четверг, 30 мая 2013 г.

Изменения в законодательстве, касающиеся защиты персональных данных, часть III: Получение согласия при передаче обработки персональных данных третьим лицам


(Окончание, предыдущую часть см. http://rusrim.blogspot.ru/2013/05/ii_28.html )

Вопрос о получении согласия на обработку персональных данных при передаче обработки третьим лицам, с моей точки зрения, является одним из ключевых при исполнении требований законодательства в области защиты персональных данных. В общем случае без получения письменного согласия субъекта персональных данных передача обработки этих данных третьим лицам неправомерна. Изменения, внесенные федеральным законом от 7 мая 2013 года № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»» позволит в ряде случаев при возникновении договорных отношений не получать согласия на обработку персональных данных от их субъектов.

Статья 15 «Конфиденциальные сведения фонда» федерального закона от 7 мая 1998 года № 75-ФЗ «О негосударственных пенсионных фондах» изложена теперь в следующей редакции:
Федеральный закон от 7 мая 1998 года № 75-ФЗ «О негосударственных пенсионных фондах»

Фонд в установленных законодательством Российской Федерации случаях и порядке вправе получать, обрабатывать и хранить информацию, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных вкладчиков – физических лиц, страхователей – физических лиц, участников, застрахованных лиц, выгодоприобретателей и правопреемников участников и застрахованных лиц.

К информации, указанной в части первой настоящей статьи, относится также информация, полученная при:
  • обработке сведений, содержащихся в пенсионных счетах негосударственного пенсионного обеспечения, пенсионных счетах накопительной части трудовой пенсии;

  • осуществлении срочной пенсионной выплаты, единовременной выплаты;

  • выплате негосударственной пенсии и накопительной части трудовой пенсии, выплатах (переводе) выкупных сумм и выплатах правопреемникам.
Фонд не обязан получать согласие вкладчиков – физических лиц, страхователей – физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку в объеме, необходимом для исполнения договора, персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами.

Мой комментарий: В данном случае речь идет об одном из видов специальных категории персональных данных

Фонд не вправе передавать информацию, в отношении которой в соответствии с федеральными законами установлена обязанность соблюдать ее конфиденциальность, третьим лицам, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.

Указанная информация может быть передана правопреемникам участников и застрахованных лиц, а также в установленных законодательством Российской Федерации случаях по требованию следственных, судебных, налоговых органов, уполномоченного федерального органа.

Фонд вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработку персональных данных вкладчиков – физических лиц, страхователей – физических лиц, участников, застрахованных лиц, выгодоприобретателей, правопреемников участников и застрахованных лиц организациям, которые в соответствии с договором осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы. В этих случаях фонд не обязан получать согласие субъектов персональных данных на дачу поручения обработки персональных данных третьим лицам.
Мой комментарий: Наконец-то в законе появилась грамотная и логичная, с точки зрения деловой деятельности, формулировка о возможности передачи персональных данных на обработку третьим лицам. При этом четко оговорены условия, когда это будет правомочно:
  • В правилах фонда содержится указание на такие организации,

  • Если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы.
Как показывает анализ судебной практики, такое положение было бы полезно включить и в Трудовой Кодекс. Пока же, например,  организации, перечисляющие зарплату своих работников на банковские карты, вынуждены заниматься сбором письменных согласий своих работников на передачу банкам их персональных данных; это при том, что  работодатель в данном случае исполняет требования Трудового кодекса и трудового контракта с работником.

Эксперт Михаил Емельянников в опубликованном 29 апреля 2013 года посте на своем блоге ( http://emeliyannikov.blogspot.ru/2013/05/14-23-17_13.html ), отмечает, что «теперь никаких проблем с получением согласия практически всех лиц, чьи данные обрабатываются негосударственным пенсионным фондом, в том числе – о состоянии здоровья, а также с передачей персональных данных любым третьим лицам в рамках исполнения договора, не требуется. Я считаю это прорывом и свидетельством того, что позитивные изменения вполне реальны. Да и прецедент создан.».

Аналогичным образом решен и вопрос о получении согласия на передачу третьим лицам персональных данных абонентов операторов связи. В статью 53 «Базы данных об абонентах операторов связи» федерального закона от 7 июля 2003 года № 126-ФЗ «О связи» добавлены следующие положения:
Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи»

Статья 53 «Базы данных об абонентах операторов связи»

…Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.

Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.

Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработку персональных данных абонента-гражданина третьим лицам.

В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.
Еще одним способом узаконить передачу персональных данных, особенно при их обработке государственными органами, является внесение соответствующих положений в законы, регулирующие те или иные сферы деятельности.

В данном случае, изменении внесены в статью 6.4 федерального закона от 17 июля 1999 года № 178-ФЗ «О государственной социальной помощи», которая устанавливает порядок ведения федерального регистра лиц, имеющих право на получение государственной социальной помощи, и предусматривает обмен данными о таких лицах между органами исполнительной власти субъектов Российской Федерации и оператором реестра. Теперь в законе явным образом закреплено, что передаются не просто данные, а персональные данные.
Статья 6.4. Федеральный регистр лиц, имеющих право на получение государственной социальной помощи

4. Органы исполнительной власти субъектов Российской Федерации в порядке, установленном в соответствии с частью 3 настоящей статьи, передают персональные данные, необходимые для ведения Федерального регистра лиц, имеющих право на получение государственной социальной помощи, в орган, уполномоченный осуществлять ведение указанного Федерального регистра.

5. Персональные данные, содержащиеся в Федеральном регистре лиц, имеющих право на получение государственной социальной помощи, органам исполнительной власти субъектов Российской Федерации безвозмездно. Органы исполнительной власти субъектов Российской Федерации обязаны соблюдать конфиденциальность полученных персональных данных и обеспечивать безопасность персональных данных при обработке.
Некоторые положения исключены из законов как избыточные. Часть 4 статьи 98 «Информационные системы в системе образования» федерального закона от 29 декабря 2012 года № 273-ФЗ «Об образовании в Российской Федерации» изложена в новой редакции. Из статьи исключены следующие требования:
Федеральный закон от 29 декабря 2012 года № 273-ФЗ «Об образовании в Российской Федерации»

Статья 98 «Информационные системы в системе образования»

4. … Органы и организации осуществляют передачу, обработку и предоставление полученных в связи с проведением государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приемом в образовательные организации для получения среднего профессионального и высшего образования персональных данных обучающихся, участников единого государственного экзамена, лиц, привлекаемых к его проведению, а также лиц, поступающих в образовательные организации высшего образования, в соответствии с требованиями законодательства Российской Федерации о персональных данных без получения согласия этих лиц на обработку их персональных данных.
Мой комментарий: В данном случае, возможность обработки персональных данных при создании информационных систем в образовании предусмотрена законодательством, и нет необходимости в получении согласия субъектов персональных данных.

В заключение я бы отметила, что в законодательстве о защите персональных данных пока сохраняется значительное количество «серых зон», и можно с уверенностью сказать, что данные изменения - не последние.

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=146018

1 комментарий: