V delovnem zakoniku Ruske federacije obstaja tak izraz kot "osebni podatki delovne osebe." Podatki o delovnem kontingentu morajo biti poslani delodajalcu.
Po pregledu osebnih podatkov delodajalec odloči o odvzemu osebe podjetju.
Informacije, ki jih oseba predstavlja o sebi, morajo biti zaščitene. Distribuiranje je prepovedano.
Dragi bralci! Naši članki govorijo o značilnih načinih reševanja pravnih vprašanj, vendar je vsak primer edinstven.
Če želite vedeti, kako rešiti točno vaš problem - samo pokličite, je hitro in brezplačno!
Osebni podatki o zaposlenih morajo biti predmet razvoja.
Delodajalec za osebne podatke delovnih oseb uporablja naslednje zahteve:
Pri posredovanju informacij o zaposlenih mora direktor podjetja upoštevati naslednja pravila:
Delovni kontingent ima pravico do:
Razlikujejo se naslednje vrste obdelave osebnih podatkov:
Ta obdelava se izvaja s posebno računalniško tehnologijo. Najpogostejši računalniški stroji so lahko:
Najbolj podroben opis neavtomatizirane obdelave je zapisan v vladni uredbi št. 687.
Distribucijo, proučevanje in odstranjevanje informacij o delovnem kontingentu je treba opraviti z delom osebe, ne z računalniško tehnologijo.
Zahvaljujoč informacijskemu sistemu se obdelujejo posebne kategorije osebnih podatkov o delovnem kontingentu. Ta sistem obdeluje podatke, ki vplivajo na pripadnost določeni rasi in spolu, narodnost, politične poglede, filozofski pogled.
Zahvaljujoč informacijskemu sistemu je mogoče obdelati:
Tako so osebni podatki o vsakem zaposlenem zajeti v vseh delodajalcih. Direktor v nobenem primeru nima pravice razširjati razpoložljivih podatkov o osebi.
Dobljene informacije o obratovalnem kontingentu lahko obdelamo na več načinov: s pomočjo računalniške tehnologije, s pomočjo osebnih sil, zahvaljujoč sistemu ocenjevanja informacij.
V vseh primerih so osebni podatki vsakega zaposlenega temeljito pregledani.
Po vrstnem redu civilnega zakonika Amurske regije
z dne 26.12.2012, št. 626
v zvezi z obdelavo osebnih podatkov
1. SPLOŠNE DOLOČBE
1.1. Ta dokument (v nadaljevanju Politika) je sistematična izjava o ciljih, načelih, metodah in pogojih za obdelavo osebnih podatkov, o izvedenih zahtevah za obdelavo in varovanje osebnih podatkov v GKU amurske regije Centralne bolnišnice svobodnih (v nadaljnjem besedilu: Center za zaposlovanje).
1.2. Politika temelji na zahtevah Zveznega zakona Ruske federacije “O osebnih podatkih”, drugih regulativnih pravnih aktov Ruske federacije, ki določajo postopek za obdelavo in zaščito osebnih podatkov. Politika je javni dokument.
1.3. V skladu z zveznim zakonom z dne 27. julija 2006 št. 152-ФЗ „O osebnih podatkih“ je Center za zaposlovanje upravljavec osebnih podatkov (v nadaljnjem besedilu: PD).
2. OBDELANI OSEBNI PODATKI
2.1. Glavni izrazi, uporabljeni v pravilniku:
· Osebni podatki - vse informacije v zvezi s fizično osebo (predmet osebnih podatkov), določene ali določene na podlagi teh podatkov, vključno z njegovim priimkom, imenom, patronymic, letom, mesecem, datumom in krajem rojstva, naslovom, družino, socialno, premoženje položaj, izobrazba, poklic, dohodek, druge informacije;
· Obdelava osebnih podatkov - dejanja (operacije) z osebnimi podatki, vključno z zbiranjem, sistematizacijo, kopičenjem, shranjevanjem, izboljšanjem (posodobitvijo, spremembo), uporabo, distribucijo (vključno s prenosom), depersonalizacijo, blokiranjem, uničenjem osebnih podatkov;
2.2. V okviru te politike obdelani osebni podatki pomenijo:
· Osebne podatke, ki jih posredujejo prejemniki javnih storitev, ki se prijavljajo na Zavod za zaposlovanje;
· Osebni podatki zaposlenih v Zavodu za zaposlovanje ali kandidati za prosta delovna mesta;
3. NAMENE OBDELAVE OSEBNIH PODATKOV
3.1. Cilji obdelave PD v Centru za zaposlovanje so:
· Zagotavljanje izvajanja ustavnih pravic državljanov Ruske federacije do dela in socialne zaščite pred brezposelnostjo z zagotavljanjem javnih storitev na področju spodbujanja zaposlovanja;
· Zagotavljanje izvajanja ustavnih pravic državljanov do pritožbe;
· Pridobitev objektivne ocene stanja trga dela v konstitutivnem subjektu Ruske federacije (v odnosu do prejemnikov javnih zavodov za zaposlovanje; brezposelnih državljanov; državljanov, ki se prijavijo v Zavod za zaposlovanje s predlogi, izjavami, pritožbami);
· Zagotavljanje skladnosti z Ustavo Ruske federacije, zakoni in drugimi zakonskimi akti, pomoč zaposlenim pri iskanju zaposlitve, usposabljanje in napredovanje za delo, rast delovnih mest, zagotavljanje osebne varnosti zaposlenih, nadzor nad količino in kakovostjo opravljenega dela, zagotavljanje varnosti lastnine, ki ji pripada, in beleženje rezultatov njihovega dela. dolžnosti in varnosti premoženja Centra za zaposlovanje.
· Opravljanje funkcij davčnega zastopnika pri zagotavljanju standardnih davčnih olajšav (za družinske člane zaposlenih v Zavodu za zaposlovanje);
· Izpolnjevanje obveznosti po civilnopravnih pogodbah (v zvezi z osebami, ki opravljajo delo, opravljajo storitve po civilnopravnih pogodbah z Zavodom za zaposlovanje).
4. NAČELA OBDELAVE OSEBNIH PODATKOV
4.1. Izvajanje obdelave PD na zakoniti in pošteni podlagi.
4.2. Omejevanje obdelave PD na doseganje specifičnih, vnaprej določenih in legitimnih ciljev, navedenih v oddelku 2 tega dokumenta. Osebnih podatkov ni dovoljeno obdelovati kot nezdružljive z namenom zbiranja osebnih podatkov.
4.3. Preprečevanje kombinacije baz podatkov, ki vsebujejo PD, ki se obdelujejo za namene, ki niso medsebojno nezdružljivi.
4.4. Obravnava le tistih PDS, ki ustrezajo namenu njihove obdelave.
4.5. Skladnost z vsebino in obsegom PD, ki se obdelujejo v navedenih namenih predelave.
4.6. Nedopustnost odpuščenega presežnega delavca v zvezi z navedenimi cilji njihove obdelave.
4.7. Zagotavljanje točnosti PD, njihove zadostnosti in, če je potrebno, in ustreznosti v zvezi z namenom obdelave PD.
4.8. Zagotovite, da so sprejeti potrebni ukrepi za odstranitev ali izboljšanje nepopolnih ali netočnih podatkov.
4.9. Izvajanje shranjevanja PD v obliki, ki omogoča določitev subjekta PD, ni daljše od namena obdelave PD, če obdobje skladiščenja PD ni določeno z zveznim zakonom, pogodba, na katero je subjekt PD upravičenec ali garant. PD, ki jih je treba obdelati, so predmet uničenja ali depersonalizacije ob doseganju ciljev obdelave ali v primeru izgube potrebe po doseganju teh ciljev, razen če zvezni zakon ne določa drugače.
5. METODE OBDELAVE OSEBNIH PODATKOV
5.1. Center za zaposlovanje obdeluje PD na naslednje načine:
· Neavtomatska obdelava PD (na papirju);
· Avtomatizirana obdelava (v ISPDn z uporabo in brez uporabe opreme za avtomatizacijo), vključno z: prenosom preko lokalnega omrežja Zavoda; z in brez prenosa preko interneta;
· Mešana obdelava PD.
5.2. Center za zaposlovanje lahko samostojno izbere metode obdelave PD glede na namene takšne obdelave ter lastne materialne in tehnične zmogljivosti.
