Hva er måtene å behandle personlige data på?

I den russiske føderasjonens arbeidskode er det et slikt uttrykk som "personlig informasjon til en arbeidende person". Data på driftskontingenten må gis til arbeidsgiveren.

Etter å ha undersøkt personlig informasjon, foretar arbeidsgiveren en dom om å ta en person til selskapet.

Informasjonen som en person presenterer om seg selv, må beskyttes. Fordel det er forbudt.

Kjære lesere! Våre artikler forteller om typiske måter å løse juridiske problemer på, men hvert tilfelle er unikt.

Hvis du vil vite hvordan du skal løse nøyaktig ditt problem - bare ring, det er raskt og gratis!

system

Personlig informasjon om ansatte bør være gjenstand for utvikling.

Arbeidsgiver gjelder følgende krav til personopplysninger for arbeidende personer:

1. Prosessen med behandling av personlig informasjon om en arbeidstaker finner sted for å sikre overholdelse av lover og rettsakter. Takket være databehandling, kan du ansette en person, gi ham personlig sikkerhet, overvåke det arbeidet han utfører.
2. Arbeidsgiver tar hensyn til omfanget og innholdet i personlig informasjon om arbeidsforholdet som behandles. Alle arbeidsgivere studerer og følger aspekter av grunnloven, andre føderale lover.
3. Informasjon om arbeidsteamet skal hentes direkte fra de ansatte selv. Du kan få informasjon om den arbeidende personen fra en tredje munn, men bare med skriftlig samtykke fra personen. Arbeidsgiveren informerer ansatte om deres mål og kilder, hvorfra personlig informasjon vil bli brakt. Arbeidsgiveren advarer om konsekvensene i tilfeller av nektelse av å gi ut personlig informasjon fra arbeidspersonen.
4. En person som gir arbeid til sine ansatte har ingen rett til informasjon om all slags overbevisning av politisk, religiøs karakter, så vel som familieliv til en arbeidstaker. Det personlige liv av en ansatt kan bare oppgis med hans avtale. Avtalen må gjøres skriftlig.
5. Arbeidsgiveren bør ikke bruke i behandling av opplysninger om nærvær av sysselsatte i medlemsforeninger, fagforeninger. Men det er situasjoner som er foreskrevet av forbundsloven.
6. All personlig informasjon må være beskyttet og gjemt av offentlig kontroll og bruk. Databeskyttelse er underlagt forholdene i forbundsloven.
7. Arbeidstakere studerer dokumenter som tilhører institusjonen. De bør gi mening og orden om prosessene for behandling av personopplysninger for ansatte.
8. Arbeiderne må godta beskyttelsen av deres personlige opplysninger.
9. Arbeidsgivere selv, så vel som medarbeidere, kan jobbe sammen for å utvikle måter å beskytte medarbeidernes personlige opplysninger på.

Når du kommuniserer informasjon om ansatte, må bedriftens direktør følge følgende regler:

• En tredjepart trenger ikke å vite om personopplysninger for hver ansatt. Data kan bare gis i tilfeller der de ansatte har gitt sitt skriftlige samtykke til bruken av deres personlige opplysninger. Men hvis det er noen trussel mot levebrød, arbeidsgruppens helse, kan personopplysninger gis til andre uten skriftlig skriftlig samtykke.
• arbeidsgiveren bør ikke legge inn data på teamet som arbeider med det med det formål å handle
• folk som mottar informasjon om ansatte må behandle det innenfor konfidensialitetsrammen;
• Overføringen av informasjon om en person utføres kun i en organisasjon gjennom spesielle interne handlinger av institusjonen;
• informasjon om den ansatte har kun tilgang til spesialiserte autoriserte personer;
• Ingen behov for å be om informasjon om helsepersonellets helse. En forespørsel kan bare gjøres i tilfeller der spørsmålet oppstår om arbeidsfolkene kan utøve sine arbeidsfunksjoner;
• Personlige data på arbeidsbestemmelsene kan samles inn under hensyntagen til dataene i koden.

Et arbeidsforhold har rett til:

• bekjenner med dine personlige data og deres behandling;
• ubegrenset tilgang til personlig informasjon. En arbeidstaker kan bli utstedt kopier av informasjonsdata. Men det er situasjoner når personlig informasjon ikke blir avslørt. Disse situasjonene er beskrevet i Federal Law;
• en medisinsk profesjonell kan se ansattes personlige data;
• Muligheten for å korrigere eller supplere fagpersoner.

Følgende typer behandling av personopplysninger utmerker seg:

1. Behandler informasjon ved hjelp av datateknologi.
2. Ikke automatisert behandling.
3. Informasjonssystem behandler dataene som er oppgitt.

automatisert

Denne behandlingen utføres ved hjelp av en spesiell datateknologi. De vanligste databehandlingsmaskinene kan være:

• elektronisk datamaskin;
• hjelpemidler;
• periferiutstyr;
• nødvendigvis installert programvare.

Ikke-automatisert

Den mest detaljerte beskrivelsen av ikke-automatisert behandling er skrevet i regjeringsdekret nummer 687.

Distribusjon, studie og fjerning av informasjon om driftskontingenten skal utføres med en del av en person, ikke datateknologi.

informasjon

Takket være informasjonssystemet behandles spesielle kategorier av personlig informasjon om driftskontingenten. Dette systemet behandler data som påvirker medlemskap i et bestemt løp og kjønn, nasjonalitet, politiske synspunkter, filosofiske utsikter.

Takket være informasjonssystemet kan behandles:

• biometriske personopplysninger. Spesielt hvis det er karakteristisk for fysiologiske, biologiske data. Takket være de karakteristika som er oppnådd, er det mulig å vurdere arbeidernes personlighet;
• delte personopplysninger;
• Andre informasjonsdata. Et eksempel ville være religiøse, nasjonale ideer, filosofiske utsikter, øyeblikk av arbeidsinnholdets intime natur og mange andre viktige personlige egenskaper opp til helsetilstanden.

Dermed er personlig informasjon om hver ansatt inneholdt i alle arbeidsgivere. Regissøren har under ingen omstendigheter rett til å formidle de tilgjengelige dataene om personen.

Den oppnådde informasjonen om driftskvoten kan behandles på flere måter: ved hjelp av datateknologi, ved hjelp av personlige krefter, takket være informasjonsevalueringssystemet.

I alle tilfeller blir personopplysningene for hver ansatt grundig undersøkt.

Måter å behandle personlige data på

Ved ordre fra sivil kode for Amur-regionen

26. desember 2012, nr. 626

i forbindelse med behandling av personopplysninger

1. ALMINDELIGE BESTEMMELSER

1.1. Dette dokumentet (heretter - Policy) er en systematisk redegjørelse for de mål, prinsipper og metoder for behandling av personopplysninger forhold, informasjon om pågående krav til behandling av ordren og beskyttelse av personopplysninger i CCU av Amur Region Sysselsetting Gratis byen (heretter - Senter for sysselsetting).

1.2. Politikken er basert på kravene i den russiske føderasjonsloven "På personopplysninger", andre lovgivningsmæssige rettsakter i Russland som fastsetter prosedyren for behandling og beskyttelse av personopplysninger. Politikken er et offentlig dokument.

1.3. I samsvar med forbundsloven av 27. juli 2006 nr. 152-ФЗ "På personopplysninger" er sysselsettingssenteret operatør av personopplysninger (heretter referert til som "PD").

2. BEHANDLET PERSONLIG DATA

2.1. Hovedbetingelsene som brukes i retningslinjene:

· Personlig data - noe informasjon knyttet til en identifisert eller identifiserbar på grunnlag av slik informasjon til en person (personlig data emne), inkludert hans navn, fornavn, år, måned, dato og sted for fødsel, adresse, familie, sosial, eiendom stilling, utdanning, yrke, inntekt, annen informasjon;

· Behandling av personopplysninger - handlinger (operasjoner) med personopplysninger, herunder innsamling, systematisering, akkumulering, lagring, klargjøring (oppdatering, endring), bruk, distribusjon (inkludert overføring), depersonalisering, blokkering, ødeleggelse av personopplysninger;

2.2. I forbindelse med denne policyen betyr behandlede personopplysninger:

· Personopplysninger som mottas av mottakere av offentlige tjenester som gjelder for sysselsettingssenteret.

· Personopplysninger for ansatte i Sysselsettingssenteret eller kandidater til ledige stillinger;

3. FORMÅL FOR PERSONLIG DATA PROSESSERING

3.1. Målene med PD-behandling i Sysselsettingssenteret er:

· Sikre gjennomføringen av de konstitusjonelle rettighetene til russiske statsborgere til arbeid og sosial beskyttelse mot arbeidsledighet gjennom å tilby offentlige tjenester innen forfremmelse;

· Sikre gjennomføringen av de konstitusjonelle rettighetene til borgerne til å appellere

· Oppnå en objektiv vurdering av tilstanden på arbeidsmarkedet i den russiske føderasjonsenhetens sammenslåtte enhet (i forhold til mottakere av offentlige arbeidsformidlinger, arbeidsløse borgere, borgere som søker på sysselsettingssenteret med forslag, uttalelser, klager)

· Sikre samsvar med Grunnloven, lover og annet regelverk, for å lette arbeidere i arbeid, opplæring og avansement, og karriereutvikling, for å sikre den personlige sikkerheten til de ansatte, overvåking mengden og kvaliteten på arbeidet, for å sikre sikkerheten til sin eiendom, tar hensyn til resultatene av offisielle resultater plikter og sikkerhet for eiendommen til arbeidsplassen.

· Utføre en skattemyndighets funksjoner ved levering av standard skattefradrag (med hensyn til familiemedlemmer til ansatte i Sysselsettingssenteret);

· Oppfyllelse av forpliktelser i henhold til sivile rettskontrakter (i forhold til personer som utfører arbeid, leverer tjenester i sivilrettskontrakter med Sysselsettingssenteret).

4. PRINSIPPER FOR BEHANDLING AV PERSONLIGE DATA

4.1. Gjennomføring av PD-behandling på et lovlig og rettferdig grunnlag.

4.2. Begrensning av PD-behandling til oppnåelse av de bestemte, forutbestemte og legitime målene som er angitt i avsnitt 2 i dette dokumentet. Det er ikke tillatt å behandle personopplysninger som er uforenlige med det formål å samle inn personopplysninger.

