Az Orosz Föderáció munkakódexében olyan fogalom van, mint "egy dolgozó személy személyes adatai". A működési kontingens adatait a munkáltatónak meg kell adni.
Miután megvizsgálta a személyes adatokat, a munkáltató dönt arról, hogy egy személyt vállalnak.
Meg kell védeni azt az információt, amelyet egy személy bemutat magáról. Elosztása tilos.
Kedves olvasók! Cikkünk a jogi kérdések megoldásának tipikus módjairól beszél, de minden esetben egyedi.
Ha szeretné tudni, hogyan kell pontosan megoldani a problémát - csak hívjon, gyors és ingyenes!
A munkavállalókra vonatkozó személyes információkat fejlesztésnek kell alávetni.
A munkáltató a személyes adatokra a következő követelményeket alkalmazza:
Az alkalmazottakkal kapcsolatos információk közlése során a vállalkozás igazgatója az alábbi szabályokat kell követnie:
A működő kontingensnek joga van:
A személyes adatok feldolgozásának alábbi típusait különböztetjük meg:
Ez a feldolgozás speciális számítógépes technológiával történik. A leggyakoribb számítógépek lehetnek:
A nem automatizált feldolgozás legrészletesebb leírását a 687. számú kormányrendelet írja.
A működési kontingensre vonatkozó információk terjesztését, tanulmányozását és eltávolítását egy személy egy részével, nem pedig számítógépes technológiával kell elvégezni.
Az információs rendszernek köszönhetően a működési kontingensre vonatkozó személyes adatok speciális kategóriáit dolgozzák fel. Ez a rendszer feldolgozza az adott fajhoz és nemhez, az állampolgársághoz, a politikai nézetekhez, a filozófiai kilátásokhoz való csatlakozást befolyásoló adatokat.
Az információs rendszernek köszönhetően feldolgozható:
Így minden munkavállaló személyes adatait minden munkáltató tartalmazza. Az igazgató semmilyen esetben nem jogosult a személyre vonatkozó rendelkezésre álló adatok terjesztésére.
A működési kontingensről kapott információk többféleképpen is feldolgozhatók: számítógépes technológia segítségével, személyes erők segítségével, az információértékelő rendszernek köszönhetően.
Minden esetben minden munkavállaló személyes adatait alaposan megvizsgálják.
Az Amur régió polgári törvénykönyvének rendelete alapján
2012. december 26-i szám: 626
a személyes adatok feldolgozásával kapcsolatban
1. ÁLTALÁNOS RENDELKEZÉSEK
1.1. Ez a dokumentum (a továbbiakban: politika) a személyes adatok feldolgozásának céljai, alapelvei, módszerei és feltételeinek szisztematikus leírása, a személyes adatok feldolgozására és védelmére vonatkozó, a Szabadkai Központi Kórház Amur régiójának GKU-ban végrehajtott követelményeire vonatkozó információ (továbbiakban: Foglalkoztatási Központ).
1.2. A politika alapja az Orosz Föderáció Személyes adatokról szóló szövetségi törvényének, az Orosz Föderáció egyéb, a személyes adatok feldolgozására és védelmére vonatkozó szabályozási jogi aktusai. A politika nyilvános dokumentum.
1.3. A „Személyes adatokról” szóló, 2006. július 27-i 152-ФЗ szövetségi törvénynek megfelelően a Foglalkoztatási Központ a személyes adatok üzemeltetője (a továbbiakban: PD).
2. FELDOLGOZOTT SZEMÉLYES ADATOK
2.1. A házirendben használt főbb kifejezések:
· Személyes adatok - az ilyen információk alapján meghatározott vagy meghatározott fizikai személyre (személyes adatok tárgyára) vonatkozó információk, beleértve a vezetéknevét, vezetéknevét, védőszentjét, születési évét, hónapját, születési idejét és helyét, címét, családját, szociális vagyonát, tulajdonát. pozíció, oktatás, szakma, jövedelem, egyéb információk;
· Személyes adatfeldolgozás - személyes adatokkal kapcsolatos tevékenységek (műveletek), beleértve a személyes adatok gyűjtését, rendszerezését, felhalmozását, tárolását, finomítását (frissítését, módosítását), felhasználását, terjesztését (beleértve az átvitelt), személytelenítését, blokkolását és megsemmisítését;
2.2. E szabályzat keretében a feldolgozott személyes adatok:
· A Foglalkoztatási Központhoz tartozó közszolgáltatások címzettjei által szolgáltatott személyes adatok;
· A Foglalkoztatási Központ alkalmazottainak személyes adatai, vagy az üres álláshelyekre vonatkozó jelöltek;
3. A SZEMÉLYES ADATFELDOLGOZÁS CÉLJA
3.1. A PD feldolgozás célja a Foglalkoztatási Központban:
· Az Orosz Föderáció állampolgárainak alkotmányos jogainak a munkába és a munkanélküliség elleni szociális védelemre való érvényesítésének biztosítása a foglalkoztatás előmozdítása területén nyújtott közszolgáltatások révén;
· A polgárok alkotmányos jogainak a fellebbezésre való végrehajtásának biztosítása;
· Az Orosz Föderáció alapító egységében a munkaerőpiac helyzetének objektív értékelése (az állami foglalkoztatási szolgálatok kedvezményezettjei, munkanélküliek, a Foglalkoztatási Központhoz benyújtott állampolgárok javaslatokkal, nyilatkozatokkal, panaszokkal);
· Az Orosz Föderáció Alkotmányának, törvényeknek és egyéb jogszabályoknak való megfelelés biztosítása, a munkavállalók munkájának segítése, munkahelyi képzés, promóció, munkahely-növekedés, a munkavállalók személyes biztonságának biztosítása, az elvégzett munka mennyiségének és minőségének ellenőrzése, a hozzá tartozó tulajdon biztonságának biztosítása és teljesítményük rögzítése; a foglalkoztatási központ tulajdonviszonyai és biztonsága.
· Adóügynök funkcióinak ellátása standard adókedvezmények biztosításában (a Foglalkoztatási Központ munkavállalói családtagjai tekintetében);
· A polgári jogi szerződésekből eredő kötelezettségek teljesítése (a munkát végző személyekkel kapcsolatban, a polgári jogi szerződések keretében nyújtott szolgáltatások a Foglalkoztatási Központtal).
4. A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK ALAPELVEI
4.1. A PD feldolgozása jogi és tisztességes alapon.
4.2. A PD feldolgozásának korlátozása az e dokumentum 2. szakaszában meghatározott konkrét, előre meghatározott és jogos célok eléréséhez. A személyes adatok gyűjtésének céljaival összeegyeztethetetlen személyes adatok feldolgozása nem megengedett.
4.3. A PD-t tartalmazó adatbázisok kombinációjának megakadályozása, amelyek egymással összeegyeztethetetlen célokra kerülnek feldolgozásra.
4.4. Csak azoknak a PDS-nek a feldolgozása, amelyek megfelelnek a feldolgozás céljainak.
4.5. A PD feldolgozott tartalmának és mennyiségének való megfelelés.
4.6. Az elbocsátások elfogadhatatlansága feldolgozott PD vonatkozásában a feldolgozásuk által kitűzött célokhoz viszonyítva.
4.7. A PD pontosságának, elégségességének és szükség esetén a PD feldolgozás céljainak biztosítása.
4.8. Győződjön meg arról, hogy szükségesek a hiányos vagy pontatlan adatok eltávolítása vagy finomítása.
4.9. A PD-tárolás olyan formában történő végrehajtása, amely lehetővé teszi a PD-tárgy meghatározását, nem haladja meg a PD-feldolgozás célját, ha a PD-tárolási időszakot nem a szövetségi törvény határozza meg, a szerződés, amelyre a PD-t kedvezményezett vagy kezes. A feldolgozandó PD-k a feldolgozási célok elérése vagy a célok elérésének szükségességének elvesztése esetén megsemmisülnek vagy depersonalizálódnak, kivéve, ha a szövetségi törvény másként rendelkezik.
5. A SZEMÉLYES ADATOK FELDOLGOZÁSI MÓDSZEREI
5.1. A foglalkoztatási központ a következőképpen dolgozza fel a PD-t:
· Nem automatizált PD feldolgozás (papíron);
· Automatizált feldolgozás (az ISPDn-ben automatizálási berendezések használatával és anélkül), beleértve: a Foglalkoztatási Központ helyi hálózatán keresztül történő átvitelt és anélkül; az interneten keresztül történő továbbítással és anélkül;
· Vegyes PD feldolgozás.
5.2. A foglalkoztatási központ önállóan választhatja ki a PD feldolgozás módszereit az ilyen feldolgozás céljától és saját anyagi és technikai képességeitől függően.
6. A SZEMÉLYES ADATFELDOLGOZÁS FELTÉTELEI
6.1. A PD feldolgozás a Személyes adatokról szóló szövetségi törvényben meghatározott elvek és szabályok szerint történik.
