Image

Kādi ir personas datu apstrādes veidi?

Krievijas Federācijas darba kodeksā ir tāds termins kā "darba personas personiskā informācija". Darba devējam ir jāsniedz dati par ekspluatācijas kontingentu.

Pēc personiskās informācijas pārbaudes darba devējs pieņem spriedumu par personas uzņemšanu uzņēmumā.

Informācija, ko persona iepazīstina ar sevi, ir jāaizsargā. Izplatiet to ir aizliegts.

Cienījamie lasītāji! Mūsu raksti stāsta par tipiskiem juridisko jautājumu risināšanas veidiem, bet katrs gadījums ir unikāls.

Ja vēlaties uzzināt, kā atrisināt tieši jūsu problēmu - zvaniet, tas ir ātri un bez maksas!

Sistēma

Personāla informācija par darbiniekiem ir pakļauta attīstībai.

Darbinieku personas datiem darba devējs piemēro šādas prasības:

  1. Personas informācijas apstrādes process par darba personu notiek, lai nodrošinātu likumu un tiesību aktu ievērošanu. Pateicoties datu apstrādei, jūs varat nodarbināt personu, nodrošināt viņam personisko drošību, uzraudzīt viņa veikto darbu.
  2. Darba devējs ņem vērā personīgās informācijas apjomu par apstrādājamo darba kontingentu, kā arī to saturu. Visi darba devēji mācās un ievēro Konstitūcijas, citu federālo likumu aspektus.
  3. Informācija par darba grupu jāiegūst tieši no pašiem darbiniekiem. Informāciju par strādājošo var iegūt no trešās mutes, bet tikai ar personas rakstisku piekrišanu. Darba devējs informē darbiniekus par saviem mērķiem un avotiem, no kuriem tiks sniegta personiskā informācija. Darba devējs brīdina par sekām gadījumos, kad atteikums sniegt personisku informāciju no darba personas.
  4. Personai, kas sniedz darbu saviem darbiniekiem, nav tiesību uz informāciju par visa veida politiskiem, reliģiskiem vai citiem pārliecinājumiem, kā arī par darba ņēmēja ģimenes dzīvi. Darbinieka personīgo dzīvi var pierādīt tikai ar viņa piekrišanu. Vienošanās ir jāiesniedz rakstiski.
  5. Darba devējam nevajadzētu izmantot informācijas apstrādē par nodarbināto klātbūtni biedru apvienībās, arodbiedrībās. Bet ir situācijas, kas paredzētas Federālajā likumā.
  6. Visai personiskajai informācijai jābūt aizsargātai un slēptai no publiskas pārbaudes un lietošanas. Datu aizsardzība ir pakļauta Federālā likuma nosacījumiem.
  7. Darbinieku mācību dokumenti, kas pieder iestādei. Tām jāatklāj darbinieku personas datu apstrādes procesu nozīme un kārtība.
  8. Darbiniekiem ir jāpieņem viņu personiskās informācijas aizsardzība.
  9. Paši darba devēji, kā arī darbinieki var strādāt kopā, lai izstrādātu veidus, kā aizsargāt darbinieku personisko informāciju.

Sniedzot informāciju par darbiniekiem, uzņēmuma direktoram ir jāievēro šādi noteikumi:

  • Trešajai personai nav jāzina par katra darbinieka personas datiem. Datus var sniegt tikai tad, ja nodarbinātie ir devuši rakstisku piekrišanu viņu personiskās informācijas izmantošanai. Bet, ja pastāv draudi iztikt, darba grupas veselība, tad personas datus var sniegt citiem cilvēkiem bez rakstiskas rakstiskas piekrišanas;
  • darba devējs nedrīkst publicēt datus par komandu, kas strādā pie tā, lai veiktu tirdzniecību;
  • cilvēkiem, kas saņem informāciju par darbiniekiem, tas jāapstrādā konfidencialitātes ietvaros;
  • informācijas nodošana par personu tiek veikta tikai vienā organizācijā, izmantojot iestādes īpašos iekšējos aktus;
  • informācija par darbinieku ir pieejama tikai īpašām pilnvarotām personām;
  • nav nepieciešams pieprasīt informāciju par strādājošo veselību. Pieprasījumu var iesniegt tikai gadījumos, kad rodas jautājums, vai strādājošie var izmantot savas darba funkcijas;
  • personas datus par darba kontingentu var vākt, pamatojoties uz Kodeksa datiem.

Darba kontingentam ir tiesības:

  • iepazīstināšana ar jūsu personas datiem un to apstrādi;
  • neierobežota piekļuve personiskajai informācijai. Darbiniekam var izsniegt informācijas datu kopijas. Tomēr ir situācijas, kad personas informācija netiek izpausta. Šīs situācijas ir aprakstītas Federālajā likumā;
  • ārsts var apskatīt darbinieku personas datus;
  • iespēju labot vai papildināt personas datu subjektus.