4.3. Forhindre kombinasjonen av databaser som inneholder PD, som behandles for formål som er uforenlige med hverandre.

4.4. Behandler bare de PDS som oppfyller formålene med behandlingen.

4.5. Overensstemmelse med innholdet og volumet av PD behandlet av oppgitte behandlingsformål.

4.6. Avvisning av redundans behandlet PD i forhold til oppgitte mål for behandlingen.

4.7. Sikre nøyaktigheten av PD, deres tilstrekkelighet og, om nødvendig, og relevans i forhold til PD-prosessens formål.

4.8. Sørg for at nødvendige tiltak blir truffet for å fjerne eller avgrense ufullstendige eller unøyaktige data.

4.9. Utføring av PD-lagring i et skjema som gjør det mulig å bestemme PD-emnet, er ikke lenger enn det formål PD-behandling krever, hvis PD-lagringsperioden ikke er etablert ved føderal lov, kontrakten som PD-emnet er mottaker eller garantist for. PD'er som skal behandles, er gjenstand for ødeleggelse eller depersonalisering ved oppnåelse av behandlingsmål eller i tilfelle tap av behovet for å oppnå disse målene, med mindre annet fremgår av føderal lov.

5. METODER TIL BEHANDLING AV PERSONLIGE DATA

5.1. Arbeidsstedet behandler PD på følgende måter:

· Ikke-automatisert PD-behandling (på papir);

· Automatisert behandling (i ISPDn med bruk og uten bruk av automatiseringsutstyr), inkludert: med og uten overføring gjennom det lokale nettverket til Sysselsettingssenteret; med og uten overføring via Internett;

· Blandet PD behandling.

5.2. Arbeidsstedet kan selvstendig velge metoder for PD-behandling avhengig av formålet med slik behandling og eget materiale og tekniske evner.

6. VILKÅR FOR PERSONLIG DATA PROSESSERING

6.1. PD-behandling utføres i samsvar med prinsippene og reglene fastsatt i forbundsloven "På personopplysninger".

6.2. PD-behandling er tillatt i tilfeller fastsatt av forbundslov "på personopplysninger".

6.3. Sysselsettingssenteret har rett til å overdrage behandling av PD til annen person med samtykke fra PD-emnet, med mindre annet fremgår av føderal lov, på grunnlag av en kontrakt som er inngått med denne personen, inkludert en statlig eller kommunal kontrakt eller ved vedtak av en relevant handling av staten eller kommune (heretter kalt ).

6.4. Hvis Sysselsettingssenteret tildeler behandling av en PD til en annen person, bæres ansvaret til PD-emnet for den aktuelle personens handlinger av Sysselsettingssenteret. Personen som behandler personopplysninger på vegne av Sysselsettingssenteret er ansvarlig for Sysselsettingssenteret.

7. FORTROLIGHET AV PERSONOPPLYSNINGER

7.1. Ansvarssenteret og andre personer som har fått tilgang til PD, er forpliktet til ikke å utlevere til tredjepart og ikke å distribuere PD uten samtykke fra PD-emnet, med mindre annet er fastsatt i føderal lov.

8. GODKJENNELSE AV PERSONOPPLYSNINGER FOR BEHANDLING AV DETS PERSONLIGE DATA

8.1. PD-personen tar en avgjørelse om å levere sine personopplysninger og godtar sin behandling fritt, etter egen vilje og i hans interesse.

8.2. Samtykke til PD-behandling bør være spesifikk, informert og bevisst.

8.2. Samtykke til PD-behandling kan gis av PD-emnet eller hans representant i enhver form som tillater å bekrefte faktumet for kvitteringen, med mindre annet er fastsatt av føderal lov.

8.3. Når det gjelder samtykke til behandling av personopplysninger fra en representant for personopplysninger, kontrolleres myndigheten til denne representanten for å gi samtykke på vegne av personopplysninger, av Sysselsettingssenteret.

8.4. Samtykke til PD-behandling kan tilbakekalles av PD-emnet. Ved tilbaketrekking av PDN-samtykke til samtykke til behandling av PD, har sysselsettingssenteret rett til å fortsette behandling av personopplysninger uten samtykke fra PD-emnet dersom det er grunnlag spesifisert i paragraf 2-11 i del 1 i artikkel 10 nr. 2, artikkel 10 og del 2 i lovloven § 11 om personopplysninger ".

8.5. I tilfeller fastsatt ved føderal lov, utføres PD-behandling bare med skriftlig samtykke fra PD-fag. Samtykket i skriftlig form er anerkjent som ekvivalent med et elektronisk dokument undertegnet av den elektroniske loven som er undertegnet i henhold til føderal lov.

8.6. Personlige data kan hentes fra Sysselsettingssenteret fra en person som ikke er gjenstand for personopplysninger, forutsatt at sysselsettingssenteret bekrefter eksistensen av begrunnelsen angitt i klausul 2-11 i del 6 av artikkel 6, del 2 i artikkel 10 og del 2 i lovens § 11 om personopplysninger ".

9. GENNEMFØRELSE AV RETTENE I VEKSTENE AV PERSONOPPLYSNINGER

9.1. Når du behandler en PD, gir sysselsettingssenter de nødvendige vilkårene for at PD skal kunne utøve sine rettigheter.

9.2. PD-personen har rett til å få tilgang til hans personopplysninger.

9.3. Et PD-objekt har rett til å motta informasjon om behandling av personopplysninger, som inneholder: Bekreftelse av at PD-behandling av Employment Center juridiske grunner og formål med PD-behandling Målene og metodene for PD-behandling som brukes av Sysselsettingssenteret; navn og plassering av sysselsettingssenteret, opplysninger om enkeltpersoner (unntatt ansatte i sysselsettingssenteret) som har tilgang til personopplysninger eller som kan avsløre personopplysninger på grunnlag av en avtale med arbeidsformidlingssenteret eller på grunnlag av føderal lov PD'er behandlet av relevant PD-fag, kilden til kvitteringen, med mindre en annen prosedyre for innlevering av slike data er gitt i føderal lov PD behandlingstid, inkludert lagringstid; Prosedyren for utøvelsen av PDN-emnet av rettigheter fastsatt av forbundsloven "På personopplysninger"; Informasjon om fullført eller tiltenkt grenseoverskridende dataoverføring; navn eller etternavn, navn, patronym og adresse til personen som utfører behandling av PDN på vegne av sysselsettingssenteret, dersom behandlingen er betrodd eller vil bli betrodd slik person annen informasjon fastsatt av føderale lover.

9.4. Retten til en PD-person å få tilgang til hans personopplysninger kan være begrenset i tilfeller som uttrykkelig er fastsatt av føderale lover.

9.5. En PD-person har rett til å forsvare sine rettigheter og legitime interesser, herunder erstatning for erstatning og (eller) erstatning for moralsk skade i en domstol.

9.6. Dersom en PD-person anser at Sysselsettingssenteret behandler sin PD i strid med kravene i forbundsloven "På personopplysninger" eller på annen måte bryter med sine rettigheter og friheter, har PD-subjektet rett til å appellere til handlinger eller manglende handling av sysselsettingssenteret til den autoriserte organ for å beskytte rettighetene til PD-fag eller rettsordre.

10. OPPLYSNINGER OM ÅTGJENGELIGE FORANSTALTNINGER AV ANSATSSENTRET

TILSIKTIG FOR Å FORSIKRE GENNEMFØRELSEN AV ANSVAR FORHENGT VED BEHANDLING AV PERSONOPPLYSNINGER

10.1. Sysselsettingssenteret ved behandling av PD utfører sine oppgaver som PD-operatør fastsatt av forbundsloven "På personopplysninger".

10.2. Sysselsettingssenteret tar de nødvendige og tilstrekkelige tiltak for å sikre oppfyllelsen av de plikter som følger av denne føderale loven og de lovgivningsmessige rettsakter som vedtas i samsvar med den.

10.3. Sysselsettingssenteret bestemmer selvstendig sammensetningen og listen over tiltak som er nødvendige og tilstrekkelige for å sikre oppfyllelsen av forpliktelsene fastsatt i denne føderale loven og de lovgivningsmessige rettsakter som vedtas i samsvar med den, med mindre annet er fastsatt i føderale lover.

10.4. Sysselsettingssenteret gir ubegrenset tilgang til dette dokumentet (Policy), til informasjonen om de faktiske kravene til PD-beskyttelse ved å legge ut på den offisielle nettsiden til Amur Region Oblast Employment Department på http: // zanamur. ru, GKU av Amur-regionen i det sentrale sykehuset i byen Svobodny på http://svobzan.amur.ru.

11. INFORMASJON OM GENNEMFØRELSE AV ANSATSEN SENTRER AV ÅTGJØRELSER FOR BESKYTTELSE AV PERSONLIGE DATA I DERES BEHANDLING

11.1. Sysselsettingssenteret i PD-behandling sikrer vedtaket av nødvendige juridiske, organisatoriske og tekniske tiltak for å beskytte PD mot ulovlig eller utilsiktet tilgang til dem, ødeleggelse, modifisering, blokkering, kopiering, levering, distribusjon av PD, samt andre ulovlige handlinger angående PDN.

11.2. For å beskytte personopplysninger implementerer Sysselsettingssenteret kravene til beskyttelse av personopplysninger når de behandles i personopplysningssystemer opprettet av Russlands regjering.

11.3. Sikre PD-sikkerhet oppnås av Sysselsettingssenteret, spesielt:

· Identifisering av trusler mot sikkerheten til personopplysninger når de behandles i ISPDN til Sysselsettingssenteret;

· Bruk av organisatoriske og tekniske tiltak for å sikre sikkerheten til personopplysninger når de behandles i ISPDN til Sysselsettingssenteret, som er nødvendig for å oppfylle kravene til personlig databeskyttelse, hvis oppfyllelse er gitt av nivåene av personlig databeskyttelse fastsatt av Russlands regjering.

· Bruken av informasjonssikkerhetstiltakene som er gått på foreskrevet måte

· Vurdering av effektiviteten til de tiltakene som Arbeidsstedet har tatt for å sikre sikkerheten til personopplysninger før igangsetting av ISPDN til Sysselsettingssenteret;

· Ta hensyn til maskinbærerne PD på arbeidsplassen;

· Deteksjon av fakta om uautorisert tilgang til PDN og handling

· Restaurering av PDN modifisert eller ødelagt som følge av uautorisert tilgang til dem;

· Opprettelse av regler for tilgang til PDN behandlet i SPDN i sysselsettingssenteret, samt å sikre registrering og registrering av alle handlinger utført på PDN i ISPDN i Employment Center;

· Kontroller de tiltakene som er truffet for å sikre sikkerheten til personopplysninger og sikkerhetsnivået til ISPDN til sysselsettingssenteret.