6.2. A PD-feldolgozás megengedett a Személyes adatokról szóló szövetségi törvényben előírt esetekben.
6.3. A foglalkoztatási központnak jogában áll a PD feldolgozását egy másik személynek a PD alanyának beleegyezésével bízni, kivéve, ha a szövetségi törvény másképp rendelkezik, az ezzel a személyrel kötött szerződés alapján, beleértve az állami vagy önkormányzati szerződést, vagy az állami vagy önkormányzati szerv által elfogadott megfelelő jogi aktus (a továbbiakban: ).
6.4. Ha a Foglalkoztatási Központ a PD feldolgozását egy másik személynek ruházza fel, a PD cselekményért az említett személy felelősségét a Foglalkoztatási Központ viseli. A Foglalkoztatási Központ nevében a személyes adatokat feldolgozó személy felelős a Foglalkoztatási Központnak.
7. A SZEMÉLYES ADATOK MEGHATÁROZÁSA
7.1. A foglalkoztatási központ és más személyek, akik hozzáférést kaptak a PD-hez, kötelesek nem nyilvánosságra hozni a harmadik feleket, és nem adják ki a PD-t a PD-téma beleegyezése nélkül, kivéve, ha a szövetségi törvény másként rendelkezik.
8. A SZEMÉLYES ADATOK TÁMOGATÁSA A SZEMÉLYES ADATOK FELDOLGOZÁSÁRA
8.1. A PD-téma a személyes adatainak nyújtásáról dönt, és beleegyezik abba, hogy szabadon, saját akaratával és érdeklődésével feldolgozza őket.
8.2. A PD feldolgozáshoz való hozzájárulásnak konkrétnak, tájékozottnak és tudatosnak kell lennie.
8.2. A PD-feldolgozásra vonatkozó hozzájárulást a PD-téma vagy annak képviselője bármilyen formában adhatja meg, amely lehetővé teszi annak kézhezvételének megerősítését, kivéve, ha a szövetségi törvény másként rendelkezik.
8.3. Abban az esetben, ha a személyes adatok egy képviselőjétől személyes adatok feldolgozásához hozzájárulást kapnak, a képviselőnek a személyes adatok nevében történő beleegyezésére való jogosultságát a Foglalkoztatási Központ ellenőrzi.
8.4. A PD feldolgozáshoz való hozzájárulás visszavonható a PD alany által. A PDN-nek a PD feldolgozására vonatkozó beleegyezésének visszavonása esetén a Foglalkoztatási Központ jogosult a személyes adatok beleegyezése nélkül folytatni a személyes adatok feldolgozását, ha a Személyes adatokról szóló szövetségi törvény 6. cikke 1. részének 2–11. ”.
8.5. A szövetségi törvényben előírt esetekben a PD-feldolgozás csak a PD-tárgy írásos beleegyezésével történik. Az írásbeli formanyomtatványt a szövetségi törvény szerint aláírt elektronikus törvény által aláírt elektronikus dokumentumnak kell tekinteni.
8.6. A Foglalkoztatási Központ személyes adatait a személyes adatok nem tárgyát képező személytől szerezheti be, feltéve, hogy a Foglalkoztatási Központ megerősíti a Személyes adatokról szóló szövetségi törvény 6. cikke (1) bekezdésének 2–11. ”.
9. A SZEMÉLYES ADATOK ALKALMAZÁSI JOGAI VÉGREHAJTÁSA
9.1. A PD feldolgozásakor a Foglalkoztatási Központ biztosítja a szükséges feltételeket ahhoz, hogy a PD szabadon gyakorolhassa jogait.
9.2. A PD-t jogosult személyes adatokhoz hozzáférni.
9.3. A PD-objektumnak joga van a személyes adatainak feldolgozásával kapcsolatos információk megszerzésére, amely tartalmazza: a PD-feldolgozás tényének megerősítését a Foglalkoztatási Központban; a PD-feldolgozás jogi alapjai és céljai; a Foglalkoztatási Központ által alkalmazott PD feldolgozási célok és módszerek; a Foglalkoztatási Központ nevét és helyét, az egyénre vonatkozó információkat (a Foglalkoztatási Központ alkalmazottainak kivételével), akik hozzáférhetnek a személyes adatokhoz, vagy akik a Munkaügyi Központtal kötött megállapodás alapján vagy szövetségi törvény alapján közzéteszhetik a személyes adatokat; Az érintett PD-téma által feldolgozott PD-k, azok kézhezvételének forrása, kivéve, ha a szövetségi törvény előírja az ilyen adatok benyújtására vonatkozó más eljárást; PD feldolgozási idő, beleértve a tárolási időt; a Személyes adatokról szóló szövetségi törvény által előírt jogok gyakorlására vonatkozó eljárás tárgya; információ a befejezett vagy tervezett határokon átnyúló adatátvitelről; a PDN-nek a Foglalkoztatási Központ nevében történő feldolgozását végző személy neve vagy vezetékneve, neve, védőszentje és címe, ha a feldolgozás ilyen személyre van bízva vagy hozzárendelésre kerül a szövetségi törvények által előírt egyéb információk.
9.4. A személyes adatokhoz való hozzáférésre jogosult PD joga korlátozható a szövetségi törvényekben kifejezetten előírt esetekben.
9.5. A PD-alany jogosult megvédeni jogait és jogos érdekeit, beleértve a kártérítést és a morális kár megtérítését a bíróságon.
9.6. Ha a PD-téma úgy véli, hogy a Foglalkoztatási Központ a Személyes adatokról szóló szövetségi törvény követelményeinek megsértésével dolgozza fel PD-jét, vagy más módon megsérti jogait és szabadságait, a PD-objektum jogosult a PD Központ jogainak védelmére fellebbezni a Foglalkoztatási Központ fellépése vagy cselekedete ellen. bírósági végzés.
10. INFORMÁCIÓ A Foglalkoztatási Központ által végrehajtott intézkedésekről
A SZEMÉLYES ADATOK FELDOLGOZÁSÁRA VONATKOZÓ FELELŐSSÉGEK VÉGREHAJTÁSÁNAK CÉLJA
10.1. A Foglalkoztatási Központ, amikor a PD feldolgozását végzi, a Személyes adatokról szóló szövetségi törvényben előírt PD-üzemeltető feladatait látja el.
10.2. A Foglalkoztatási Központ megteszi a szükséges és elegendő intézkedéseket a szövetségi törvényben és az azzal összhangban elfogadott jogszabályokban előírt feladatok teljesítésének biztosításához.
10.3. A Foglalkoztatási Központ önállóan meghatározza a szükséges és elegendő intézkedések összetételét és listáját a szövetségi törvényben és az azzal összhangban elfogadott jogszabályokban előírt kötelezettségek teljesítésének biztosításához, kivéve, ha a szövetségi törvény másként rendelkezik.
11. INFORMÁCIÓ A SZEMÉLYES ADATOK VÉDELEMÉNEK MUNKAVÁLLALÁSI KÖZPONTJAI VÉGREHAJTÁSÁNAK MÓDOSÍTÁSÁRÓL
11.1. A PD feldolgozással foglalkozó Foglalkoztatási Központ biztosítja a szükséges jogi, szervezeti és technikai intézkedések elfogadását a PD jogellenes vagy véletlen elérése, a PD megsemmisítése, módosítása, blokkolása, másolása, biztosítása, terjesztése és más, a PDN elleni illegális cselekmények elleni védelme érdekében.
11.2. A személyes adatok védelme érdekében a Foglalkoztatási Központ végrehajtja a személyes adatok védelmére vonatkozó követelményeket, amikor azokat az Orosz Föderáció Kormánya által létrehozott személyes adatinformációs rendszerekben dolgozzák fel.
11.3. A PD biztonságának biztosítása a Foglalkoztatási Központ által, különösen:
· A személyes adatok biztonságát fenyegető veszélyek azonosítása a Foglalkoztatási Központ ISPDN-ben történő feldolgozásakor;
· Szervezeti és technikai intézkedések alkalmazása a személyes adatok biztonságának biztosítására a Foglalkoztatási Központ ISPDN-ben történő feldolgozásakor, amely szükséges ahhoz, hogy megfeleljen a személyes adatok védelmére vonatkozó követelményeknek, amelyek teljesítését az Orosz Föderáció kormánya által létrehozott személyes adatok védelmének szintje biztosítja;
· Az előírt módon végrehajtott információbiztonsági intézkedések alkalmazása;
· A Foglalkoztatási Központ által a személyes adatok biztonságának biztosítása érdekében hozott intézkedések hatékonyságának értékelése a Foglalkoztatási Központ ISPDN üzembe helyezése előtt;
· Figyelembe véve a Foglalkoztatási Központ PD gépjárművezetőit
· A PDN-hez való jogosulatlan hozzáféréssel kapcsolatos tények felderítése és fellépés;
· Az illetéktelen hozzáférés miatt módosított vagy megsemmisített PDN helyreállítása;
· A Foglalkoztatási Központ SPDN-ben feldolgozott PDN-hez való hozzáférés szabályainak megalkotása, valamint a PDN-en végzett valamennyi tevékenység regisztrálása és rögzítése az ISPDN-ben a Foglalkoztatási Központban;
· A személyes adatok biztonsága és a foglalkoztatási központ ISPDN biztonságának biztosítása érdekében hozott intézkedések ellenőrzése.
