I den russiske føderasjonens arbeidskode er det et slikt uttrykk som "personlig informasjon til en arbeidende person". Data på driftskontingenten må gis til arbeidsgiveren.
Etter å ha undersøkt personlig informasjon, foretar arbeidsgiveren en dom om å ta en person til selskapet.
Informasjonen som en person presenterer om seg selv, må beskyttes. Fordel det er forbudt.
Kjære lesere! Våre artikler forteller om typiske måter å løse juridiske problemer på, men hvert tilfelle er unikt.
Hvis du vil vite hvordan du skal løse nøyaktig ditt problem - bare ring, det er raskt og gratis!
Personlig informasjon om ansatte bør være gjenstand for utvikling.
Arbeidsgiver gjelder følgende krav til personopplysninger for arbeidende personer:
Når du kommuniserer informasjon om ansatte, må bedriftens direktør følge følgende regler:
Et arbeidsforhold har rett til:
Følgende typer behandling av personopplysninger utmerker seg:
Denne behandlingen utføres ved hjelp av en spesiell datateknologi. De vanligste databehandlingsmaskinene kan være:
Den mest detaljerte beskrivelsen av ikke-automatisert behandling er skrevet i regjeringsdekret nummer 687.
Distribusjon, studie og fjerning av informasjon om driftskontingenten skal utføres med en del av en person, ikke datateknologi.
Takket være informasjonssystemet behandles spesielle kategorier av personlig informasjon om driftskontingenten. Dette systemet behandler data som påvirker medlemskap i et bestemt løp og kjønn, nasjonalitet, politiske synspunkter, filosofiske utsikter.
Takket være informasjonssystemet kan behandles:
Dermed er personlig informasjon om hver ansatt inneholdt i alle arbeidsgivere. Regissøren har under ingen omstendigheter rett til å formidle de tilgjengelige dataene om personen.
Den oppnådde informasjonen om driftskvoten kan behandles på flere måter: ved hjelp av datateknologi, ved hjelp av personlige krefter, takket være informasjonsevalueringssystemet.
I alle tilfeller blir personopplysningene for hver ansatt grundig undersøkt.
Ved ordre fra sivil kode for Amur-regionen
26. desember 2012, nr. 626
i forbindelse med behandling av personopplysninger
1. ALMINDELIGE BESTEMMELSER
1.1. Dette dokumentet (heretter - Policy) er en systematisk redegjørelse for de mål, prinsipper og metoder for behandling av personopplysninger forhold, informasjon om pågående krav til behandling av ordren og beskyttelse av personopplysninger i CCU av Amur Region Sysselsetting Gratis byen (heretter - Senter for sysselsetting).
1.2. Politikken er basert på kravene i den russiske føderasjonsloven "På personopplysninger", andre lovgivningsmæssige rettsakter i Russland som fastsetter prosedyren for behandling og beskyttelse av personopplysninger. Politikken er et offentlig dokument.
1.3. I samsvar med forbundsloven av 27. juli 2006 nr. 152-ФЗ "På personopplysninger" er sysselsettingssenteret operatør av personopplysninger (heretter referert til som "PD").
2. BEHANDLET PERSONLIG DATA
2.1. Hovedbetingelsene som brukes i retningslinjene:
· Personlig data - noe informasjon knyttet til en identifisert eller identifiserbar på grunnlag av slik informasjon til en person (personlig data emne), inkludert hans navn, fornavn, år, måned, dato og sted for fødsel, adresse, familie, sosial, eiendom stilling, utdanning, yrke, inntekt, annen informasjon;
· Behandling av personopplysninger - handlinger (operasjoner) med personopplysninger, herunder innsamling, systematisering, akkumulering, lagring, klargjøring (oppdatering, endring), bruk, distribusjon (inkludert overføring), depersonalisering, blokkering, ødeleggelse av personopplysninger;
2.2. I forbindelse med denne policyen betyr behandlede personopplysninger:
· Personopplysninger som mottas av mottakere av offentlige tjenester som gjelder for sysselsettingssenteret.
· Personopplysninger for ansatte i Sysselsettingssenteret eller kandidater til ledige stillinger;
3. FORMÅL FOR PERSONLIG DATA PROSESSERING
3.1. Målene med PD-behandling i Sysselsettingssenteret er:
· Sikre gjennomføringen av de konstitusjonelle rettighetene til russiske statsborgere til arbeid og sosial beskyttelse mot arbeidsledighet gjennom å tilby offentlige tjenester innen forfremmelse;
· Sikre gjennomføringen av de konstitusjonelle rettighetene til borgerne til å appellere
· Oppnå en objektiv vurdering av tilstanden på arbeidsmarkedet i den russiske føderasjonsenhetens sammenslåtte enhet (i forhold til mottakere av offentlige arbeidsformidlinger, arbeidsløse borgere, borgere som søker på sysselsettingssenteret med forslag, uttalelser, klager)
· Sikre samsvar med Grunnloven, lover og annet regelverk, for å lette arbeidere i arbeid, opplæring og avansement, og karriereutvikling, for å sikre den personlige sikkerheten til de ansatte, overvåking mengden og kvaliteten på arbeidet, for å sikre sikkerheten til sin eiendom, tar hensyn til resultatene av offisielle resultater plikter og sikkerhet for eiendommen til arbeidsplassen.
· Utføre en skattemyndighets funksjoner ved levering av standard skattefradrag (med hensyn til familiemedlemmer til ansatte i Sysselsettingssenteret);
· Oppfyllelse av forpliktelser i henhold til sivile rettskontrakter (i forhold til personer som utfører arbeid, leverer tjenester i sivilrettskontrakter med Sysselsettingssenteret).
4. PRINSIPPER FOR BEHANDLING AV PERSONLIGE DATA
4.1. Gjennomføring av PD-behandling på et lovlig og rettferdig grunnlag.
4.2. Begrensning av PD-behandling til oppnåelse av de bestemte, forutbestemte og legitime målene som er angitt i avsnitt 2 i dette dokumentet. Det er ikke tillatt å behandle personopplysninger som er uforenlige med det formål å samle inn personopplysninger.
4.3. Forhindre kombinasjonen av databaser som inneholder PD, som behandles for formål som er uforenlige med hverandre.
4.4. Behandler bare de PDS som oppfyller formålene med behandlingen.
4.5. Overensstemmelse med innholdet og volumet av PD behandlet av oppgitte behandlingsformål.
4.6. Avvisning av redundans behandlet PD i forhold til oppgitte mål for behandlingen.
4.7. Sikre nøyaktigheten av PD, deres tilstrekkelighet og, om nødvendig, og relevans i forhold til PD-prosessens formål.
4.8. Sørg for at nødvendige tiltak blir truffet for å fjerne eller avgrense ufullstendige eller unøyaktige data.
4.9. Utføring av PD-lagring i et skjema som gjør det mulig å bestemme PD-emnet, er ikke lenger enn det formål PD-behandling krever, hvis PD-lagringsperioden ikke er etablert ved føderal lov, kontrakten som PD-emnet er mottaker eller garantist for. PD'er som skal behandles, er gjenstand for ødeleggelse eller depersonalisering ved oppnåelse av behandlingsmål eller i tilfelle tap av behovet for å oppnå disse målene, med mindre annet fremgår av føderal lov.
5. METODER TIL BEHANDLING AV PERSONLIGE DATA
5.1. Arbeidsstedet behandler PD på følgende måter:
· Ikke-automatisert PD-behandling (på papir);
· Automatisert behandling (i ISPDn med bruk og uten bruk av automatiseringsutstyr), inkludert: med og uten overføring gjennom det lokale nettverket til Sysselsettingssenteret; med og uten overføring via Internett;
· Blandet PD behandling.
5.2. Arbeidsstedet kan selvstendig velge metoder for PD-behandling avhengig av formålet med slik behandling og eget materiale og tekniske evner.