11.4. Informasjon om tiltak som Arbeidsstedet har tatt for å beskytte personopplysninger, er begrenset informasjon.

12. Politikkendring. Gjeldende lov

12.1. Sysselsettingssenteret har rett til å gjøre endringer i denne policyen.

12.2. Når du gjør endringer i overskriften til retningslinjene, er datoen for den siste oppdateringen av revisjonen angitt.

12.3. Den nye versjonen av retningslinjene trer i kraft fra det øyeblikk de ble lagt ut på Amurskaya Oblast-instituttets sysselsetting, med mindre annet er angitt i den nye versjonen av politikken.

Måter å behandle personlige data på

Spørsmål-svar på emnet

spørsmålet

Hva er relatert til personopplysninger, og hva er relatert til handlinger med personlige data?

Svaret

I henhold til Roskomnadzors ordre 9 datert 19. august 2011 nr. 706, inkluderer metodene *:

- ikke-automatisert behandling av personopplysninger

- utelukkende automatisert behandling av personopplysninger med eller uten overføring av mottatt informasjon over nettverket

- Blandet behandling av personopplysninger (Note N 4).

Og til handlingene i samsvar med Art. 3 i forbundsloven av 27.07.2006 nr. 152-FZ. Personopplysninger inkluderer: *

- avklaring (oppdatering, endring);

- distribusjon (inkludert overføring)

- ødeleggelse av personopplysninger

Begrunnelsen for denne stillingen er gitt nedenfor i materialene til "System Lawyer".

• FEDERAL LAW 27.07.2005 nr. 152-ФЗ "ON PERSONAL DATA"

"Personlig databehandling er enhver handling (handling) eller sett av handlinger (operasjoner), * utført ved bruk av automatiseringsverktøy eller uten bruk av slike midler med personlige data, inkludert innsamling, opptak, systematisering, akkumulering, lagring, forfining (oppdatering, endring), utvinning, bruk, overføring (distribusjon, levering, tilgang), depersonalisering, blokkering, sletting, ødeleggelse av personopplysninger "

• Bestilling av ROSKOMNADZOR FRA 19. august 2011 nr. 706

"Feltet" liste over handlinger med personopplysninger, en generell beskrivelse av metodene som brukes av Operatøren for behandling av personopplysninger "* Angir handlinger utført av Operatøren med personopplysninger, samt en beskrivelse av metodene som brukes av Operatøren for behandling av personopplysninger:

- ikke-automatisert behandling av personopplysninger
- utelukkende automatisert behandling av personopplysninger med eller uten overføring av mottatt informasjon over nettverket

- Blandet behandling av personopplysninger (Note N 4). Merknad N 4. Ved automatisk behandling av personopplysninger eller blandet behandling er det nødvendig å angi om informasjonen innhentet under behandling av personopplysninger overføres på det juridiske enhetens interne nettverk (informasjonen er kun tilgjengelig for veldefinerte ansatte i juridisk enhet ) eller informasjonen overføres via det offentlige Internett eller uten å overføre informasjonen mottatt. "

* Så fremhevet en del av materialet som vil hjelpe deg med å ta den riktige avgjørelsen.

Likbez på personopplysninger for selskaper som behandler dem

Vilkår, nyanser og hyppige vrangforestillinger - i materialet fra eksperter fra sikkerhetstjenesten til selskapet "Onlanta" (inkludert i gruppen av bedrifter LANIT).

Vi forstår den juridiske terminologien og selve nyansene som du kan være i retten.

Forklar vilkårene i menneskers språk

Hovedloven som regulerer forhold knyttet til behandling av personopplysninger, er den føderale loven av 27. juli 2006 nr. 152-ФЗ "På personopplysninger".

Det første begrepet som skal forstås er personopplysninger.

Hva er personlige data

Dette er all informasjon som kan brukes til å identifisere en person: for eksempel fullt navn, fødselsdato, utdanning, inntekt og til og med sivilstatus. Du spør: "Og hva, etternavnet mitt, trykt på visittkortet, er også personlige data?"

Svar: "Ja." I henhold til loven spiller det ingen rolle om bare etternavnet ditt skrives ut på visittkortet eller i kombinasjon, for eksempel med et telefonnummer og en adresse. Både den første, og den andre, og den tredje - personlige data. Det er sant at lagring av visittkort eller telefonnumre til jenter i telefonboken ikke må besvares ved lov, men mer på det nedenfor.

Gå videre. Mediene skriver stadig "lagring av personopplysninger". Riktig sett er det ikke lagringsplassen, men behandling av personopplysninger. Hva er forskjellen? Lagring er bare en del av det som kalles personlig databehandling. Eventuelle handlinger som du utfører med personopplysninger (samle, samle, lagre, overføre, endre) er utpekt ved lov som "personlig databehandling".

Det er viktig å forstå at loven skiller mellom to personopplysninger: operatøren og prosessoren. Operatøren utfører behandling av personopplysninger, og bestemmer også formålet med behandlingen, sammensetningen av personopplysninger som skal behandles, handlinger (operasjoner) utført med personopplysninger.

En handler er noen som utfører handlinger med personlige data: samle, lagre, organisere, akkumulere, oppdatere, oppdatere, slette, depersonalisere og så videre.

Faktisk er prosessoren ikke bare sluttbrukeren, som trenger personopplysninger for arbeid, men også enhver mellomliggende bruker, gjennom hvilke hender disse personopplysningene passerte. Vis i praksis.

oppgave

Nettbutikken har en kundedatabase, som ligger i "skyen" til et tredjepartsfirma. Et markedsføringsbyrå arbeider med denne basen. Spørsmål: Hvor mange personopplysninger har vi?

Det riktige svaret er en. Dette er en nettbutikk som setter målene for personlig databehandling. Det andre spørsmålet: Hvor mange personoppdateringer har vi? Det riktige svaret er to.

1. Et selskap som har en nettbutikkdatabase i sin sky.
2. Et markedsføringsbyrå som henter data, og basert på disse dataene, kan forberede et tilbud til kunder.

Personopplysninger behandles i mange forskjellige institusjoner, for eksempel i banker, skoler, klinikker, visumsentre. For ikke å nevne nettsidene hvor vi registrerer, forlater vi e-postadresser og telefonnumre. Men hvordan og hvor akkurat?

nyanse

Det er så uklar begrepet i loven som "personopplysninger". Hvis du prøver å forklare på enkle vilkår - dette er et komplekst, bestående av databaseservere, tekniske midler for å sikre behandling og informasjonsteknologi. I henhold til loven må ethvert personopplysningssystem være beskyttet.

Metoder for å beskytte informasjon er forskjellige.

• Fysisk: For eksempel i rommet hvor datamaskinene er plassert, kan kameraer installeres, tilgangskontroll, alarmsystemer kan brukes.
• Teknisk - ved hjelp av spesialiserte midler til informasjonsbeskyttelse.
• Administrative: alle slags regler og regler for behandling av personopplysninger i selskapet.

eksempel

En av metodene for å beskytte informasjon er depersonalisering av personopplysninger. Hva er det I visumsenteret tildeles hver person som søker visum, et eget identifikasjonsnummer. Tallet i seg selv refererer ikke til personopplysninger, siden det avhenger av en person: Det er umulig å identifisere personen som søkte om visum.

Jeg ser ut til å behandle personlige data.

Så, med terminologien sortert ut. Nå skal alle forretningsrepresentanter, spesielt individuelle entreprenører, som bare har få ansatte i staben, ærlig svare på spørsmålet: "Behandler jeg personopplysninger?"

Ja, hvis du er eier av et nettsted med tilstedeværelse av fem personer i uken, men det har et tilbakemeldingskjema med feltene "navn, e-postadresse, telefonnummer". Informasjon om formålene du samler inn personopplysninger, hvordan du bruker det, bør presenteres på nettstedet ditt.

Ja, hvis du behandler personopplysninger fra dine ansatte eller tredjeparts spesialister ansatt for å gjøre noe arbeid.

Ja, hvis du jobber med private kunder og du trenger passdata for inngåelse av kontrakter, gjelder dette reisebyråer, treningssentre, ulike servicevirksomheter, nettbutikker og andre.

Og igjen, ja, hvis du er en budsjettorganisasjon, et politisk parti eller en barnehage. Sistnevnte har ikke bare informasjon om barnet, men også om foreldrene, inkludert arbeidssted og stilling. For ikke å nevne medisinske institusjoner - det er et hav av personlig sensitiv informasjon som må lagres sikkert.

Men hvis du bruker data for personlig kommunikasjon uten kommersiell fordel, gjelder kravene i lovgivningen ikke for deg, og det er ingen tvil om noe straffbart ansvar.

For eksempel vil bruken av kontakter som er skrevet ut på et visittkort som du har mottatt fra en kollega eller telefonnumre i en notatbok på en smarttelefon, ikke pålegge deg ansvaret før loven.

Det viktigste er ikke å utlevere data til annonsører og ikke publisere dem uten tillatelse fra eiere av personopplysninger i det offentlige området.

Bestem kategorien av personopplysninger

Gratulerer, du er den stolte eieren av tittelen "personlig dataoperatør". Det viktigste er nå å forstå nøyaktig hvilke personopplysninger du behandler. Fordi det avhenger av kategorien personopplysninger, hvordan du beskytter data og hvilke krav som må oppfylles. Kategoriene er beskrevet i detalj i Federal Law-152 og regjeringsoppløsningen av 1. november 2012 N 1119.

Kategorier av personopplysninger i enkle ord:

Generelle tilgjengelige personopplysninger: Data fra åpne ressurser, som publiseres av emnet for personopplysninger eller med godkjenning. Offentlig tilgjengelig data er data fra media eller Internett.

Eksempel: informasjon publisert i åpen tilgang på sosiale nettverk eller på selskapets nettside. Telefonnummer og familiestatus publisert i offentlig tilgang til Facebook. Navnet på den ansatte og hans stilling på arbeidsgiverens nettside.

Biometriske personopplysninger: Denne kategorien inneholder alle data om de fysiologiske og biologiske egenskapene til mennesker.

Eksempel: vekt, høyde, øye eller hårfarge, hårlengde, blodtype, foto.

Personlige data i en spesiell kategori: Dette inkluderer informasjon om tilhørighet til ethvert rase og nasjon, politiske synspunkter, religiøse og filosofiske overbevisninger, helsetilstand eller intimt liv.

Eksempel: Medisinsk diagnose (informasjon om hva du var syk med, når, hvilken lege behandlet deg).

Personlige data av andre typer - dette inkluderer personopplysninger som ikke er inkludert i kategoriene ovenfor.

Eksempel: Bedriftsinformasjon. Regnskapskort for ansatte som inneholder informasjon som HR og bokføring arbeid: lønn, ferieperioder, arbeidsdato.

Kategori, nummer, type trusler - nivå av beskyttelse

Når du har bestemt deg for kategorien personopplysninger, må du forstå nøyaktig mengden data du behandler: opptil 100 000 eller over 100 000.

Funnet ut kategorien og kvantiteten, bestemmer type trussel:

Trusler nummer 1. "Holes" og sårbarheter i operativsystemet. Eksempel: Sårbarheter som hackere bruker til å infiltrere operativsystemet for å stjele informasjon.

Trusler nummer 2. "Holes" og sårbarheter i applikasjonsprogramvaren, det vil si i programvaren som brukes i ditt daglige arbeid. Eksempel: Word, Excel.

Trusler nummer 3. Alle andre trusler som ikke er oppført i de to første typene. Først av alt, den menneskelige faktoren. En ansatt kan legge et dokument åpent på en ulåst datamaskin, sende et dokument for å skrive ut til andres skriver eller via e-post.

Mengden av personopplysninger, kategori, type trusler - alt sammen lar deg bestemme hvilket nivå av beskyttelse som kreves for ditt informasjonssystem. Det er nå fire nivåer av beskyttelse.

Det første og høyeste beskyttelsesnivået brukes oftest til behandling av personopplysninger i statlige organer og medisinske institusjoner. Det fjerde beskyttelsesnivået er lettest å gi, noen ganger er det nok å gjennomføre organisatoriske regulatoriske tiltak, hovedsakelig det gjelder beskyttelse av allment tilgjengelige data.

Du kan bestemme beskyttelsesnivået ved hjelp av denne tabellen.

eksempel

Sykehuset behandler pasientens personopplysninger - dette er personopplysningene i en spesiell kategori. Det behandler også personopplysninger for ansatte - dette er personopplysninger i en annen kategori. Sannsynligvis har sykehuset to databaser. Hvis du legger til begge databasene, får du den totale mengden personlige data som spinner i informasjonssystemet på dette sykehuset.

For eksempel, alle av dem - opp til 100 tusen. Deretter ser vi på hvordan data behandles: automatisert (i en datamaskin) eller ikke automatisert (i et manuelt arkivskap). Hvis alt er automatisert, ser vi på hvilken programvare sykehuset bruker, hvilke sårbarheter den har.

Basert på dette er trusler og deres nivå identifisert. Vi legger til alle faktorene og får beskyttelsesklassen på andre nivå. Vi ser på hvilke krav i loven er stavet ut til det andre sikkerhetsnivået. På grunnlag av disse kravene vil det være nødvendig å bygge en informasjonssystembeskyttelse for å oppfylle kravene i forbundsloven.

Litt om faren for lekkasje av personopplysninger

Hvorfor bry deg med personlig databeskyttelse i det hele tatt? Personopplysninger er et dyrt element på det svarte markedet. Svindlere er villige til å betale imponerende beløp for en profil som inneholder de fulle detaljene i en persons medisinske rekord. Separat marked - salg av bankkortdetaljer; kontoer i sosiale nettverk.

Konsekvensene av personlekkasje er forskjellige. Dataene kan være offentlig tilgjengelig på Internett. Du kan for eksempel lett finne stjålne databaser med adresser og telefonnumre til bedriftens kunder på nettverket. Å vite navnet og etternavnet, noen kan finne ut adressen til en person, komme på det sosiale nettverket, se en profil eller bare skrive en SMS til en mobiltelefon.

Personlige data kan komme inn i databasen med irriterende utskrifter av noen kommersiell organisasjon, da vil eierne bli overveldet med uønskede tilbud om tjenester. De kan også brukes av online svindlere for online kasinoer eller for å åpne en elektronisk lommebok.

I verste fall kan en angriper etterligne en annen person og ta æren for andres navn. De alvorligste konsekvensene av utilsiktede personopplysninger er: ulovlige handlinger med fast eiendom, tyveri av penger fra bankkort, utpressing av slektninger og registrering av et selskap.

Ansvarsbyrde

Forstår du betydningen av spørsmålet og er klar til å bære ansvar? Det stemmer. Fordi ansvaret for sikkerheten til personopplysninger ligger helt hos operatøren.

Dette betyr at operatøren må passe på at informasjonen ikke flyter til offentlig tilgang eller ikke faller i hendene til tredjeparter som ikke har noen rettigheter til det. Dette krever konstant overvåkning og forebygging av datasikkerhetstrusler, kontroll over nivået av informasjonssikkerhet og gjenoppretting i tilfelle tap.

I vårt land overvåker Roskomnadzor overholdelse av lovgivningen innen personopplysninger. Denne kroppen reagerer på klager, regulerer forholdet mellom fag og operatører.

De tekniske kravene til beskyttelse av informasjon er FSTECs og FSBs ansvar: De utvikler krav og kontrollerer utførelsen av dem.

Krav til behandling av personopplysninger

Og nå er det på tide å studere bordene med kravene til teknisk beskyttelse av personopplysninger. Detaljer finner du i rekkefølge av Federal Service for Technical and Export Control av 18 februar 2013 N 21.

Men begynn minst med dette:

1. Registrer deg hos Roskomnadzor som operatør av personopplysninger. Påkrevd å søke på Roskomnadzor i papir eller elektronisk form. Informasjon om lenken.
2. Få skriftlig samtykke fra alle enheter hvis personopplysninger behandles. Samtykke til behandling av personopplysninger er det viktigste juridiske dokumentet som bekrefter lovligheten av behandling av personopplysninger.
3. Utvikle intern dokumentasjon. Idriftsettelse etter ordre fra leder av organisasjonen "Forskrift om behandling av personopplysninger." I dette dokumentet forklarer operatøren hvordan han planlegger å bruke personopplysninger, for hva og hvor de skal overføres. Dette er et grunnleggende dokument som kreves av enhver personlig datoperatør. Basert på det er alle andre administrative dokumenter utviklet.

Mange nettstedseiere tror at hvis en besøkende klikker på knappen "Jeg er enig i behandlingen av personlige data", vil det ikke være noen juridiske problemer, og databehandling vil automatisk falle inn i det juridiske feltet. Det er det ikke.

Fra et juridisk synspunkt er det kun to måter å bekrefte samtykket til behandling av personopplysninger: Legg en signatur på papir eller ved hjelp av en elektronisk digital signatur.

I alle andre tilfeller vil sakenes eier ikke kunne bekrefte hvem som akkurat trykket på "Jeg er enig" -knappen hvis saken går til retten. Man kan bare håpe at faget som kom til nettstedet ditt, frivillig sender sine data og ikke sender inn en klage.

Er det virkelig en sjekk?

Ja, sjekker kan være fra Roskomnadzor.

Roskomnadzor publiserer årlig en liste med sjekker selektivt fra listen over registrerte operatører, hvis et selskap er inkludert i sjekklisten, så er neste planlagte kontroll mulig senest tre år etter. Du kan se om firmaet ditt er på listen i år her.

Off-plan sjekker er vanligvis forårsaket av klager. Hvis sjekken ikke er planlagt, bør du være advart om det i 24 timer skriftlig.

Det kan også være dokumentkontroll. Når du dokumenterer, sender du en liste over dokumenter, hvorav kopier skal sendes til Roskomnadzor.

Noen ganger gjør Roskomnadzor inspeksjoner på stedet: inspektørene gjør personlig besøk for å sjekke selskapet på stedet.

Forberedelse for noen av disse kontrollene er en tidkrevende oppgave. Vil du løse oppgaven med å forberede deg selv, eller involvere eksterne spesialister, må du først avgjøre hvem i selskapet vil være ansvarlig for å overholde FZ-152.

Bøter, domstoler og andre grusomheter

For brudd på 152-FZ er sivile, kriminelle, administrative og disiplinære ansvar gitt.

Så utførte Roskomnadzor en inspeksjon, hvis den fant uoverensstemmelser med loven, vil han avgjøre en undersøkelse til undersøkelsesutvalget om å gjennomføre en rettssak om brudd på loven "On Personal Data".

Etter dette vil anklagers kontor begynne en inspeksjon, der den kan suspendere selskapets virksomhet: ta ut selskapets database, spesielt datamaskiner som personopplysningene ble behandlet på.

Lovbrytere venter først og fremst på bøter. Mengden av bøter varierer avhengig av lovbrudd. For behandling av personopplysninger uten skriftlig tillatelse fra enhetene, vil juridiske personer derfor måtte påta seg administrativt ansvar.

Selv om operatøren er villig til å betale bøter, men etter storforetaksstandarden, ser den ikke ut til å være stor, men lovbrukeren må fortsatt eliminere inkonsekvensen før loven (for eksempel slette lagrede data) og varsle Roskomnadzor.

Det verste fallet er at Roskomnadzor bestemmer seg for å tilbakekalle selskapets lisens, forby virksomhet fra å behandle personopplysninger og ulovlig publisere personopplysninger om borgere.

I løpet av de siste årene var den høyeste skandalen i Russland forbundet med å blokkere LinkedIn, hvis eiere ble anklaget for å behandle personopplysninger av borgere uten deres samtykke på servere utenfor Russland. Blokkeringen av autonum.info-tjenesten var også "laget lyder".

Hvor mye vil det koste meg penger og styrke

Du kan organisere behandling av personopplysninger uavhengig eller ved hjelp av et selskap som tilbyr en slik tjeneste.

Hvis du bestemmer deg for å behandle personlige data selv, må du:

1. Forstå hvilken kategori personopplysninger du behandler, og hva er de tekniske kravene til deres beskyttelse.
2. På egen hånd eller med hjelp av et IT-selskap utvikler du tekniske løsninger, forbereder kjøp av nødvendig utstyr og programvare, installerer det og implementerer det.
3. Utsted alle juridiske dokumenter. Utvikle et sett med interne dokumenter: instruksjoner og forskrifter.

