Kakšni so načini obdelave osebnih podatkov?

V delovnem zakoniku Ruske federacije obstaja tak izraz kot "osebni podatki delovne osebe." Podatki o delovnem kontingentu morajo biti poslani delodajalcu.

Po pregledu osebnih podatkov delodajalec odloči o odvzemu osebe podjetju.

Informacije, ki jih oseba predstavlja o sebi, morajo biti zaščitene. Distribuiranje je prepovedano.

Dragi bralci! Naši članki govorijo o značilnih načinih reševanja pravnih vprašanj, vendar je vsak primer edinstven.

Če želite vedeti, kako rešiti točno vaš problem - samo pokličite, je hitro in brezplačno!

Sistem

Osebni podatki o zaposlenih morajo biti predmet razvoja.

Delodajalec za osebne podatke delovnih oseb uporablja naslednje zahteve:

1. Proces obdelave osebnih podatkov o delovni osebi poteka z namenom zagotavljanja skladnosti z zakoni in pravnimi akti. Zaradi obdelave podatkov lahko zaposlite osebo, mu zagotovite osebno varnost, spremljate delo, ki ga opravlja.
2. Delodajalec upošteva obseg in vsebino osebnih podatkov o delovnem kontingentu, ki se obdeluje. Vsi delodajalci preučujejo in sledijo vidikom Ustave, drugim zveznim zakonom.
3. Informacije o delovni skupini je treba pridobiti neposredno od zaposlenih. Podatke o delavcu lahko dobite iz tretjega usta, vendar le s pisnim soglasjem osebe. Delodajalec seznani zaposlene s svojimi cilji in viri, iz katerih se bodo posredovali osebni podatki. Delodajalec opozarja na posledice v primeru zavrnitve posredovanja osebnih podatkov od delovne osebe.
4. Oseba, ki svojim zaposlenim zagotavlja delo, nima pravice do informacij o vseh vrstah prepričanj politične, verske narave in družinskega življenja delavca. Osebno življenje zaposlenega se lahko navede samo z njegovim soglasjem. Sporazum mora biti sklenjen v pisni obliki.
5. Delodajalec pri obdelavi podatkov o prisotnosti zaposlenih oseb ne sme uporabiti v članskih združenjih, sindikatih. Vendar obstajajo situacije, ki jih določa zvezni zakon.
6. Vsi osebni podatki morajo biti zaščiteni in skriti pred javnim nadzorom in uporabo. Za varstvo podatkov veljajo pogoji zveznega zakona.
7. Delavci študirajo dokumente, ki pripadajo instituciji. Razkriti morajo pomen in vrstni red postopkov obdelave osebnih podatkov zaposlenih.
8. Delovni ljudje morajo sprejeti zaščito svojih osebnih podatkov.
9. Delodajalci, pa tudi zaposleni, lahko sodelujejo pri razvoju načinov za zaščito osebnih podatkov zaposlenih.

Pri posredovanju informacij o zaposlenih mora direktor podjetja upoštevati naslednja pravila:

• Tretji osebi ni treba vedeti o osebnih podatkih vsakega zaposlenega. Podatki se lahko zagotovijo samo v primerih, ko so zaposleni dali pisno soglasje za uporabo svojih osebnih podatkov. Če pa obstaja nevarnost za preživetje, zdravje delovne skupine, se lahko osebni podatki posredujejo drugim osebam brez pisnega pisnega soglasja;
• delodajalec ne sme objavljati podatkov o skupini, ki na njem dela, za namene trgovine;
• ljudje, ki prejemajo informacije o zaposlenih, jih morajo obdelati v okviru zaupnosti;
• prenos informacij o osebi se izvaja samo v eni organizaciji s posebnimi notranjimi akti institucije;
• podatki o zaposlenem imajo dostop samo do posebnih pooblaščenih oseb;
• ni potrebe po informacijah o zdravju delovnih oseb. Prošnja se lahko vloži le v primerih, ko se postavlja vprašanje, ali delavci lahko opravljajo svoje delovne funkcije;
• osebni podatki delovnega kontingenta se lahko zbirajo ob upoštevanju podatkov iz kodeksa.

Delovni kontingent ima pravico do:

• seznanitev z vašimi osebnimi podatki in njihovo obdelavo;
• neomejen dostop do osebnih podatkov. Delovni osebi se lahko izdajo kopije podatkov. Vendar obstajajo primeri, ko osebni podatki niso razkriti. Te razmere so opisane v zveznem zakonu;
• zdravnik lahko pregleda osebne podatke zaposlenih;
• možnost popravljanja ali dopolnjevanja osebnih podatkov.

Razlikujejo se naslednje vrste obdelave osebnih podatkov:

1. Obdelava informacij z uporabo računalniške tehnologije.
2. Ni samodejna obdelava.
3. Informacijski sistem, ki obdeluje predložene podatke.

Avtomatizirano

Ta obdelava se izvaja s posebno računalniško tehnologijo. Najpogostejši računalniški stroji so lahko:

• elektronski računalnik;
• pomožne naprave;
• periferne naprave;
• nameščena programska oprema.

Neavtomatizirano

Najbolj podroben opis neavtomatizirane obdelave je zapisan v vladni uredbi št. 687.

Distribucijo, proučevanje in odstranjevanje informacij o delovnem kontingentu je treba opraviti z delom osebe, ne z računalniško tehnologijo.

Informativno

Zahvaljujoč informacijskemu sistemu se obdelujejo posebne kategorije osebnih podatkov o delovnem kontingentu. Ta sistem obdeluje podatke, ki vplivajo na pripadnost določeni rasi in spolu, narodnost, politične poglede, filozofski pogled.

Zahvaljujoč informacijskemu sistemu je mogoče obdelati:

• biometričnih osebnih podatkov. Še posebej, če obstaja značilnost fizioloških, bioloških podatkov. Zahvaljujoč pridobljenim značilnostim je mogoče oceniti osebnost delavcev;
• skupni osebni podatki;
• drugih informacijskih podatkov. Primer so verske, nacionalne ideje, filozofski pogledi, trenutki intimne narave delovnega kontingenta in številne druge pomembne osebne značilnosti do zdravstvenega stanja.

Tako so osebni podatki o vsakem zaposlenem zajeti v vseh delodajalcih. Direktor v nobenem primeru nima pravice razširjati razpoložljivih podatkov o osebi.

Dobljene informacije o obratovalnem kontingentu lahko obdelamo na več načinov: s pomočjo računalniške tehnologije, s pomočjo osebnih sil, zahvaljujoč sistemu ocenjevanja informacij.

V vseh primerih so osebni podatki vsakega zaposlenega temeljito pregledani.

Načini obdelave osebnih podatkov

Po vrstnem redu civilnega zakonika Amurske regije

z dne 26.12.2012, št. 626

v zvezi z obdelavo osebnih podatkov

1. SPLOŠNE DOLOČBE

1.1. Ta dokument (v nadaljevanju Politika) je sistematična izjava o ciljih, načelih, metodah in pogojih za obdelavo osebnih podatkov, o izvedenih zahtevah za obdelavo in varovanje osebnih podatkov v GKU amurske regije Centralne bolnišnice svobodnih (v nadaljnjem besedilu: Center za zaposlovanje).

1.2. Politika temelji na zahtevah Zveznega zakona Ruske federacije “O osebnih podatkih”, drugih regulativnih pravnih aktov Ruske federacije, ki določajo postopek za obdelavo in zaščito osebnih podatkov. Politika je javni dokument.

1.3. V skladu z zveznim zakonom z dne 27. julija 2006 št. 152-ФЗ „O osebnih podatkih“ je Center za zaposlovanje upravljavec osebnih podatkov (v nadaljnjem besedilu: PD).

2. OBDELANI OSEBNI PODATKI

2.1. Glavni izrazi, uporabljeni v pravilniku:

· Osebni podatki - vse informacije v zvezi s fizično osebo (predmet osebnih podatkov), določene ali določene na podlagi teh podatkov, vključno z njegovim priimkom, imenom, patronymic, letom, mesecem, datumom in krajem rojstva, naslovom, družino, socialno, premoženje položaj, izobrazba, poklic, dohodek, druge informacije;

· Obdelava osebnih podatkov - dejanja (operacije) z osebnimi podatki, vključno z zbiranjem, sistematizacijo, kopičenjem, shranjevanjem, izboljšanjem (posodobitvijo, spremembo), uporabo, distribucijo (vključno s prenosom), depersonalizacijo, blokiranjem, uničenjem osebnih podatkov;

2.2. V okviru te politike obdelani osebni podatki pomenijo:

· Osebne podatke, ki jih posredujejo prejemniki javnih storitev, ki se prijavljajo na Zavod za zaposlovanje;

· Osebni podatki zaposlenih v Zavodu za zaposlovanje ali kandidati za prosta delovna mesta;

3. NAMENE OBDELAVE OSEBNIH PODATKOV

3.1. Cilji obdelave PD v Centru za zaposlovanje so:

· Zagotavljanje izvajanja ustavnih pravic državljanov Ruske federacije do dela in socialne zaščite pred brezposelnostjo z zagotavljanjem javnih storitev na področju spodbujanja zaposlovanja;

· Zagotavljanje izvajanja ustavnih pravic državljanov do pritožbe;

· Pridobitev objektivne ocene stanja trga dela v konstitutivnem subjektu Ruske federacije (v odnosu do prejemnikov javnih zavodov za zaposlovanje; brezposelnih državljanov; državljanov, ki se prijavijo v Zavod za zaposlovanje s predlogi, izjavami, pritožbami);

· Zagotavljanje skladnosti z Ustavo Ruske federacije, zakoni in drugimi zakonskimi akti, pomoč zaposlenim pri iskanju zaposlitve, usposabljanje in napredovanje za delo, rast delovnih mest, zagotavljanje osebne varnosti zaposlenih, nadzor nad količino in kakovostjo opravljenega dela, zagotavljanje varnosti lastnine, ki ji pripada, in beleženje rezultatov njihovega dela. dolžnosti in varnosti premoženja Centra za zaposlovanje.

· Opravljanje funkcij davčnega zastopnika pri zagotavljanju standardnih davčnih olajšav (za družinske člane zaposlenih v Zavodu za zaposlovanje);

· Izpolnjevanje obveznosti po civilnopravnih pogodbah (v zvezi z osebami, ki opravljajo delo, opravljajo storitve po civilnopravnih pogodbah z Zavodom za zaposlovanje).

4. NAČELA OBDELAVE OSEBNIH PODATKOV

4.1. Izvajanje obdelave PD na zakoniti in pošteni podlagi.

4.2. Omejevanje obdelave PD na doseganje specifičnih, vnaprej določenih in legitimnih ciljev, navedenih v oddelku 2 tega dokumenta. Osebnih podatkov ni dovoljeno obdelovati kot nezdružljive z namenom zbiranja osebnih podatkov.

4.3. Preprečevanje kombinacije baz podatkov, ki vsebujejo PD, ki se obdelujejo za namene, ki niso medsebojno nezdružljivi.

