О защите данных

Контактные данные:

Майлис Куллеркупп
Mailis.Kullerkupp@tlt.ee
Телефон 5116055

Связывайтесь со специалистом по защите данных всякий раз, когда вы по работе обрабатываете личные данные людей, и вы не уверены, соответствует ли эта деятельность правилам. Или ситуация, в которой вы контактируете с личными данными, является особой, даже если вы так не считаете, думая, что выполняете какие-либо необычные действия с этими данными — также в таких случаях вы можете спросить мнение специалиста по защите данных относительно допустимости этих действий. Со специалистом по защите данных необходимо немедленно связаться в случаях, когда мело место нарушение, т. е. когда, например, произошло неразрешенное уничтожение, потеря, изменение, недопустимое обнародование или доступ к персональным данным.

Ниже приведены некоторые основные принципы и пояснения, которые помогут освежить ваши знания.

Требуемая обработка персональных данных важна для всех должностей в TLT, независимо от того, является ли человек квалифицированным рабочим, специалистом, руководителем или членом правления. Например, водитель автобуса может знать имя заказчика, коллега знает день рождения другого коллеги, возможно, они знают местожительство друг друга, бухгалтерия рассчитывает зарплату и знает эти данные, помимо числа зарплаты, местожительства, личного кода и т. д. Персональный отдел также обрабатывает информацию, например, информацию о профессиональной квалификации / образовании, в некоторых случаях поставщики услуг социального транспорта знают о проблемах со здоровьем клиента и т. д. Все это персональные данные, и все, что с ними происходит, регулируется определенными правилами, о которых я кратко расскажу ниже.

Что такое персональные данные?

  • На основании Общего постановления по защите данных Европейского Союза (также известного как GDPR — английское название General Data Protection Regulation) регулируется обработка данных человека, т. е. персональные данные принадлежат только физическому лицу — юридическое лицо не имеет конфиденциальности и, следовательно, не имеет персональных данных.
  • На юридическом языке мы называем данные человека персональными данными, и этим термином мы обозначаем всю возможную информацию, относящуюся к человеку. Информация может быть не такой, чтобы мы могли сразу узнать, о ком она, но она может быть и косвенной, но все же точной в той мере, в какой помогает нам с разумными усилиями дойти до конкретного человека. С юридической точки зрения персональные данные — это любая информация об идентифицированном или идентифицируемом физическом лице (субъекте данных).
  • Персональные данные подразделяются на:

1. обычные
2. особые   (до 2018 г. также известных как деликатные данные) и
3. связанные с уголовным делами.

  • Обычными личными данными являются прежде всего имя, личный код, местожительство, местоположение, адрес электронной почты, номер телефона, сетевой идентификатор, а также физические, физиологические, психические, экономические, культурные или социальные характеристики (поскольку с помощью такой характеристики мы можем дойти до  конкретного человека с разумными усилиями).
  • К особым видам персональных данных относятся данные о расовой или этнической принадлежности, политических взглядах, религиозных или философских убеждениях или членстве в профсоюзах, биометрические данные, используемые для однозначной идентификации физического лица (в первую очередь отпечатки пальцев, отпечатки ладоней и изображения радужной оболочки глаза), генетические, а также данные о здоровье или данные о сексуальной жизни человека и о его сексуальной ориентации.
  • Персональные данные, связанные с уголовными судимостями и правонарушениями, составляют отдельную категорию, но эти данные регулируются так же, как и особые виды персональных данных.

Поговорим об обработке персональных данных — что это значит?

  • Все, что происходит с персональными данными, идет под одним понятием – обработка. Обработка персональных данных – это любая деятельность с персональными данными (сбор, хранение, передача и т.п.).
  • К обработке персональных данных применяются 7 основных принципов, которым мы все в TLT должны следовать в своей повседневной работе:
    • Законность и прозрачность. Всегда должно быть какое-то правовое основание для обработки персональных данных (право на обработку может возникнуть либо с согласия лица, на договорной или юридической основе, либо при наличии законного интереса – это основания, которые мы в основном применяем в TLT, но также известны основания для защиты жизненно важных интересов или выполнения заданий в общественных интересах, которые мы, как правило, в TLT не применяем).
    • Следование целям. Обработка персональных данных всегда должна быть связана с целью. Если вы хотите получить или собрать какие-либо личные данные, вы всегда должны думать о том, зачем мне нужны эти личные данные. Какую цель я хочу достичь с их помощью? Цель всегда должна существовать. Например, мне нужно подписать трудовой договор с работником и оценить соответствие работника занимаемой должности. Цель должна быть достигнута с минимальными требованиями к данным, необходимыми для этой цели.
    • Минимальность. Данных для достижения определенной цели необходимо собирать как можно меньше. Сбор данных на всякий случай незаконен. Необходимо проанализировать, какие данные нужны. Например, для заключения трудового договора и оценки пригодности работника в зависимости от места его работы имеется право запрашивать данные об образовании, квалификации, пройденном обучении — все, что важно для установления трудовых отношений, но не более того.  
    • Достоверность. Данные должны быть своевременными и актуальными. По прошествии определенного периода времени рекомендуется проверять, есть ли необходимость в обновлении обрабатываемых персональных данных.
    • Ограничение в хранении. Никакое количество персональных данных не может быть вечным. Для их хранения должна быть конкретная причина. Если цель достигнута и нет других законных оснований для хранения данных, они подлежат уничтожению. Персональные данные имеют определенный срок хранения. Здесь уместно отметить, что вы просматриваете обнаруженные в ваших шкафах и ящиках носители информации и отдаете нужные (особенно оригиналы документов) в архив, ненужные бумаги (копии, рабочие черновики, где имеются личные данные) в уничтожитель бумаг. В случае его отсутствия бумаги необходимо уничтожить другим способом, чтобы в дальнейшем их нельзя было прочитать или обработать.
    • Доверительность и конфиденциальность. Обработчик персональных данных должен обеспечить недоступность данных для третьих лиц, чтобы не было доступа без доверенности, случайной потери, уничтожения или повреждения. Мы также не оставляем наш компьютер без присмотра и не открываем его для просмотра третьим лицам, а, удаляясь, закрываем экран. Очевидно, не нужно говорить, что третьим лицам нельзя позволять пользоваться компьютером даже в нашем присутствии. Все это я продолжаю говорить в контексте обработки персональных данных.
    • Ответственность. Обработчик персональных данных всегда несет ответственность за действия, совершенные с имеющимися в его распоряжении персональными данными, и должен быть готов доказать обработку в соответствии с требованиями.