Care sunt modalitățile de procesare a datelor personale?

În codul muncii al Federației Ruse există un termen precum "informațiile personale ale unei persoane care lucrează". Datele privind contingentul de exploatare trebuie furnizate angajatorului.

După examinarea informațiilor personale, angajatorul face un verdict privind luarea unei persoane în cadrul companiei.

Informațiile pe care o persoană le prezintă despre sine trebuie să fie protejate. Distribuirea este interzisă.

Dragi cititori! Articolele noastre spun despre modalități tipice de rezolvare a problemelor juridice, dar fiecare caz este unic.

Dacă doriți să știți cum să rezolvați exact problema dvs. - doar sunați, este rapid și gratuit!

sistem

Informațiile personale despre angajați ar trebui să facă obiectul dezvoltării.

Angajatorul aplică următoarele date la datele personale ale persoanelor care lucrează:

1. Procesul de prelucrare a informațiilor personale despre persoana care lucrează are loc pentru a asigura conformitatea cu legile și actele juridice. Datorită procesării datelor, este posibilă angajarea unei persoane, asigurarea securității personale, monitorizarea activității pe care o desfășoară.
2. Angajatorul ia în considerare atât domeniul de aplicare, cât și conținutul informațiilor personale despre contingentul de lucru aflat în curs de procesare. Toți angajatorii studiază și urmează aspecte ale Constituției, alte legi federale.
3. Informațiile despre echipa de lucru trebuie obținute direct de la angajații înșiși. Puteți obține informații despre persoana de lucru dintr-o a treia gură, dar numai cu acordul scris al persoanei. Angajatorul informează angajații cu privire la obiectivele și sursele acestora, de la care vor fi aduse informații personale. Angajatorul avertizează asupra consecințelor în cazul refuzului de a furniza informații personale de la persoana care lucrează.
4. O persoană care oferă o slujbă angajaților săi nu are dreptul la informații despre tot felul de convingeri politice, religioase sau de altă natură, precum și despre viața de familie a unui lucrător. Viața personală a unui angajat poate fi stabilită numai cu acordul acestuia. Acordul trebuie făcut în scris.
5. Angajatorul nu ar trebui să folosească în procesarea informațiilor despre prezența angajaților în asociațiile de membru, sindicatele. Dar există situații care sunt prevăzute de legea federală.
6. Toate informațiile personale trebuie să fie protejate și ascunse de controlul public și de utilizarea lor. Protecția datelor este supusă condițiilor Legii federale.
7. Lucrătorii studiază documente care aparțin instituției. Acestea ar trebui să dezvăluie semnificația și ordinea privind procesele de prelucrare a datelor personale ale angajaților.
8. Lucrătorii trebuie să accepte protecția informațiilor personale.
9. Angajatorii înșiși, precum și angajații, pot colabora pentru a dezvolta modalități de a proteja informațiile personale ale angajaților.

Atunci când comunică informații despre angajați, directorul întreprinderii trebuie să respecte următoarele reguli:

• O terță parte nu are nevoie să știe despre datele personale ale fiecărui angajat. Datele pot fi furnizate numai în cazul în care angajații și-au dat consimțământul scris în legătură cu utilizarea informațiilor lor personale. Dar dacă există o amenințare la adresa mijloacelor de trai, sănătatea echipei de lucru, datele personale pot fi furnizate altor persoane fără consimțământul scris în scris;
• angajatorul nu ar trebui să posteze date despre echipa care lucrează cu acesta în scopul comerțului;
• persoanele care primesc informații despre angajați trebuie să o proceseze în cadrul confidențialității;
• transferul de informații despre o persoană este efectuat numai într-o singură organizație prin acte interne speciale ale instituției;
• informațiile despre angajat au acces numai la persoane autorizate special;
• nu este nevoie să solicitați informații despre sănătatea persoanelor care lucrează. O cerere se poate face numai în cazurile în care se pune întrebarea dacă oamenii muncii își pot exercita funcțiile de muncă;
• datele cu caracter personal privind contingentul de lucru pot fi colectate luând în considerare datele din Cod.

Un contingent de lucru are dreptul la:

• cunoașterea datelor dvs. personale și prelucrarea acestora;
• acces nelimitat la informații personale. O persoană care lucrează poate primi copii ale datelor de informare. Dar există situații în care informațiile personale nu sunt dezvăluite. Aceste situații sunt descrise în Legea federală;
• un profesionist medical poate vizualiza datele personale ale angajatului;
• posibilitatea de a corecta sau de a suplimenta subiecții de date cu caracter personal.

Se disting următoarele tipuri de prelucrare a datelor cu caracter personal:

1. Informațiile de procesare utilizând tehnologia informatică.
2. Nu este procesată automatizarea.
3. Sistem de prelucrare a informațiilor furnizate.

Automated

Această prelucrare se realizează utilizând o tehnologie specială de calculator. Cele mai comune mașini de calcul pot fi:

• computer electronic;
• dispozitive auxiliare;
• dispozitive periferice;
• în mod necesar software-ul instalat.

Neautomatizat

Descrierea cea mai detaliată a procesării neautomatizate este scrisă în Decretul guvernamental nr. 687.

Distribuirea, studiul și eliminarea informațiilor despre contingentul de exploatare ar trebui să se realizeze cu o parte a unei persoane, și nu cu o tehnologie informatică.

informații

Datorită sistemului informațional, sunt procesate categorii speciale de informații personale despre contingentul de exploatare. Acest sistem procesează date care afectează calitatea de membru al unei rase și gen, naționalitate, opinii politice, perspective filosofice.

Datorită sistemului informatic pot fi procesate:

• datele personale biometrice. Mai ales dacă există o caracteristică a datelor fiziologice, biologice. Datorită caracteristicilor obținute, este posibil să se evalueze personalitatea lucrătorilor;
• datele personale comune;
• alte date informaționale. Un exemplu ar fi ideile religioase, naționale, viziunea filosofică, momentele naturii intime a contingentei de lucru și multe alte caracteristici personale importante până la starea de sănătate.

Astfel, informațiile personale despre fiecare angajat sunt conținute de toți angajatorii. Directorul nu are în nici un caz dreptul de a difuza datele disponibile despre persoana respectivă.

Informațiile obținute despre contingentul de exploatare pot fi prelucrate în mai multe moduri: cu ajutorul tehnologiei informatice, cu ajutorul forțelor personale, datorită sistemului de evaluare a informațiilor.

În toate cazurile, datele personale ale fiecărui angajat sunt examinate temeinic.

Modalități de prelucrare a datelor cu caracter personal

Prin ordin al codului civil al regiunii Amur

din 26 decembrie 2012, nr. 626

în ceea ce privește prelucrarea datelor cu caracter personal

1. DISPOZIȚII GENERALE

1.1. Acest document (denumit în continuare "Politica") este o declarație sistematică a obiectivelor, principiilor, metodelor și condițiilor pentru prelucrarea datelor cu caracter personal, informații privind cerințele implementate pentru prelucrarea și protecția datelor cu caracter personal în GKU din regiunea Amur a Spitalului Central al Centrului pentru Ocuparea Forței de Muncă.

1.2. Politica se bazează pe cerințele Legii federale a Federației Ruse "Cu privire la datele cu caracter personal", alte acte juridice de reglementare ale Federației Ruse care stabilesc procedura de procesare și protecție a datelor cu caracter personal. Politica este un document public.

1.3. În conformitate cu Legea federală din 27 iulie 2006 nr. 152-ФЗ "Cu privire la datele cu caracter personal", Centrul pentru ocuparea forței de muncă este operatorul de date cu caracter personal (denumit în continuare "PD").

2. DATE PERSONALE PROCESATE

2.1. Termenii principali utilizați în politică:

· Date personale - orice informație referitoare la o persoană fizică (subiectul datelor cu caracter personal) determinată sau determinată pe baza unor astfel de informații, inclusiv numele, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia, poziția, educația, profesia, venitul, alte informații;

· Prelucrarea datelor personale - acțiuni (operațiuni) cu date personale, inclusiv colectarea, sistematizarea, acumularea, stocarea, rafinarea (actualizarea, modificarea), utilizarea, distribuția (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal;

2.2. În cadrul acestei politici, datele personale prelucrate înseamnă:

· Datele personale furnizate de beneficiarii serviciilor publice care se adresează Centrului pentru Ocuparea Forței de Muncă;

· Datele personale ale angajaților Centrului de ocupare a forței de muncă sau ale candidaților pentru posturile vacante;

3. SCOPURI DE PROCESARE A DATELOR CU CARACTER PERSONAL

3.1. Obiectivele procesării PD în Centrul de ocupare a forței de muncă sunt:

· Asigurarea implementării drepturilor constituționale ale cetățenilor Federației Ruse la muncă și protecție socială împotriva șomajului prin furnizarea de servicii publice în domeniul promovării ocupării forței de muncă;

· Asigurarea implementării drepturilor constituționale ale cetățenilor în apel;

· Obținerea unei evaluări obiective a stării pieței muncii în entitatea constitutivă a Federației Ruse (în relație cu beneficiarii serviciilor publice de ocupare a forței de muncă, cetățenii șomeri, cetățenii care solicită propuneri, declarații, reclamații la Centrul de ocupare a forței de muncă);

· Asigurarea conformității cu Constituția Federației Ruse, legi și alte acte normative, asistarea angajaților în găsirea unui loc de muncă, instruirea și promovarea muncii, creșterea locurilor de muncă, asigurarea siguranței personale a angajaților, controlul cantitativ și calitativ al muncii efectuate, asigurarea siguranței proprietății aparținând acestuia și înregistrarea rezultatelor performanței sarcinile și siguranța proprietății Centrului de ocupare a forței de muncă.

· Îndeplinirea funcțiilor unui agent fiscal în furnizarea deducerilor fiscale standard (în ceea ce privește membrii de familie ai angajaților Centrului de ocupare a forței de muncă);

· Îndeplinirea obligațiilor în baza contractelor de drept civil (în ceea ce privește persoanele care desfășoară activități de muncă, furnizarea de servicii în baza contractelor de drept civil cu Centrul de ocupare a forței de muncă).

4. PRINCIPIILE DE PROCESARE A DATELOR CU CARACTER PERSONAL

4.1. Implementarea procesării PD pe o bază legală și echitabilă.

4.2. Limitarea prelucrării PD la realizarea obiectivelor specifice, predeterminate și legitime indicate în secțiunea 2 a acestui document. Nu este permisă prelucrarea datelor personale incompatibile cu scopul colectării datelor cu caracter personal.

4.3. Prevenirea combinării bazelor de date care conțin PD care sunt procesate în scopuri incompatibile între ele.

4.4. Prelucrarea numai a PDS care îndeplinesc scopurile procesării lor.

4.5. Respectarea conținutului și volumului de PD prelucrate în scopuri de procesare menționate.

4.6. Inadmisibilitatea disponibilizării PD prelucrate în raport cu obiectivele declarate ale prelucrării acestora.

4.7. Asigurarea acurateței PD, a suficienței acestora și, dacă este necesar, a relevanței în raport cu scopurile procesării PD.