4.4. Obravnava le tistih PDS, ki ustrezajo namenu njihove obdelave.

4.5. Skladnost z vsebino in obsegom PD, ki se obdelujejo v navedenih namenih predelave.

4.6. Nedopustnost odpuščenega presežnega delavca v zvezi z navedenimi cilji njihove obdelave.

4.7. Zagotavljanje točnosti PD, njihove zadostnosti in, če je potrebno, in ustreznosti v zvezi z namenom obdelave PD.

4.8. Zagotovite, da so sprejeti potrebni ukrepi za odstranitev ali izboljšanje nepopolnih ali netočnih podatkov.

4.9. Izvajanje shranjevanja PD v obliki, ki omogoča določitev subjekta PD, ni daljše od namena obdelave PD, če obdobje skladiščenja PD ni določeno z zveznim zakonom, pogodba, na katero je subjekt PD upravičenec ali garant. PD, ki jih je treba obdelati, so predmet uničenja ali depersonalizacije ob doseganju ciljev obdelave ali v primeru izgube potrebe po doseganju teh ciljev, razen če zvezni zakon ne določa drugače.

5. METODE OBDELAVE OSEBNIH PODATKOV

5.1. Center za zaposlovanje obdeluje PD na naslednje načine:

· Neavtomatska obdelava PD (na papirju);

· Avtomatizirana obdelava (v ISPDn z uporabo in brez uporabe opreme za avtomatizacijo), vključno z: prenosom preko lokalnega omrežja Zavoda; z in brez prenosa preko interneta;

· Mešana obdelava PD.

5.2. Center za zaposlovanje lahko samostojno izbere metode obdelave PD glede na namene takšne obdelave ter lastne materialne in tehnične zmogljivosti.

6. POGOJI ZA OBDELAVO OSEBNIH PODATKOV

6.1. Obdelava PD se izvaja v skladu z načeli in pravili, določenimi v Zveznem zakonu o osebnih podatkih.

6.2. Obdelava PD je dovoljena v primerih, ki jih določa zvezni zakon o osebnih podatkih.

6.3. Center za zaposlovanje ima pravico, da obdelavo PD prenese na drugo osebo s soglasjem subjekta PD, če ni drugače določeno v zveznem zakonu, na podlagi pogodbe, sklenjene s to osebo, vključno z državno ali občinsko pogodbo, ali s sprejetjem ustreznega akta državnega ali občinskega organa (v nadaljnjem besedilu: državni ali občinski organ) ).

6.4. Če Zavod za zaposlovanje dodeli obdelavo osebne izkaznice drugi osebi, odgovornost subjekta PD za dejanja te osebe nosi Center za zaposlovanje. Oseba, ki obdeluje osebne podatke v imenu Zavoda za zaposlovanje, je odgovorna Zavodu za zaposlovanje.

7. ZAUPNOST OSEBNIH PODATKOV

7.1. Center za zaposlovanje in druge osebe, ki so pridobile dostop do PD, se morajo zavezati, da ne razkrijejo tretjim osebam in ne razdelijo PD brez soglasja subjekta PD, razen če zvezni zakon določa drugače.

8. SOGLASJE O PREDMETU OSEBNIH PODATKOV ZA OBDELAVO OSEBNIH PODATKOV

8.1. Oseba PD odloča o posredovanju svojih osebnih podatkov in soglaša z njihovo prosto obdelavo, po lastni volji in v njegovem interesu.

8.2. Privolitev v obdelavo PD mora biti specifična, obveščena in zavestna.

8.2. Soglasje za obdelavo PD lahko poda subjekt PD ali njegov zastopnik v kakršni koli obliki, ki omogoča potrditev dejstva o prejemu PD, razen če zvezni zakon določa drugače.

8.3. V primeru pridobitve soglasja za obdelavo osebnih podatkov od zastopnika osebnih podatkov, pooblastilo tega predstavnika, da v imenu subjekta poda soglasje o osebnih podatkih, preveri Center za zaposlovanje.

8.4. Soglasje za obdelavo PD lahko subjekt PD prekliče. V primeru, da subjekt PDN umakne soglasje za obdelavo PD, ima Center za zaposlovanje pravico do nadaljnje obdelave osebnih podatkov brez soglasja subjekta PD, če obstajajo razlogi iz 2. do 11. točke 1. dela 6. člena, 2. dela 10. člena in 2. člena 11. člena Zveznega zakona o osebnih podatkih ".

8.5. V primerih, ki jih določa zvezni zakon, se obdelava PD izvaja le s pisnim soglasjem subjekta PD. Pisna privolitev je priznana kot enakovredna elektronskemu dokumentu, podpisanemu z elektronskim zakonom, podpisanim v skladu z zveznim zakonom.

8.6. Osebne podatke lahko Center za zaposlovanje pridobi od osebe, ki ni predmet osebnih podatkov, pod pogojem, da Zavod potrdi obstoj razlogov, navedenih v točkah 2–11 prvega odstavka 6. člena, drugega odstavka 10. člena in drugega odstavka 11. člena Zveznega zakona o osebnih podatkih ".

9. IZVAJANJE PRAVIC PREDMETOV OSEBNIH PODATKOV

9.1. Pri obdelavi PD Zavod za zaposlovanje zagotavlja potrebne pogoje, da lahko PD svobodno uveljavlja svoje pravice.

9.2. Subjekt PD ima pravico dostopa do svojih osebnih podatkov.

9.3. Objekt PD ima pravico do informacij o obdelavi svojih osebnih podatkov, ki vsebujejo: potrditev dejstva, da je obdelava PD potekala v Centru za zaposlovanje; pravne podlage in namene obdelave PD; cilje in metode obdelave PD, ki jih uporablja Center za zaposlovanje; ime in kraj zaposlitvenega centra, informacije o posameznikih (razen zaposlenih v Zavodu za zaposlovanje), ki imajo dostop do osebnih podatkov ali ki lahko razkrijejo osebne podatke na podlagi dogovora z Zavodom za zaposlovanje ali na podlagi zveznega zakona; PD, ki jih obdeluje zadevni subjekt PD, vir njihovega prejema, razen če zvezni zakon ne določa drugačnega postopka za predložitev takih podatkov; Čas obdelave PD, vključno s časom shranjevanja; postopek uveljavljanja pravic, ki jih določa zvezni zakon o osebnih podatkih, s strani subjekta PDN; informacije o dokončanem ali načrtovanem čezmejnem prenosu podatkov; ime ali priimek, ime, ime in naslov osebe, ki izvaja obdelavo PDN v imenu Centra za zaposlovanje, če je obdelava zaupana ali bo zaupana taki osebi; druge informacije, ki jih določajo zvezni zakoni.

9.4. Pravica osebnih osebnih podatkov, do katere je dostop do osebnih podatkov, je lahko omejena v primerih, ki jih izrecno določajo zvezni zakoni.

9.5. Subjekt PD ima pravico zagovarjati svoje pravice in legitimne interese, vključno z odškodnino za odškodnino in (ali) odškodnino za moralno škodo na sodišču.

9.6. Če subjekt PD meni, da Center za zaposlovanje obravnava svojo PD v nasprotju z zahtevami Zveznega zakona “O osebnih podatkih” ali kako drugače krši njegove pravice in svoboščine, ima subjekt PD pravico do pritožbe zoper dejanja ali neukrepanje zavoda za zaposlovanje pri pooblaščenem organu za zaščito pravic subjektov PD ali sodni nalog.

10. INFORMACIJE O UKREPIH, KI IZVAJAJO Zavod za zaposlovanje

ZARADI IZVAJANJA ODGOVORNOSTI V ZVEZI Z OBDELAVO OSEBNIH PODATKOV

10.1. Zavod za zaposlovanje, ko obdeluje PD, opravlja svoje naloge kot operater PD, ki ga določa Zvezni zakon o osebnih podatkih.

10.2. Zavod za zaposlovanje sprejme potrebne in zadostne ukrepe za izpolnitev dolžnosti, določenih s tem zveznim zakonom in zakonskimi akti, sprejetimi v skladu z njim.

10.3. Center za zaposlovanje samostojno določi sestavo in seznam potrebnih in zadostnih ukrepov za zagotovitev izpolnjevanja obveznosti, določenih s tem zveznim zakonom in zakonskimi akti, sprejetimi v skladu z njim, razen če zvezni zakoni določajo drugače.

10.4. Zavod za zaposlovanje zagotavlja neomejen dostop do tega dokumenta (Politika), do informacij o dejanskih zahtevah za zaščito PD z objavo na uradni spletni strani Oddelka za zaposlovanje v regiji Amur na naslovu: zanamur. ru, GKU Amurske regije Centralne bolnišnice mesta Svobodny na http://svobzan.amur.ru.

11. INFORMACIJE O IZVAJANJU UKREPOV ZA ZAPOSLOVANJE ZA VARSTVO OSEBNIH PODATKOV PRI OBDELAVI t

11.1. Zavod za zaposlovanje pri obdelavi PD zagotavlja sprejetje potrebnih pravnih, organizacijskih in tehničnih ukrepov za zaščito PD pred nezakonitim ali nenamernim dostopom do njih, uničenjem, spreminjanjem, blokiranjem, kopiranjem, zagotavljanjem, distribucijo PD, kot tudi iz drugih nezakonitih dejanj v zvezi z PDN.

11.2. Zavod za zaposlovanje z namenom varovanja osebnih podatkov izvaja zahteve za varstvo osebnih podatkov, ko jih obdelujejo v informacijskih sistemih osebnih podatkov, ki jih je vzpostavila vlada Ruske federacije.

11.3. Zavod za zaposlovanje zagotavlja zlasti zagotavljanje varnosti PD, zlasti:

· Prepoznavanje nevarnosti za varnost osebnih podatkov, kadar se obdelujejo v ISPDN Centra za zaposlovanje;

· Z uporabo organizacijskih in tehničnih ukrepov za zagotavljanje varnosti osebnih podatkov, ko se obdelujejo v ISPDN Centra za zaposlovanje, ki so potrebni za izpolnjevanje zahtev za varstvo osebnih podatkov, katerih izpolnitev zagotavlja raven varstva osebnih podatkov, ki jo je določila Vlada Ruske federacije;

· Uporaba ukrepov za varovanje informacij, opravljenih na predpisan način;

· Ocena učinkovitosti ukrepov, ki jih je Zavod za zaposlovanje sprejel za zagotavljanje varnosti osebnih podatkov pred naročilom ISPDN Centra za zaposlovanje;

• upoštevanje strojnih nosilcev PD Zavoda za zaposlovanje;

· Odkrivanje dejstev nepooblaščenega dostopa do PDN in ukrepanje;

· Obnovitev PDN, ki je bila spremenjena ali uničena zaradi nepooblaščenega dostopa do njih;

· Vzpostavitev pravil za dostop do PDN, obdelanih v SPDN Centra za zaposlovanje, kot tudi zagotavljanje registracije in evidentiranja vseh ukrepov, izvedenih na PDN v ISPDN v Centru za zaposlovanje;

· Nadzor nad sprejetimi ukrepi za zagotavljanje varnosti osebnih podatkov in stopnje varnosti ISPDN Centra za zaposlovanje.