6. POGOJI ZA OBDELAVO OSEBNIH PODATKOV
6.1. Obdelava PD se izvaja v skladu z načeli in pravili, določenimi v Zveznem zakonu o osebnih podatkih.
6.2. Obdelava PD je dovoljena v primerih, ki jih določa zvezni zakon o osebnih podatkih.
6.3. Center za zaposlovanje ima pravico, da obdelavo PD prenese na drugo osebo s soglasjem subjekta PD, če ni drugače določeno v zveznem zakonu, na podlagi pogodbe, sklenjene s to osebo, vključno z državno ali občinsko pogodbo, ali s sprejetjem ustreznega akta državnega ali občinskega organa (v nadaljnjem besedilu: državni ali občinski organ) ).
6.4. Če Zavod za zaposlovanje dodeli obdelavo osebne izkaznice drugi osebi, odgovornost subjekta PD za dejanja te osebe nosi Center za zaposlovanje. Oseba, ki obdeluje osebne podatke v imenu Zavoda za zaposlovanje, je odgovorna Zavodu za zaposlovanje.
7. ZAUPNOST OSEBNIH PODATKOV
7.1. Center za zaposlovanje in druge osebe, ki so pridobile dostop do PD, se morajo zavezati, da ne razkrijejo tretjim osebam in ne razdelijo PD brez soglasja subjekta PD, razen če zvezni zakon določa drugače.
8. SOGLASJE O PREDMETU OSEBNIH PODATKOV ZA OBDELAVO OSEBNIH PODATKOV
8.1. Oseba PD odloča o posredovanju svojih osebnih podatkov in soglaša z njihovo prosto obdelavo, po lastni volji in v njegovem interesu.
8.2. Privolitev v obdelavo PD mora biti specifična, obveščena in zavestna.
8.2. Soglasje za obdelavo PD lahko poda subjekt PD ali njegov zastopnik v kakršni koli obliki, ki omogoča potrditev dejstva o prejemu PD, razen če zvezni zakon določa drugače.
8.3. V primeru pridobitve soglasja za obdelavo osebnih podatkov od zastopnika osebnih podatkov, pooblastilo tega predstavnika, da v imenu subjekta poda soglasje o osebnih podatkih, preveri Center za zaposlovanje.
8.4. Soglasje za obdelavo PD lahko subjekt PD prekliče. V primeru, da subjekt PDN umakne soglasje za obdelavo PD, ima Center za zaposlovanje pravico do nadaljnje obdelave osebnih podatkov brez soglasja subjekta PD, če obstajajo razlogi iz 2. do 11. točke 1. dela 6. člena, 2. dela 10. člena in 2. člena 11. člena Zveznega zakona o osebnih podatkih ".
8.5. V primerih, ki jih določa zvezni zakon, se obdelava PD izvaja le s pisnim soglasjem subjekta PD. Pisna privolitev je priznana kot enakovredna elektronskemu dokumentu, podpisanemu z elektronskim zakonom, podpisanim v skladu z zveznim zakonom.
8.6. Osebne podatke lahko Center za zaposlovanje pridobi od osebe, ki ni predmet osebnih podatkov, pod pogojem, da Zavod potrdi obstoj razlogov, navedenih v točkah 2–11 prvega odstavka 6. člena, drugega odstavka 10. člena in drugega odstavka 11. člena Zveznega zakona o osebnih podatkih ".
9. IZVAJANJE PRAVIC PREDMETOV OSEBNIH PODATKOV
9.1. Pri obdelavi PD Zavod za zaposlovanje zagotavlja potrebne pogoje, da lahko PD svobodno uveljavlja svoje pravice.
9.2. Subjekt PD ima pravico dostopa do svojih osebnih podatkov.
9.3. Objekt PD ima pravico do informacij o obdelavi svojih osebnih podatkov, ki vsebujejo: potrditev dejstva, da je obdelava PD potekala v Centru za zaposlovanje; pravne podlage in namene obdelave PD; cilje in metode obdelave PD, ki jih uporablja Center za zaposlovanje; ime in kraj zaposlitvenega centra, informacije o posameznikih (razen zaposlenih v Zavodu za zaposlovanje), ki imajo dostop do osebnih podatkov ali ki lahko razkrijejo osebne podatke na podlagi dogovora z Zavodom za zaposlovanje ali na podlagi zveznega zakona; PD, ki jih obdeluje zadevni subjekt PD, vir njihovega prejema, razen če zvezni zakon ne določa drugačnega postopka za predložitev takih podatkov; Čas obdelave PD, vključno s časom shranjevanja; postopek uveljavljanja pravic, ki jih določa zvezni zakon o osebnih podatkih, s strani subjekta PDN; informacije o dokončanem ali načrtovanem čezmejnem prenosu podatkov; ime ali priimek, ime, ime in naslov osebe, ki izvaja obdelavo PDN v imenu Centra za zaposlovanje, če je obdelava zaupana ali bo zaupana taki osebi; druge informacije, ki jih določajo zvezni zakoni.
9.4. Pravica osebnih osebnih podatkov, do katere je dostop do osebnih podatkov, je lahko omejena v primerih, ki jih izrecno določajo zvezni zakoni.
9.5. Subjekt PD ima pravico zagovarjati svoje pravice in legitimne interese, vključno z odškodnino za odškodnino in (ali) odškodnino za moralno škodo na sodišču.
9.6. Če subjekt PD meni, da Center za zaposlovanje obravnava svojo PD v nasprotju z zahtevami Zveznega zakona “O osebnih podatkih” ali kako drugače krši njegove pravice in svoboščine, ima subjekt PD pravico do pritožbe zoper dejanja ali neukrepanje zavoda za zaposlovanje pri pooblaščenem organu za zaščito pravic subjektov PD ali sodni nalog.
10. INFORMACIJE O UKREPIH, KI IZVAJAJO Zavod za zaposlovanje
ZARADI IZVAJANJA ODGOVORNOSTI V ZVEZI Z OBDELAVO OSEBNIH PODATKOV
10.1. Zavod za zaposlovanje, ko obdeluje PD, opravlja svoje naloge kot operater PD, ki ga določa Zvezni zakon o osebnih podatkih.
10.2. Zavod za zaposlovanje sprejme potrebne in zadostne ukrepe za izpolnitev dolžnosti, določenih s tem zveznim zakonom in zakonskimi akti, sprejetimi v skladu z njim.
10.3. Center za zaposlovanje samostojno določi sestavo in seznam potrebnih in zadostnih ukrepov za zagotovitev izpolnjevanja obveznosti, določenih s tem zveznim zakonom in zakonskimi akti, sprejetimi v skladu z njim, razen če zvezni zakoni določajo drugače.
11. INFORMACIJE O IZVAJANJU UKREPOV ZA ZAPOSLOVANJE ZA VARSTVO OSEBNIH PODATKOV PRI OBDELAVI t
11.1. Zavod za zaposlovanje pri obdelavi PD zagotavlja sprejetje potrebnih pravnih, organizacijskih in tehničnih ukrepov za zaščito PD pred nezakonitim ali nenamernim dostopom do njih, uničenjem, spreminjanjem, blokiranjem, kopiranjem, zagotavljanjem, distribucijo PD, kot tudi iz drugih nezakonitih dejanj v zvezi z PDN.
11.2. Zavod za zaposlovanje z namenom varovanja osebnih podatkov izvaja zahteve za varstvo osebnih podatkov, ko jih obdelujejo v informacijskih sistemih osebnih podatkov, ki jih je vzpostavila vlada Ruske federacije.
11.3. Zavod za zaposlovanje zagotavlja zlasti zagotavljanje varnosti PD, zlasti:
· Prepoznavanje nevarnosti za varnost osebnih podatkov, kadar se obdelujejo v ISPDN Centra za zaposlovanje;
· Z uporabo organizacijskih in tehničnih ukrepov za zagotavljanje varnosti osebnih podatkov, ko se obdelujejo v ISPDN Centra za zaposlovanje, ki so potrebni za izpolnjevanje zahtev za varstvo osebnih podatkov, katerih izpolnitev zagotavlja raven varstva osebnih podatkov, ki jo je določila Vlada Ruske federacije;
· Uporaba ukrepov za varovanje informacij, opravljenih na predpisan način;
· Ocena učinkovitosti ukrepov, ki jih je Zavod za zaposlovanje sprejel za zagotavljanje varnosti osebnih podatkov pred naročilom ISPDN Centra za zaposlovanje;
• upoštevanje strojnih nosilcev PD Zavoda za zaposlovanje;
· Odkrivanje dejstev nepooblaščenega dostopa do PDN in ukrepanje;
· Obnovitev PDN, ki je bila spremenjena ali uničena zaradi nepooblaščenega dostopa do njih;
· Vzpostavitev pravil za dostop do PDN, obdelanih v SPDN Centra za zaposlovanje, kot tudi zagotavljanje registracije in evidentiranja vseh ukrepov, izvedenih na PDN v ISPDN v Centru za zaposlovanje;
· Nadzor nad sprejetimi ukrepi za zagotavljanje varnosti osebnih podatkov in stopnje varnosti ISPDN Centra za zaposlovanje.
