Melyek a személyes adatok feldolgozásának módjai?

Az Orosz Föderáció munkakódexében olyan fogalom van, mint "egy dolgozó személy személyes adatai". A működési kontingens adatait a munkáltatónak meg kell adni.

Miután megvizsgálta a személyes adatokat, a munkáltató dönt arról, hogy egy személyt vállalnak.

Meg kell védeni azt az információt, amelyet egy személy bemutat magáról. Elosztása tilos.

Kedves olvasók! Cikkünk a jogi kérdések megoldásának tipikus módjairól beszél, de minden esetben egyedi.

Ha szeretné tudni, hogyan kell pontosan megoldani a problémát - csak hívjon, gyors és ingyenes!

rendszer

A munkavállalókra vonatkozó személyes információkat fejlesztésnek kell alávetni.

A munkáltató a személyes adatokra a következő követelményeket alkalmazza:

1. A törvényi és jogi aktusok betartásának biztosítása érdekében a munkatárssal kapcsolatos személyes adatok feldolgozásának folyamata folyik. Az adatfeldolgozásnak köszönhetően személyeket alkalmazhat, személyi biztonságot nyújt, felügyelheti az általa végzett munkát.
2. A munkáltató figyelembe veszi a feldolgozás alatt álló munkakörülményre vonatkozó személyes adatok körét és tartalmát. Minden munkáltató tanulmányozza és követi az Alkotmány, a többi szövetségi törvény aspektusait.
3. A munkacsoportra vonatkozó információkat közvetlenül a munkavállalóktól kell beszerezni. A dolgozó személyről információt szerezhet harmadik szájról, de csak a személy írásbeli hozzájárulásával. A munkáltató tájékoztatja a dolgozókat a céljaikról és forrásaikról, amiből személyes adatot hoznak. A munkáltató figyelmezteti a következményeket, ha a munkavállaló személyes adatait nem adja ki.
4. Az a személy, aki munkáját végzi a munkavállalóinak, nem jogosult mindenféle politikai, vallási vagy egyéb meggyőződésre, valamint a munkavállaló családi életére vonatkozó információkra. A munkavállaló személyes életét csak beleegyezésével lehet megállapítani. A megállapodást írásban kell megtenni.
5. A munkáltató nem használhatja a munkavállalók jelenlétére vonatkozó információk feldolgozásában a tagsági szövetségekben, a szakszervezetekben. Vannak azonban olyan helyzetek, amelyeket a szövetségi törvény előír.
6. Minden személyes adatot védeni kell és el kell rejteni a nyilvános ellenőrzés és használat ellen. Az adatvédelemre a szövetségi törvény feltételei vonatkoznak.
7. A munkavállalók tanulmányozzák az intézményhez tartozó dokumentumokat. Fel kell tüntetniük a munkavállalók személyes adatainak feldolgozásával kapcsolatos folyamatok jelentését és rendjét.
8. A dolgozó embereknek el kell fogadniuk személyes adataik védelmét.
9. Maguk a munkáltatók, valamint a munkavállalók együtt dolgozhatnak annak érdekében, hogy fejlesszék a munkavállalók személyes információinak védelmét.

Az alkalmazottakkal kapcsolatos információk közlése során a vállalkozás igazgatója az alábbi szabályokat kell követnie:

• Egy harmadik félnek nem kell tudnia minden munkavállaló személyes adatairól. Az adatok csak abban az esetben nyújthatók, ha a foglalkoztatottak írásbeli hozzájárulását adták személyes adataik használatához. Ha azonban fennáll a megélhetés veszélye, a munkacsoport egészsége, akkor a személyes adatokat írásos írásbeli hozzájárulás nélkül is meg lehet adni más embereknek;
• a munkáltatónak nem szabad a kereskedelemmel foglalkozó csapat adatait közzétennie;
• Azok a személyek, akik információt kapnak a munkavállalókról, a titoktartási kereteken belül kell feldolgozniuk;
• az adott személyre vonatkozó információk továbbítása csak egy szervezetben történik az intézmény speciális belső cselekményei révén;
• a munkavállalóra vonatkozó információk csak különleges, felhatalmazott személyek rendelkezésére állnak;
• nem kell információt kérnie a dolgozó személyek egészségéről. A kérés csak abban az esetben nyújtható be, ha felmerül a kérdés, hogy a dolgozó emberek gyakorolhatják-e a munkafunkcióikat;
• a dolgozó kontingens személyes adatait a Kódex adatait figyelembe véve lehet összegyűjteni.

A működő kontingensnek joga van:

• a személyes adatok ismerete és feldolgozása;
• korlátlan hozzáférés a személyes adatokhoz. A dolgozó személynek információs adatainak másolatai is kiállíthatók. De vannak olyan helyzetek, amikor a személyes adatokat nem teszik közzé. Ezeket a helyzeteket a szövetségi törvény írja le;
• az egészségügyi szakember megtekintheti a munkavállalói személyes adatokat;
• a személyes adatok tárgyainak javítása vagy kiegészítése.

A személyes adatok feldolgozásának alábbi típusait különböztetjük meg:

1. Információk feldolgozása számítógépes technológiával.
2. Nem automatizált feldolgozás.
3. A megadott adatokat feldolgozó információs rendszer.

automatizált

Ez a feldolgozás speciális számítógépes technológiával történik. A leggyakoribb számítógépek lehetnek:

• elektronikus számítógép;
• segédeszközök;
• perifériás eszközök;
• szükségszerűen telepített szoftver.

Nem automatizált

A nem automatizált feldolgozás legrészletesebb leírását a 687. számú kormányrendelet írja.

A működési kontingensre vonatkozó információk terjesztését, tanulmányozását és eltávolítását egy személy egy részével, nem pedig számítógépes technológiával kell elvégezni.

információ

Az információs rendszernek köszönhetően a működési kontingensre vonatkozó személyes adatok speciális kategóriáit dolgozzák fel. Ez a rendszer feldolgozza az adott fajhoz és nemhez, az állampolgársághoz, a politikai nézetekhez, a filozófiai kilátásokhoz való csatlakozást befolyásoló adatokat.

Az információs rendszernek köszönhetően feldolgozható:

• biometrikus személyes adatok. Különösen, ha fiziológiai, biológiai adatokra jellemző. A kapott jellemzőknek köszönhetően lehetőség van a munkavállalók személyiségének értékelésére;
• megosztott személyes adatok;
• egyéb tájékoztató adatok. Példa erre a vallási, nemzeti elképzelések, filozófiai kilátások, a munkakörülmény intim természetének pillanatai, és sok más fontos személyes jellemző az egészségi állapotig.

Így minden munkavállaló személyes adatait minden munkáltató tartalmazza. Az igazgató semmilyen esetben nem jogosult a személyre vonatkozó rendelkezésre álló adatok terjesztésére.

A működési kontingensről kapott információk többféleképpen is feldolgozhatók: számítógépes technológia segítségével, személyes erők segítségével, az információértékelő rendszernek köszönhetően.

Minden esetben minden munkavállaló személyes adatait alaposan megvizsgálják.

A személyes adatok feldolgozásának módjai

Az Amur régió polgári törvénykönyvének rendelete alapján

2012. december 26-i szám: 626

a személyes adatok feldolgozásával kapcsolatban

1. ÁLTALÁNOS RENDELKEZÉSEK

1.1. Ez a dokumentum (a továbbiakban: politika) a személyes adatok feldolgozásának céljai, alapelvei, módszerei és feltételeinek szisztematikus leírása, a személyes adatok feldolgozására és védelmére vonatkozó, a Szabadkai Központi Kórház Amur régiójának GKU-ban végrehajtott követelményeire vonatkozó információ (továbbiakban: Foglalkoztatási Központ).

1.2. A politika alapja az Orosz Föderáció Személyes adatokról szóló szövetségi törvényének, az Orosz Föderáció egyéb, a személyes adatok feldolgozására és védelmére vonatkozó szabályozási jogi aktusai. A politika nyilvános dokumentum.

1.3. A „Személyes adatokról” szóló, 2006. július 27-i 152-ФЗ szövetségi törvénynek megfelelően a Foglalkoztatási Központ a személyes adatok üzemeltetője (a továbbiakban: PD).

2. FELDOLGOZOTT SZEMÉLYES ADATOK

2.1. A házirendben használt főbb kifejezések:

· Személyes adatok - az ilyen információk alapján meghatározott vagy meghatározott fizikai személyre (személyes adatok tárgyára) vonatkozó információk, beleértve a vezetéknevét, vezetéknevét, védőszentjét, születési évét, hónapját, születési idejét és helyét, címét, családját, szociális vagyonát, tulajdonát. pozíció, oktatás, szakma, jövedelem, egyéb információk;

· Személyes adatfeldolgozás - személyes adatokkal kapcsolatos tevékenységek (műveletek), beleértve a személyes adatok gyűjtését, rendszerezését, felhalmozását, tárolását, finomítását (frissítését, módosítását), felhasználását, terjesztését (beleértve az átvitelt), személytelenítését, blokkolását és megsemmisítését;

2.2. E szabályzat keretében a feldolgozott személyes adatok:

· A Foglalkoztatási Központhoz tartozó közszolgáltatások címzettjei által szolgáltatott személyes adatok;

· A Foglalkoztatási Központ alkalmazottainak személyes adatai, vagy az üres álláshelyekre vonatkozó jelöltek;

3. A SZEMÉLYES ADATFELDOLGOZÁS CÉLJA

3.1. A PD feldolgozás célja a Foglalkoztatási Központban:

· Az Orosz Föderáció állampolgárainak alkotmányos jogainak a munkába és a munkanélküliség elleni szociális védelemre való érvényesítésének biztosítása a foglalkoztatás előmozdítása területén nyújtott közszolgáltatások révén;

· A polgárok alkotmányos jogainak a fellebbezésre való végrehajtásának biztosítása;

· Az Orosz Föderáció alapító egységében a munkaerőpiac helyzetének objektív értékelése (az állami foglalkoztatási szolgálatok kedvezményezettjei, munkanélküliek, a Foglalkoztatási Központhoz benyújtott állampolgárok javaslatokkal, nyilatkozatokkal, panaszokkal);

· Az Orosz Föderáció Alkotmányának, törvényeknek és egyéb jogszabályoknak való megfelelés biztosítása, a munkavállalók munkájának segítése, munkahelyi képzés, promóció, munkahely-növekedés, a munkavállalók személyes biztonságának biztosítása, az elvégzett munka mennyiségének és minőségének ellenőrzése, a hozzá tartozó tulajdon biztonságának biztosítása és teljesítményük rögzítése; a foglalkoztatási központ tulajdonviszonyai és biztonsága.

· Adóügynök funkcióinak ellátása standard adókedvezmények biztosításában (a Foglalkoztatási Központ munkavállalói családtagjai tekintetében);

· A polgári jogi szerződésekből eredő kötelezettségek teljesítése (a munkát végző személyekkel kapcsolatban, a polgári jogi szerződések keretében nyújtott szolgáltatások a Foglalkoztatási Központtal).

4. A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK ALAPELVEI

4.1. A PD feldolgozása jogi és tisztességes alapon.

4.2. A PD feldolgozásának korlátozása az e dokumentum 2. szakaszában meghatározott konkrét, előre meghatározott és jogos célok eléréséhez. A személyes adatok gyűjtésének céljaival összeegyeztethetetlen személyes adatok feldolgozása nem megengedett.

4.3. A PD-t tartalmazó adatbázisok kombinációjának megakadályozása, amelyek egymással összeegyeztethetetlen célokra kerülnek feldolgozásra.