11.4. Informacije o ukrepih, ki jih Center za zaposlovanje sprejme za zaščito osebnih podatkov, so omejene informacije.

12. Sprememba politike. Pravo, ki se uporablja

12.1. Center za zaposlovanje ima pravico do sprememb te politike.

12.2. Pri spreminjanju naslova politike je naveden datum zadnje posodobitve revizije.

12.3. Nova različica Politike začne veljati od trenutka objave na spletni strani Oddelka za zaposlovanje v Amurski regiji, razen če nova različica Politike določa drugače.

Načini obdelave osebnih podatkov

Vprašanje-odgovor na to temo

Vprašanje

Kaj je povezano z metodami obdelave osebnih podatkov in kaj je povezano z ukrepi z osebnimi podatki?

Odgovor

V skladu z določbo 9 Odloka Roskomnadzora z dne 19. avgusta 2011 št. 706, metode * vključujejo:

- neavtomatizirana obdelava osebnih podatkov;

- izključno avtomatizirana obdelava osebnih podatkov z ali brez prenosa prejetih informacij po omrežju;

- mešana obdelava osebnih podatkov (opomba N 4).

In za ukrepe v skladu s čl. 3 Zveznega zakona z dne 27.07.2006 št. 152-FZ.

- pojasnitev (posodobitev, sprememba);

- distribucija (vključno s prenosom);

- uničenje osebnih podatkov.

Utemeljitev za to stališče je podana spodaj v gradivu »Sistem Odvetnik«.

• ZVEZNO ZAKON OD 27.07.200. Št. 152-ФЗ "O OSEBNIH PODATKIH"

„Obdelava osebnih podatkov je vsako dejanje (operacija) ali niz ukrepov (operacij), ki se izvajajo z uporabo orodij avtomatizacije ali brez uporabe takšnih sredstev z osebnimi podatki, vključno z zbiranjem, evidentiranjem, sistematizacijo, kopičenjem, shranjevanjem, izboljšanjem (posodobitvijo, spremembo), pridobivanje, uporaba, prenos (distribucija, zagotavljanje, dostop), depersonalizacija, blokiranje, izbris, uničenje osebnih podatkov “

• SKLEP ROSKOMNADZORJA z dne 19. avgusta 2011 št. 706

"V polju" seznam dejanj z osebnimi podatki, splošni opis metod, ki jih uporablja operater za obdelavo osebnih podatkov "* označuje dejanja, ki jih je izvajalec izvajal z osebnimi podatki, kot tudi opis metod, ki jih uporablja operater za obdelavo osebnih podatkov:

- neavtomatizirana obdelava osebnih podatkov;
- izključno avtomatizirana obdelava osebnih podatkov z ali brez prenosa prejetih informacij po omrežju;

- mešana obdelava osebnih podatkov (opomba N 4) Opomba N 4. Pri avtomatizirani obdelavi osebnih podatkov ali mešani obdelavi je treba navesti, ali se informacije, pridobljene med obdelavo osebnih podatkov, posredujejo na notranjem omrežju pravne osebe (informacije so na voljo le natančno opredeljenim zaposlenim v pravni osebi). ) ali se informacije prenašajo prek javnega interneta ali brez posredovanja prejetih informacij. "

* Tako poudarjen del gradiva, ki vam bo pomagal sprejeti pravo odločitev.

Likbez o osebnih podatkih za podjetja, ki jih obdelujejo

Pogoji, nianse in pogoste blodnje - v materialu strokovnjakov varnostne službe podjetja "Onlanta" (vključeni v skupino podjetij LANIT).

Razumemo pravno terminologijo in zelo nianse, za katere ste lahko na sodišču.

Pojasnite pojme v človeškem jeziku

Glavni zakon, ki ureja odnose v zvezi z obdelavo osebnih podatkov, je zvezni zakon z dne 27. julija 2006 št. 152-ФЗ „O osebnih podatkih“.

Prvi izraz, ki ga je treba razumeti, so osebni podatki.

Kaj so osebni podatki

To so vse informacije, ki se lahko uporabijo za identifikacijo osebe: na primer ime in priimek, datum rojstva, izobrazba, dohodek in celo zakonski stan. Vprašate: "In kaj, moj priimek, natisnjen na vizitki, so tudi osebni podatki?"

Odgovor: "Da." Po zakonu ni pomembno, ali je na vizitko ali v kombinaciji natisnjeno samo vaše priimek, na primer s telefonsko številko in naslovom. Tako prvi kot drugi, tretji - osebni podatki. Res je, da za shranjevanje vizitk ali telefonskih številk deklet v imeniku ni treba odgovoriti z zakonom, temveč bolj na spodaj.

Pojdi naprej. Mediji nenehno pišejo "shranjevanje osebnih podatkov". Pravilno gledano ne gre za shranjevanje, ampak za obdelavo osebnih podatkov. Kakšna je razlika? Shranjevanje je le del tega, kar se imenuje obdelava osebnih podatkov. Dejanja, ki jih izvajate z osebnimi podatki (zbiranje, zbiranje, shranjevanje, prenos, spreminjanje), so z zakonom označena kot „obdelava osebnih podatkov“.

Pomembno je razumeti, da zakon ločuje dva subjekta osebnih podatkov: upravljavca in obdelovalca. Upravljavec izvaja obdelavo osebnih podatkov in tudi določa namen njihove obdelave, sestavo osebnih podatkov, ki jih je treba obdelati, dejanja (operacije), ki se izvajajo z osebnimi podatki.

Vodnik je oseba, ki izvaja kakršne koli ukrepe z osebnimi podatki: zbiranje, shranjevanje, organiziranje, zbiranje, posodabljanje, posodabljanje, brisanje, depersonaliziranje itd.

Pravzaprav, vodnik ni le končni uporabnik, ki potrebuje osebne podatke za delo, temveč tudi vsak vmesni uporabnik, preko katerega roke so ti osebni podatki posredovani. Pokaži v praksi.

Težava

Spletna trgovina ima bazo podatkov o strankah, ki se nahaja v "oblaku" tretje družbe. S to bazo deluje marketinška agencija. Vprašanje: Koliko operaterjev osebnih podatkov imamo?

Pravilen odgovor je eden. To je spletna trgovina, ki določa cilje obdelave osebnih podatkov. Drugo vprašanje je: koliko obdelovalcev osebnih podatkov imamo? Pravilen odgovor je dva.

1. Podjetje, ki ima v svojem oblaku podatkovno bazo spletne trgovine.
2. Tržna agencija, ki pridobi podatke in na podlagi teh podatkov lahko strankam pripravi promocijsko ponudbo.

Osebni podatki se obdelujejo v različnih institucijah: na primer v bankah, šolah, klinikah, v vizumskih centrih. Da ne omenjam spletnih strani, kjer se registriramo, pustite naše e-poštne naslove in telefonske številke. Toda kako in kje točno?

Nuance

V zakonodaji je tako nejasen izraz kot „informacijski sistem za osebne podatke“. Če poskusite pojasniti v preprostih besedah ​​- to je celoten kompleks, sestavljen iz strežnikov baz podatkov, tehničnih sredstev za zagotavljanje njihove obdelave in informacijske tehnologije. V skladu z zakonom je treba varovati vsak informacijski sistem osebnih podatkov.

Metode varovanja informacij so različne.

• Fizična: na primer v prostoru, kjer se nahajajo računalniki, se lahko namestijo kamere, lahko se uporablja nadzor dostopa, alarmni sistemi.
• Tehnični - z uporabo specializiranih sredstev za zaščito informacij.
• Upravna: vse vrste predpisov in pravil, ki urejajo obdelavo osebnih podatkov v podjetju.

Primer

Eno od sredstev za zaščito informacij je depersonalizacija osebnih podatkov. Kaj je to? V vizumskem centru se vsaki osebi, ki zaprosi za vizum, dodeli ločena identifikacijska številka. Sama številka se ne nanaša na osebne podatke, saj osebo depersonalizira: nemogoče je identificirati osebo, ki je zaprosila za vizum.

Zdi se, da obdelujem osebne podatke.

Torej, s terminologijo razvrščeno. Zdaj bi morali vsi predstavniki podjetij, zlasti samostojni podjetniki, ki imajo le nekaj zaposlenih v osebju, iskreno odgovoriti na vprašanje: »Ali obdelujem osebne podatke?«

Da, če ste lastnik spletnega mesta s prisotnostjo petih ljudi na teden, vendar ima obrazec za povratne informacije s polji "ime, e-poštni naslov, telefonska številka". Informacije o namenih, za katere zbirate osebne podatke, kako jih uporabljate, morajo biti predstavljene na vaši spletni strani.

Da, če obdelujete osebne podatke svojih zaposlenih ali strokovnjakov tretjih oseb, ki so zaposleni.

Da, če delate z zasebnimi strankami in potrebujete podatke o njihovih potnih listih za sklepanje pogodb - to velja za potovalne agencije, fitnes centre, različne storitvene družbe, spletne trgovine in druge.

In še enkrat, da, če ste proračunska organizacija, politična stranka ali vrtec. Slednji imajo ne le podatke o otroku, ampak tudi njegove starše, vključno z delom in položajem. Da ne omenjam zdravstvenih ustanov - obstaja morje osebnih občutljivih informacij, ki jih je treba varno shraniti.

Če pa podatke uporabljate za osebno komunikacijo brez komercialne koristi, se zahteve zakonodaje ne nanašajo na vas in ne gre za nobeno kazensko odgovornost.

Na primer, uporaba stikov, natisnjenih na vizitki, ki ste jo prejeli od kolega, ali telefonskih številk v zvezku na pametnem telefonu, informacije na družabnih omrežjih vam ne nalagajo odgovornosti pred zakonom.

Glavna stvar je, da ne razkrivamo podatkov oglaševalcem in jih ne objavljamo brez dovoljenja lastnikov osebnih podatkov v javni domeni.

Določite kategorijo osebnih podatkov

Čestitamo, ponosni ste lastnik naziva »operater osebnih podatkov«. Zdaj je najpomembnejše, da natančno razumete, katere osebne podatke obdelujete. Ker je odvisno od kategorije osebnih podatkov, kako zaščititi podatke in katere zahteve je treba izpolniti. Kategorije so podrobno opisane v Zveznem zakonu-152 in resoluciji vlade z dne 1. novembra 2012 N 1119.

Kategorije osebnih podatkov v preprostih besedah:

Splošno dostopni osebni podatki: podatki iz odprtih virov, ki jih objavijo osebni podatki ali z odobritvijo. Javno dostopni podatki so podatki iz medijev ali interneta.

Primer: informacije, objavljene v odprtem dostopu na socialnih omrežjih ali na spletni strani podjetij. Telefonska številka in družinski status, objavljen v javnem dostopu do Facebooka. Ime zaposlenega in njegovo delovno mesto na spletni strani delodajalca.

Biometrični osebni podatki: ta kategorija vključuje vse podatke o fizioloških in bioloških značilnostih ljudi.

