Работать с ПДн, то есть собирать их, хранить, передавать или распространять, можно только в установленных законом случаях или с согласия их владельца (ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон 152-ФЗ).

Любой организации, обрабатывающей персональные данные, необходимо соблюдать следующие правила:

•      запрещены любые действия с личной информацией гражданина без его согласия или законных оснований, согласно ст. 6, 9 Закона № 152-ФЗ;

•      если есть сомнения, нужно ли согласие, обязательно его получите от субъекта персональных данных.

Объем собираемых Оператором ПДн должен соответствовать целям их обработки (ч. 2 ст. 5 Закона № 152-ФЗ). Оператор не может требовать от гражданина избыточную личную информацию. Например, если Оператор запрашивает у вас банковские реквизиты для перечисления зарплаты, то ему не нужны сведения обо всех открытых счетах и картах. Достаточно одного, куда будут отправляться деньги.

Для каждой цели обработки ПДн, Оператору, в обязательном порядке, необходимо получать ваше согласие, если нет законных оснований его не спрашивать. Организация не может использовать ПДн в иных целях, кроме указанных в согласии.

Например, работодатель запросил ваш адрес личной электронной почты для взаимодействия по кадровым вопросам. При этом он не может публиковать его в своем справочнике или на сайте, как контакты сотрудника для неограниченного круга лиц.

Такие случаи на практике есть, и работодатели даже не подозревают, что нарушают закон.

В результате, для одного гражданина (субъекта персональных данных) у организации может быть оформлено несколько согласий на обработку ПДн для разных целей. Они могут датироваться разными числами, храниться в разных информационных базах.