Jakie są sposoby przetwarzania danych osobowych?

W kodeksie pracy Federacji Rosyjskiej istnieje taki termin, jak "dane osobowe osoby pracującej". Dane dotyczące kontyngentu operacyjnego należy przekazać pracodawcy.

Po zbadaniu danych osobowych pracodawca wydaje werdykt dotyczący zabrania osoby do firmy.

Informacje, które osoba przedstawia o sobie, muszą być chronione. Dystrybucja jest zabroniona.

Drodzy czytelnicy! Nasze artykuły mówią o typowych sposobach rozwiązywania problemów prawnych, ale każdy przypadek jest wyjątkowy.

Jeśli chcesz wiedzieć, jak rozwiązać dokładnie problem - po prostu zadzwoń, to szybko i za darmo!

System

Dane osobowe pracowników powinny podlegać rozwojowi.

Pracodawca stosuje następujące wymagania do danych osobowych osób pracujących:

1. Proces przetwarzania danych osobowych dotyczących osoby pracującej odbywa się w celu zapewnienia zgodności z przepisami i aktami prawnymi. Dzięki przetwarzaniu danych możesz zatrudnić osobę, zapewnić mu osobiste bezpieczeństwo, monitorować pracę, którą wykonuje.
2. Pracodawca bierze pod uwagę zakres, a także treść danych osobowych na temat przetwarzanego kontyngentu, który jest przetwarzany. Wszyscy pracodawcy badają i postępują zgodnie z Konstytucją, innymi przepisami federalnymi.
3. Informacje na temat zespołu roboczego należy uzyskać bezpośrednio od samych pracowników. Możesz uzyskać informacje o pracującej osobie z trzeciego ust, ale tylko za pisemną zgodą tej osoby. Pracodawca informuje pracowników o ich celach i źródłach, z których pochodzą dane osobowe. Pracodawca ostrzega o konsekwencjach w przypadku odmowy udzielenia danych osobowych osobie pracującej.
4. Osoba, która zapewnia pracę swoim pracownikom, nie ma prawa do informacji na temat wszelkiego rodzaju przekonań o charakterze politycznym, religijnym, a także życia rodzinnego pracownika. Życie osobiste pracownika może być określone tylko za jego zgodą. Umowa musi być sporządzona na piśmie.
5. Pracodawca nie powinien wykorzystywać w przetwarzaniu informacji o obecności pracowników w stowarzyszeniach członkowskich, związkach zawodowych. Ale są sytuacje przewidziane w ustawie federalnej.
6. Wszystkie dane osobowe muszą być chronione i ukryte przed publiczną kontrolą i wykorzystaniem. Ochrona danych podlega warunkom ustawy federalnej.
7. Pracownicy badają dokumenty należące do instytucji. Powinny one ujawnić znaczenie i kolejność procesów przetwarzania danych osobowych pracowników.
8. Osoby pracujące muszą zaakceptować ochronę swoich danych osobowych.
9. Zarówno pracodawcy, jak i pracownicy mogą wspólnie pracować nad opracowaniem sposobów ochrony danych osobowych pracowników.

Przekazując informacje o pracownikach, dyrektor przedsiębiorstwa musi przestrzegać następujących zasad:

• Osoba trzecia nie musi wiedzieć o danych osobowych każdego pracownika. Dane mogą być przekazywane wyłącznie w przypadkach, gdy zatrudnieni wyrazili pisemną zgodę na wykorzystanie ich danych osobowych. Jeśli jednak istnieje zagrożenie dla życia, zdrowia zespołu roboczego, dane osobowe mogą być przekazywane innym osobom bez pisemnej zgody;
• pracodawca nie powinien publikować danych o zespole pracującym nad nim w celach handlowych;
• ludzie, którzy otrzymują informacje o pracownikach, muszą przetwarzać je w ramach poufności;
• przekazywanie informacji o osobie odbywa się tylko w jednej organizacji za pośrednictwem specjalnych wewnętrznych aktów instytucji;
• informacje o pracowniku mają dostęp wyłącznie do specjalnych upoważnionych osób;
• nie ma potrzeby zwracania się o informacje na temat zdrowia osób pracujących. Wniosek można złożyć tylko w przypadkach, gdy pojawia się pytanie, czy pracownicy mogą wykonywać swoje funkcje związane z pracą;
• dane osobowe dotyczące kontyngentu roboczego mogą być gromadzone z uwzględnieniem danych Kodeksu.

Pracujący kontyngent ma prawo do:

• zapoznanie się z Twoimi danymi osobowymi i ich przetwarzanie;
• nieograniczony dostęp do danych osobowych. Osobę pracującą można wydać kopie danych informacyjnych. Ale zdarzają się sytuacje, gdy dane osobowe nie są ujawniane. Te sytuacje są opisane w ustawie federalnej;
• pracownik medyczny może przeglądać dane osobowe pracowników;
• możliwość poprawiania lub uzupełniania podmiotów danych osobowych.

Wyróżnia się następujące rodzaje przetwarzania danych osobowych:

1. Przetwarzanie informacji za pomocą technologii komputerowej.
2. Nieautomatyczne przetwarzanie.
3. System informatyczny przetwarzający dostarczone dane.

Automatyczne

Przetwarzanie odbywa się za pomocą specjalnej technologii komputerowej. Najpopularniejszymi maszynami komputerowymi mogą być:

• komputer elektroniczny;
• urządzenia pomocnicze;
• urządzenia peryferyjne;
• koniecznie zainstalowane oprogramowanie.

Niezautomatyzowane

Najbardziej szczegółowy opis niezautomatyzowanego przetwarzania jest zapisany w dekrecie rządowym nr 687.

Dystrybucja, badanie i usuwanie informacji o kontyngencie operacyjnym powinno odbywać się z udziałem osoby, a nie technologii komputerowej.

Informacyjny

Dzięki systemowi informacyjnemu przetwarzane są specjalne kategorie danych osobowych o kontyngencie operacyjnym. Ten system przetwarza dane wpływające na przynależność do określonej rasy i płci, narodowość, poglądy polityczne, poglądy filozoficzne.

Dzięki systemowi informatycznemu można przetwarzać:

• biometryczne dane osobowe. Zwłaszcza jeśli istnieje charakterystyka danych fizjologicznych, biologicznych. Dzięki uzyskanym charakterystykom można ocenić osobowość pracowników;
• udostępnione dane osobowe;
• inne dane informacyjne. Przykładem mogą być religijne, narodowe idee, filozoficzne poglądy, chwile intymnej natury pracującego kontyngentu i wiele innych ważnych osobistych cech do stanu zdrowia.

Tak więc dane osobowe każdego pracownika są zawarte we wszystkich pracodawcach. Dyrektor w żadnym przypadku nie ma prawa rozpowszechniać dostępnych danych na temat tej osoby.

Uzyskane informacje na temat kontyngentu operacyjnego można przetwarzać na kilka sposobów: za pomocą technologii komputerowej, przy pomocy sił osobistych, dzięki systemowi oceny informacji.

We wszystkich przypadkach dane osobowe każdego pracownika są dokładnie sprawdzane.

Sposoby przetwarzania danych osobowych

Na mocy kodeksu cywilnego regionu Amur

z 26 grudnia 2012 r., nr 626

w związku z przetwarzaniem danych osobowych

1. POSTANOWIENIA OGÓLNE

1.1. Niniejszy dokument (zwany dalej "Polityką") to systematyczne zestawienie celów, zasad, metod i warunków przetwarzania danych osobowych, informacji o wdrożonych wymogach przetwarzania i ochrony danych osobowych w GKU regionu Amur Centralnego Departamentu Wolnego Miasta (zwanego dalej Centrum Zatrudnienia).

1.2. Polityka opiera się na wymogach Federalnej ustawy Federacji Rosyjskiej "O danych osobowych", innych regulacyjnych aktach prawnych Federacji Rosyjskiej ustanawiających procedurę przetwarzania i ochrony danych osobowych. Ta polityka jest dokumentem publicznym.

1.3. Zgodnie z ustawą federalną z dnia 27 lipca 2006 r. Nr 152-ФЗ "O danych osobowych", Centrum Pracy jest operatorem danych osobowych (zwanym dalej "PD").

2. PRZETWORZONE DANE OSOBOWE

2.1. Główne warunki stosowane w Polityce:

· Dane osobowe - wszelkie informacje dotyczące osoby fizycznej (przedmiot danych osobowych) określone lub ustalone na podstawie takich informacji, w tym jego nazwisko, imię, nazwisko, rok, miesiąc, data i miejsce urodzenia, adres, rodzina, tożsamość społeczna, majątek pozycja, wykształcenie, zawód, dochód, inne informacje;

· Przetwarzanie danych osobowych - działania (operacje) z danymi osobowymi, w tym gromadzenie, systematyzacja, gromadzenie, przechowywanie, udoskonalanie (aktualizacja, zmiana), używanie, dystrybucja (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie danych osobowych;

2.2. W ramach tej Polityki przetwarzane dane osobowe oznaczają:

· Dane osobowe dostarczane przez odbiorców usług publicznych mających zastosowanie do Centrum Zatrudnienia;

· Dane osobowe pracowników Centrum Zatrudnienia lub kandydatów na wolne stanowiska;

3. CELE PRZETWARZANIA DANYCH OSOBOWYCH

3.1. Cele przetwarzania PD w Centrum Zatrudnienia są następujące:

· Zapewnienie realizacji konstytucyjnych praw obywateli Federacji Rosyjskiej do pracy i ochrony socjalnej przed bezrobociem poprzez świadczenie usług publicznych w dziedzinie promocji zatrudnienia;

· Zapewnienie wykonania konstytucyjnych praw obywateli do odwołania;

· Uzyskanie obiektywnej oceny stanu rynku pracy w podmiocie założycielskim Federacji Rosyjskiej (w odniesieniu do odbiorców publicznych służb zatrudnienia, bezrobotnych obywateli, obywateli wnioskujących do Centrum Zatrudnienia o propozycje, oświadczenia, skargi);

· Zapewnienie zgodności z Konstytucją Federacji Rosyjskiej, ustawami i innymi regulacyjnymi aktami prawnymi, pomoc pracownikom w znalezieniu zatrudnienia, szkolenia i awansu do pracy, wzrost zatrudnienia, zapewnienie bezpieczeństwa osobistego pracowników, kontrola ilości i jakości wykonanej pracy, zapewnienie bezpieczeństwa mienia, które do niej należy, oraz rejestrowanie wyników ich pracy obowiązki i bezpieczeństwo mienia Centrum zatrudnienia.

· Wykonanie fiskalnej funkcji agenta do dostarczania standardowych ulg podatkowych (w stosunku do zatrudniania członków rodzin pracowników Ośrodka);

· Wypełnianie zobowiązań wynikających z umów cywilnoprawnych (w stosunku do osób wykonujących pracę, świadczących usługi na podstawie umów cywilnoprawnych z Centrum Zatrudnienia).

4. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

4.1. Wdrożenie przetwarzania PD na zasadach prawnych i uczciwych.

4.2. Ograniczenie przetwarzania PD do osiągnięcia określonych, z góry określonych i uzasadnionych celów wskazanych w sekcji 2 tego dokumentu. Nie wolno przetwarzać danych osobowych niezgodnych z celem zbierania danych osobowych.

4.3. Zapobieganie połączeniu baz danych zawierających PD, które są przetwarzane w celach, które są ze sobą niezgodne.

4.4. Przetwarzanie tylko tych PDS, które spełniają cele ich przetwarzania.

4.5. Zgodność z zawartością i objętością PD przetwarzanego w podanych celach przetwarzania.

4.6. Niedopuszczalność redundancji spowodowała przetworzenie PD w stosunku do deklarowanych celów ich przetwarzania.

4.7. Zapewnienie dokładności PD, ich wystarczalności oraz, jeśli to konieczne, i trafności w odniesieniu do celów przetwarzania PD.