11.4. A Foglalkoztatási Központ által a személyes adatok védelme érdekében hozott intézkedésekre vonatkozó információ korlátozott információ.
12. A politika változása. Alkalmazandó jog
12.1. A Foglalkoztatási Központnak joga van változtatni a jelen Szabályzatban.
12.2. A Szabályzat fejlécében történő módosítások esetén a módosítás utolsó frissítésének dátuma jelenik meg.
12.3. A politika új változata az Amurskaya Oblast Foglalkoztatási Minisztériumának honlapján történő közzétételének időpontjától lép hatályba, kivéve, ha a politika új változata másképp rendelkezik.
Mi kapcsolódik a személyes adatfeldolgozási módszerekhez, és mi kapcsolódik a személyes adatokkal kapcsolatos tevékenységekhez?
A Roskomnadzor 2011. augusztus 19-i 706. sz. Rendelete 9. pontja szerint a * módszerek a következők:
- a személyes adatok nem automatizált feldolgozása;
- a személyes adatok kizárólag automatizált feldolgozása a fogadott információk hálózaton keresztül történő átadásával vagy anélkül;
- a személyes adatok vegyes feldolgozása (N 4. megjegyzés).
És a cselekvésekre az Art. A 152-FZ. Sz. Szövetségi törvény 3. cikke a személyes adatokra vonatkozóan: *
- tisztázás (frissítés, módosítás);
- elosztás (beleértve az átvitelt is);
- a személyes adatok megsemmisítése.
Ennek az álláspontnak az alapja az alábbiakban található a „Rendszerügyvéd” anyagában.
„Személyes adatfeldolgozás minden olyan művelet (művelet) vagy cselekvési készlet (művelet), amelyet * automatizálási eszközökkel vagy ilyen eszközök használata nélkül végeznek személyes adatokkal, beleértve a gyűjtést, rögzítést, rendszerezést, felhalmozást, tárolást, finomítást (frissítést, módosítást), személyes adatok kitermelése, használata, átadása (elosztás, szolgáltatás, hozzáférés), személytelenítés, blokkolás, törlés, megsemmisítés ”
A „személyes” adatokkal kapcsolatos műveletek listája, az Üzemeltető által a személyes adatok feldolgozására használt módszerek általános leírása ”* az Üzemeltető személyes adatokkal végzett tevékenységeit, valamint az Üzemeltető által a személyes adatok feldolgozásához használt módszerek leírását jelzi:
- a személyes adatok nem automatizált feldolgozása;
- a személyes adatok kizárólag automatizált feldolgozása a fogadott információk hálózaton keresztül történő átadásával vagy anélkül;
- személyes adatok vegyes feldolgozása (N 4. megjegyzés) Megjegyzés N 4. A személyes adatok automatizált feldolgozásában vagy a vegyes feldolgozásban meg kell jelölni, hogy a személyes adatok feldolgozása során szerzett információk a jogi személy belső hálózatán kerülnek továbbításra (az információ csak a jogi személy szigorúan meghatározott munkavállalói számára áll rendelkezésre) ) vagy az információt a nyilvános interneten keresztül, vagy a kapott információk továbbítása nélkül továbbítják. ”
* Így kiemelt része az anyagnak, amely segít a helyes döntés meghozatalában.
Feltételek, árnyalatok és gyakori téveszmék - az Onlanta cég biztonsági szolgálatának szakértői által készített anyagban (a LANIT cégcsoportban található).
Megértjük a jogi terminológiát és a nagyon árnyalatokat, amelyekre bíróságon lehet.
A személyes adatok feldolgozásával kapcsolatos kapcsolatokat szabályozó fő törvény a 2006. július 27-i szövetségi törvény, „A személyes adatokról”, 152-ФЗ.
Az első megértendő kifejezés a személyes adatok.
Ez minden olyan információ, amelyet egy személy azonosítására lehet használni: például teljes név, születési dátum, oktatás, jövedelem és még családi állapot is. Kérdezed: "És mi a név, amit a névjegyre nyomtattak, szintén személyes adatok?"
Válasz: "Igen." Törvény szerint nem számít, hogy csak a vezetékneved van-e nyomtatva a névjegykártyára, vagy együttesen, például egy telefonszámmal és címmel. Mind az első, mind a második és a harmadik - személyes adatok. Igaz, hogy a lányok névjegykártyáinak vagy telefonszámainak tárolása a telefonkönyvben nem kell törvény szerint válaszolnia, hanem az alábbiakban.
Menj előre. A média folyamatosan írja a "személyes adatok tárolását". Megfelelően nem a személyes adatok tárolása, hanem feldolgozása. Mi a különbség? A tárolás csak a személyes adatok feldolgozásának része. A személyes adatokkal (begyűjtés, felhalmozás, tárolás, átruházás, módosítás) végzett tevékenységeket törvény szerint „személyes adatfeldolgozásnak” nevezzük.
Fontos megérteni, hogy a törvény két személyes adatelemet különböztet meg: az üzemeltetőt és a feldolgozót. Az üzemeltető végzi a személyes adatok feldolgozását, valamint meghatározza feldolgozásuk célját, a feldolgozandó személyes adatok összetételét, a személyes adatokkal végzett műveleteket (műveleteket).
A kezelő olyan személy, aki személyes adatokat végez: gyűjtése, tárolása, szervezése, felhalmozása, frissítése, frissítése, törlése, személytelenítése stb.
Valójában a feldolgozó nemcsak a végfelhasználó, aki munkához személyes adatokat igényel, hanem minden közbenső felhasználó számára is, akinek a kezébe ezeket a személyes adatokat továbbították. Mutassa be a gyakorlatban.
Az online áruházban van egy ügyféladatbázis, amely egy harmadik fél cég "felhőjében" található. Ezzel a bázissal egy marketing ügynökség működik. Kérdés: Hány személyes adatkezelő van?
A helyes válasz egy. Ez egy online áruház, amely meghatározza a személyes adatok feldolgozásának céljait. A második kérdés: hány személyes adatfeldolgozó van? A helyes válasz két.
A személyes adatokat számos intézményben dolgozzák fel, például bankokban, iskolákban, klinikákban, vízumközpontokban. Nem is beszélve azokról a weboldalakról, ahol regisztrálunk, e-mail címünket és telefonszámunkat. De hogyan és hol?
Olyan homályos fogalom van a törvényben, mint „személyes adatinformációs rendszer”. Ha egyszerûen próbál megmagyarázni - ez egy egész komplex, amely adatbázis-kiszolgálókból, technikai eszközökbõl áll, hogy biztosítsák azok feldolgozását, és az információs technológiát. A törvénynek megfelelően minden személyes adatvédelmi rendszert védeni kell.
Az információk védelme különböző.
Az információ védelmének egyik eszköze a személyes adatok személytelenítése. Mi az? A vízumközpontban minden vízumkérőnek külön azonosító számmal kell rendelkeznie. A szám önmagában nem utal személyes adatokra, mivel személyteleníti a személyt: lehetetlen azonosítani a vízumot kérelmező személyt.
Szóval, a terminológiával. Most minden üzleti képviselőnek, különösen az egyéni vállalkozóknak, akiknek csak néhány alkalmazottja van a személyzetben, őszintén válaszolnia kell a kérdésre: „Személyes adatokat dolgozok fel?”
Igen, ha Ön egy hét tulajdonosának egy webhelye, ahol hetente van jelen, de van egy visszajelző űrlapja a "név, e-mail cím, telefonszám" mezővel. A webhelyén fel kell tüntetni a személyes adatok gyűjtésének céljait, a használatának módját.
Igen, ha dolgozók vagy harmadik fél szakemberei személyes adatait dolgozzák fel a munkához.
Igen, ha magánszemélyekkel dolgozol, és szerződéskötéshez szüksége van az útlevéladatokra - ez vonatkozik az utazási irodákra, fitneszközpontokra, különböző szolgáltató cégekre, online áruházakra és másokra.
És ismét, igen, ha Ön költségvetési szervezet, politikai párt vagy óvoda. Ez utóbbi nem csak a gyermekről, hanem a szüleiről is tájékoztatást ad, beleértve a munkahelyet és a pozíciót is. Nem is beszélve az egészségügyi intézményekről - van egy olyan személyes érzékeny információs tenger is, amelyet biztonságosan kell tárolni.
Azonban, ha a személyes kommunikációra vonatkozó adatokat kereskedelmi haszon nélkül használjuk, akkor a jogszabály követelményei nem vonatkoznak rád, és nincs büntetőjogi felelősség.