Primer: teža, višina, barva oči ali las, dolžina las, krvna skupina, fotografija.

Osebni podatki posebne kategorije: to vključuje informacije o pripadnosti kateri koli rasi in narodu, politični pogledi, verska in filozofska prepričanja, zdravstveno stanje ali intimno življenje.

Primer: medicinska diagnoza (informacije o tem, kaj ste zboleli, kdaj, kaj zdravnik vas je obravnaval).

Osebni podatki drugih vrst - to vključuje osebne podatke, ki niso vključeni v zgoraj navedene kategorije.

Primer: informacije o podjetju. Računovodske izkaznice za zaposlene, ki vsebujejo informacije, s katerimi so HR in knjigovodska dela: plače, počitnice, datumi zaposlitve.

Kategorija, število, vrsta groženj - raven zaščite

Ko se odločite za kategorijo osebnih podatkov, morate razumeti natančno količino podatkov, ki jih obdelujete: do 100 tisoč ali več kot 100 tisoč.

Ugotovili smo kategorijo in količino, določili vrsto nevarnosti:

Grožnje številka 1. "Luknje" in ranljivosti v operacijskem sistemu. Primer: ranljivosti, ki jih hekerji uporabljajo za infiltriranje v operacijski sistem, za krajo informacij.

Grožnje številka 2. "Luknje" in ranljivosti v aplikacijski programski opremi, torej v programski opremi, ki se uporablja v vašem vsakodnevnem delu. Primer: Word, Excel.

Grožnje številka 3. Vse druge nevarnosti, ki niso navedene v prvih dveh vrstah. Najprej človeški dejavnik. Zaposleni lahko dokument ostane odprt na odklenjenem računalniku, pošlje dokument za tiskanje na tuje tiskalnik ali po e-pošti.

Količina osebnih podatkov, kategorija, vrsta groženj - skupaj vam omogočajo, da ugotovite, kakšna raven zaščite je potrebna za vaš informacijski sistem. Zdaj imamo štiri ravni zaščite.

Prva in najvišja raven varstva se najpogosteje uporablja za obdelavo osebnih podatkov v vladnih agencijah in zdravstvenih ustanovah. Četrto raven zaščite je najlažje zagotoviti, včasih je dovolj, da se izvedejo organizacijsko regulativni ukrepi, predvsem v zvezi z varstvom javno dostopnih podatkov.

Stopnjo zaščite lahko določite s to tabelo.

Primer

Bolnišnica obdeluje osebne podatke svojih pacientov - to so osebni podatki posebne kategorije. Obdeluje tudi osebne podatke zaposlenih - to so osebni podatki druge kategorije. Najverjetneje ima bolnišnica dve podatkovni zbirki. Če dodate obe bazi podatkov, boste dobili skupno količino osebnih podatkov, ki se vrtijo v informacijskem sistemu te bolnišnice.

Na primer, vse od njih - do 100 tisoč. Nato pogledamo, kako se obdelujejo podatki: avtomatizirani (v računalniku) ali ne avtomatizirani (v ročni omarici za datoteke). Če je vse avtomatizirano, pogledamo, kakšno programsko opremo uporablja bolnišnica, katere ranljivosti ima.

Na podlagi tega so opredeljene grožnje in njihova raven. Vse dejavnike seštejemo in dobimo drugo stopnjo zaščite. Oglejmo si, kakšne so zahteve iz zakona na drugi stopnji varnosti. Na podlagi teh zahtev bo treba zgraditi zaščito informacijskega sistema, ki bo ustrezala zahtevam zveznega zakona.

Malo o nevarnosti uhajanja osebnih podatkov

Zakaj se sploh ukvarjati z varstvom osebnih podatkov? Osebni podatki so dragi izdelki na črnem trgu. Prevaranti so pripravljeni plačati impresivne zneske za profil, ki vsebuje vse podrobnosti zdravstvene kartoteke osebe. Ločen trg - prodaja podatkov o bančnih karticah; računi v družabnih omrežjih.

Posledice uhajanja osebnih podatkov so različne. Podatki so lahko javno dostopni na internetu: na primer, lahko preprosto najdete ukradene zbirke podatkov z naslovi in ​​telefonskimi številkami strank podjetja v omrežju. Če poznate ime in priimek, lahko vsakdo najde domači naslov osebe, se vključi v družabno omrežje, si ogleda profil ali pa samo napiše SMS na mobilni telefon.

Osebni podatki se lahko vnesejo v podatkovno bazo nadležnih pošiljk neke komercialne organizacije, nato pa bo njihov lastnik preobremenjen z nenaročenimi ponudbo storitev. Lahko jih uporabljajo tudi spletni prevaranti za spletne igralnice ali odprejo elektronsko denarnico.

V najhujših primerih lahko napadalec pooseblja drugo osebo in si zasluži ime nekoga drugega. Najresnejše posledice uhajanja osebnih podatkov so: nezakonita ravnanja z nepremičninami, tatvina denarja iz bančnih kartic, izsiljevanje sorodnikov in registracija podjetja.

Obremenitev odgovornosti

Ali razumete pomen vprašanja in ste pripravljeni prevzeti odgovornost? Tako je. Ker je odgovornost za varnost osebnih podatkov v celoti v pristojnosti operaterja.

To pomeni, da mora upravljavec poskrbeti, da informacije ne pridejo v javni dostop ali da ne sodijo v roke tretjih oseb, ki nimajo nobenih pravic do tega. To zahteva stalno spremljanje in preprečevanje ogrožanja varnosti podatkov, nadzor nad nivojem informacijske varnosti in njeno obnovo v primeru izgube.

V naši državi Roskomnadzor spremlja skladnost z zakonodajo na področju obdelave osebnih podatkov. Ta organ se odziva na pritožbe, ureja odnose med subjekti in izvajalci.

Tehnične zahteve za varovanje informacij so v pristojnosti FSTEC in FSB: razvijajo zahteve in nadzorujejo njihovo izvajanje.

Zahteve za obdelavo osebnih podatkov

In zdaj je čas, da preučimo tabele z zahtevami za tehnično zaščito osebnih podatkov. Podrobnosti najdete v nalogu Zvezne službe za tehnični in izvozni nadzor z dne 18. februarja 2013 N 21.

Ampak vsaj začnite s tem:

1. Registrirajte se kot Roskomnadzor kot operater osebnih podatkov. Zahteva se, da se pri Roskomnadzor prijavijo v papirni ali elektronski obliki. Informacije o povezavi.
2. Pridobite pisno soglasje vseh subjektov, katerih osebni podatki se obdelujejo. Soglasje pri obdelavi osebnih podatkov je glavni pravni dokument, ki potrjuje zakonitost obdelave osebnih podatkov.
3. Razviti notranjo dokumentacijo. Zagon po ukazu vodje organizacije "Pravilnik o obdelavi osebnih podatkov". V tem dokumentu upravljavec pojasni, kako namerava uporabiti osebne podatke, za kaj in kje bodo preneseni. To je temeljni dokument, ki ga zahteva vsak operater osebnih podatkov. Na podlagi tega so razviti vsi drugi upravni dokumenti.

Mnogi lastniki spletnih mest menijo, da če obiskovalec klikne gumb »Strinjam se z obdelavo osebnih podatkov«, ne bo nobenih pravnih težav, in obdelava podatkov bo samodejno spadala v pravno področje. To ni.

S pravnega vidika obstajata le dva načina za potrditev soglasja za obdelavo osebnih podatkov: podpis na papirju ali elektronski digitalni podpis.

V vseh drugih primerih, če gre za zadevo na sodišče, lastnik mesta ne bo mogel potrditi, kdo točno pritisne na gumb "Strinjam se". Lahko samo upamo, da je subjekt, ki je prišel na vašo spletno stran prostovoljno posreduje svoje podatke in ne vloži pritožbe.

Ali je res pregled?

Da, pregledi so lahko iz Roskomnadzora.

Roskomnadzor letno objavlja seznam preverjanj selektivno s seznama registriranih operaterjev, če je podjetje vključeno v seznam pregledov, potem je naslednji predvideni pregled možen ne prej kot po treh letih. Ogledate si lahko, ali je vaše podjetje na seznamu v tem letu.

Preglede po načrtu običajno povzročijo pritožbe. Če je pregled nenačrtovan, vas o tem v 24 urah pisno opozorite.

Lahko so tudi dokumentarni pregledi. Pri dokumentiranju boste poslali seznam dokumentov, katerih kopije boste morali poslati na Roskomnadzor.

Včasih Roskomnadzor opravi inšpekcijske preglede na kraju samem: inšpektorji osebno obiskujejo in preverjajo podjetje na kraju samem.

Priprava na katerikoli od teh pregledov je zamudna naloga. Ali boste sami rešili nalogo priprave za inšpekcijski pregled ali pa boste vključili zunanje strokovnjake, najprej morate ugotoviti, kdo bo v podjetju odgovoren za izpolnjevanje FZ-152.

Globe, sodišča in druge grozote

Za kršitev 152-FZ je predvidena civilna, kazenska, upravna in disciplinska odgovornost.

Torej je Roskomnadzor opravil inšpekcijski pregled, če bi ugotovil neskladnosti z zakonom, izdal nalog preiskovalnemu odboru za izvedbo sojenja o kršitvi zakona o osebnih podatkih.

Po tem, bo tožilstvo začela inšpekcijski pregled, v katerem lahko ustavi dejavnosti podjetja: umaknite podatkovne baze podjetja, zlasti računalnike, na katerih so bili obdelani osebni podatki.

Kršitelji zakona predvsem čakajo na globe. Znesek glob je odvisen od kaznivega dejanja. Tako bodo za obdelavo osebnih podatkov brez pisnega dovoljenja subjektov pravne osebe morale prevzeti upravno odgovornost.

Tudi če je operater pripravljen plačati globo, vendar po standardih velikega podjetja, se to ne zdi ogromno, bo storilec še vedno moral odpraviti nedoslednost pred zakonom (npr. Izbrisati shranjene podatke) in obvestiti Roskomnadzor.

Najslabši scenarij je, če se Roskomnadzor odloči za preklic licence podjetja, prepoved poslovanja z obdelavo osebnih podatkov in nezakonito objavljanje osebnih podatkov državljanov.

V zadnjih nekaj letih je bil najglasnejši škandal v Rusiji povezan z blokiranjem LinkedIna, katerega lastniki so bili obtoženi obdelave osebnih podatkov državljanov brez njihovega soglasja na strežnikih izven Ruske federacije. Blokiranje storitve autonum.info je bilo tudi »narejeno s hrupom«.

Koliko me bo stalo denarja in moči

Obdelavo osebnih podatkov lahko organizirate samostojno ali s pomočjo podjetja, ki zagotavlja takšno storitev.

Če se boste sami odločili obdelati osebne podatke, boste potrebovali:

1. Razumeti, katero kategorijo osebnih podatkov obdelujete in kakšne so tehnične zahteve za njihovo zaščito.
2. Sami ali s pomočjo informacijskega podjetja razvijejo tehnične rešitve, pripravijo nakup potrebne opreme in programske opreme, jo namestijo in izvajajo.
3. Izdajte vse pravne dokumente. Razviti niz notranjih dokumentov: navodila in predpise.