4.8. Upewnij się, że podjęto niezbędne środki w celu usunięcia lub udoskonalenia niekompletnych lub niedokładnych danych.

4.9. Przeprowadzenie przechowywania PD w formie, która pozwala na ustalenie, że przedmiot PD nie jest dłuższy niż cel przetwarzania PD, wymaga, jeśli okres przechowywania PD nie jest ustanowiony przez prawo federalne, umowa, której podmiot PD jest beneficjentem lub poręczycielem. PD, które mają być przetwarzane, podlegają zniszczeniu lub depersonalizacji po osiągnięciu celów przetwarzania lub w przypadku utraty potrzeby osiągnięcia tych celów, chyba że prawo federalne stanowi inaczej.

5. METODY PRZETWARZANIA DANYCH OSOBOWYCH

5.1. Centrum zatrudnienia przetwarza PD w następujący sposób:

· Niezautomatyzowane przetwarzanie PD (na papierze);

· Zautomatyzowane przetwarzanie (w ISPDn z wykorzystaniem i bez użycia sprzętu automatyzacji), w tym: z lub bez transmisji za pośrednictwem lokalnej sieci Centrum Zatrudnienia; zi bez transmisji przez Internet;

· Przetwarzanie mieszane PD.

5.2. Centrum zatrudnienia może niezależnie wybrać metody przetwarzania PD w zależności od celów takiego przetwarzania oraz własnych możliwości materiałowych i technicznych.

6. WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH

6.1. Przetwarzanie PD odbywa się zgodnie z zasadami i regułami określonymi w ustawie federalnej "O danych osobowych".

6.2. Przetwarzanie kodu PD jest dozwolone w przypadkach przewidzianych w ustawie federalnej "O danych osobowych".

6.3. Centrum zatrudnienia ma prawo powierzyć przetwarzanie PD innej osobie za zgodą podmiotu PD, chyba że prawo federalne stanowi inaczej, na podstawie umowy zawartej z tą osobą, w tym umowy państwowej lub miejskiej, lub poprzez przyjęcie odpowiedniego aktu przez organ państwowy lub miejski (zwany dalej ).

6.4. Jeżeli Centrum Zatrudnienia powierzy przetwarzanie PD innej osobie, odpowiedzialność za przedmiot PD za działania tej osoby ponosi Centrum Zatrudnienia. Osoba przetwarzająca dane osobowe w imieniu Centrum Zatrudnienia jest odpowiedzialna przed Centrum Zatrudnienia.

7. POUFNOŚĆ DANYCH OSOBOWYCH

7.1. Centrum zatrudnienia i inne osoby, które uzyskały dostęp do PD, są zobowiązane do nieujawniania stronom trzecim i do nieprzekazywania PD bez zgody podmiotu PD, chyba że prawo federalne stanowi inaczej.

8. ZGODA NA PODSTAWĘ DANYCH OSOBOWYCH DO PRZETWARZANIA JEGO DANYCH OSOBOWYCH

8.1. Podmiot PD podejmuje decyzję o udostępnieniu swoich danych osobowych i wyraża zgodę na ich przetwarzanie w sposób wolny, z własnej woli iw jego interesie.

8.2. Zgoda na przetwarzanie PD powinna być konkretna, świadoma i świadoma.

8.2. Zgoda na przetwarzanie PD może być udzielona przez PD lub jego przedstawiciela w dowolnej formie, która pozwala potwierdzić fakt jej otrzymania, chyba że prawo federalne stanowi inaczej.

8.3. W przypadku uzyskania zgody na przetwarzanie danych osobowych od przedstawiciela podmiotu danych osobowych, organ tego przedstawiciela do wyrażania zgody w imieniu podmiotu danych osobowych jest sprawdzany przez Centrum Zatrudnienia.

8.4. Zgoda na przetwarzanie PD może zostać odwołana przez przedmiot PD. W przypadku odstąpienia przez podmiot PDN zgody na przetwarzanie PD, Centrum Zatrudnienia ma prawo do dalszego przetwarzania danych osobowych bez zgody podmiotu PD, jeżeli istnieją przesłanki określone w klauzulach 2-11 części 1 artykułu 6, części 2 artykułu 10 i części 2 artykułu 11 ustawy federalnej "O danych osobowych" ".

8.5. W przypadkach przewidzianych przez prawo federalne przetwarzanie PD odbywa się wyłącznie za pisemną zgodą podmiotu PD. Zgoda w formie pisemnej uznawana jest za równoważną z dokumentem elektronicznym podpisanym przez prawo elektroniczne podpisane zgodnie z prawem federalnym.

8.6. Dane osobowe mogą być uzyskane przez Centrum Zatrudnienia od osoby, która nie jest przedmiotem danych osobowych, pod warunkiem, że Centrum Zatrudnienia potwierdzi istnienie podstaw określonych w punktach 2-11 części 1 artykułu 6, części 2 artykułu 10 i części 2 artykułu 11 Ustawy federalnej "O danych osobowych" ".

9. WDRAŻANIE PRAW OSÓB DANYCH OSOBOWYCH

9.1. Przetwarzając PD, Centrum Zatrudnienia zapewnia warunki niezbędne do tego, aby PD mogło swobodnie wykonywać swoje prawa.

9.2. Podmiot PD ma prawo dostępu do swoich danych osobowych.

9.3. Obiekt PD ma prawo otrzymywać informacje dotyczące przetwarzania jego danych osobowych, zawierające: potwierdzenie faktu przetwarzania PD przez Centrum Zatrudnienia; podstawy prawne i cele przetwarzania PD; cele i metody przetwarzania PD stosowane przez Centrum Zatrudnienia; nazwę i lokalizację Centrum Zatrudnienia, informacje o osobach (z wyjątkiem pracowników Centrum Zatrudnienia), które mają dostęp do danych osobowych lub które mogą ujawnić dane osobowe na podstawie umowy z Centrum Zatrudnienia lub na podstawie prawa federalnego; PD przetwarzane przez odpowiedni temat PD, źródło ich otrzymania, chyba że prawo federalne przewiduje inną procedurę przekazywania takich danych; Czas przetwarzania PD, w tym czas przechowywania; procedura wykonywania przez podmiot PDN praw przewidzianych w ustawie federalnej "O danych osobowych"; informacje na temat zakończonego lub zamierzonego transgranicznego transferu danych; nazwisko lub imię, nazwisko, nazwisko i adres osoby wykonującej przetwarzanie PDN w imieniu Centrum Zatrudnienia, jeżeli przetwarzanie zostało powierzone lub zostanie powierzone takiej osobie; inne informacje przewidziane przez prawo federalne.

9.4. Prawo podmiotu PD do uzyskania dostępu do jego danych osobowych może być ograniczone w przypadkach wyraźnie przewidzianych w przepisach federalnych.

9.5. Podmiot PD ma prawo bronić swoich praw i uzasadnionych interesów, w tym odszkodowań i (lub) odszkodowań za szkody moralne w sądzie.

9.6. Jeśli osoba podejrzana o chorobę uzna, że ​​Centrum Zatrudnienia przetwarza jej PD z naruszeniem wymogów Ustawy Federalnej "O danych osobowych" lub w inny sposób narusza jej prawa i wolności, osoba z PD ma prawo odwoływać się od działań lub zaniechania Centrum Zatrudnienia do uprawnionego organu w celu ochrony praw osób z PD lub nakaz sądowy.

10. INFORMACJE DOTYCZĄCE ŚRODKÓW WPROWADZONYCH PRZEZ Centrum Zatrudnienia

MAJĄC NA CELU ZAPEWNIENIE REALIZACJI OBOWIĄZKÓW ZWIĄZANYCH Z PRZETWARZANIEM DANYCH OSOBOWYCH

10.1. Centrum Zatrudnienia podczas przetwarzania PD wykonuje swoje obowiązki jako operator PD, zgodnie z ustawą federalną "O danych osobowych".

10.2. Centrum Zatrudnienia podejmuje środki niezbędne i wystarczające do wypełnienia obowiązków przewidzianych w niniejszej ustawie federalnej i aktach prawnych regulacyjnych przyjętych zgodnie z nią.

10.3. Centrum Zatrudnienia niezależnie określa skład i wykaz środków niezbędnych i wystarczających do wypełnienia obowiązków przewidzianych w niniejszej Ustawie Federalnej oraz aktach prawnych regulacyjnych przyjętych zgodnie z nią, o ile przepisy federalne nie stanowią inaczej.

10.4. Centrum Zatrudnienia zapewnia nieograniczony dostęp do tego dokumentu (Polityki), do informacji o faktycznych wymaganiach dotyczących ochrony PD poprzez umieszczenie na oficjalnej stronie internetowej Departamentu Zatrudnienia Obwodowego Regionu Amur pod adresem http: // zanamur. ru, GKU regionu Amur Centralnego Szpitala Miasta Svobodny w http://svobzan.amur.ru.

11. INFORMACJE O REALIZACJI CENTRÓW ZATRUDNIENIA ŚRODKÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W ICH PRZETWARZANIU

11.1. Centrum Zatrudnienia w przetwarzaniu PD zapewnia przyjęcie niezbędnych prawnych, organizacyjnych i technicznych środków ochrony PD przed bezprawnym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, dostarczaniem, dystrybucją PD, jak również z innych nielegalnych działań dotyczących PDN.

11.2. W celu ochrony danych osobowych Centrum Zatrudnienia wdraża wymogi dotyczące ochrony danych osobowych podczas przetwarzania w systemach informacji o danych osobowych ustanowionych przez rząd Federacji Rosyjskiej.

11.3. Zapewnienie bezpieczeństwa PD jest osiągane przez Centrum Zatrudnienia, w szczególności:

· Identyfikacja zagrożeń dla bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPDN w Centrum Zatrudnienia;

· Wykorzystanie środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPDN Centrum Zatrudnienia, niezbędnych do spełnienia wymogów w zakresie ochrony danych osobowych, których spełnienie zapewnia poziom ochrony danych osobowych ustanowiony przez rząd Federacji Rosyjskiej;

· Wykorzystanie środków bezpieczeństwa informacji przekazanych w określony sposób;

· Ocena skuteczności środków podjętych przez Centrum Zatrudnienia w celu zapewnienia bezpieczeństwa danych osobowych przed uruchomieniem ISPDN Centrum Zatrudnienia;

· Uwzględniając PD przewoźnika maszynowego w Centrum Zatrudnienia;

· Wykrywanie faktów nieautoryzowanego dostępu do PDN i podejmowania działań;

· Przywrócenie PDN zmodyfikowane lub zniszczone w wyniku nieuprawnionego dostępu do nich;

· Ustanowienie zasad dostępu do PDN przetwarzanych w SPDN Centrum Zatrudnienia, a także zapewnienie rejestracji i rejestrowania wszystkich działań przeprowadzonych na PDN w ISPDN w Centrum Zatrudnienia;

· Kontrola środków podjętych w celu zapewnienia bezpieczeństwa danych osobowych i poziomu bezpieczeństwa ISPDN w Centrum Zatrudnienia.

11.4. Informacje o środkach podjętych przez Centrum Zatrudnienia w celu ochrony danych osobowych są informacjami ograniczonymi.