6. VILKÅR FOR PERSONLIG DATA PROSESSERING
6.1. PD-behandling utføres i samsvar med prinsippene og reglene fastsatt i forbundsloven "På personopplysninger".
6.2. PD-behandling er tillatt i tilfeller fastsatt av forbundslov "på personopplysninger".
6.3. Sysselsettingssenteret har rett til å overdrage behandling av PD til annen person med samtykke fra PD-emnet, med mindre annet fremgår av føderal lov, på grunnlag av en kontrakt som er inngått med denne personen, inkludert en statlig eller kommunal kontrakt eller ved vedtak av en relevant handling av staten eller kommune (heretter kalt ).
6.4. Hvis Sysselsettingssenteret tildeler behandling av en PD til en annen person, bæres ansvaret til PD-emnet for den aktuelle personens handlinger av Sysselsettingssenteret. Personen som behandler personopplysninger på vegne av Sysselsettingssenteret er ansvarlig for Sysselsettingssenteret.
7. FORTROLIGHET AV PERSONOPPLYSNINGER
7.1. Ansvarssenteret og andre personer som har fått tilgang til PD, er forpliktet til ikke å utlevere til tredjepart og ikke å distribuere PD uten samtykke fra PD-emnet, med mindre annet er fastsatt i føderal lov.
8. GODKJENNELSE AV PERSONOPPLYSNINGER FOR BEHANDLING AV DETS PERSONLIGE DATA
8.1. PD-personen tar en avgjørelse om å levere sine personopplysninger og godtar sin behandling fritt, etter egen vilje og i hans interesse.
8.2. Samtykke til PD-behandling bør være spesifikk, informert og bevisst.
8.2. Samtykke til PD-behandling kan gis av PD-emnet eller hans representant i enhver form som tillater å bekrefte faktumet for kvitteringen, med mindre annet er fastsatt av føderal lov.
8.3. Når det gjelder samtykke til behandling av personopplysninger fra en representant for personopplysninger, kontrolleres myndigheten til denne representanten for å gi samtykke på vegne av personopplysninger, av Sysselsettingssenteret.
8.4. Samtykke til PD-behandling kan tilbakekalles av PD-emnet. Ved tilbaketrekking av PDN-samtykke til samtykke til behandling av PD, har sysselsettingssenteret rett til å fortsette behandling av personopplysninger uten samtykke fra PD-emnet dersom det er grunnlag spesifisert i paragraf 2-11 i del 1 i artikkel 10 nr. 2, artikkel 10 og del 2 i lovloven § 11 om personopplysninger ".
8.5. I tilfeller fastsatt ved føderal lov, utføres PD-behandling bare med skriftlig samtykke fra PD-fag. Samtykket i skriftlig form er anerkjent som ekvivalent med et elektronisk dokument undertegnet av den elektroniske loven som er undertegnet i henhold til føderal lov.
8.6. Personlige data kan hentes fra Sysselsettingssenteret fra en person som ikke er gjenstand for personopplysninger, forutsatt at sysselsettingssenteret bekrefter eksistensen av begrunnelsen angitt i klausul 2-11 i del 6 av artikkel 6, del 2 i artikkel 10 og del 2 i lovens § 11 om personopplysninger ".
9. GENNEMFØRELSE AV RETTENE I VEKSTENE AV PERSONOPPLYSNINGER
9.1. Når du behandler en PD, gir sysselsettingssenter de nødvendige vilkårene for at PD skal kunne utøve sine rettigheter.
9.2. PD-personen har rett til å få tilgang til hans personopplysninger.
9.3. Et PD-objekt har rett til å motta informasjon om behandling av personopplysninger, som inneholder: Bekreftelse av at PD-behandling av Employment Center juridiske grunner og formål med PD-behandling Målene og metodene for PD-behandling som brukes av Sysselsettingssenteret; navn og plassering av sysselsettingssenteret, opplysninger om enkeltpersoner (unntatt ansatte i sysselsettingssenteret) som har tilgang til personopplysninger eller som kan avsløre personopplysninger på grunnlag av en avtale med arbeidsformidlingssenteret eller på grunnlag av føderal lov PD'er behandlet av relevant PD-fag, kilden til kvitteringen, med mindre en annen prosedyre for innlevering av slike data er gitt i føderal lov PD behandlingstid, inkludert lagringstid; Prosedyren for utøvelsen av PDN-emnet av rettigheter fastsatt av forbundsloven "På personopplysninger"; Informasjon om fullført eller tiltenkt grenseoverskridende dataoverføring; navn eller etternavn, navn, patronym og adresse til personen som utfører behandling av PDN på vegne av sysselsettingssenteret, dersom behandlingen er betrodd eller vil bli betrodd slik person annen informasjon fastsatt av føderale lover.
9.4. Retten til en PD-person å få tilgang til hans personopplysninger kan være begrenset i tilfeller som uttrykkelig er fastsatt av føderale lover.
9.5. En PD-person har rett til å forsvare sine rettigheter og legitime interesser, herunder erstatning for erstatning og (eller) erstatning for moralsk skade i en domstol.
9.6. Dersom en PD-person anser at Sysselsettingssenteret behandler sin PD i strid med kravene i forbundsloven "På personopplysninger" eller på annen måte bryter med sine rettigheter og friheter, har PD-subjektet rett til å appellere til handlinger eller manglende handling av sysselsettingssenteret til den autoriserte organ for å beskytte rettighetene til PD-fag eller rettsordre.
10. OPPLYSNINGER OM ÅTGJENGELIGE FORANSTALTNINGER AV ANSATSSENTRET
TILSIKTIG FOR Å FORSIKRE GENNEMFØRELSEN AV ANSVAR FORHENGT VED BEHANDLING AV PERSONOPPLYSNINGER
10.1. Sysselsettingssenteret ved behandling av PD utfører sine oppgaver som PD-operatør fastsatt av forbundsloven "På personopplysninger".
10.2. Sysselsettingssenteret tar de nødvendige og tilstrekkelige tiltak for å sikre oppfyllelsen av de plikter som følger av denne føderale loven og de lovgivningsmessige rettsakter som vedtas i samsvar med den.
10.3. Sysselsettingssenteret bestemmer selvstendig sammensetningen og listen over tiltak som er nødvendige og tilstrekkelige for å sikre oppfyllelsen av forpliktelsene fastsatt i denne føderale loven og de lovgivningsmessige rettsakter som vedtas i samsvar med den, med mindre annet er fastsatt i føderale lover.
11. INFORMASJON OM GENNEMFØRELSE AV ANSATSEN SENTRER AV ÅTGJØRELSER FOR BESKYTTELSE AV PERSONLIGE DATA I DERES BEHANDLING
11.1. Sysselsettingssenteret i PD-behandling sikrer vedtaket av nødvendige juridiske, organisatoriske og tekniske tiltak for å beskytte PD mot ulovlig eller utilsiktet tilgang til dem, ødeleggelse, modifisering, blokkering, kopiering, levering, distribusjon av PD, samt andre ulovlige handlinger angående PDN.
11.2. For å beskytte personopplysninger implementerer Sysselsettingssenteret kravene til beskyttelse av personopplysninger når de behandles i personopplysningssystemer opprettet av Russlands regjering.
11.3. Sikre PD-sikkerhet oppnås av Sysselsettingssenteret, spesielt:
· Identifisering av trusler mot sikkerheten til personopplysninger når de behandles i ISPDN til Sysselsettingssenteret;
· Bruk av organisatoriske og tekniske tiltak for å sikre sikkerheten til personopplysninger når de behandles i ISPDN til Sysselsettingssenteret, som er nødvendig for å oppfylle kravene til personlig databeskyttelse, hvis oppfyllelse er gitt av nivåene av personlig databeskyttelse fastsatt av Russlands regjering.