Izšķir šādus personas datu apstrādes veidus:

  1. Informācijas apstrāde, izmantojot datoru tehnoloģijas.
  2. Ne automatizēta apstrāde.
  3. Informācijas sistēma, kas apstrādā iesniegtos datus.

Automatizēta

Šī apstrāde tiek veikta, izmantojot īpašu datortehnoloģiju. Visizplatītākās skaitļošanas mašīnas var būt:

  • elektroniskais dators;
  • palīgierīces;
  • perifērijas ierīces;
  • obligāti instalēta programmatūra.

Ne automatizēta

Detalizētākais neautomātiskās apstrādes apraksts ir rakstīts valdības dekrētā Nr. 687.

Informācijas izplatīšana, izpēte un izņemšana no ekspluatācijas kontingenta jāveic ar personas daļu, nevis datortehnoloģiju.

Informatīvs

Pateicoties informācijas sistēmai, tiek apstrādātas īpašas personas informācijas kategorijas par ekspluatācijas kontingentu. Šī sistēma apstrādā datus, kas ietekmē dalību konkrētā rases un dzimuma, tautības, politisko uzskatu, filozofisko perspektīvu.

Pateicoties informācijas sistēmai, var apstrādāt:

  • biometriskos personas datus. It īpaši, ja ir fizioloģisku, bioloģisku datu raksturojums. Pateicoties iegūtajām īpašībām, ir iespējams novērtēt darbinieku personību;
  • kopīgi personas dati;
  • citi informatīvi dati. Piemērs varētu būt reliģiskās, nacionālās idejas, filozofiskās perspektīvas, darba kontingenta intīmo raksturu brīži un daudzas citas svarīgas personiskās īpašības līdz veselības stāvoklim.

Tādējādi personīgais informācija par katru darbinieku ir ietverta visos darba devējos. Direktors nekādā gadījumā nav tiesīgs izplatīt pieejamos datus par personu.

Iegūto informāciju par ekspluatācijas kontingentu var apstrādāt vairākos veidos: ar datortehnoloģiju palīdzību, izmantojot personīgos spēkus, pateicoties informācijas novērtēšanas sistēmai.

Visos gadījumos rūpīgi pārbauda katra darbinieka personas datus.

Personas datu apstrādes veidi

Ar Amūras reģiona civilkodeksa rīkojumu

no 2012. gada 26. decembra, Nr. 626

attiecībā uz personas datu apstrādi

1. VISPĀRĪGI NOTEIKUMI

1.1. Šis dokuments (turpmāk tekstā - Politika) ir sistemātisks pārskats par personas datu apstrādes mērķiem, principiem, metodēm un nosacījumiem, informācija par ieviestajām prasībām personas datu apstrādei un aizsardzībai Brīvās brīvprātīgās centrālās slimnīcas Amūras reģiona GKU (turpmāk - Nodarbinātības centrs).

1.2. Politika balstās uz Krievijas Federācijas Federālā likuma „Par personas datiem” prasībām, citiem Krievijas Federācijas normatīvajiem aktiem, kas nosaka personas datu apstrādes un aizsardzības procedūru. Šī politika ir publisks dokuments.

1.3. Saskaņā ar 2006. gada 27. jūlija Federālo likumu Nr. 152-ФЗ “Par personas datiem” Nodarbinātības centrs ir personas datu operators (turpmāk “PD”).

2. APSTRĀDĀTI PERSONAS DATI

2.1. Galvenie politikas noteikumi:

· Personas dati - jebkura informācija, kas attiecas uz fizisku personu (personas datu subjektu), kas noteikta vai noteikta, pamatojoties uz šādu informāciju, tostarp viņa uzvārds, vārds, tēvs, dzimšanas gads, mēnesis, dzimšanas datums un vieta, adrese, ģimene, sociālais, īpašums amats, izglītība, profesija, ienākumi, cita informācija;

· Personas datu apstrāde - darbības (operācijas) ar personas datiem, tostarp personas datu vākšana, sistematizēšana, uzkrāšana, uzglabāšana, pilnveidošana (atjaunināšana, maiņa), izmantošana, izplatīšana (ieskaitot pārsūtīšanu), depersonalizācija, bloķēšana, iznīcināšana;

2.2. Šīs politikas ietvaros apstrādātie personas dati nozīmē:

· Personas dati, ko sniedz Nodarbinātības centram adresētie sabiedrisko pakalpojumu saņēmēji;

· Nodarbinātības centra darbinieku vai brīvo darba vietu kandidātu personas dati;

3. PERSONAS DATU APSTRĀDES MĒRĶI

3.1. PD apstrādes mērķi Nodarbinātības centrā ir:

· Nodrošināt Krievijas Federācijas pilsoņu konstitucionālo tiesību īstenošanu darbā un sociālo aizsardzību pret bezdarbu, nodrošinot sabiedriskos pakalpojumus nodarbinātības veicināšanas jomā;

· Pilsoņu konstitucionālo tiesību pārsūdzēšanas nodrošināšana;