4.8. Asigurați-vă că sunt luate măsurile necesare pentru eliminarea sau perfecționarea datelor incomplete sau inexacte.

4.9. Realizarea stocării PD într-o formă care să permită stabilirea unui subiect PD nu este mai lungă decât scopul prelucrării PD, dacă perioada de depozitare PD nu este stabilită de legea federală, contractul la care subiectul PD este beneficiar sau garant. PD care urmează a fi procesate sunt supuse distrugerii sau depersonalizării în urma realizării obiectivelor de procesare sau în cazul pierderii necesității de a atinge aceste obiective, dacă legislația federală nu prevede altfel.

5. METODE DE PROCESARE A DATELOR CU CARACTER PERSONAL

5.1. Centrul de ocupare a forței de muncă procesează PD în următoarele moduri:

· Prelucrare PD non-automată (pe hârtie);

· Prelucrarea automată (în ISPDn cu și fără utilizarea echipamentelor de automatizare), inclusiv: cu și fără transmisie prin rețeaua locală a Centrului de Ocupare a Forței de Muncă; cu și fără transmitere pe Internet;

· Procesare mixtă PD.

5.2. Centrul de ocupare a forței de muncă poate alege în mod independent metodele de procesare PD în funcție de scopurile acestei prelucrări și de propriile sale capacități materiale și tehnice.

6. TERMENI DE PROCESARE A DATELOR CU CARACTER PERSONAL

6.1. Procesarea PD se realizează în conformitate cu principiile și regulile prevăzute de Legea federală "Cu privire la datele cu caracter personal".

6.2. Procesarea PD este permisă în cazurile prevăzute de legea federală "Cu privire la datele cu caracter personal".

6.3. Centrul de ocupare a forței de muncă are dreptul de a încredința procesarea PD la o altă persoană, cu consimțământul subiectului PD, dacă nu se prevede altfel în legea federală, pe baza unui contract încheiat cu această persoană, inclusiv a unui contract de stat sau municipal sau prin adoptarea unui act relevant de către statul sau organul municipal ).

6.4. În cazul în care Centrul de ocupare a forței de muncă alocă procesarea unui PD unei alte persoane, responsabilitatea față de subiectul PD pentru acțiunile persoanei respective este suportată de Centrul de ocupare a forței de muncă. Persoana care prelucrează date cu caracter personal în numele Centrului de ocupare a forței de muncă este responsabilă de Centrul pentru ocuparea forței de muncă.

7. CONFIDENȚIALITATEA DATELOR CU CARACTER PERSONAL

7.1. Centrul de ocupare a forței de muncă și alte persoane care au obținut acces la PD sunt obligate să nu divulge terților și să nu distribuie PD fără consimțământul subiectului PD, cu excepția cazului în care legislația federală prevede altfel.

8. CONSECINȚA SUBIECTULUI DATELOR CU CARACTER PERSONAL PENTRU PROCESAREA DATELOR PERSONALE

8.1. Subiectul PD adoptă o decizie cu privire la furnizarea datelor sale cu caracter personal și este de acord cu prelucrarea acestora în mod liber, din proprie voință și în interesul său.

8.2. Consimțământul pentru prelucrarea PD ar trebui să fie specific, informat și conștient.

8.2. Consimțământul pentru prelucrarea PD poate fi dat de către persoana PD sau de reprezentantul său în orice formă care să permită confirmarea faptului primirii acestuia, cu excepția cazului în care legea federală prevede altfel.

8.3. În cazul obținerii consimțământului pentru prelucrarea datelor cu caracter personal de la reprezentantul subiectului datelor cu caracter personal, autoritatea acestui reprezentant de a da consimțământul în numele subiectului datelor cu caracter personal este verificată de Centrul pentru ocuparea forței de muncă.

8.4. Consimțământul pentru prelucrarea PD poate fi revocat de către subiectul PD. În cazul retragerii de către subiect a PDN a consimțământului la prelucrarea PD, Centrul pentru Ocuparea Forței de Muncă are dreptul de a continua prelucrarea datelor cu caracter personal fără consimțământul subiectului PD dacă există motive specificate în articolul 6, partea 2 a articolului 10 și partea a 2 a articolului 11 din Legea federală " “.

8.5. În cazurile prevăzute de legea federală, prelucrarea PD se efectuează numai cu consimțământul scris al subiectului PD. Acordul în formă scrisă este recunoscut ca fiind echivalent cu un document electronic semnat de legea electronică semnată în conformitate cu legea federală.

8.6. Datele cu caracter personal pot fi obținute de Centrul pentru Ocuparea Forței de Muncă de la o persoană care nu face obiectul datelor cu caracter personal, cu condiția ca Centrul de Ocupare a Forței de Muncă să confirme existența motivelor specificate în articolul 6, partea 2 a articolului 10 și partea 2 a articolului 11 din Legea federală " “.

9. IMPLEMENTAREA DREPTURILOR SUBIECTELOR DE DATE PERSONALE

9.1. Atunci când procesează un PD, Centrul pentru Ocuparea Forței de Muncă oferă condițiile necesare pentru ca PD să-și exercite liber drepturile.

9.2. Subiectul PD are dreptul de a accesa datele sale personale.

9.3. Un obiect PD are dreptul de a primi informații cu privire la prelucrarea datelor sale cu caracter personal, care conține: confirmarea procesării PD de către Centrul de ocupare a forței de muncă; temeiurile juridice și scopurile prelucrării PD; obiectivele și metodele de procesare PD aplicate de Centrul de ocupare a forței de muncă; numele și locația Centrului de ocupare a forței de muncă, informații despre persoane fizice (cu excepția angajaților din Centrul de ocupare a forței de muncă) care au acces la date cu caracter personal sau care pot dezvălui date cu caracter personal pe baza unui acord cu Centrul de ocupare a forței de muncă sau pe baza legii federale; PD-uri prelucrate de către subiectul PD corespunzător, sursa primirii lor, cu excepția cazului în care o procedură diferită de transmitere a acestor date este prevăzută de legea federală; PD timp de procesare, inclusiv timpul de stocare; procedura de exercitare de către subiect a PDN a drepturilor prevăzute de legea federală "Cu privire la datele cu caracter personal"; informații privind transferul transfrontalier realizat sau destinat; numele sau prenumele, numele, patronimicul și adresa persoanei care efectuează prelucrarea PDN în numele Centrului de ocupare a forței de muncă, în cazul în care prelucrarea este încredințată sau va fi încredințată persoanei respective; alte informații prevăzute de legile federale.

9.4. Dreptul unui PD care este supus accesului la datele sale personale poate fi limitat în cazurile prevăzute în mod expres de legile federale.

9.5. Un subiect al PD are dreptul de a-și apăra drepturile și interesele legitime, inclusiv compensarea daunelor și (sau) compensarea daunelor morale în instanță.

9.6. Dacă un subiect din PD consideră că Centrul pentru Ocuparea Forței de Muncă își procesează PD-ul cu încălcarea cerințelor Legii federale "Cu privire la datele personale" sau încalcă drepturile și libertățile sale, subiectul PD are dreptul de a contesta acțiunile sau inacțiunea Centrului pentru Ocuparea Forței de Muncă organismului autorizat pentru protejarea drepturilor subiecților PD ordin judecătoresc.

10. INFORMAȚII PRIVIND MĂSURILE IMPLEMENTATE DE CENTRUL DE MUNCĂ

PENTRU A ASIGURA IMPLEMENTAREA RESPONSABILITĂȚILOR REFERITOARE LA PROCESAREA DATELOR CU CARACTER PERSONAL

10.1. Centrul de ocupare a forței de muncă atunci când prelucrează PD își îndeplinește atribuțiile de operator de PD prevăzut de Legea federală "Cu privire la datele cu caracter personal".

10.2. Centrul de ocupare a forței de muncă adoptă măsurile necesare și suficiente pentru a asigura îndeplinirea atribuțiilor prevăzute de prezenta lege federală și de actele legislative de reglementare adoptate în conformitate cu aceasta.

10.3. Centrul de ocupare a forței de muncă determină independent compoziția și lista măsurilor necesare și suficiente pentru a asigura îndeplinirea obligațiilor prevăzute de prezenta lege federală și de actele normative adoptate în conformitate cu aceasta, cu excepția cazului în care legislația federală prevede altfel.

10.4. Centrul de ocupare a forței de muncă oferă acces nerestricționat la acest document (politică), la informațiile despre cerințele reale privind protecția PD, prin publicarea pe site-ul oficial al Departamentului pentru Ocuparea Forței de Muncă din regiunea Amur la http: // zanamur. ru, GKU din regiunea Amur a Spitalului Central al orașului Svobodny la http://svobzan.amur.ru.

11. INFORMAȚII PRIVIND PUNEREA ÎN APLICARE A CENTRELOR DE MUNCĂ A MĂSURILOR PENTRU PROTECȚIA DATELOR CU CARACTER PERSONAL ÎN PRELUCRAREA LOR

11.1. Centrul de ocupare a forței de muncă în procesarea PD asigură adoptarea măsurilor juridice, organizatorice și tehnice necesare pentru a proteja PD de accesul ilegal sau accidental la acestea, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea PD, precum și din alte acțiuni ilegale privind PDN.

11.2. Pentru a proteja datele cu caracter personal, Centrul de ocupare a forței de muncă pune în aplicare cerințele privind protecția datelor cu caracter personal atunci când acestea sunt prelucrate în sistemele de informații cu caracter personal stabilite de Guvernul Federației Ruse.

11.3. Asigurarea securității PD se realizează de către Centrul de Ocupare a Forței de Muncă, în special:

· Identificarea amenințărilor la adresa securității datelor cu caracter personal atunci când acestea sunt prelucrate în ISPDN al Centrului de ocupare a forței de muncă;

· Utilizarea măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în ISPDN al Centrului de Ocupare a Forței de Muncă, necesare pentru îndeplinirea cerințelor de protecție a datelor cu caracter personal, care sunt asigurate de nivelul de protecție a datelor cu caracter personal stabilit de Guvernul Federației Ruse

· Utilizarea măsurilor de securitate informatică adoptate în modul stabilit;

· Evaluarea eficacității măsurilor luate de Centrul pentru Ocuparea Forței de Muncă pentru asigurarea securității datelor cu caracter personal înainte de punerea în funcțiune a SPDN;

· Luând în considerare transportatorii de mașini PD din Centrul de ocupare a forței de muncă;

· Detectarea faptelor privind accesul neautorizat la PDN și luarea de măsuri;

· Restaurarea PDN modificată sau distrusă ca urmare a accesului neautorizat la acestea;

· Stabilirea regulilor de acces la PDN prelucrate în SPDN al Centrului de Ocupare a Forței de Muncă, precum și asigurarea înregistrării și înregistrării tuturor acțiunilor efectuate asupra PDN în ISPDN în Centrul de Ocupare a Forței de Muncă;

· Controlul asupra măsurilor luate pentru a asigura siguranța datelor cu caracter personal și nivelul de securitate al ISPDN al Centrului de ocupare a forței de muncă.