12. Zmiana polityki. Obowiązujące prawo

12.1. Centrum Zatrudnienia ma prawo do wprowadzania zmian w niniejszej Polityce.

12.2. Przy dokonywaniu zmian w nagłówku Polityki wskazana jest data ostatniej aktualizacji wersji.

12.3. Nowa wersja Polityki wchodzi w życie z chwilą jej zamieszczenia na stronie internetowej Departamentu Zatrudnienia Amurskaya Oblast, chyba że nowa wersja Polityki stanowi inaczej.

Sposoby przetwarzania danych osobowych

Pytanie-odpowiedź na ten temat

Pytanie

Co wiąże się z metodami przetwarzania danych osobowych i co wiąże się z działaniami związanymi z danymi osobowymi?

Odpowiedź

Zgodnie z klauzulą ​​9 Orderu Roskomnadzor z dnia 19 sierpnia 2011 roku nr 706, metody * obejmują:

- niezautomatyzowane przetwarzanie danych osobowych;

- wyłącznie zautomatyzowane przetwarzanie danych osobowych z lub bez przekazywania otrzymanych informacji przez sieć;

- mieszane przetwarzanie danych osobowych (uwaga N 4).

A do działań zgodnie z art. 3 ustawy federalnej z 27.07.2006 nr 152-FZ. Dane osobowe obejmują: *

- wyjaśnienie (aktualizacja, zmiana);

- dystrybucja (w tym transmisja);

- zniszczenie danych osobowych.

Uzasadnienie tego stanowiska podano poniżej w materiałach "System Lawyer".

• PRAWO FEDERALNE Z 27.07.200 LIPIEC 152-ФЗ "DANE OSOBOWE"

"Przetwarzanie danych osobowych to dowolne działanie (operacja) lub zestaw działań (operacje), * wykonywane przy użyciu narzędzi automatyzacji lub bez użycia takich środków z danymi osobowymi, w tym gromadzenie, rejestrowanie, systematyzacja, gromadzenie, przechowywanie, udoskonalanie (aktualizacja, zmiana), wydobywanie, wykorzystanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych "

• ZAMÓWIENIE ROSKOMNADZORA Z 19 sierpnia 2011 r. Nr 706

"Pole" lista działań z danymi osobowymi, ogólny opis metod stosowanych przez Operatora do przetwarzania danych osobowych "* wskazuje czynności wykonywane przez Operatora na danych osobowych, a także opis metod stosowanych przez Operatora do przetwarzania danych osobowych:

- niezautomatyzowane przetwarzanie danych osobowych;
- wyłącznie zautomatyzowane przetwarzanie danych osobowych z lub bez przekazywania otrzymanych informacji przez sieć;

- mieszane przetwarzanie danych osobowych (uwaga N 4) Uwaga N 4. Przy automatycznym przetwarzaniu danych osobowych lub przetwarzaniu mieszanym konieczne jest wskazanie, czy informacje uzyskane podczas przetwarzania danych osobowych są przekazywane w wewnętrznej sieci podmiotu prawnego (informacje są dostępne tylko dla dobrze zdefiniowanych pracowników podmiotu prawnego ) lub informacje są przekazywane za pośrednictwem publicznego Internetu lub bez przekazywania otrzymanych informacji. "

* Tak podświetlona część materiału, która pomoże ci podjąć właściwą decyzję.

Likbez na danych osobowych dla firm, które je przetwarzają

Warunki, niuanse i częste urojenia - w materiale od ekspertów służby bezpieczeństwa firmy "Onlanta" (wchodzącej w skład grupy firm LANIT).

Rozumiemy terminologię prawną i wszelkie niuanse, na które możesz być w sądzie.

Wyjaśnij terminy w ludzkim języku

Główną ustawą regulującą relacje związane z przetwarzaniem danych osobowych jest ustawa federalna z dnia 27 lipca 2006 r. Nr 152-ФЗ "O danych osobowych".

Pierwszy termin należy rozumieć jako dane osobowe.

Czym są dane osobowe

Są to informacje, które można wykorzystać do identyfikacji osoby: na przykład imię i nazwisko, datę urodzenia, wykształcenie, dochód, a nawet stan cywilny. Pytasz: "A co, moje nazwisko, wydrukowane na wizytówce, to także dane osobowe?"

Odpowiedź: "Tak." Zgodnie z prawem nie ma znaczenia, czy tylko nazwisko drukowane jest na wizytówce lub w połączeniu, na przykład z numerem telefonu i adresem. Zarówno pierwszy, jak i drugi, a trzeci - dane osobowe. To prawda, że ​​przechowywanie wizytówek lub numerów telefonów dziewcząt w książce telefonicznej nie będzie wymagało odpowiedzi na mocy prawa, ale więcej informacji poniżej.

Śmiało. Media nieustannie piszą "przechowywanie danych osobowych". Właściwie nie jest to magazynowanie, ale przetwarzanie danych osobowych. Jaka jest różnica? Przechowywanie to tylko część tak zwanego przetwarzania danych osobowych. Wszelkie działania wykonywane z danymi osobowymi (zbieranie, gromadzenie, przechowywanie, przesyłanie, zmienianie) są określane przez prawo jako "przetwarzanie danych osobowych".

Ważne jest, aby zrozumieć, że prawo rozróżnia dwa podmioty danych osobowych: operatora i podmiot przetwarzający. Operator przetwarza dane osobowe, a także określa cel ich przetwarzania, skład danych osobowych, które mają być przetwarzane, działania (operacje) wykonywane z danymi osobowymi.

Handler to ktoś, kto wykonuje dowolne działania z danymi osobowymi: zbieranie, przechowywanie, organizowanie, gromadzenie, aktualizowanie, aktualizowanie, usuwanie, depersonalizacja i tak dalej.

W rzeczywistości procesor to nie tylko użytkownik końcowy, który potrzebuje danych osobowych do pracy, ale także każdy pośredni użytkownik, przez którego ręce przechodzą te dane osobowe. Pokaż w praktyce.

Problem

Sklep internetowy ma bazę klientów, która znajduje się w "chmurze" firmy zewnętrznej. Agencja marketingowa współpracuje z tą bazą. Pytanie: Ile mamy operatorów danych osobowych?

Prawidłowa odpowiedź to jedna. Jest to sklep internetowy, który określa cele przetwarzania danych osobowych. Drugie pytanie brzmi: ile mamy procesorów danych osobowych? Prawidłowa odpowiedź to dwie.

1. Firma, która ma bazę danych sklepu internetowego w swojej chmurze.
2. Agencja marketingowa, która pobiera dane i na podstawie tych danych może przygotować ofertę promocyjną dla klientów.

Dane osobowe są przetwarzane w wielu różnych instytucjach: na przykład w bankach, szkołach, klinikach, centrach wizowych. Nie wspominając już o stronach internetowych, na których się rejestrujemy, pozostawiając nasze adresy e-mail i numery telefonów. Ale jak i gdzie dokładnie?

Nuance

W prawie istnieje taki niejasny termin, jak "system informacji o danych osobowych". Jeśli spróbujesz wyjaśnić w prosty sposób - jest to cały kompleks, składający się z serwerów baz danych, środków technicznych zapewniających ich przetwarzanie i technologii informacyjnej. Zgodnie z prawem każdy system informacji o danych osobowych musi być chroniony.

Metody ochrony informacji są różne.

• Fizyczne: na przykład w pomieszczeniu, w którym znajdują się komputery, można zainstalować kamery, kontrolę dostępu, można użyć systemów alarmowych.
• Techniczne - przy użyciu specjalistycznych środków ochrony informacji.
• Administracyjne: wszelkiego rodzaju przepisy i zasady regulujące przetwarzanie danych osobowych w firmie.

Przykład

Jednym ze sposobów ochrony informacji jest depersonalizacja danych osobowych. Co to jest? W ośrodku wizowym każda osoba ubiegająca się o wizę otrzymuje indywidualny numer identyfikacyjny. Sam numer nie odnosi się do danych osobowych, ponieważ depersonalizuje osobę: nie można zidentyfikować osoby, która wystąpiła o wizę.

Wydaje mi się, że przetwarzam dane osobowe.

Tak więc, po uporządkowaniu terminologii. Teraz wszyscy przedstawiciele biznesu, zwłaszcza indywidualni przedsiębiorcy, którzy mogą zatrudniać zaledwie kilku pracowników, powinni uczciwie odpowiedzieć na pytanie: "Czy przetwarzam dane osobowe?"

Tak, jeśli jesteś właścicielem strony z udziałem pięciu osób w tygodniu, ale ma ona formularz zwrotny z polami "imię i nazwisko, adres e-mail, numer telefonu". Informacje na temat celów, dla których zbierasz dane osobowe, jak ich używasz, powinny być prezentowane na twojej stronie internetowej.

Tak, jeśli przetwarzasz dane osobowe swoich pracowników lub zewnętrznych specjalistów zatrudnionych do wykonywania pracy.

Tak, jeśli pracujesz z klientami prywatnymi i potrzebujesz danych paszportowych do zawierania umów - dotyczy to biur podróży, centrów fitness, różnych firm usługowych, sklepów internetowych i innych.

I znowu, tak, jeśli jesteś organizacją budżetową, partią polityczną lub przedszkolem. Te ostatnie mają nie tylko informacje o dziecku, ale także o jego rodzicach, w tym miejscu pracy i stanowisku. Nie wspominając już o instytucjach medycznych - istnieje morze osobistych, wrażliwych informacji, które muszą być bezpiecznie przechowywane.

Jeśli jednak korzystasz z danych do komunikacji osobistej bez korzyści komercyjnych, wówczas wymagania prawne nie mają zastosowania do ciebie i nie ma mowy o odpowiedzialności karnej.

Na przykład korzystanie z kontaktów wydrukowanych na wizytówce otrzymanej od współpracownika lub numerów telefonów w notatniku na smartfonie, informacji na portalach społecznościowych nie nakłada na ciebie odpowiedzialności przed prawem.

Najważniejsze to nie ujawniać danych reklamodawcom i nie publikować ich bez zgody właścicieli danych osobowych w domenie publicznej.

Określić kategorię danych osobowych

Gratulacje, jesteś dumnym właścicielem tytułu "operator danych osobowych". Najważniejszą rzeczą jest teraz dokładne zrozumienie, które dane osobowe przetwarzasz. Ponieważ zależy to od kategorii danych osobowych, sposobu ochrony danych i wymagań, jakie należy spełnić. Kategorie zostały szczegółowo opisane w ustawie federalnej-152 i rezolucji rządu z 1 listopada 2012 r. N 1119.

Kategorie danych osobowych w prostych słowach:

Ogólnie dostępne dane osobowe: dane z otwartych zasobów, które są publikowane przez podmiot danych osobowych lub za jego zgodą. Publicznie dostępne dane to dane z mediów lub Internetu.

Przykład: informacje publikowane w otwartym dostępie w sieciach społecznościowych lub na stronie firm. Numer telefonu i status rodzinny opublikowane w publicznym dostępie do Facebooka. Nazwisko pracownika i jego stanowisko na stronie internetowej pracodawcy.

Dane biometryczne: ta kategoria obejmuje wszystkie dane dotyczące cech fizjologicznych i biologicznych ludzi.

Przykład: waga, wzrost, kolor oczu lub włosów, długość włosów, grupa krwi, zdjęcie.

Dane osobowe kategorii specjalnej: dotyczy to przynależności do jakiejkolwiek rasy i narodu, poglądów politycznych, przekonań religijnych i filozoficznych, stanu zdrowia lub życia intymnego.

Przykład: diagnoza medyczna (informacja o tym, z czym byłeś chory, kiedy, co lekarz cię leczył).

Dane osobowe innych typów - obejmuje to dane osobowe nieuwzględnione w powyższych kategoriach.

Przykład: informacje korporacyjne. Karty rachunkowe dla pracowników, które zawierają informacje, którymi zajmuje się HR i księgowość: wynagrodzenie, okresy urlopu, daty zatrudnienia.