· Bruken av informasjonssikkerhetstiltakene som er gått på foreskrevet måte
· Vurdering av effektiviteten til de tiltakene som Arbeidsstedet har tatt for å sikre sikkerheten til personopplysninger før igangsetting av ISPDN til Sysselsettingssenteret;
· Ta hensyn til maskinbærerne PD på arbeidsplassen;
· Deteksjon av fakta om uautorisert tilgang til PDN og handling
· Restaurering av PDN modifisert eller ødelagt som følge av uautorisert tilgang til dem;
· Opprettelse av regler for tilgang til PDN behandlet i SPDN i sysselsettingssenteret, samt å sikre registrering og registrering av alle handlinger utført på PDN i ISPDN i Employment Center;
· Kontroller de tiltakene som er truffet for å sikre sikkerheten til personopplysninger og sikkerhetsnivået til ISPDN til sysselsettingssenteret.
11.4. Informasjon om tiltak som Arbeidsstedet har tatt for å beskytte personopplysninger, er begrenset informasjon.
12. Politikkendring. Gjeldende lov
12.1. Sysselsettingssenteret har rett til å gjøre endringer i denne policyen.
12.2. Når du gjør endringer i overskriften til retningslinjene, er datoen for den siste oppdateringen av revisjonen angitt.
12.3. Den nye versjonen av retningslinjene trer i kraft fra det øyeblikk de ble lagt ut på Amurskaya Oblast-instituttets sysselsetting, med mindre annet er angitt i den nye versjonen av politikken.
Hva er relatert til personopplysninger, og hva er relatert til handlinger med personlige data?
I henhold til Roskomnadzors ordre 9 datert 19. august 2011 nr. 706, inkluderer metodene *:
- ikke-automatisert behandling av personopplysninger
- utelukkende automatisert behandling av personopplysninger med eller uten overføring av mottatt informasjon over nettverket
- Blandet behandling av personopplysninger (Note N 4).
Og til handlingene i samsvar med Art. 3 i forbundsloven av 27.07.2006 nr. 152-FZ. Personopplysninger inkluderer: *
- avklaring (oppdatering, endring);
- distribusjon (inkludert overføring)
- ødeleggelse av personopplysninger
Begrunnelsen for denne stillingen er gitt nedenfor i materialene til "System Lawyer".
"Personlig databehandling er enhver handling (handling) eller sett av handlinger (operasjoner), * utført ved bruk av automatiseringsverktøy eller uten bruk av slike midler med personlige data, inkludert innsamling, opptak, systematisering, akkumulering, lagring, forfining (oppdatering, endring), utvinning, bruk, overføring (distribusjon, levering, tilgang), depersonalisering, blokkering, sletting, ødeleggelse av personopplysninger "
"Feltet" liste over handlinger med personopplysninger, en generell beskrivelse av metodene som brukes av Operatøren for behandling av personopplysninger "* Angir handlinger utført av Operatøren med personopplysninger, samt en beskrivelse av metodene som brukes av Operatøren for behandling av personopplysninger:
- ikke-automatisert behandling av personopplysninger
- utelukkende automatisert behandling av personopplysninger med eller uten overføring av mottatt informasjon over nettverket
- Blandet behandling av personopplysninger (Note N 4). Merknad N 4. Ved automatisk behandling av personopplysninger eller blandet behandling er det nødvendig å angi om informasjonen innhentet under behandling av personopplysninger overføres på det juridiske enhetens interne nettverk (informasjonen er kun tilgjengelig for veldefinerte ansatte i juridisk enhet ) eller informasjonen overføres via det offentlige Internett eller uten å overføre informasjonen mottatt. "
* Så fremhevet en del av materialet som vil hjelpe deg med å ta den riktige avgjørelsen.
Vilkår, nyanser og hyppige vrangforestillinger - i materialet fra eksperter fra sikkerhetstjenesten til selskapet "Onlanta" (inkludert i gruppen av bedrifter LANIT).
Vi forstår den juridiske terminologien og selve nyansene som du kan være i retten.
Hovedloven som regulerer forhold knyttet til behandling av personopplysninger, er den føderale loven av 27. juli 2006 nr. 152-ФЗ "På personopplysninger".
Det første begrepet som skal forstås er personopplysninger.
Dette er all informasjon som kan brukes til å identifisere en person: for eksempel fullt navn, fødselsdato, utdanning, inntekt og til og med sivilstatus. Du spør: "Og hva, etternavnet mitt, trykt på visittkortet, er også personlige data?"
Svar: "Ja." I henhold til loven spiller det ingen rolle om bare etternavnet ditt skrives ut på visittkortet eller i kombinasjon, for eksempel med et telefonnummer og en adresse. Både den første, og den andre, og den tredje - personlige data. Det er sant at lagring av visittkort eller telefonnumre til jenter i telefonboken ikke må besvares ved lov, men mer på det nedenfor.
Gå videre. Mediene skriver stadig "lagring av personopplysninger". Riktig sett er det ikke lagringsplassen, men behandling av personopplysninger. Hva er forskjellen? Lagring er bare en del av det som kalles personlig databehandling. Eventuelle handlinger som du utfører med personopplysninger (samle, samle, lagre, overføre, endre) er utpekt ved lov som "personlig databehandling".
Det er viktig å forstå at loven skiller mellom to personopplysninger: operatøren og prosessoren. Operatøren utfører behandling av personopplysninger, og bestemmer også formålet med behandlingen, sammensetningen av personopplysninger som skal behandles, handlinger (operasjoner) utført med personopplysninger.
En handler er noen som utfører handlinger med personlige data: samle, lagre, organisere, akkumulere, oppdatere, oppdatere, slette, depersonalisere og så videre.
Faktisk er prosessoren ikke bare sluttbrukeren, som trenger personopplysninger for arbeid, men også enhver mellomliggende bruker, gjennom hvilke hender disse personopplysningene passerte. Vis i praksis.
Nettbutikken har en kundedatabase, som ligger i "skyen" til et tredjepartsfirma. Et markedsføringsbyrå arbeider med denne basen. Spørsmål: Hvor mange personopplysninger har vi?
Det riktige svaret er en. Dette er en nettbutikk som setter målene for personlig databehandling. Det andre spørsmålet: Hvor mange personoppdateringer har vi? Det riktige svaret er to.
Personopplysninger behandles i mange forskjellige institusjoner, for eksempel i banker, skoler, klinikker, visumsentre. For ikke å nevne nettsidene hvor vi registrerer, forlater vi e-postadresser og telefonnumre. Men hvordan og hvor akkurat?
Det er så uklar begrepet i loven som "personopplysninger". Hvis du prøver å forklare på enkle vilkår - dette er et komplekst, bestående av databaseservere, tekniske midler for å sikre behandling og informasjonsteknologi. I henhold til loven må ethvert personopplysningssystem være beskyttet.
Metoder for å beskytte informasjon er forskjellige.
En av metodene for å beskytte informasjon er depersonalisering av personopplysninger. Hva er det I visumsenteret tildeles hver person som søker visum, et eget identifikasjonsnummer. Tallet i seg selv refererer ikke til personopplysninger, siden det avhenger av en person: Det er umulig å identifisere personen som søkte om visum.
Så, med terminologien sortert ut. Nå skal alle forretningsrepresentanter, spesielt individuelle entreprenører, som bare har få ansatte i staben, ærlig svare på spørsmålet: "Behandler jeg personopplysninger?"
Ja, hvis du er eier av et nettsted med tilstedeværelse av fem personer i uken, men det har et tilbakemeldingskjema med feltene "navn, e-postadresse, telefonnummer". Informasjon om formålene du samler inn personopplysninger, hvordan du bruker det, bør presenteres på nettstedet ditt.
Ja, hvis du behandler personopplysninger fra dine ansatte eller tredjeparts spesialister ansatt for å gjøre noe arbeid.
Ja, hvis du jobber med private kunder og du trenger passdata for inngåelse av kontrakter, gjelder dette reisebyråer, treningssentre, ulike servicevirksomheter, nettbutikker og andre.
Og igjen, ja, hvis du er en budsjettorganisasjon, et politisk parti eller en barnehage. Sistnevnte har ikke bare informasjon om barnet, men også om foreldrene, inkludert arbeidssted og stilling. For ikke å nevne medisinske institusjoner - det er et hav av personlig sensitiv informasjon som må lagres sikkert.
Men hvis du bruker data for personlig kommunikasjon uten kommersiell fordel, gjelder kravene i lovgivningen ikke for deg, og det er ingen tvil om noe straffbart ansvar.
For eksempel vil bruken av kontakter som er skrevet ut på et visittkort som du har mottatt fra en kollega eller telefonnumre i en notatbok på en smarttelefon, ikke pålegge deg ansvaret før loven.
Det viktigste er ikke å utlevere data til annonsører og ikke publisere dem uten tillatelse fra eiere av personopplysninger i det offentlige området.
Gratulerer, du er den stolte eieren av tittelen "personlig dataoperatør". Det viktigste er nå å forstå nøyaktig hvilke personopplysninger du behandler. Fordi det avhenger av kategorien personopplysninger, hvordan du beskytter data og hvilke krav som må oppfylles. Kategoriene er beskrevet i detalj i Federal Law-152 og regjeringsoppløsningen av 1. november 2012 N 1119.
Generelle tilgjengelige personopplysninger: Data fra åpne ressurser, som publiseres av emnet for personopplysninger eller med godkjenning. Offentlig tilgjengelig data er data fra media eller Internett.
Eksempel: informasjon publisert i åpen tilgang på sosiale nettverk eller på selskapets nettside. Telefonnummer og familiestatus publisert i offentlig tilgang til Facebook. Navnet på den ansatte og hans stilling på arbeidsgiverens nettside.
Biometriske personopplysninger: Denne kategorien inneholder alle data om de fysiologiske og biologiske egenskapene til mennesker.
Eksempel: vekt, høyde, øye eller hårfarge, hårlengde, blodtype, foto.
Personlige data i en spesiell kategori: Dette inkluderer informasjon om tilhørighet til ethvert rase og nasjon, politiske synspunkter, religiøse og filosofiske overbevisninger, helsetilstand eller intimt liv.
Eksempel: Medisinsk diagnose (informasjon om hva du var syk med, når, hvilken lege behandlet deg).
Personlige data av andre typer - dette inkluderer personopplysninger som ikke er inkludert i kategoriene ovenfor.
Eksempel: Bedriftsinformasjon. Regnskapskort for ansatte som inneholder informasjon som HR og bokføring arbeid: lønn, ferieperioder, arbeidsdato.
Når du har bestemt deg for kategorien personopplysninger, må du forstå nøyaktig mengden data du behandler: opptil 100 000 eller over 100 000.
Funnet ut kategorien og kvantiteten, bestemmer type trussel:
Trusler nummer 1. "Holes" og sårbarheter i operativsystemet. Eksempel: Sårbarheter som hackere bruker til å infiltrere operativsystemet for å stjele informasjon.
Trusler nummer 2. "Holes" og sårbarheter i applikasjonsprogramvaren, det vil si i programvaren som brukes i ditt daglige arbeid. Eksempel: Word, Excel.
Trusler nummer 3. Alle andre trusler som ikke er oppført i de to første typene. Først av alt, den menneskelige faktoren. En ansatt kan legge et dokument åpent på en ulåst datamaskin, sende et dokument for å skrive ut til andres skriver eller via e-post.
Mengden av personopplysninger, kategori, type trusler - alt sammen lar deg bestemme hvilket nivå av beskyttelse som kreves for ditt informasjonssystem. Det er nå fire nivåer av beskyttelse.
Det første og høyeste beskyttelsesnivået brukes oftest til behandling av personopplysninger i statlige organer og medisinske institusjoner. Det fjerde beskyttelsesnivået er lettest å gi, noen ganger er det nok å gjennomføre organisatoriske regulatoriske tiltak, hovedsakelig det gjelder beskyttelse av allment tilgjengelige data.
Du kan bestemme beskyttelsesnivået ved hjelp av denne tabellen.
Sykehuset behandler pasientens personopplysninger - dette er personopplysningene i en spesiell kategori. Det behandler også personopplysninger for ansatte - dette er personopplysninger i en annen kategori. Sannsynligvis har sykehuset to databaser. Hvis du legger til begge databasene, får du den totale mengden personlige data som spinner i informasjonssystemet på dette sykehuset.
For eksempel, alle av dem - opp til 100 tusen. Deretter ser vi på hvordan data behandles: automatisert (i en datamaskin) eller ikke automatisert (i et manuelt arkivskap). Hvis alt er automatisert, ser vi på hvilken programvare sykehuset bruker, hvilke sårbarheter den har.
Basert på dette er trusler og deres nivå identifisert. Vi legger til alle faktorene og får beskyttelsesklassen på andre nivå. Vi ser på hvilke krav i loven er stavet ut til det andre sikkerhetsnivået. På grunnlag av disse kravene vil det være nødvendig å bygge en informasjonssystembeskyttelse for å oppfylle kravene i forbundsloven.
Hvorfor bry deg med personlig databeskyttelse i det hele tatt? Personopplysninger er et dyrt element på det svarte markedet. Svindlere er villige til å betale imponerende beløp for en profil som inneholder de fulle detaljene i en persons medisinske rekord. Separat marked - salg av bankkortdetaljer; kontoer i sosiale nettverk.
Konsekvensene av personlekkasje er forskjellige. Dataene kan være offentlig tilgjengelig på Internett. Du kan for eksempel lett finne stjålne databaser med adresser og telefonnumre til bedriftens kunder på nettverket. Å vite navnet og etternavnet, noen kan finne ut adressen til en person, komme på det sosiale nettverket, se en profil eller bare skrive en SMS til en mobiltelefon.
Personlige data kan komme inn i databasen med irriterende utskrifter av noen kommersiell organisasjon, da vil eierne bli overveldet med uønskede tilbud om tjenester. De kan også brukes av online svindlere for online kasinoer eller for å åpne en elektronisk lommebok.
I verste fall kan en angriper etterligne en annen person og ta æren for andres navn. De alvorligste konsekvensene av utilsiktede personopplysninger er: ulovlige handlinger med fast eiendom, tyveri av penger fra bankkort, utpressing av slektninger og registrering av et selskap.
Forstår du betydningen av spørsmålet og er klar til å bære ansvar? Det stemmer. Fordi ansvaret for sikkerheten til personopplysninger ligger helt hos operatøren.
Dette betyr at operatøren må passe på at informasjonen ikke flyter til offentlig tilgang eller ikke faller i hendene til tredjeparter som ikke har noen rettigheter til det. Dette krever konstant overvåkning og forebygging av datasikkerhetstrusler, kontroll over nivået av informasjonssikkerhet og gjenoppretting i tilfelle tap.
I vårt land overvåker Roskomnadzor overholdelse av lovgivningen innen personopplysninger. Denne kroppen reagerer på klager, regulerer forholdet mellom fag og operatører.
De tekniske kravene til beskyttelse av informasjon er FSTECs og FSBs ansvar: De utvikler krav og kontrollerer utførelsen av dem.
Og nå er det på tide å studere bordene med kravene til teknisk beskyttelse av personopplysninger. Detaljer finner du i rekkefølge av Federal Service for Technical and Export Control av 18 februar 2013 N 21.
Men begynn minst med dette:
Mange nettstedseiere tror at hvis en besøkende klikker på knappen "Jeg er enig i behandlingen av personlige data", vil det ikke være noen juridiske problemer, og databehandling vil automatisk falle inn i det juridiske feltet. Det er det ikke.
Fra et juridisk synspunkt er det kun to måter å bekrefte samtykket til behandling av personopplysninger: Legg en signatur på papir eller ved hjelp av en elektronisk digital signatur.
I alle andre tilfeller vil sakenes eier ikke kunne bekrefte hvem som akkurat trykket på "Jeg er enig" -knappen hvis saken går til retten. Man kan bare håpe at faget som kom til nettstedet ditt, frivillig sender sine data og ikke sender inn en klage.
Ja, sjekker kan være fra Roskomnadzor.
Roskomnadzor publiserer årlig en liste med sjekker selektivt fra listen over registrerte operatører, hvis et selskap er inkludert i sjekklisten, så er neste planlagte kontroll mulig senest tre år etter. Du kan se om firmaet ditt er på listen i år her.
Off-plan sjekker er vanligvis forårsaket av klager. Hvis sjekken ikke er planlagt, bør du være advart om det i 24 timer skriftlig.
Det kan også være dokumentkontroll. Når du dokumenterer, sender du en liste over dokumenter, hvorav kopier skal sendes til Roskomnadzor.
Noen ganger gjør Roskomnadzor inspeksjoner på stedet: inspektørene gjør personlig besøk for å sjekke selskapet på stedet.
Forberedelse for noen av disse kontrollene er en tidkrevende oppgave. Vil du løse oppgaven med å forberede deg selv, eller involvere eksterne spesialister, må du først avgjøre hvem i selskapet vil være ansvarlig for å overholde FZ-152.
For brudd på 152-FZ er sivile, kriminelle, administrative og disiplinære ansvar gitt.
Så utførte Roskomnadzor en inspeksjon, hvis den fant uoverensstemmelser med loven, vil han avgjøre en undersøkelse til undersøkelsesutvalget om å gjennomføre en rettssak om brudd på loven "On Personal Data".
Etter dette vil anklagers kontor begynne en inspeksjon, der den kan suspendere selskapets virksomhet: ta ut selskapets database, spesielt datamaskiner som personopplysningene ble behandlet på.
Lovbrytere venter først og fremst på bøter. Mengden av bøter varierer avhengig av lovbrudd. For behandling av personopplysninger uten skriftlig tillatelse fra enhetene, vil juridiske personer derfor måtte påta seg administrativt ansvar.
Selv om operatøren er villig til å betale bøter, men etter storforetaksstandarden, ser den ikke ut til å være stor, men lovbrukeren må fortsatt eliminere inkonsekvensen før loven (for eksempel slette lagrede data) og varsle Roskomnadzor.
Det verste fallet er at Roskomnadzor bestemmer seg for å tilbakekalle selskapets lisens, forby virksomhet fra å behandle personopplysninger og ulovlig publisere personopplysninger om borgere.
I løpet av de siste årene var den høyeste skandalen i Russland forbundet med å blokkere LinkedIn, hvis eiere ble anklaget for å behandle personopplysninger av borgere uten deres samtykke på servere utenfor Russland. Blokkeringen av autonum.info-tjenesten var også "laget lyder".
Du kan organisere behandling av personopplysninger uavhengig eller ved hjelp av et selskap som tilbyr en slik tjeneste.
Hvis du bestemmer deg for å behandle personlige data selv, må du:
I beste fall vil det ta tre til fire måneder, på bekostning av en slik implementering, kan det være 200-300 tusen rubler - dette er kostnaden ved å kjøpe utstyr og lisenser. Arbeidskostnader og ytterligere støtte til informasjonssystemet er et separat utgiftsområde. Du vil også trenge en administrator som overvåker driften av systemet.
Når vi snakker objektivt, oppfyller svært små bedrifter ikke alle lovens krav i håp om at det ikke vil bli verifisert. Kanskje det egentlig ikke vil. Andre selskaper lager "Potemkin landsbyer" bare ved å late som å behandle personopplysninger i samsvar med lovens krav, med andre ord, de "kjøper" de nødvendige dokumentene.
I neste artikkel viser vi hvordan du beregner kostnaden for behandling av personopplysninger i et selskap og forteller deg når det er mer lønnsomt å gjøre personopplysninger og når det er bedre å sette det inn i skyen.
Materialet er utgitt av brukeren. Klikk på "Skriv" -knappen for å dele din mening eller snakke om prosjektet ditt.
Den russiske føderasjonsloven nr. 152-ФЗ "På personopplysninger" ble vedtatt 27. juli 2006, og mot bakgrunnen til andre utestående hendelser i det siste året gikk det nesten ubemerket. Den formelle grunnen til vedtaket var de mange fakta om tyveri av personopplysninger i statlige og kommersielle strukturer og deres utbredte salg. Faktisk var hovedformålet med å vedta denne loven behovet for å fjerne visse hindringer for handel med landene i EU.
Frankrike forbød publisering av fakta om personvern og pålagt bøter for overtredere i 1858.
Den norske straffeloven forbød publisering av opplysninger om "personlige eller private saker" i 1889.
Innenrikslov "Personopplysninger" datert 27. juli 2006 begynte 152-FZ sin drift 26. januar i år (i samsvar med del 1 i artikkel 25, trådte loven i kraft 180 dager etter den offisielle publikasjonen, som fant sted 29. juli 2006 i "Rossiyskaya Gazeta").
I henhold til EU-direktiv 95/46 / EF kan personopplysninger kun overføres til land som gir samme beskyttelsesnivå som i Europa. Dette hindret vesentlig utveksling av informasjon fra europeiske myndigheter og selskaper med sine utenlandske partnere, noe som gjør det umulig for mange kommersielt lovende prosjekter. Slike begrensninger ble ikke bare opplevd av Russland og tredje verden, men også av et økonomisk monster som USA. Så, vår regjering besluttet å overvinne denne barrieren. La oss se hvordan han gjorde det og hva det vil koste oss alle sammen.
Vedtaket av den russiske loven om personopplysninger var resultatet av Russlands tiltredelse til Europakonvensjonen fra 1981 om beskyttelse av personen i forbindelse med automatisk behandling av personopplysninger som definerer de grunnleggende prinsippene for beskyttelse av personopplysninger i europeiske land. Denne konvensjonen og de påfølgende EU-direktiver skisserte oppgaver som nasjonal lovgivning bør behandle når man regulerer personopplysninger:
Vår lov gjentar i stor grad de viktigste bestemmelsene i europeisk lovgivning på dette området, som regnes som en av de tøffeste 2 i verden. Selv om loven i 2006 ble snakket om ganske ofte, men få mennesker nøye leser innholdet i bestemmelsene sine. Men for å sikre at kravene overholdes, er det nødvendig å endre arbeidet med informasjon og dokumentasjon som inneholder personopplysninger. La oss prøve å finne ut hva som er nytt innen administrasjon av dokumenter og informasjon i organisasjonen?
La oss nå dvele mer detaljert om de viktigste lovbestemmelsene og vurdere hvilke organisasjoner og institusjoner som må gjennomføre for å gjennomføre det. I tillegg vil vi prøve å analysere noen lovbestemmelser når det gjelder korrekthet og klarhet i ordlyden.
Det aller første spørsmålet: hvem gjelder denne loven? Som svar på det kan vi trygt si at det gjelder for alle uten unntak (til statlige institusjoner, juridiske personer og enkeltpersoner). Her er en liste over artikkel 1:
Det andre viktige problemet er lovens omfang.
Artikkel 1 i Russlands føderale lov "På personopplysninger" nr. 152-FZ 27. juli 2006
Denne føderale loven regulerer forhold knyttet til behandling av personopplysninger... ved bruk av automatiseringsverktøy eller uten bruk av slike midler, hvis behandling av personopplysninger uten å bruke slike midler tilsvarer arten av handlingene (operasjoner) utført med personopplysninger ved hjelp av automatiseringsmidler.
Ordlyden av denne artikkelen er et eksempel på hvordan man ikke skriver lover. Det viste seg noe uforståelig, noe som tillater en rekke tolkninger. Hvordan, på grunnlag av en slik tekst, for eksempel å svare på spørsmålet om hvorvidt dataene som er omtalt i en fri form i en forretningsbrev, faller innenfor lovens anvendelsesområde? Hvis en slik notatbok er lagret på en datamaskin eller i en mobiltelefon, betraktes det som "bruk av automatiseringsutstyr"?
Den europeiske lovgivningen i denne forbindelse er klarere:
EU-direktiv 95/46 / EF 1995
Artikkel 2 "Definisjoner":
(c) "personlig datalagringssystem" 4 ("lagringssystem") er et strukturert sett med personopplysninger som kan nås i henhold til visse kriterier - uansett hvordan datasettet er organisert, enten sentralisert, desentralisert eller distribuert på en funksjonell eller geografisk basis...
Artikkel 3 "Omfang":
1. Dette direktivet gjelder behandling av personopplysninger ved hjelp av automatiske midler (helt eller delvis), samt til behandling på andre måter enn automatiske, personlige data, komponenter eller som er ment å være en del av lagringssystemene.
I moderne dataterminologi betyr "strukturert data" først og fremst databaser. I papirarbeid omfatter de kortfiler og arkiver av personlige filer. Derfor inneholder europeiske krav:
Hvorfor var det umulig å skrive på russisk og i vår lov forblir uforståelig?
Oppmerksomhet bør gis til forskjellen i terminologi: "automatisk behandling" er en ting, og behandling av "ved hjelp av automatiseringsutstyr" er et helt annet begrep, mye bredere og mer vakt.
Loven gir bare fire unntak, nemlig loven gjelder ikke for forhold som oppstår:
Ett av disse punktene krever mer detaljert studie. Til å begynne med, sitater vi loven:
Artikkel 1 i Russlands føderale lov "På personopplysninger" nr. 152-FZ 27. juli 2006
2. Denne føderale loven gjelder ikke for forhold som oppstår fra:
2) Organisering av lagring, oppkjøp, regnskap og bruk, som inneholder personopplysninger om dokumenter fra Den russiske føderasjons arkivfond og andre arkivdokumenter i samsvar med lovgivningen om arkiver i Russland.
Vi påminner deg om to definisjoner som er nedfelt i loven "om arkivspørsmål i Russland" nr. 125-ФЗ datert 10.22.2005:
Her er et eksempel på hvordan dette kan gjøres. Ifølge den føderale loven om arkiv i Russland (del 2 i artikkel 18) godkjenner Russlands regjering listen over føderale forvaltningsorganer og organisasjoner som utfører oppbevaring av dokumenter fra Arkivfondet i Russland som er i føderalt eierskap. En ny liste over 5 av disse avdelingene og organisasjonene ble godkjent ved utgangen av 2006. Samtidig ble disse organisasjonene beordret til å inngå avtale om lagringsforhold for dokumenter med Rosarkhiv. Hvis kontrakten konkluderer det spesifikt at alle dokumenter, bortsett fra operasjonelle, anses å være dokumenter som er overført for varetekt, så kan hovedparten av dokumenter plasseres under dette unntaket.
For andre statlige organisasjoner kan en av opsjonene være rask godkjenning av saksdokumenter med statsarkiver, som faktisk ville bety at inkludering av dokumenter i Arkivfondet i Russland, og igjen å forlate "handlingsområdet" av loven om personopplysninger.
EU-direktiver inneholder ikke et slikt unntak, men eksisterer for eksempel i US Code 6, som inneholder mer korrekt ordlyd som ikke tillater tvetydighet: Personopplysningslovgivning gjelder vanligvis ikke for dokumenter som allerede er deponert i statsarkiver, men gjelder dokumenter som overføres til statsarkivet av et forvaltningsorgan.
Det er også uklart hvorfor, fra våre tallrike statlige databaser, gjorde vår lov et unntak for Unified State Register of Individual Entrepreneurs (EGRIP). Det ville være logisk å forlenge unntaket til andre statlige registre som også inneholder personopplysninger (for eksempel inkorporeringen inneholder informasjon om grunnleggerne og førstepersonene til alle juridiske enheter i landet).
Personlige opplysninger - opplysninger om fysisk person (personopplysninger) bestemt eller bestemt på grunnlag av slik informasjon, inkludert hans etternavn, fornavn, patronym, år, måned, dato og sted for fødsel, adresse, familie, sosiale, eiendomsstatus, utdanning, yrke, inntekt, annen informasjon (i henhold til artikkel 3 i lov om personopplysninger).
Loven gir følgende metoder for behandling av personopplysninger (for et antall av dem er det detaljert forklaring gitt i artikkel 3):
Spesiell oppmerksomhet bør tas til slike behandlingsmetoder som blokkering og ødeleggelse av personopplysninger. Loven sier ganske godt om ødeleggelse - dette er tilnærmingen som nå anbefales av norske og utenlandske standarder. Når det gjelder blokkering av personopplysninger, ble denne metoden for behandling i hjemmepraksis innført for første gang, og gjennomførelsen kan betydelig komplisere livslivet til organisasjoner som bruker tidligere utviklede informasjonssystemer og databaser der en slik operasjon ikke er gitt.
Lovens bestemmelser er primært rettet mot å forhindre ulovlig innsamling og bruk av personopplysninger. Dette lovgivningsbehovet har ført til fremveksten av en ny stilling for rekordoppholdspraksis:
Klausul 2 i artikkel 5 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ
Personlige data skal lagres i et skjema som gjør det mulig å bestemme emnet, ikke lenger enn behandlingsmålene krever, og bør ødelegges når målene for personlig databehandling, eller tap av behovet for å oppnå dem, blir ødelagt.
I dette tilfellet legger loven for første gang kanskje informasjon og dokumenterer den maksimale og dessuten betingede oppbevaringsperiode - "når det gjelder å oppnå behandlingsmål". Organisasjoner må etablere lagringsperioder for dokumenter som inneholder personopplysninger, og det vil være nødvendig å tenke på forhånd om begrunnelsen for de valgte lagringsperioder. Dette er et ganske komplisert spørsmål som kan føre til mye kontrovers og problemer.
I tillegg må DOE-spesialister være oppmerksom på følgende: Siden målene for innsamling og behandling av personopplysninger, som lovkravet krever, må bestemmes før arbeidet påbegynnes, er det nødvendig å nøye vurdere deres ordlyd. Ellers kan organisasjonen selv "erstatte" seg selv: målene vil bli oppfylt, og personopplysninger vil ikke bli ødelagt.
En av de mest ubehagelige for organisasjoner som samler og behandler personopplysninger, er kravet i artikkel 6 om behovet for å få samtykke fra faget til behandling. Ingen samtykke er bare nødvendig i følgende tilfeller:
Vi har allerede en rekke føderale lover som beskriver behandling av personopplysninger, for eksempel når du opprettholder Unified State Registers of Taxpayers (EGRN) og juridiske enheter (USR). Den eneste betingelsen for å bruke unntaket fra kravet om generelt samtykke er å stille følgende spørsmål i gjeldende lovgivning:
Det er ikke klart hva som vil skje med de lover som inneholder normer knyttet til innsamling og behandling av personopplysninger, men oppfyller ikke den angitte betingelsen.
Den første til problemene knyttet til overholdelse av den nye loven, gjorde oppmerksomheten til forsikringsselskapene. Etter deres mening kan loven om personopplysninger alvorlig hindre gjennomføringen av loven om tvangsautorisert tredjepartsansvarsforsikring (MTPL) på grunn av forbudet til overføring til klientens personopplysninger oppnådd ved avslutningen av MTPL-kontrakten uten hans samtykke. Som et resultat vil forsikringsselskapet ikke kunne få fullstendig informasjon om sine kunder fra en enkelt database (og å opprettholde en slik database er også tvilsom), i denne situasjonen øker risikoen ved forsikringsselskaper.
Forsikringsselskaper prøver allerede å løse dette viktige problemet for dem ved å vurdere følgende alternativer:
§ 6 i artikkel 6 om å gi rett til å behandle personopplysninger til journalister, lærde og representanter for andre kreative yrker uten samtykke fra emnet er i tvil. Det er ganske realistisk (spesielt i kommersielle strukturer) å innføre en heltidsposisjon av "en representant for det kreative yrke" og "skrive til det" alle databaser som inneholder personlig informasjon.