11.4. Informațiile privind măsurile luate de Centrul pentru ocuparea forței de muncă pentru protejarea datelor cu caracter personal sunt informații restricționate.

12. Schimbarea politicii. Legea aplicabilă

12.1. Centrul de ocupare a forței de muncă are dreptul de a aduce modificări acestei politici.

12.2. Atunci când se efectuează modificări în titlul politicii, este indicată data ultimei actualizări a revizuirii.

12.3. Noua versiune a politicii intră în vigoare din momentul în care a fost publicată pe site-ul web al departamentului de ocupare a forței de muncă din regiunea Amurskaya, cu excepția cazului în care se prevede altfel în noua versiune a politicii.

Modalități de prelucrare a datelor cu caracter personal

Întrebarea-răspuns pe această temă

întrebarea

Ce legătură are metodele de procesare a datelor cu caracter personal și ce legătură are cu acțiunile cu date personale?

Răspunsul

Conform clauzei 9 din Ordinul lui Roskomnadzor din 19 august 2011 nr. 706, metodele * includ:

- prelucrarea neautomatizată a datelor cu caracter personal;

- prelucrarea exclusiv automatizată a datelor cu caracter personal cu sau fără transferul informațiilor primite prin rețea;

- prelucrarea mixtă a datelor cu caracter personal (nota N 4).

Și la acțiunile în conformitate cu art. 3 din Legea federală din 27.07.2006 nr. 152-FZ privind datele cu caracter personal includ: *

- clarificare (actualizare, modificare);

- distribuție (inclusiv transmisie);

- distrugerea datelor cu caracter personal.

Motivul pentru această poziție este prezentat mai jos în materialele "Lawyer System".

• DREPTUL FEDERAL DIN 27.07.2001 Nr. 152-ФЗ "PRIVIND DATELE PERSONALE"

"Prelucrarea datelor personale este orice acțiune (operațiune) sau set de acțiuni (operațiuni), efectuate cu utilizarea instrumentelor de automatizare sau fără utilizarea unor astfel de mijloace, cu date personale, inclusiv colectarea, înregistrarea, sistematizarea, acumularea, stocarea, rafinarea (actualizarea, extragerea, utilizarea, transferul (distribuirea, furnizarea, accesul), depersonalizarea, blocarea, ștergerea, distrugerea datelor cu caracter personal "

• ORDINEA ROSKOMNADZOR DIN 19 august 2011 Nr. 706

"Câmpul" de acțiuni cu date personale, o descriere generală a metodelor utilizate de Operator pentru prelucrarea datelor cu caracter personal "* indică acțiunile efectuate de Operator cu date personale, precum și o descriere a metodelor utilizate de Operator pentru prelucrarea datelor cu caracter personal:

- prelucrarea neautomatizată a datelor cu caracter personal;
- prelucrarea exclusiv automatizată a datelor cu caracter personal cu sau fără transferul informațiilor primite prin rețea;

- prelucrarea mixtă a datelor cu caracter personal (Nota N 4) Notă N 4. În prelucrarea automatizată a datelor cu caracter personal sau în prelucrarea mixtă este necesar să se indice dacă informațiile obținute în timpul procesării datelor cu caracter personal sunt transmise în rețeaua internă a persoanei juridice (informațiile sunt disponibile numai angajaților bine definite ai persoanei juridice ) sau informațiile sunt transmise prin intermediul internetului public sau fără transmiterea informațiilor primite. "

* Așa că ați evidențiat o parte din material care vă va ajuta să luați decizia corectă.

Likbez privind datele personale pentru companiile care le procesează

Termeni, nuanțe și iluzii frecvente - în materialul de la experții serviciului de securitate al companiei "Onlanta" (inclusă în grupul companiilor LANIT).

Înțelegem terminologia juridică și nuanțele pentru care poți fi în instanță.

Explicați termenii în limba umană

Principala lege care reglementează relațiile legate de prelucrarea datelor cu caracter personal este Legea federală din 27 iulie 2006 nr. 152-ФЗ "Cu privire la datele cu caracter personal".

Primul termen care trebuie înțeles este datele personale.

Ce este datele personale

Aceasta este orice informație care poate fi utilizată pentru a identifica o persoană: de exemplu, numele complet, data nașterii, educația, venitul și chiar starea civilă. Voi întrebați: "Și ce, numele meu, tipărit pe cartea de vizită, este și date personale?"

Răspuns: "Da". Prin lege, nu contează dacă numai numele dvs. de familie este imprimat pe cartea de vizită sau în combinație, de exemplu, cu un număr de telefon și o adresă. Atât prima, cea de-a doua, cât și a treia - datele personale. Este adevărat că stocarea cărților de vizită sau numerelor de telefon ale fetelor în agenda telefonică nu va trebui să fie răspunsă prin lege, ci mai degrabă cu privire la cele de mai jos.

Dă-i drumul. Mass-media scrie constant "stocarea datelor cu caracter personal". În mod corespunzător, nu este vorba de stocare, ci de prelucrarea datelor cu caracter personal. Care este diferența? Depozitarea este doar o parte din ceea ce se numește procesarea datelor cu caracter personal. Orice acțiuni pe care le efectuați cu date personale (colectați, acumulați, stocați, transferați, modificați) sunt desemnate prin lege drept "prelucrarea datelor personale".

Este important să se înțeleagă că legea distinge două subiecți de date cu caracter personal: operatorul și procesatorul. Operatorul efectuează prelucrarea datelor cu caracter personal și determină, de asemenea, scopul prelucrării acestora, compoziția datelor cu caracter personal care urmează să fie prelucrate, acțiunile (operațiunile) efectuate cu date cu caracter personal.

Un manipulator este cineva care efectuează orice acțiune cu date personale: colectarea, stocarea, organizarea, acumularea, actualizarea, actualizarea, ștergerea, depersonalizarea și așa mai departe.

De fapt, un handler nu este doar un utilizator final, care are nevoie de date personale pentru muncă, ci și orice utilizator intermediar, prin intermediul căruia au trecut aceste date personale. Arătați-le în practică.

sarcină

Magazinul online are o bază de date a clienților, care se află în "norul" unei companii terțe. O agenție de marketing lucrează cu această bază. Întrebare: Câți operatori de date cu caracter personal avem?

Răspunsul corect este unul. Acesta este un magazin online care stabilește obiectivele procesării datelor cu caracter personal. A doua întrebare este: câți procesatori de date cu caracter personal avem? Răspunsul corect este de două.

1. O companie care are o bază de date magazin online în nor.
2. O agenție de marketing care recuperează date și, pe baza acestor date, poate pregăti o ofertă promoțională pentru clienți.

Datele personale sunt prelucrate în multe instituții diferite: de exemplu, în bănci, școli, clinici, centre de viză. Nu mai vorbim de paginile web pe care le înregistrăm, lăsând adresele de e-mail și numerele de telefon. Dar cum și exact unde?

nuanță

Există un termen atât de obscur în lege ca "sistemul de informații cu caracter personal". Dacă încercați să explicați în termeni simpli - acesta este un complex întreg, format din servere de baze de date, mijloace tehnice pentru a asigura prelucrarea acestora și tehnologia informației. În conformitate cu legea, orice sistem de informații cu caracter personal trebuie protejat.

Metodele de protejare a informațiilor sunt diferite.

• Fizice: de exemplu, în camera în care sunt localizate computerele, pot fi instalate camere video, controlul accesului, pot fi utilizate sisteme de alarmă.
• Tehnic - folosind mijloace specializate de protecție a informațiilor.
• Administrative: toate tipurile de reglementări și reguli care reglementează prelucrarea datelor cu caracter personal în cadrul companiei.

exemplu

Unul dintre mijloacele de protecție a informațiilor este depersonalizarea datelor cu caracter personal. Ce este? În centrul de viză, fiecărei persoane care solicită viză li se atribuie un număr de identificare separat. Numărul în sine nu se referă la date cu caracter personal, deoarece depersonalizează o persoană: este imposibil să se identifice persoana care a solicitat o viză.

Se pare că procesez date personale.

Deci, cu terminologia ordonată. Acum, toți reprezentanții afacerilor, în special antreprenorii individuali, care ar putea avea doar câțiva angajați în personal, ar trebui să răspundă sincer la întrebarea: "Procesez datele personale?"

Da, dacă sunteți proprietarul unui site cu participarea a cinci persoane pe săptămână, dar are un formular de feedback cu câmpurile "nume, adresă de e-mail, număr de telefon". Informațiile despre scopurile pentru care colectați date personale, cum le folosiți, ar trebui să fie prezentate pe site-ul dvs. web.

Da, dacă procesați datele personale ale angajaților dvs. sau ale specialiștilor din terțe părți angajați să facă ceva muncă.

Da, dacă lucrați cu clienți privați și aveți nevoie de datele de pașaport pentru încheierea contractelor - aceasta se aplică agențiilor de turism, centrelor de fitness, diferitelor companii de servicii, magazinelor online și altora.

Și din nou, da, dacă sunteți o organizație bugetară, un partid politic sau o grădiniță. Acestea din urmă nu numai că au informații despre copil, ci și despre părinții săi, inclusiv locul de muncă și poziția. Să nu mai vorbim de instituțiile medicale - există o mare de informații personale sensibile care trebuie stocate în siguranță.

Cu toate acestea, dacă utilizați date pentru comunicare personală fără un avantaj comercial, atunci cerințele legislației nu se aplică pentru dvs. și nu există nicio chestiune de răspundere penală.

De exemplu, folosirea contactelor tipărite pe o carte de vizită pe care ați primit-o de la un coleg sau numerele de telefon dintr-un notebook de pe un smartphone, informațiile despre rețelele sociale nu vă impun responsabilitatea în fața legii.

Principalul lucru nu este de a dezvălui datele agenților de publicitate și de a nu le publica fără permisiunea proprietarilor de date cu caracter personal din domeniul public.

Determinați categoria de date cu caracter personal

Felicitări, sunteți proprietarul mandru al titlului "operator de date cu caracter personal". Cel mai important lucru este acum să înțelegeți exact datele personale pe care le procesați. Deoarece depinde de categoria de date cu caracter personal, de modul de protejare a datelor și de cerințele care trebuie îndeplinite. Categoriile sunt descrise în detaliu în Legea federală-152 și în Rezoluția guvernamentală din 1 noiembrie 2012 N 1119.

Categorii de date cu caracter personal în cuvinte simple:

Datele cu caracter personal disponibile în general: date din resurse deschise, care sunt publicate de subiectul datelor cu caracter personal sau cu aprobarea sa. Datele disponibile public sunt date din mass-media sau din Internet.

Exemplu: informații postate în acces liber pe rețelele sociale sau pe site-ul web al companiilor. Numărul de telefon și starea de familie publicate în accesul public la Facebook. Numele angajatului și poziția acestuia pe site-ul web al angajatorului.

Date personale biometrice: această categorie include toate datele privind caracteristicile fiziologice și biologice ale persoanelor.