4.4. Csak azoknak a PDS-nek a feldolgozása, amelyek megfelelnek a feldolgozás céljainak.

4.5. A PD feldolgozott tartalmának és mennyiségének való megfelelés.

4.6. Az elbocsátások elfogadhatatlansága feldolgozott PD vonatkozásában a feldolgozásuk által kitűzött célokhoz viszonyítva.

4.7. A PD pontosságának, elégségességének és szükség esetén a PD feldolgozás céljainak biztosítása.

4.8. Győződjön meg arról, hogy szükségesek a hiányos vagy pontatlan adatok eltávolítása vagy finomítása.

4.9. A PD-tárolás olyan formában történő végrehajtása, amely lehetővé teszi a PD-tárgy meghatározását, nem haladja meg a PD-feldolgozás célját, ha a PD-tárolási időszakot nem a szövetségi törvény határozza meg, a szerződés, amelyre a PD-t kedvezményezett vagy kezes. A feldolgozandó PD-k a feldolgozási célok elérése vagy a célok elérésének szükségességének elvesztése esetén megsemmisülnek vagy depersonalizálódnak, kivéve, ha a szövetségi törvény másként rendelkezik.

5. A SZEMÉLYES ADATOK FELDOLGOZÁSI MÓDSZEREI

5.1. A foglalkoztatási központ a következőképpen dolgozza fel a PD-t:

· Nem automatizált PD feldolgozás (papíron);

· Automatizált feldolgozás (az ISPDn-ben automatizálási berendezések használatával és anélkül), beleértve: a Foglalkoztatási Központ helyi hálózatán keresztül történő átvitelt és anélkül; az interneten keresztül történő továbbítással és anélkül;

· Vegyes PD feldolgozás.

5.2. A foglalkoztatási központ önállóan választhatja ki a PD feldolgozás módszereit az ilyen feldolgozás céljától és saját anyagi és technikai képességeitől függően.

6. A SZEMÉLYES ADATFELDOLGOZÁS FELTÉTELEI

6.1. A PD feldolgozás a Személyes adatokról szóló szövetségi törvényben meghatározott elvek és szabályok szerint történik.

6.2. A PD-feldolgozás megengedett a Személyes adatokról szóló szövetségi törvényben előírt esetekben.

6.3. A foglalkoztatási központnak jogában áll a PD feldolgozását egy másik személynek a PD alanyának beleegyezésével bízni, kivéve, ha a szövetségi törvény másképp rendelkezik, az ezzel a személyrel kötött szerződés alapján, beleértve az állami vagy önkormányzati szerződést, vagy az állami vagy önkormányzati szerv által elfogadott megfelelő jogi aktus (a továbbiakban: ).

6.4. Ha a Foglalkoztatási Központ a PD feldolgozását egy másik személynek ruházza fel, a PD cselekményért az említett személy felelősségét a Foglalkoztatási Központ viseli. A Foglalkoztatási Központ nevében a személyes adatokat feldolgozó személy felelős a Foglalkoztatási Központnak.

7. A SZEMÉLYES ADATOK MEGHATÁROZÁSA

7.1. A foglalkoztatási központ és más személyek, akik hozzáférést kaptak a PD-hez, kötelesek nem nyilvánosságra hozni a harmadik feleket, és nem adják ki a PD-t a PD-téma beleegyezése nélkül, kivéve, ha a szövetségi törvény másként rendelkezik.

8. A SZEMÉLYES ADATOK TÁMOGATÁSA A SZEMÉLYES ADATOK FELDOLGOZÁSÁRA

8.1. A PD-téma a személyes adatainak nyújtásáról dönt, és beleegyezik abba, hogy szabadon, saját akaratával és érdeklődésével feldolgozza őket.

8.2. A PD feldolgozáshoz való hozzájárulásnak konkrétnak, tájékozottnak és tudatosnak kell lennie.

8.2. A PD-feldolgozásra vonatkozó hozzájárulást a PD-téma vagy annak képviselője bármilyen formában adhatja meg, amely lehetővé teszi annak kézhezvételének megerősítését, kivéve, ha a szövetségi törvény másként rendelkezik.

8.3. Abban az esetben, ha a személyes adatok egy képviselőjétől személyes adatok feldolgozásához hozzájárulást kapnak, a képviselőnek a személyes adatok nevében történő beleegyezésére való jogosultságát a Foglalkoztatási Központ ellenőrzi.

8.4. A PD feldolgozáshoz való hozzájárulás visszavonható a PD alany által. A PDN-nek a PD feldolgozására vonatkozó beleegyezésének visszavonása esetén a Foglalkoztatási Központ jogosult a személyes adatok beleegyezése nélkül folytatni a személyes adatok feldolgozását, ha a Személyes adatokról szóló szövetségi törvény 6. cikke 1. részének 2–11. ”.

8.5. A szövetségi törvényben előírt esetekben a PD-feldolgozás csak a PD-tárgy írásos beleegyezésével történik. Az írásbeli formanyomtatványt a szövetségi törvény szerint aláírt elektronikus törvény által aláírt elektronikus dokumentumnak kell tekinteni.

8.6. A Foglalkoztatási Központ személyes adatait a személyes adatok nem tárgyát képező személytől szerezheti be, feltéve, hogy a Foglalkoztatási Központ megerősíti a Személyes adatokról szóló szövetségi törvény 6. cikke (1) bekezdésének 2–11. ”.

9. A SZEMÉLYES ADATOK ALKALMAZÁSI JOGAI VÉGREHAJTÁSA

9.1. A PD feldolgozásakor a Foglalkoztatási Központ biztosítja a szükséges feltételeket ahhoz, hogy a PD szabadon gyakorolhassa jogait.

9.2. A PD-t jogosult személyes adatokhoz hozzáférni.

9.3. A PD-objektumnak joga van a személyes adatainak feldolgozásával kapcsolatos információk megszerzésére, amely tartalmazza: a PD-feldolgozás tényének megerősítését a Foglalkoztatási Központban; a PD-feldolgozás jogi alapjai és céljai; a Foglalkoztatási Központ által alkalmazott PD feldolgozási célok és módszerek; a Foglalkoztatási Központ nevét és helyét, az egyénre vonatkozó információkat (a Foglalkoztatási Központ alkalmazottainak kivételével), akik hozzáférhetnek a személyes adatokhoz, vagy akik a Munkaügyi Központtal kötött megállapodás alapján vagy szövetségi törvény alapján közzéteszhetik a személyes adatokat; Az érintett PD-téma által feldolgozott PD-k, azok kézhezvételének forrása, kivéve, ha a szövetségi törvény előírja az ilyen adatok benyújtására vonatkozó más eljárást; PD feldolgozási idő, beleértve a tárolási időt; a Személyes adatokról szóló szövetségi törvény által előírt jogok gyakorlására vonatkozó eljárás tárgya; információ a befejezett vagy tervezett határokon átnyúló adatátvitelről; a PDN-nek a Foglalkoztatási Központ nevében történő feldolgozását végző személy neve vagy vezetékneve, neve, védőszentje és címe, ha a feldolgozás ilyen személyre van bízva vagy hozzárendelésre kerül a szövetségi törvények által előírt egyéb információk.

9.4. A személyes adatokhoz való hozzáférésre jogosult PD joga korlátozható a szövetségi törvényekben kifejezetten előírt esetekben.

9.5. A PD-alany jogosult megvédeni jogait és jogos érdekeit, beleértve a kártérítést és a morális kár megtérítését a bíróságon.

9.6. Ha a PD-téma úgy véli, hogy a Foglalkoztatási Központ a Személyes adatokról szóló szövetségi törvény követelményeinek megsértésével dolgozza fel PD-jét, vagy más módon megsérti jogait és szabadságait, a PD-objektum jogosult a PD Központ jogainak védelmére fellebbezni a Foglalkoztatási Központ fellépése vagy cselekedete ellen. bírósági végzés.

10. INFORMÁCIÓ A Foglalkoztatási Központ által végrehajtott intézkedésekről

A SZEMÉLYES ADATOK FELDOLGOZÁSÁRA VONATKOZÓ FELELŐSSÉGEK VÉGREHAJTÁSÁNAK CÉLJA

10.1. A Foglalkoztatási Központ, amikor a PD feldolgozását végzi, a Személyes adatokról szóló szövetségi törvényben előírt PD-üzemeltető feladatait látja el.

10.2. A Foglalkoztatási Központ megteszi a szükséges és elegendő intézkedéseket a szövetségi törvényben és az azzal összhangban elfogadott jogszabályokban előírt feladatok teljesítésének biztosításához.

10.3. A Foglalkoztatási Központ önállóan meghatározza a szükséges és elegendő intézkedések összetételét és listáját a szövetségi törvényben és az azzal összhangban elfogadott jogszabályokban előírt kötelezettségek teljesítésének biztosításához, kivéve, ha a szövetségi törvény másként rendelkezik.

10.4. A Foglalkoztatási Központ korlátlan hozzáférést biztosít ehhez a dokumentumhoz (Politika), a PD védelemre vonatkozó tényleges követelményekre vonatkozó információkhoz az Amur Régió Foglalkoztatási Osztályának hivatalos honlapján, a http: // zanamur. ru, a Svobodnyi Központi Kórház Amur régiójának GKU a http://svobzan.amur.ru címen.

11. INFORMÁCIÓ A SZEMÉLYES ADATOK VÉDELEMÉNEK MUNKAVÁLLALÁSI KÖZPONTJAI VÉGREHAJTÁSÁNAK MÓDOSÍTÁSÁRÓL

11.1. A PD feldolgozással foglalkozó Foglalkoztatási Központ biztosítja a szükséges jogi, szervezeti és technikai intézkedések elfogadását a PD jogellenes vagy véletlen elérése, a PD megsemmisítése, módosítása, blokkolása, másolása, biztosítása, terjesztése és más, a PDN elleni illegális cselekmények elleni védelme érdekében.

11.2. A személyes adatok védelme érdekében a Foglalkoztatási Központ végrehajtja a személyes adatok védelmére vonatkozó követelményeket, amikor azokat az Orosz Föderáció Kormánya által létrehozott személyes adatinformációs rendszerekben dolgozzák fel.

11.3. A PD biztonságának biztosítása a Foglalkoztatási Központ által, különösen:

· A személyes adatok biztonságát fenyegető veszélyek azonosítása a Foglalkoztatási Központ ISPDN-ben történő feldolgozásakor;

· Szervezeti és technikai intézkedések alkalmazása a személyes adatok biztonságának biztosítására a Foglalkoztatási Központ ISPDN-ben történő feldolgozásakor, amely szükséges ahhoz, hogy megfeleljen a személyes adatok védelmére vonatkozó követelményeknek, amelyek teljesítését az Orosz Föderáció kormánya által létrehozott személyes adatok védelmének szintje biztosítja;

· Az előírt módon végrehajtott információbiztonsági intézkedések alkalmazása;

· A Foglalkoztatási Központ által a személyes adatok biztonságának biztosítása érdekében hozott intézkedések hatékonyságának értékelése a Foglalkoztatási Központ ISPDN üzembe helyezése előtt;

· Figyelembe véve a Foglalkoztatási Központ PD gépjárművezetőit

· A PDN-hez való jogosulatlan hozzáféréssel kapcsolatos tények felderítése és fellépés;

· Az illetéktelen hozzáférés miatt módosított vagy megsemmisített PDN helyreállítása;

· A Foglalkoztatási Központ SPDN-ben feldolgozott PDN-hez való hozzáférés szabályainak megalkotása, valamint a PDN-en végzett valamennyi tevékenység regisztrálása és rögzítése az ISPDN-ben a Foglalkoztatási Központban;

· A személyes adatok biztonsága és a foglalkoztatási központ ISPDN biztonságának biztosítása érdekében hozott intézkedések ellenőrzése.