For eksempel i England, i en lignende bestemmelse i loven, er det i tillegg fastsatt at i dette tilfellet skal formålet med databehandling være publisering av det aktuelle materialet; at en slik publikasjon må være i offentlig interesse (inkludert i utøvelsen av retten til selvutfoldelse av en representant for det kreative yrke) 9.
I tillegg er det interessant hvordan vi skal avgjøre hvem som er journalist eller forfatter, og hvem er det ikke. Det er ikke en hemmelighet at mange av de skriftlige brødrene ikke har de riktige diplomene eller offisielle ID-ene. Her kan tilnærmingen som brukes i USA, være nyttig for oss: journalister gjenkjenner alle de som skriver artikler for offentlig distribusjon, selv om de kun publiseres på Internett.
I USA i januar 2007 begynte rettssaken til tidligere senior George Bush Lewis "Scooter" Libby-administrasjonen. Et hundre seter ble satt til side for pressen i rettssalen, og to av dem ble offisielt mottatt av forfatterne av Internett-dagbøkene.
American Society of Newspaper Editors, når det utarbeides en føderal lov om å gi journalister rett til ikke å avsløre konfidensiell informasjon under rettssaker, foreslår at denne loven gjelder for alle uten unntak og dekker de som samler inn opplysninger for videre distribusjon. Og forfatterne av Internett-dagbøker, "bloggere", faller også under denne definisjonen 10.
La oss nå se hvordan den nye loven innebærer å få samtykke fra faget til behandling av hans personopplysninger.
Klausul 1 i artikkel 9 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ
Personopplysningen bestemmer seg for å levere sine personopplysninger og godtar behandlingen av egen vilje og i egen interesse. Samtykket til behandling av personopplysninger kan trekkes tilbake av personopplysninger.
I tillegg inneholder paragraf 3 i artikkel 9 en ganske ubehagelig tilstand for operatørene. De må enten samle bevis på at dataene som er samlet inn av dem, er hentet fra offentlig tilgjengelige kilder, eller få samtykke fra personopplysninger og deretter lagre dette dokumentet dersom "emnet" bestemmer seg for å saksøke operatøren for brudd på hans rettigheter.
Med offentlig tilgjengelige data er det heller ikke så enkelt. Artikkel 8, som definerer hva som menes med offentlig tilgjengelige kilder til personopplysninger (referansebøker, adressebøker, etc.), understreker at personlig informasjon bare kan inkluderes der med skriftlig samtykke fra faget. Videre kan "opplysninger om emnet for personopplysninger til enhver tid utelukkes fra offentlig tilgjengelige kilder til personopplysninger på forespørsel fra emnet for personopplysninger eller av en domstol eller andre autoriserte myndighetsorganer."
På den annen side, hvis en organisasjon brukte offentlig tilgjengelige kilder til personopplysninger ved innsamling av informasjon, måtte den dokumentere hvor den mottok denne informasjonen og sørge for at «kilden» har det skriftlige samtykke som kreves av loven.
Forbundslov av Russland "På Personopplysninger" datert 27. juli. 2006 nr. 152-FZ
§ 12 i artikkel 3. Grunnleggende vilkår som brukes i denne føderale loven
Generelle tilgjengelige personopplysninger er personopplysninger som et ubegrenset antall personer har tilgang til med samtykke fra emnet for personopplysninger eller til hvem kravet om konfidensialitet ikke gjelder i samsvar med føderale lover.
Artikkel 8 nr. 1. Generelle tilgjengelige kilder til personopplysninger
For å kunne gi informasjonsstøtte, kan offentlige kilder til personopplysninger (inkludert referansebøker, adressebøker) opprettes. Offentlige tilgjengelige kilder til personopplysninger med skriftlig samtykke fra emnet for personopplysninger kan omfatte hans etternavn, fornavn, mellomnavn, år og fødested, adresse, abonnentnummer, opplysninger om yrket og annen personlig informasjon som er gitt av personopplysninger.
§ 3 i artikkel 9. Samtykke til gjenstand for personopplysninger om behandling av personopplysninger
Forpliktelsen til å fremlegge bevis på samtykke fra personopplysninger til behandling av hans personopplysninger, og i tilfelle behandling av offentlig tilgjengelige personopplysninger, er operatøren forpliktet til å bevise at personopplysningene som behandles er offentlig tilgjengelige.
Det viser seg at for å beskytte seg selv, må organisasjoner be om offisiell bekreftelse for hver borger.
Hvordan skal fagets skriftlige samtykke innleveres? Det viser seg at en borgers underskrift under generell frase "Jeg er enig i innsamling og behandling av mine personlige data", vil ikke være nok.
Klausul 4 i artikkel 9 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ
... skriftlig samtykke fra fagpersonen til personopplysninger til behandling av personopplysninger bør omfatte:
Dette betyr at før operatøren skal "fange" emnet med personopplysninger og forsøke å få samtykke, må operatøren utvikle en spesiell form for dokumentet som vil inneholde all nødvendig informasjon.
Først av alt, har personopplysninger rett til å motta følgende opplysninger:
Fra operatøren kan emnet for personopplysninger kreve:
Mange vanskeligheter for operatørorganisasjoner vil skape klausul 2 i lovens artikkel 14 som krever at opplysninger om tilgjengeligheten av personopplysninger blir gitt til operatøren i en tilgjengelig form, og at de ikke inneholder opplysninger om andre emner av personopplysninger.
Saken 11 "Durant vs. Financial Services Authority", behandlet i Court of Appeal i England i desember 2003, mottok et bredt svar. Rettens avgjørelse innskrenket betydelig tolkningen av begrepet "personopplysninger". Retten indikerte spesielt at bare nevnen til denne personen i teksten i dokumentet ikke er nok til å vurdere dokumentet som inneholder personopplysninger. I tillegg bekreftet retten at retten til å få tilgang til personopplysningene ikke bør være i strid med tredjeparts rettigheter, og at personopplysninger fra tredjeparter bør fjernes fra kopier av dokumenter som er gitt på forespørsel (unntatt spesielle tilfeldighetsforhold).
I november 2004 nektet regjeringen arbeidstakere i Storbritannia til å få tilgang til personopplysningene, uansett om arbeidsgiveren holder dem i papir eller elektronisk form, hvis de lagres i et system som ikke klart strukturerer informasjonen på hver person. Dermed ble lagringssystemene for papirfiler (med unntak av personlige filer) de facto fjernet fra lovens handling om å gi tilgang til personlig informasjon siden de er vanskelige å isolere informasjon om en bestemt person.
For å få tilgang til deres personlige data, må våre landsmenn:
Denne forespørselen kan sendes i elektronisk form og signeres med en digital signatur. Dermed gir loven formelt mulighet til å søke om personopplysninger via elektroniske kommunikasjonskanaler. Vi har ennå ikke personer som har sin egen EDS i samsvar med loven om EDS (i det overveldende flertallet av tilfellene er EDS brukt i vårt land i samsvar med artikkel 160 i lov om borgerlig lov, som fastsetter en foreløpig avtale fra partene).
Mengden informasjon som et emne av personopplysninger kan kreve, viser bekymring for våre borgere. Organisasjoner som leder databasen som inneholder personopplysninger, anbefales å legge særlig vekt på punkt 4 i artikkel 14 i den nye loven for å tenke over og konsolidere prosedyren for å gi opplysninger i interne forskrifter:
Spørsmålet om personlig databehandling "for å fremme varer, verk, tjenester på markedet gjennom direkte kontakter med en potensiell forbruker gjennom kommunikasjonsverktøy, samt for politisk kampanjer" er viet til en spesiell artikkel (artikkel 15). Nå må kommersielle og politiske organisasjoner, før de sender reklame, innhente samtykke fra borgerne, og behandling av PD "er anerkjent utført uten forhåndsgodkjenning av personopplysninger, dersom operatøren ikke beviser at slik samtykke er innhentet." For noen kommersielle strukturer kan dette kravet være svært ubeleilig!