Exemplu: greutatea, înălțimea, culoarea ochilor sau a părului, lungimea părului, tipul sângelui, fotografia.

Datele personale dintr-o categorie specială: aceasta include informații despre apartenența la orice rasă și națiune, opinii politice, convingeri religioase și filosofice, starea de sănătate sau viața intimă.

Exemplu: diagnostic medical (informații despre ce ați fost bolnav, când, ce medic vă trata).

Datele personale de alte tipuri - acestea includ date cu caracter personal care nu sunt incluse în categoriile de mai sus.

Exemplu: informații corporative. Carduri de contabilitate pentru angajați care conțin informații cu care HR și contabilitate: salariu, perioade de concediu, datele de angajare.

Categoria, numărul, tipul de amenințări - nivelul de protecție

Odată ce ați decis categoria datelor personale, trebuie să înțelegeți cantitatea exactă de date pe care o procesați: până la 100 mii sau peste 100 de mii.

Aflate categoria și cantitatea, determinați tipul de amenințare:

Amenințările numărul 1. "Gropi" și vulnerabilități în sistemul de operare. Exemplu: vulnerabilitățile pe care hackerii le folosesc pentru a infiltra sistemul de operare pentru a fura informații.

Amenințările numărul 2. "Gropi" și vulnerabilități în software-ul aplicației, adică în software-ul folosit în activitatea zilnică. Exemplu: Word, Excel.

Amenințările numărul 3. Toate celelalte amenințări care nu sunt listate în primele două tipuri. În primul rând, factorul uman. Un angajat poate lăsa un document deschis pe un computer deblocat, poate trimite un document pentru a imprima imprimantei altcuiva sau prin e-mail.

Cantitatea de date cu caracter personal, categoria, tipul de amenințări - toate împreună vă permit să determinați ce nivel de protecție este necesar pentru sistemul dvs. de informații. Există acum patru niveluri de protecție.

Primul și cel mai înalt nivel de protecție este utilizat cel mai adesea pentru prelucrarea datelor cu caracter personal în agențiile guvernamentale și instituțiile medicale. Cel de-al patrulea nivel de protecție este cel mai ușor de furnizat, uneori este suficient să se efectueze măsuri de reglementare organizațională, în principal se referă la protecția datelor publice disponibile.

Puteți stabili nivelul de protecție utilizând acest tabel.

exemplu

Spitalul procesează datele personale ale pacienților săi - acestea sunt datele personale ale unei categorii speciale. De asemenea, procesează datele personale ale angajaților - acestea sunt date personale dintr-o altă categorie. Cel mai probabil, spitalul are două baze de date. Dacă adăugați ambele baze de date, veți obține cantitatea totală de date cu caracter personal care se rotesc în sistemul informatic al acestui spital.

De exemplu, toate - până la 100 de mii. Apoi, ne uităm la modul în care sunt procesate datele: automatizate (într-un computer) sau nu automate (într-un cabinet de fișiere manual). Dacă totul este automatizat, analizăm ce software utilizează spitalul, ce vulnerabilități are.

Pe această bază se identifică amenințările și nivelul acestora. Adăugăm toți factorii și obținem clasa de protecție la al doilea nivel. Ne uităm la ce sunt formulate cerințele din lege la al doilea nivel de securitate. Pe baza acestor cerințe, va fi necesar să se construiască o protecție a sistemului informatic pentru a îndeplini cerințele Legii federale.

Puțin despre pericolul scurgerii datelor cu caracter personal

De ce să vă deranjez deloc cu protecția datelor personale? Datele personale reprezintă un element scump pe piața neagră. Escrocii sunt dispuși să plătească sume impresionante pentru un profil care conține toate detaliile înregistrării medicale a unei persoane. Vânzarea separată pe piață a detaliilor cardului bancar; conturile din rețelele sociale.

Consecințele scurgerii datelor cu caracter personal sunt diferite. Datele pot fi public disponibile pe Internet: de exemplu, puteți găsi cu ușurință baze de date furate cu adrese și numere de telefon ale clienților companiilor în rețea. Cunoscând numele și prenumele, oricine poate afla adresa de domiciliu a unei persoane, intră în rețeaua socială, poate vedea un profil sau doar scrie un SMS pe un telefon mobil.

Datele personale pot intra în baza de date a unor e-mailuri enervante ale unei organizații comerciale, iar proprietarul lor va fi copleșit de oferte nesolicitate de servicii. Acestea pot fi, de asemenea, folosite de escrocii online pentru cazinouri online sau pentru a deschide un portofel electronic.

În cele mai grave cazuri, un atacator poate să se poată impersona cu o altă persoană și să-și dea seama de numele altcuiva. Consecințele cele mai grave ale scurgeri de date cu caracter personal includ: acțiuni ilegale cu bunuri imobiliare, furtul de bani din carduri bancare, șantajul rudelor și înregistrarea unei companii.

Sarcina de responsabilitate

Înțelegeți importanța întrebării și sunteți gata să răspundă? Așa e. Deoarece responsabilitatea pentru siguranța datelor cu caracter personal revine în întregime operatorului.

Aceasta înseamnă că operatorul trebuie să se asigure că informațiile nu intră în accesul publicului sau că nu intră în mâinile unor terți care nu au niciun drept la acesta. Acest lucru necesită monitorizarea și prevenirea permanentă a amenințărilor la adresa securității datelor, controlul asupra nivelului securității informațiilor și restaurarea acesteia în caz de pierdere.

În țara noastră, Roskomnadzor monitorizează respectarea legislației din domeniul prelucrării datelor cu caracter personal. Acest organism răspunde la reclamații, reglementează relațiile dintre subiecți și operatori.

Cerințele tehnice pentru protecția informațiilor sunt responsabilitatea FSTEC și FSB: ele elaborează cerințe și controlează executarea acestora.

Cerințe privind prelucrarea datelor cu caracter personal

Și acum este timpul să studiem mesele cu cerințele pentru protecția tehnică a datelor cu caracter personal. Detalii se găsesc la ordinul Serviciului Federal pentru Controlul Tehnic și al Exportului din 18 februarie 2013 N 21.

Dar cel puțin începeți cu acest lucru:

1. Înregistrați-vă la Roskomnadzor ca operator de date cu caracter personal. Este necesar să se aplice la Roskomnadzor pe suport de hârtie sau pe suport electronic. Informații despre link.
2. Obțineți acordul scris din partea tuturor entităților ale căror date cu caracter personal sunt prelucrate. Consimțământul privind prelucrarea datelor cu caracter personal este principalul document juridic care confirmă legalitatea prelucrării datelor cu caracter personal.
3. Elaborați documentația internă. Punerea în funcțiune prin ordin al șefului organizației "Regulamente privind prelucrarea datelor cu caracter personal". În acest document, operatorul explică modul în care intenționează să utilizeze datele personale, pentru ce și unde vor fi transferate. Acesta este un document fundamental care este solicitat de orice operator de date cu caracter personal. Pe baza acesteia, toate celelalte documente administrative sunt dezvoltate.

Mulți proprietari de site-uri cred că dacă un vizitator dă clic pe butonul "Sunt de acord cu prelucrarea datelor personale", nu vor apărea probleme juridice, iar prelucrarea datelor va cădea automat în câmpul legal. Nu este.

Din punct de vedere juridic, există numai două modalități de confirmare a consimțământului dvs. privind prelucrarea datelor cu caracter personal: trimiteți o semnătură pe hârtie sau utilizând o semnătură digitală electronică.

În toate celelalte cazuri, în cazul în care cauza se adresează instanței, proprietarul site-ului nu va putea confirma cine a apăsat exact butonul "Sunt de acord". Nu puteți decât să sperați că subiectul care a venit pe site-ul dvs. va transmite în mod voluntar datele sale și nu depune o plângere.

Exista un cec?

Da, cecurile pot fi de la Roskomnadzor.

Roskomnadzor publică anual o listă de cecuri din lista operatorilor înregistrați, dacă o companie este inclusă în lista de cecuri, atunci următorul cec programat este posibil nu mai devreme de trei ani. Puteți vedea dacă compania dvs. se află pe listă în acest an aici.

Controalele în afara planului sunt de obicei cauzate de plângeri. Dacă cecul este neprogramat, trebuie să fiți avertizat în scris în 24 de ore.

Pot exista și verificări documentare. La documentare veți trimite o listă de documente, copiile cărora vor trebui trimise la Roskomnadzor.

Uneori, Roskomnadzor efectuează inspecții la fața locului: inspectorii efectuează personal vizite pentru a verifica compania la fața locului.

Pregătirea pentru oricare dintre aceste verificări este o sarcină care necesită mult timp. Voi rezolvați sarcina de pregătire pentru inspecția dvs. sau veți implica specialiști externi, mai întâi trebuie să stabiliți cine din companie va fi responsabil pentru respectarea FZ-152.

Amenzi, curți și alte orori

Pentru încălcarea legii 152-FZ, este prevăzută răspunderea civilă, penală, administrativă și disciplinară.

Astfel, Roskomnadzor a efectuat o inspecție, în cazul în care a constatat neconcordanțe cu legea, va emite un ordin comisiei de anchetă de a efectua un proces privind încălcarea legii "Cu privire la datele cu caracter personal".

Ulterior, procuratura va începe o inspecție, în cursul căreia poate suspenda activitățile societății: retrage baza de date a societății, în special computerele pe care au fost procesate datele cu caracter personal.

Violatorii legii așteaptă în principal amenzi. Cuantumul amenzilor variază în funcție de infracțiune. Astfel, pentru prelucrarea datelor cu caracter personal fără permisiunea scrisă a entităților, persoanele juridice vor trebui să își asume răspunderea administrativă.

Chiar dacă operatorul este dispus să plătească o amendă, ci pe baza standardelor de afaceri mari, nu pare mare, infractorul va trebui să elimine inconsecvența în fața legii (de exemplu, să șterge datele stocate) și să notifice Roskomnadzor.

Cel mai grav scenariu este dacă Roskomnadzor decide să revoce licența companiei, să interzică întreprinderilor să prelucreze date cu caracter personal și să publice în mod ilegal date cu caracter personal asupra cetățenilor.

În ultimii ani, cel mai puternic scandal din Rusia a fost asociat cu blocarea LinkedIn, ai cărui proprietari au fost acuzați de prelucrarea datelor personale ale cetățenilor fără consimțământul lor pe serverele din afara Federației Ruse. Blocarea serviciului autonum.info a fost de asemenea "făcută zgomote".

Cât mă va costa bani și tărie

Puteți organiza prelucrarea datelor personale în mod independent sau cu ajutorul unei companii care oferă un astfel de serviciu.

Dacă decideți să procesați personal datele dvs. personale, veți avea nevoie de:

1. Înțelegeți ce categorie de date cu caracter personal pe care o prelucrați și care sunt cerințele tehnice pentru protecția acestora.
2. Pe cont propriu sau cu ajutorul unei companii IT, dezvoltați soluții tehnice, pregătiți achizițiile echipamentelor și software-ului necesar, instalați-l și implementați-l.
3. Emiteți toate documentele juridice. Elaborați un set de documente interne: instrucțiuni și reglementări.