I beste fall vil det ta tre til fire måneder, på bekostning av en slik implementering, kan det være 200-300 tusen rubler - dette er kostnaden ved å kjøpe utstyr og lisenser. Arbeidskostnader og ytterligere støtte til informasjonssystemet er et separat utgiftsområde. Du vil også trenge en administrator som overvåker driften av systemet.

Når vi snakker objektivt, oppfyller svært små bedrifter ikke alle lovens krav i håp om at det ikke vil bli verifisert. Kanskje det egentlig ikke vil. Andre selskaper lager "Potemkin landsbyer" bare ved å late som å behandle personopplysninger i samsvar med lovens krav, med andre ord, de "kjøper" de nødvendige dokumentene.

I neste artikkel viser vi hvordan du beregner kostnaden for behandling av personopplysninger i et selskap og forteller deg når det er mer lønnsomt å gjøre personopplysninger og når det er bedre å sette det inn i skyen.

Materialet er utgitt av brukeren. Klikk på "Skriv" -knappen for å dele din mening eller snakke om prosjektet ditt.

Personopplysningsloven: implikasjoner for kontorarbeid

• Khramtsovskaya Natalia | Kandidat for historisk vitenskap, ledende ekspert på dokumentstyring av EOS Company, ISO Expert, Medlem av Det internasjonale arkivrådet

Leter etter grunnårsaken

Den russiske føderasjonsloven nr. 152-ФЗ "På personopplysninger" ble vedtatt 27. juli 2006, og mot bakgrunnen til andre utestående hendelser i det siste året gikk det nesten ubemerket. Den formelle grunnen til vedtaket var de mange fakta om tyveri av personopplysninger i statlige og kommersielle strukturer og deres utbredte salg. Faktisk var hovedformålet med å vedta denne loven behovet for å fjerne visse hindringer for handel med landene i EU.

Frankrike forbød publisering av fakta om personvern og pålagt bøter for overtredere i 1858.

Den norske straffeloven forbød publisering av opplysninger om "personlige eller private saker" i 1889.

Innenrikslov "Personopplysninger" datert 27. juli 2006 begynte 152-FZ sin drift 26. januar i år (i samsvar med del 1 i artikkel 25, trådte loven i kraft 180 dager etter den offisielle publikasjonen, som fant sted 29. juli 2006 i "Rossiyskaya Gazeta").

I henhold til EU-direktiv 95/46 / EF kan personopplysninger kun overføres til land som gir samme beskyttelsesnivå som i Europa. Dette hindret vesentlig utveksling av informasjon fra europeiske myndigheter og selskaper med sine utenlandske partnere, noe som gjør det umulig for mange kommersielt lovende prosjekter. Slike begrensninger ble ikke bare opplevd av Russland og tredje verden, men også av et økonomisk monster som USA. Så, vår regjering besluttet å overvinne denne barrieren. La oss se hvordan han gjorde det og hva det vil koste oss alle sammen.

Vedtaket av den russiske loven om personopplysninger var resultatet av Russlands tiltredelse til Europakonvensjonen fra 1981 om beskyttelse av personen i forbindelse med automatisk behandling av personopplysninger som definerer de grunnleggende prinsippene for beskyttelse av personopplysninger i europeiske land. Denne konvensjonen og de påfølgende EU-direktiver skisserte oppgaver som nasjonal lovgivning bør behandle når man regulerer personopplysninger:

• beskyttelse av personopplysninger fra uautorisert tilgang til dem av andre personer, herunder representanter for offentlige organer og tjenester som ikke har den nødvendige myndighet
• Sikre sikkerhet, integritet og pålitelighet av data i prosessen med å jobbe med dem, inkludert overføring via kommunikasjonskanaler;
• Sikre riktig juridisk regi av disse dataene når de arbeider med dem for ulike kategorier av personopplysninger;
• Sikre kontroll over bruk av personopplysninger fra borgerne.
• Opprettelsen av en egen uavhengig struktur som sikrer effektiv kontroll over overholdelse av borgernes rettigheter for å beskytte sine personlige data (for eksempel opprettelse av stillingen som kommissær for beskyttelse av personopplysninger).

Vår lov gjentar i stor grad de viktigste bestemmelsene i europeisk lovgivning på dette området, som regnes som en av de tøffeste 2 i verden. Selv om loven i 2006 ble snakket om ganske ofte, men få mennesker nøye leser innholdet i bestemmelsene sine. Men for å sikre at kravene overholdes, er det nødvendig å endre arbeidet med informasjon og dokumentasjon som inneholder personopplysninger. La oss prøve å finne ut hva som er nytt innen administrasjon av dokumenter og informasjon i organisasjonen?

• I alle organisasjoner er det et nytt, ganske omfattende dokumentasjonslag. Dette er dokumenter relatert til å få samtykke fra enkeltpersoner til behandling av personopplysninger, med registrering av databaser med autorisert organ, med dokumentasjon av alle transaksjoner med personopplysninger etc.
• Det er behov for å markere dokumenter og informasjon som inneholder personopplysninger; deres spesielle merking både på papir og elektroniske medier; separate regnskaps- og tilgangssporing. Du kan snakke om utseendet til en annen type nakketilgang til dokumenter.
• Grunnleggende endringsmetode for etablering av oppbevaring av dokumenter og opplysninger. For første gang i hjemmepraksis er den maksimale lagringsperioden etablert, og den betingede perioden, som vil være ganske vanskelig å observere og spore.
• Når du arbeider med personopplysninger, er det nødvendig å tydelig tenke på forhånd og registrere det i reguleringsdokumenter, som er knyttet til behandlingen. Ellers kan organisasjonen holdes ansvarlig, og enda mer ubehagelig kan det være mange rettssaker fra personopplysningene selv 3.
• Loven introduserer svært strenge frister for gjennomføring av alle borgernes appeller i forbindelse med behandling av personopplysninger.

La oss nå dvele mer detaljert om de viktigste lovbestemmelsene og vurdere hvilke organisasjoner og institusjoner som må gjennomføre for å gjennomføre det. I tillegg vil vi prøve å analysere noen lovbestemmelser når det gjelder korrekthet og klarhet i ordlyden.

Omfanget av loven

Det aller første spørsmålet: hvem gjelder denne loven? Som svar på det kan vi trygt si at det gjelder for alle uten unntak (til statlige institusjoner, juridiske personer og enkeltpersoner). Her er en liste over artikkel 1:

• føderale regjeringsorganer
• statlige myndigheter av de russiske føderasjonsenhetene,
• andre statlige organer
• lokale myndigheter,
• kommunale organer som ikke er en del av systemet med lokale selvstyreorganer,
• juridiske enheter
• enkeltpersoner.

Det andre viktige problemet er lovens omfang.

Artikkel 1 i Russlands føderale lov "På personopplysninger" nr. 152-FZ 27. juli 2006

Denne føderale loven regulerer forhold knyttet til behandling av personopplysninger... ved bruk av automatiseringsverktøy eller uten bruk av slike midler, hvis behandling av personopplysninger uten å bruke slike midler tilsvarer arten av handlingene (operasjoner) utført med personopplysninger ved hjelp av automatiseringsmidler.

Ordlyden av denne artikkelen er et eksempel på hvordan man ikke skriver lover. Det viste seg noe uforståelig, noe som tillater en rekke tolkninger. Hvordan, på grunnlag av en slik tekst, for eksempel å svare på spørsmålet om hvorvidt dataene som er omtalt i en fri form i en forretningsbrev, faller innenfor lovens anvendelsesområde? Hvis en slik notatbok er lagret på en datamaskin eller i en mobiltelefon, betraktes det som "bruk av automatiseringsutstyr"?

Den europeiske lovgivningen i denne forbindelse er klarere:

EU-direktiv 95/46 / EF 1995

Artikkel 2 "Definisjoner":

(c) "personlig datalagringssystem" 4 ("lagringssystem") er et strukturert sett med personopplysninger som kan nås i henhold til visse kriterier - uansett hvordan datasettet er organisert, enten sentralisert, desentralisert eller distribuert på en funksjonell eller geografisk basis...

Artikkel 3 "Omfang":

1. Dette direktivet gjelder behandling av personopplysninger ved hjelp av automatiske midler (helt eller delvis), samt til behandling på andre måter enn automatiske, personlige data, komponenter eller som er ment å være en del av lagringssystemene.

I moderne dataterminologi betyr "strukturert data" først og fremst databaser. I papirarbeid omfatter de kortfiler og arkiver av personlige filer. Derfor inneholder europeiske krav:

• til automatisk behandling av personopplysninger og
• for bruk (enten i automatisk eller annen modus) som inneholder personopplysninger for papir og elektroniske databaser, kortfiler, etc., som har en søkemekanisme som gjør det enkelt å trekke ut opplysninger om en bestemt person.

Hvorfor var det umulig å skrive på russisk og i vår lov forblir uforståelig?

Oppmerksomhet bør gis til forskjellen i terminologi: "automatisk behandling" er en ting, og behandling av "ved hjelp av automatiseringsutstyr" er et helt annet begrep, mye bredere og mer vakt.

Loven gir bare fire unntak, nemlig loven gjelder ikke for forhold som oppstår:

• når du behandler personlige data for personlig og familiebehov
• Ved behandling av personopplysninger i dokumenter fra Den russiske føderasjons arkivfond
• ved behandling av personopplysninger for inkludering i Unified State Register of Individual Entrepreneurs (EGRIP);
• ved behandling av personopplysninger klassifisert som statshemmeligheter.

Ett av disse punktene krever mer detaljert studie. Til å begynne med, sitater vi loven:

Artikkel 1 i Russlands føderale lov "På personopplysninger" nr. 152-FZ 27. juli 2006

2. Denne føderale loven gjelder ikke for forhold som oppstår fra:

2) Organisering av lagring, oppkjøp, regnskap og bruk, som inneholder personopplysninger om dokumenter fra Den russiske føderasjons arkivfond og andre arkivdokumenter i samsvar med lovgivningen om arkiver i Russland.