11.4. A Foglalkoztatási Központ által a személyes adatok védelme érdekében hozott intézkedésekre vonatkozó információ korlátozott információ.

12. A politika változása. Alkalmazandó jog

12.1. A Foglalkoztatási Központnak joga van változtatni a jelen Szabályzatban.

12.2. A Szabályzat fejlécében történő módosítások esetén a módosítás utolsó frissítésének dátuma jelenik meg.

12.3. A politika új változata az Amurskaya Oblast Foglalkoztatási Minisztériumának honlapján történő közzétételének időpontjától lép hatályba, kivéve, ha a politika új változata másképp rendelkezik.

A személyes adatok feldolgozásának módjai

Kérdés-válasz a témáról

a kérdés

Mi kapcsolódik a személyes adatfeldolgozási módszerekhez, és mi kapcsolódik a személyes adatokkal kapcsolatos tevékenységekhez?

A válasz

A Roskomnadzor 2011. augusztus 19-i 706. sz. Rendelete 9. pontja szerint a * módszerek a következők:

- a személyes adatok nem automatizált feldolgozása;

- a személyes adatok kizárólag automatizált feldolgozása a fogadott információk hálózaton keresztül történő átadásával vagy anélkül;

- a személyes adatok vegyes feldolgozása (N 4. megjegyzés).

És a cselekvésekre az Art. A 152-FZ. Sz. Szövetségi törvény 3. cikke a személyes adatokra vonatkozóan: *

- tisztázás (frissítés, módosítás);

- elosztás (beleértve az átvitelt is);

- a személyes adatok megsemmisítése.

Ennek az álláspontnak az alapja az alábbiakban található a „Rendszerügyvéd” anyagában.

• 152-ФЗ SZABÁLYOZÓ FEDERÁLIS JOG A SZEMÉLYES ADATOKRÓL

„Személyes adatfeldolgozás minden olyan művelet (művelet) vagy cselekvési készlet (művelet), amelyet * automatizálási eszközökkel vagy ilyen eszközök használata nélkül végeznek személyes adatokkal, beleértve a gyűjtést, rögzítést, rendszerezést, felhalmozást, tárolást, finomítást (frissítést, módosítást), személyes adatok kitermelése, használata, átadása (elosztás, szolgáltatás, hozzáférés), személytelenítés, blokkolás, törlés, megsemmisítés ”

• ROSKOMNADZOR RENDELÉSE 2011. augusztus 19-től 706

A „személyes” adatokkal kapcsolatos műveletek listája, az Üzemeltető által a személyes adatok feldolgozására használt módszerek általános leírása ”* az Üzemeltető személyes adatokkal végzett tevékenységeit, valamint az Üzemeltető által a személyes adatok feldolgozásához használt módszerek leírását jelzi:

- a személyes adatok nem automatizált feldolgozása;
- a személyes adatok kizárólag automatizált feldolgozása a fogadott információk hálózaton keresztül történő átadásával vagy anélkül;

- személyes adatok vegyes feldolgozása (N 4. megjegyzés) Megjegyzés N 4. A személyes adatok automatizált feldolgozásában vagy a vegyes feldolgozásban meg kell jelölni, hogy a személyes adatok feldolgozása során szerzett információk a jogi személy belső hálózatán kerülnek továbbításra (az információ csak a jogi személy szigorúan meghatározott munkavállalói számára áll rendelkezésre) ) vagy az információt a nyilvános interneten keresztül, vagy a kapott információk továbbítása nélkül továbbítják. ”

* Így kiemelt része az anyagnak, amely segít a helyes döntés meghozatalában.

A személyes adatok feldolgozása az őket feldolgozó vállalatok számára

Feltételek, árnyalatok és gyakori téveszmék - az Onlanta cég biztonsági szolgálatának szakértői által készített anyagban (a LANIT cégcsoportban található).

Megértjük a jogi terminológiát és a nagyon árnyalatokat, amelyekre bíróságon lehet.

Magyarázza el a kifejezéseket az emberi nyelven

A személyes adatok feldolgozásával kapcsolatos kapcsolatokat szabályozó fő törvény a 2006. július 27-i szövetségi törvény, „A személyes adatokról”, 152-ФЗ.

Az első megértendő kifejezés a személyes adatok.

Mi az a személyes adat

Ez minden olyan információ, amelyet egy személy azonosítására lehet használni: például teljes név, születési dátum, oktatás, jövedelem és még családi állapot is. Kérdezed: "És mi a név, amit a névjegyre nyomtattak, szintén személyes adatok?"

Válasz: "Igen." Törvény szerint nem számít, hogy csak a vezetékneved van-e nyomtatva a névjegykártyára, vagy együttesen, például egy telefonszámmal és címmel. Mind az első, mind a második és a harmadik - személyes adatok. Igaz, hogy a lányok névjegykártyáinak vagy telefonszámainak tárolása a telefonkönyvben nem kell törvény szerint válaszolnia, hanem az alábbiakban.

Menj előre. A média folyamatosan írja a "személyes adatok tárolását". Megfelelően nem a személyes adatok tárolása, hanem feldolgozása. Mi a különbség? A tárolás csak a személyes adatok feldolgozásának része. A személyes adatokkal (begyűjtés, felhalmozás, tárolás, átruházás, módosítás) végzett tevékenységeket törvény szerint „személyes adatfeldolgozásnak” nevezzük.

Fontos megérteni, hogy a törvény két személyes adatelemet különböztet meg: az üzemeltetőt és a feldolgozót. Az üzemeltető végzi a személyes adatok feldolgozását, valamint meghatározza feldolgozásuk célját, a feldolgozandó személyes adatok összetételét, a személyes adatokkal végzett műveleteket (műveleteket).

A kezelő olyan személy, aki személyes adatokat végez: gyűjtése, tárolása, szervezése, felhalmozása, frissítése, frissítése, törlése, személytelenítése stb.

Valójában a feldolgozó nemcsak a végfelhasználó, aki munkához személyes adatokat igényel, hanem minden közbenső felhasználó számára is, akinek a kezébe ezeket a személyes adatokat továbbították. Mutassa be a gyakorlatban.

feladat

Az online áruházban van egy ügyféladatbázis, amely egy harmadik fél cég "felhőjében" található. Ezzel a bázissal egy marketing ügynökség működik. Kérdés: Hány személyes adatkezelő van?

A helyes válasz egy. Ez egy online áruház, amely meghatározza a személyes adatok feldolgozásának céljait. A második kérdés: hány személyes adatfeldolgozó van? A helyes válasz két.

1. Olyan cég, amely felhőjében online áruházadatbázissal rendelkezik.
2. Olyan marketing ügynökség, amely adatokat gyűjt, és ezen adatok alapján promóciós ajánlatot készíthet az ügyfelek számára.

A személyes adatokat számos intézményben dolgozzák fel, például bankokban, iskolákban, klinikákban, vízumközpontokban. Nem is beszélve azokról a weboldalakról, ahol regisztrálunk, e-mail címünket és telefonszámunkat. De hogyan és hol?

árnyalat

Olyan homályos fogalom van a törvényben, mint „személyes adatinformációs rendszer”. Ha egyszerûen próbál megmagyarázni - ez egy egész komplex, amely adatbázis-kiszolgálókból, technikai eszközökbõl áll, hogy biztosítsák azok feldolgozását, és az információs technológiát. A törvénynek megfelelően minden személyes adatvédelmi rendszert védeni kell.

Az információk védelme különböző.

• Fizikai: például a helyiségben, ahol a számítógépek találhatók, kamerák telepíthetők, hozzáférési szabályozás, riasztórendszerek is használhatók.
• Műszaki - speciális információs eszközök használata.
• Adminisztratív: mindenféle szabályozás és szabály a személyes adatok feldolgozására a vállalaton belül.

példa

Az információ védelmének egyik eszköze a személyes adatok személytelenítése. Mi az? A vízumközpontban minden vízumkérőnek külön azonosító számmal kell rendelkeznie. A szám önmagában nem utal személyes adatokra, mivel személyteleníti a személyt: lehetetlen azonosítani a vízumot kérelmező személyt.

Úgy tűnik, személyes adatokat dolgozok fel.

Szóval, a terminológiával. Most minden üzleti képviselőnek, különösen az egyéni vállalkozóknak, akiknek csak néhány alkalmazottja van a személyzetben, őszintén válaszolnia kell a kérdésre: „Személyes adatokat dolgozok fel?”

Igen, ha Ön egy hét tulajdonosának egy webhelye, ahol hetente van jelen, de van egy visszajelző űrlapja a "név, e-mail cím, telefonszám" mezővel. A webhelyén fel kell tüntetni a személyes adatok gyűjtésének céljait, a használatának módját.

Igen, ha dolgozók vagy harmadik fél szakemberei személyes adatait dolgozzák fel a munkához.

Igen, ha magánszemélyekkel dolgozol, és szerződéskötéshez szüksége van az útlevéladatokra - ez vonatkozik az utazási irodákra, fitneszközpontokra, különböző szolgáltató cégekre, online áruházakra és másokra.

És ismét, igen, ha Ön költségvetési szervezet, politikai párt vagy óvoda. Ez utóbbi nem csak a gyermekről, hanem a szüleiről is tájékoztatást ad, beleértve a munkahelyet és a pozíciót is. Nem is beszélve az egészségügyi intézményekről - van egy olyan személyes érzékeny információs tenger is, amelyet biztonságosan kell tárolni.

Azonban, ha a személyes kommunikációra vonatkozó adatokat kereskedelmi haszon nélkül használjuk, akkor a jogszabály követelményei nem vonatkoznak rád, és nincs büntetőjogi felelősség.

Például a névjegykártyára nyomtatott névjegyek használatát, amelyet egy kollégától kapott, vagy a telefonszámok egy okostelefonon, a szociális hálózatokról szóló információk nem rónak fel a törvény előtti felelősséget.

A fő dolog nem az, hogy az adatokat nyilvánosságra hozzák a hirdetőknek, és ne tegyék közzé azokat a nyilvános adatok tulajdonosainak engedélye nélkül.

Határozza meg a személyes adatok kategóriáját

Gratulálunk, Ön a „személyes adatkezelő” cím büszke tulajdonosa. A legfontosabb dolog az, hogy pontosan megértsük, hogy mely személyes adatokat dolgozzák fel. Mert a személyes adatok kategóriájától függ, hogyan védi az adatokat és milyen követelményeket kell teljesíteni. A kategóriákat részletesen a 152-es szövetségi törvény és a 2012. november 1-jei kormányhatározat írja le.

Személyes adatok kategóriái egyszerű szavakkal:

Általánosan elérhető személyes adatok: a nyílt forrásokból származó adatok, amelyeket a személyes adatok tárgya vagy annak jóváhagyása tesz közzé. A nyilvánosan elérhető adatok a média vagy az internet adatai.

Példa: a nyilvános hálózatokon vagy a vállalatok weboldalán nyílt hozzáférésű információk. Telefonszám és családi állapot, melyet a Facebook nyilvános hozzáférése jelent meg. A munkavállaló neve és helyzete a munkáltató honlapján.

Biometrikus személyes adatok: ez a kategória az emberek fiziológiai és biológiai jellemzőire vonatkozó összes adatot tartalmazza.

Példa: súly, magasság, szem vagy hajszín, hajhossz, vércsoport, fénykép.

Egy speciális kategória személyes adatai: ez magában foglalja a faji és nemzethez való tartozást, a politikai nézeteket, a vallási és filozófiai meggyőződéseket, az egészségi állapotot vagy az intim életet.

Példa: orvosi diagnózis (információ arról, hogy milyen beteg volt, mikor, amit az orvos kezelt).

Más típusú személyes adatok - ez magában foglalja a fenti kategóriákban nem szereplő személyes adatokat.