11.4. Informacije o ukrepih, ki jih Center za zaposlovanje sprejme za zaščito osebnih podatkov, so omejene informacije.
12. Sprememba politike. Pravo, ki se uporablja
12.1. Center za zaposlovanje ima pravico do sprememb te politike.
12.2. Pri spreminjanju naslova politike je naveden datum zadnje posodobitve revizije.
12.3. Nova različica Politike začne veljati od trenutka objave na spletni strani Oddelka za zaposlovanje v Amurski regiji, razen če nova različica Politike določa drugače.
Kaj je povezano z metodami obdelave osebnih podatkov in kaj je povezano z ukrepi z osebnimi podatki?
V skladu z določbo 9 Odloka Roskomnadzora z dne 19. avgusta 2011 št. 706, metode * vključujejo:
- neavtomatizirana obdelava osebnih podatkov;
- izključno avtomatizirana obdelava osebnih podatkov z ali brez prenosa prejetih informacij po omrežju;
- mešana obdelava osebnih podatkov (opomba N 4).
In za ukrepe v skladu s čl. 3 Zveznega zakona z dne 27.07.2006 št. 152-FZ.
- pojasnitev (posodobitev, sprememba);
- distribucija (vključno s prenosom);
- uničenje osebnih podatkov.
Utemeljitev za to stališče je podana spodaj v gradivu »Sistem Odvetnik«.
„Obdelava osebnih podatkov je vsako dejanje (operacija) ali niz ukrepov (operacij), ki se izvajajo z uporabo orodij avtomatizacije ali brez uporabe takšnih sredstev z osebnimi podatki, vključno z zbiranjem, evidentiranjem, sistematizacijo, kopičenjem, shranjevanjem, izboljšanjem (posodobitvijo, spremembo), pridobivanje, uporaba, prenos (distribucija, zagotavljanje, dostop), depersonalizacija, blokiranje, izbris, uničenje osebnih podatkov “
"V polju" seznam dejanj z osebnimi podatki, splošni opis metod, ki jih uporablja operater za obdelavo osebnih podatkov "* označuje dejanja, ki jih je izvajalec izvajal z osebnimi podatki, kot tudi opis metod, ki jih uporablja operater za obdelavo osebnih podatkov:
- neavtomatizirana obdelava osebnih podatkov;
- izključno avtomatizirana obdelava osebnih podatkov z ali brez prenosa prejetih informacij po omrežju;
- mešana obdelava osebnih podatkov (opomba N 4) Opomba N 4. Pri avtomatizirani obdelavi osebnih podatkov ali mešani obdelavi je treba navesti, ali se informacije, pridobljene med obdelavo osebnih podatkov, posredujejo na notranjem omrežju pravne osebe (informacije so na voljo le natančno opredeljenim zaposlenim v pravni osebi). ) ali se informacije prenašajo prek javnega interneta ali brez posredovanja prejetih informacij. "
* Tako poudarjen del gradiva, ki vam bo pomagal sprejeti pravo odločitev.
Pogoji, nianse in pogoste blodnje - v materialu strokovnjakov varnostne službe podjetja "Onlanta" (vključeni v skupino podjetij LANIT).
Razumemo pravno terminologijo in zelo nianse, za katere ste lahko na sodišču.
Glavni zakon, ki ureja odnose v zvezi z obdelavo osebnih podatkov, je zvezni zakon z dne 27. julija 2006 št. 152-ФЗ „O osebnih podatkih“.
Prvi izraz, ki ga je treba razumeti, so osebni podatki.
To so vse informacije, ki se lahko uporabijo za identifikacijo osebe: na primer ime in priimek, datum rojstva, izobrazba, dohodek in celo zakonski stan. Vprašate: "In kaj, moj priimek, natisnjen na vizitki, so tudi osebni podatki?"
Odgovor: "Da." Po zakonu ni pomembno, ali je na vizitko ali v kombinaciji natisnjeno samo vaše priimek, na primer s telefonsko številko in naslovom. Tako prvi kot drugi, tretji - osebni podatki. Res je, da za shranjevanje vizitk ali telefonskih številk deklet v imeniku ni treba odgovoriti z zakonom, temveč bolj na spodaj.
Pojdi naprej. Mediji nenehno pišejo "shranjevanje osebnih podatkov". Pravilno gledano ne gre za shranjevanje, ampak za obdelavo osebnih podatkov. Kakšna je razlika? Shranjevanje je le del tega, kar se imenuje obdelava osebnih podatkov. Dejanja, ki jih izvajate z osebnimi podatki (zbiranje, zbiranje, shranjevanje, prenos, spreminjanje), so z zakonom označena kot „obdelava osebnih podatkov“.
Pomembno je razumeti, da zakon ločuje dva subjekta osebnih podatkov: upravljavca in obdelovalca. Upravljavec izvaja obdelavo osebnih podatkov in tudi določa namen njihove obdelave, sestavo osebnih podatkov, ki jih je treba obdelati, dejanja (operacije), ki se izvajajo z osebnimi podatki.
Vodnik je oseba, ki izvaja kakršne koli ukrepe z osebnimi podatki: zbiranje, shranjevanje, organiziranje, zbiranje, posodabljanje, posodabljanje, brisanje, depersonaliziranje itd.
Pravzaprav, vodnik ni le končni uporabnik, ki potrebuje osebne podatke za delo, temveč tudi vsak vmesni uporabnik, preko katerega roke so ti osebni podatki posredovani. Pokaži v praksi.
Spletna trgovina ima bazo podatkov o strankah, ki se nahaja v "oblaku" tretje družbe. S to bazo deluje marketinška agencija. Vprašanje: Koliko operaterjev osebnih podatkov imamo?
Pravilen odgovor je eden. To je spletna trgovina, ki določa cilje obdelave osebnih podatkov. Drugo vprašanje je: koliko obdelovalcev osebnih podatkov imamo? Pravilen odgovor je dva.
Osebni podatki se obdelujejo v različnih institucijah: na primer v bankah, šolah, klinikah, v vizumskih centrih. Da ne omenjam spletnih strani, kjer se registriramo, pustite naše e-poštne naslove in telefonske številke. Toda kako in kje točno?
V zakonodaji je tako nejasen izraz kot „informacijski sistem za osebne podatke“. Če poskusite pojasniti v preprostih besedah - to je celoten kompleks, sestavljen iz strežnikov baz podatkov, tehničnih sredstev za zagotavljanje njihove obdelave in informacijske tehnologije. V skladu z zakonom je treba varovati vsak informacijski sistem osebnih podatkov.
Metode varovanja informacij so različne.
Eno od sredstev za zaščito informacij je depersonalizacija osebnih podatkov. Kaj je to? V vizumskem centru se vsaki osebi, ki zaprosi za vizum, dodeli ločena identifikacijska številka. Sama številka se ne nanaša na osebne podatke, saj osebo depersonalizira: nemogoče je identificirati osebo, ki je zaprosila za vizum.
Torej, s terminologijo razvrščeno. Zdaj bi morali vsi predstavniki podjetij, zlasti samostojni podjetniki, ki imajo le nekaj zaposlenih v osebju, iskreno odgovoriti na vprašanje: »Ali obdelujem osebne podatke?«
Da, če ste lastnik spletnega mesta s prisotnostjo petih ljudi na teden, vendar ima obrazec za povratne informacije s polji "ime, e-poštni naslov, telefonska številka". Informacije o namenih, za katere zbirate osebne podatke, kako jih uporabljate, morajo biti predstavljene na vaši spletni strani.
Da, če obdelujete osebne podatke svojih zaposlenih ali strokovnjakov tretjih oseb, ki so zaposleni.
Da, če delate z zasebnimi strankami in potrebujete podatke o njihovih potnih listih za sklepanje pogodb - to velja za potovalne agencije, fitnes centre, različne storitvene družbe, spletne trgovine in druge.