Például a névjegykártyára nyomtatott névjegyek használatát, amelyet egy kollégától kapott, vagy a telefonszámok egy okostelefonon, a szociális hálózatokról szóló információk nem rónak fel a törvény előtti felelősséget.
A fő dolog nem az, hogy az adatokat nyilvánosságra hozzák a hirdetőknek, és ne tegyék közzé azokat a nyilvános adatok tulajdonosainak engedélye nélkül.
Gratulálunk, Ön a „személyes adatkezelő” cím büszke tulajdonosa. A legfontosabb dolog az, hogy pontosan megértsük, hogy mely személyes adatokat dolgozzák fel. Mert a személyes adatok kategóriájától függ, hogyan védi az adatokat és milyen követelményeket kell teljesíteni. A kategóriákat részletesen a 152-es szövetségi törvény és a 2012. november 1-jei kormányhatározat írja le.
Általánosan elérhető személyes adatok: a nyílt forrásokból származó adatok, amelyeket a személyes adatok tárgya vagy annak jóváhagyása tesz közzé. A nyilvánosan elérhető adatok a média vagy az internet adatai.
Példa: a nyilvános hálózatokon vagy a vállalatok weboldalán nyílt hozzáférésű információk. Telefonszám és családi állapot, melyet a Facebook nyilvános hozzáférése jelent meg. A munkavállaló neve és helyzete a munkáltató honlapján.
Biometrikus személyes adatok: ez a kategória az emberek fiziológiai és biológiai jellemzőire vonatkozó összes adatot tartalmazza.
Példa: súly, magasság, szem vagy hajszín, hajhossz, vércsoport, fénykép.
Egy speciális kategória személyes adatai: ez magában foglalja a faji és nemzethez való tartozást, a politikai nézeteket, a vallási és filozófiai meggyőződéseket, az egészségi állapotot vagy az intim életet.
Példa: orvosi diagnózis (információ arról, hogy milyen beteg volt, mikor, amit az orvos kezelt).
Más típusú személyes adatok - ez magában foglalja a fenti kategóriákban nem szereplő személyes adatokat.
Példa: vállalati információk. Számviteli kártyák az alkalmazottak számára, amelyek tartalmazzák a HR és a könyvelési munkákkal kapcsolatos információkat: fizetés, nyaralási időszakok, foglalkoztatási időpontok.
Miután eldöntötte a személyes adatok kategóriáját, meg kell értenie a feldolgozott adatok pontos mennyiségét: akár 100 ezer vagy több mint 100 ezer.
Megállapította a kategóriát és mennyiséget, határozza meg a fenyegetés típusát:
Veszélyek száma 1. "Lyukak" és sebezhetőségek az operációs rendszerben. Példa: sebezhetőségek, amelyeket a hackerek használnak az operációs rendszerbe való beszivárgásra az információk ellopására.
A fenyegetések száma 2. "Lyukak" és sebezhetőségek az alkalmazásszoftverben, vagyis a mindennapi munkában használt szoftverben. Példa: Word, Excel.
A fenyegetések száma 3. Az összes többi fenyegetés, amely nem szerepel az első két típusban. Először is, az emberi tényező. A munkavállaló nyitva hagyhatja a dokumentumot egy záratlan számítógépen, küldjön egy dokumentumot nyomtatásra valaki más nyomtatójához, vagy e-mailben.
A személyes adatok, a kategória, a fenyegetések típusa - összességében lehetővé teszik, hogy meghatározzuk, milyen szintű védelmet igényel az információs rendszer. Jelenleg négy szintű védelem van.
Az első és legmagasabb szintű védelmet leggyakrabban a kormányzati szervek és az egészségügyi intézmények személyes adatainak feldolgozására használják. A védelem negyedik szintje a legegyszerűbb, néha elégséges a szervezeti szabályozási intézkedések végrehajtása, főként a nyilvánosan hozzáférhető adatok védelmére.
A táblázat segítségével meghatározhatja a védelem szintjét.
A kórház feldolgozza a pácienseinek személyes adatait - ez egy speciális kategória személyes adatai. Szintén feldolgozza az alkalmazottak személyes adatait - ez egy másik kategória személyes adatai. Valószínűleg a kórházban két adatbázis található. Ha mindkét adatbázist hozzáadja, akkor megkapja a kórházi információs rendszerben forgó összes személyes adatot.
Például, mindegyik - akár 100 ezer. Ezután megnézzük, hogyan dolgozzák fel az adatokat: automatizált (számítógépen) vagy nem automatizált (kézi fájlszekrényben). Ha minden automatizált, megnézzük, milyen szoftvereket használ a kórház, milyen biztonsági rések vannak.
Ennek alapján azonosítják a fenyegetéseket és azok szintjét. Összeállítjuk az összes tényezőt, és megkapjuk a második szintű védelmi osztályt. Megnézzük, hogy a törvényi követelmények a második biztonsági szintre vonatkoznak. Ezen követelmények alapján információs rendszer védelmet kell kialakítani a szövetségi törvény követelményeinek való megfelelés érdekében.
Miért zavarja a személyes adatok védelmét egyáltalán? A személyes adatok drága termék a fekete piacon. A csalók hajlandóak lenyűgöző összegeket fizetni egy olyan profilra, amely tartalmazza az egyén orvosi feljegyzéseinek teljes részleteit. Külön piac - bankkártya adatai; számlák a szociális hálózatokban.
A személyes adatok szivárgásának következményei eltérőek. Az adatok nyilvánosan elérhetőek lehetnek az interneten: például könnyen megtalálhatóak a lopott adatbázisok a cégek ügyfeleinek címével és telefonszámával a hálózaton. Ismerve a nevet és a vezetéknevet, bárki megtudhatja a személy otthoni címét, bejuthat a szociális hálózatba, megtekintheti a profilt, vagy csak írhat SMS-t egy mobiltelefonra.
A személyes adatok bejuthatnak egy kereskedelmi szervezet bosszantó levelezésének adatbázisába, majd a tulajdonosuk túlterhelt lesz a kéretlen ajánlatokkal. Az online kaszinók online csalói is használhatják, vagy elektronikus pénztárcát nyithatnak meg.
A legrosszabb esetekben a támadó egy másik személyt is megszemélyesíthet, és hitelesítheti valaki más nevét. A személyes adatok szivárgásának legsúlyosabb következményei a következők: illegális cselekedetek ingatlanokkal, pénzkártyák lopása, rokonok zsarolása és cégbejegyzés.
Megérti a kérdés fontosságát, és készen áll a felelősségre? Ez igaz. Mivel a személyes adatok biztonságáért a felelősség teljes egészében az üzemeltető.
Ez azt jelenti, hogy az üzemeltetőnek gondoskodnia kell arról, hogy az információ ne kerüljön nyilvánosan hozzáférhetővé, vagy nem esik olyan harmadik felek kezébe, akiknek nincs joga. Ehhez az adatbiztonsági fenyegetések folyamatos figyelemmel kísérése és megelőzése, az információbiztonság szintjének ellenőrzése és elvesztése esetén helyreállítása szükséges.
Hazánkban a Roskomnadzor felügyeli a személyes adatok feldolgozásával kapcsolatos jogszabályok betartását. Ez a testület válaszol a panaszokra, szabályozza az alanyok és az üzemeltetők közötti kapcsolatokat.
Az információvédelem technikai követelményei az FSTEC és az FSB felelőssége: a követelmények kidolgozása és végrehajtásának ellenőrzése.
Most itt az ideje, hogy tanulmányozzuk a táblákat a személyes adatok műszaki védelmére vonatkozó követelményekkel. A részleteket a szövetségi műszaki és exportellenőrzési szolgálat 2013. február 18-i sorrendjében találja.
De legalább kezdje el ezt:
Számos webhelytulajdonos úgy gondolja, hogy ha a látogató rákattint a „személyes adatok feldolgozására” gombra, akkor nem lesz jogi probléma, és az adatfeldolgozás automatikusan a jogi területre esik. Nem.
Jogi szempontból csak kétféleképpen lehet megerősíteni a személyes adatok feldolgozásához való hozzájárulását: aláírást papíron vagy elektronikus digitális aláírással.
Minden más esetben, ha az ügy bíróság elé kerül, a webhely tulajdonosa nem tudja megerősíteni, hogy ki pontosan megnyomta az "Elfogadom" gombot. Csak remélhetjük, hogy a webhelyére érkezett személy önként továbbítja adatait, és nem nyújt be panaszt.
Igen, az ellenőrzés lehet Roskomnadzor.
A Roskomnadzor évente közzéteszi az ellenőrzések listáját a regisztrált szereplők listájából, ha egy vállalat szerepel az ellenőrzések listájában, akkor a következő ütemezett ellenőrzés a legkorábban három év után lehetséges. Itt láthatja, hogy a vállalat itt szerepel-e a listán.
A terven kívüli ellenőrzéseket általában panaszok okozzák. Ha a csekket nem tervezték meg, 24 órán belül írásban figyelmeztetni kell.