Példa: vállalati információk. Számviteli kártyák az alkalmazottak számára, amelyek tartalmazzák a HR és a könyvelési munkákkal kapcsolatos információkat: fizetés, nyaralási időszakok, foglalkoztatási időpontok.

A fenyegetések kategóriája, száma, típusa - védelem szintje

Miután eldöntötte a személyes adatok kategóriáját, meg kell értenie a feldolgozott adatok pontos mennyiségét: akár 100 ezer vagy több mint 100 ezer.

Megállapította a kategóriát és mennyiséget, határozza meg a fenyegetés típusát:

Veszélyek száma 1. "Lyukak" és sebezhetőségek az operációs rendszerben. Példa: sebezhetőségek, amelyeket a hackerek használnak az operációs rendszerbe való beszivárgásra az információk ellopására.

A fenyegetések száma 2. "Lyukak" és sebezhetőségek az alkalmazásszoftverben, vagyis a mindennapi munkában használt szoftverben. Példa: Word, Excel.

A fenyegetések száma 3. Az összes többi fenyegetés, amely nem szerepel az első két típusban. Először is, az emberi tényező. A munkavállaló nyitva hagyhatja a dokumentumot egy záratlan számítógépen, küldjön egy dokumentumot nyomtatásra valaki más nyomtatójához, vagy e-mailben.

A személyes adatok, a kategória, a fenyegetések típusa - összességében lehetővé teszik, hogy meghatározzuk, milyen szintű védelmet igényel az információs rendszer. Jelenleg négy szintű védelem van.

Az első és legmagasabb szintű védelmet leggyakrabban a kormányzati szervek és az egészségügyi intézmények személyes adatainak feldolgozására használják. A védelem negyedik szintje a legegyszerűbb, néha elégséges a szervezeti szabályozási intézkedések végrehajtása, főként a nyilvánosan hozzáférhető adatok védelmére.

A táblázat segítségével meghatározhatja a védelem szintjét.

példa

A kórház feldolgozza a pácienseinek személyes adatait - ez egy speciális kategória személyes adatai. Szintén feldolgozza az alkalmazottak személyes adatait - ez egy másik kategória személyes adatai. Valószínűleg a kórházban két adatbázis található. Ha mindkét adatbázist hozzáadja, akkor megkapja a kórházi információs rendszerben forgó összes személyes adatot.

Például, mindegyik - akár 100 ezer. Ezután megnézzük, hogyan dolgozzák fel az adatokat: automatizált (számítógépen) vagy nem automatizált (kézi fájlszekrényben). Ha minden automatizált, megnézzük, milyen szoftvereket használ a kórház, milyen biztonsági rések vannak.

Ennek alapján azonosítják a fenyegetéseket és azok szintjét. Összeállítjuk az összes tényezőt, és megkapjuk a második szintű védelmi osztályt. Megnézzük, hogy a törvényi követelmények a második biztonsági szintre vonatkoznak. Ezen követelmények alapján információs rendszer védelmet kell kialakítani a szövetségi törvény követelményeinek való megfelelés érdekében.

Kicsit a személyes adatok szivárgásának veszélyéről

Miért zavarja a személyes adatok védelmét egyáltalán? A személyes adatok drága termék a fekete piacon. A csalók hajlandóak lenyűgöző összegeket fizetni egy olyan profilra, amely tartalmazza az egyén orvosi feljegyzéseinek teljes részleteit. Külön piac - bankkártya adatai; számlák a szociális hálózatokban.

A személyes adatok szivárgásának következményei eltérőek. Az adatok nyilvánosan elérhetőek lehetnek az interneten: például könnyen megtalálhatóak a lopott adatbázisok a cégek ügyfeleinek címével és telefonszámával a hálózaton. Ismerve a nevet és a vezetéknevet, bárki megtudhatja a személy otthoni címét, bejuthat a szociális hálózatba, megtekintheti a profilt, vagy csak írhat SMS-t egy mobiltelefonra.

A személyes adatok bejuthatnak egy kereskedelmi szervezet bosszantó levelezésének adatbázisába, majd a tulajdonosuk túlterhelt lesz a kéretlen ajánlatokkal. Az online kaszinók online csalói is használhatják, vagy elektronikus pénztárcát nyithatnak meg.

A legrosszabb esetekben a támadó egy másik személyt is megszemélyesíthet, és hitelesítheti valaki más nevét. A személyes adatok szivárgásának legsúlyosabb következményei a következők: illegális cselekedetek ingatlanokkal, pénzkártyák lopása, rokonok zsarolása és cégbejegyzés.

Felelősségi teher

Megérti a kérdés fontosságát, és készen áll a felelősségre? Ez igaz. Mivel a személyes adatok biztonságáért a felelősség teljes egészében az üzemeltető.

Ez azt jelenti, hogy az üzemeltetőnek gondoskodnia kell arról, hogy az információ ne kerüljön nyilvánosan hozzáférhetővé, vagy nem esik olyan harmadik felek kezébe, akiknek nincs joga. Ehhez az adatbiztonsági fenyegetések folyamatos figyelemmel kísérése és megelőzése, az információbiztonság szintjének ellenőrzése és elvesztése esetén helyreállítása szükséges.

Hazánkban a Roskomnadzor felügyeli a személyes adatok feldolgozásával kapcsolatos jogszabályok betartását. Ez a testület válaszol a panaszokra, szabályozza az alanyok és az üzemeltetők közötti kapcsolatokat.

Az információvédelem technikai követelményei az FSTEC és az FSB felelőssége: a követelmények kidolgozása és végrehajtásának ellenőrzése.

A személyes adatok feldolgozására vonatkozó követelmények

Most itt az ideje, hogy tanulmányozzuk a táblákat a személyes adatok műszaki védelmére vonatkozó követelményekkel. A részleteket a szövetségi műszaki és exportellenőrzési szolgálat 2013. február 18-i sorrendjében találja.

De legalább kezdje el ezt:

1. Regisztráljon Roskomnadzorban személyes adatok üzemeltetőjeként. Szükség van a Roskomnadzorra papíron vagy elektronikus formában történő alkalmazásra. Információ a linkről.
2. Írjon bele írásban minden olyan személyt, akinek személyes adatai feldolgozásra kerülnek. A személyes adatok feldolgozásához való hozzájárulás a fő jogi dokumentum, amely megerősíti a személyes adatok feldolgozásának jogszerűségét.
3. Belső dokumentáció kidolgozása. Üzembe helyezés a szervezet "A személyes adatok feldolgozásáról szóló rendelet" vezetőjének megrendelésével. Ebben a dokumentumban az üzemeltető elmagyarázza, hogyan kívánja személyes adatokat használni, miért és hol kerülnek át. Ez egy alapvető dokumentum, amelyet bármely személyes adatkezelő igényel. Ennek alapján minden egyéb adminisztratív dokumentumot fejlesztenek ki.

Számos webhelytulajdonos úgy gondolja, hogy ha a látogató rákattint a „személyes adatok feldolgozására” gombra, akkor nem lesz jogi probléma, és az adatfeldolgozás automatikusan a jogi területre esik. Nem.

Jogi szempontból csak kétféleképpen lehet megerősíteni a személyes adatok feldolgozásához való hozzájárulását: aláírást papíron vagy elektronikus digitális aláírással.

Minden más esetben, ha az ügy bíróság elé kerül, a webhely tulajdonosa nem tudja megerősíteni, hogy ki pontosan megnyomta az "Elfogadom" gombot. Csak remélhetjük, hogy a webhelyére érkezett személy önként továbbítja adatait, és nem nyújt be panaszt.

Valóban van egy csekk?

Igen, az ellenőrzés lehet Roskomnadzor.

A Roskomnadzor évente közzéteszi az ellenőrzések listáját a regisztrált szereplők listájából, ha egy vállalat szerepel az ellenőrzések listájában, akkor a következő ütemezett ellenőrzés a legkorábban három év után lehetséges. Itt láthatja, hogy a vállalat itt szerepel-e a listán.

A terven kívüli ellenőrzéseket általában panaszok okozzák. Ha a csekket nem tervezték meg, 24 órán belül írásban figyelmeztetni kell.

Dokumentumellenőrzés is történhet. A dokumentálás során elküld egy listát a dokumentumokról, amelyek másolatait a Roskomnadzornak kell elküldeni.

Néha a Roskomnadzor helyszíni ellenőrzéseket végez: az ellenőrök személyesen látogatják meg a cég helyszíni ellenőrzését.

Az ilyen ellenőrzések előkészítése időigényes feladat. Megoldja-e magát az ellenőrzésre való felkészülés feladatát, vagy külső szakértők bevonásával, először meg kell határoznia, hogy ki a vállalat felelőssége az FZ-152 betartásáért.

Bírságok, bíróságok és más borzalmak

A 152-FZ megsértése esetén polgári, büntetőjogi, közigazgatási és fegyelmi felelősség biztosított.

Szóval, Roskomnadzor elvégzett egy ellenőrzést, ha ellentmondásokat talált a joggal, akkor elrendelést ad a vizsgálóbizottságnak, hogy vizsgálja meg a „Személyes adatokról” szóló törvény megsértésének tényét.

Ezt követően az ügyészség megkezdi a vizsgálat lefolytatását, amelynek során felfüggesztheti a vállalat tevékenységét: vonja vissza a cég adatbázisát, különösen azokat a számítógépeket, amelyeken a személyes adatokat feldolgozták.

A jogsértők elsősorban a bírságok várakozására várnak. A bírságok mértéke a bűncselekménytől függően változik. Így a személyes adatok feldolgozása a jogalanyok írásos engedélye nélkül adminisztratív felelősséggel jár.

Még akkor is, ha az üzemeltető hajlandó fizetni, de a nagyvállalati szabványok szerint ez nem tűnik hatalmasnak, az elkövetőnek még mindig el kell távolítania a törvény előtti ellentmondást (például törölnie kell a tárolt adatokat) és értesítenie kell a Roskomnadzor-t.

A legrosszabb forgatókönyv az, ha a Roskomnadzor úgy dönt, hogy visszavonja a vállalat engedélyét, tiltja a vállalkozást a személyes adatok feldolgozásától, és jogellenesen közzéteszi a polgárok személyes adatait.

Az elmúlt években Oroszországban a leghangosabb botrány a LinkedIn blokkolásával társult, akinek tulajdonosait az Orosz Föderáción kívüli szerverek beleegyezése nélkül vádolták a polgárok személyes adatainak feldolgozásában. Az autonum.info szolgáltatás blokkolása is zajlik.

Mennyibe fog kerülni pénz és erő

A személyes adatok feldolgozását önállóan vagy egy ilyen szolgáltatást nyújtó cég segítségével is megszervezheti.

Ha úgy dönt, hogy személyes adatokat dolgoz fel, szüksége lesz rá:

1. Ismerje meg, hogy a feldolgozott személyes adatok mely kategóriáját és milyen védelmi követelményeket támaszt.
2. Önállóan vagy egy informatikai cég segítségével technikai megoldásokat dolgozhat ki, készíthet a szükséges felszerelések és szoftverek beszerzését, telepíti és végrehajtja.
3. Adjon ki minden jogi dokumentumot. Készítsen belső dokumentumokat: utasításokat és szabályzatokat.

A legjobb esetben három-négy hónapot vesz igénybe, egy ilyen megvalósítás költségén 200-300 ezer rubel lehet - ez a berendezések és licencek vásárlási költsége. A munkaerőköltségek és az információs rendszer további támogatása külön kiadási tétel. Szüksége lesz egy rendszergazdára is, aki felügyeli a rendszer működését.

Objektív módon beszélve a nagyon kis cégek egyszerűen nem felelnek meg a törvény minden követelményének abban a reményben, hogy nincs ellenőrzés. Talán tényleg nem. Más cégek „Potemkin falvakat” alkotnak csak úgy, hogy úgy teszek, mintha személyes adatokat dolgoznának fel a törvény követelményeinek megfelelően, vagyis „megvásárolják” a szükséges dokumentumokat.

A következő cikkben bemutatjuk, hogy hogyan lehet kiszámítani a személyes adatok feldolgozásának költségeit egy vállalaton belül, és elmondani, hogy mikor érdemes a személyes adatok feldolgozását elvégezni, és ha jobb, ha a felhőbe helyezi.

Az anyagot a felhasználó teszi közzé. Kattintson az "Írás" gombra, hogy megoszthassa véleményét vagy beszéljen a projektről.

Személyes adat törvény: az irodai munkára gyakorolt ​​hatás

• Khramtsovskaya Natalia | Történelmi tudományok jelöltje, az EOS Company, ISO Expert dokumentumkezelésének vezető szakértője, a Nemzetközi Levéltár Tanácsának tagja

Keresi a gyökér okát

Az Orosz Föderáció 152-ФЗ „Személyes adatokról” szóló szövetségi törvényét 2006. július 27-én fogadták el, és az elmúlt év egyéb kiemelkedő eseményeinek hátterében szinte észrevétlenül ment. Elfogadásának formális oka az volt, hogy az állami és kereskedelmi struktúrákban a személyes adatbázisok lopása és az elterjedt eladásuk számos tényt hordozott. A törvény elfogadásának fő célja az volt, hogy megszüntessék az Európai Unió országaival folytatott kereskedelem bizonyos akadályait.

Franciaország megtiltotta a magánéletre vonatkozó tények közzétételét, és 1858-ban bírságot szabott ki a jogsértők számára.

A norvég büntető törvénykönyv 1889-ben megtiltotta a személyes vagy magánügyekkel kapcsolatos információk közzétételét.

A „Személyes adatokról” szóló, 2006. július 27-i „A személyes adatokról” szóló törvény az idei január 26-án kezdte meg működését (a 25. cikk 1. részével összhangban a törvény 180 nappal a 2006. július 29-én megtartott hivatalos közzététel után lép hatályba). a "Rossiyskaya Gazeta").

Az EU 95/46 / EK irányelve szerint a személyes adatokat csak olyan országokba lehet átadni, amelyek ugyanolyan szintű védelmet nyújtanak, mint Európában. Ez jelentősen akadályozta az európai kormányzati szervek és cégek külföldi partnerei közötti információcserét, ami sok kereskedelmi szempontból ígéretes projekt számára lehetetlenné tette. Az ilyen korlátozásokat nemcsak Oroszország és a harmadik világ országai tapasztalták, hanem egy olyan gazdasági szörnyet is, mint az Egyesült Államok. Így kormányunk úgy döntött, hogy legyőzi ezt az akadályt. Lássuk, hogyan csinálta, és mit fog mindannyiunknak fizetni.

A személyes adatokról szóló orosz törvény elfogadása az Orosz Föderációnak az 1981-es európai egyezménynek a személyi adatok automatikus feldolgozásával kapcsolatos védelméről szóló csatlakozásának eredménye, amely meghatározza az európai országokban a személyes adatok védelmének alapelveit. Ez az egyezmény és az azt követő európai uniós irányelvek felvázolták azokat a feladatokat, amelyeket a nemzeti jogszabályoknak a személyes adatok szabályozása során kell kezelniük:

• a személyes adatok jogosulatlan hozzáférése más személyek, köztük olyan kormányzati szervek és szolgálatok képviselőinek védelme, amelyek nem rendelkeznek a szükséges felhatalmazással;
• a velük való munkavégzés során az adatok biztonságának, integritásának és megbízhatóságának biztosítása, beleértve a kommunikációs csatornákon keresztüli továbbítást;
• ezen adatok megfelelő jogi rendszerének biztosítása a személyes adatok különböző kategóriáival való együttműködés során;
• a személyes adatok polgár általi használatának ellenőrzése;
• olyan különleges független struktúra létrehozása, amely biztosítja a polgárok jogainak személyes adatainak védelmében való betartásának hatékony ellenőrzését (például a személyes adatok védelméért felelős biztos megbízatásának létrehozása).

Törvényünk nagyrészt megismétli az e területre vonatkozó európai jogszabályok főbb rendelkezéseit, amely a világ egyik legnehezebb 2. Bár 2006-ban igen gyakran beszélt a törvényről, de kevés ember gondosan elolvasta a rendelkezései tartalmát. A követelményeknek való megfelelés biztosítása érdekében azonban lényegesen módosítani kell a munkát a személyes adatokat tartalmazó információkkal és dokumentációval. Próbáljuk meg kitalálni, mi újdonság a dokumentumok és információk kezelésében a szervezetben?

• Minden szervezetben van egy új, meglehetősen terjedelmes dokumentációs réteg. Ezek olyan dokumentumok, amelyek az egyének személyes adataik feldolgozásához való hozzájárulásának megszerzésével kapcsolatosak, az adatbázisok felhatalmazott szervezettel történő nyilvántartásba vételével, a személyes adatokkal kapcsolatos összes tranzakció dokumentálásával stb.
• Szükség van a személyes adatokat tartalmazó dokumentumok és információk kiemelésére; különleges címkézésük papírra és elektronikus médiára; külön könyvelés és hozzáférés-követés. Beszélhetsz a nyak más típusú dokumentumok megjelenésének megjelenéséről.
• Alapvetően változó megközelítés a dokumentumok és információk megőrzésének megállapításához. A hazai gyakorlatban először jön létre a maximális tárolási idő és a feltételes időszak, amelyet meglehetősen nehéz megfigyelni és nyomon követni.
• Személyes adatokkal való munka során egyértelműen előre kell gondolkodni, és fel kell jegyezni azt a szabályozási dokumentumokba, amelyek a feldolgozásukhoz kapcsolódnak. Ellenkező esetben a szervezet felelősségre vonható, és még kellemetlenebb is lehet, hogy maguk a személyi adatalanyoktól is számos pert indíthatnak 3.
• A törvény nagyon szigorú határidőket vezet be a személyes adatok feldolgozásával kapcsolatos valamennyi polgári fellebbezés végrehajtására.

Most részletezzük meg a törvény legfontosabb rendelkezéseit, és értékeljük, milyen szervezeteknek és intézményeknek kell vállalniuk annak végrehajtását. Ezenkívül megpróbáljuk elemezni a törvény egyes rendelkezéseit a megfogalmazás helyessége és egyértelműsége tekintetében.

A törvény hatálya

Az első kérdés: kinek alkalmazandó ez a törvény? Erre reagálva biztonságosan elmondhatjuk, hogy kivétel nélkül mindenkinek vonatkozik (állami intézményekre, jogi személyekre és magánszemélyekre). Íme az 1. cikk listája:

• szövetségi kormányzati szervek
• az Orosz Föderáció tantárgyainak állami hatóságai, t
• más állami szervek
• önkormányzatok,
• nem önkormányzati szervek,
• jogi személyek
• egyének.

A második fontos kérdés a törvény hatálya.

Az Orosz Föderáció szövetségi törvényének „A személyes adatokról” szóló 2006. július 27-i 152-FZ 1. cikke

Ez a szövetségi törvény szabályozza a személyes adatok feldolgozásával kapcsolatos kapcsolatokat... automatizálási eszközökkel vagy ilyen eszközök használata nélkül, ha a személyes adatok ilyen eszközök használata nélküli feldolgozása megfelel az automatizálási eszközökkel végzett személyes adatokkal végzett műveletek (műveletek) természetének.

A cikk megfogalmazása példa arra, hogy hogyan írjunk törvényeket. Kiderült, hogy valami érthetetlen, ami lehetővé tette a különböző értelmezéseket. Hogyan válaszolhat egy ilyen szöveg alapján például arra, hogy az üzleti notebookban szereplő szabad formában szereplő adatok a törvény hatálya alá tartoznak-e? Ha egy ilyen számítógépet számítógépen vagy mobiltelefonon tárolnak, akkor az „automatizálási berendezések használata” -nek tekinthető?

Az európai jogszabályok e tekintetben világosabbak:

Az EU 95/46 / EK irányelv 1995

2. cikk "Fogalommeghatározások":

c) „személyes adattárolási rendszer” 4 („tárolórendszer”) olyan személyes adatok bármely strukturált halmaza, amely bizonyos kritériumok szerint hozzáférhető - függetlenül attól, hogy az adatkészletet hogyan szervezik, akár központosítva, decentralizáltan vagy terjesztve funkcionális vagy földrajzi alapon...

3. cikk "Hatály":

(1) Ez az irányelv a személyes adatok automatikus (teljes vagy részleges) felhasználásával történő feldolgozására, valamint az automatikus, személyes adatok, komponensek vagy a tárolórendszerek részeként történő feldolgozásra történő feldolgozására vonatkozik.

A modern számítógépes terminológiában a „strukturált adatok” mindenekelőtt adatbázisokat jelentenek. A papírmunka során ezek magukban foglalják a kártyafájlokat és a személyes fájlok archívumait. Ezért az európai követelmények a következők:

• a személyes adatok automatikus feldolgozására és. t
• a papír- és elektronikus adatbázisok, kártyafájlok stb. személyes adatait tartalmazó (automatikus vagy más módú) használatra, amelyek olyan keresési mechanizmust tartalmaznak, amely megkönnyíti az adott személyre vonatkozó információk kinyerését.

Miért nem lehetett oroszul írni, és a mi törvényünkben még mindig érthetetlen?

Figyelmet kell fordítani a terminológia különbségére: az „automatikus feldolgozás” egy dolog, és az „automatizálási berendezések használata” egy teljesen más fogalom, sokkal szélesebb és homályosabb.

A törvény csak négy kivételt ír elő, nevezetesen, a törvény nem vonatkozik azokra a kapcsolatokra, amelyek:

• a személyes adatok személyes és családi szükségletekhez való feldolgozása során;
• az Orosz Föderáció Archiválási Alapjának dokumentumaiban szereplő személyes adatok feldolgozásakor;
• az egyéni vállalkozók egységes állami nyilvántartásába (EGRIP) való személyes adatok feldolgozásához;
• titkosnak minősített személyes adatok feldolgozásakor.

Ezen pontok egyike részletesebb vizsgálatot igényel. Először idézzük a törvényt:

Az Orosz Föderáció szövetségi törvényének „A személyes adatokról” szóló 2006. július 27-i 152-FZ 1. cikke

2. Ez a szövetségi törvény nem vonatkozik a következőkből eredő kapcsolatokra:

2) az Orosz Föderáció Archiválási Alapjának dokumentumai tárolására, beszerzésére, elszámolására és felhasználására, valamint az Orosz Föderációban az archívumra vonatkozó jogszabályokkal összhangban lévő egyéb irattári dokumentumok tárolására, beszerzésére, elszámolására és felhasználására.

Emlékeztetünk két definícióra, melyet az Orosz Föderáció levéltári ügyeiről szóló 2005. május 10-i 125-ФЗ törvény tartalmaz:

• irattári irat - egy tárgyi adathordozó, amelyen feljegyzett információ található, amely részleteket tartalmaz, lehetővé teszi annak azonosítását, és tárolható a jelzett hordozó jelentősége és az állampolgárok, a társadalom és az állam számára;
• Az Orosz Föderáció Archívumának dokumentuma olyan irattári dokumentum, amely átment a dokumentumok értékének vizsgálatára, állami könyvelésre került, és állandó tárolásnak van alávetve.
  Kiderül, hogy ha egy dokumentum vagy adatbázis számára tartós tárolási idő van, és az Orosz Föderáció Archiválási Alapjában szerepel, akkor ez a törvény nem vonatkozik rájuk. Ez a hiba lehetővé teszi, hogy a kormányzati szervek bármilyen komoly adatbázissal elkerüljék az új személyes adatokról szóló törvény végrehajtását.