În cel mai bun, va dura trei până la patru luni, cu prețul unei astfel de implementări, acesta poate fi 200-300 de mii de ruble - acesta este costul achiziționării de echipamente și licențe. Costurile forței de muncă și sprijinul suplimentar al sistemului informațional reprezintă o cheltuială separată. De asemenea, veți avea nevoie de un administrator care va monitoriza funcționarea sistemului.

Vorbind obiectiv, companiile foarte mici nu îndeplinesc pur și simplu toate cerințele legii în speranța că nu vor exista verificări. Poate că nu o va face. Alte companii creează "satele Potemkin" doar pretinzând că procesează datele cu caracter personal în conformitate cu cerințele legii, cu alte cuvinte, "cumpără" documentele necesare.

În următorul articol, vom arăta cum să calculați costul prelucrării datelor personale în cadrul unei companii și să vă spuneți când este mai profitabil să faceți prelucrarea datelor personale și când este mai bine să o depuneți în cloud.

Materialul este publicat de utilizator. Faceți clic pe butonul "Scrieți" pentru a vă împărtăși opinia sau pentru a discuta despre proiectul dvs.

Legea privind datele personale: implicații pentru munca în birou

• Khramtsovskaya Natalia | Candidat la științe istorice, expert în managementul documentelor al companiei EOS, expert ISO, membru al Consiliului Internațional al Arhivelor

Căutând cauza rădăcină

Legea Federală a Federației Ruse nr. 152-ФЗ "Cu privire la datele cu caracter personal" a fost adoptată la 27 iulie 2006 și, pe fundalul altor evenimente remarcabile din anul trecut, a fost aproape neobservată. Motivul oficial al adoptării sale a fost numeroasele fapte de furt a bazelor de date cu caracter personal în structurile de stat și comerciale și vânzarea pe scară largă a acestora. De fapt, scopul principal al adoptării acestei legi a fost necesitatea eliminării anumitor bariere în calea comerțului cu țările Uniunii Europene.

Franța a interzis publicarea faptelor privind confidențialitatea și a aplicat amenzi pentru infractori în 1858.

Codul Penal Norvegian a interzis publicarea în 1889 a informațiilor referitoare la "afacerile personale sau private".

Legislația internă "Cu privire la datele cu caracter personal" din data de 27 iulie 2006 Nr. 152-FZ a început să funcționeze la data de 26 ianuarie a acestui an (în conformitate cu partea 1 a articolului 25, legea intră în vigoare la 180 de zile de la publicarea oficială, care a avut loc la 29 iulie 2006 în "Rossiyskaya Gazeta").

În conformitate cu Directiva 95/46 / CE a UE, datele cu caracter personal pot fi transferate numai în țări care oferă același nivel de protecție ca și în Europa. Acest lucru a împiedicat în mod semnificativ schimbul de informații între agențiile și companiile guvernamentale europene cu partenerii lor străini, ceea ce a făcut imposibilă multe proiecte promițătoare comercial. Astfel de restricții au fost întâmpinate nu numai de Rusia și țările lumii a treia, ci și de un monstru economic ca Statele Unite. Deci, guvernul nostru a decis să depășească această barieră. Să vedem cum a făcut-o și ce ne va costa pe toți.

Adoptarea legii ruse privind datele cu caracter personal a fost rezultatul aderării Federației Ruse la Convenția europeană din 1981 privind protecția persoanei în legătură cu prelucrarea automată a datelor cu caracter personal, care definește principiile de bază pentru protecția datelor cu caracter personal în țările europene. Prezenta convenție și directivele ulterioare ale Uniunii Europene au subliniat sarcinile pe care legislația națională ar trebui să le abordeze atunci când reglementează datele cu caracter personal:

• protecția datelor personale împotriva accesului neautorizat la acestea de către alte persoane, inclusiv reprezentanți ai organelor și serviciilor guvernamentale care nu au autoritatea necesară;
• asigurarea siguranței, integrității și fiabilității datelor în procesul de lucru cu acestea, inclusiv transmiterea prin intermediul canalelor de comunicare;
• asigurarea regimului legal adecvat al acestor date atunci când lucrează cu aceștia pentru diferite categorii de date cu caracter personal;
• asigurarea controlului asupra utilizării datelor cu caracter personal de către cetățean;
• crearea unei structuri independente speciale care să asigure un control eficient asupra respectării drepturilor cetățeanului de a-și proteja datele personale (de exemplu, crearea postului de comisar pentru protecția datelor cu caracter personal).

Legea noastră repetă în mare măsură principalele prevederi ale legislației europene în acest domeniu, care este considerată una dintre cele mai dificile 2 din lume. Deși în 2006, legea a fost vorbită destul de des, dar puțini au citit cu atenție conținutul dispozițiilor sale. Dar, pentru a asigura respectarea cerințelor sale, este necesară schimbarea semnificativă a lucrului cu informațiile și documentele care conțin date cu caracter personal. Să încercăm să aflăm ce este nou în domeniul gestionării documentelor și informațiilor din cadrul organizației?

• În toate organizațiile, există un nou nivel de documentare destul de voluminos. Acestea sunt documente legate de obținerea consimțământului persoanelor pentru prelucrarea datelor cu caracter personal, înregistrarea bazelor de date cu organismul autorizat, documentarea tuturor tranzacțiilor cu date cu caracter personal etc.
• Este necesar să se evidențieze documentele și informațiile care conțin date cu caracter personal; etichetarea lor specială atât pe suport de hârtie, cât și pe suport electronic; contabilitate separată și urmărirea accesului. Puteți vorbi despre apariția unui alt tip de acces la gât la documente.
• Schimbarea fundamentală a abordării la stabilirea păstrării documentelor și informațiilor. Pentru prima dată în practica internă, se stabilește perioada maximă de depozitare și perioada condiționată, care va fi destul de greu de urmărit și urmărit.
• Atunci când se lucrează cu date cu caracter personal, este necesar să se gândească clar în avans și să se înregistreze în documentele de reglementare, care sunt legate de procesarea acestora. În caz contrar, organizația poate fi trasă la răspundere și, chiar și mai neplăcut, pot exista numeroase procese din subiecții datelor cu caracter personal 3.
• Legea introduce termene foarte stricte pentru executarea tuturor apelurilor cetățenilor legate de prelucrarea datelor cu caracter personal.

Să analizăm mai detaliat cele mai importante prevederi ale legii și să evaluăm ce organizații și instituții vor trebui să se angajeze să o pună în aplicare. În plus, vom încerca să analizăm unele prevederi ale legii în ceea ce privește corectitudinea și claritatea formulării lor.

Domeniul de aplicare al legii

Prima întrebare: Cui se aplică această lege? Răspunzându-ne, putem spune în mod sigur că se aplică tuturor fără excepție (instituțiilor statului, persoanelor juridice și persoanelor fizice). Iată o listă a articolului 1:

• organele guvernului federal
• autorități de stat ale entităților constitutive ale Federației Ruse,
• alte organe de stat
• guvernele locale,
• organele municipale care nu fac parte din sistemul organelor autoguvernării locale,
• persoane juridice
• persoane fizice.

A doua problemă importantă este domeniul de aplicare al legii.

Articolul 1 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" nr. 152-FZ din 27 iulie 2006

Această lege federală reglementează relațiile legate de prelucrarea datelor cu caracter personal... cu utilizarea instrumentelor de automatizare sau fără utilizarea unor astfel de mijloace, în cazul în care prelucrarea datelor cu caracter personal fără a utiliza aceste mijloace corespunde naturii acțiunilor (operațiunilor) efectuate cu datele personale prin mijloace automatizate.

Formularea acestui articol este un exemplu de cum să nu scrieți legi. Sa dovedit ceva incomprehensibil, permițând o varietate de interpretări. Cum, în baza unui astfel de text, trebuie să răspundem, de exemplu, întrebării dacă datele acoperite într-o formă liberă într-un notebook de afaceri intră în domeniul de aplicare al legii? Dacă un astfel de notebook este stocat pe un computer sau pe un telefon mobil, se consideră "utilizarea echipamentelor de automatizare"?

Legislația europeană în această privință este mai clară:

Directiva 95/46 / CE a Consiliului din 1995

Articolul 2 "Definiții":

(c) "sistem de stocare a datelor cu caracter personal" 4 ("sistem de stocare") reprezintă orice set structurat de date cu caracter personal care poate fi accesat în funcție de anumite criterii - indiferent de modul în care este organizat setul de date, centralizat, descentralizat sau distribuit pe o bază funcțională sau geografică...

Articolul 3 "Domeniul de aplicare":

(1) Prezenta directivă se referă la prelucrarea datelor cu caracter personal prin utilizarea automată (totală sau parțială), precum și prelucrării prin alte mijloace decât datele automate, cu caracter personal, componente sau destinate să facă parte din sistemele de stocare.

În terminologia modernă a calculatoarelor, "date structurate" înseamnă, în primul rând, baze de date. În documentele de hârtie, acestea includ fișiere de carduri și arhive de fișiere personale. Prin urmare, cerințele europene includ:

• la prelucrarea automată a datelor cu caracter personal și
• pentru utilizare (în mod automat sau în alt mod) care conține date personale din baze de date de hârtie și electronice, fișiere de carduri etc. care au un mecanism de căutare care ușurează extragerea informațiilor despre o anumită persoană.

De ce era imposibil să scrie în rusă și în legea noastră rămâne neînțeles?

O atenție deosebită trebuie acordată diferenței dintre terminologie: "prelucrarea automată" este un lucru și prelucrarea "folosind echipamente de automatizare" este un concept complet diferit, mult mai amplu și mai vag.

Legea prevede doar patru excepții, și anume, legea nu se aplică relațiilor care apar:

• atunci când prelucrează date personale pentru nevoile personale și familiale;
• atunci când prelucrează date cu caracter personal în documentele Fondului de Arhivare al Federației Ruse;
• la prelucrarea datelor cu caracter personal pentru înscrierea în Registrul Unic de Stat al Întreprinzătorilor Individuali (EGRIP);
• atunci când prelucrează date cu caracter personal clasificate drept secrete de stat.

Unul dintre aceste aspecte necesită un studiu mai detaliat. Pentru a începe, cităm legea:

Articolul 1 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" nr. 152-FZ din 27 iulie 2006

2. Prezenta lege federală nu se aplică relațiilor care decurg din:

2) organizarea stocării, achiziționării, contabilității și utilizării, care conține date cu caracter personal ale documentelor Fondului de Arhivă al Federației Ruse și alte documente de arhivă, în conformitate cu legislația privind arhivele din Federația Rusă.