Vi påminner deg om to definisjoner som er nedfelt i loven "om arkivspørsmål i Russland" nr. 125-ФЗ datert 10.22.2005:

• arkivdokument - et håndgitt medium med informasjon som er registrert på den, som har detaljer, slik at den kan identifiseres og er gjenstand for lagring på grunn av betydningen av den angitte transportøren og informasjonen for borgere, samfunn og stat
• Dokumentet til Arkivfondet i Den Russiske Federasjon er et arkivdokument som har bestått undersøkelsen av verdien av dokumenter, er satt på statlig regnskap og er gjenstand for permanent lagring.
  Det viser seg at hvis en permanent lagringsperiode er etablert for et dokument eller en database, og de er inkludert i Den russiske føderasjons arkivfond, gjelder denne loven ikke for dem. Denne feilen gjør det mulig for offentlige myndigheter å ha en seriøs database for å unngå implementering av den nye loven om personopplysninger.

Her er et eksempel på hvordan dette kan gjøres. Ifølge den føderale loven om arkiv i Russland (del 2 i artikkel 18) godkjenner Russlands regjering listen over føderale forvaltningsorganer og organisasjoner som utfører oppbevaring av dokumenter fra Arkivfondet i Russland som er i føderalt eierskap. En ny liste over 5 av disse avdelingene og organisasjonene ble godkjent ved utgangen av 2006. Samtidig ble disse organisasjonene beordret til å inngå avtale om lagringsforhold for dokumenter med Rosarkhiv. Hvis kontrakten konkluderer det spesifikt at alle dokumenter, bortsett fra operasjonelle, anses å være dokumenter som er overført for varetekt, så kan hovedparten av dokumenter plasseres under dette unntaket.

For andre statlige organisasjoner kan en av opsjonene være rask godkjenning av saksdokumenter med statsarkiver, som faktisk ville bety at inkludering av dokumenter i Arkivfondet i Russland, og igjen å forlate "handlingsområdet" av loven om personopplysninger.

EU-direktiver inneholder ikke et slikt unntak, men eksisterer for eksempel i US Code 6, som inneholder mer korrekt ordlyd som ikke tillater tvetydighet: Personopplysningslovgivning gjelder vanligvis ikke for dokumenter som allerede er deponert i statsarkiver, men gjelder dokumenter som overføres til statsarkivet av et forvaltningsorgan.

Det er også uklart hvorfor, fra våre tallrike statlige databaser, gjorde vår lov et unntak for Unified State Register of Individual Entrepreneurs (EGRIP). Det ville være logisk å forlenge unntaket til andre statlige registre som også inneholder personopplysninger (for eksempel inkorporeringen inneholder informasjon om grunnleggerne og førstepersonene til alle juridiske enheter i landet).

Personlige data og behandlingsmetoder

Personlige opplysninger - opplysninger om fysisk person (personopplysninger) bestemt eller bestemt på grunnlag av slik informasjon, inkludert hans etternavn, fornavn, patronym, år, måned, dato og sted for fødsel, adresse, familie, sosiale, eiendomsstatus, utdanning, yrke, inntekt, annen informasjon (i henhold til artikkel 3 i lov om personopplysninger).

Loven gir følgende metoder for behandling av personopplysninger (for et antall av dem er det detaljert forklaring gitt i artikkel 3):

• samling;
• systematisering;
• akkumulering,
• lagring;
• avklaring (oppdatering, endring);
• bruk - "handlinger" med personopplysninger som utføres av operatøren 7 med det formål å ta avgjørelser eller utføre andre handlinger som medfører juridiske konsekvenser i forhold til personopplysninger eller andre personer eller på annen måte påvirker rettighetene og frihetene til personopplysninger eller andre personer "
• distribusjon (inkludert overføring) - "tiltak for å overføre personopplysninger til en bestemt personkrets (overføring av personopplysninger) eller bekjentskap med personopplysninger om ubegrenset antall personer, herunder offentliggjøring av personopplysninger i media, plassering i informasjon og telekommunikasjon nettverk eller gi tilgang til personlige data på annen måte ";
• Depersonalisering - "handlinger, der det er umulig å fastslå identiteten til personopplysninger til et bestemt emne for personopplysninger";
• blokkering - "midlertidig opphør av samlingen, systematisering, akkumulering, bruk, spredning av personopplysninger, inkludert overføring av dem";
• ødeleggelse av personopplysninger - "handlinger, som medfører at det ikke er mulig å gjenopprette innholdet av personopplysninger i informasjonssystemet av personopplysninger eller som følge av hvilke materielle transportører av personopplysninger ødelegges".

Spesiell oppmerksomhet bør tas til slike behandlingsmetoder som blokkering og ødeleggelse av personopplysninger. Loven sier ganske godt om ødeleggelse - dette er tilnærmingen som nå anbefales av norske og utenlandske standarder. Når det gjelder blokkering av personopplysninger, ble denne metoden for behandling i hjemmepraksis innført for første gang, og gjennomførelsen kan betydelig komplisere livslivet til organisasjoner som bruker tidligere utviklede informasjonssystemer og databaser der en slik operasjon ikke er gitt.

Prinsipper og vilkår for behandling av personopplysninger

Lovens bestemmelser er primært rettet mot å forhindre ulovlig innsamling og bruk av personopplysninger. Dette lovgivningsbehovet har ført til fremveksten av en ny stilling for rekordoppholdspraksis:

Klausul 2 i artikkel 5 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ

Personlige data skal lagres i et skjema som gjør det mulig å bestemme emnet, ikke lenger enn behandlingsmålene krever, og bør ødelegges når målene for personlig databehandling, eller tap av behovet for å oppnå dem, blir ødelagt.

I dette tilfellet legger loven for første gang kanskje informasjon og dokumenterer den maksimale og dessuten betingede oppbevaringsperiode - "når det gjelder å oppnå behandlingsmål". Organisasjoner må etablere lagringsperioder for dokumenter som inneholder personopplysninger, og det vil være nødvendig å tenke på forhånd om begrunnelsen for de valgte lagringsperioder. Dette er et ganske komplisert spørsmål som kan føre til mye kontrovers og problemer.

I tillegg må DOE-spesialister være oppmerksom på følgende: Siden målene for innsamling og behandling av personopplysninger, som lovkravet krever, må bestemmes før arbeidet påbegynnes, er det nødvendig å nøye vurdere deres ordlyd. Ellers kan organisasjonen selv "erstatte" seg selv: målene vil bli oppfylt, og personopplysninger vil ikke bli ødelagt.

En av de mest ubehagelige for organisasjoner som samler og behandler personopplysninger, er kravet i artikkel 6 om behovet for å få samtykke fra faget til behandling. Ingen samtykke er bare nødvendig i følgende tilfeller:

• på grunnlag av føderal lovgivning
• for å oppfylle kontrakten med temaet personopplysninger;
• for statistiske eller vitenskapelige formål
• å beskytte livet og helsen til emnet av personopplysninger;
• for levering av postvarer av postorganisasjoner;
• i løpet av profesjonelle aktiviteter av en journalist, lærer, etc.;
• data som skal publiseres i samsvar med føderale lover
• for å beskytte grunnlaget for den konstitusjonelle orden, moral, helse, rettigheter og legitime interesser til andre, for å sikre forsvaret av landet og statens sikkerhet.

Vi har allerede en rekke føderale lover som beskriver behandling av personopplysninger, for eksempel når du opprettholder Unified State Registers of Taxpayers (EGRN) og juridiske enheter (USR). Den eneste betingelsen for å bruke unntaket fra kravet om generelt samtykke er å stille følgende spørsmål i gjeldende lovgivning:

• mål,
• vilkår for innhenting av personopplysninger
• sirkel av fag hvis personopplysninger er underlagt behandling,
• operatørens krefter samler dataene.

Det er ikke klart hva som vil skje med de lover som inneholder normer knyttet til innsamling og behandling av personopplysninger, men oppfyller ikke den angitte betingelsen.

Den første til problemene knyttet til overholdelse av den nye loven, gjorde oppmerksomheten til forsikringsselskapene. Etter deres mening kan loven om personopplysninger alvorlig hindre gjennomføringen av loven om tvangsautorisert tredjepartsansvarsforsikring (MTPL) på grunn av forbudet til overføring til klientens personopplysninger oppnådd ved avslutningen av MTPL-kontrakten uten hans samtykke. Som et resultat vil forsikringsselskapet ikke kunne få fullstendig informasjon om sine kunder fra en enkelt database (og å opprettholde en slik database er også tvilsom), i denne situasjonen øker risikoen ved forsikringsselskaper.

Forsikringsselskaper prøver allerede å løse dette viktige problemet for dem ved å vurdere følgende alternativer:

• Endringer i loven om OSAGO og forsikringsselskapers plikt til å utveksle data om forsikrede hendelser.
• Definisjon av en del av personopplysninger som offentlig. Informasjonen som en person indikerer når man lager en OSAGO-kontrakt, er ifølge myndighetene offentlige. Men loven "På personopplysninger" krever samtykke til innsamling av offentlige data.
• Utvalget for All-Russian Association of Insurers (ARIA) for å bekjempe forsikringssvindel har allerede utarbeidet to regninger, som er planlagt å bli sendt til statsdumaen i begynnelsen av 2007. Ifølge lederen av komiteen, Yevgeny Potapov, vil en av disse regningene endre loven "Om organisering av forsikringsvirksomhet i Russland." Det vil tillate forsikringsselskaper å lage automatiserte informasjonssystemer basert på deres foreninger og foreninger, som vil inneholde data om forsikringskrav og betalinger 8.

§ 6 i artikkel 6 om å gi rett til å behandle personopplysninger til journalister, lærde og representanter for andre kreative yrker uten samtykke fra emnet er i tvil. Det er ganske realistisk (spesielt i kommersielle strukturer) å innføre en heltidsposisjon av "en representant for det kreative yrke" og "skrive til det" alle databaser som inneholder personlig informasjon.

For eksempel i England, i en lignende bestemmelse i loven, er det i tillegg fastsatt at i dette tilfellet skal formålet med databehandling være publisering av det aktuelle materialet; at en slik publikasjon må være i offentlig interesse (inkludert i utøvelsen av retten til selvutfoldelse av en representant for det kreative yrke) 9.

I tillegg er det interessant hvordan vi skal avgjøre hvem som er journalist eller forfatter, og hvem er det ikke. Det er ikke en hemmelighet at mange av de skriftlige brødrene ikke har de riktige diplomene eller offisielle ID-ene. Her kan tilnærmingen som brukes i USA, være nyttig for oss: journalister gjenkjenner alle de som skriver artikler for offentlig distribusjon, selv om de kun publiseres på Internett.