Itt van egy példa arra, hogyan lehet ezt megtenni. Az Orosz Föderáció levéltári ügyeiről szóló szövetségi törvény (18. cikk 2. része) szerint az Orosz Föderáció kormánya jóváhagyja a szövetségi tulajdonban lévő szövetségi végrehajtó szervek és szervezetek letéteményes tárolását végző szervezetek listáját. 2006 végén új jegyzéket fogadtak el e minisztériumokból és szervezetekből. Ezzel egyidejűleg ezeket a szervezeteket elrendelték, hogy megállapodást kössenek a dokumentumok tárolási feltételeiről a Rosarkhivdal. Ha a szerződés megkötésekor kifejezetten előírják, hogy az összes dokumentumot, kivéve az operatívakat, őrizetbe vett dokumentumoknak kell tekinteni, akkor a dokumentumok nagy része e kivétel alá vonható.

Más állami szervezetek számára az egyik lehetőség lehet az ügyiratoknak az állami archívumokkal való gyors jóváhagyása, ami valójában azt jelentené, hogy a dokumentumokat az Orosz Föderáció Archiválási Alapjába beilleszti, és ismét elhagyja a személyes adatokról szóló törvény „cselekvési zónáját”.

Az Európai Unió irányelvei azonban nem tartalmaznak ilyen kivételt, de létezik például az US 6-os kódexben, amely pontosabb megfogalmazást tartalmaz, amely nem teszi lehetővé a kétértelműséget: a személyes adatokra vonatkozó jogszabályok általában nem vonatkoznak az állami archívumokban már letétbe helyezett dokumentumokra, a letétbe helyezésre jogosult bármely ügynökség által az állami archívumra átadott dokumentumokra vonatkozik.

Nem világos, hogy miért számított számos törvényes adatbázisunkból az egyéni vállalkozók egységes állami nyilvántartása (EGRIP) a törvénye. Logikus lenne, ha a kivételt kiterjesztenék más, a személyes adatokat is tartalmazó állami nyilvántartásokra (például a beépítés az ország valamennyi jogi személyének alapítóira és első személyére vonatkozó információkat tartalmaz).

Személyes adatok és feldolgozási módszerek

Személyes adatok - az ilyen információk alapján meghatározott vagy meghatározott fizikai személyre (személyes adatok tárgyára) vonatkozó információk, beleértve a vezetéknevét, vezetéknevét, védőszentjét, születési évét, hónapját, születési dátumát és helyét, címét, családját, társadalmi helyzetét, vagyonát., oktatás, szakma, jövedelem, egyéb információk (a személyes adatokról szóló törvény 3. cikke szerint).

A törvény a személyes adatok feldolgozásának alábbi módszereit írja elő (számos esetben részletes magyarázatot ad a 3. cikkben):

• gyűjtemény;
• rendszerezése;
• felhalmozódása;
• tárolás;
• tisztázás (frissítés, módosítás);
• - az „üzemeltető 7 által végrehajtott személyes adatokkal kapcsolatos műveletek (műveletek) a személyes adatok vagy más személyek tárgyával kapcsolatos jogi következményekkel járó döntések meghozatala vagy más, a személyes adatok vagy más személyek jogait és szabadságait érintő módon történő végrehajtása érdekében”;
• terjesztés (beleértve az átutalást) - „a személyes adatok bizonyos személyek körére történő átadását célzó intézkedések (személyes adatok továbbítása) vagy a korlátlan számú személy személyes adatainak ismerete, ideértve a személyes adatok nyilvánosságra hozatalát a médiában, tájékoztatást és távközlést. vagy más módon hozzáférést biztosítanak a személyes adatokhoz ”;
• Depersonalizáció - „cselekvések, amelyek eredményeképpen lehetetlen meghatározni a személyes adatok személyazonosságát a személyes adatok egy adott témájához”;
• blokkolás - „a személyes adatok gyűjtésének, rendszerezésének, felhalmozásának, felhasználásának, terjesztésének ideiglenes felfüggesztése, ideértve az átadásukat”;
• személyes adatok megsemmisítése - „cselekvések, amelyek eredményeképpen nem lehet visszaállítani a személyes adatok tartalmát a személyes adatok információs rendszerében, vagy ennek eredményeként megsemmisülnek a személyes adatok hordozói”.

Különös figyelmet kell fordítani az olyan feldolgozási módszerekre, mint a személyes adatok blokkolása és megsemmisítése. A törvény meglehetősen jól szól a megsemmisítésről - ez a megközelítés a hazai és külföldi szabványok által javasolt. Ami a személyes adatok blokkolását illeti, ez a módszertan a hazai gyakorlatban először került bevezetésre, és végrehajtása jelentősen bonyolíthatja a korábban kifejlesztett információs rendszereket és adatbázisokat használó szervezetek életét, amelyekben ilyen műveletet nem nyújtanak.

A személyes adatok feldolgozásának alapelvei és feltételei

A törvény rendelkezései elsősorban a személyes adatok illegális gyűjtésének és felhasználásának megakadályozására irányulnak. A jogalkotó e vágyának köszönhetően új álláspont alakult ki a nyilvántartási gyakorlatban:

Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 5. cikkének 2. pontja, július 27-én. 2006 No. 152-FZ

A személyes adatokat olyan formában kell tárolni, amely lehetővé teszi a téma meghatározását, és nem haladhatja meg a feldolgozási célokat, és el kell pusztítani a személyes adatfeldolgozás céljainak elérése, vagy az elérésük szükségességének elvesztése miatt.

Ebben az esetben a törvény első alkalommal talán információt és dokumentumokat állít fel a maximális és még feltételes tárolási időszakra is - „a feldolgozási célok elérése után”. A szervezeteknek személyes adatokat tartalmazó dokumentumok tárolási idejét kell megállapítaniuk, és előzetesen meg kell gondolni a kiválasztott tárolási időszakok indoklását. Ez egy meglehetősen bonyolult kérdés, ami sok vitát és problémát okozhat.

Ezen túlmenően a DOE szakembereknek figyelmet kell fordítaniuk a következőkre: mivel a személyes adatok gyűjtésének és feldolgozásának a törvényben előírt célját a munka megkezdése előtt meg kell határozni, gondosan mérlegelni kell azok megfogalmazását. Ellenkező esetben maga a szervezet is „helyettesítheti” magát: a célok teljesülnek, és a személyes adatok nem lesznek megsemmisítve.

A személyes adatokat gyűjtő és feldolgozó szervezetek számára az egyik leginkább kellemetlen a 6. cikk követelménye arról, hogy meg kell szereznie a feldolgozás tárgyának beleegyezését. Csak az alábbi esetekben szükséges beleegyezés:

• szövetségi jogszabályok alapján;
• a szerződésnek a személyes adatok tárgyával való teljesítése érdekében;
• statisztikai vagy tudományos célokra;
• a személyes adatok tárgyának életének és egészségének védelme;
• postai küldemények postai szervezetek általi kézbesítésére;
• egy újságíró, tudós stb. szakmai tevékenysége során;
• a szövetségi törvényeknek megfelelően közzéteendő adatok;
• annak érdekében, hogy megvédjék mások alkotmányos rendjének, erkölcsének, egészségének, jogainak és jogos érdekeinek alapjait az ország védelme és az állam biztonsága érdekében.

Már léteznek számos szövetségi törvény, amely leírja a személyes adatok feldolgozását, például az adófizetők egységes állami nyilvántartásainak (EGRN) és jogi személyek (USR) fenntartásakor. Az általános engedélyezési követelmény alóli kivétel alkalmazásának egyetlen feltétele, hogy a vonatkozó jogszabályokban a következő kérdéseket tegye:

• cél,
• a személyes adatok megszerzésének feltételei
• azon személyek körét, akiknek személyes adatai feldolgozásra
• az adatgyűjtő üzemeltetőjének hatásköre.

Még nem világos, hogy mi fog történni azokkal a törvényekkel, amelyek a személyes adatok gyűjtésével és feldolgozásával kapcsolatos normákat tartalmaznak, de nem felelnek meg a megadott feltételeknek.

Az első, az új törvény betartásával kapcsolatos problémák közül elsőként felhívta a biztosítótársaságok figyelmét. Véleményük szerint a személyes adatokról szóló törvény komolyan akadályozhatja a kötelező gépjármű-felelősségbiztosításról szóló törvény (MTPL) végrehajtását, mivel tilos a harmadik félnek az MTPL-szerződés megkötésekor szerzett személyes adatait beleegyezése nélkül átadni. Ennek eredményeképpen a biztosító nem lesz képes teljes körű információt szerezni ügyfeleiről egyetlen adatbázisból (és az ilyen adatbázis fenntartása is megkérdőjelezhető), ebben a helyzetben a biztosítók kockázatai növekszik.

Már a biztosítótársaságok próbálják megoldani ezeket a fontos problémákat az alábbi lehetőségek figyelembevételével:

• Az OSAGO-törvény módosításai és a biztosítók azon kötelezettsége, hogy adatokat cseréljenek a biztosítási eseményekről.
• A személyes adatok egy részének meghatározása nyilvánosnak. Az információk, amelyeket az egyén jelez az OSAGO-szerződés megkötésekor, a biztosítók szerint nyilvános. A „személyes adatokról” szóló törvény azonban megköveteli a nyilvános adatok gyűjtéséhez szükséges hozzájárulást.
• A biztosítási csalások elleni küzdelem érdekében az All-Russian Biztosítók Uniójának (ARIA) bizottsága már két számlát készített, amelyeket 2007 elején terveznek benyújtani az Állami Dumának. Szerint a bizottság vezetője, Jevgenyij Potapov, az egyik ilyen számlát módosítja a törvény "A biztosítási tevékenység megszervezéséről az Orosz Föderációban." Lehetővé teszi a biztosítók számára, hogy a társulásokon és szövetségeken alapuló automatizált információs rendszereket hozzanak létre, amelyek tartalmazzák a biztosítási kárigényekre és kifizetésekre vonatkozó adatokat 8.

A 6. cikk (6) bekezdése a személyes adatok feldolgozásának jogáról az újságírók, tudósok és más kreatív szakmák képviselői számára a téma beleegyezése nélkül kétséges. Meglehetősen reális (különösen a kereskedelmi struktúrákban) a „kreatív szakma képviselőjének” teljes munkaidős pozíciójának bevezetése és a személyes adatokat tartalmazó valamennyi adatbázis létrehozása.

Például Angliában a törvény hasonló rendelkezésében azt is előírják, hogy ebben az esetben az adatfeldolgozás célja az adott anyag közzététele; hogy a közzétételnek közérdekűnek kell lennie (beleértve a kreatív szakma képviselőjének önkifejezésének jogát is) 9.

Ezenkívül érdekes, hogyan fogjuk meghatározni, hogy ki az újságíró vagy egy író, és ki nem. Nem titok, hogy sok író testvérnek nincs megfelelő diploma vagy hivatalos azonosítója. Itt az USA-ban alkalmazott megközelítés hasznos lehet számunkra: az újságírók felismerik mindazokat, akik nyilvános cikkeket írnak, még akkor is, ha csak az interneten tesznek közzé.

Az Egyesült Államokban 2007 januárjában megkezdődött a korábbi George Bush Lewis "Scooter" Libby adminisztrációjának tárgyalása. Száz helyet foglaltak el a sajtó számára a tárgyalóteremben, közülük kettőt hivatalosan is megkaptak az internetes naplók szerzői.