Vă reamintim două definiții consacrate în Legea "Cu privire la afacerile de arhivă în Federația Rusă" nr. 125-ФЗ din data de 10.22.2005:

• document de arhivă - un material tangibil cu informații înregistrate pe acesta, care conține detalii care să permită identificarea acestuia și este supus stocării datorită importanței transportatorului și informațiilor indicate pentru cetățeni, societate și stat;
• Documentul Fondului de Arhivă al Federației Ruse este un document de arhivă care a trecut examinarea valorii documentelor, este pus pe contabilitatea de stat și este supus depozitării permanente.
  Se pare că dacă se stabilește o perioadă de depozitare permanentă pentru un document sau o bază de date și acestea sunt incluse în Fondul de Arhivă al Federației Ruse, atunci această lege nu se aplică acestora. Acest defect permite agențiilor guvernamentale, cu orice bază de date serioasă, să evite punerea în aplicare a noii legi privind datele cu caracter personal.

Iată un exemplu despre cum se poate face acest lucru. Potrivit Legii federale "Despre afacerile de arhivare în Federația Rusă" (Partea 2 a articolului 18), Guvernul Federației Ruse aprobă lista organelor și organizațiilor executive federale care efectuează depozitarea depozitarului documentelor Fondului de Arhivă din Federația Rusă aflate în proprietate federală. O nouă listă a 5 dintre aceste departamente și organizații a fost aprobată la sfârșitul anului 2006. În același timp, aceste organizații au fost obligate să încheie un acord privind condițiile de depozitare a documentelor cu Rosarkhiv. Dacă la încheierea contractului se stipulează în mod specific că toate documentele, cu excepția celor operaționale, sunt considerate a fi documente transferate pentru custodie, atunci cea mai mare parte a documentelor poate fi plasată sub această excepție.

Pentru alte organizații de stat, una dintre opțiuni ar putea fi aprobarea promptă a înregistrărilor de caz cu arhivele de stat, care ar însemna înscrierea documentelor în Fondul de Arhivă al Federației Ruse și lăsând din nou "zona de acțiune" a legii cu privire la datele cu caracter personal.

Directivele Uniunii Europene nu conțin o astfel de excepție, există, de exemplu, în Codul 6 al SUA, care conține o formulare mai corectă care nu permite ambiguitate: legislația privind datele cu caracter personal nu se aplică în general documentelor deja depuse în arhivele de stat, se aplică documentelor transferate în arhivele de stat de către orice agenție de custodie.

De asemenea, nu este clar de ce, din numeroasele noastre baze de date de stat, legea noastră a făcut o excepție pentru Registrul Unic de Stat al Întreprinzătorilor Individuali (EGRIP). Ar fi logic să extindem excepția la alte registre de stat care conțin și date cu caracter personal (de exemplu, încorporarea include informații despre fondatorii și primele persoane ale tuturor persoanelor juridice din țară).

Datele personale și metodele de procesare

Date personale - orice informație referitoare la o persoană fizică (subiectul datelor cu caracter personal) determinată sau determinată pe baza acestor informații, inclusiv numele, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, statutul familiei,, educație, profesie, venit, alte informații (conform articolului 3 din Legea cu privire la datele cu caracter personal).

Legea prevede următoarele metode de prelucrare a datelor cu caracter personal (pentru unele dintre ele explicațiile detaliate sunt prezentate în articolul 3):

• de colectare;
• sistematizare;
• acumulare;
• depozitare;
• clarificare (actualizare, modificare);
• (operațiuni) cu date cu caracter personal ale operatorului 7 în scopul de a lua decizii sau de a efectua alte acțiuni care dau naștere unor consecințe juridice în legătură cu subiectul datelor cu caracter personal sau alte persoane sau care afectează în orice fel drepturile și libertățile subiectului datelor cu caracter personal sau ale altor persoane ";
• (inclusiv transferul) - "acțiuni care vizează transferul datelor cu caracter personal către un anumit cerc de persoane (transfer de date cu caracter personal) sau cunoașterea datelor cu caracter personal ale unui număr nelimitat de persoane, inclusiv publicarea datelor cu caracter personal în mass-media, plasarea în informații și telecomunicații rețele sau furnizarea accesului la date cu caracter personal în orice alt mod ";
• Depersonalizarea - "acțiuni în urma cărora este imposibil să se determine identitatea datelor cu caracter personal pentru un anumit subiect de date cu caracter personal";
• blocare - "suspendarea temporară a colectării, sistematizării, acumulării, utilizării, diseminării datelor cu caracter personal, inclusiv a transferului acestora";
• distrugerea datelor cu caracter personal - "acțiuni care nu au putut restabili conținutul datelor cu caracter personal în sistemul informatic al datelor cu caracter personal sau au dus la distrugerea purtătorilor materiale de date cu caracter personal".

O atenție deosebită ar trebui acordată metodelor de prelucrare precum blocarea și distrugerea datelor cu caracter personal. Legea spune destul de bine despre distrugere - aceasta este abordarea care este acum recomandată de standardele interne și externe. În ceea ce privește blocarea datelor cu caracter personal, această metodă de procesare în practica internă a fost introdusă pentru prima dată, iar execuția acesteia poate complica în mod semnificativ viața organizațiilor care utilizează sisteme informatice dezvoltate anterior și baze de date în care nu este furnizată o astfel de operațiune.

Principii și condiții pentru prelucrarea datelor cu caracter personal

Dispozițiile legii urmăresc, în principal, prevenirea colectării ilegale și a utilizării datelor cu caracter personal. Această dorință a legiuitorului a dus la apariția unei noi poziții pentru practica înregistrării:

Clauza 2 a articolului 5 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" din 27 iulie. 2006 nr. 152-FZ

Datele personale ar trebui să fie stocate într-o formă care să permită determinarea subiectului, nu mai mult decât obiectivele procesării și ar trebui să fie distruse la atingerea obiectivelor de prelucrare a datelor cu caracter personal sau la pierderea necesității de a le atinge.

În acest caz, legea, pentru prima dată, poate să stabilească pentru informare și documentare perioada maximă și, în plus, perioada de depozitare condiționată - "la realizarea obiectivelor de procesare". Organizațiile vor trebui să stabilească perioade de depozitare pentru documentele care conțin date cu caracter personal și va fi necesar să se gândească în prealabil cu privire la raționamentul perioadelor de depozitare selectate. Aceasta este o întrebare destul de complicată care poate provoca o mulțime de controverse și probleme.

În plus, specialiștii DOE trebuie să acorde atenție următoarelor aspecte: dat fiind că obiectivele privind colectarea și prelucrarea datelor cu caracter personal, conform legii, trebuie stabilite înainte de începerea lucrului, este necesar să se ia în considerare cu atenție formularea acestora. În caz contrar, organizația însăși se poate "substitui" însăși: obiectivele vor fi îndeplinite și datele personale nu vor fi distruse.

Una dintre cele mai neplacute pentru organizațiile care colectează și procesează date cu caracter personal este cerința articolului 6 despre necesitatea de a obține consimțământul subiectului pentru prelucrarea lor. Nu este necesar un consimțământ numai în următoarele cazuri:

• pe baza legislației federale;
• în vederea îndeplinirii contractului cu obiectul datelor cu caracter personal;
• în scopuri statistice sau științifice;
• pentru a proteja viața și sănătatea subiectului datelor cu caracter personal;
• pentru livrarea de trimiteri poștale de către organizațiile poștale;
• în cursul activităților profesionale ale unui jurnalist, cărturar etc.
• datele care urmează să fie publicate în conformitate cu legile federale;
• pentru a proteja bazele ordinii constituționale, moralității, sănătății, drepturilor și intereselor legitime ale altora, pentru a asigura apărarea țării și securitatea statului.

Avem deja un număr de legi federale care descriu prelucrarea datelor cu caracter personal, de exemplu, atunci când se păstrează registrele unificate de stat ale contribuabililor (EGRN) și entitățile juridice (USR). Singura condiție pentru utilizarea excepției de la cerința de consimțământ general este de a prezenta următoarele întrebări în legislația relevantă:

• Scopul,
• condițiile de obținere a datelor cu caracter personal
• cercurile ale căror date cu caracter personal fac obiectul prelucrării,
• competențele operatorului care colectează datele.

Nu este încă clar ce se va întâmpla cu acele legi care conțin norme referitoare la colectarea și prelucrarea datelor cu caracter personal, dar care nu îndeplinesc condiția specificată.

Primul la problemele asociate cu respectarea noii legi, a atras atenția companiilor de asigurări. În opinia lor, legea privind datele cu caracter personal poate împiedica în mod serios punerea în aplicare a legii privind asigurarea obligatorie de răspundere civilă auto (RCA) datorită interdicției de a transfera terților datele cu caracter personal ale clientului obținute la încheierea contractului RCA fără consimțământul acestuia. Ca urmare, societatea de asigurări nu va putea obține informații complete despre clienții săi dintr-o singură bază de date (și menținerea unei astfel de baze de date este, de asemenea, discutabilă), în această situație, riscurile asigurătorilor sunt în creștere.

Deja, companiile de asigurări încearcă să rezolve această problemă importantă pentru ei, luând în considerare următoarele opțiuni:

• Amendamente la legea privind OSAGO și obligația asigurătorilor de a face schimb de date cu privire la evenimentele asigurate.
• Definirea unei părți a datelor cu caracter personal ca fiind publică. Informațiile pe care un individ le indică atunci când încheie un contract OSAGO sunt, conform asigurătorilor, publice. Cu toate acestea, legea "Cu privire la datele cu caracter personal" necesită obținerea consimțământului pentru colectarea datelor publice.
• Comitetul Asociației Asiguratorilor Al-Ruși (ARIA) pentru combaterea fraudei în materie de asigurări a pregătit deja două proiecte de lege, care urmează să fie prezentate în Duma de Stat la începutul anului 2007. Potrivit șefului comitetului, Evgheni Potapov, una dintre aceste proiecte de lege va modifica legea "Cu privire la organizarea de afaceri de asigurare în Federația Rusă." Aceasta va permite asigurătorilor să creeze sisteme informatice automatizate bazate pe asociațiile și asociațiile acestora, care vor conține date privind creanțele și plățile de asigurare 8.

Alineatul 6 al articolului 6 privind acordarea dreptului de prelucrare a datelor cu caracter personal jurnaliștilor, cercetătorilor și reprezentanților altor profesii creative fără consimțământul subiectului este îndoielnic. Este destul de realist (în special în structurile comerciale) să introducă o postură full-time de "reprezentant al profesiei creative" și să "scrieți" toate bazele de date care conțin informații personale.

De exemplu, în Anglia, într-o dispoziție similară a legii, se prevede în plus că în acest caz scopul prelucrării datelor ar trebui să fie publicarea materialului relevant; că o astfel de publicație trebuie să fie în interes public (inclusiv în exercitarea dreptului la exprimarea unui reprezentant al profesiei de creație) 9.

În plus, este interesant cum vom determina cine este jurnalist sau scriitor și cine nu este. Nu este un secret că mulți dintre frații scriitori nu au diplomele corespunzătoare sau codurile oficiale. Abordarea utilizată în SUA poate fi utilă pentru noi: jurnaliștii recunosc toți cei care scriu articole pentru distribuție publică, chiar dacă sunt publicați doar pe Internet.