In še enkrat, da, če ste proračunska organizacija, politična stranka ali vrtec. Slednji imajo ne le podatke o otroku, ampak tudi njegove starše, vključno z delom in položajem. Da ne omenjam zdravstvenih ustanov - obstaja morje osebnih občutljivih informacij, ki jih je treba varno shraniti.
Če pa podatke uporabljate za osebno komunikacijo brez komercialne koristi, se zahteve zakonodaje ne nanašajo na vas in ne gre za nobeno kazensko odgovornost.
Na primer, uporaba stikov, natisnjenih na vizitki, ki ste jo prejeli od kolega, ali telefonskih številk v zvezku na pametnem telefonu, informacije na družabnih omrežjih vam ne nalagajo odgovornosti pred zakonom.
Glavna stvar je, da ne razkrivamo podatkov oglaševalcem in jih ne objavljamo brez dovoljenja lastnikov osebnih podatkov v javni domeni.
Čestitamo, ponosni ste lastnik naziva »operater osebnih podatkov«. Zdaj je najpomembnejše, da natančno razumete, katere osebne podatke obdelujete. Ker je odvisno od kategorije osebnih podatkov, kako zaščititi podatke in katere zahteve je treba izpolniti. Kategorije so podrobno opisane v Zveznem zakonu-152 in resoluciji vlade z dne 1. novembra 2012 N 1119.
Splošno dostopni osebni podatki: podatki iz odprtih virov, ki jih objavijo osebni podatki ali z odobritvijo. Javno dostopni podatki so podatki iz medijev ali interneta.
Primer: informacije, objavljene v odprtem dostopu na socialnih omrežjih ali na spletni strani podjetij. Telefonska številka in družinski status, objavljen v javnem dostopu do Facebooka. Ime zaposlenega in njegovo delovno mesto na spletni strani delodajalca.
Biometrični osebni podatki: ta kategorija vključuje vse podatke o fizioloških in bioloških značilnostih ljudi.
Primer: teža, višina, barva oči ali las, dolžina las, krvna skupina, fotografija.
Osebni podatki posebne kategorije: to vključuje informacije o pripadnosti kateri koli rasi in narodu, politični pogledi, verska in filozofska prepričanja, zdravstveno stanje ali intimno življenje.
Primer: medicinska diagnoza (informacije o tem, kaj ste zboleli, kdaj, kaj zdravnik vas je obravnaval).
Osebni podatki drugih vrst - to vključuje osebne podatke, ki niso vključeni v zgoraj navedene kategorije.
Primer: informacije o podjetju. Računovodske izkaznice za zaposlene, ki vsebujejo informacije, s katerimi so HR in knjigovodska dela: plače, počitnice, datumi zaposlitve.
Ko se odločite za kategorijo osebnih podatkov, morate razumeti natančno količino podatkov, ki jih obdelujete: do 100 tisoč ali več kot 100 tisoč.
Ugotovili smo kategorijo in količino, določili vrsto nevarnosti:
Grožnje številka 1. "Luknje" in ranljivosti v operacijskem sistemu. Primer: ranljivosti, ki jih hekerji uporabljajo za infiltriranje v operacijski sistem, za krajo informacij.
Grožnje številka 2. "Luknje" in ranljivosti v aplikacijski programski opremi, torej v programski opremi, ki se uporablja v vašem vsakodnevnem delu. Primer: Word, Excel.
Grožnje številka 3. Vse druge nevarnosti, ki niso navedene v prvih dveh vrstah. Najprej človeški dejavnik. Zaposleni lahko dokument ostane odprt na odklenjenem računalniku, pošlje dokument za tiskanje na tuje tiskalnik ali po e-pošti.
Količina osebnih podatkov, kategorija, vrsta groženj - skupaj vam omogočajo, da ugotovite, kakšna raven zaščite je potrebna za vaš informacijski sistem. Zdaj imamo štiri ravni zaščite.
Prva in najvišja raven varstva se najpogosteje uporablja za obdelavo osebnih podatkov v vladnih agencijah in zdravstvenih ustanovah. Četrto raven zaščite je najlažje zagotoviti, včasih je dovolj, da se izvedejo organizacijsko regulativni ukrepi, predvsem v zvezi z varstvom javno dostopnih podatkov.
Stopnjo zaščite lahko določite s to tabelo.
Bolnišnica obdeluje osebne podatke svojih pacientov - to so osebni podatki posebne kategorije. Obdeluje tudi osebne podatke zaposlenih - to so osebni podatki druge kategorije. Najverjetneje ima bolnišnica dve podatkovni zbirki. Če dodate obe bazi podatkov, boste dobili skupno količino osebnih podatkov, ki se vrtijo v informacijskem sistemu te bolnišnice.
Na primer, vse od njih - do 100 tisoč. Nato pogledamo, kako se obdelujejo podatki: avtomatizirani (v računalniku) ali ne avtomatizirani (v ročni omarici za datoteke). Če je vse avtomatizirano, pogledamo, kakšno programsko opremo uporablja bolnišnica, katere ranljivosti ima.
Na podlagi tega so opredeljene grožnje in njihova raven. Vse dejavnike seštejemo in dobimo drugo stopnjo zaščite. Oglejmo si, kakšne so zahteve iz zakona na drugi stopnji varnosti. Na podlagi teh zahtev bo treba zgraditi zaščito informacijskega sistema, ki bo ustrezala zahtevam zveznega zakona.
Zakaj se sploh ukvarjati z varstvom osebnih podatkov? Osebni podatki so dragi izdelki na črnem trgu. Prevaranti so pripravljeni plačati impresivne zneske za profil, ki vsebuje vse podrobnosti zdravstvene kartoteke osebe. Ločen trg - prodaja podatkov o bančnih karticah; računi v družabnih omrežjih.
Posledice uhajanja osebnih podatkov so različne. Podatki so lahko javno dostopni na internetu: na primer, lahko preprosto najdete ukradene zbirke podatkov z naslovi in telefonskimi številkami strank podjetja v omrežju. Če poznate ime in priimek, lahko vsakdo najde domači naslov osebe, se vključi v družabno omrežje, si ogleda profil ali pa samo napiše SMS na mobilni telefon.
Osebni podatki se lahko vnesejo v podatkovno bazo nadležnih pošiljk neke komercialne organizacije, nato pa bo njihov lastnik preobremenjen z nenaročenimi ponudbo storitev. Lahko jih uporabljajo tudi spletni prevaranti za spletne igralnice ali odprejo elektronsko denarnico.
V najhujših primerih lahko napadalec pooseblja drugo osebo in si zasluži ime nekoga drugega. Najresnejše posledice uhajanja osebnih podatkov so: nezakonita ravnanja z nepremičninami, tatvina denarja iz bančnih kartic, izsiljevanje sorodnikov in registracija podjetja.
Ali razumete pomen vprašanja in ste pripravljeni prevzeti odgovornost? Tako je. Ker je odgovornost za varnost osebnih podatkov v celoti v pristojnosti operaterja.
To pomeni, da mora upravljavec poskrbeti, da informacije ne pridejo v javni dostop ali da ne sodijo v roke tretjih oseb, ki nimajo nobenih pravic do tega. To zahteva stalno spremljanje in preprečevanje ogrožanja varnosti podatkov, nadzor nad nivojem informacijske varnosti in njeno obnovo v primeru izgube.
V naši državi Roskomnadzor spremlja skladnost z zakonodajo na področju obdelave osebnih podatkov. Ta organ se odziva na pritožbe, ureja odnose med subjekti in izvajalci.
Tehnične zahteve za varovanje informacij so v pristojnosti FSTEC in FSB: razvijajo zahteve in nadzorujejo njihovo izvajanje.
In zdaj je čas, da preučimo tabele z zahtevami za tehnično zaščito osebnih podatkov. Podrobnosti najdete v nalogu Zvezne službe za tehnični in izvozni nadzor z dne 18. februarja 2013 N 21.
Ampak vsaj začnite s tem:
Mnogi lastniki spletnih mest menijo, da če obiskovalec klikne gumb »Strinjam se z obdelavo osebnih podatkov«, ne bo nobenih pravnih težav, in obdelava podatkov bo samodejno spadala v pravno področje. To ni.
S pravnega vidika obstajata le dva načina za potrditev soglasja za obdelavo osebnih podatkov: podpis na papirju ali elektronski digitalni podpis.