V najboljšem primeru bo trajalo tri do štiri mesece, na stroške takega izvajanja, je lahko 200-300 tisoč rubljev - to je strošek nakupa opreme in licenc. Stroški dela in nadaljnja podpora informacijskemu sistemu sta ločeni odhodkovni postavki. Potrebovali boste tudi skrbnika, ki bo spremljal delovanje sistema.

Če govorimo objektivno, zelo majhna podjetja preprosto ne izpolnjujejo vseh zahtev zakona v upanju, da ne bo nobenega preverjanja. Morda res ne bo. Druga podjetja ustvarjajo "Potemkinske vasi" samo s pretvarjanjem, da obdelujejo osebne podatke v skladu z zahtevami zakona, z drugimi besedami, "kupujejo" potrebne dokumente.

V naslednjem članku bomo prikazali, kako izračunati stroške obdelave osebnih podatkov v podjetju in vam povedati, kdaj je bolj koristno obdelati osebne podatke in kdaj je bolje, da jih shranite v oblaku.

Gradivo je objavil uporabnik. Kliknite gumb "Napiši", da delite svoje mnenje ali govorite o svojem projektu.

Zakon o osebnih podatkih: posledice za pisarniško delo

• Khramtsovskaya Natalia | Kandidat za zgodovinske znanosti, vodilni strokovnjak za upravljanje dokumentov v podjetju EOS, strokovnjak ISO, član Mednarodnega arhivskega sveta

Iščete glavni vzrok

Zvezni zakon Ruske federacije št. 152-ФЗ "O osebnih podatkih" je bil sprejet 27. julija 2006 in je bil na podlagi drugih izjemnih dogodkov v preteklem letu skoraj neopažen. Formalni razlog za njegovo sprejetje so bila številna dejstva, da so se zbirke osebnih podatkov v državnih in komercialnih strukturah zlorabljale in da so bile razširjene. Pravzaprav je bil glavni namen sprejetja tega zakona potreba po odpravi nekaterih ovir za trgovino z državami Evropske unije.

Francija je prepovedala objavo dejstev o zasebnosti in kršiteljem naložila globe leta 1858.

Norveški kazenski zakonik je prepovedal objavo informacij o "osebnih ali zasebnih zadevah" leta 1889.

Domače pravo »O osebnih podatkih« z dne 27. julija 2006 št. v "Rossiyskaya Gazeta").

V skladu z direktivo EU 95/46 / ES se lahko osebni podatki prenesejo le v države, ki zagotavljajo enako raven zaščite kot v Evropi. To je močno oviralo izmenjavo informacij med evropskimi vladnimi agencijami in podjetji s tujimi partnerji, kar je onemogočalo mnoge komercialno obetavne projekte. Takšne omejitve niso doživele le Rusija in države tretjega sveta, temveč tudi gospodarska pošast, kot so Združene države. Naša vlada se je zato odločila premagati to oviro. Poglejmo, kako je to storil in kaj nas bo vse stalo.

Sprejetje ruskega zakona o osebnih podatkih je bilo posledica pristopa Ruske federacije k Evropski konvenciji 1981 o zaščiti osebe v zvezi z avtomatsko obdelavo osebnih podatkov, ki opredeljuje temeljna načela za varstvo osebnih podatkov v evropskih državah. Ta konvencija in poznejše direktive Evropske unije so opisale naloge, ki jih mora nacionalna zakonodaja obravnavati pri urejanju osebnih podatkov: t

• varstvo osebnih podatkov pred nepooblaščenim dostopom do njih s strani drugih oseb, vključno s predstavniki vladnih organov in služb, ki nimajo potrebnih pooblastil;
• zagotavljanje varnosti, celovitosti in zanesljivosti podatkov v procesu dela z njimi, vključno s prenosom prek komunikacijskih kanalov;
• zagotavljanje ustreznega pravnega režima teh podatkov pri delu z njimi za različne kategorije osebnih podatkov;
• zagotavljanje nadzora nad uporabo osebnih podatkov s strani državljana;
• vzpostavitev posebne neodvisne strukture, ki zagotavlja učinkovit nadzor nad spoštovanjem pravic državljanov do varovanja svojih osebnih podatkov (na primer, oblikovanje delovnega mesta komisarja za varstvo osebnih podatkov).

Naš zakon v glavnem ponavlja glavne določbe evropske zakonodaje na tem področju, ki velja za eno najtežjih na svetu. Čeprav je bil leta 2006 zakon pogosto govorjen, je malo ljudi skrbno prebralo vsebino njegovih določb. Da pa zagotovimo skladnost z zahtevami, je treba bistveno spremeniti delo z informacijami in dokumentacijo, ki vsebuje osebne podatke. Poskusimo ugotoviti, kaj je novega na področju upravljanja dokumentov in informacij v organizaciji?

• V vseh organizacijah obstaja nova, dokaj obsežna plast dokumentacije. Gre za dokumente, ki se nanašajo na pridobitev soglasja posameznikov za obdelavo njihovih osebnih podatkov, registracijo podatkovnih baz pri pooblaščenem organu, dokumentacijo vseh transakcij z osebnimi podatki itd.
• Treba je poudariti dokumente in informacije, ki vsebujejo osebne podatke; njihovo posebno označevanje na papirju in v elektronskih medijih; ločeno računovodstvo in sledenje dostopu. Lahko govorimo o pojavu drugega tipa vratu do dokumentov.
• Bistveno spreminjajoči se pristop k vzpostavitvi hrambe dokumentov in informacij. Prvič v domači praksi je določen najdaljši čas skladiščenja in pogojno obdobje, ki ga bo težko opazovati in slediti.
• Pri delu z osebnimi podatki je treba vnaprej dobro premisliti in jih zabeležiti v regulativne dokumente, ki so povezani z njihovo obdelavo. V nasprotnem primeru lahko organizacija odgovarja in, še bolj neprijetno, lahko pride do številnih tožb s strani oseb, na katere se nanašajo osebni podatki3.
• Zakon uvaja zelo stroge roke za izvrševanje vseh pritožb državljanov v zvezi z obdelavo osebnih podatkov.

Oglejmo zdaj podrobneje o najpomembnejših določbah zakona in ocenimo, kaj se bodo organizacije in institucije morale izvajati. Poleg tega bomo poskušali analizirati nekatere zakonske določbe v smislu pravilnosti in jasnosti njihovega besedila.

Področje uporabe zakona

Prvo vprašanje: za koga se uporablja ta zakon? Glede na to lahko rečemo, da velja za vse brez izjeme (za državne institucije, pravne in fizične osebe). Tu je seznam člena 1:

• organi zvezne vlade
• državne organe subjektov Ruske federacije, t
• drugih državnih organov
• lokalne vlade,
• neobčinski organi,
• pravne osebe
• posameznikov.

Drugo pomembno vprašanje je področje uporabe zakona.

Člen 1 Zveznega zakona Ruske federacije "O osebnih podatkih" št. 152-FZ z dne 27. julija 2006

Ta zvezni zakon ureja odnose, povezane z obdelavo osebnih podatkov... z uporabo orodij avtomatizacije ali brez uporabe takšnih sredstev, če obdelava osebnih podatkov brez uporabe takšnih sredstev ustreza naravi dejanj (operacij), ki se izvajajo z osebnimi podatki s pomočjo avtomatiziranih sredstev.

Besedilo tega članka je primer, kako ne bi pisali zakonov. Izkazalo se je, da je nekaj nerazumljivo, kar omogoča različne interpretacije. Kako na podlagi takega besedila na primer odgovoriti na vprašanje, ali spadajo podatki, ki so zajeti v prosti obliki v poslovnih zvezkih, v področje uporabe zakona? Če je takšen zvezek shranjen v računalniku ali mobilnem telefonu, ali se šteje za "uporabo opreme za avtomatizacijo"?

Evropska zakonodaja v zvezi s tem jasnejša: t

Direktiva EU 95/46 / ES 1995

Člen 2 "Opredelitve": t

(c) „sistem za shranjevanje osebnih podatkov“ 4 („sistem za shranjevanje“) je vsak strukturiran niz osebnih podatkov, do katerega je mogoče dostopati v skladu z določenimi merili - ne glede na to, kako je zbirka podatkov organizirana, bodisi centralizirana, decentralizirana ali distribuirana. na funkcionalni ali geografski podlagi...

Člen 3 "Področje uporabe": t

1. Ta direktiva se nanaša na obdelavo osebnih podatkov z uporabo samodejnih sredstev (v celoti ali delno), kakor tudi na obdelavo, ki ni avtomatična, osebni podatki, komponente ali so namenjeni za del sistemov za shranjevanje.

V sodobni računalniški terminologiji »strukturirani podatki« pomenijo predvsem baze podatkov. V dokumentaciji vsebujejo kartoteke in arhive osebnih datotek. Zato evropske zahteve vključujejo:

• avtomatsko obdelavo osebnih podatkov in. t
• za uporabo (bodisi v samodejnem ali drugem načinu), ki vsebuje osebne podatke iz papirnih in elektronskih podatkovnih baz, kartičnih kartic itd., ki imajo iskalni mehanizem, ki omogoča enostavno pridobivanje informacij o določeni osebi.

Zakaj je bilo nemogoče pisati v ruščini in v našem pravu je še vedno nerazumljivo?

Pozornost je treba nameniti različni terminologiji: "avtomatska obdelava" je ena stvar, obdelava "z uporabo opreme za avtomatizacijo" pa je povsem drugačen koncept, veliko širši in bolj nejasen.

Zakon določa le štiri izjeme, in sicer zakon ne velja za razmerja, ki izhajajo iz:

• pri obdelavi osebnih podatkov za osebne in družinske potrebe;
• pri obdelavi osebnih podatkov v dokumentih Arhivskega sklada Ruske federacije;
• pri obdelavi osebnih podatkov za vključitev v Enotni državni register posameznikov (EGRIP);
• pri obdelavi osebnih podatkov, razvrščenih kot državne skrivnosti.

Ena od teh točk zahteva podrobnejšo študijo. Za začetek citiramo zakon:

Člen 1 Zveznega zakona Ruske federacije "O osebnih podatkih" št. 152-FZ z dne 27. julija 2006

2. Ta zvezni zakon se ne uporablja za odnose, ki izhajajo iz: t

2) organizacijo shranjevanja, pridobivanja, obračunavanja in uporabe, ki vsebujejo osebne podatke dokumentov Arhivskega sklada Ruske federacije in druge arhivske dokumente v skladu z zakonodajo o arhivskem gradivu v Ruski federaciji.

