1. В комментируемой статье определены принципы обработки ПД.
Осуществление обработки ПД на законной и справедливой основе.
Указанный принцип предполагает, что, осуществляя обработку ПД, операторы должны выполнять все требования действующего законодательства в области защиты ПД и быть справедливыми по отношению к субъекту данных.
Анализ норм комментируемого Закона позволяет сформулировать некоторые основные практические советы, которыми должен руководствоваться оператор при обработке ПД для соблюдения требований действующего законодательства:
- должна быть обеспечена конфиденциальность ПД;
- ПД не должны передаваться третьим лицам без согласия субъекта данных;
- ПД должны быть защищены от несанкционированного доступа и распространения;
- ПД должны использоваться только для тех целей, для которых они были собраны, и храниться не дольше, чем это требуется для достижения целей обработки (кроме ряда случаев, предусмотренных ч.7 комментируемой статьи);
- обработка ПД возможна только при условии согласия субъекта (за исключением ряда случаев, предусмотренных ст.6 комментируемого Закона);
- оператор должен направить уведомление об обработке ПД в уполномоченный орган (за исключением ряда случаев, о которых будет рассказано в комментарии к ч.2 ст.22 Закона), а также иметь документ, в котором отражена политика обработки ПД;
- субъект ПД должен иметь возможность знакомиться с данными о себе;
- оператор должен информировать граждан о факте обработки ПД, предоставлять сведения о целях и способах обработки;
- граждане имеют право требовать уточнения информации, а также блокирования и уничтожения неточных ПД;
- обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях и при соблюдении определенных условий.
Ограничение обработки ПД достижением конкретных, заранее определенных и законных целей.
Таким образом, должна быть четко сформулирована цель, в соответствии с которой оператор будет обрабатывать ПД. По достижении заданных целей обработка ПД должна быть прекращена. Обработка ПД, несовместимая с целями сбора данных, не допускается.
В организациях, обрабатывающих ПД, необходимо иметь документ, который будет отражать политику организации в отношении обработки ПД, - Положение об обработке и защите персональных данных. Такой документ должен определять:
- перечень обрабатываемых ПД;
- цели и способы обработки ПД;
- категории субъектов, ПД которых обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- права и обязанности субъектов ПД;
- порядок обработки ПД, в том числе хранения, использования и передачи;
- условия прекращения обработки ПД;
- порядок получения доступа к ПД;