V vseh drugih primerih, če gre za zadevo na sodišče, lastnik mesta ne bo mogel potrditi, kdo točno pritisne na gumb "Strinjam se". Lahko samo upamo, da je subjekt, ki je prišel na vašo spletno stran prostovoljno posreduje svoje podatke in ne vloži pritožbe.
Da, pregledi so lahko iz Roskomnadzora.
Roskomnadzor letno objavlja seznam preverjanj selektivno s seznama registriranih operaterjev, če je podjetje vključeno v seznam pregledov, potem je naslednji predvideni pregled možen ne prej kot po treh letih. Ogledate si lahko, ali je vaše podjetje na seznamu v tem letu.
Preglede po načrtu običajno povzročijo pritožbe. Če je pregled nenačrtovan, vas o tem v 24 urah pisno opozorite.
Lahko so tudi dokumentarni pregledi. Pri dokumentiranju boste poslali seznam dokumentov, katerih kopije boste morali poslati na Roskomnadzor.
Včasih Roskomnadzor opravi inšpekcijske preglede na kraju samem: inšpektorji osebno obiskujejo in preverjajo podjetje na kraju samem.
Priprava na katerikoli od teh pregledov je zamudna naloga. Ali boste sami rešili nalogo priprave za inšpekcijski pregled ali pa boste vključili zunanje strokovnjake, najprej morate ugotoviti, kdo bo v podjetju odgovoren za izpolnjevanje FZ-152.
Za kršitev 152-FZ je predvidena civilna, kazenska, upravna in disciplinska odgovornost.
Torej je Roskomnadzor opravil inšpekcijski pregled, če bi ugotovil neskladnosti z zakonom, izdal nalog preiskovalnemu odboru za izvedbo sojenja o kršitvi zakona o osebnih podatkih.
Po tem, bo tožilstvo začela inšpekcijski pregled, v katerem lahko ustavi dejavnosti podjetja: umaknite podatkovne baze podjetja, zlasti računalnike, na katerih so bili obdelani osebni podatki.
Kršitelji zakona predvsem čakajo na globe. Znesek glob je odvisen od kaznivega dejanja. Tako bodo za obdelavo osebnih podatkov brez pisnega dovoljenja subjektov pravne osebe morale prevzeti upravno odgovornost.
Tudi če je operater pripravljen plačati globo, vendar po standardih velikega podjetja, se to ne zdi ogromno, bo storilec še vedno moral odpraviti nedoslednost pred zakonom (npr. Izbrisati shranjene podatke) in obvestiti Roskomnadzor.
Najslabši scenarij je, če se Roskomnadzor odloči za preklic licence podjetja, prepoved poslovanja z obdelavo osebnih podatkov in nezakonito objavljanje osebnih podatkov državljanov.
V zadnjih nekaj letih je bil najglasnejši škandal v Rusiji povezan z blokiranjem LinkedIna, katerega lastniki so bili obtoženi obdelave osebnih podatkov državljanov brez njihovega soglasja na strežnikih izven Ruske federacije. Blokiranje storitve autonum.info je bilo tudi »narejeno s hrupom«.
Obdelavo osebnih podatkov lahko organizirate samostojno ali s pomočjo podjetja, ki zagotavlja takšno storitev.
Če se boste sami odločili obdelati osebne podatke, boste potrebovali:
V najboljšem primeru bo trajalo tri do štiri mesece, na stroške takega izvajanja, je lahko 200-300 tisoč rubljev - to je strošek nakupa opreme in licenc. Stroški dela in nadaljnja podpora informacijskemu sistemu sta ločeni odhodkovni postavki. Potrebovali boste tudi skrbnika, ki bo spremljal delovanje sistema.
Če govorimo objektivno, zelo majhna podjetja preprosto ne izpolnjujejo vseh zahtev zakona v upanju, da ne bo nobenega preverjanja. Morda res ne bo. Druga podjetja ustvarjajo "Potemkinske vasi" samo s pretvarjanjem, da obdelujejo osebne podatke v skladu z zahtevami zakona, z drugimi besedami, "kupujejo" potrebne dokumente.
V naslednjem članku bomo prikazali, kako izračunati stroške obdelave osebnih podatkov v podjetju in vam povedati, kdaj je bolj koristno obdelati osebne podatke in kdaj je bolje, da jih shranite v oblaku.
Gradivo je objavil uporabnik. Kliknite gumb "Napiši", da delite svoje mnenje ali govorite o svojem projektu.
Zvezni zakon Ruske federacije št. 152-ФЗ "O osebnih podatkih" je bil sprejet 27. julija 2006 in je bil na podlagi drugih izjemnih dogodkov v preteklem letu skoraj neopažen. Formalni razlog za njegovo sprejetje so bila številna dejstva, da so se zbirke osebnih podatkov v državnih in komercialnih strukturah zlorabljale in da so bile razširjene. Pravzaprav je bil glavni namen sprejetja tega zakona potreba po odpravi nekaterih ovir za trgovino z državami Evropske unije.
Francija je prepovedala objavo dejstev o zasebnosti in kršiteljem naložila globe leta 1858.
Norveški kazenski zakonik je prepovedal objavo informacij o "osebnih ali zasebnih zadevah" leta 1889.
Domače pravo »O osebnih podatkih« z dne 27. julija 2006 št. v "Rossiyskaya Gazeta").
V skladu z direktivo EU 95/46 / ES se lahko osebni podatki prenesejo le v države, ki zagotavljajo enako raven zaščite kot v Evropi. To je močno oviralo izmenjavo informacij med evropskimi vladnimi agencijami in podjetji s tujimi partnerji, kar je onemogočalo mnoge komercialno obetavne projekte. Takšne omejitve niso doživele le Rusija in države tretjega sveta, temveč tudi gospodarska pošast, kot so Združene države. Naša vlada se je zato odločila premagati to oviro. Poglejmo, kako je to storil in kaj nas bo vse stalo.
Sprejetje ruskega zakona o osebnih podatkih je bilo posledica pristopa Ruske federacije k Evropski konvenciji 1981 o zaščiti osebe v zvezi z avtomatsko obdelavo osebnih podatkov, ki opredeljuje temeljna načela za varstvo osebnih podatkov v evropskih državah. Ta konvencija in poznejše direktive Evropske unije so opisale naloge, ki jih mora nacionalna zakonodaja obravnavati pri urejanju osebnih podatkov: t
Naš zakon v glavnem ponavlja glavne določbe evropske zakonodaje na tem področju, ki velja za eno najtežjih na svetu. Čeprav je bil leta 2006 zakon pogosto govorjen, je malo ljudi skrbno prebralo vsebino njegovih določb. Da pa zagotovimo skladnost z zahtevami, je treba bistveno spremeniti delo z informacijami in dokumentacijo, ki vsebuje osebne podatke. Poskusimo ugotoviti, kaj je novega na področju upravljanja dokumentov in informacij v organizaciji?
Oglejmo zdaj podrobneje o najpomembnejših določbah zakona in ocenimo, kaj se bodo organizacije in institucije morale izvajati. Poleg tega bomo poskušali analizirati nekatere zakonske določbe v smislu pravilnosti in jasnosti njihovega besedila.
Prvo vprašanje: za koga se uporablja ta zakon? Glede na to lahko rečemo, da velja za vse brez izjeme (za državne institucije, pravne in fizične osebe). Tu je seznam člena 1:
Drugo pomembno vprašanje je področje uporabe zakona.
Člen 1 Zveznega zakona Ruske federacije "O osebnih podatkih" št. 152-FZ z dne 27. julija 2006
Ta zvezni zakon ureja odnose, povezane z obdelavo osebnih podatkov... z uporabo orodij avtomatizacije ali brez uporabe takšnih sredstev, če obdelava osebnih podatkov brez uporabe takšnih sredstev ustreza naravi dejanj (operacij), ki se izvajajo z osebnimi podatki s pomočjo avtomatiziranih sredstev.
Besedilo tega članka je primer, kako ne bi pisali zakonov. Izkazalo se je, da je nekaj nerazumljivo, kar omogoča različne interpretacije. Kako na podlagi takega besedila na primer odgovoriti na vprašanje, ali spadajo podatki, ki so zajeti v prosti obliki v poslovnih zvezkih, v področje uporabe zakona? Če je takšen zvezek shranjen v računalniku ali mobilnem telefonu, ali se šteje za "uporabo opreme za avtomatizacijo"?