În Statele Unite, în ianuarie 2007, a început procesul judecătorului George Bush Lewis "Scooter" Libby. O sută de locuri au fost lăsate deoparte pentru presă în sala de judecată, iar două dintre ele au fost oficial primite de autorii jurnalului de internet.

Societatea Americană de Redactori de ziare, atunci când redactează o lege federală privind acordarea jurnaliștilor dreptului de a nu divulga informații confidențiale în cursul procedurilor legale, sugerează că această lege se aplică tuturor fără excepție și acoperă persoanele care colectează informații pentru a le distribui în continuare. Și autorii ziarelor de internet, "bloggerii", se încadrează, de asemenea, în această definiție 10.

Acum, să vedem cum noua lege implică obținerea consimțământului subiectului pentru prelucrarea datelor sale cu caracter personal.

Clauza 1 a articolului 9 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" din 27 iulie. 2006 nr. 152-FZ

Subiectul datelor cu caracter personal decide asupra furnizării datelor sale personale și este de acord cu prelucrarea acestora din proprie voință și în interesul său... Acordul privind prelucrarea datelor cu caracter personal poate fi retras de subiectul datelor cu caracter personal.

În plus, clauza 3 a articolului 9 conține o condiție destul de neplăcută pentru operatori. Ei vor trebui fie să acumuleze dovezi că datele colectate de aceștia sunt preluate din surse accesibile publicului, fie să obțină consimțământul din partea datelor cu caracter personal și să stocheze acest document în cazul în care "subiectul" decide să dea în judecată operatorul pentru încălcarea drepturilor sale.

Datele disponibile public nu sunt, de asemenea, atât de simple. Articolul 8, care definește semnificația surselor de date cu caracter personal accesibile publicului (cărți de referință, cărți de adrese, etc.), subliniază că informațiile cu caracter personal pot fi incluse numai cu acordul scris al subiectului. Mai mult, "informațiile privind subiectul datelor cu caracter personal pot fi în orice moment excluse din sursele de date cu caracter personal accesibile publicului la cererea subiectului datelor cu caracter personal sau de către o instanță sau alte organisme guvernamentale autorizate".

Pe de altă parte, dacă o organizație folosește surse de date cu caracter personal accesibile publicului atunci când colectează informații, atunci ar trebui să documenteze unde a primit aceste informații și să se asigure că "sursa" are consimțământul scris cerut de lege.

Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" din 27 iulie. 2006 nr. 152-FZ

Clauza 12 din articolul 3. Termeni de bază folosiți în această lege federală

Datele cu caracter personal accesibile în general sunt date cu caracter personal la care un număr nelimitat de persoane au acces cu acordul subiectului datelor cu caracter personal sau cărora nu li se aplică cerința de confidențialitate în conformitate cu legile federale.

Articolul 8 din articolul 1. Surse de date cu caracter personal accesibile în general

Pentru a oferi suport informațional, pot fi create surse accesibile publicului de date cu caracter personal (inclusiv cărți de referință, cărți de adrese). Sursele disponibile de date cu caracter personal, cu acordul scris al subiectului datelor cu caracter personal, pot include numele, prenumele, numele mijlocului, anul și locul nașterii, adresa, numărul abonatului, informațiile despre profesie și alte date cu caracter personal furnizate de persoana cu caracter personal.

Clauza 3 a articolului 9. Se aprobă obiectul datelor cu caracter personal privind prelucrarea datelor cu caracter personal

Obligația de a prezenta dovada consimțământului subiectului datelor cu caracter personal la prelucrarea datelor sale cu caracter personal și, în cazul prelucrării datelor cu caracter personal accesibile publicului, operatorul este obligat să demonstreze că datele cu caracter personal care sunt prelucrate sunt disponibile publicului.

Se pare că pentru a se proteja, organizațiile vor trebui să ceară confirmarea oficială a fiecărui cetățean.

Cum ar trebui să se depună consimțământul scris al subiectului? Se pare că semnătura unui cetățean în fraza generală "Sunt de acord cu colectarea și prelucrarea datelor mele personale" nu va fi suficientă.

Clauza 4 a articolului 9 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" din 27 iulie. 2006 nr. 152-FZ

... consimțământul scris al subiectului datelor cu caracter personal la prelucrarea datelor lor personale ar trebui să includă:

1. numele, prenumele, adresa subiectului datelor cu caracter personal, numărul documentului principal care atestă identitatea acestuia, informațiile privind data eliberării documentului specificat și autoritatea emitentă;
2. numele (prenumele, numele, patronimul) și adresa operatorului care obține consimțământul subiectului datelor cu caracter personal;
3. scopul prelucrării datelor cu caracter personal;
4. o listă de date cu caracter personal pentru prelucrarea cărora este acordat consimțământul subiectului datelor cu caracter personal;
5. lista acțiunilor cu date cu caracter personal pentru care se acordă consimțământul, o descriere generală a metodelor utilizate de operator pentru prelucrarea datelor cu caracter personal;
6. perioada în care consimțământul este valabil, precum și procedura de retragere a acestuia.

Aceasta înseamnă că, înainte de a "captura" subiectul datelor cu caracter personal și de a încerca să obțină consimțământul acestuia, operatorul trebuie să dezvolte o formă specială a documentului care să conțină toate informațiile necesare.

Drepturile obiectului datelor cu caracter personal

În primul rând, subiectul datelor cu caracter personal are dreptul de a primi următoarele informații:

• informații despre operator,
• informații despre locația operatorului,
• informații cu privire la datele personale ale operatorului referitoare la subiectul relevant al datelor cu caracter personal,
• subiectul are, de asemenea, dreptul de a se familiariza cu datele sale personale deținute de operator.

Din partea operatorului, obiectul datelor cu caracter personal poate necesita:

• clarificați datele dvs. personale
• blocarea sau distrugerea acestora în cazul în care datele cu caracter personal sunt incomplete, depășite, inexacte, obținute ilegal sau nu sunt necesare pentru scopul declarat de prelucrare.

Multe dificultăți pentru organizațiile de operatori vor crea clauza 2 a articolului 14 din lege, care impune ca informațiile privind disponibilitatea datelor cu caracter personal să fie furnizate de către operator într-o formă accesibilă și că nu conțin informații referitoare la alte subiecte de date cu caracter personal.

Decizia "Durant vs. Autoritatea Serviciilor Financiare", cazul 11, examinată în Curtea de Apel din Anglia în decembrie 2003, a primit un răspuns amplu. Decizia instanței a redus semnificativ interpretarea conceptului de "date cu caracter personal". În special, instanța a indicat că simpla menționare a acestei persoane în textul documentului nu este suficientă pentru a lua în considerare documentul care conține date cu caracter personal. În plus, instanța a confirmat că dreptul de acces la datele sale cu caracter personal nu ar trebui să încalce drepturile terților și că datele personale ale terților ar trebui eliminate din copiile documentelor furnizate la cerere (cu excepția unor coincidențe speciale de circumstanțe).

În noiembrie 2004, guvernul a negat dreptul lucrătorilor din Regatul Unit de a avea acces la datele lor personale, indiferent dacă angajatorul lor le ține pe hârtie sau în formă electronică, dacă sunt stocate într-un sistem care nu structurează în mod clar informațiile despre fiecare persoană. Astfel, sistemele de stocare a fișierelor de hârtie (cu excepția dosarelor personale) au fost de facto scoase din acțiunea legii privind furnizarea accesului la informații personale, deoarece ele sunt dificil de a izola informațiile despre o anumită persoană.

Pentru a accesa datele personale, compatrioții noștri trebuie:

• aplicați personal sau
• trimite cererea, care trebuie să conțină:
  • numărul documentului principal care atestă identitatea subiectului datelor cu caracter personal sau reprezentantul său legal,
  • informații privind data eliberării documentului specificat și a autorității emitente;
  • semnătura de mână a subiectului datelor cu caracter personal sau reprezentantul său legal.

Această solicitare poate fi trimisă în formă electronică și semnată cu o semnătură digitală. Astfel, legea oferă în mod oficial posibilitatea de a aplica datele personale prin intermediul canalelor de comunicare electronică. Nu avem încă persoane care au propria EDS în conformitate cu legea privind EDS (în majoritatea covârșitoare a cazurilor, EDS este utilizat în țara noastră în conformitate cu articolul 160 din Codul civil, care prevede un acord preliminar al părților).

Cantitatea de informații pe care un subiect de date cu caracter personal le poate solicita demonstrează îngrijorarea cetățenilor noștri. Organizațiilor care conduc baza de date cu date cu caracter personal li se recomandă să acorde o atenție deosebită articolului 14 alineatul (4) din noua lege pentru a gândi și consolida procedura de furnizare a informațiilor în reglementările interne:

1. de prelucrarea datelor cu caracter personal de către operator, precum și de scopul acestei prelucrări;
2. despre metodele de prelucrare a datelor personale utilizate de operator;
3. despre persoanele care au acces la datele cu caracter personal sau cărora li se poate acorda astfel de acces (pentru a putea raporta cu privire la cine și ce date personale au fost furnizate, este necesar să se organizeze lucrări privind înregistrarea datelor cu caracter personal și să se controleze accesul la acestea, destul de dificil de îndeplinit această cerință);
4. lista datelor cu caracter personal prelucrate și sursele de primire a acestora;
5. timpul de procesare a datelor cu caracter personal, inclusiv timpul său de păstrare (o atenție deosebită trebuie acordată acestei cerințe, deoarece, de fapt, obligă operatorul să stabilească timpul de procesare și de stocare, care poate varia în funcție de scopul prelucrării datelor cu caracter personal, prin documentele interne de reglementare);
6. informațiile privind consecințele juridice ale subiectului datelor cu caracter personal pot presupune prelucrarea datelor sale cu caracter personal (pentru a îndeplini această cerință, organizațiile ar trebui să-i instruiască în prealabil avocații să formuleze justificări pentru toate posibilele consecințe juridice ale procesării datelor cu caracter personal)

Problema prelucrării datelor cu caracter personal "pentru a promova bunuri, lucrări, servicii pe piață prin contacte directe cu un potențial consumator prin instrumente de comunicare, precum și pentru campanii politice" este dedicată unui articol special (articolul 15). Acum, organizațiile comerciale și politice, înainte de a trimite publicitatea, trebuie să obțină consimțământul prealabil al cetățeanului, iar prelucrarea PD "este recunoscută fără consimțământul prealabil al subiectului datelor cu caracter personal, în cazul în care operatorul nu dovedește că acest consimțământ a fost obținut". Pentru unele structuri comerciale, această cerință poate fi foarte incomodă!

De acum înainte "este interzisă luarea deciziilor pe baza procesării exclusiv automatizate a datelor cu caracter personal, care generează consecințe juridice cu privire la subiectul datelor cu caracter personal sau afectează în alt mod drepturile și interesele sale legitime" (articolul 16).