Kategoria, liczba, rodzaj zagrożeń - poziom ochrony

Kiedy już zdecydujesz się na kategorię danych osobowych, musisz zrozumieć dokładną ilość przetwarzanych danych: do 100 tysięcy lub ponad 100 tysięcy.

Znajdź kategorię i ilość, określ rodzaj zagrożenia:

Zagrożenia numer 1. "Otwory" i luki w systemie operacyjnym. Przykład: luki w zabezpieczeniach wykorzystywane przez hakerów do infiltrowania systemu operacyjnego w celu kradzieży informacji.

Zagrożenia numer 2. "Otwory" i luki w oprogramowaniu aplikacyjnym, czyli w oprogramowaniu używanym w codziennej pracy. Przykład: Word, Excel.

Zagrożenia numer 3. Wszystkie inne zagrożenia niewymienione w dwóch pierwszych typach. Przede wszystkim czynnik ludzki. Pracownik może zostawić dokument otwarty na odblokowanym komputerze, wysłać dokument do wydrukowania na drukarce innej osoby lub e-mailem.

Ilość danych osobowych, kategoria, rodzaj zagrożeń - wszystko razem pozwala określić, jaki poziom ochrony jest wymagany w systemie informatycznym. Istnieją teraz cztery poziomy ochrony.

Pierwszy i najwyższy poziom ochrony jest najczęściej wykorzystywany do przetwarzania danych osobowych w agencjach rządowych i instytucjach medycznych. Czwarty poziom ochrony jest najłatwiejszy do zapewnienia, czasami wystarcza do przeprowadzenia działań organizacyjnych regulacyjnych, głównie dotyczy to ochrony publicznie dostępnych danych.

Możesz określić poziom ochrony za pomocą tej tabeli.

Przykład

Szpital przetwarza dane osobowe swoich pacjentów - są to dane osobowe kategorii specjalnej. Przetwarza również dane osobowe pracowników - są to dane osobowe innej kategorii. Najprawdopodobniej szpital ma dwie bazy danych. Jeśli dodasz obie bazy danych, otrzymasz całkowitą ilość danych osobowych, które obracają się w systemie informacyjnym tego szpitala.

Na przykład wszystkie z nich - do 100 tysięcy. Następnie przyglądamy się, jak przetwarzane są dane: zautomatyzowane (na komputerze) lub niezautomatyzowane (w ręcznej szafce na pliki). Jeśli wszystko jest zautomatyzowane, sprawdzamy, jakie oprogramowanie korzysta szpital, jakie są jego słabe punkty.

Na tej podstawie identyfikuje się zagrożenia i ich poziom. Sumujemy wszystkie czynniki i uzyskujemy klasę ochrony drugiego poziomu. Spoglądamy na to, jakie wymagania w przepisach są określone na drugim poziomie bezpieczeństwa. Na podstawie tych wymagań konieczne będzie zbudowanie ochrony systemu informatycznego w celu spełnienia wymogów ustawy federalnej.

Troszkę o niebezpieczeństwie wycieku danych osobowych

Po co w ogóle zawracać sobie głowę ochroną danych osobowych? Dane osobowe są drogim przedmiotem na czarnym rynku. Oszuści są skłonni zapłacić imponujące kwoty za profil zawierający pełne dane medyczne pacjenta. Oddzielny rynek - sprzedaż danych karty bankowej; konta w sieciach społecznościowych.

Konsekwencje wycieku danych osobowych są różne. Dane mogą być publicznie dostępne w Internecie: na przykład łatwo można znaleźć skradzione bazy danych z adresami i numerami telefonów klientów firm w sieci. Znając imię i nazwisko, każdy może znaleźć adres domowy osoby, uzyskać dostęp do sieci społecznościowej, zobaczyć profil lub po prostu napisać SMS na telefon komórkowy.

Dane osobowe mogą dostać się do bazy danych irytujących wysyłek niektórych komercyjnych organizacji, a następnie ich właściciel zostanie przytłoczony niezapowiedzianymi ofertami usług. Mogą być również wykorzystywane przez oszustów online w kasynach online lub do otwierania portfela elektronicznego.

W najgorszym przypadku osoba atakująca może podszyć się pod inną osobę i wziąć na siebie nazwisko innej osoby. Najpoważniejsze konsekwencje wycieku danych osobowych obejmują: nielegalne działania związane z nieruchomościami, kradzież pieniędzy z kart bankowych, szantaż wobec krewnych i rejestracja firmy.

Ciężar odpowiedzialności

Czy rozumiesz wagę tego pytania i jesteś gotów ponieść odpowiedzialność? Zgadza się. Ponieważ odpowiedzialność za bezpieczeństwo danych osobowych spoczywa wyłącznie na operatorze.

Oznacza to, że operator musi dopilnować, aby informacje nie dostały się do publicznego dostępu lub nie trafiły w ręce osób trzecich, które nie mają do niego żadnych praw. Wymaga to ciągłego monitorowania i zapobiegania zagrożeniom bezpieczeństwa danych, kontroli poziomu bezpieczeństwa informacji i jego przywracania w przypadku utraty.

W naszym kraju Roskomnadzor monitoruje zgodność z przepisami w zakresie przetwarzania danych osobowych. Organ ten reaguje na skargi, reguluje relacje między podmiotami i operatorami.

Wymagania techniczne dotyczące ochrony informacji należą do obowiązków FSTEC i FSB: opracowują wymagania i kontrolują ich wykonanie.

Wymagania dotyczące przetwarzania danych osobowych

A teraz nadszedł czas na przestudiowanie tabel z wymogami technicznej ochrony danych osobowych. Szczegóły można znaleźć w zleceniu Federalnej służby kontroli technicznej i eksportowej z 18 lutego 2013 r. N 21.

Ale przynajmniej zacznij od tego:

1. Zarejestruj się w Roskomnadzor jako operator danych osobowych. Wymagany do złożenia wniosku do Roskomnadzor w formie papierowej lub elektronicznej. Informacje na temat linku.
2. Uzyskaj pisemną zgodę od wszystkich podmiotów, których dane osobowe są przetwarzane. Zgoda na przetwarzanie danych osobowych jest głównym dokumentem prawnym potwierdzającym legalność przetwarzania danych osobowych.
3. Opracuj wewnętrzną dokumentację. Uruchomienie na zlecenie kierownika organizacji "Regulamin przetwarzania danych osobowych". W tym dokumencie operator wyjaśnia, w jaki sposób zamierza wykorzystywać dane osobowe, do czego i gdzie zostaną one przesłane. Jest to podstawowy dokument wymagany przez dowolnego operatora danych osobowych. Na tej podstawie opracowywane są wszystkie pozostałe dokumenty administracyjne.

Wielu właścicieli witryn uważa, że ​​jeśli użytkownik kliknie przycisk "Zgadzam się na przetwarzanie danych osobowych", nie będzie żadnych problemów prawnych, a przetwarzanie danych automatycznie znajdzie się w polu prawnym. Tak nie jest.

Z prawnego punktu widzenia istnieją tylko dwa sposoby potwierdzenia zgody na przetwarzanie danych osobowych: złożenie podpisu na papierze lub użycie elektronicznego podpisu cyfrowego.

We wszystkich innych przypadkach, jeśli sprawa trafi do sądu, właściciel strony nie będzie mógł potwierdzić, kto dokładnie nacisnął przycisk "Zgadzam się". Można mieć tylko nadzieję, że podmiot, który przyszedł do Twojej strony, dobrowolnie przekazuje swoje dane i nie składa zażalenia.

Czy naprawdę czek?

Tak, czek może pochodzić z Roskomnadzoru.

Roskomnadzor corocznie publikuje listę kontroli wybiórczo z listy zarejestrowanych operatorów, jeżeli firma znajduje się na liście czeków, wówczas następna zaplanowana kontrola jest możliwa nie wcześniej niż po upływie trzech lat. W tym roku możesz sprawdzić, czy Twoja firma jest na liście.

Kontrole poza planem są zwykle spowodowane skargami. Jeśli czek nie zostanie zaplanowany, należy go ostrzec w ciągu 24 godzin na piśmie.

Mogą również być kontrole dokumentów. Podczas dokumentowania prześlesz listę dokumentów, których kopie będą musiały zostać przesłane do Roskomnadzor.

Czasami Roskomnadzor dokonuje inspekcji na miejscu: inspektorzy osobiście dokonują wizytacji, aby sprawdzić firmę na miejscu.

Przygotowanie do każdej z tych kontroli jest czasochłonnym zadaniem. Czy samodzielnie wykonasz zadanie przygotowania się do inspekcji lub zaangażujesz zewnętrznych specjalistów, najpierw musisz ustalić, kto w firmie będzie odpowiedzialny za zgodność z FZ-152.

Grzywny, sądy i inne koszmary

Za naruszenie 152-FZ zapewnia się odpowiedzialność cywilną, karną, administracyjną i dyscyplinarną.

Tak więc, Roskomnadzor przeprowadził inspekcję, jeśli stwierdzi niespójności z prawem, wyda komisję śledczą, aby przeprowadzić proces w sprawie naruszenia prawa "O danych osobowych".

Następnie prokuratura rozpocznie inspekcję, podczas której może zawiesić działalność firmy: wycofanie bazy danych firmy, w szczególności komputerów, na których przetwarzane są dane osobowe.

Sprawcy naruszenia prawa przede wszystkim czekają na kary. Wysokość grzywien różni się w zależności od przestępstwa. Tak więc do przetwarzania danych osobowych bez pisemnej zgody podmiotów, podmioty prawne będą musiały ponieść odpowiedzialność administracyjną.

Nawet jeśli operator jest skłonny zapłacić grzywnę, ale według standardów wielkiego biznesu, nie wydaje się ogromny, sprawca będzie nadal musiał wyeliminować niespójność przed prawem (na przykład, usunąć przechowywane dane) i powiadomić Roskomnadzor.

Najgorszy scenariusz polega na tym, że Roskomnadzor postanawia cofnąć licencję firmy, zabronić firmom przetwarzania danych osobowych i bezprawnie publikować dane osobowe na temat obywateli.

W ciągu ostatnich kilku lat najgłośniejszy skandal w Rosji wiązał się z blokowaniem LinkedIn, którego właściciele zostali oskarżeni o przetwarzanie danych osobowych obywateli bez ich zgody na serwerach poza Federacją Rosyjską. Blokowanie usługi autonum.info również było "odgłosami".

Ile to będzie kosztowało mnie pieniądze i siłę

Można organizować przetwarzanie danych osobowych niezależnie lub przy pomocy firmy świadczącej taką usługę.

Jeśli zdecydujesz się przetwarzać dane osobowe samodzielnie, będziesz potrzebować:

1. Dowiedz się, jaką kategorię danych osobowych przetwarzasz i jakie są techniczne wymagania dotyczące ich ochrony.
2. Samodzielnie lub z pomocą firmy IT opracowują rozwiązania techniczne, przygotowują zakupy niezbędnego sprzętu i oprogramowania, instalują je i wdrażają.
3. Wydaj wszystkie dokumenty prawne. Opracuj zestaw wewnętrznych dokumentów: instrukcje i przepisy.

W najlepszym razie zajmie to od trzech do czterech miesięcy, kosztem takiej realizacji, może to być 200-300 tysięcy rubli - to jest koszt zakupu sprzętu i licencji. Koszty pracy i dalsze wsparcie systemu informacyjnego stanowią odrębną pozycję wydatków. Będziesz także potrzebować administratora, który będzie monitorował działanie systemu.

Mówiąc obiektywnie, bardzo małe firmy po prostu nie spełniają wszystkich wymogów prawa w nadziei, że nie będzie weryfikacji. Być może tak naprawdę nie będzie. Inne firmy tworzą "wsie potiomkinowskie" tylko pod pretekstem przetwarzania danych osobowych zgodnie z wymogami prawa, innymi słowy, "kupują" niezbędne dokumenty.

W następnym artykule pokażemy, jak obliczyć koszt przetwarzania danych osobowych w firmie i powiemy, kiedy bardziej opłaca się przetwarzanie danych osobowych i kiedy lepiej jest zdeponować je w chmurze.

Materiał jest publikowany przez użytkownika. Kliknij przycisk "Napisz", aby podzielić się swoją opinią lub porozmawiać o swoim projekcie.

Ustawa o danych osobowych: konsekwencje dla pracy biurowej

• Khramtsovskaya Natalia | Kandydat nauk historycznych, wiodący ekspert ds. Zarządzania dokumentami firmy EOS, ISO Expert, członek Międzynarodowej Rady Archiwów

Poszukuję przyczyny źródłowej

Ustawa federalna Federacji Rosyjskiej nr 152-ФЗ "O danych osobowych" została przyjęta 27 lipca 2006 r., A na tle innych wybitnych wydarzeń minionego roku niemal niezauważona. Formalną przyczyną jej przyjęcia były liczne fakty kradzieży osobistych baz danych w państwowych i komercyjnych strukturach oraz ich powszechna sprzedaż. W rzeczywistości głównym celem przyjęcia tej ustawy była potrzeba usunięcia pewnych barier w handlu z krajami Unii Europejskiej.

Francja zakazała publikowania faktów dotyczących prywatności i nałożyła grzywny dla osób naruszających prawo w 1858 r.

Norweski Kodeks karny zakazał publikowania informacji dotyczących "spraw osobistych lub prywatnych" w 1889 roku.

prawo krajowe „o danych osobowych” z dnia 27.07.2006 № 152-FZ rozpoczął swoje działanie w dniu 26 stycznia tego roku (zgodnie z częścią 1 artykułu 25 ustawy wchodzi w życie po upływie 180 dni od dnia oficjalnego wydania, które odbyło się w dniu 29.07.2006 w "Rossijskiej Gazecie").

Zgodnie z dyrektywą UE 95/46 / WE dane osobowe mogą być przekazywane wyłącznie do krajów zapewniających taki sam poziom ochrony jak w Europie. Znacząco utrudniło to wymianę informacji z europejskich agencji rządowych i firm z ich zagranicznymi partnerami, co uniemożliwiło wiele obiecujących projektów. Takie ograniczenia wystąpiły nie tylko w Rosji i krajach trzeciego świata, ale także w potędze gospodarczej, takiej jak Stany Zjednoczone. Nasz rząd zdecydował się przezwyciężyć tę barierę. Zobaczmy, jak to zrobił i ile nas to będzie kosztowało.

Przyjęcie rosyjskiej ustawy o danych osobowych było wynikiem przystąpienia Federacji Rosyjskiej do Europejskiej Konwencji 1981 „w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych”, która określa podstawowe zasady ochrony danych osobowych w krajach europejskich. Niniejsza Konwencja i kolejne dyrektywy Unii Europejskiej nakreśliły zadania, które ustawodawstwo krajowe powinno uwzględnić przy regulowaniu danych osobowych:

• ochrona danych osobowych przed nieuprawnionym dostępem do nich przez inne osoby, w tym przedstawicieli organów rządowych i służb, które nie mają niezbędnych uprawnień;
• zapewnienie bezpieczeństwa, integralności i wiarygodności danych w procesie pracy z nimi, w tym transmisji za pośrednictwem kanałów komunikacji;
• zapewnienie właściwego porządku prawnego tych danych podczas pracy z nimi w odniesieniu do różnych kategorii danych osobowych;
• zapewnienie kontroli nad wykorzystaniem danych osobowych przez obywatela;
• stworzenie specjalnej niezależnej struktury zapewniającej skuteczną kontrolę nad przestrzeganiem praw obywatela do ochrony jego danych osobowych (na przykład utworzenie stanowiska Komisarza ds. Ochrony Danych Osobowych).

Nasze prawo w dużej mierze powtarza główne przepisy prawodawstwa europejskiego w tej dziedzinie, które jest uważane za jedno z najtrudniejszych 2 na świecie. Chociaż w 2006 r. Prawo było wypowiadane dość często, ale niewiele osób uważnie zapoznało się z treścią jego postanowień. Jednak w celu zapewnienia zgodności z jej wymaganiami konieczna jest znaczna zmiana pracy z informacjami i dokumentacją zawierającą dane osobowe. Spróbujmy dowiedzieć się, co nowego w dziedzinie zarządzania dokumentami i informacjami w organizacji?

• We wszystkich organizacjach istnieje nowa, dość obszerna warstwa dokumentacji. Są to dokumenty związane z uzyskaniem zgody osób fizycznych na przetwarzanie ich danych osobowych, z rejestracją baz danych u upoważnionego organu, z dokumentacją wszystkich transakcji z danymi osobowymi itp.
• Konieczne jest podkreślenie dokumentów i informacji zawierających dane osobowe; ich specjalne etykietowanie zarówno na nośnikach papierowych, jak i elektronicznych; oddzielne śledzenie księgowości i dostępu. Możesz mówić o pojawieniu się innego rodzaju dostępu do dokumentów na szyi.
• Zasadniczo zmieniające się podejście do ustanowienia przechowywania dokumentów i informacji. Po raz pierwszy w praktyce krajowej ustalany jest maksymalny okres przechowywania oraz okres warunkowy, który będzie raczej trudny do zaobserwowania i śledzenia.
• Podczas pracy z danymi osobowymi konieczne jest wyraźne przemyślenie z wyprzedzeniem i zapisanie ich w dokumentach regulacyjnych, które są związane z ich przetwarzaniem. W przeciwnym razie organizacja może zostać pociągnięta do odpowiedzialności, a jeszcze bardziej nieprzyjemnie mogą wystąpić liczne postępowania sądowe ze strony samych osób, których dane dotyczą3.
• Ustawa wprowadza bardzo ścisłe terminy realizacji wszystkich skarg obywateli związanych z przetwarzaniem danych osobowych.

Przyjrzyjmy się teraz bardziej szczegółowym najważniejszym przepisom prawa i określmy, jakie organizacje i instytucje będą musiały podjąć się jego wdrożenia. Ponadto postaramy się przeanalizować niektóre przepisy prawa pod względem poprawności i jasności ich sformułowania.

Zakres prawa

Pierwsze pytanie: do kogo ma zastosowanie to prawo? Odpowiadając na to, możemy śmiało powiedzieć, że odnosi się do wszystkich bez wyjątku (do instytucji państwowych, osób prawnych i osób fizycznych). Oto lista artykułów 1:

• organy rządu federalnego
• władze państwowe podmiotów wchodzących w skład Federacji Rosyjskiej,
• inne organy państwowe
• samorządy lokalne,
• organy gminne, które nie są częścią systemu jednostek samorządu terytorialnego,
• podmioty prawne
• osoby prywatne.

Drugą ważną kwestią jest zakres prawa.

Artykuł 1 Federalnej ustawy Federacji Rosyjskiej "O danych osobowych" nr 152-FZ z dnia 27 lipca 2006 r

To prawo federalne reguluje stosunki związane z przetwarzaniem danych osobowych... Korzystanie z narzędzi do automatyzacji lub bez zastosowania takich środków, jeżeli przetwarzanie danych osobowych bez użycia narzędzi odpowiednich do rodzaju działań (operacji) wykonano z danych osobowych przy użyciu zautomatyzowanych narzędzi.

Sformułowanie tego artykułu jest przykładem tego, jak nie pisać praw. Okazało się czymś niezrozumiałym, pozwalającym na różnorodne interpretacje. Jak, na podstawie takiego tekstu, odpowiedzieć na przykład na pytanie, czy dane objęte wolną formą w notatniku biznesowym wchodzą w zakres prawa? Jeśli taki notatnik jest przechowywany w komputerze lub telefonie komórkowym, czy uważa się go za "korzystanie z urządzeń automatyki"?

Przepisy europejskie w tym zakresie są jaśniejsze:

Dyrektywa UE 95/46 / WE 1995

Artykuł 2 "Definicje":

c) "system przechowywania danych osobowych" 4 ("system przechowywania") to dowolny uporządkowany zestaw danych osobowych, do których można uzyskać dostęp zgodnie z określonymi kryteriami - niezależnie od tego, jak zorganizowany jest zbiór danych, czy jest scentralizowany, zdecentralizowany czy rozproszony na podstawie funkcjonalnej lub geograficznej...

Artykuł 3 "Zakres":

1. Niniejsza dyrektywa dotyczy przetwarzania danych osobowych przy użyciu środków automatycznych (w całości lub w części), a także do przetwarzania za pomocą środków innych niż automatyczne, danych osobowych, komponentów lub przeznaczonych do wchodzenia w skład systemów przechowywania.

We współczesnej terminologii komputerowej "dane strukturalne" oznaczają przede wszystkim bazy danych. W dokumentacji obejmują pliki kart i archiwa plików osobistych. Dlatego wymagania europejskie obejmują:

• do automatycznego przetwarzania danych osobowych i
• do użytku (w trybie automatycznym lub innym), zawierającym dane osobowe papierowych i elektronicznych baz danych, plików kart itp., które mają mechanizm wyszukiwania, który ułatwia wyodrębnianie informacji o konkretnej osobie.

Dlaczego nie można pisać po rosyjsku, a nasze prawo pozostaje niezrozumiałe?

Należy zwrócić uwagę na różnicę w terminologii: "automatyczne przetwarzanie" to jedno, a przetwarzanie "za pomocą urządzeń automatyki" to zupełnie inna koncepcja, znacznie szersza i bardziej niejasna.

Prawo przewiduje tylko cztery wyjątki, a mianowicie, prawo nie ma zastosowania do relacji powstających:

• przy przetwarzaniu danych osobowych na potrzeby osobiste i rodzinne;
• przy przetwarzaniu danych osobowych w dokumentach Funduszu Archiwalnego Federacji Rosyjskiej;
• przy przetwarzaniu danych osobowych w celu włączenia ich do Jednolitego Państwowego Rejestru Przedsiębiorców Indywidualnych (EGRIP);
• podczas przetwarzania danych osobowych zaklasyfikowanych jako tajemnice państwowe.

Jeden z tych punktów wymaga bardziej szczegółowych badań. Na początek przytaczamy prawo:

Artykuł 1 Federalnej ustawy Federacji Rosyjskiej "O danych osobowych" nr 152-FZ z dnia 27 lipca 2006 r

2. Niniejsza ustawa federalna nie ma zastosowania do stosunków wynikających z:

2) organizacji przechowywania, pozyskiwania, księgowania i wykorzystania, zawierającego dane osobowe dokumentów Funduszu Archiwalnego Federacji Rosyjskiej i innych dokumentów archiwalnych zgodnie z przepisami o archiwach w Federacji Rosyjskiej.

Przypominamy o dwóch definicjach zawartych w ustawie "O archiwach w Federacji Rosyjskiej" nr 125-ФЗ z dnia 10.22.2005:

• dokument archiwalny - materialne medium z zapisanymi na nim informacjami, które zawierają dane szczegółowe, umożliwiające ich identyfikację i są przechowywane ze względu na znaczenie wskazanego przewoźnika i informacje dla obywateli, społeczeństwa i państwa;
• dokument Funduszu Archiwum Federacji Rosyjskiej - dokument archiwalny, który zdał egzamin wartości dokumentów, jest księgowany przez państwo i podlega stałemu przechowywaniu.
  Okazuje się, że jeśli ustalono stały okres przechowywania dokumentu lub bazy danych i są one zawarte w Funduszu Archiwalnym Federacji Rosyjskiej, to prawo to nie ma do nich zastosowania. Ta usterka pozwala agencjom rządowym posiadającym dowolną poważną bazę danych uniknąć wprowadzenia w życie nowej ustawy o danych osobowych.