Evropska zakonodaja v zvezi s tem jasnejša: t
Direktiva EU 95/46 / ES 1995
Člen 2 "Opredelitve": t
(c) „sistem za shranjevanje osebnih podatkov“ 4 („sistem za shranjevanje“) je vsak strukturiran niz osebnih podatkov, do katerega je mogoče dostopati v skladu z določenimi merili - ne glede na to, kako je zbirka podatkov organizirana, bodisi centralizirana, decentralizirana ali distribuirana. na funkcionalni ali geografski podlagi...
Člen 3 "Področje uporabe": t
1. Ta direktiva se nanaša na obdelavo osebnih podatkov z uporabo samodejnih sredstev (v celoti ali delno), kakor tudi na obdelavo, ki ni avtomatična, osebni podatki, komponente ali so namenjeni za del sistemov za shranjevanje.
V sodobni računalniški terminologiji »strukturirani podatki« pomenijo predvsem baze podatkov. V dokumentaciji vsebujejo kartoteke in arhive osebnih datotek. Zato evropske zahteve vključujejo:
Zakaj je bilo nemogoče pisati v ruščini in v našem pravu je še vedno nerazumljivo?
Pozornost je treba nameniti različni terminologiji: "avtomatska obdelava" je ena stvar, obdelava "z uporabo opreme za avtomatizacijo" pa je povsem drugačen koncept, veliko širši in bolj nejasen.
Zakon določa le štiri izjeme, in sicer zakon ne velja za razmerja, ki izhajajo iz:
Ena od teh točk zahteva podrobnejšo študijo. Za začetek citiramo zakon:
Člen 1 Zveznega zakona Ruske federacije "O osebnih podatkih" št. 152-FZ z dne 27. julija 2006
2. Ta zvezni zakon se ne uporablja za odnose, ki izhajajo iz: t
2) organizacijo shranjevanja, pridobivanja, obračunavanja in uporabe, ki vsebujejo osebne podatke dokumentov Arhivskega sklada Ruske federacije in druge arhivske dokumente v skladu z zakonodajo o arhivskem gradivu v Ruski federaciji.
Opozarjamo vas na dve opredelitvi iz Zakona o arhivskih zadevah v Ruski federaciji št. 125-ФЗ z dne 10.22.2005:
Tukaj je primer, kako se to lahko stori. V skladu z Zveznim zakonom "o arhivskih zadevah v Ruski federaciji" (drugi odstavek 18. člena) vlada Ruske federacije potrdi seznam zveznih izvršilnih organov in organizacij, ki izvajajo depozitarno hrambo dokumentov Arhivskega sklada Ruske federacije, ki so v zvezni lasti. Konec leta 2006 je bil odobren nov seznam 5 oddelkov in organizacij. Hkrati je bilo tem organizacijam naloženo, da z Rosarkhivom sklenejo sporazum o pogojih za shranjevanje dokumentov. Če je ob sklenitvi pogodbe izrecno določeno, da se vsi dokumenti, razen operativnih, štejejo za dokumente, ki se prenesejo na skrbništvo, se večina dokumentov lahko da v to izjemo.
Za druge državne organizacije bi lahko ena od možnosti bila takojšnja odobritev evidenc z državnimi arhivi, kar bi pomenilo vključitev dokumentov v arhiv Ruske federacije in ponovno zapustitev "območja delovanja" zakona o osebnih podatkih.
Direktive Evropske unije ne vsebujejo takšne izjeme, vendar obstaja, na primer, v zakoniku ZDA 6, ki vsebuje bolj pravilno besedilo, ki ne dopušča dvoumnosti: zakonodaja o osebnih podatkih na splošno ne velja za dokumente, ki so že deponirani v državnih arhivih, se nanaša na dokumente, ki jih katera koli agencija v skrbništvu prenese v državne arhive.
Prav tako ni jasno, zakaj je iz naših številnih državnih podatkovnih baz naš zakon naredil izjemo za Enotni državni register individualnih podjetnikov (EGRIP). Logično bi bilo torej razširiti izjemo na druge državne registre, ki vsebujejo tudi osebne podatke (na primer, ustanovitev vključuje informacije o ustanoviteljih in prvih osebah vseh pravnih oseb v državi).
Osebni podatki - vse informacije, ki se nanašajo na fizično osebo (predmet osebnih podatkov), določene ali določene na podlagi teh podatkov, vključno z njegovim priimkom, imenom, patronymic, letom, mesecem, datumom in krajem rojstva, naslovom, družino, socialno, premoženjsko stanje, izobraževanje, poklic, dohodek, druge informacije (v skladu s členom 3 Zakona o osebnih podatkih).
Zakon določa naslednje načine obdelave osebnih podatkov (za nekatere so podrobna pojasnila v 3. členu):
Posebno pozornost je treba nameniti metodam obdelave, kot so blokiranje in uničenje osebnih podatkov. Zakon zelo dobro govori o uničenju - to je pristop, ki ga sedaj priporočajo domači in tuji standardi. Za blokiranje osebnih podatkov je bil prvič uveden ta način obdelave v domačo prakso, njegova izvedba pa lahko bistveno oteži življenje organizacijam, ki uporabljajo predhodno razvite informacijske sisteme in podatkovne baze, v katerih taka operacija ni zagotovljena.
Določbe zakona so namenjene predvsem preprečevanju nezakonitega zbiranja in uporabe osebnih podatkov. Ta želja zakonodajalca je povzročila nastanek novega položaja v praksi vodenja evidenc:
Klavzula 2 člena 5 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ
Osebni podatki bi morali biti shranjeni v obliki, ki omogoča določitev predmeta, ne več, kot to zahtevajo procesni cilji, in bi jih bilo treba uničiti ob doseganju ciljev obdelave osebnih podatkov ali izgube potrebe po njih.
V tem primeru je zakon prvič morda za informacije in dokumente določil največje in še bolj pogojno obdobje shranjevanja - „ob doseganju ciljev obdelave“. Organizacije bodo morale določiti obdobja shranjevanja za dokumente, ki vsebujejo osebne podatke, zato bo treba vnaprej razmisliti o razlogih za izbrana obdobja shranjevanja. To je precej zapleteno vprašanje, ki lahko povzroči veliko polemik in problemov.
Poleg tega morajo strokovnjaki DOE paziti na naslednje: ker je treba cilje za zbiranje in obdelavo osebnih podatkov, kot jih zahteva zakon, določiti pred začetkom dela, je treba skrbno preučiti njihovo besedilo. Sicer lahko organizacija sama nadomesti: cilji bodo izpolnjeni, osebni podatki pa ne bodo uničeni.
Ena izmed najbolj neprijetnih za organizacije, ki zbirajo in obdelujejo osebne podatke, je zahteva 6. člena glede potrebe po pridobitvi soglasja subjekta za njihovo obdelavo. Privolitev ni potrebna le v naslednjih primerih:
Že imamo številne zvezne zakone, ki opisujejo obdelavo osebnih podatkov, na primer pri vzdrževanju enotnih državnih registrov davkoplačevalcev (EGRN) in pravnih oseb (USR). Edini pogoj za uporabo izjeme od splošne zahteve za soglasje je določiti naslednja vprašanja v ustrezni zakonodaji:
Še ni jasno, kaj se bo zgodilo s tistimi zakoni, ki vsebujejo norme, povezane z zbiranjem in obdelavo osebnih podatkov, vendar ne izpolnjujejo določenih pogojev.
Prvi problemi, povezani s skladnostjo z novim zakonom, so opozorili zavarovalnice. Po njihovem mnenju lahko zakon o osebnih podatkih resno ovira izvajanje zakona o zavarovanju avtomobilske odgovornosti zaradi prepovedi prenosa osebnih podatkov stranke, pridobljenih ob sklenitvi pogodbe o avtomobilski odgovornosti, brez njegovega soglasja tretjim osebam. Zaradi tega zavarovalnica ne bo mogla pridobiti popolnih informacij o svojih strankah iz ene same podatkovne zbirke (prav tako je vprašljivo tudi vzdrževanje takšne baze podatkov), v tem primeru se tveganja zavarovalnic povečujejo.
Zavarovalnice že zdaj skušajo zanje rešiti ta pomemben problem z upoštevanjem naslednjih možnosti:
Šesti odstavek 6. člena o podelitvi pravice do obdelave osebnih podatkov novinarjem, znanstvenikom in predstavnikom drugih ustvarjalnih poklicev brez soglasja subjekta je v dvomih. Popolnoma realistično (zlasti v komercialnih strukturah) je uvesti polni delovni čas „predstavnika ustvarjalnega poklica“ in mu „pisati“ vse podatkovne baze, ki vsebujejo osebne podatke.