Az Amerikai Újságírók Szövetsége szövetségi törvényt készít az újságíróknak a bizalmas információk nyilvánosságra hozatalának joga során történő biztosításáról, és azt sugallja, hogy ez a törvény kivétel nélkül mindenkire vonatkozik, és kiterjed azokra, akik további terjesztésre gyűjtenek információt. Az internetes naplók, a „bloggerek” szerzői szintén e meghatározás alá tartoznak 10.

Most nézzük meg, hogy az új törvény magában foglalja a személy hozzájárulásának megszerzését személyes adatainak feldolgozásához.

Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 9. cikkének 1. pontja, július 27-én. 2006 No. 152-FZ

A személyes adatok tárgya határozza meg személyes adatainak rendelkezésre bocsátását, és beleegyezik abba, hogy saját adataival és saját érdekeivel dolgozzon fel. A személyes adatok feldolgozásához való hozzájárulás visszavonható a személyes adatok tárgyával.

Ezen túlmenően a 9. cikk 3. pontja eléggé kellemetlen feltételt tartalmaz az üzemeltetők számára. Bizonyítékot kell szereznie arról, hogy az általuk összegyűjtött adatok a nyilvánosan elérhető forrásokból származnak, vagy a személyes adatok tárgyából beleegyeznek, majd tárolják ezt a dokumentumot abban az esetben, ha a „tárgy” úgy dönt, hogy az üzemeltető jogait megsértette.

A nyilvánosan elérhető adatokkal nem is olyan egyszerű. A 8. cikk, amely meghatározza a nyilvánosan hozzáférhető személyes adatforrások (referenciakönyvek, címjegyzékek, stb.) Fogalmát, hangsúlyozza, hogy a személyes adatokat csak a tárgy írásos beleegyezésével lehet feltüntetni. Ezen túlmenően „a személyes adatok tárgyára vonatkozó információk bármikor kizárhatók a nyilvánosan hozzáférhető személyes adatforrásokból a személyes adatok tárgya vagy bíróság vagy más meghatalmazott kormányzati szervek kérésére.”

Másrészről, ha egy szervezet nyilvánosan hozzáférhető személyes adatforrásokat használ az információgyűjtés során, akkor dokumentálnia kell, hogy hol kapta meg ezt az információt, és győződjön meg róla, hogy a „forrás” a törvény által előírt írásos hozzájárulással rendelkezik.

Az Orosz Föderáció szövetségi törvénye „A személyes adatokról”, július 27-én. 2006 No. 152-FZ

A 3. cikk 12. pontja

Az általánosan hozzáférhető személyes adatok olyan személyes adatok, amelyeket a korlátlan számú személy hozzáférhet a személyes adatok tárgyának beleegyezésével, vagy akiknek a titoktartási követelmény nem alkalmazandó a szövetségi törvényekkel összhangban.

A 8. Tcikk 1. T Általánosan hozzáférhető személyes adatok

Az információs támogatás biztosítása érdekében nyilvánosan hozzáférhető személyes adatforrásokat (köztük referenciakönyveket, címjegyzékeket) lehet létrehozni. A személyes adatok tárgyának írásos beleegyezésével nyilvánosan hozzáférhető személyes adatok forrásai közé tartozik a vezetéknév, a keresztnév, a születési év és hely, a cím, az előfizetői szám, a szakma adatai és a személyes adatok tárgyát képező egyéb személyes adatok.

A 9. cikk 3. pontja. A személyes adatok tárgyának beleegyezése személyes adatainak feldolgozásával kapcsolatban

Az a kötelezettség, hogy igazolni kell a személyes adatok tárgyának személyes adatainak feldolgozásához való hozzájárulását, és a nyilvánosan hozzáférhető személyes adatok feldolgozása esetén az üzemeltető köteles bizonyítani, hogy a feldolgozott személyes adatok nyilvánosan hozzáférhetők.

Kiderül, hogy a védelem érdekében a szervezeteknek hivatalos megerősítést kell kérniük minden állampolgár számára.

Hogyan kell benyújtani az alany írásos hozzájárulását? Kiderül, hogy az állampolgár aláírása az „Elfogadom, hogy személyes adataim összegyűjtése és feldolgozása” kifejezést tartalmaz, nem lesz elég.

Az Orosz Föderáció szövetségi törvényének „Személyes adatokra” című 9. cikkének 4. pontja. 2006 No. 152-FZ

... a személyes adatok tárgyának írásbeli hozzájárulása személyes adatainak feldolgozásához a következőket kell tartalmaznia:

1. a személyes adatok nevének neve, neve, anyja, személyazonosító címe, a személyazonosságát igazoló fő dokumentum száma, a megadott dokumentum kiadásának időpontjáról és a kiállító hatóságról szóló információ;
2. az a személy neve (vezetékneve, neve, védőszentje) és címe, aki a személyes adatok tárgyának beleegyezését szerez;
3. személyes adatok feldolgozásának célja;
4. azoknak a személyes adatoknak a listája, amelyek feldolgozásához a személyes adatok tárgyának beleegyezése biztosított;
5. a személyes adatokkal rendelkező cselekvések listája, amelyekhez hozzájárulás adódik, az üzemeltető által a személyes adatok feldolgozásához használt módszerek általános leírása;
6. a jóváhagyás érvényességi ideje, valamint az elállási eljárás.

Ez azt jelenti, hogy a személyes adatok tárgyának „fogása” előtt és a beleegyezésének megkísérlése érdekében az üzemeltetőnek ki kell dolgoznia a dokumentum külön formáját, amely tartalmazza az összes szükséges információt.

A személyes adatok tárgyának jogai

Először is, a személyes adatok tárgya jogosult a következő információk megszerzésére:

• információk az üzemeltetőről,
• információ az üzemeltető helyéről,
• az üzemeltető személyes adataira vonatkozó személyes adatokra vonatkozó információk, t
• az alanynak joga van megismerkedni az üzemeltető birtokában lévő személyes adataival.

Az üzemeltetőtől a személyes adatok tárgya megkövetelheti:

• tisztázza személyes adatait
• azok blokkolása vagy megsemmisítése abban az esetben, ha a személyes adatok hiányosak, elavultak, pontatlanok, illegálisan beszerzettek vagy nem szükségesek a feldolgozás céljához.

Az üzemeltető szervezetek számára számos nehézség a törvény 14. cikkének 2. pontját képezi, amely előírja, hogy az üzemeltető a személyes adatok hozzáférhetőségére vonatkozó információkat hozzáférhető formában nyújtja az érintettnek, és hogy nem tartalmaz más, a személyes adatok tárgyát érintő információkat.

A „Durant vs. Financial Services Authority” ügy 11, amelyet Angliában a Court of Appeal 2003-ban foglalkozott, széles választ kapott. A bíróság döntése jelentősen szűkítette a „személyes adatok” fogalmának értelmezését. Különösen a bíróság jelezte, hogy e személynek a dokumentum szövegében való puszta említése nem elegendő a személyes adatokat tartalmazó dokumentum megvizsgálásához. Ezen túlmenően a bíróság megerősítette, hogy a személyes adatokhoz való hozzáférés joga nem sértheti harmadik személyek jogait, és ezért a harmadik felek személyes adatait törölni kell a megkeresett dokumentumok másolataiból (kivéve a körülmények különleges egybeeséseit).

2004 novemberében a Kormány megtagadta az Egyesült Királyság munkavállalóinak a személyes adatokhoz való hozzáférésének jogát, függetlenül attól, hogy munkáltatója papíron vagy elektronikus formában tartja-e őket, ha olyan rendszerben tárolják őket, amely nem egyértelműen strukturálja az egyes személyekre vonatkozó információkat. Így a papírfájlok tárolási rendszerei (kivéve a személyes fájlokat) de facto eltávolították a személyes adatokhoz való hozzáférésről szóló törvény intézkedéséből, mivel nehezen lehet elkülöníteni az adott személyre vonatkozó információkat.

A személyes adataik eléréséhez honfitársainknak:

• személyesen vagy
• kérés küldése, amely tartalmazza:
  • a személyes adatok személyét vagy annak jogi képviselőjét igazoló fő dokumentum száma, t
  • - a meghatározott dokumentum kiadásának időpontjáról és a kibocsátó hatóságról, valamint. t
  • a személyes adatok tárgyának vagy jogi képviselőjének kézzel írt aláírása.

Ezt a kérést elektronikus formában lehet elküldeni és digitális aláírással aláírni. Így a törvény formálisan lehetőséget nyújt személyes adatainak elektronikus kommunikációs csatornákon keresztül történő kérelmezésére. Még nem rendelkezünk olyan személyekkel, akiknek saját EDS-je megfelel az EDS-re vonatkozó törvénynek (az esetek túlnyomó többségében az EDS-t hazánkban a Polgári Törvénykönyv 160. cikkének megfelelően használják, amely a felek előzetes megállapodását írja elő).

A személyes adatok tárgya által kért információk mennyisége aggodalomra ad okot polgáraink számára. A személyes adatokat tartalmazó adatbázist vezető szervezetek számára ajánlott, hogy fordítsanak különös figyelmet az új törvény 14. cikkének (4) bekezdésére, hogy átgondolják és megszilárdítsák a belső szabályzatokban történő tájékoztatásra vonatkozó eljárást:

1. a személyes adatoknak az üzemeltető általi feldolgozása, valamint az ilyen feldolgozás célja;
2. az üzemeltető által használt személyes adatok feldolgozásának módjáról;
3. azokról a személyekről, akik hozzáférhetnek a személyes adatokhoz, vagy akik számára hozzáférést kaphatnak (annak érdekében, hogy jelentést tudjanak tenni arról, hogy ki és milyen személyes adatokat szolgáltatott, a személyes adatok nyilvántartásba vételére és a hozzájuk való hozzáférés ellenőrzésére van szükség, ellenkező esetben az üzemeltető szervezet. elég nehéz teljesíteni ezt a követelményt);
4. a feldolgozott személyes adatok és azok átvételi forrásainak listája;
5. a személyes adatok feldolgozási ideje, beleértve a tárolási időt is (különös figyelmet kell fordítani erre a követelményre, mivel valójában arra kötelezi az üzemeltetőt, hogy a személyes adatfeldolgozás céljától függően változó feldolgozási és tárolási időket határozzon meg belső szabályozási dokumentumok alapján);
6. tájékoztatás arról, hogy a személyes adatok tárgyára vonatkozó jogi következményei magukban foglalhatják személyes adatainak feldolgozását (e követelmény teljesítése érdekében a szervezeteknek előzetesen utasítaniuk kell az ügyvédeiket, hogy a személyes adatfeldolgozás valamennyi lehetséges jogkövetkezményének indoklását fogalmazzák meg)

A személyes adatok feldolgozásának kérdése „az áruk, a művek, a szolgáltatások piacon történő közvetlen reklámozása révén a potenciális fogyasztókkal való kommunikáció révén, valamint a politikai kampányok során” külön cikket (15. cikk) szentel. A kereskedelmi és politikai szervezeteknek - a reklámküldés előtt - meg kell szerezniük az állampolgár előzetes hozzájárulását, és a PD feldolgozását a személyes adatok tárgyának előzetes beleegyezése nélkül kell elismerni, ha az üzemeltető nem bizonyítja, hogy ilyen hozzájárulás megszerzésére került sor. Egyes kereskedelmi struktúrák esetében ez a követelmény nagyon kényelmetlen lehet!

Mostantól kezdve „tilos a személyes adatok kizárólag automatizált feldolgozása alapján döntéseket hozni, amelyek jogi következményekkel járnak a személyes adatok tárgya tekintetében, vagy más módon befolyásolhatják jogait és jogos érdekeit” (16. cikk).