Oto przykład tego, jak można to zrobić. Zgodnie z ustawą federalną "o archiwach w Federacji Rosyjskiej" (część 2 artykułu 18), rząd Federacji Rosyjskiej zatwierdza listę federalnych organów wykonawczych i organizacji przechowujących dokumenty depozytowe dokumentów Funduszu Archiwalnego Federacji Rosyjskiej, które są własnością federalną. Nowa lista 5 tych działów i organizacji została zatwierdzona pod koniec 2006 r. W tym samym czasie organizacje te zostały zobowiązane do zawarcia porozumienia w sprawie warunków przechowywania dokumentów z Rosarkhiv. Jeżeli przy zawieraniu umowy wyraźnie określono, że wszystkie dokumenty, z wyjątkiem operacyjnych, są uważane za dokumenty przekazane na przechowanie, wówczas większość dokumentów może zostać objęta tym wyjątkiem.

W przypadku innych organizacji państwowych jedną z opcji mogłoby być szybkie zatwierdzenie zapisów sprawy w archiwach państwowych, co w rzeczywistości oznaczałoby włączenie dokumentów do Funduszu Archiwalnego Federacji Rosyjskiej i ponowne opuszczenie "strefy działania" ustawy o danych osobowych.

Dyrektywy Unii Europejskiej nie zawierają takiego wyjątku, jednak istnieje on na przykład w amerykańskim kodeksie 6, który zawiera bardziej poprawne sformułowanie, które nie pozwala na niejednoznaczność: przepisy dotyczące danych osobowych zasadniczo nie mają zastosowania do dokumentów już zdeponowanych w archiwach państwowych, ale dotyczy dokumentów przekazywanych do archiwów państwowych przez dowolną agencję do sprawowania pieczy.

Nie jest również jasne, dlaczego z naszych licznych państwowych baz danych wynika, że ​​nasze prawo stanowi wyjątek dla Jednolitego Państwowego Rejestru Przedsiębiorców Indywidualnych (EGRIP). Logiczne byłoby zatem rozszerzenie tego wyjątku na inne rejestry państwowe, które również zawierają dane osobowe (na przykład, Incorporation zawiera informacje o założycielach i pierwszych osobach wszystkich podmiotów prawnych w kraju).

Dane osobowe i metody przetwarzania

Dane osobowe - wszelkie informacje dotyczące osoby fizycznej (przedmiot danych osobowych) określone lub określone na podstawie takich informacji, w tym nazwisko, imię, nazwisko, rok, miesiąc, data i miejsce urodzenia, adres, rodzina, status społeczny, stan majątkowy, wykształcenie, zawód, dochód, inne informacje (zgodnie z art. 3 ustawy o danych osobowych).

Prawo przewiduje następujące sposoby przetwarzania danych osobowych (w przypadku wielu z nich w art. 3 podano szczegółowe wyjaśnienia):

• kolekcja;
• systematyzacja;
• akumulacja;
• przechowywanie;
• wyjaśnienie (aktualizacja, zmiana);
• wykorzystanie - "czynności (operacje) z danymi osobowymi wykonanymi przez operatora 7 w celu podejmowania decyzji lub wykonywania innych czynności powodujących skutki prawne w odniesieniu do przedmiotu danych osobowych lub innych osób lub w inny sposób naruszający prawa i wolności podmiotów danych osobowych lub innych osób";
• dystrybucja (w tym transfer) - "działania mające na celu przekazanie danych osobowych do określonego kręgu osób (przekazanie danych osobowych) lub poznanie danych osobowych nieograniczonej liczby osób, w tym publiczne ujawnienie danych osobowych w mediach, umieszczenie w informacji i telekomunikacji sieci lub udostępnianie danych osobowych w jakikolwiek inny sposób ";
• Depersonalizacja - "działania, w wyniku których niemożliwe jest ustalenie tożsamości danych osobowych do określonego podmiotu danych osobowych";
• blokowanie - "czasowe zawieszenie zbierania, systematyzacji, gromadzenia, wykorzystywania, rozpowszechniania danych osobowych, w tym ich transferu";
• niszczenie danych osobowych - "działania, które nie mogą przywrócić treści danych osobowych w systemie informacyjnym danych osobowych lub powodują zniszczenie materialnych nośników danych osobowych".

Szczególną uwagę należy zwrócić na takie metody przetwarzania, jak blokowanie i niszczenie danych osobowych. Prawo mówi całkiem dobrze o zniszczeniu - takie podejście jest teraz zalecane przez normy krajowe i zagraniczne. Jeśli chodzi o blokowanie danych osobowych, ta metoda przetwarzania w krajowej praktyce została wprowadzona po raz pierwszy, a jej wykonanie może znacznie skomplikować życie organizacji wykorzystujących wcześniej opracowane systemy informacyjne i bazy danych, w których taka operacja nie jest świadczona.

Zasady i warunki przetwarzania danych osobowych

Przepisy prawa mają przede wszystkim na celu zapobieganie nielegalnemu gromadzeniu i wykorzystywaniu danych osobowych. To pragnienie ustawodawcy doprowadziło do pojawienia się nowego stanowiska w zakresie praktyki rejestrowania:

Klauzula 2 art. 5 ustawy federalnej Federacji Rosyjskiej "O danych osobowych" z 27 lipca. 2006 nr 152-FZ

Dane osobowe powinny być przechowywane w formie, która pozwala określić przedmiot, nie dłużej niż wymagają tego cele przetwarzania, i powinny zostać zniszczone po osiągnięciu celów przetwarzania danych osobowych lub utraty potrzeby ich osiągnięcia.

W tym przypadku ustawa po raz pierwszy może ustanawiać informacje i dokumentować maksymalny, a także warunkowy okres przechowywania - "po osiągnięciu celów przetwarzania". Organizacje będą musiały ustalić okresy przechowywania dokumentów zawierających dane osobowe i konieczne będzie wcześniejsze przemyślenie racjonalnego uzasadnienia dla wybranych okresów przechowywania. Jest to dość skomplikowane pytanie, które może wywołać wiele kontrowersji i problemów.

Ponadto specjaliści DOE muszą zwrócić uwagę na następujące kwestie: ponieważ cele gromadzenia i przetwarzania danych osobowych, zgodnie z wymogami prawa, muszą zostać określone przed rozpoczęciem pracy, należy dokładnie rozważyć ich brzmienie. W przeciwnym razie sama organizacja może "zastąpić" samą siebie: cele zostaną spełnione, a dane osobowe nie zostaną zniszczone.

Jednym z najbardziej nieprzyjemnych dla organizacji zbierających i przetwarzających dane osobowe jest wymóg art. 6 dotyczący konieczności uzyskania zgody podmiotu na ich przetwarzanie. Żadna zgoda nie jest wymagana tylko w następujących przypadkach:

• na podstawie ustawodawstwa federalnego;
• w celu wypełnienia umowy z przedmiotem danych osobowych;
• do celów statystycznych lub naukowych;
• w celu ochrony życia i zdrowia przedmiotu danych osobowych;
• do dostarczania przesyłek pocztowych przez organizacje pocztowe;
• w trakcie działalności zawodowej dziennikarza, uczonego itp.;
• dane publikowane zgodnie z przepisami federalnymi;
• w celu ochrony podstaw porządku konstytucyjnego, moralności, zdrowia, praw i uzasadnionych interesów innych, w celu zapewnienia obrony kraju i bezpieczeństwa państwa.

Mamy już szereg ustaw federalnych, które opisują przetwarzanie danych osobowych, na przykład przy utrzymywaniu jednolitych rejestrów państwowych podatników (EGRN) i podmiotów prawnych (USR). Jedynym warunkiem skorzystania z wyjątku od wymogu zgody ogólnej jest przedstawienie w odpowiednim ustawodawstwie następujących pytań:

• cele
• warunki uzyskania danych osobowych
• krąg podmiotów, których dane osobowe podlegają przetwarzaniu,
• uprawnienia operatora zbierającego dane.

Nie jest jeszcze jasne, co stanie się z tymi przepisami, które zawierają normy związane z gromadzeniem i przetwarzaniem danych osobowych, ale nie spełniają określonego warunku.

Pierwszy z problemów związanych ze zgodnością z nowym prawem zwrócił uwagę firm ubezpieczeniowych. Ich zdaniem ustawa o danych osobowych może poważnie utrudnić wdrożenie ustawy o obowiązkowym ubezpieczeniu OC komunikacyjnego (MTPL) z powodu zakazu przekazywania osobom trzecim danych osobowych klienta uzyskanych przy zawieraniu umowy ubezpieczenia OC bez jego zgody. W rezultacie, firma ubezpieczeniowa nie będzie w stanie uzyskać pełnych informacji o swoich klientach z jednej bazy danych (a utrzymywanie takiej bazy danych jest również wątpliwe), w tej sytuacji zwiększa się ryzyko ubezpieczycieli.

Już teraz firmy ubezpieczeniowe próbują rozwiązać ten ważny problem, biorąc pod uwagę następujące opcje:

• Nowelizacja ustawy o OSAGO i obowiązek ubezpieczycieli w zakresie wymiany danych dotyczących zdarzeń ubezpieczeniowych.
• Definicja części danych osobowych jako publicznych. Informacje, które dana osoba wskazuje przy zawieraniu umowy OSAGO, są, według ubezpieczycieli, publiczne. Jednak ustawa "O danych osobowych" wymaga uzyskania zgody na zbieranie danych publicznych.
• Komitet Ogólnorosyjskiego Związku Ubezpieczycieli (ARIA) mający na celu zwalczanie oszustw ubezpieczeniowych przygotował już dwa projekty ustaw, które mają zostać przekazane Dumie Państwowej na początku 2007 r. Według szefa komitetu, Jewgienija Potapowa, jeden z tych ustaw zmieni ustawę "O organizacji działalności ubezpieczeniowej w Federacji Rosyjskiej". Umożliwi to ubezpieczycielom tworzenie zautomatyzowanych systemów informacyjnych opartych na ich stowarzyszeniach i stowarzyszeniach, które będą zawierać dane na temat roszczeń ubezpieczeniowych i płatności 8.

Ustęp 6 artykułu 6 w sprawie przyznania prawa do przetwarzania danych osobowych dziennikarzom, naukowcom i przedstawicielom innych twórczych zawodów bez zgody podmiotu jest wątpliwy. Realistyczne (zwłaszcza w strukturach komercyjnych) jest wprowadzenie pełnoetatowej pozycji "przedstawiciela zawodu twórczego" i "napisanie do niej" wszystkich baz danych zawierających dane osobowe.

Na przykład w Anglii, w podobnym przepisie prawa, dodatkowo przewiduje się, że w tym przypadku celem przetwarzania danych powinna być publikacja odpowiedniego materiału; że taka publikacja musi leżeć w interesie publicznym (w tym w korzystaniu z prawa do autoekspresji przedstawiciela twórczego zawodu) 9.

Ponadto interesujące jest, w jaki sposób określimy, kto jest dziennikarzem lub pisarzem, a kto nie. Nie jest tajemnicą, że wielu pisarzy nie posiada odpowiednich dyplomów lub oficjalnych dokumentów tożsamości. Tutaj podejście stosowane w USA może być dla nas użyteczne: dziennikarze uznają wszystkich, którzy piszą artykuły do ​​publicznej dystrybucji, nawet jeśli są publikowane tylko w Internecie.

