Персональные данные (ПДн) — это личная информация, которая характеризует определенного человека, и по которой его можно идентифицировать. Они относятся к охраняемой тайне.

Работать    с ПДн,    то есть    собирать    их,    хранить,     передавать или распространять, можно   только   в установленных   законом   случаях или с согласия     их     владельца      (ч. 1 ст.      6      Федерального      закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон 152-ФЗ).

Любой организации, обрабатывающей персональные данные, необходимо соблюдать следующие правила:

• запрещены любые действия с личной информацией гражданина без его согласия или законных оснований, согласно ст. 6, 9 Закона № 152-ФЗ;
• если есть сомнения, нужно ли согласие, обязательно его получите от субъекта персональных данных.

Объем собираемых Оператором ПДн должен соответствовать целям их обработки (ч. 2 ст.   5   Закона № 152-ФЗ).   Оператор   не может   требовать от гражданина избыточную личную информацию. Например, если Оператор запрашивает у вас банковские реквизиты для перечисления зарплаты, то ему не нужны сведения обо всех открытых счетах и картах. Достаточно одного, куда будут отправляться деньги.

Для каждой цели обработки ПДн, Оператору, в обязательном порядке, необходимо получать ваше согласие, если нет законных оснований его не спрашивать. Организация не может использовать ПДн в иных целях, кроме указанных в согласии.

Например, работодатель запросил ваш адрес личной электронной почты для взаимодействия по кадровым вопросам. При этом он не может публиковать его в своем справочнике или на сайте, как контакты сотрудника для неограниченного круга лиц.

Такие случаи на практике есть, и работодатели даже не подозревают, что нарушают закон.

В результате, для одного гражданина (субъекта персональных данных) у организации может быть оформлено несколько согласий на обработку ПДн для разных целей. Они могут датироваться разными числами, храниться в разных информационных базах.