Ez a rendelkezés szükséges és időszerű. De jogalkotóink két különböző fogalmat összezavartak: az „automatikus” (azaz az emberi részvétel nélkül) és az „automatizált” (azaz az ember részvételével). Ennek eredményeként ez a cikk ahelyett, hogy további korlátozásokat szabna ki azokra és csak akkor, ha az információs rendszer az emberi részvétel nélküli döntéseket hoz (például bírság kiszabása, az országon kívüli utazás megtiltása stb.), úgy kell értelmezni, hogy korlátozza a személyes adatfeldolgozást, mivel még a számológép használata is automatizált feldolgozásnak tekinthető!

Az új törvény ugyanezen cikkében megállapítást nyer, hogy az üzemeltető csak az „automatizált” feldolgozás alapján hozhat döntéseket, ha:

• az érintett személytől írásos beleegyezése
• ha ezeket a szabályokat szövetségi törvények állapítják meg.

Néhány szabályozási dokumentumban ezeket a törvényi követelményeket már figyelembe vették. Így az új generációs útlevél kibocsátására irányuló kérelmek mintáiban van egy külön fejezet, amelyben a kérelmező egyetért a kérelemben megadott adatok „automatizált” feldolgozásával. A következőképpen hangzik: „Egyetértek a kérelemben meghatározott adatok automatizált feldolgozásával, továbbításával és tárolásával az útlevél gyártása, feldolgozása és ellenőrzése céljából annak érvényességi ideje alatt” 12.

Az üzemeltetőnek előzetesen a következő információkat kell megadnia a polgároknak:

• - a döntéshozatali sorrend kizárólag személyes adatainak "automatikus" feldolgozása alapján, és -. t
• az ilyen határozat lehetséges jogi következményei;
• a személyes adatoknak a jogaival és jogos érdekeivel szembeni védelmére vonatkozó eljárás;
• lehetőséget, hogy ellenezzék az ilyen döntést.

Vita esetén az üzemeltetőnek bizonyítania kell, hogy betartotta a törvény minden követelményét. Ez azt jelenti, hogy gondosan gyűjti és tárolja az igazoló dokumentumokat.

Üzemeltető felelőssége

Az üzemeltető kötelezettségei a 18. cikkel összhangban elsődlegesen magukban foglalják a személyes adatoknak a polgárok kérésére történő nyújtását. Ezen túlmenően az üzemeltetőnek „tisztáznia kell a személyes adatok tárgyát a személyes adatainak megtagadásának jogi következményeivel”, ha ezt a kötelezettséget szövetségi törvény állapítja meg.

A 20. cikk nagyon szigorú határidőket állapít meg az üzemeltetők számára a személyes adatok alanyai által benyújtott kérelmek teljesítésére (ezek sokkal szigorúbbak, mint például az Orosz Föderáció polgárai fellebbezésének vizsgálatáról szóló, nemrég kiadott törvényben előírtak):

• adatszolgáltatás - a kérelem kézhezvételétől számított 10 munkanapon belül;
• motivált elutasítás - 7 munkanapon belül.

Az üzemeltetőnek még több kérdése van, ha az új törvény 21. cikkében meghatározott határidőn belül szükség van a jogsértések megszüntetésére. Az adatok blokkolását a kérés időpontjától vagy a kérelem kézhezvételétől, valamint a jogsértések megszüntetésétől számított 3 munkanapon belül kell elvégezni.

Egyes esetekben az üzemeltető köteles 3 munkanapon belül megsemmisíteni a személyes adatokat, nevezetesen:

• a jogsértések megszüntetése esetén,
• a személyes adatok feldolgozása céljának elérése esetén, t
• abban az esetben, ha a személyes adatok tárgya visszavonja hozzájárulását személyes adatainak feldolgozásához.

A személyes adatok blokkolása és megsemmisítése nehézkes (és néha lehetetlenné válhat) a jelenleg működő információs rendszerek és adatbázisok esetében, amelyek korábban nem rendelkeztek ilyen lehetőséggel.

Az üzemeltető számára még nehezebb lesz, ha személyes adatokat nem állampolgár, hanem harmadik féltől kap.

Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 18. cikkének 3. pontja. 2006 No. 152-FZ

Ha a személyes adat nem érkezett meg a személyes adatokból, kivéve, ha a személyes adatokat az üzemeltetőnek szövetségi törvény szerint nyújtották be, vagy ha a személyes adatok nyilvánosan hozzáférhetőek, az üzemeltetőnek az ilyen személyes adatok feldolgozása előtt a következő adatokat kell megadnia a személyes adatoknak:

1. az üzemeltető vagy képviselője neve (vezetéknév, keresztnév, középső név) és címe;
2. a személyes adatok feldolgozásának célja és jogalapja;
3. a személyes adatok tervezett felhasználói;
4. a szövetségi törvény által létrehozott személyes adatok tárgyának jogai.

E szavak mögött több időigényes munka áll. Például felmerülhet a kérdés: hogyan kell ezeket az információkat a témához eljuttatni? Lehet-e postai úton elküldeni, és az információ akkor tekinthető nyújtottnak, ha a téma nem kapta meg a megfelelő levelet?

Az üzemeltető kötelezettsége a 19. cikkel összhangban a személyes adatok biztonságának biztosítása a feldolgozás során is. A bajok elkerülése érdekében az üzemeltető szervezetnek a szabályozási dokumentumokban ki kell dolgoznia és megszilárdítania minden olyan szervezeti és műszaki információbiztonsági intézkedést, amelyet az információs rendszereiben tárolt személyes adatok védelme érdekében készen áll.

A személyes adatfeldolgozó rendszerek állami nyilvántartása

A törvény előírja, hogy a személyes adatok feldolgozását végző valamennyi üzemeltetőnek előzetesen értesítenie kell az engedélyezett szervet (22. cikk), amely egy speciális nyilvántartásban vezet az üzemeltetők nyilvántartásáról. A felhatalmazott szerv a 23. cikk szerint az Orosz Föderáció Informatikai és Hírközlési Minisztériuma, amely jelenleg „ellenőrzési és felügyeleti feladatokat lát el az információs technológiák és kommunikáció területén”. Az értesítésnek részletesen meg kell határoznia, hogy mit tervez a személyes adatokkal. A személyes adatok feldolgozásával kapcsolatos bármilyen változást is jelenteni kell az engedélyezett szervnek.

A következő esetekben a felhatalmazott szerv értesítése nélkül dolgozhat fel személyes adatokat:

• munkaügyi kapcsolatok jelenlétében;
• olyan szerződés megkötésekor, amelyhez a személyes adatok tárgya;
• ha a személyes adatok egy nyilvános szövetség vagy vallási szervezet tagjai (résztvevői) tartoznak, és az érintett közhasznú szervezet vagy vallási szervezet feldolgozza őket;
• ha a személyes adatok nyilvánosan hozzáférhetők;
• ha a személyes adatok csak a tárgyak nevét, vezetéknevét és védőszentjét tartalmazzák;
• a felvételek regisztrációjánál;
• ha a személyes adatok olyan információs rendszerekbe tartoznak, amelyek a szövetségi törvényeknek megfelelően szövetségi automatizált információs rendszerek, valamint az állam és a közrend védelme érdekében létrehozott személyes adatok állami információs rendszerei;

Összefoglalva, számos ajánlást fogunk adni az üzemeltetőknek. Nem lesz nagyon nehéz teljesíteni a személyes adatokról szóló törvény követelményeit, ha ez a munka most megkezdődik, az első panaszok és panaszok várakozása nélkül. Elkezdheti a következő nyilvánvaló intézkedéseket:

• Célszerű kinevezni egy felelős tisztet, aki felülvizsgálja az e törvény végrehajtásával kapcsolatos valamennyi kérdést a szervezetben, és a nagyvállalatok számára indokolt lehet egy speciális bizottság létrehozása.
• A személyes adatokat tartalmazó szervezet összes információforrásához:
  • meghatározza azok státuszát (amely alapján létrehozták: a jogszabályoknak megfelelően, a szerződés végrehajtására, saját kezdeményezésükre stb.);
  • tisztázza és rögzítse a személyes adatok és az átvételi források összetételét (állampolgár, közforrások, harmadik felek stb.);
  • meghatározza az egyes információforrásokban tárolt adatok tárolási idejét és feldolgozási idejét;
  • a feldolgozási módszerek meghatározása;
  • az adatokhoz hozzáféréssel rendelkező személyek azonosítása;
  • jogi következményeket fogalmaz meg;
  • határozza meg a kérésekre, a lehetséges válaszokra és a cselekvésekre adott válaszadási eljárást, értékelje a megállapított válaszidők betartásának valóságát.

Ebben a cikkben a személyes adatok védelméről szóló új törvény elemzése az iratkezelés területén tevékenykedő szakemberek szemszögéből készül, amelyet sok vér fog rontani. Hatékonyságát a gyakorlat szemlélteti, de most „személyes adatalanyként” becslést készítek azon hatóságok listájáról, amelyekre a törvény követelményeinek megfelelően megfelelő tájékoztatást küldhettem nekem. Most már jogom van!

1 Az 1995. október 24-i 95/46 / EK európai parlamenti és tanácsi irányelv IV. Fejezete az egyének személyes adatok feldolgozása és az ilyen adatok szabad mozgása tekintetében történő védelméről.

2 Érdekes, hogy még az Egyesült Államok sem felel meg a szigorú európai követelményeknek, és az amerikai vállalatok kénytelenek az ún.

3 A személyes adatalany egy olyan személy, akinek személyes adatait feldolgozzák.

4 "személyes adatok nyilvántartási rendszere"

5 A szövetségi tulajdonban lévő Orosz Föderációs Archiválási Alap dokumentumainak letéteményes tárolásával foglalkozó szövetségi végrehajtó hatóságok és szervezetek listája 18 szervezet: Oroszország Belügyminisztériuma, Oroszország Külügyminisztériuma, Oroszország Védelmi Minisztériuma, Oroszország SVR, Oroszország FSB, Oroszország Szövetségi Kábítószer-ellenőrző Szolgálata, Roskartografiya, Orosz Mezőgazdasági Tudományos Akadémia, Orosz Orvostudományi Akadémia, Orosz Oktatási Akadémia, Orosz Művészeti Akadémia, Orosz Építészeti és Építőmérnöki Akadémia, Állam Alapítvány: Hidrometeorológiai információs orosz kutatóintézet - World Data Center, Állami Televíziós és Rádióprogramok Állami Alapítvány, Szövetségi Állami Egységes Tudományos-Termelési Vállalat „Orosz Szövetségi Földtani Alap”, szövetségi állami egység információk a szabványosításról, a metrológiáról és a megfelelőségértékelésről ”.

6 5 USA C. § 552a (k) (1) „Dokumentumok magánszemélyeknek - Különleges kivételek - Archív dokumentumok”.

7 Üzemeltető - állami szerv, önkormányzati szerv, jogi vagy természetes személy, a személyes adatok feldolgozásának megszervezése és (vagy) végrehajtása, valamint a személyes adatfeldolgozás céljának és tartalmának meghatározása.

9 1998. évi adatvédelmi törvény, 32. cikk.

11 Durant és Pénzügyi Szolgáltatások Hatósága (FSA).

12 Az Orosz Föderáció állampolgára útlevélének feldolgozására és kiadására vonatkozó utasítások, diplomata-útlevél és szolgáltatási útlevél 1. számú melléklete, amely az Orosz Föderáció állampolgárának az Orosz Föderáció területén kívüli személyazonosságát igazolja. és az Orosz Föderáció Szövetségi Biztonsági Szolgálata, 2006. október 6-i szám: 785/14133/461).