всего нужно реагировать на "обращение".
может я чего не догоняю, но ТС пытается подвести законную основу под игнорирование поступившей корреспонденции.
в указанном мной выше законе четко сказано, что обратившийся должен указать ФИО и контактный адрес. а организация, в которую поступило обращение, должна среагировать на обращение и обеспечить режим конфиденциальности полученной информации.
в закон о ПД вчитываться лениво, ко мне он отношения не имеет, но все эти операции, кмк, к обработке ПД не имеют ни какого отношения.

зы: соотвественно. если обращение поступило в "негосударственную" организацию, то и проблем нет. за исключением, например, получения досудебной претензии. время тянуть можно, но доказать, что претензия должна "считаться не поступившей", я думаю, не получится.

[pavelser]

werefish , Где в вышеуказанном Вами законе говорится об организациях ?

[Stan]

Не вчитываясь в закон о ПД, нет смысла пытаться ответить на вопрос автора. Будет гора мусора. )

[werefish]

Где в вышеуказанном Вами законе говорится об организациях ?

я не понял вопроса.

письмо в организацию и государственные органы и органы местного самоуправления

если хотите получить ответ, переформулируйте, чтобы был понятен его смысл.
на всякий случай,

ОРГАНИЗАЦИЯ - объединение двух и более лиц, являющихся субъектами права. О. может приобрести права юридического лица (в случае государственной регистрации в установленном законом порядке). Отсутствие прав юридического лица само по себе не препятствует деятельности О., если при этом члены О. не нарушают закон.

Не вчитываясь в закон о ПД, нет смысла пытаться ответить на вопрос автора. Будет гора мусора. )

Вас тоже вместе с псевдоюристами учили?
на эти вопросы закон о ПД ответа не дает.

(отклонить обращение, запросить письменное согласие до начала обработки обращения, не регистрировать обращение до момента получения согласия и т.п.).

еще раз, обращение должно быть принято, зарегистрировано, начато производство по его рассмотрению и подготовке ответа.

[pavelser]

еще раз, обращение должно быть принято, зарегистрировано, начато производство по его рассмотрению и подготовке ответа.

Для тех кто в танке... В каком законе эта обязанность возложена на коммерческую или некоммерческую о организацию?
Если вы опять будете ссылаться на Федеральный закон от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" то какая статья прямо это предусматривает?

[werefish]

В каком законе эта обязанность возложена на коммерческую или некоммерческую о организацию?

не знаю. если организация не государственная, обращение, вероятно, можно послать в корзину без лишних вопросов.
также можно среагировать на обращение без "обработки" персональных данных. например. вписать адрес в ответ "от руки". из письма, в одиночку... в запертой комнате, не имеющей средств прослушивания и наблюдения...

Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой... с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

конечно, можно запросить разрешение заявителя на ввод данных в компьютер, но эти действия идут параллельно с делопроизводством по обращению.

Евгения, если у Вас есть мысли. высказывайтесь. тут все свои.

pavelser,
я Вам плюсик поставил, для прикола. если что. могу компенсировать минусом. мне не жалко

[pavelser]

pavelser,
я Вам плюсик поставил, для прикола. если что. могу компенсировать минусом. мне не жалко

Вы лучше себе поставьте большой и жирный минус )
Слабо ?

[Evguenia]

Евгения, если у Вас есть мысли. высказывайтесь.

Разрешаете? Боюсь, я не настолько терпелива как pavelser,
Паша, прости меня, промазала)))

[werefish]

pavelser,
собсно, с этой попытки антикармадрочерства и начал

Разрешаете?

все лучше, чем в тапки пИсать.

[Stan]

werefish , применимость закона о ПД определяется законом о ПД.
Исправьте свою манеру реагирования на критику. Мат и переход на личности недопустимы.

[werefish]

Исправьте свою манеру реагирования на критику.

учите свою родню. ага?
тут все взрослые люди и знают, что делают.
можете модератору пожаловаться, если нервный.

выше ссылка на применимость закона о ПД. вчитайтесь в нее и в вопрос топикстартера. если голова есть - можете сделать вывод самостоятельно.

[pavelser]

Stan сказал(а):
Исправьте свою манеру реагирования на критику.

можете модератору пожаловаться, если нервный.

Я под столом от хохота

[Evguenia]

можете модератору пожаловаться, если нервный.

Константин, пора принимать меры)))

[Stan]

7-мидневный бан.

Если я что-то пропустил и у нас уже много участников, придерживающихся такой манеры общения -- используйте, пожалуйста, кнопку "Сообщить модератору".

[Leximus]

Благо срач завершился, вернемся к вопросу:
Что делать при получении организацией корреспонденции (письмо, запрос и т.д.), в которой находятся персональные данные?
Ну и уж если совсем залезть в бутылку - если курьер просто принес конверт с кучей ПД....что делать, как быть?

Применимо в этом случае ч.3 ст.21 ЗоПД?

Кстати, позвольте продолжить мысль, озвученную werefish :
сфера применения ЗоПД

Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой ... юридическими лицами и физическими лицами с использованием средств автоматизации, ..., или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Т.е. ЗоПД регулируется обработка ПД без использования средств автоматизации если такая обработка позволяет:
- осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных,
- и (или) доступ к таким персональным данным.

Получается, обработка ПД на бумажном носителе не будет регулироваться ЗоПД если они не будут систематизироваться и к ним не будет доступа каких-либо лиц?
Верно?