I USA i januar 2007 begynte rettssaken til tidligere senior George Bush Lewis "Scooter" Libby-administrasjonen. Et hundre seter ble satt til side for pressen i rettssalen, og to av dem ble offisielt mottatt av forfatterne av Internett-dagbøkene.

American Society of Newspaper Editors, når det utarbeides en føderal lov om å gi journalister rett til ikke å avsløre konfidensiell informasjon under rettssaker, foreslår at denne loven gjelder for alle uten unntak og dekker de som samler inn opplysninger for videre distribusjon. Og forfatterne av Internett-dagbøker, "bloggere", faller også under denne definisjonen 10.

La oss nå se hvordan den nye loven innebærer å få samtykke fra faget til behandling av hans personopplysninger.

Klausul 1 i artikkel 9 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ

Personopplysningen bestemmer seg for å levere sine personopplysninger og godtar behandlingen av egen vilje og i egen interesse. Samtykket til behandling av personopplysninger kan trekkes tilbake av personopplysninger.

I tillegg inneholder paragraf 3 i artikkel 9 en ganske ubehagelig tilstand for operatørene. De må enten samle bevis på at dataene som er samlet inn av dem, er hentet fra offentlig tilgjengelige kilder, eller få samtykke fra personopplysninger og deretter lagre dette dokumentet dersom "emnet" bestemmer seg for å saksøke operatøren for brudd på hans rettigheter.

Med offentlig tilgjengelige data er det heller ikke så enkelt. Artikkel 8, som definerer hva som menes med offentlig tilgjengelige kilder til personopplysninger (referansebøker, adressebøker, etc.), understreker at personlig informasjon bare kan inkluderes der med skriftlig samtykke fra faget. Videre kan "opplysninger om emnet for personopplysninger til enhver tid utelukkes fra offentlig tilgjengelige kilder til personopplysninger på forespørsel fra emnet for personopplysninger eller av en domstol eller andre autoriserte myndighetsorganer."

På den annen side, hvis en organisasjon brukte offentlig tilgjengelige kilder til personopplysninger ved innsamling av informasjon, måtte den dokumentere hvor den mottok denne informasjonen og sørge for at «kilden» har det skriftlige samtykke som kreves av loven.

Forbundslov av Russland "På Personopplysninger" datert 27. juli. 2006 nr. 152-FZ

§ 12 i artikkel 3. Grunnleggende vilkår som brukes i denne føderale loven

Generelle tilgjengelige personopplysninger er personopplysninger som et ubegrenset antall personer har tilgang til med samtykke fra emnet for personopplysninger eller til hvem kravet om konfidensialitet ikke gjelder i samsvar med føderale lover.

Artikkel 8 nr. 1. Generelle tilgjengelige kilder til personopplysninger

For å kunne gi informasjonsstøtte, kan offentlige kilder til personopplysninger (inkludert referansebøker, adressebøker) opprettes. Offentlige tilgjengelige kilder til personopplysninger med skriftlig samtykke fra emnet for personopplysninger kan omfatte hans etternavn, fornavn, mellomnavn, år og fødested, adresse, abonnentnummer, opplysninger om yrket og annen personlig informasjon som er gitt av personopplysninger.

§ 3 i artikkel 9. Samtykke til gjenstand for personopplysninger om behandling av personopplysninger

Forpliktelsen til å fremlegge bevis på samtykke fra personopplysninger til behandling av hans personopplysninger, og i tilfelle behandling av offentlig tilgjengelige personopplysninger, er operatøren forpliktet til å bevise at personopplysningene som behandles er offentlig tilgjengelige.

Det viser seg at for å beskytte seg selv, må organisasjoner be om offisiell bekreftelse for hver borger.

Hvordan skal fagets skriftlige samtykke innleveres? Det viser seg at en borgers underskrift under generell frase "Jeg er enig i innsamling og behandling av mine personlige data", vil ikke være nok.

Klausul 4 i artikkel 9 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ

... skriftlig samtykke fra fagpersonen til personopplysninger til behandling av personopplysninger bør omfatte:

1. etternavn, navn, patronymic, adresse på emnet for personopplysninger, nummeret på hoveddokumentet som viser sin identitet, opplysninger om utstedelsesdato for det angitte dokumentet og utstedelsesmyndigheten;
2. navn (etternavn, navn, patronym) og adresse til operatøren som får samtykke fra fagpersonen til personopplysninger;
3. Formålet med behandlingen av personopplysninger
4. en liste over personopplysninger for behandling av hvilket samtykke fra personopplysninger er gitt
5. listen over handlinger med personopplysninger for hvilket samtykke er gitt, en generell beskrivelse av metodene som brukes av operatøren for behandling av personopplysninger;
6. perioden hvor samtykket er gyldig, samt prosedyren for tilbaketrekning.

Dette betyr at før operatøren skal "fange" emnet med personopplysninger og forsøke å få samtykke, må operatøren utvikle en spesiell form for dokumentet som vil inneholde all nødvendig informasjon.

Rettigheter til emnet for personopplysninger

Først av alt, har personopplysninger rett til å motta følgende opplysninger:

• informasjon om operatøren,
• informasjon om operatørens beliggenhet,
• informasjon om operatørens personopplysninger relatert til det aktuelle emnet for personopplysninger,
• Emnet har også rett til å gjøre seg bekjent med sine personopplysninger fra operatøren.

Fra operatøren kan emnet for personopplysninger kreve:

• avklare dine personlige data
• deres blokkering eller ødeleggelse i tilfelle at personopplysninger er ufullstendig, utdatert, unøyaktig, ulovlig oppnådd eller ikke nødvendig for det oppgitte formålet med behandlingen.

Mange vanskeligheter for operatørorganisasjoner vil skape klausul 2 i lovens artikkel 14 som krever at opplysninger om tilgjengeligheten av personopplysninger blir gitt til operatøren i en tilgjengelig form, og at de ikke inneholder opplysninger om andre emner av personopplysninger.

Saken 11 "Durant vs. Financial Services Authority", behandlet i Court of Appeal i England i desember 2003, mottok et bredt svar. Rettens avgjørelse innskrenket betydelig tolkningen av begrepet "personopplysninger". Retten indikerte spesielt at bare nevnen til denne personen i teksten i dokumentet ikke er nok til å vurdere dokumentet som inneholder personopplysninger. I tillegg bekreftet retten at retten til å få tilgang til personopplysningene ikke bør være i strid med tredjeparts rettigheter, og at personopplysninger fra tredjeparter bør fjernes fra kopier av dokumenter som er gitt på forespørsel (unntatt spesielle tilfeldighetsforhold).

I november 2004 nektet regjeringen arbeidstakere i Storbritannia til å få tilgang til personopplysningene, uansett om arbeidsgiveren holder dem i papir eller elektronisk form, hvis de lagres i et system som ikke klart strukturerer informasjonen på hver person. Dermed ble lagringssystemene for papirfiler (med unntak av personlige filer) de facto fjernet fra lovens handling om å gi tilgang til personlig informasjon siden de er vanskelige å isolere informasjon om en bestemt person.

For å få tilgang til deres personlige data, må våre landsmenn:

• Søk personlig eller
• send forespørsel, som skal inneholde:
  • nummeret på hoveddokumentet som bekrefter identiteten til emnet for personopplysninger eller hans juridiske representant,
  • informasjon om datoen for utstedelse av det angitte dokumentet og utstedelsesmyndigheten og
  • håndskrevet signatur av emnet for personopplysninger eller hans juridiske representant.

Denne forespørselen kan sendes i elektronisk form og signeres med en digital signatur. Dermed gir loven formelt mulighet til å søke om personopplysninger via elektroniske kommunikasjonskanaler. Vi har ennå ikke personer som har sin egen EDS i samsvar med loven om EDS (i det overveldende flertallet av tilfellene er EDS brukt i vårt land i samsvar med artikkel 160 i lov om borgerlig lov, som fastsetter en foreløpig avtale fra partene).

Mengden informasjon som et emne av personopplysninger kan kreve, viser bekymring for våre borgere. Organisasjoner som leder databasen som inneholder personopplysninger, anbefales å legge særlig vekt på punkt 4 i artikkel 14 i den nye loven for å tenke over og konsolidere prosedyren for å gi opplysninger i interne forskrifter:

1. faktumet av behandling av personopplysninger av operatøren, samt formålene med slik behandling
2. om metodene for behandling av personopplysninger som brukes av operatøren
3. om personer som har tilgang til personlige opplysninger eller som kan få tilgang til denne (for å kunne rapportere om hvem og hvilke personopplysninger som ble gitt, er det nødvendig å organisere arbeidet med registrering av personopplysninger og kontrollere tilgang til dem, ellers operatørorganisasjonen ganske vanskelig å oppfylle dette kravet);
4. liste over behandlede personopplysninger og mottakskilder;
5. Behandlingstiden for personopplysninger, inkludert lagringstid (særlig oppmerksomhet til dette kravet, da det forplikter operatøren faktisk å fastsette behandlings- og lagringstider, som kan variere avhengig av formålet med personlig databehandling, ved interne forskriftsdokumenter).
6. Informasjon om hvilke rettslige konsekvenser for personopplysninger kan medføre behandling av hans personopplysninger (for å oppfylle dette kravet bør organisasjoner på forhånd instruere sine advokater om å formulere begrunnelser for alle mulige juridiske konsekvenser av personopplysninger)

Spørsmålet om personlig databehandling "for å fremme varer, verk, tjenester på markedet gjennom direkte kontakter med en potensiell forbruker gjennom kommunikasjonsverktøy, samt for politisk kampanjer" er viet til en spesiell artikkel (artikkel 15). Nå må kommersielle og politiske organisasjoner, før de sender reklame, innhente samtykke fra borgerne, og behandling av PD "er anerkjent utført uten forhåndsgodkjenning av personopplysninger, dersom operatøren ikke beviser at slik samtykke er innhentet." For noen kommersielle strukturer kan dette kravet være svært ubeleilig!

Heretter "forbudt beslutning basert utelukkende på automatisk behandling av personopplysninger løsninger som gir opphav til rettsvirkninger i forhold til personopplysninger emnet eller på annen måte påvirke rettigheter og legitime interesser" (artikkel 16).