Dokumentumellenőrzés is történhet. A dokumentálás során elküld egy listát a dokumentumokról, amelyek másolatait a Roskomnadzornak kell elküldeni.
Néha a Roskomnadzor helyszíni ellenőrzéseket végez: az ellenőrök személyesen látogatják meg a cég helyszíni ellenőrzését.
Az ilyen ellenőrzések előkészítése időigényes feladat. Megoldja-e magát az ellenőrzésre való felkészülés feladatát, vagy külső szakértők bevonásával, először meg kell határoznia, hogy ki a vállalat felelőssége az FZ-152 betartásáért.
A 152-FZ megsértése esetén polgári, büntetőjogi, közigazgatási és fegyelmi felelősség biztosított.
Szóval, Roskomnadzor elvégzett egy ellenőrzést, ha ellentmondásokat talált a joggal, akkor elrendelést ad a vizsgálóbizottságnak, hogy vizsgálja meg a „Személyes adatokról” szóló törvény megsértésének tényét.
Ezt követően az ügyészség megkezdi a vizsgálat lefolytatását, amelynek során felfüggesztheti a vállalat tevékenységét: vonja vissza a cég adatbázisát, különösen azokat a számítógépeket, amelyeken a személyes adatokat feldolgozták.
A jogsértők elsősorban a bírságok várakozására várnak. A bírságok mértéke a bűncselekménytől függően változik. Így a személyes adatok feldolgozása a jogalanyok írásos engedélye nélkül adminisztratív felelősséggel jár.
Még akkor is, ha az üzemeltető hajlandó fizetni, de a nagyvállalati szabványok szerint ez nem tűnik hatalmasnak, az elkövetőnek még mindig el kell távolítania a törvény előtti ellentmondást (például törölnie kell a tárolt adatokat) és értesítenie kell a Roskomnadzor-t.
A legrosszabb forgatókönyv az, ha a Roskomnadzor úgy dönt, hogy visszavonja a vállalat engedélyét, tiltja a vállalkozást a személyes adatok feldolgozásától, és jogellenesen közzéteszi a polgárok személyes adatait.
Az elmúlt években Oroszországban a leghangosabb botrány a LinkedIn blokkolásával társult, akinek tulajdonosait az Orosz Föderáción kívüli szerverek beleegyezése nélkül vádolták a polgárok személyes adatainak feldolgozásában. Az autonum.info szolgáltatás blokkolása is zajlik.
A személyes adatok feldolgozását önállóan vagy egy ilyen szolgáltatást nyújtó cég segítségével is megszervezheti.
Ha úgy dönt, hogy személyes adatokat dolgoz fel, szüksége lesz rá:
A legjobb esetben három-négy hónapot vesz igénybe, egy ilyen megvalósítás költségén 200-300 ezer rubel lehet - ez a berendezések és licencek vásárlási költsége. A munkaerőköltségek és az információs rendszer további támogatása külön kiadási tétel. Szüksége lesz egy rendszergazdára is, aki felügyeli a rendszer működését.
Objektív módon beszélve a nagyon kis cégek egyszerűen nem felelnek meg a törvény minden követelményének abban a reményben, hogy nincs ellenőrzés. Talán tényleg nem. Más cégek „Potemkin falvakat” alkotnak csak úgy, hogy úgy teszek, mintha személyes adatokat dolgoznának fel a törvény követelményeinek megfelelően, vagyis „megvásárolják” a szükséges dokumentumokat.
A következő cikkben bemutatjuk, hogy hogyan lehet kiszámítani a személyes adatok feldolgozásának költségeit egy vállalaton belül, és elmondani, hogy mikor érdemes a személyes adatok feldolgozását elvégezni, és ha jobb, ha a felhőbe helyezi.
Az anyagot a felhasználó teszi közzé. Kattintson az "Írás" gombra, hogy megoszthassa véleményét vagy beszéljen a projektről.
Az Orosz Föderáció 152-ФЗ „Személyes adatokról” szóló szövetségi törvényét 2006. július 27-én fogadták el, és az elmúlt év egyéb kiemelkedő eseményeinek hátterében szinte észrevétlenül ment. Elfogadásának formális oka az volt, hogy az állami és kereskedelmi struktúrákban a személyes adatbázisok lopása és az elterjedt eladásuk számos tényt hordozott. A törvény elfogadásának fő célja az volt, hogy megszüntessék az Európai Unió országaival folytatott kereskedelem bizonyos akadályait.
Franciaország megtiltotta a magánéletre vonatkozó tények közzétételét, és 1858-ban bírságot szabott ki a jogsértők számára.
A norvég büntető törvénykönyv 1889-ben megtiltotta a személyes vagy magánügyekkel kapcsolatos információk közzétételét.
A „Személyes adatokról” szóló, 2006. július 27-i „A személyes adatokról” szóló törvény az idei január 26-án kezdte meg működését (a 25. cikk 1. részével összhangban a törvény 180 nappal a 2006. július 29-én megtartott hivatalos közzététel után lép hatályba). a "Rossiyskaya Gazeta").
Az EU 95/46 / EK irányelve szerint a személyes adatokat csak olyan országokba lehet átadni, amelyek ugyanolyan szintű védelmet nyújtanak, mint Európában. Ez jelentősen akadályozta az európai kormányzati szervek és cégek külföldi partnerei közötti információcserét, ami sok kereskedelmi szempontból ígéretes projekt számára lehetetlenné tette. Az ilyen korlátozásokat nemcsak Oroszország és a harmadik világ országai tapasztalták, hanem egy olyan gazdasági szörnyet is, mint az Egyesült Államok. Így kormányunk úgy döntött, hogy legyőzi ezt az akadályt. Lássuk, hogyan csinálta, és mit fog mindannyiunknak fizetni.
A személyes adatokról szóló orosz törvény elfogadása az Orosz Föderációnak az 1981-es európai egyezménynek a személyi adatok automatikus feldolgozásával kapcsolatos védelméről szóló csatlakozásának eredménye, amely meghatározza az európai országokban a személyes adatok védelmének alapelveit. Ez az egyezmény és az azt követő európai uniós irányelvek felvázolták azokat a feladatokat, amelyeket a nemzeti jogszabályoknak a személyes adatok szabályozása során kell kezelniük:
Törvényünk nagyrészt megismétli az e területre vonatkozó európai jogszabályok főbb rendelkezéseit, amely a világ egyik legnehezebb 2. Bár 2006-ban igen gyakran beszélt a törvényről, de kevés ember gondosan elolvasta a rendelkezései tartalmát. A követelményeknek való megfelelés biztosítása érdekében azonban lényegesen módosítani kell a munkát a személyes adatokat tartalmazó információkkal és dokumentációval. Próbáljuk meg kitalálni, mi újdonság a dokumentumok és információk kezelésében a szervezetben?
Most részletezzük meg a törvény legfontosabb rendelkezéseit, és értékeljük, milyen szervezeteknek és intézményeknek kell vállalniuk annak végrehajtását. Ezenkívül megpróbáljuk elemezni a törvény egyes rendelkezéseit a megfogalmazás helyessége és egyértelműsége tekintetében.
Az első kérdés: kinek alkalmazandó ez a törvény? Erre reagálva biztonságosan elmondhatjuk, hogy kivétel nélkül mindenkinek vonatkozik (állami intézményekre, jogi személyekre és magánszemélyekre). Íme az 1. cikk listája:
A második fontos kérdés a törvény hatálya.
Az Orosz Föderáció szövetségi törvényének „A személyes adatokról” szóló 2006. július 27-i 152-FZ 1. cikke
Ez a szövetségi törvény szabályozza a személyes adatok feldolgozásával kapcsolatos kapcsolatokat... automatizálási eszközökkel vagy ilyen eszközök használata nélkül, ha a személyes adatok ilyen eszközök használata nélküli feldolgozása megfelel az automatizálási eszközökkel végzett személyes adatokkal végzett műveletek (műveletek) természetének.
A cikk megfogalmazása példa arra, hogy hogyan írjunk törvényeket. Kiderült, hogy valami érthetetlen, ami lehetővé tette a különböző értelmezéseket. Hogyan válaszolhat egy ilyen szöveg alapján például arra, hogy az üzleti notebookban szereplő szabad formában szereplő adatok a törvény hatálya alá tartoznak-e? Ha egy ilyen számítógépet számítógépen vagy mobiltelefonon tárolnak, akkor az „automatizálási berendezések használata” -nek tekinthető?
Az európai jogszabályok e tekintetben világosabbak:
Az EU 95/46 / EK irányelv 1995
2. cikk "Fogalommeghatározások":
c) „személyes adattárolási rendszer” 4 („tárolórendszer”) olyan személyes adatok bármely strukturált halmaza, amely bizonyos kritériumok szerint hozzáférhető - függetlenül attól, hogy az adatkészletet hogyan szervezik, akár központosítva, decentralizáltan vagy terjesztve funkcionális vagy földrajzi alapon...