V Angliji je na primer v podobni določbi zakona dodatno določeno, da mora biti v tem primeru namen obdelave podatkov objavljanje ustreznega gradiva; da mora biti takšna objava v javnem interesu (tudi pri uveljavljanju pravice do samoizražanja predstavnika ustvarjalnega poklica) 9.
Poleg tega je zanimivo, kako bomo ugotovili, kdo je novinar ali pisatelj in kdo ni. Ni skrivnost, da mnogi pisci nimajo ustreznih diplom ali uradnih izkaznic. Pri nas lahko uporabimo pristop, ki ga uporabljamo v ZDA: novinarji prepoznajo vse tiste, ki pišejo članke za javno distribucijo, čeprav so objavljeni le na internetu.
V Združenih državah Amerike je januarja 2007 začelo sojenje nekdanji visoki upravi Georgea Busha Lewisa "Skuter" Libby. V sodni dvorani je bilo za novinarje namenjenih sto sedežev, dva pa sta bila uradno sprejeta s strani avtorjev internetnih dnevnikov.
Ameriško združenje časopisnih urednikov pri pripravi zveznega zakona o podelitvi pravice novinarjem, da ne razkrijejo zaupnih informacij med sodnimi postopki, kaže, da ta zakon velja za vse brez izjeme in zajema tiste, ki zbirajo informacije za nadaljnjo distribucijo. Tudi avtorji spletnih dnevnikov, »blogerji«, spadajo pod to opredelitev 10.
Zdaj pa poglejmo, kako novi zakon vključuje pridobitev soglasja subjekta do obdelave njegovih osebnih podatkov.
Določba 1 člena 9 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ
O osebnih podatkih se odloča o posredovanju osebnih podatkov in se strinja z njihovo obdelavo po lastni volji in v svojem interesu... Osebni podatki lahko odvzamejo soglasje za obdelavo osebnih podatkov.
Poleg tega klavzula 3 člena 9 vsebuje precej neprijeten pogoj za izvajalce. Bodisi bodo morali zbrati dokaze, da so podatki, ki so jih zbrali, vzeti iz javno dostopnih virov, ali pridobiti soglasje od osebnih podatkov in nato shraniti ta dokument, če se »subjekt« odloči, da bo tožil operaterja zaradi kršitve njegovih pravic.
Z javno dostopnimi podatki tudi ni tako preprosto. Člen 8, ki opredeljuje, kaj pomenijo javno dostopni viri osebnih podatkov (referenčne knjige, adresarji itd.), Poudarja, da se lahko osebni podatki vključijo le s pisnim soglasjem subjekta. Poleg tega so lahko "informacije o predmetu osebnih podatkov kadar koli izključene iz javno dostopnih virov osebnih podatkov na zahtevo subjekta osebnih podatkov ali s strani sodišča ali drugih pooblaščenih državnih organov."
Po drugi strani, če organizacija pri zbiranju informacij uporablja javno dostopne vire osebnih podatkov, mora dokumentirati, kje je prejela te informacije, in zagotoviti, da ima „vir“ pisno soglasje, ki ga zahteva zakon.
Zvezni zakon Ruske federacije "O osebnih podatkih" z dne 27. julija. 2006 št. 152-FZ
Določba 12 člena 3. Osnovni izrazi, uporabljeni v tem zveznem zakonu
Splošno dostopni osebni podatki so osebni podatki, do katerih ima neomejeno število oseb dostop s soglasjem osebnih podatkov ali za katere se zahteva po zaupnosti ne uporablja v skladu z zveznimi zakoni.
Določba 1 člena 8. T Splošno dostopni viri osebnih podatkov
Za zagotavljanje informacijske podpore je mogoče ustvariti javno dostopne vire osebnih podatkov (vključno z referenčnimi knjigami, adresarji). Javno dostopni viri osebnih podatkov s pisnim soglasjem subjekta osebnih podatkov lahko vključujejo njegovo priimek, ime, srednje ime, leto in kraj rojstva, naslov, številko naročnika, podatke o poklicu in druge osebne podatke, ki jih posreduje osebni podatek.
Določba 3 člena 9. Privolitev osebnih podatkov o obdelavi njihovih osebnih podatkov
Obveznost predložitve dokazila o soglasju subjekta osebnih podatkov pri obdelavi njegovih osebnih podatkov in v primeru obdelave javno dostopnih osebnih podatkov mora izvajalec dokazati, da so osebni podatki, ki se obdelujejo, javno dostopni.
Izkazalo se je, da bodo organizacije za zaščito morale zaprositi za uradno potrditev za vsakega državljana.
Kako je treba vložiti pisno soglasje subjekta? Izkazalo se je, da podpis državljanov pod splošnim izrazom "Strinjam se z zbiranjem in obdelavo mojih osebnih podatkov" ne bo dovolj.
Določba 4 člena 9 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ
... pisna privolitev osebnih podatkov pri obdelavi njihovih osebnih podatkov mora vključevati:
To pomeni, da mora upravljavec pred »ulovom« osebnih podatkov in poskusom pridobitve njegovega soglasja razviti posebno obliko dokumenta, ki bi vsebovala vse potrebne informacije.
Najprej je predmet osebnih podatkov upravičen do naslednjih informacij:
Od operaterja lahko predmet osebnih podatkov zahteva:
Veliko težav za organizacije izvajalcev bo ustvarilo 2. točko 14. člena zakona, ki zahteva, da upravljavec informacije o dostopnosti osebnih podatkov posreduje subjektu v dostopni obliki in da ne vsebuje informacij o drugih osebnih podatkih.
Zadeva „Durant proti finančni službi“ 11, ki je bila obravnavana na pritožbenem sodišču v Angliji decembra 2003, je prejela širok odziv. Odločba sodišča je bistveno zmanjšala razlago pojma „osebni podatki“. Sodišče je zlasti navedlo, da zgolj omemba te osebe v besedilu dokumenta ne zadošča za obravnavo dokumenta, ki vsebuje osebne podatke. Poleg tega je sodišče potrdilo, da pravica do dostopa do njihovih osebnih podatkov ne sme kršiti pravic tretjih oseb in da je zato treba iz kopij dokumentov, predloženih na zahtevo, odstraniti osebne podatke tretjih oseb (razen posebnih okoliščin).
Novembra 2004 je vlada zavrnila pravico delavcev v Združenem kraljestvu do dostopa do svojih osebnih podatkov, ne glede na to, ali jih delodajalec hrani v papirni ali elektronski obliki, če so shranjeni v sistemu, ki ne vsebuje jasno informacij o vsaki osebi. Tako so bili sistemi za shranjevanje papirnatih datotek (z izjemo osebnih datotek) de facto odstranjeni od dejanja zakona o zagotavljanju dostopa do osebnih podatkov, ker Težko je izolirati informacije o določeni osebi.
Za dostop do svojih osebnih podatkov morajo naši rojaki:
To zahtevo je mogoče poslati v elektronski obliki in podpisati z digitalnim podpisom. Tako zakon formalno daje možnost, da se za njihove osebne podatke zaprosi prek elektronskih komunikacijskih kanalov. Še nimamo posameznikov, ki bi imeli svoje EDS v skladu z zakonom o EDS (v veliki večini primerov se EDS v naši državi uporablja v skladu s 160. členom Civilnega zakonika, ki predvideva predhodni dogovor strank).
Količina informacij, ki jih lahko zahteva osebni podatek, kaže skrb za naše državljane. Organizacijam, ki vodijo zbirko podatkov z osebnimi podatki, se priporoča, da posebno pozornost namenijo četrtemu odstavku 14. člena novega zakona, da bi premislili in utrdili postopek za zagotavljanje informacij v notranjih predpisih:
Vprašanje obdelave osebnih podatkov »za promocijo blaga, del, storitev na trgu z neposrednimi stiki s potencialnim potrošnikom prek komunikacijskih orodij in za politično kampanjo« je posvečeno posebnemu členu (15. člen). Sedaj morajo komercialne in politične organizacije, preden pošljejo oglaševanje, pridobiti predhodno soglasje državljana, in obdelava PD "se prizna, če se izvajalec ne dokaže, da je bilo pridobljeno takšno soglasje, brez predhodnega soglasja osebnih podatkov." Za nekatere komercialne strukture je lahko ta zahteva zelo neprijetna!