Opozarjamo vas na dve opredelitvi iz Zakona o arhivskih zadevah v Ruski federaciji št. 125-ФЗ z dne 10.22.2005:

• arhivski dokument - otipljiv medij z informacijami, ki so na njem zapisane, s podrobnostmi, ki omogočajo njegovo identifikacijo in se hranijo zaradi pomena navedenega nosilca in informacij za državljane, družbo in državo;
• Dokument Arhivskega sklada Ruske federacije je arhivski dokument, ki je opravil preverjanje vrednosti dokumentov, je obdržan v državnem računovodstvu in je predmet trajnega skladiščenja.
  Izkazalo se je, da če se za dokument ali bazo podatkov določi trajno obdobje shranjevanja in so vključeni v arhivski sklad Ruske federacije, se ta zakon zanje ne uporablja. Ta pomanjkljivost omogoča vladnim agencijam kakršno koli resno bazo podatkov, da bi se izognili izvajanju novega zakona o osebnih podatkih.

Tukaj je primer, kako se to lahko stori. V skladu z Zveznim zakonom "o arhivskih zadevah v Ruski federaciji" (drugi odstavek 18. člena) vlada Ruske federacije potrdi seznam zveznih izvršilnih organov in organizacij, ki izvajajo depozitarno hrambo dokumentov Arhivskega sklada Ruske federacije, ki so v zvezni lasti. Konec leta 2006 je bil odobren nov seznam 5 oddelkov in organizacij. Hkrati je bilo tem organizacijam naloženo, da z Rosarkhivom sklenejo sporazum o pogojih za shranjevanje dokumentov. Če je ob sklenitvi pogodbe izrecno določeno, da se vsi dokumenti, razen operativnih, štejejo za dokumente, ki se prenesejo na skrbništvo, se večina dokumentov lahko da v to izjemo.

Za druge državne organizacije bi lahko ena od možnosti bila takojšnja odobritev evidenc z državnimi arhivi, kar bi pomenilo vključitev dokumentov v arhiv Ruske federacije in ponovno zapustitev "območja delovanja" zakona o osebnih podatkih.

Direktive Evropske unije ne vsebujejo takšne izjeme, vendar obstaja, na primer, v zakoniku ZDA 6, ki vsebuje bolj pravilno besedilo, ki ne dopušča dvoumnosti: zakonodaja o osebnih podatkih na splošno ne velja za dokumente, ki so že deponirani v državnih arhivih, se nanaša na dokumente, ki jih katera koli agencija v skrbništvu prenese v državne arhive.

Prav tako ni jasno, zakaj je iz naših številnih državnih podatkovnih baz naš zakon naredil izjemo za Enotni državni register individualnih podjetnikov (EGRIP). Logično bi bilo torej razširiti izjemo na druge državne registre, ki vsebujejo tudi osebne podatke (na primer, ustanovitev vključuje informacije o ustanoviteljih in prvih osebah vseh pravnih oseb v državi).

Osebni podatki in metode obdelave

Osebni podatki - vse informacije, ki se nanašajo na fizično osebo (predmet osebnih podatkov), določene ali določene na podlagi teh podatkov, vključno z njegovim priimkom, imenom, patronymic, letom, mesecem, datumom in krajem rojstva, naslovom, družino, socialno, premoženjsko stanje, izobraževanje, poklic, dohodek, druge informacije (v skladu s členom 3 Zakona o osebnih podatkih).

Zakon določa naslednje načine obdelave osebnih podatkov (za nekatere so podrobna pojasnila v 3. členu):

• zbiranje;
• sistematizacija;
• kopičenje;
• shranjevanje;
• pojasnitev (posodobitev, sprememba);
• uporaba - "dejanja (operacije) z osebnimi podatki, ki jih upravljavec 7 izvaja z namenom sprejemanja odločitev ali izvajanja drugih dejanj, ki povzročajo pravne posledice v zvezi s predmetom osebnih podatkov ali drugih oseb, ali na kakršen koli drug način vplivajo na pravice in svoboščine osebnih podatkov ali drugih oseb";
• distribucija (vključno s prenosom) - „ukrepi za prenos osebnih podatkov določenemu krogu oseb (prenos osebnih podatkov) ali poznavanje osebnih podatkov neomejenega števila oseb, vključno z javnim razkritjem osebnih podatkov v medijih, posredovanjem informacij in telekomunikacijami dostop do osebnih podatkov na kakršen koli drug način;
• Odprava osebnih lastnosti - „ukrepi, zaradi katerih ni mogoče določiti identitete osebnih podatkov določenemu osebnemu podatku“;
• blokiranje - „začasno prekinitev zbiranja, sistematizacije, zbiranja, uporabe, razširjanja osebnih podatkov, vključno z njihovim prenosom“;
• uničenje osebnih podatkov - »dejanja, zaradi katerih ni mogoče obnoviti vsebine osebnih podatkov v informacijskem sistemu osebnih podatkov ali zaradi katerih se materialni nosilci osebnih podatkov uničijo«.

Posebno pozornost je treba nameniti metodam obdelave, kot so blokiranje in uničenje osebnih podatkov. Zakon zelo dobro govori o uničenju - to je pristop, ki ga sedaj priporočajo domači in tuji standardi. Za blokiranje osebnih podatkov je bil prvič uveden ta način obdelave v domačo prakso, njegova izvedba pa lahko bistveno oteži življenje organizacijam, ki uporabljajo predhodno razvite informacijske sisteme in podatkovne baze, v katerih taka operacija ni zagotovljena.

Načela in pogoji za obdelavo osebnih podatkov

Določbe zakona so namenjene predvsem preprečevanju nezakonitega zbiranja in uporabe osebnih podatkov. Ta želja zakonodajalca je povzročila nastanek novega položaja v praksi vodenja evidenc:

Klavzula 2 člena 5 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ

Osebni podatki bi morali biti shranjeni v obliki, ki omogoča določitev predmeta, ne več, kot to zahtevajo procesni cilji, in bi jih bilo treba uničiti ob doseganju ciljev obdelave osebnih podatkov ali izgube potrebe po njih.

V tem primeru je zakon prvič morda za informacije in dokumente določil največje in še bolj pogojno obdobje shranjevanja - „ob doseganju ciljev obdelave“. Organizacije bodo morale določiti obdobja shranjevanja za dokumente, ki vsebujejo osebne podatke, zato bo treba vnaprej razmisliti o razlogih za izbrana obdobja shranjevanja. To je precej zapleteno vprašanje, ki lahko povzroči veliko polemik in problemov.

Poleg tega morajo strokovnjaki DOE paziti na naslednje: ker je treba cilje za zbiranje in obdelavo osebnih podatkov, kot jih zahteva zakon, določiti pred začetkom dela, je treba skrbno preučiti njihovo besedilo. Sicer lahko organizacija sama nadomesti: cilji bodo izpolnjeni, osebni podatki pa ne bodo uničeni.

Ena izmed najbolj neprijetnih za organizacije, ki zbirajo in obdelujejo osebne podatke, je zahteva 6. člena glede potrebe po pridobitvi soglasja subjekta za njihovo obdelavo. Privolitev ni potrebna le v naslednjih primerih:

• na podlagi zvezne zakonodaje;
• za izpolnitev pogodbe z osebnimi podatki;
• za statistične ali znanstvene namene;
• varovanje življenja in zdravja osebnih podatkov;
• za dostavo poštnih pošiljk poštnim organizacijam;
• pri opravljanju poklicne dejavnosti novinarja, znanstvenika itd.;
• podatki, ki bodo objavljeni v skladu z zveznimi zakoni;
• za zaščito temeljev ustavnega reda, morale, zdravja, pravic in legitimnih interesov drugih, da se zagotovi obramba države in varnost države.

Že imamo številne zvezne zakone, ki opisujejo obdelavo osebnih podatkov, na primer pri vzdrževanju enotnih državnih registrov davkoplačevalcev (EGRN) in pravnih oseb (USR). Edini pogoj za uporabo izjeme od splošne zahteve za soglasje je določiti naslednja vprašanja v ustrezni zakonodaji:

• cilje
• pogoji za pridobitev osebnih podatkov
• subjektov, katerih osebni podatki so predmet obdelave,
• upravljavca, ki zbira podatke.

Še ni jasno, kaj se bo zgodilo s tistimi zakoni, ki vsebujejo norme, povezane z zbiranjem in obdelavo osebnih podatkov, vendar ne izpolnjujejo določenih pogojev.

Prvi problemi, povezani s skladnostjo z novim zakonom, so opozorili zavarovalnice. Po njihovem mnenju lahko zakon o osebnih podatkih resno ovira izvajanje zakona o zavarovanju avtomobilske odgovornosti zaradi prepovedi prenosa osebnih podatkov stranke, pridobljenih ob sklenitvi pogodbe o avtomobilski odgovornosti, brez njegovega soglasja tretjim osebam. Zaradi tega zavarovalnica ne bo mogla pridobiti popolnih informacij o svojih strankah iz ene same podatkovne zbirke (prav tako je vprašljivo tudi vzdrževanje takšne baze podatkov), v tem primeru se tveganja zavarovalnic povečujejo.

Zavarovalnice že zdaj skušajo zanje rešiti ta pomemben problem z upoštevanjem naslednjih možnosti:

• Spremembe zakona o OSAGO in obveznost zavarovalnic za izmenjavo podatkov o zavarovanih dogodkih.
• Opredelitev dela osebnih podatkov kot javnih. Informacije, ki jih posameznik navede med sklepanjem pogodbe OSAGO, so po mnenju zavarovalnic javne. Zakon o osebnih podatkih zahteva pridobitev soglasja za zbiranje javnih podatkov.
• Odbor All-ruski Zveze zavarovalnic (ARIA) za boj proti zavarovalniških goljufij je že pripravila dva računa, ki so načrtovani, da se predložijo državni dumi v začetku leta 2007. Po mnenju vodje odbora, Yevgeny Potapov, eden od teh računov bo spremenil zakon "o organizaciji zavarovalnih poslov v Ruski federaciji." Zavarovalnicam bo omogočeno, da bodo na podlagi svojih združenj in združenj ustvarili avtomatizirane informacijske sisteme, ki bodo vsebovali podatke o zavarovalnih zahtevkih in plačilih 8.

Šesti odstavek 6. člena o podelitvi pravice do obdelave osebnih podatkov novinarjem, znanstvenikom in predstavnikom drugih ustvarjalnih poklicev brez soglasja subjekta je v dvomih. Popolnoma realistično (zlasti v komercialnih strukturah) je uvesti polni delovni čas „predstavnika ustvarjalnega poklica“ in mu „pisati“ vse podatkovne baze, ki vsebujejo osebne podatke.

V Angliji je na primer v podobni določbi zakona dodatno določeno, da mora biti v tem primeru namen obdelave podatkov objavljanje ustreznega gradiva; da mora biti takšna objava v javnem interesu (tudi pri uveljavljanju pravice do samoizražanja predstavnika ustvarjalnega poklica) 9.

Poleg tega je zanimivo, kako bomo ugotovili, kdo je novinar ali pisatelj in kdo ni. Ni skrivnost, da mnogi pisci nimajo ustreznih diplom ali uradnih izkaznic. Pri nas lahko uporabimo pristop, ki ga uporabljamo v ZDA: novinarji prepoznajo vse tiste, ki pišejo članke za javno distribucijo, čeprav so objavljeni le na internetu.