3. cikk "Hatály":
(1) Ez az irányelv a személyes adatok automatikus (teljes vagy részleges) felhasználásával történő feldolgozására, valamint az automatikus, személyes adatok, komponensek vagy a tárolórendszerek részeként történő feldolgozásra történő feldolgozására vonatkozik.
A modern számítógépes terminológiában a „strukturált adatok” mindenekelőtt adatbázisokat jelentenek. A papírmunka során ezek magukban foglalják a kártyafájlokat és a személyes fájlok archívumait. Ezért az európai követelmények a következők:
Miért nem lehetett oroszul írni, és a mi törvényünkben még mindig érthetetlen?
Figyelmet kell fordítani a terminológia különbségére: az „automatikus feldolgozás” egy dolog, és az „automatizálási berendezések használata” egy teljesen más fogalom, sokkal szélesebb és homályosabb.
A törvény csak négy kivételt ír elő, nevezetesen, a törvény nem vonatkozik azokra a kapcsolatokra, amelyek:
Ezen pontok egyike részletesebb vizsgálatot igényel. Először idézzük a törvényt:
Az Orosz Föderáció szövetségi törvényének „A személyes adatokról” szóló 2006. július 27-i 152-FZ 1. cikke
2. Ez a szövetségi törvény nem vonatkozik a következőkből eredő kapcsolatokra:
2) az Orosz Föderáció Archiválási Alapjának dokumentumai tárolására, beszerzésére, elszámolására és felhasználására, valamint az Orosz Föderációban az archívumra vonatkozó jogszabályokkal összhangban lévő egyéb irattári dokumentumok tárolására, beszerzésére, elszámolására és felhasználására.
Emlékeztetünk két definícióra, melyet az Orosz Föderáció levéltári ügyeiről szóló 2005. május 10-i 125-ФЗ törvény tartalmaz:
Itt van egy példa arra, hogyan lehet ezt megtenni. Az Orosz Föderáció levéltári ügyeiről szóló szövetségi törvény (18. cikk 2. része) szerint az Orosz Föderáció kormánya jóváhagyja a szövetségi tulajdonban lévő szövetségi végrehajtó szervek és szervezetek letéteményes tárolását végző szervezetek listáját. 2006 végén új jegyzéket fogadtak el e minisztériumokból és szervezetekből. Ezzel egyidejűleg ezeket a szervezeteket elrendelték, hogy megállapodást kössenek a dokumentumok tárolási feltételeiről a Rosarkhivdal. Ha a szerződés megkötésekor kifejezetten előírják, hogy az összes dokumentumot, kivéve az operatívakat, őrizetbe vett dokumentumoknak kell tekinteni, akkor a dokumentumok nagy része e kivétel alá vonható.
Más állami szervezetek számára az egyik lehetőség lehet az ügyiratoknak az állami archívumokkal való gyors jóváhagyása, ami valójában azt jelentené, hogy a dokumentumokat az Orosz Föderáció Archiválási Alapjába beilleszti, és ismét elhagyja a személyes adatokról szóló törvény „cselekvési zónáját”.
Az Európai Unió irányelvei azonban nem tartalmaznak ilyen kivételt, de létezik például az US 6-os kódexben, amely pontosabb megfogalmazást tartalmaz, amely nem teszi lehetővé a kétértelműséget: a személyes adatokra vonatkozó jogszabályok általában nem vonatkoznak az állami archívumokban már letétbe helyezett dokumentumokra, a letétbe helyezésre jogosult bármely ügynökség által az állami archívumra átadott dokumentumokra vonatkozik.
Nem világos, hogy miért számított számos törvényes adatbázisunkból az egyéni vállalkozók egységes állami nyilvántartása (EGRIP) a törvénye. Logikus lenne, ha a kivételt kiterjesztenék más, a személyes adatokat is tartalmazó állami nyilvántartásokra (például a beépítés az ország valamennyi jogi személyének alapítóira és első személyére vonatkozó információkat tartalmaz).
Személyes adatok - az ilyen információk alapján meghatározott vagy meghatározott fizikai személyre (személyes adatok tárgyára) vonatkozó információk, beleértve a vezetéknevét, vezetéknevét, védőszentjét, születési évét, hónapját, születési dátumát és helyét, címét, családját, társadalmi helyzetét, vagyonát., oktatás, szakma, jövedelem, egyéb információk (a személyes adatokról szóló törvény 3. cikke szerint).
A törvény a személyes adatok feldolgozásának alábbi módszereit írja elő (számos esetben részletes magyarázatot ad a 3. cikkben):
Különös figyelmet kell fordítani az olyan feldolgozási módszerekre, mint a személyes adatok blokkolása és megsemmisítése. A törvény meglehetősen jól szól a megsemmisítésről - ez a megközelítés a hazai és külföldi szabványok által javasolt. Ami a személyes adatok blokkolását illeti, ez a módszertan a hazai gyakorlatban először került bevezetésre, és végrehajtása jelentősen bonyolíthatja a korábban kifejlesztett információs rendszereket és adatbázisokat használó szervezetek életét, amelyekben ilyen műveletet nem nyújtanak.
A törvény rendelkezései elsősorban a személyes adatok illegális gyűjtésének és felhasználásának megakadályozására irányulnak. A jogalkotó e vágyának köszönhetően új álláspont alakult ki a nyilvántartási gyakorlatban:
Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 5. cikkének 2. pontja, július 27-én. 2006 No. 152-FZ
A személyes adatokat olyan formában kell tárolni, amely lehetővé teszi a téma meghatározását, és nem haladhatja meg a feldolgozási célokat, és el kell pusztítani a személyes adatfeldolgozás céljainak elérése, vagy az elérésük szükségességének elvesztése miatt.
Ebben az esetben a törvény első alkalommal talán információt és dokumentumokat állít fel a maximális és még feltételes tárolási időszakra is - „a feldolgozási célok elérése után”. A szervezeteknek személyes adatokat tartalmazó dokumentumok tárolási idejét kell megállapítaniuk, és előzetesen meg kell gondolni a kiválasztott tárolási időszakok indoklását. Ez egy meglehetősen bonyolult kérdés, ami sok vitát és problémát okozhat.
Ezen túlmenően a DOE szakembereknek figyelmet kell fordítaniuk a következőkre: mivel a személyes adatok gyűjtésének és feldolgozásának a törvényben előírt célját a munka megkezdése előtt meg kell határozni, gondosan mérlegelni kell azok megfogalmazását. Ellenkező esetben maga a szervezet is „helyettesítheti” magát: a célok teljesülnek, és a személyes adatok nem lesznek megsemmisítve.
A személyes adatokat gyűjtő és feldolgozó szervezetek számára az egyik leginkább kellemetlen a 6. cikk követelménye arról, hogy meg kell szereznie a feldolgozás tárgyának beleegyezését. Csak az alábbi esetekben szükséges beleegyezés:
Már léteznek számos szövetségi törvény, amely leírja a személyes adatok feldolgozását, például az adófizetők egységes állami nyilvántartásainak (EGRN) és jogi személyek (USR) fenntartásakor. Az általános engedélyezési követelmény alóli kivétel alkalmazásának egyetlen feltétele, hogy a vonatkozó jogszabályokban a következő kérdéseket tegye:
Még nem világos, hogy mi fog történni azokkal a törvényekkel, amelyek a személyes adatok gyűjtésével és feldolgozásával kapcsolatos normákat tartalmaznak, de nem felelnek meg a megadott feltételeknek.
Az első, az új törvény betartásával kapcsolatos problémák közül elsőként felhívta a biztosítótársaságok figyelmét. Véleményük szerint a személyes adatokról szóló törvény komolyan akadályozhatja a kötelező gépjármű-felelősségbiztosításról szóló törvény (MTPL) végrehajtását, mivel tilos a harmadik félnek az MTPL-szerződés megkötésekor szerzett személyes adatait beleegyezése nélkül átadni. Ennek eredményeképpen a biztosító nem lesz képes teljes körű információt szerezni ügyfeleiről egyetlen adatbázisból (és az ilyen adatbázis fenntartása is megkérdőjelezhető), ebben a helyzetben a biztosítók kockázatai növekszik.
Már a biztosítótársaságok próbálják megoldani ezeket a fontos problémákat az alábbi lehetőségek figyelembevételével:
A 6. cikk (6) bekezdése a személyes adatok feldolgozásának jogáról az újságírók, tudósok és más kreatív szakmák képviselői számára a téma beleegyezése nélkül kétséges. Meglehetősen reális (különösen a kereskedelmi struktúrákban) a „kreatív szakma képviselőjének” teljes munkaidős pozíciójának bevezetése és a személyes adatokat tartalmazó valamennyi adatbázis létrehozása.
Például Angliában a törvény hasonló rendelkezésében azt is előírják, hogy ebben az esetben az adatfeldolgozás célja az adott anyag közzététele; hogy a közzétételnek közérdekűnek kell lennie (beleértve a kreatív szakma képviselőjének önkifejezésének jogát is) 9.