Heretter "forbudt beslutning basert utelukkende på automatisk behandling av personopplysninger løsninger som gir opphav til rettsvirkninger i forhold til personopplysninger emnet eller på annen måte påvirke rettigheter og legitime interesser" (artikkel 16).
Denne bestemmelsen er nødvendig og rettidig. Men våre lovgivere forvirret to forskjellige begreper: "automatisk" (det vil si uten menneskelig deltakelse) og "automatisert" (det vil si med menneskelig deltakelse). Som et resultat av denne artikkelen, i stedet innføre ytterligere restriksjoner til dem og bare de tilfeller der informasjonen systemet tar noen beslutninger uten menneskelig intervensjon (for eksempel periodisering av straffer, forbud mot utreise, etc.), kan tolkes som å innføre restriksjoner på alle typer personopplysninger, siden selv bruk av en kalkulator kan forstås som automatisert behandling!
I den samme artikkelen i den nye loven står det at operatøren vil kunne ta avgjørelser basert bare på "automatisert" behandling, dersom:
I noen reguleringsdokumenter er disse lovkravene allerede tatt i betraktning. I eksemplene på søknader om utstedelse av en ny generasjon pass er det således en spesiell seksjon der søkeren samtykker til "automatisert" behandling av dataene som er angitt i søknaden. Det lyder som følger: "Jeg er enig med den automatiserte behandlingen, overføringen og lagringen av dataene som er angitt i søknaden med det formål å fremstille, behandle og kontrollere et pass i løpet av gyldighetsperioden" 12.
Operatøren må også på forhånd gi følgende informasjon til borgeren:
I tilfelle en tvist er det operatøren som må bevise at han har oppfylt alle lovkravene. Dette betyr at han må nøye samle inn og lagre støttedokumenter.
Operatørens forpliktelser, i samsvar med artikkel 18, omfatter i hovedsak levering av personlig informasjon på anmodning fra borgerne. I tillegg må operatøren "forklare personopplysninger om juridiske konsekvenser av å nekte å gi sine personopplysninger", dersom denne plikten er etablert ved føderal lov.
Artikkel 20 fastsetter operatørene er svært strenge tidsfrister forespørsler fra fagene personlige data (de er mye mer rigid, slik som de som er fastsatt i en fersk loven "På rekkefølgen av behandling av søknader fra borgere av Russland"):
Operatøren vil ha enda flere spørsmål hvis det er nødvendig å eliminere brudd på loven innenfor tidsrammen fastsatt i artikkel 21 i den nye loven. Data blokkering bør utføres fra øyeblikket av forespørselen eller fra øyeblikket mottak av forespørselen, og eliminering av brudd - innen 3 virkedager.
I noen tilfeller er operatøren forpliktet til å ødelegge personopplysninger innen 3 virkedager, nemlig:
Både blokkering og ødeleggelse av personopplysninger kan være vanskelig (og noen ganger umulig) å implementere i øyeblikket operativ informasjonssystemer og databaser som tidligere ikke hadde gitt en slik mulighet.
Det vil bli enda vanskeligere for operatøren dersom han mottok personopplysninger, ikke fra en borger, men fra en tredjepart.
§ 3 i artikkel 18 i Russlands føderale lov om personopplysninger datert 27. juli. 2006 nr. 152-FZ
Dersom personlige data ikke ble innhentet fra personlige data emnet, bortsett fra i tilfeller der personopplysninger har blitt gjort tilgjengelig for operatøren på grunnlag av føderal lov eller dersom personopplysningene er offentlig tilgjengelig, er operatøren før behandling av personopplysninger er nødvendig for å gi personopplysninger underlagt følgende informasjon:
Bak disse ordene er mer tidkrevende arbeid. For eksempel kan spørsmålet oppstå: Hvordan skal denne informasjonen gis til emnet? Er det mulig å sende det via post og vil informasjonen bli vurdert gitt dersom emnet ikke har mottatt tilsvarende brev?
Operatørens plikt, i samsvar med artikkel 19, skal også sikre sikkerheten til personopplysninger under behandlingen. For å unngå problemer må operatørorganisasjonen utvikle og konsolidere alle de organisatoriske og tekniske informasjonssikkerhetstiltakene som det er forberedt på å ta i bruk for å beskytte personopplysningene i sine informasjonssystemer.
Loven bestemmer at alle operatører som utfører behandling av personopplysninger, må informere den autoriserte organ på forhånd (artikkel 22), som skal føre register over operatører i et spesialregister. Den autoriserte organisasjonen, i henhold til artikkel 23, er departementet for informasjonsteknologi og kommunikasjon i Russland, som for øyeblikket utfører "kontroll- og tilsynsfunksjoner innen informasjonsteknologi og kommunikasjon". Meldingen må stave ut i detalj hva som er planlagt å gjøre med personopplysninger. Eventuelle endringer i forbindelse med behandling av personopplysninger må også rapporteres til autorisert organ.
Det er tillatt å behandle personopplysninger uten å varsle autorisert organ i følgende tilfeller:
Til slutt vil vi gi en rekke anbefalinger til operatørene. Det vil ikke være veldig vanskelig å oppfylle kravene i lov om personopplysninger hvis dette arbeidet er startet nå, uten å vente på de første klager og klager. Du kan starte med følgende åpenbare tiltak:
I denne artikkelen er en analyse av den nye loven om beskyttelse av personopplysninger laget av spesialister innen rekordbehandling, som vil ødelegge mye blod. Dens effektivitet vil bli vist av øvelsen, men for nå, som "personopplysninger", anslår jeg listen over offentlige myndigheter som jeg kunne sende en forespørsel om å gi meg, i samsvar med lovens krav, relevant informasjon. Nå har jeg rett!
1 Artikkel 25 i kapittel IV i Europa-Parlamentets og Rådets direktiv 95/46 / EF av 24. oktober 1995 om beskyttelse av enkeltpersoners rettigheter i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger.
2 Det er interessant at selv USA ikke overholder strenge europeiske krav, og amerikanske selskaper er tvunget til å bruke de såkalte "paraply" -avtalen.
3 Personopplysningene er en person som behandler personopplysninger.
4 "personlig data arkivering system"
5 Listen over føderale utøvende organer og organisasjoner som utfører custodianship russiske Arkivfonds dokumenter under føderal eierskap, inkludert 18 bedrifter: den russiske innenriksdepartementet, den russiske utenriksdepartementet, den russiske forsvarsdepartementet, russiske SVR, den føderale sikkerhetstjenesten i Russland Federal Drug Control-tjenesten i Russland FSIN av Russland, Rosatom, Roskartografiya, Russlands Akademi for landbruksvitenskap, Russisk Akademi for medisinske vitenskap, Russisk Akademi for utdanning, Russisk kunstakademi, Russisk Akademi for arkitektur og anleggsvitenskap, Stat chrezhdenie "All-russiske Research Institute of Hydrometeorological informasjon - Verden Data Center" Federal State Institution "State Fund of Television and Radio", Federal State Unitary Scientific and Production Enterprise "Russian Federal Geological Fund", Federal State Unitary Enterprise "Russian Science and Technology Center informasjon om standardisering, metrologi og overensstemmelsesvurdering ".
6 5 U.S. C. § 552a (k) (1) "Dokumenter til enkeltpersoner - Spesielle unntak - Arkivdokumenter".
7 Operatør - Statlig organ, kommunal organ, juridisk eller fysisk person, organisere og (eller) utføre behandling av personopplysninger, samt definere formålet med og innholdet i personlig databehandling.
9 Databeskyttelsesloven 1998, artikkel 32.
11 Durant vs Financial Services Authority (FSA).
12 Vedlegg № 1 til forskrift om prosedyren for registrering og utstedelse av pass av den russiske føderasjonen statsborger, er diplomatpass og offisielle pass hoved dokument som bekrefter Russland borger av grensene til Russland som inneholder elektroniske databærere (app. Rekkefølgen av Ministry of Internal Affairs, Utenriksdepartementet og den russiske føderasjonens sikkerhetstjeneste datert 6. oktober 2006 nr. 785/14133/461).