Această dispoziție este necesară și în timp util. Însă legiuitorii noștri, în formularea ei, au confundat două concepte diferite: "automate" (adică fără participarea omului) și "automate" (adică mergând cu participarea umană). În consecință, acest articol, în loc să impună restricții suplimentare asupra acelora și numai atunci când sistemul informatic ia decizii fără participarea umană (de exemplu, să perceapă o amendă, să interzică călătoriile în afara țării etc.), poate să fie interpretate ca impunând restricții asupra tuturor tipurilor de prelucrare a datelor cu caracter personal, deoarece chiar și utilizarea unui calculator poate fi înțeleasă ca prelucrare automată!

În același articol din noua lege, se precizează că operatorul va putea lua decizii numai pe baza procesării "automate", dacă:

• să obțină un consimțământ scris din partea persoanei cu caracter personal sau
• dacă aceste reguli sunt stabilite prin legi federale.

În unele documente de reglementare, aceste cerințe ale legii au fost deja luate în considerare. Astfel, în mostrele de cereri pentru emiterea unui pașaport de nouă generație, există o secțiune specială în care solicitantul consimte la prelucrarea "automată" a datelor indicate în cerere. Suna după cum urmează: "Sunt de acord cu prelucrarea automată, transmiterea și stocarea datelor specificate în aplicație în scopul fabricării, procesării și controlului unui pașaport pe durata valabilității acestuia" 12.

Operatorul va trebui, de asemenea, să furnizeze în prealabil cetățenilor următoarele informații:

• ordinea de luare a deciziilor pe baza procesării exclusiv "automatizate" a datelor sale cu caracter personal și
• consecințele juridice posibile ale unei astfel de decizii;
• procedura de protejare de către subiect a datelor cu caracter personal a drepturilor și intereselor sale legale;
• posibilitatea de a se opune unei astfel de decizii.

În cazul unui litigiu, operatorul va trebui să dovedească faptul că a respectat toate cerințele legii. Aceasta înseamnă că va trebui să colecteze și să stocheze cu atenție documentele justificative.

Responsabilitățile operatorului

Obligațiile operatorului, în conformitate cu articolul 18, includ în principal furnizarea de informații cu caracter personal la cererea cetățeanului. În plus, operatorul trebuie să "clarifice cu privire la obiectul datelor cu caracter personal consecințele juridice ale refuzului de a furniza datele sale personale", dacă această obligație este stabilită prin legea federală.

Articolul 20 stabilește termene foarte stricte pentru ca operatorii să poată îndeplini cererile din partea unor subiecți de date cu caracter personal (acestea sunt mult mai dure, de exemplu, cele prevăzute în Legea recent adoptată "Cu privire la procedura de examinare a contestațiilor cetățenilor din Federația Rusă"):

• furnizarea datelor - în termen de 10 zile lucrătoare de la data primirii cererii;
• motivat refuz - în termen de 7 zile lucrătoare.

Operatorul va avea și mai multe întrebări dacă este necesar să se elimine încălcările legii în intervalul de timp prevăzut la articolul 21 din noua lege. Blocarea datelor trebuie efectuată din momentul solicitării sau din momentul primirii cererii și eliminarea încălcărilor - în termen de 3 zile lucrătoare.

În unele cazuri, operatorul este obligat să distrugă datele cu caracter personal în termen de 3 zile lucrătoare, și anume:

• în caz de nerespectare a încălcărilor,
• în cazul atingerii obiectivului de prelucrare a datelor cu caracter personal,
• în cazul în care obiectul datelor cu caracter personal își revocă acordul pentru prelucrarea datelor sale cu caracter personal.

Atât blocarea, cât și distrugerea datelor personale pot fi dificil (și uneori imposibil) să fie implementate în sistemele de informare și bazele de date care funcționează în prezent și care nu au oferit anterior o astfel de posibilitate.

Operatorul va fi chiar mai greu dacă el a primit date cu caracter personal nu de la un cetățean, ci de la o terță parte.

Clauza 3 a articolului 18 din Legea federală a Federației Ruse "Cu privire la datele cu caracter personal" din 27 iulie. 2006 nr. 152-FZ

În cazul în care datele cu caracter personal nu au fost primite de la persoana care face obiectul datelor cu caracter personal, cu excepția cazului în care datele cu caracter personal au fost furnizate operatorului în temeiul legii federale sau dacă datele cu caracter personal sunt disponibile publicului, operatorul trebuie să furnizeze următoarele informații persoanei vizate înainte de prelucrarea acestor date cu caracter personal:

1. numele (prenumele, prenumele, numele intermediar) și adresa operatorului sau a reprezentantului acestuia;
2. scopul prelucrării datelor cu caracter personal și temeiul juridic al acesteia;
3. destinatarii de date cu caracter personal;
4. drepturile subiectului datelor cu caracter personal stabilite prin prezenta lege federală.

În spatele acestor cuvinte este mai mult timp consumatoare de timp. De exemplu, poate apărea întrebarea: cum ar trebui să se furnizeze această informație subiectului? Este posibil să se trimită prin poștă și informațiile vor fi luate în considerare dacă subiectul nu a primit scrisoarea corespunzătoare?

Obligația operatorului, în conformitate cu articolul 19, este de a asigura, de asemenea, securitatea datelor cu caracter personal în timpul procesării acestora. Pentru a evita problemele, organizația de operatori ar trebui să dezvolte și să consolideze în documentele de reglementare toate măsurile de securitate informațională organizațională și tehnică pe care este pregătită să le ia pentru a proteja datele personale conținute în sistemele sale de informații.

Înregistrarea de stat a sistemelor de prelucrare a datelor cu caracter personal

Legea prevede că toți operatorii care efectuează prelucrarea datelor cu caracter personal trebuie să notifice în prealabil organismul autorizat (articolul 22), care va ține evidența operatorilor într-un registru special. Organismul autorizat, în conformitate cu articolul 23, este Ministerul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse, care desfășoară în prezent "funcții de control și supraveghere în domeniul tehnologiilor și comunicațiilor informatice". Notificarea va trebui să detalieze detaliat ceea ce este planificat să faceți cu datele personale. Orice modificare în ceea ce privește prelucrarea datelor cu caracter personal trebuie, de asemenea, raportată organismului autorizat.

Este permisă prelucrarea datelor cu caracter personal fără notificarea organismului autorizat în următoarele cazuri:

• în prezența relațiilor de muncă;
• la încheierea unui contract la care obiectul datelor cu caracter personal este parte;
• dacă datele personale aparțin membrilor (participanților) unei asociații publice sau unei organizații religioase și sunt prelucrate de către asociația publică sau organizația religioasă relevantă;
• dacă datele personale sunt disponibile publicului;
• dacă datele personale includ doar numele, prenumele și patronimicul subiecților;
• la înregistrarea admiterilor;
• dacă datele cu caracter personal sunt incluse în sistemele informatice care, în conformitate cu legile federale, au statutul de sisteme informatice federale automatizate, precum și sistemele informatice de stat pentru datele personale create pentru a proteja securitatea statului și a ordinii publice;

În concluzie, vom oferi o serie de recomandări operatorilor. Nu va fi foarte dificil să îndepliniți cerințele legii privind datele cu caracter personal dacă această activitate a început acum, fără a aștepta primele plângeri și reclamații. Puteți începe cu următoarele măsuri evidente:

• Este recomandabil să se desemneze un ofițer responsabil pentru a examina toate problemele legate de punerea în aplicare a prezentei legi în cadrul organizației, iar pentru întreprinderile mari, se poate justifica crearea unei comisii speciale.
• Pentru toate resursele de informații ale organizației care conțin date cu caracter personal, trebuie:
  • determinarea statutului (pe baza căruia au fost create: în conformitate cu legislația, pentru executarea contractului, din proprie inițiativă etc.);
  • să clarifice și să înregistreze compoziția datelor cu caracter personal și sursele lor de primire (de la un cetățean, din surse publice, de la terți etc.);
  • stabilirea perioadei de stocare și a timpului de procesare a datelor în fiecare resursă informațională;
  • determinarea metodelor de prelucrare;
  • identificarea persoanelor cu acces la date;
  • formularea implicațiilor legale;
  • să stabilească procedura de răspuns la solicitări, posibile răspunsuri și acțiuni, să evalueze realitatea respectării timpilor de răspuns stabiliți.

În acest articol, o analiză a noii legi privind protecția datelor cu caracter personal se face din punctul de vedere al specialiștilor din domeniul gestionării înregistrărilor, care vor strica o mulțime de sânge. Eficacitatea sa va fi demonstrată de practică, dar pentru moment, ca "subiect de date cu caracter personal", estimez lista autorităților publice la care aș putea trimite o cerere de furnizare a informațiilor relevante, în conformitate cu cerințele legii. Acum am dreptul!

1 Articolul 25 din Capitolul IV din Directiva 95/46 / CE a Parlamentului European și a Consiliului Uniunii Europene din 24 octombrie 1995 privind protecția drepturilor persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

Este interesant faptul că și Statele Unite nu respectă cerințele europene stricte, iar companiile americane sunt forțate să utilizeze așa-numitele acorduri "umbrelă".

3 Persoana cu date personale este o persoană ale cărei date cu caracter personal sunt prelucrate.

4 "sistem de arhivare a datelor cu caracter personal"

5 Lista autorităților executive federale și a organizațiilor implicate în depozitarea depozitară a documentelor Fondului de Arhivă al Federației Ruse care sunt în proprietate federală include 18 organizații: Ministerul Afacerilor Interne al Rusiei, Ministerul Afacerilor Externe al Rusiei, Ministerul Apărării al Rusiei, SVR al Rusiei, FSB din Rusia, Serviciul Federal de Control al Drogurilor din Rusia, Roskartografiya, Academia Rusă de Științe Agricole, Academia Rusă de Științe Medicale, Academia Rusă de Educație, Academia Rusă de Arte, Academia Rusă de Arhitectură și Științe ale Construcțiilor, Statul Fundația: Institutul de Cercetări Informatice Hidrometeorologice din toată Rusia, Centrul de Date Mondiale, Instituția Federală de Stat "Fondul de Stat pentru Programe de Televiziune și Radio", Întreprinderea Federală de Stat pentru Producție Științifică "Fondul Federal German de Geologie" informații privind standardizarea, metrologia și evaluarea conformității ".

6 5 S.U.A. C. § 552a (k) (1) "Documente pentru persoane fizice - Excepții speciale - Documente de arhivă".

Operatorul - un organism de stat, un colectiv municipal, persoană fizică sau juridică, care organizează și (sau) efectuează prelucrarea datelor cu caracter personal, precum și definirea scopului și a conținutului prelucrării datelor cu caracter personal.

9 Legea privind protecția datelor 1998, articolul 32.

11 Durant vs Autoritatea Serviciilor Financiare (FSA).

12 Anexa № 1 la Regulamentul privind procedura de înregistrare și eliberare a pașapoartelor cetățeanului Federației Ruse, pașaport diplomatic și pașaportul oficial este principalul document care atestă cetățeanul Federației Ruse a granițelor Federației Ruse care conțin suporturi de date electronice (app. Ordinul Ministerului Afacerilor Interne, Ministerul Afacerilor Externe și Serviciul Federal de Securitate al Federației Ruse din data de 6 octombrie 2006 nr. 785/14133/461).