Ezenkívül érdekes, hogyan fogjuk meghatározni, hogy ki az újságíró vagy egy író, és ki nem. Nem titok, hogy sok író testvérnek nincs megfelelő diploma vagy hivatalos azonosítója. Itt az USA-ban alkalmazott megközelítés hasznos lehet számunkra: az újságírók felismerik mindazokat, akik nyilvános cikkeket írnak, még akkor is, ha csak az interneten tesznek közzé.
Az Egyesült Államokban 2007 januárjában megkezdődött a korábbi George Bush Lewis "Scooter" Libby adminisztrációjának tárgyalása. Száz helyet foglaltak el a sajtó számára a tárgyalóteremben, közülük kettőt hivatalosan is megkaptak az internetes naplók szerzői.
Az Amerikai Újságírók Szövetsége szövetségi törvényt készít az újságíróknak a bizalmas információk nyilvánosságra hozatalának joga során történő biztosításáról, és azt sugallja, hogy ez a törvény kivétel nélkül mindenkire vonatkozik, és kiterjed azokra, akik további terjesztésre gyűjtenek információt. Az internetes naplók, a „bloggerek” szerzői szintén e meghatározás alá tartoznak 10.
Most nézzük meg, hogy az új törvény magában foglalja a személy hozzájárulásának megszerzését személyes adatainak feldolgozásához.
Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 9. cikkének 1. pontja, július 27-én. 2006 No. 152-FZ
A személyes adatok tárgya határozza meg személyes adatainak rendelkezésre bocsátását, és beleegyezik abba, hogy saját adataival és saját érdekeivel dolgozzon fel. A személyes adatok feldolgozásához való hozzájárulás visszavonható a személyes adatok tárgyával.
Ezen túlmenően a 9. cikk 3. pontja eléggé kellemetlen feltételt tartalmaz az üzemeltetők számára. Bizonyítékot kell szereznie arról, hogy az általuk összegyűjtött adatok a nyilvánosan elérhető forrásokból származnak, vagy a személyes adatok tárgyából beleegyeznek, majd tárolják ezt a dokumentumot abban az esetben, ha a „tárgy” úgy dönt, hogy az üzemeltető jogait megsértette.
A nyilvánosan elérhető adatokkal nem is olyan egyszerű. A 8. cikk, amely meghatározza a nyilvánosan hozzáférhető személyes adatforrások (referenciakönyvek, címjegyzékek, stb.) Fogalmát, hangsúlyozza, hogy a személyes adatokat csak a tárgy írásos beleegyezésével lehet feltüntetni. Ezen túlmenően „a személyes adatok tárgyára vonatkozó információk bármikor kizárhatók a nyilvánosan hozzáférhető személyes adatforrásokból a személyes adatok tárgya vagy bíróság vagy más meghatalmazott kormányzati szervek kérésére.”
Másrészről, ha egy szervezet nyilvánosan hozzáférhető személyes adatforrásokat használ az információgyűjtés során, akkor dokumentálnia kell, hogy hol kapta meg ezt az információt, és győződjön meg róla, hogy a „forrás” a törvény által előírt írásos hozzájárulással rendelkezik.
Az Orosz Föderáció szövetségi törvénye „A személyes adatokról”, július 27-én. 2006 No. 152-FZ
A 3. cikk 12. pontja
Az általánosan hozzáférhető személyes adatok olyan személyes adatok, amelyeket a korlátlan számú személy hozzáférhet a személyes adatok tárgyának beleegyezésével, vagy akiknek a titoktartási követelmény nem alkalmazandó a szövetségi törvényekkel összhangban.
A 8. Tcikk 1. T Általánosan hozzáférhető személyes adatok
Az információs támogatás biztosítása érdekében nyilvánosan hozzáférhető személyes adatforrásokat (köztük referenciakönyveket, címjegyzékeket) lehet létrehozni. A személyes adatok tárgyának írásos beleegyezésével nyilvánosan hozzáférhető személyes adatok forrásai közé tartozik a vezetéknév, a keresztnév, a születési év és hely, a cím, az előfizetői szám, a szakma adatai és a személyes adatok tárgyát képező egyéb személyes adatok.
A 9. cikk 3. pontja. A személyes adatok tárgyának beleegyezése személyes adatainak feldolgozásával kapcsolatban
Az a kötelezettség, hogy igazolni kell a személyes adatok tárgyának személyes adatainak feldolgozásához való hozzájárulását, és a nyilvánosan hozzáférhető személyes adatok feldolgozása esetén az üzemeltető köteles bizonyítani, hogy a feldolgozott személyes adatok nyilvánosan hozzáférhetők.
Kiderül, hogy a védelem érdekében a szervezeteknek hivatalos megerősítést kell kérniük minden állampolgár számára.
Hogyan kell benyújtani az alany írásos hozzájárulását? Kiderül, hogy az állampolgár aláírása az „Elfogadom, hogy személyes adataim összegyűjtése és feldolgozása” kifejezést tartalmaz, nem lesz elég.
Az Orosz Föderáció szövetségi törvényének „Személyes adatokra” című 9. cikkének 4. pontja. 2006 No. 152-FZ
... a személyes adatok tárgyának írásbeli hozzájárulása személyes adatainak feldolgozásához a következőket kell tartalmaznia:
Ez azt jelenti, hogy a személyes adatok tárgyának „fogása” előtt és a beleegyezésének megkísérlése érdekében az üzemeltetőnek ki kell dolgoznia a dokumentum külön formáját, amely tartalmazza az összes szükséges információt.
Először is, a személyes adatok tárgya jogosult a következő információk megszerzésére:
Az üzemeltetőtől a személyes adatok tárgya megkövetelheti:
Az üzemeltető szervezetek számára számos nehézség a törvény 14. cikkének 2. pontját képezi, amely előírja, hogy az üzemeltető a személyes adatok hozzáférhetőségére vonatkozó információkat hozzáférhető formában nyújtja az érintettnek, és hogy nem tartalmaz más, a személyes adatok tárgyát érintő információkat.
A „Durant vs. Financial Services Authority” ügy 11, amelyet Angliában a Court of Appeal 2003-ban foglalkozott, széles választ kapott. A bíróság döntése jelentősen szűkítette a „személyes adatok” fogalmának értelmezését. Különösen a bíróság jelezte, hogy e személynek a dokumentum szövegében való puszta említése nem elegendő a személyes adatokat tartalmazó dokumentum megvizsgálásához. Ezen túlmenően a bíróság megerősítette, hogy a személyes adatokhoz való hozzáférés joga nem sértheti harmadik személyek jogait, és ezért a harmadik felek személyes adatait törölni kell a megkeresett dokumentumok másolataiból (kivéve a körülmények különleges egybeeséseit).
2004 novemberében a Kormány megtagadta az Egyesült Királyság munkavállalóinak a személyes adatokhoz való hozzáférésének jogát, függetlenül attól, hogy munkáltatója papíron vagy elektronikus formában tartja-e őket, ha olyan rendszerben tárolják őket, amely nem egyértelműen strukturálja az egyes személyekre vonatkozó információkat. Így a papírfájlok tárolási rendszerei (kivéve a személyes fájlokat) de facto eltávolították a személyes adatokhoz való hozzáférésről szóló törvény intézkedéséből, mivel nehezen lehet elkülöníteni az adott személyre vonatkozó információkat.
A személyes adataik eléréséhez honfitársainknak:
Ezt a kérést elektronikus formában lehet elküldeni és digitális aláírással aláírni. Így a törvény formálisan lehetőséget nyújt személyes adatainak elektronikus kommunikációs csatornákon keresztül történő kérelmezésére. Még nem rendelkezünk olyan személyekkel, akiknek saját EDS-je megfelel az EDS-re vonatkozó törvénynek (az esetek túlnyomó többségében az EDS-t hazánkban a Polgári Törvénykönyv 160. cikkének megfelelően használják, amely a felek előzetes megállapodását írja elő).
A személyes adatok tárgya által kért információk mennyisége aggodalomra ad okot polgáraink számára. A személyes adatokat tartalmazó adatbázist vezető szervezetek számára ajánlott, hogy fordítsanak különös figyelmet az új törvény 14. cikkének (4) bekezdésére, hogy átgondolják és megszilárdítsák a belső szabályzatokban történő tájékoztatásra vonatkozó eljárást:
A személyes adatok feldolgozásának kérdése „az áruk, a művek, a szolgáltatások piacon történő közvetlen reklámozása révén a potenciális fogyasztókkal való kommunikáció révén, valamint a politikai kampányok során” külön cikket (15. cikk) szentel. A kereskedelmi és politikai szervezeteknek - a reklámküldés előtt - meg kell szerezniük az állampolgár előzetes hozzájárulását, és a PD feldolgozását a személyes adatok tárgyának előzetes beleegyezése nélkül kell elismerni, ha az üzemeltető nem bizonyítja, hogy ilyen hozzájárulás megszerzésére került sor. Egyes kereskedelmi struktúrák esetében ez a követelmény nagyon kényelmetlen lehet!
