Персональные данные (ПДн) — это личная информация, которая характеризует определенного человека, и по которой его можно идентифицировать. Они относятся к охраняемой тайне.
Работать с ПДн, то есть собирать их, хранить, передавать или распространять, можно только в установленных законом случаях или с согласия их владельца (ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон 152-ФЗ).
Любой организации, обрабатывающей персональные данные, необходимо соблюдать следующие правила:
Объем собираемых Оператором ПДн должен соответствовать целям их обработки (ч. 2 ст. 5 Закона № 152-ФЗ). Оператор не может требовать от гражданина избыточную личную информацию. Например, если Оператор запрашивает у вас банковские реквизиты для перечисления зарплаты, то ему не нужны сведения обо всех открытых счетах и картах. Достаточно одного, куда будут отправляться деньги.
Для каждой цели обработки ПДн, Оператору, в обязательном порядке, необходимо получать ваше согласие, если нет законных оснований его не спрашивать. Организация не может использовать ПДн в иных целях, кроме указанных в согласии.
Например, работодатель запросил ваш адрес личной электронной почты для взаимодействия по кадровым вопросам. При этом он не может публиковать его в своем справочнике или на сайте, как контакты сотрудника для неограниченного круга лиц.
Такие случаи на практике есть, и работодатели даже не подозревают, что нарушают закон.
В результате, для одного гражданина (субъекта персональных данных) у организации может быть оформлено несколько согласий на обработку ПДн для разных целей. Они могут датироваться разными числами, храниться в разных информационных базах.