W Stanach Zjednoczonych w styczniu 2007 r. Rozpoczęto proces byłej starszej administracji George'a Lee Lewisa "Scooter" Libby. Sto osób zostało zarezerwowanych dla prasy na sali sądowej, a dwa z nich zostały oficjalnie przyjęte przez autorów internetowych dzienników.

Amerykańskie Stowarzyszenie redaktorów gazet, opracowując federalną ustawę o przyznawaniu dziennikarzom prawa do nieujawniania poufnych informacji podczas postępowania sądowego, sugeruje, że prawo to dotyczy wszystkich bez wyjątku i obejmuje tych, którzy gromadzą informacje do dalszej dystrybucji. A autorzy internetowych pamiętników "blogerzy" również podlegają tej definicji 10.

Zobaczmy teraz, w jaki sposób nowe prawo wiąże się z uzyskaniem zgody podmiotu na przetwarzanie jego danych osobowych.

Klauzula 1 art. 9 ustawy federalnej Federacji Rosyjskiej "O danych osobowych" z 27 lipca. 2006 nr 152-FZ

Przedmiot danych osobowych decyduje o udostępnieniu jego danych osobowych i wyraża zgodę na ich przetwarzanie z własnej woli i we własnym interesie. (...) Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez przedmiot danych osobowych.

Ponadto art. 9 ust. 3 zawiera raczej nieprzyjemny warunek dla operatorów. Będą musieli zgromadzić dowody, że zebrane przez nich dane pochodzą z publicznie dostępnych źródeł lub uzyskać zgodę na dane osobowe, a następnie przechowywać ten dokument na wypadek, gdyby "podmiot" postanowił pozwać operatora za naruszenie jego praw.

Z publicznie dostępnych danych również nie jest tak proste. W art. 8, określającym, co rozumie się przez publicznie dostępne źródła danych osobowych (podręczniki, książki adresowe itp.), Podkreśla się, że dane osobowe mogą być tam zawarte tylko za pisemną zgodą podmiotu. Ponadto "informacje o przedmiocie danych osobowych mogą być w dowolnym momencie wyłączone z publicznie dostępnych źródeł danych osobowych na żądanie podmiotu danych osobowych lub sądu lub innych uprawnionych organów rządowych."

Z drugiej strony, jeśli organizacja wykorzysta publicznie dostępne źródła danych osobowych podczas gromadzenia informacji, wówczas będzie musiała udokumentować, skąd otrzymała te informacje i upewnić się, że "źródło" posiada pisemną zgodę wymaganą przez prawo.

Federalne prawo Federacji Rosyjskiej "O danych osobowych" z 27 lipca. 2006 nr 152-FZ

Klauzula 12 artykułu 3. Podstawowe warunki stosowane w niniejszej ustawie federalnej

Ogólnie dostępne dane osobowe to dane osobowe, do których nieograniczona liczba osób ma dostęp za zgodą podmiotu danych osobowych lub do których nie ma zastosowania obowiązek zachowania poufności zgodnie z przepisami federalnymi.

Klauzula 1 artykułu 8. Ogólnie dostępne źródła danych osobowych

Aby zapewnić wsparcie informacyjne, można stworzyć publicznie dostępne źródła danych osobowych (w tym podręczniki, książki adresowe). Publicznie dostępne źródła danych osobowych za pisemną zgodą podmiotu danych osobowych mogą obejmować jego nazwisko, imię, drugie imię, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe dostarczone przez podmiot danych osobowych.

Klauzula 3 artykułu 9. Zgoda na przedmiot danych osobowych w związku z przetwarzaniem ich danych osobowych

Obowiązek przedstawienia dowodu zgody na przedmiot danych osobowych na przetwarzanie jego danych osobowych oraz w przypadku przetwarzania publicznie dostępnych danych osobowych, operator jest zobowiązany do udowodnienia, że ​​przetwarzane dane osobowe są publicznie dostępne.

Okazuje się, że aby się chronić, organizacje będą musiały prosić o oficjalne potwierdzenie każdego obywatela.

W jaki sposób należy złożyć pisemną zgodę podmiotu? Okazuje się, że podpis obywatela pod ogólnym hasłem "Zgadzam się na zbieranie i przetwarzanie moich danych osobowych" nie wystarczy.

Klauzula 4 art. 9 ustawy federalnej Federacji Rosyjskiej "O danych osobowych" z 27 lipca. 2006 nr 152-FZ

... pisemna zgoda podmiotu danych osobowych na przetwarzanie ich danych osobowych powinna zawierać:

1. nazwisko, imię i nazwisko, imię i nazwisko, adres podmiotu danych osobowych, numer dokumentu głównego potwierdzającego jego tożsamość, informację o dacie wydania danego dokumentu i organu wydającego;
2. nazwisko (nazwisko, imię i nazwisko) oraz adres podmiotu gospodarczego, który uzyskał zgodę podmiotu danych osobowych;
3. cel przetwarzania danych osobowych;
4. wykaz danych osobowych, dla których przetwarzania udzielana jest zgoda podmiotu danych osobowych;
5. wykaz działań z danymi osobowymi, dla których udzielono zgody, ogólny opis metod stosowanych przez operatora do przetwarzania danych osobowych;
6. okres, w którym zgoda jest ważna, a także procedura jej wycofania.

Oznacza to, że przed "złapaniem" przedmiotu danych osobowych i próbą uzyskania jego zgody operator musi opracować specjalną formę dokumentu, który zawierałby wszystkie niezbędne informacje.

Prawa podmiotu danych osobowych

Przede wszystkim przedmiot danych osobowych jest uprawniony do otrzymania następujących informacji:

• informacje o operatorze,
• informacje o lokalizacji operatora,
• informacje o danych osobowych operatora odnoszące się do danego przedmiotu danych osobowych,
• podmiot ma również prawo do zapoznania się z jego danymi osobowymi przechowywanymi przez operatora.

Od operatora przedmiot danych osobowych może wymagać:

• wyjaśnij swoje dane osobowe
• ich blokowanie lub niszczenie w przypadku, gdy dane osobowe są niekompletne, nieaktualne, niedokładne, nielegalnie uzyskane lub niepotrzebne dla określonego celu przetwarzania.

Wiele trudności dla organizacji operatorów stworzy klauzulę 2 art. 14 ustawy, który wymaga, aby podmiot udostępnił podmiotowi dane dotyczące dostępności danych osobowych w przystępnej formie oraz nie zawierał informacji dotyczących innych podmiotów danych osobowych.

Sprawa "Durant vs. Financial Services Authority" 11, rozpatrzona przez Sąd Apelacyjny w Anglii w grudniu 2003 r., Spotkała się z szerokim odzewem. Decyzja sądu znacznie zawęziła interpretację pojęcia "danych osobowych". W szczególności sąd wskazał, że sama wzmianka o tej osobie w tekście dokumentu nie wystarcza do rozpatrzenia dokumentu zawierającego dane osobowe. Ponadto sąd potwierdził, że prawo dostępu do swoich danych osobowych nie powinno naruszać praw osób trzecich i że w związku z tym dane osobowe stron trzecich powinny zostać usunięte z kopii dokumentów dostarczonych na żądanie (z wyjątkiem szczególnych okoliczności).

W listopadzie 2004 r. Rząd odmówił pracownikom w Wielkiej Brytanii prawa dostępu do swoich danych osobowych, niezależnie od tego, czy ich pracodawca przechowuje je w formie papierowej lub elektronicznej, jeśli są one przechowywane w systemie, który nie określa w jasny sposób informacji dotyczących każdej osoby. W związku z tym systemy przechowywania plików papierowych (z wyjątkiem akt osobowych) zostały de facto usunięte z działania prawa dotyczącego udostępniania danych osobowych, ponieważ trudno jest wyodrębnić informacje o konkretnej osobie.

Aby uzyskać dostęp do swoich danych osobowych, nasi rodacy muszą:

• zastosuj osobiście lub
• wyślij zapytanie, które powinno zawierać:
  • numer głównego dokumentu potwierdzającego tożsamość podmiotu danych osobowych lub jego przedstawiciela prawnego,
  • informacje o dacie wydania określonego dokumentu i organu wydającego oraz
  • odręczny podpis podmiotu danych osobowych lub jego przedstawiciela prawnego.

Żądanie to może zostać przesłane w formie elektronicznej i podpisane podpisem cyfrowym. W ten sposób prawo formalnie zapewnia możliwość ubiegania się o ich dane osobowe za pośrednictwem elektronicznych kanałów komunikacji. Nie mamy jeszcze osób, które mają własne EDS zgodne z prawem o EDS (w przeważającej większości przypadków, EDS jest używany w naszym kraju zgodnie z artykułem 160 Kodeksu cywilnego, który przewiduje wstępne porozumienie stron).

Ilość informacji, o które może poprosić podmiot danych osobowych, świadczy o trosce naszych obywateli. Organizacjom prowadzącym bazę danych zawierającą dane osobowe zaleca się zwrócenie szczególnej uwagi na art. 14 ust. 4 nowej ustawy w celu przemyślenia i skonsolidowania procedury udzielania informacji w przepisach wewnętrznych:

1. fakt przetwarzania danych osobowych przez operatora, a także cele takiego przetwarzania;
2. o metodach przetwarzania danych osobowych wykorzystywanych przez operatora;
3. o osobach, które mają dostęp do danych osobowych lub którym można przyznać taki dostęp (aby móc informować o tym, kto i jakie dane osobowe zostały przekazane, konieczne jest zorganizowanie pracy nad rejestracją danych osobowych i kontrola dostępu do nich, w przeciwnym razie organizacja operatora dość trudne do spełnienia tego wymogu);
4. wykaz przetworzonych danych osobowych i źródeł ich otrzymania;
5. czas przetwarzania danych osobowych, w tym czas przechowywania danych (należy zwrócić szczególną uwagę na to wymaganie, ponieważ w rzeczywistości zobowiązuje on operatora do ustalenia czasu przetwarzania i przechowywania, który może być różny w zależności od celów przetwarzania danych osobowych przez wewnętrzne dokumenty regulacyjne);
6. informacje o tym, jakie skutki prawne dla przedmiotu danych osobowych mogą wiązać się z przetwarzaniem jego danych osobowych (aby spełnić ten wymóg, organizacje powinny z wyprzedzeniem pouczyć swoich prawników, aby sformułowali uzasadnienia wszystkich możliwych konsekwencji prawnych przetwarzania danych osobowych)

Kwestia przetwarzania danych osobowych "w celu promocji towarów, robót, usług na rynku poprzez bezpośrednie kontakty z potencjalnym konsumentem za pomocą narzędzi komunikacyjnych, a także kampanii politycznych" poświęcona jest specjalnemu artykułowi (art. 15). Teraz organizacje komercyjne i polityczne, przed wysłaniem reklamy, muszą uzyskać uprzednią zgodę obywatela, a przetwarzanie PD "jest uznawane za wykonane bez uprzedniej zgody podmiotu danych osobowych, jeśli operator nie udowodni, że taka zgoda została uzyskana." W przypadku niektórych obiektów komercyjnych wymóg ten może być bardzo niewygodny!

Odtąd "zabrania się podejmowania decyzji na podstawie wyłącznie automatycznego przetwarzania danych osobowych, które powodują konsekwencje prawne w odniesieniu do przedmiotu danych osobowych lub w inny sposób wpływają na jego prawa i słuszne interesy" (art. 16).