Mostantól kezdve „tilos a személyes adatok kizárólag automatizált feldolgozása alapján döntéseket hozni, amelyek jogi következményekkel járnak a személyes adatok tárgya tekintetében, vagy más módon befolyásolhatják jogait és jogos érdekeit” (16. cikk).
Ez a rendelkezés szükséges és időszerű. De jogalkotóink két különböző fogalmat összezavartak: az „automatikus” (azaz az emberi részvétel nélkül) és az „automatizált” (azaz az ember részvételével). Ennek eredményeként ez a cikk ahelyett, hogy további korlátozásokat szabna ki azokra és csak akkor, ha az információs rendszer az emberi részvétel nélküli döntéseket hoz (például bírság kiszabása, az országon kívüli utazás megtiltása stb.), úgy kell értelmezni, hogy korlátozza a személyes adatfeldolgozást, mivel még a számológép használata is automatizált feldolgozásnak tekinthető!
Az új törvény ugyanezen cikkében megállapítást nyer, hogy az üzemeltető csak az „automatizált” feldolgozás alapján hozhat döntéseket, ha:
Néhány szabályozási dokumentumban ezeket a törvényi követelményeket már figyelembe vették. Így az új generációs útlevél kibocsátására irányuló kérelmek mintáiban van egy külön fejezet, amelyben a kérelmező egyetért a kérelemben megadott adatok „automatizált” feldolgozásával. A következőképpen hangzik: „Egyetértek a kérelemben meghatározott adatok automatizált feldolgozásával, továbbításával és tárolásával az útlevél gyártása, feldolgozása és ellenőrzése céljából annak érvényességi ideje alatt” 12.
Az üzemeltetőnek előzetesen a következő információkat kell megadnia a polgároknak:
Vita esetén az üzemeltetőnek bizonyítania kell, hogy betartotta a törvény minden követelményét. Ez azt jelenti, hogy gondosan gyűjti és tárolja az igazoló dokumentumokat.
Az üzemeltető kötelezettségei a 18. cikkel összhangban elsődlegesen magukban foglalják a személyes adatoknak a polgárok kérésére történő nyújtását. Ezen túlmenően az üzemeltetőnek „tisztáznia kell a személyes adatok tárgyát a személyes adatainak megtagadásának jogi következményeivel”, ha ezt a kötelezettséget szövetségi törvény állapítja meg.
A 20. cikk nagyon szigorú határidőket állapít meg az üzemeltetők számára a személyes adatok alanyai által benyújtott kérelmek teljesítésére (ezek sokkal szigorúbbak, mint például az Orosz Föderáció polgárai fellebbezésének vizsgálatáról szóló, nemrég kiadott törvényben előírtak):
Az üzemeltetőnek még több kérdése van, ha az új törvény 21. cikkében meghatározott határidőn belül szükség van a jogsértések megszüntetésére. Az adatok blokkolását a kérés időpontjától vagy a kérelem kézhezvételétől, valamint a jogsértések megszüntetésétől számított 3 munkanapon belül kell elvégezni.
Egyes esetekben az üzemeltető köteles 3 munkanapon belül megsemmisíteni a személyes adatokat, nevezetesen:
A személyes adatok blokkolása és megsemmisítése nehézkes (és néha lehetetlenné válhat) a jelenleg működő információs rendszerek és adatbázisok esetében, amelyek korábban nem rendelkeztek ilyen lehetőséggel.
Az üzemeltető számára még nehezebb lesz, ha személyes adatokat nem állampolgár, hanem harmadik féltől kap.
Az Orosz Föderáció szövetségi törvényének „Személyes adatokról” című 18. cikkének 3. pontja. 2006 No. 152-FZ
Ha a személyes adat nem érkezett meg a személyes adatokból, kivéve, ha a személyes adatokat az üzemeltetőnek szövetségi törvény szerint nyújtották be, vagy ha a személyes adatok nyilvánosan hozzáférhetőek, az üzemeltetőnek az ilyen személyes adatok feldolgozása előtt a következő adatokat kell megadnia a személyes adatoknak:
E szavak mögött több időigényes munka áll. Például felmerülhet a kérdés: hogyan kell ezeket az információkat a témához eljuttatni? Lehet-e postai úton elküldeni, és az információ akkor tekinthető nyújtottnak, ha a téma nem kapta meg a megfelelő levelet?
Az üzemeltető kötelezettsége a 19. cikkel összhangban a személyes adatok biztonságának biztosítása a feldolgozás során is. A bajok elkerülése érdekében az üzemeltető szervezetnek a szabályozási dokumentumokban ki kell dolgoznia és megszilárdítania minden olyan szervezeti és műszaki információbiztonsági intézkedést, amelyet az információs rendszereiben tárolt személyes adatok védelme érdekében készen áll.
A törvény előírja, hogy a személyes adatok feldolgozását végző valamennyi üzemeltetőnek előzetesen értesítenie kell az engedélyezett szervet (22. cikk), amely egy speciális nyilvántartásban vezet az üzemeltetők nyilvántartásáról. A felhatalmazott szerv a 23. cikk szerint az Orosz Föderáció Informatikai és Hírközlési Minisztériuma, amely jelenleg „ellenőrzési és felügyeleti feladatokat lát el az információs technológiák és kommunikáció területén”. Az értesítésnek részletesen meg kell határoznia, hogy mit tervez a személyes adatokkal. A személyes adatok feldolgozásával kapcsolatos bármilyen változást is jelenteni kell az engedélyezett szervnek.
A következő esetekben a felhatalmazott szerv értesítése nélkül dolgozhat fel személyes adatokat:
Összefoglalva, számos ajánlást fogunk adni az üzemeltetőknek. Nem lesz nagyon nehéz teljesíteni a személyes adatokról szóló törvény követelményeit, ha ez a munka most megkezdődik, az első panaszok és panaszok várakozása nélkül. Elkezdheti a következő nyilvánvaló intézkedéseket:
Ebben a cikkben a személyes adatok védelméről szóló új törvény elemzése az iratkezelés területén tevékenykedő szakemberek szemszögéből készül, amelyet sok vér fog rontani. Hatékonyságát a gyakorlat szemlélteti, de most „személyes adatalanyként” becslést készítek azon hatóságok listájáról, amelyekre a törvény követelményeinek megfelelően megfelelő tájékoztatást küldhettem nekem. Most már jogom van!
1 Az 1995. október 24-i 95/46 / EK európai parlamenti és tanácsi irányelv IV. Fejezete az egyének személyes adatok feldolgozása és az ilyen adatok szabad mozgása tekintetében történő védelméről.
2 Érdekes, hogy még az Egyesült Államok sem felel meg a szigorú európai követelményeknek, és az amerikai vállalatok kénytelenek az ún.
3 A személyes adatalany egy olyan személy, akinek személyes adatait feldolgozzák.
4 "személyes adatok nyilvántartási rendszere"
5 A szövetségi tulajdonban lévő Orosz Föderációs Archiválási Alap dokumentumainak letéteményes tárolásával foglalkozó szövetségi végrehajtó hatóságok és szervezetek listája 18 szervezet: Oroszország Belügyminisztériuma, Oroszország Külügyminisztériuma, Oroszország Védelmi Minisztériuma, Oroszország SVR, Oroszország FSB, Oroszország Szövetségi Kábítószer-ellenőrző Szolgálata, Roskartografiya, Orosz Mezőgazdasági Tudományos Akadémia, Orosz Orvostudományi Akadémia, Orosz Oktatási Akadémia, Orosz Művészeti Akadémia, Orosz Építészeti és Építőmérnöki Akadémia, Állam Alapítvány: Hidrometeorológiai információs orosz kutatóintézet - World Data Center, Állami Televíziós és Rádióprogramok Állami Alapítvány, Szövetségi Állami Egységes Tudományos-Termelési Vállalat „Orosz Szövetségi Földtani Alap”, szövetségi állami egység információk a szabványosításról, a metrológiáról és a megfelelőségértékelésről ”.
6 5 USA C. § 552a (k) (1) „Dokumentumok magánszemélyeknek - Különleges kivételek - Archív dokumentumok”.
7 Üzemeltető - állami szerv, önkormányzati szerv, jogi vagy természetes személy, a személyes adatok feldolgozásának megszervezése és (vagy) végrehajtása, valamint a személyes adatfeldolgozás céljának és tartalmának meghatározása.
9 1998. évi adatvédelmi törvény, 32. cikk.
11 Durant és Pénzügyi Szolgáltatások Hatósága (FSA).
12 Az Orosz Föderáció állampolgára útlevélének feldolgozására és kiadására vonatkozó utasítások, diplomata-útlevél és szolgáltatási útlevél 1. számú melléklete, amely az Orosz Föderáció állampolgárának az Orosz Föderáció területén kívüli személyazonosságát igazolja. és az Orosz Föderáció Szövetségi Biztonsági Szolgálata, 2006. október 6-i szám: 785/14133/461).