V Združenih državah Amerike je januarja 2007 začelo sojenje nekdanji visoki upravi Georgea Busha Lewisa "Skuter" Libby. V sodni dvorani je bilo za novinarje namenjenih sto sedežev, dva pa sta bila uradno sprejeta s strani avtorjev internetnih dnevnikov.

Ameriško združenje časopisnih urednikov pri pripravi zveznega zakona o podelitvi pravice novinarjem, da ne razkrijejo zaupnih informacij med sodnimi postopki, kaže, da ta zakon velja za vse brez izjeme in zajema tiste, ki zbirajo informacije za nadaljnjo distribucijo. Tudi avtorji spletnih dnevnikov, »blogerji«, spadajo pod to opredelitev 10.

Zdaj pa poglejmo, kako novi zakon vključuje pridobitev soglasja subjekta do obdelave njegovih osebnih podatkov.

Določba 1 člena 9 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ

O osebnih podatkih se odloča o posredovanju osebnih podatkov in se strinja z njihovo obdelavo po lastni volji in v svojem interesu... Osebni podatki lahko odvzamejo soglasje za obdelavo osebnih podatkov.

Poleg tega klavzula 3 člena 9 vsebuje precej neprijeten pogoj za izvajalce. Bodisi bodo morali zbrati dokaze, da so podatki, ki so jih zbrali, vzeti iz javno dostopnih virov, ali pridobiti soglasje od osebnih podatkov in nato shraniti ta dokument, če se »subjekt« odloči, da bo tožil operaterja zaradi kršitve njegovih pravic.

Z javno dostopnimi podatki tudi ni tako preprosto. Člen 8, ki opredeljuje, kaj pomenijo javno dostopni viri osebnih podatkov (referenčne knjige, adresarji itd.), Poudarja, da se lahko osebni podatki vključijo le s pisnim soglasjem subjekta. Poleg tega so lahko "informacije o predmetu osebnih podatkov kadar koli izključene iz javno dostopnih virov osebnih podatkov na zahtevo subjekta osebnih podatkov ali s strani sodišča ali drugih pooblaščenih državnih organov."

Po drugi strani, če organizacija pri zbiranju informacij uporablja javno dostopne vire osebnih podatkov, mora dokumentirati, kje je prejela te informacije, in zagotoviti, da ima „vir“ pisno soglasje, ki ga zahteva zakon.

Zvezni zakon Ruske federacije "O osebnih podatkih" z dne 27. julija. 2006 št. 152-FZ

Določba 12 člena 3. Osnovni izrazi, uporabljeni v tem zveznem zakonu

Splošno dostopni osebni podatki so osebni podatki, do katerih ima neomejeno število oseb dostop s soglasjem osebnih podatkov ali za katere se zahteva po zaupnosti ne uporablja v skladu z zveznimi zakoni.

Določba 1 člena 8. T Splošno dostopni viri osebnih podatkov

Za zagotavljanje informacijske podpore je mogoče ustvariti javno dostopne vire osebnih podatkov (vključno z referenčnimi knjigami, adresarji). Javno dostopni viri osebnih podatkov s pisnim soglasjem subjekta osebnih podatkov lahko vključujejo njegovo priimek, ime, srednje ime, leto in kraj rojstva, naslov, številko naročnika, podatke o poklicu in druge osebne podatke, ki jih posreduje osebni podatek.

Določba 3 člena 9. Privolitev osebnih podatkov o obdelavi njihovih osebnih podatkov

Obveznost predložitve dokazila o soglasju subjekta osebnih podatkov pri obdelavi njegovih osebnih podatkov in v primeru obdelave javno dostopnih osebnih podatkov mora izvajalec dokazati, da so osebni podatki, ki se obdelujejo, javno dostopni.

Izkazalo se je, da bodo organizacije za zaščito morale zaprositi za uradno potrditev za vsakega državljana.

Kako je treba vložiti pisno soglasje subjekta? Izkazalo se je, da podpis državljanov pod splošnim izrazom "Strinjam se z zbiranjem in obdelavo mojih osebnih podatkov" ne bo dovolj.

Določba 4 člena 9 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ

... pisna privolitev osebnih podatkov pri obdelavi njihovih osebnih podatkov mora vključevati:

1. priimek, ime, patronymic, naslov predmeta osebnih podatkov, številka glavnega dokumenta, ki dokazuje njegovo identiteto, podatke o datumu izdaje navedenega dokumenta in organu izdaje;
2. ime (priimek, ime, patronymic) in naslov upravljavca, ki pridobi privolitev osebnih podatkov;
3. namen obdelave osebnih podatkov;
4. seznam osebnih podatkov, za obdelavo katerih je dana privolitev osebnih podatkov;
5. seznam ukrepov z osebnimi podatki, za katere je dano soglasje, splošen opis metod, ki jih upravljavec uporablja za obdelavo osebnih podatkov;
6. obdobje, v katerem je dovoljenje veljavno, in postopek za njegov umik.

To pomeni, da mora upravljavec pred »ulovom« osebnih podatkov in poskusom pridobitve njegovega soglasja razviti posebno obliko dokumenta, ki bi vsebovala vse potrebne informacije.

Pravice osebnih podatkov

Najprej je predmet osebnih podatkov upravičen do naslednjih informacij:

• informacije o operaterju,
• informacije o lokaciji upravljavca,
• informacije o osebnih podatkih upravljavca v zvezi z zadevnim osebnim podatkom,
• subjekt ima tudi pravico, da se seznani z njegovimi osebnimi podatki, ki jih ima upravljavec.

Od operaterja lahko predmet osebnih podatkov zahteva:

• pojasnite svoje osebne podatke
• njihovo blokiranje ali uničenje, če so osebni podatki nepopolni, zastareli, netočni, nezakonito pridobljeni ali niso potrebni za navedeni namen obdelave.

Veliko težav za organizacije izvajalcev bo ustvarilo 2. točko 14. člena zakona, ki zahteva, da upravljavec informacije o dostopnosti osebnih podatkov posreduje subjektu v dostopni obliki in da ne vsebuje informacij o drugih osebnih podatkih.

Zadeva „Durant proti finančni službi“ 11, ki je bila obravnavana na pritožbenem sodišču v Angliji decembra 2003, je prejela širok odziv. Odločba sodišča je bistveno zmanjšala razlago pojma „osebni podatki“. Sodišče je zlasti navedlo, da zgolj omemba te osebe v besedilu dokumenta ne zadošča za obravnavo dokumenta, ki vsebuje osebne podatke. Poleg tega je sodišče potrdilo, da pravica do dostopa do njihovih osebnih podatkov ne sme kršiti pravic tretjih oseb in da je zato treba iz kopij dokumentov, predloženih na zahtevo, odstraniti osebne podatke tretjih oseb (razen posebnih okoliščin).

Novembra 2004 je vlada zavrnila pravico delavcev v Združenem kraljestvu do dostopa do svojih osebnih podatkov, ne glede na to, ali jih delodajalec hrani v papirni ali elektronski obliki, če so shranjeni v sistemu, ki ne vsebuje jasno informacij o vsaki osebi. Tako so bili sistemi za shranjevanje papirnatih datotek (z izjemo osebnih datotek) de facto odstranjeni od dejanja zakona o zagotavljanju dostopa do osebnih podatkov, ker Težko je izolirati informacije o določeni osebi.

Za dostop do svojih osebnih podatkov morajo naši rojaki:

• osebno ali
• pošlji zahtevo, ki mora vsebovati:
  • številka glavnega dokumenta, ki potrjuje identiteto osebnih podatkov ali njegov pravni zastopnik,
  • (a) informacije o datumu izdaje določenega dokumenta in organa, ki je izdal dokument, in. t
  • lastnoročnega podpisa osebnih podatkov ali njegovega zakonitega zastopnika.

To zahtevo je mogoče poslati v elektronski obliki in podpisati z digitalnim podpisom. Tako zakon formalno daje možnost, da se za njihove osebne podatke zaprosi prek elektronskih komunikacijskih kanalov. Še nimamo posameznikov, ki bi imeli svoje EDS v skladu z zakonom o EDS (v veliki večini primerov se EDS v naši državi uporablja v skladu s 160. členom Civilnega zakonika, ki predvideva predhodni dogovor strank).

Količina informacij, ki jih lahko zahteva osebni podatek, kaže skrb za naše državljane. Organizacijam, ki vodijo zbirko podatkov z osebnimi podatki, se priporoča, da posebno pozornost namenijo četrtemu odstavku 14. člena novega zakona, da bi premislili in utrdili postopek za zagotavljanje informacij v notranjih predpisih:

1. dejstvo, da upravljavec obdeluje osebne podatke, in namene take obdelave;
2. o načinih obdelave osebnih podatkov, ki jih uporablja upravljavec;
3. o osebah, ki imajo dostop do osebnih podatkov ali se jim lahko dovoli tak dostop (da bi lahko poročali o tem, kdo in kateri osebni podatki so bili posredovani, je treba organizirati delo o registraciji osebnih podatkov in nadzorovati dostop do njih, sicer organizacija izvajalca te zahteve zelo težko izpolniti);
4. seznam obdelanih osebnih podatkov in viri njihovega prejema;
5. čas obdelave osebnih podatkov, vključno z njegovim časom shranjevanja (posebno pozornost je treba nameniti tej zahtevi, saj dejansko obvezuje upravljavca, da določi interne postopke obdelave in shranjevanja, ki se lahko razlikujejo glede na namene obdelave osebnih podatkov, z notranjimi regulativnimi dokumenti);
6. informacije o tem, kakšne pravne posledice za predmet osebnih podatkov lahko povzročijo obdelavo njegovih osebnih podatkov (za izpolnitev te zahteve morajo organizacije vnaprej naročiti svojim odvetnikom, da oblikujejo utemeljitve za vse možne pravne posledice obdelave osebnih podatkov)

Vprašanje obdelave osebnih podatkov »za promocijo blaga, del, storitev na trgu z neposrednimi stiki s potencialnim potrošnikom prek komunikacijskih orodij in za politično kampanjo« je posvečeno posebnemu členu (15. člen). Sedaj morajo komercialne in politične organizacije, preden pošljejo oglaševanje, pridobiti predhodno soglasje državljana, in obdelava PD "se prizna, če se izvajalec ne dokaže, da je bilo pridobljeno takšno soglasje, brez predhodnega soglasja osebnih podatkov." Za nekatere komercialne strukture je lahko ta zahteva zelo neprijetna!

Od zdaj naprej je „prepovedano sprejemati odločitve na podlagi izključno avtomatizirane obdelave osebnih podatkov, ki povzročajo pravne posledice glede osebnih podatkov ali drugače vplivajo na njegove pravice in legitimne interese“ (člen 16).