Ten przepis jest konieczny i terminowy. Ale nasi prawodawcy, formułując go, zdezorientowali dwa różne pojęcia: "automatyczny" (to znaczy bez udziału człowieka) i "zautomatyzowany" (czyli udział ludzki). W rezultacie artykuł ten zamiast nakładać na nie dodatkowe ograniczenia i tylko wtedy, gdy system informacyjny podejmuje decyzje bez udziału człowieka (na przykład nakładanie grzywny, zakaz podróżowania poza granicę kraju itp.), Może interpretować jako nakładające ograniczenia na wszystkie rodzaje przetwarzania danych osobowych, ponieważ nawet użycie kalkulatora może być rozumiane jako automatyczne przetwarzanie!

W tym samym artykule nowego prawa stwierdza się, że operator będzie mógł podejmować decyzje wyłącznie w oparciu o "zautomatyzowane" przetwarzanie, jeżeli:

• uzyskać pisemną zgodę od osoby, której dane dotyczą, lub
• jeśli te zasady są ustanowione przez prawo federalne.

W niektórych dokumentach regulacyjnych zostały już uwzględnione te wymagania prawne. Tak więc w próbkach wniosków o wydanie paszportu nowej generacji istnieje specjalna sekcja, w której wnioskodawca wyraża zgodę na "automatyczne" przetwarzanie danych wskazanych we wniosku. Brzmi to w następujący sposób: "Zgadzam się z automatycznym przetwarzaniem, przesyłaniem i przechowywaniem danych określonych we wniosku do celów produkcji, przetwarzania i kontrolowania paszportu podczas jego okresu ważności" 12.

Operator będzie również musiał z wyprzedzeniem przekazać obywatelowi następujące informacje:

• kolejność podejmowania decyzji na podstawie wyłącznie "automatycznego" przetwarzania jego danych osobowych i
• możliwe konsekwencje prawne takiej decyzji;
• procedura ochrony przez przedmiot danych osobowych jego praw i uzasadnionych interesów;
• możliwość zgłoszenia sprzeciwu wobec takiej decyzji.

W przypadku sporu to operator musi udowodnić, że spełnił wszystkie wymagania prawa. Oznacza to, że będzie musiał starannie gromadzić i przechowywać dokumenty uzupełniające.

Obowiązki operatora

Obowiązki operatora, zgodnie z art. 18, obejmują przede wszystkim dostarczanie danych osobowych na żądanie obywatela. Ponadto operator musi "wyjaśnić podmiotom danych osobowych konsekwencje prawne odmowy udostępnienia swoich danych osobowych", jeżeli obowiązek ten został ustanowiony na mocy prawa federalnego.

W art. 20 ustalono bardzo ścisłe terminy, w których operatorzy mogą składać wnioski dotyczące podmiotów danych osobowych (są one znacznie twardsze, na przykład te przewidziane w niedawno wydanej ustawie "O procedurze rozpatrywania apelacji obywateli Federacji Rosyjskiej"):

• dostarczanie danych - w ciągu 10 dni roboczych od daty otrzymania wniosku;
• umotywowana odmowa - w ciągu 7 dni roboczych.

Operator będzie miał jeszcze więcej pytań, jeśli będzie konieczne wyeliminowanie naruszeń prawa w terminie określonym w art. 21 nowej ustawy. Blokowanie danych powinno odbywać się od momentu zgłoszenia żądania lub od momentu otrzymania żądania, a także usunięcia naruszeń - w ciągu 3 dni roboczych.

W niektórych przypadkach operator jest zobowiązany zniszczyć dane osobowe w ciągu 3 dni roboczych, a mianowicie:

• w przypadku nieusunięcia naruszenia,
• w przypadku osiągnięcia celu przetwarzania danych osobowych,
• w przypadku gdy podmiot danych osobowych odwołuje swoją zgodę na przetwarzanie jego danych osobowych.

Zarówno blokowanie, jak i niszczenie danych osobowych może być trudne (a czasem niemożliwe) do wdrożenia w obecnie działających systemach informatycznych i bazach danych, które wcześniej nie zapewniały takiej możliwości.

Operator będzie jeszcze trudniejszy, jeśli otrzyma dane osobowe nie od obywatela, ale od osoby trzeciej.

Klauzula 3 art. 18 Federalnej ustawy Federacji Rosyjskiej "O danych osobowych" z 27 lipca. 2006 nr 152-FZ

Jeżeli dane osobowe nie zostały przekazane podmiotowi danych osobowych, o ile dane osobowe nie zostały przekazane operatorowi zgodnie z prawem federalnym lub jeżeli dane osobowe są publicznie dostępne, operator musi przekazać podmiotowi danych osobowych następujące informacje przed przetworzeniem takich danych osobowych:

1. imię (nazwisko, imię, drugie imię) i adres operatora lub jego przedstawiciela;
2. cel przetwarzania danych osobowych i jego podstawa prawna;
3. zamierzeni użytkownicy danych osobowych;
4. prawa podmiotu danych osobowych ustanowionego przez niniejszą Ustawę Federalną.

Za tymi słowami jest bardziej czasochłonna praca. Na przykład może pojawić się pytanie: w jaki sposób należy przekazać tę informację podmiotowi? Czy możliwe jest przesłanie go pocztą i czy informacje zostaną uznane za dostarczone, jeśli podmiot nie otrzymał odpowiedniej litery?

Obowiązkiem operatora, zgodnie z art. 19, jest również zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania. Aby uniknąć problemów, organizacja operatora powinna opracować i skonsolidować w dokumentach regulacyjnych wszystkie środki bezpieczeństwa organizacyjnego i technicznego, które jest gotowe podjąć w celu ochrony danych osobowych zawartych w swoich systemach informatycznych.

Państwowa rejestracja systemów przetwarzania danych osobowych

Prawo stanowi, że wszyscy operatorzy prowadzący przetwarzanie danych osobowych muszą z wyprzedzeniem powiadomić o tym upoważniony organ (art. 22), który będzie rejestrował podmioty w specjalnym rejestrze. Organem upoważnionym, zgodnie z art. 23, jest Ministerstwo Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej, które obecnie wykonuje "funkcje kontroli i nadzoru w dziedzinie technologii informacyjnych i komunikacji". Powiadomienie będzie musiało szczegółowo opisać, co planuje zrobić z danymi osobowymi. Wszelkie zmiany związane z przetwarzaniem danych osobowych należy również zgłaszać uprawnionemu organowi.

Dozwolone jest przetwarzanie danych osobowych bez powiadomienia uprawnionego organu w następujących przypadkach:

• w obecności stosunków pracy;
• przy zawieraniu umowy, której podmiotem jest podmiot danych osobowych;
• jeżeli dane osobowe należą do członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i są przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną;
• jeżeli dane osobowe są publicznie dostępne;
• jeżeli dane osobowe zawierają tylko imiona, nazwiska i patronimiczne tematy;
• przy rejestracji przyjęć;
• jeżeli dane osobowe są zawarte w systemach informatycznych, które zgodnie z prawem federalnym mają status federalnych zautomatyzowanych systemów informacyjnych, a także państwowe systemy informacyjne dla danych osobowych stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

Podsumowując, przedstawimy operatorom szereg zaleceń. Nie będzie bardzo trudno spełnić wymogi ustawy o danych osobowych, jeśli prace te rozpoczną się teraz, nie czekając na pierwsze skargi i skargi. Możesz zacząć od następujących oczywistych środków:

• Wskazane jest wyznaczenie odpowiedzialnego urzędnika, który zajmie się sprawami związanymi z wdrożeniem tego prawa w organizacji, a dla dużych firm stworzenie specjalnej komisji może być uzasadnione.
• W przypadku wszystkich zasobów informacji organizacji zawierających dane osobowe należy:
  • określić ich status (na podstawie którego zostały stworzone: zgodnie z ustawodawstwem, w celu wykonania umowy, z własnej inicjatywy itp.);
  • wyjaśnić i zapisać skład danych osobowych i źródła ich pochodzenia (od obywatela, ze źródeł publicznych, od stron trzecich itp.);
  • ustalić okres przechowywania i czas przetwarzania danych w każdym zasobie informacji;
  • określić metody przetwarzania;
  • identyfikować osoby mające dostęp do danych;
  • formułować implikacje prawne;
  • określa procedurę udzielania odpowiedzi na wnioski, możliwe odpowiedzi i działania, ocenia rzeczywistość zgodności z ustalonymi czasami reakcji.

W tym artykule dokonano analizy nowej ustawy o ochronie danych osobowych z punktu widzenia specjalistów w dziedzinie zarządzania dokumentacją, która zepsułaby dużo krwi. Jego skuteczność zostanie wykazana w praktyce, ale na razie, jako "podmiot danych osobowych", oceniam listę organów publicznych, do których mogę wysłać wniosek o dostarczenie mi, zgodnie z wymogami prawa, istotnych informacji. Teraz mam prawo!

1 art. 25 rozdziału IV dyrektywy 95/46 / WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. W sprawie ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

2 Interesujące jest to, że nawet Stany Zjednoczone nie spełniają surowych europejskich wymagań, a amerykańskie firmy zmuszone są do stosowania tzw. "Umów parasolowych".

3 Podmiot danych osobowych to osoba fizyczna, której dane osobowe są przetwarzane.

4 "system przechowywania danych osobowych"

5 Lista federalnych organów wykonawczych i organizacji zajmujących się przechowywaniem depozytu dokumentów Funduszu Archiwalnego Federacji Rosyjskiej, które są w posiadaniu federalnym, obejmuje 18 organizacji: Ministerstwo Spraw Wewnętrznych Rosji, Ministerstwo Spraw Zagranicznych Rosji, Ministerstwo Obrony Rosji, SVR Rosji, FSB Rosji, Federalna Służba Kontroli Narkotyków Rosji, Roskartografiya, Rosyjska Akademia Nauk Rolniczych, Rosyjska Akademia Medyczna, Rosyjska Akademia Edukacji, Rosyjska Akademia Sztuki, Rosyjska Akademia Architektury i Nauk Budowlanych, stan Fundacja: Wszechrosyjski Instytut Badawczy Informacji Hydrometeorologicznych - Światowe Centrum Danych, Federalna Instytucja Państwowa "Państwowy Fundusz dla Programów Telewizyjnych i Radiowych", Federalne Państwo Samoobsługowe Przedsiębiorstwo Naukowo-Produkcyjne "Rosyjski Federalny Fundusz Geologiczny", Federalne Przedsiębiorstwo Państwowe Unitarne "Rosyjskie Centrum Naukowo-Techniczne informacje na temat normalizacji, metrologii i oceny zgodności ".

6 5 Stanów Zjednoczonych C. § 552a (k) (1) "Dokumenty dla osób fizycznych - Szczególne wyjątki - Dokumenty archiwalne".

7 Operator - organ państwowy, organ gminy, osoba prawna lub fizyczna, organizujący i (lub) przetwarzający dane osobowe, a także określający cel i treść przetwarzania danych osobowych.

9 ustawy o ochronie danych 1998, artykuł 32.

11 Durant vs Financial Services Authority (FSA).

12 Załącznik nr 1 do instrukcji w sprawie procedury przetwarzania i wydawania paszportu obywatela Federacji Rosyjskiej, paszportu dyplomatycznego i paszportu służbowego, które są głównym dokumentem poświadczającym tożsamość obywatela Federacji Rosyjskiej poza terytorium Federacji Rosyjskiej zawierającego nośniki elektroniczne (zatwierdzone na mocy zarządzenia Ministerstwa Spraw Wewnętrznych Federacji Rosyjskiej, Ministerstwo Spraw Zagranicznych Federacji Rosyjskiej oraz Federalna Służba Bezpieczeństwa Federacji Rosyjskiej z dnia 6 października 2006 r. nr 785/14133/461).