Od zdaj naprej je „prepovedano sprejemati odločitve na podlagi izključno avtomatizirane obdelave osebnih podatkov, ki povzročajo pravne posledice glede osebnih podatkov ali drugače vplivajo na njegove pravice in legitimne interese“ (člen 16).
Ta določba je potrebna in pravočasna. Toda naši zakonodajalci so pri oblikovanju zamenjali dva različna pojma: »samodejno« (to je, da gre brez človekovega sodelovanja) in »avtomatizirano« (to je, da gre za človeško udeležbo). Posledično lahko ta člen namesto uvedbe dodatnih omejitev za te in samo takrat, ko informacijski sistem sprejme kakršne koli odločitve brez človekove udeležbe (na primer zaračunavanje globe, prepoved potovanja zunaj države itd.), Lahko razlagati kot omejitev za vse vrste obdelave osebnih podatkov, saj je celo uporabo kalkulatorja mogoče razumeti kot avtomatizirano obdelavo!
V istem členu novega zakona je navedeno, da bo upravljavec lahko sprejemal odločitve, ki temeljijo le na „avtomatizirani“ obdelavi, če:
V nekaterih regulativnih dokumentih so bile te zahteve zakona že upoštevane. Tako je v vzorcih vlog za izdajo potnega lista nove generacije poseben oddelek, v katerem vlagatelj soglaša s „avtomatizirano“ obdelavo podatkov, navedenih v vlogi. Sliši se: „Strinjam se z avtomatizirano obdelavo, prenosom in shranjevanjem podatkov, navedenih v vlogi za namene izdelave, obdelave in nadzora potnega lista v času njegove veljavnosti“ 12.
Upravljavec mora državljanom vnaprej zagotoviti tudi naslednje informacije: t
V primeru spora mora izvajalec dokazati, da je izpolnil vse zahteve zakona. To pomeni, da bo moral skrbno zbirati in hraniti spremne dokumente.
Obveznosti upravljavca v skladu s členom 18 vključujejo predvsem zagotavljanje osebnih podatkov na zahtevo državljana. Poleg tega mora upravljavec „osebnim podatkom pojasniti pravne posledice zavrnitve posredovanja svojih osebnih podatkov“, če je ta dolžnost določena z zveznim zakonom.
Člen 20 uvaja zelo stroge roke za izvajalce, da izpolnijo zahteve osebnih podatkov (so precej strožji, na primer tisti, ki so predvideni v nedavno izdanem zakonu „O postopku za obravnavo pritožb državljanov Ruske federacije“):
Upravljavec bo imel še več vprašanj, če je potrebno odpraviti kršitve zakona v roku, določenem v 21. členu novega zakona. Blokiranje podatkov mora biti izvedeno od trenutka zahteve ali od trenutka prejema zahteve do odprave kršitev - v roku 3 delovnih dni.
V nekaterih primerih je upravljavec dolžan uničiti osebne podatke v 3 delovnih dneh, in sicer:
Blokiranje in uničenje osebnih podatkov je lahko težko (in včasih tudi nemogoče) izvajati v trenutno delujočih informacijskih sistemih in podatkovnih bazah, ki pred tem niso omogočale take možnosti.
Za upravljavca bo še težje, če ne bo prejel osebnih podatkov od državljana, ampak od tretje osebe.
Točka 3 člena 18 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ
Če osebni podatki niso prejeli osebnih podatkov, razen če so bili osebni podatki posredovani izvajalcu v skladu z zveznim zakonom ali če so osebni podatki javno dostopni, mora subjektu osebnih podatkov pred obdelavo teh osebnih podatkov zagotoviti naslednje informacije:
Za temi besedami je delo zamudnejše. Lahko se na primer pojavi vprašanje: kako naj se ta informacija posreduje subjektu? Ali ga je mogoče poslati po pošti in ali se bodo informacije obravnavale kot zagotovljene, če oseba ni prejela ustreznega pisma?
Obveznost upravljavca v skladu s členom 19 je tudi zagotoviti varnost osebnih podatkov med njihovo obdelavo. Da bi se izognili težavam, bi morala organizacija izvajalcev v regulativnih dokumentih razviti in utrditi vse organizacijske in tehnične varnostne ukrepe, ki jih je pripravljena sprejeti za zaščito osebnih podatkov, ki jih vsebujejo njegovi informacijski sistemi.
Zakon določa, da morajo vsi izvajalci obdelave osebnih podatkov vnaprej obvestiti pooblaščeni organ (22. člen), ki bo vodil evidenco operaterjev v posebnem registru. Pooblaščeni organ po 23. členu je Ministrstvo za informacijske tehnologije in komunikacije Ruske federacije, ki trenutno opravlja »funkcije nadzora in nadzora na področju informacijskih tehnologij in komunikacij«. V obvestilu bo treba podrobno pojasniti, kaj se načrtuje z osebnimi podatki. O vseh spremembah v zvezi z obdelavo osebnih podatkov je treba poročati tudi pooblaščenemu organu.
Osebne podatke je dovoljeno obdelovati brez obvestila pooblaščenega organa v naslednjih primerih:
Skratka, operaterjem bomo dali številna priporočila. Ne bo zelo težko izpolniti zahteve zakona o osebnih podatkih, če bo to delo začelo zdaj, ne da bi čakali na prve pritožbe in pritožbe. Začnete lahko z naslednjimi očitnimi ukrepi:
V tem članku je analiza novega zakona o varstvu osebnih podatkov izdelana s stališča strokovnjakov s področja vodenja evidenc, ki bo pokvarila veliko krvi. Njegovo učinkovitost bo pokazala praksa, za zdaj pa kot »osebni podatek« ocenjujem seznam javnih organov, do katerih bi lahko poslal zahtevo, da mi v skladu z zahtevami zakona zagotovim ustrezne informacije. Zdaj imam pravico!
1 Člen 25 poglavja IV Direktive Evropskega parlamenta in Sveta 95/46 / ES z dne 24. oktobra 1995 o varstvu pravic posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.
Zanimivo je, da tudi Združene države Amerike ne izpolnjujejo strogih evropskih zahtev in da so ameriška podjetja prisiljena uporabljati ti krovne sporazume.
3 Posameznik, na katerega se nanašajo osebni podatki, je posameznik, katerega osebni podatki se obdelujejo.
4 "zbirka osebnih podatkov"
5 Seznam zveznih izvršilnih organov in organizacij, ki se ukvarjajo z deponiranjem dokumentov Arhivskega sklada Ruske federacije, ki so v zveznem lastništvu, vključuje 18 organizacij: Ministrstvo za notranje zadeve Rusije, Ministrstvo za zunanje zadeve Rusije, Ministrstvo za obrambo Rusije, SVR Rusije, FSB Rusije, Zvezna služba za nadzor drog v Rusiji, Ruska federacija, Rosatom, Roskartografiya, Ruska akademija kmetijskih znanosti, Ruska akademija medicinskih znanosti, Ruska akademija za izobraževanje, Ruska akademija umetnosti, Ruska akademija za arhitekturo in gradbeništvo Ustanova: All-Ruski raziskovalni inštitut za hidrometeorološke informacije - Svetovni podatkovni center, Zvezna državna ustanova "Državni sklad za televizijske in radijske programe", Zvezno državno enotno znanstveno-proizvodno podjetje "Ruski zvezni geološki sklad", Zvezno državno enotno podjetje "Ruski znanstveni tehnični center informacije o standardizaciji, meroslovju in ugotavljanju skladnosti “.
6 5 U.S. C. § 552a (k) (1) „Dokumenti za posameznike - posebne izjeme - arhivski dokumenti“.
7 Operator - državni organ, občinski organ, pravna ali fizična oseba, ki organizira in (ali) izvaja obdelavo osebnih podatkov ter opredeljuje namen in vsebino obdelave osebnih podatkov.
9 Zakon o varstvu podatkov iz leta 1998, 32. člen.
11 Durant proti Financial Services Authority (FSA).
12 Dodatek št. 1 k Navodilom o postopku za obdelavo in izdajo potnega lista državljana Ruske federacije, diplomatski potni list in službeni potni list, ki sta glavna dokumenta, ki potrjujeta identiteto državljana Ruske federacije zunaj ozemlja Ruske federacije, ki vsebuje elektronske medije (odobreno z odredbo Ministrstva za notranje zadeve Ruske federacije, Ministrstvo za zunanje zadeve Ruske federacije). in Zvezna varnostna služba Ruske federacije z dne 6. oktobra 2006 št. 785/14133/461).