Ta določba je potrebna in pravočasna. Toda naši zakonodajalci so pri oblikovanju zamenjali dva različna pojma: »samodejno« (to je, da gre brez človekovega sodelovanja) in »avtomatizirano« (to je, da gre za človeško udeležbo). Posledično lahko ta člen namesto uvedbe dodatnih omejitev za te in samo takrat, ko informacijski sistem sprejme kakršne koli odločitve brez človekove udeležbe (na primer zaračunavanje globe, prepoved potovanja zunaj države itd.), Lahko razlagati kot omejitev za vse vrste obdelave osebnih podatkov, saj je celo uporabo kalkulatorja mogoče razumeti kot avtomatizirano obdelavo!

V istem členu novega zakona je navedeno, da bo upravljavec lahko sprejemal odločitve, ki temeljijo le na „avtomatizirani“ obdelavi, če:

• pridobiti pisno soglasje od posameznika, na katerega se nanašajo osebni podatki, ali
• če so ta pravila določena z zveznimi zakoni.

V nekaterih regulativnih dokumentih so bile te zahteve zakona že upoštevane. Tako je v vzorcih vlog za izdajo potnega lista nove generacije poseben oddelek, v katerem vlagatelj soglaša s „avtomatizirano“ obdelavo podatkov, navedenih v vlogi. Sliši se: „Strinjam se z avtomatizirano obdelavo, prenosom in shranjevanjem podatkov, navedenih v vlogi za namene izdelave, obdelave in nadzora potnega lista v času njegove veljavnosti“ 12.

Upravljavec mora državljanom vnaprej zagotoviti tudi naslednje informacije: t

• (c) vrstni red odločanja na podlagi izključno "avtomatizirane" obdelave njegovih osebnih podatkov in. t
• morebitne pravne posledice take odločitve;
• postopek varstva osebnih podatkov s pravicami in legitimnimi interesi;
• možnost nasprotovanja takšni odločitvi.

V primeru spora mora izvajalec dokazati, da je izpolnil vse zahteve zakona. To pomeni, da bo moral skrbno zbirati in hraniti spremne dokumente.

Odgovornosti operaterja

Obveznosti upravljavca v skladu s členom 18 vključujejo predvsem zagotavljanje osebnih podatkov na zahtevo državljana. Poleg tega mora upravljavec „osebnim podatkom pojasniti pravne posledice zavrnitve posredovanja svojih osebnih podatkov“, če je ta dolžnost določena z zveznim zakonom.

Člen 20 uvaja zelo stroge roke za izvajalce, da izpolnijo zahteve osebnih podatkov (so precej strožji, na primer tisti, ki so predvideni v nedavno izdanem zakonu „O postopku za obravnavo pritožb državljanov Ruske federacije“):

• zagotavljanje podatkov - v 10 delovnih dneh od datuma prejema zahteve;
• motivirana zavrnitev - v 7 delovnih dneh.

Upravljavec bo imel še več vprašanj, če je potrebno odpraviti kršitve zakona v roku, določenem v 21. členu novega zakona. Blokiranje podatkov mora biti izvedeno od trenutka zahteve ali od trenutka prejema zahteve do odprave kršitev - v roku 3 delovnih dni.

V nekaterih primerih je upravljavec dolžan uničiti osebne podatke v 3 delovnih dneh, in sicer:

• v primeru, da kršitev ni odpravljena,
• v primeru doseganja cilja obdelave osebnih podatkov,
• v primeru, da predmet osebnih podatkov prekliče svoje soglasje za obdelavo njegovih osebnih podatkov.

Blokiranje in uničenje osebnih podatkov je lahko težko (in včasih tudi nemogoče) izvajati v trenutno delujočih informacijskih sistemih in podatkovnih bazah, ki pred tem niso omogočale take možnosti.

Za upravljavca bo še težje, če ne bo prejel osebnih podatkov od državljana, ampak od tretje osebe.

Točka 3 člena 18 Zveznega zakona Ruske federacije „O osebnih podatkih“ z dne 27. julija. 2006 št. 152-FZ

Če osebni podatki niso prejeli osebnih podatkov, razen če so bili osebni podatki posredovani izvajalcu v skladu z zveznim zakonom ali če so osebni podatki javno dostopni, mora subjektu osebnih podatkov pred obdelavo teh osebnih podatkov zagotoviti naslednje informacije:

1. ime (priimek, ime, srednje ime) in naslov upravljavca ali njegovega zastopnika;
2. namen obdelave osebnih podatkov in njegova pravna podlaga;
3. uporabnike osebnih podatkov;
4. pravice osebnih podatkov, ki jih določa ta zvezni zakon.

Za temi besedami je delo zamudnejše. Lahko se na primer pojavi vprašanje: kako naj se ta informacija posreduje subjektu? Ali ga je mogoče poslati po pošti in ali se bodo informacije obravnavale kot zagotovljene, če oseba ni prejela ustreznega pisma?

Obveznost upravljavca v skladu s členom 19 je tudi zagotoviti varnost osebnih podatkov med njihovo obdelavo. Da bi se izognili težavam, bi morala organizacija izvajalcev v regulativnih dokumentih razviti in utrditi vse organizacijske in tehnične varnostne ukrepe, ki jih je pripravljena sprejeti za zaščito osebnih podatkov, ki jih vsebujejo njegovi informacijski sistemi.

Državna registracija sistemov za obdelavo osebnih podatkov

Zakon določa, da morajo vsi izvajalci obdelave osebnih podatkov vnaprej obvestiti pooblaščeni organ (22. člen), ki bo vodil evidenco operaterjev v posebnem registru. Pooblaščeni organ po 23. členu je Ministrstvo za informacijske tehnologije in komunikacije Ruske federacije, ki trenutno opravlja »funkcije nadzora in nadzora na področju informacijskih tehnologij in komunikacij«. V obvestilu bo treba podrobno pojasniti, kaj se načrtuje z osebnimi podatki. O vseh spremembah v zvezi z obdelavo osebnih podatkov je treba poročati tudi pooblaščenemu organu.

Osebne podatke je dovoljeno obdelovati brez obvestila pooblaščenega organa v naslednjih primerih:

• v prisotnosti delovnih razmerij;
• pri sklenitvi pogodbe, katere stranka je predmet osebnih podatkov;
• če osebni podatki pripadajo članom (udeležencem) javnega združenja ali verske organizacije in jih obdeluje zadevno javno združenje ali verska organizacija;
• če so osebni podatki javno dostopni;
• če osebni podatki zajemajo samo imena, priimke in patronymic predmetov;
• ob registraciji sprejemov;
• če so osebni podatki vključeni v informacijske sisteme, ki imajo v skladu z zveznimi zakoni status zveznih avtomatiziranih informacijskih sistemov, kot tudi državne informacijske sisteme za osebne podatke, ki so ustvarjeni za varovanje varnosti države in javnega reda;

Skratka, operaterjem bomo dali številna priporočila. Ne bo zelo težko izpolniti zahteve zakona o osebnih podatkih, če bo to delo začelo zdaj, ne da bi čakali na prve pritožbe in pritožbe. Začnete lahko z naslednjimi očitnimi ukrepi:

• Priporočljivo je imenovati odgovornega uradnika, ki bo pregledal vsa vprašanja v zvezi z izvajanjem tega zakona v organizaciji, za velika podjetja pa je lahko utemeljena ustanovitev posebne komisije.
• Za vse informacijske vire organizacije, ki vsebujejo osebne podatke, morate:
  • določi svoj status (na podlagi katerega so bili ustvarjeni: v skladu z zakonodajo, za izvajanje pogodbe, na lastno pobudo itd.);
  • pojasni in zabeleži sestavo osebnih podatkov in njihovih virov prejemanja (od državljana, javnih virov, tretjih oseb itd.);
  • določi obdobje skladiščenja in čas obdelave podatkov v vsakem viru informacij;
  • določiti metode obdelave;
  • identificirati osebe, ki imajo dostop do podatkov;
  • oblikovati pravne posledice;
  • določi postopek za odzivanje na zahteve, možne odgovore in dejanja, oceni resničnost skladnosti z določenimi odzivnimi časi.

V tem članku je analiza novega zakona o varstvu osebnih podatkov izdelana s stališča strokovnjakov s področja vodenja evidenc, ki bo pokvarila veliko krvi. Njegovo učinkovitost bo pokazala praksa, za zdaj pa kot »osebni podatek« ocenjujem seznam javnih organov, do katerih bi lahko poslal zahtevo, da mi v skladu z zahtevami zakona zagotovim ustrezne informacije. Zdaj imam pravico!

1 Člen 25 poglavja IV Direktive Evropskega parlamenta in Sveta 95/46 / ES z dne 24. oktobra 1995 o varstvu pravic posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.

Zanimivo je, da tudi Združene države Amerike ne izpolnjujejo strogih evropskih zahtev in da so ameriška podjetja prisiljena uporabljati ti krovne sporazume.

3 Posameznik, na katerega se nanašajo osebni podatki, je posameznik, katerega osebni podatki se obdelujejo.

4 "zbirka osebnih podatkov"

5 Seznam zveznih izvršilnih organov in organizacij, ki se ukvarjajo z deponiranjem dokumentov Arhivskega sklada Ruske federacije, ki so v zveznem lastništvu, vključuje 18 organizacij: Ministrstvo za notranje zadeve Rusije, Ministrstvo za zunanje zadeve Rusije, Ministrstvo za obrambo Rusije, SVR Rusije, FSB Rusije, Zvezna služba za nadzor drog v Rusiji, Ruska federacija, Rosatom, Roskartografiya, Ruska akademija kmetijskih znanosti, Ruska akademija medicinskih znanosti, Ruska akademija za izobraževanje, Ruska akademija umetnosti, Ruska akademija za arhitekturo in gradbeništvo Ustanova: All-Ruski raziskovalni inštitut za hidrometeorološke informacije - Svetovni podatkovni center, Zvezna državna ustanova "Državni sklad za televizijske in radijske programe", Zvezno državno enotno znanstveno-proizvodno podjetje "Ruski zvezni geološki sklad", Zvezno državno enotno podjetje "Ruski znanstveni tehnični center informacije o standardizaciji, meroslovju in ugotavljanju skladnosti “.

6 5 U.S. C. § 552a (k) (1) „Dokumenti za posameznike - posebne izjeme - arhivski dokumenti“.

7 Operator - državni organ, občinski organ, pravna ali fizična oseba, ki organizira in (ali) izvaja obdelavo osebnih podatkov ter opredeljuje namen in vsebino obdelave osebnih podatkov.

9 Zakon o varstvu podatkov iz leta 1998, 32. člen.

11 Durant proti Financial Services Authority (FSA).

12 Dodatek št. 1 k Navodilom o postopku za obdelavo in izdajo potnega lista državljana Ruske federacije, diplomatski potni list in službeni potni list, ki sta glavna dokumenta, ki potrjujeta identiteto državljana Ruske federacije zunaj ozemlja Ruske federacije, ki vsebuje elektronske medije (odobreno z odredbo Ministrstva za notranje zadeve Ruske federacije, Ministrstvo za zunanje zadeve Ruske federacije). in Zvezna varnostna služba Ruske federacije z dne 6. oktobra 2006 št. 785/14133/461).