Denne bestemmelsen er nødvendig og rettidig. Men våre lovgivere forvirret to forskjellige begreper: "automatisk" (det vil si uten menneskelig deltakelse) og "automatisert" (det vil si med menneskelig deltakelse). Som et resultat av denne artikkelen, i stedet innføre ytterligere restriksjoner til dem og bare de tilfeller der informasjonen systemet tar noen beslutninger uten menneskelig intervensjon (for eksempel periodisering av straffer, forbud mot utreise, etc.), kan tolkes som å innføre restriksjoner på alle typer personopplysninger, siden selv bruk av en kalkulator kan forstås som automatisert behandling!

I den samme artikkelen i den nye loven står det at operatøren vil kunne ta avgjørelser basert bare på "automatisert" behandling, dersom:

• få skriftlig samtykke fra det personopplysninger eller
• hvis disse reglene er etablert av føderale lover.

I noen reguleringsdokumenter er disse lovkravene allerede tatt i betraktning. I eksemplene på søknader om utstedelse av en ny generasjon pass er det således en spesiell seksjon der søkeren samtykker til "automatisert" behandling av dataene som er angitt i søknaden. Det lyder som følger: "Jeg er enig med den automatiserte behandlingen, overføringen og lagringen av dataene som er angitt i søknaden med det formål å fremstille, behandle og kontrollere et pass i løpet av gyldighetsperioden" 12.

Operatøren må også på forhånd gi følgende informasjon til borgeren:

• beslutningsordren på grunnlag av utelukkende "automatisert" behandling av hans personopplysninger og
• Mulige juridiske konsekvenser av en slik beslutning
• Prosedyren for å beskytte emnet av personopplysninger om hans rettigheter og legitime interesser
• mulighet til å motsette seg en slik beslutning.

I tilfelle en tvist er det operatøren som må bevise at han har oppfylt alle lovkravene. Dette betyr at han må nøye samle inn og lagre støttedokumenter.

Operatøransvar

Operatørens forpliktelser, i samsvar med artikkel 18, omfatter i hovedsak levering av personlig informasjon på anmodning fra borgerne. I tillegg må operatøren "forklare personopplysninger om juridiske konsekvenser av å nekte å gi sine personopplysninger", dersom denne plikten er etablert ved føderal lov.

Artikkel 20 fastsetter operatørene er svært strenge tidsfrister forespørsler fra fagene personlige data (de er mye mer rigid, slik som de som er fastsatt i en fersk loven "På rekkefølgen av behandling av søknader fra borgere av Russland"):

• Dataspredning - innen 10 virkedager fra datoen for mottak av forespørselen;
• motivert avslag - innen 7 virkedager.

Operatøren vil ha enda flere spørsmål hvis det er nødvendig å eliminere brudd på loven innenfor tidsrammen fastsatt i artikkel 21 i den nye loven. Data blokkering bør utføres fra øyeblikket av forespørselen eller fra øyeblikket mottak av forespørselen, og eliminering av brudd - innen 3 virkedager.

I noen tilfeller er operatøren forpliktet til å ødelegge personopplysninger innen 3 virkedager, nemlig:

• i tilfelle manglende eliminering av bruddene,
• i tilfelle å nå målet om behandling av personopplysninger,
• i tilfelle at gjenstanden for personopplysningene trekker samtykke til behandling av hans personopplysninger.

Både blokkering og ødeleggelse av personopplysninger kan være vanskelig (og noen ganger umulig) å implementere i øyeblikket operativ informasjonssystemer og databaser som tidligere ikke hadde gitt en slik mulighet.

Det vil bli enda vanskeligere for operatøren dersom han mottok personopplysninger, ikke fra en borger, men fra en tredjepart.

§ 3 i artikkel 18 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ

Dersom personlige data ikke ble innhentet fra personlige data emnet, bortsett fra i tilfeller der personopplysninger har blitt gjort tilgjengelig for operatøren på grunnlag av føderal lov eller dersom personopplysningene er offentlig tilgjengelig, er operatøren før behandling av personopplysninger er nødvendig for å gi personopplysninger underlagt følgende informasjon:

1. navn (etternavn, fornavn, mellomnavn) og adresse til operatøren eller hans representant;
2. Formålet med behandlingen av personopplysninger og dets juridiske grunnlag
3. tiltenkte brukere av personopplysninger;
4. rettighetene til emnet av personopplysninger etablert ved denne føderale loven.

Bak disse ordene er mer tidkrevende arbeid. For eksempel kan spørsmålet oppstå: Hvordan skal denne informasjonen gis til emnet? Er det mulig å sende det via post og vil informasjonen bli vurdert gitt dersom emnet ikke har mottatt tilsvarende brev?

Operatørens plikt, i samsvar med artikkel 19, skal også sikre sikkerheten til personopplysninger under behandlingen. For å unngå problemer må operatørorganisasjonen utvikle og konsolidere alle de organisatoriske og tekniske informasjonssikkerhetstiltakene som det er forberedt på å ta i bruk for å beskytte personopplysningene i sine informasjonssystemer.

Statlig registrering av personopplysninger

Loven bestemmer at alle operatører som utfører behandling av personopplysninger, må informere den autoriserte organ på forhånd (artikkel 22), som skal føre register over operatører i et spesialregister. Den autoriserte organisasjonen, i henhold til artikkel 23, er departementet for informasjonsteknologi og kommunikasjon i Russland, som for øyeblikket utfører "kontroll- og tilsynsfunksjoner innen informasjonsteknologi og kommunikasjon". Meldingen må stave ut i detalj hva som er planlagt å gjøre med personopplysninger. Eventuelle endringer i forbindelse med behandling av personopplysninger må også rapporteres til autorisert organ.

Det er tillatt å behandle personopplysninger uten å varsle autorisert organ i følgende tilfeller:

• i nærvær av arbeidsforhold;
• når det inngås en kontrakt hvor personopplysninger er et parti
• hvis personlige data tilhører medlemmer (deltakere) av en offentlig forening eller religiøs organisasjon og behandles av den relevante offentlige forening eller religiøse organisasjon;
• hvis personopplysninger er offentlig tilgjengelig
• hvis personopplysninger bare inneholder navnene, etternavnene og patronymene til fagene;
• ved registrering av opptak;
• hvis personlige data er inkludert i informasjonssystemer som i samsvar med føderale lover har status som føderale automatiserte informasjonssystemer, samt statlige informasjonssystemer for personlige data opprettet for å beskytte statens og offentlige ordenes sikkerhet;

Til slutt vil vi gi en rekke anbefalinger til operatørene. Det vil ikke være veldig vanskelig å oppfylle kravene i lov om personopplysninger hvis dette arbeidet er startet nå, uten å vente på de første klager og klager. Du kan starte med følgende åpenbare tiltak:

• Det anbefales å utnevne en ansvarlig offiser for å gjennomgå alle spørsmål knyttet til gjennomføringen av denne loven i organisasjonen, og for store selskaper kan etableringen av en spesiell kommisjon være berettiget.
• For alle informasjonsressurser av organisasjonen som inneholder personopplysninger, må du:
  • bestemme deres status (på grunnlag av hvilken de ble opprettet: i samsvar med lovgivningen, for gjennomføring av kontrakten, på eget initiativ, etc.);
  • klargjøre og registrere sammensetningen av personopplysninger og mottakskilder (fra en borger, fra offentlige kilder, fra tredjepart mv.);
  • etablere lagringsperiode og behandlingstid for data i hver informasjonsressurs;
  • bestemme prosesseringsmetoder;
  • identifisere personer med tilgang til data;
  • formulere juridiske implikasjoner;
  • bestemme prosedyren for å svare på forespørsler, mulige svar og handlinger, vurdere realiteten i samsvar med de etablerte responstidene.

I denne artikkelen er en analyse av den nye loven om beskyttelse av personopplysninger laget av spesialister innen rekordbehandling, som vil ødelegge mye blod. Dens effektivitet vil bli vist av øvelsen, men for nå, som "personopplysninger", anslår jeg listen over offentlige myndigheter som jeg kunne sende en forespørsel om å gi meg, i samsvar med lovens krav, relevant informasjon. Nå har jeg rett!

1 Artikkel 25 i kapittel IV i Europa-Parlamentets og Rådets direktiv 95/46 / EF av 24. oktober 1995 om beskyttelse av enkeltpersoners rettigheter i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger.

2 Det er interessant at selv USA ikke overholder strenge europeiske krav, og amerikanske selskaper er tvunget til å bruke de såkalte "paraply" -avtalen.

3 Personopplysningene er en person som behandler personopplysninger.

4 "personlig data arkivering system"

5 Listen over føderale utøvende organer og organisasjoner som utfører custodianship russiske Arkivfonds dokumenter under føderal eierskap, inkludert 18 bedrifter: den russiske innenriksdepartementet, den russiske utenriksdepartementet, den russiske forsvarsdepartementet, russiske SVR, den føderale sikkerhetstjenesten i Russland Federal Drug Control-tjenesten i Russland FSIN av Russland, Rosatom, Roskartografiya, Russlands Akademi for landbruksvitenskap, Russisk Akademi for medisinske vitenskap, Russisk Akademi for utdanning, Russisk kunstakademi, Russisk Akademi for arkitektur og anleggsvitenskap, Stat chrezhdenie "All-russiske Research Institute of Hydrometeorological informasjon - Verden Data Center" Federal State Institution "State Fund of Television and Radio", Federal State Unitary Scientific and Production Enterprise "Russian Federal Geological Fund", Federal State Unitary Enterprise "Russian Science and Technology Center informasjon om standardisering, metrologi og overensstemmelsesvurdering ".

6 5 U.S. C. § 552a (k) (1) "Dokumenter til enkeltpersoner - Spesielle unntak - Arkivdokumenter".

7 Operatør - Statlig organ, kommunal organ, juridisk eller fysisk person, organisere og (eller) utføre behandling av personopplysninger, samt definere formålet med og innholdet i personlig databehandling.

9 Databeskyttelsesloven 1998, artikkel 32.

11 Durant vs Financial Services Authority (FSA).

12 Vedlegg № 1 til forskrift om prosedyren for registrering og utstedelse av pass av den russiske føderasjonen statsborger, er diplomatpass og offisielle pass hoved dokument som bekrefter Russland borger av grensene til Russland som inneholder elektroniske databærere (app. Rekkefølgen av Ministry of Internal Affairs, Utenriksdepartementet og den russiske føderasjonens sikkerhetstjeneste datert 6. oktober 2006 nr. 785/14133/461).