· Iegūt objektīvu novērtējumu par darba tirgus stāvokli Krievijas Federācijas struktūrvienībā (attiecībā uz valsts nodarbinātības dienestu saņēmējiem; bezdarbniekiem; pilsoņiem, kas iesniedz pieteikumu Nodarbinātības centram ar priekšlikumiem, paziņojumiem, sūdzībām);

· Nodrošināt atbilstību Krievijas Federācijas konstitūcijai, likumiem un citiem normatīvajiem aktiem, palīdzot darbiniekiem atrast darbu, apmācību un darba veicināšanu, darbavietu pieaugumu, darbinieku personīgās drošības nodrošināšanu, veiktā darba daudzuma un kvalitātes kontroli, tai piederošā īpašuma drošības nodrošināšanu, kā arī to darbības drošuma nodrošināšanu un to darbības rezultātu reģistrēšanu; nodarbinātības centra pienākumi un drošība.

· Nodokļu aģenta funkciju veikšana standarta nodokļu atskaitījumu nodrošināšanā (attiecībā uz Nodarbinātības centra darbinieku ģimenes locekļiem);

· Civillikuma līgumos noteikto saistību izpilde (attiecībā uz personām, kas veic darbu, sniedzot pakalpojumus saskaņā ar civiltiesību līgumiem ar Nodarbinātības centru).

4. PERSONAS DATU APSTRĀDES PRINCIPI

4.1. PD apstrāde tiesiskā un taisnīgā veidā.

4.2. PD apstrādes ierobežošana līdz konkrētu, iepriekš noteiktu un likumīgu mērķu sasniegšanai, kas norādīti šā dokumenta 2. iedaļā. Nav atļauts apstrādāt personas datus, kas nav saderīgi ar personas datu vākšanas mērķiem.

4.3. Novērst PD datubāzu kombināciju, kas tiek apstrādāta mērķiem, kas nav saderīgi.

4.4. Apstrādāt tikai tos PDS, kas atbilst to apstrādes mērķiem.

4.5. Atbilstība PD saturam un apjomam, kas apstrādāts ar norādītajiem apstrādes mērķiem.

4.6. Darbinieku atlaišanas nepieņemamība ir apstrādāta PD saistībā ar izvirzītajiem to apstrādes mērķiem.

4.7. Nodrošināt PD precizitāti, to pietiekamību un, ja nepieciešams, un nozīmīgumu saistībā ar PD apstrādes mērķiem.

4.8. Nodrošiniet, ka tiek veikti nepieciešamie pasākumi, lai novērstu vai pilnveidotu nepilnīgus vai neprecīzus datus.

4.9. PD uzglabāšana tādā formā, kas ļauj noteikt PD objektu, nav ilgāka par PD apstrādes mērķi, ja PD glabāšanas periods nav noteikts ar federālo likumu, līgums, kurā PD objekts ir saņēmējs vai galvotājs. Pārstrādājamie PD ir pakļauti iznīcināšanai vai depersonalizēšanai, ja tiek sasniegti apstrādes mērķi, vai arī, ja zaudē vajadzību sasniegt šos mērķus, ja vien federālā likumā nav noteikts citādi.

5. PERSONAS DATU APSTRĀDES METODES

5.1. Nodarbinātības centrs apstrādā PD šādos veidos:

· Neautomatizēta PD apstrāde (uz papīra);

· Automatizēta apstrāde (ISPDn ar automatizācijas iekārtu un bez tās), tai skaitā: ar un bez pārraides ar Nodarbinātības centra vietējo tīklu; ar un bez pārraides internetā;

· Jaukta PD apstrāde.

5.2. Nodarbinātības centrs var patstāvīgi izvēlēties PD apstrādes metodes atkarībā no šādas apstrādes mērķiem un savām materiālajām un tehniskajām iespējām.

6. PERSONAS DATU APSTRĀDES NOTEIKUMI

6.1. PD apstrāde tiek veikta saskaņā ar Federālā likuma „Par personas datiem” principiem un noteikumiem.

6.2. PD apstrāde ir atļauta gadījumos, kas paredzēti Federālajā likumā „Par personas datiem”.

6.3. Nodarbinātības centram ir tiesības uzticēt PD apstrādi citai personai ar PD subjekta piekrišanu, ja vien federālā likumā nav noteikts citādi, pamatojoties uz līgumu, kas noslēgts ar šo personu, ieskaitot valsts vai pašvaldības līgumu, vai pieņemot attiecīgu valsts vai pašvaldības institūcijas aktu (turpmāk tekstā - ).

6.4. Ja Nodarbinātības centrs piešķir PD apstrādi citai personai, atbildību PD priekšmets par minētās personas rīcību uzņemas Nodarbinātības centrs. Persona, kas apstrādā personas datus Nodarbinātības centra vārdā, ir atbildīga Nodarbinātības centram.

7. PERSONAS DATU KONFIDENCIALITĀTE

7.1. Nodarbinātības centram un citām personām, kuras ir ieguvušas piekļuvi PD, ir pienākums neizpaust trešajām personām un neizplatīt PD bez PD subjekta piekrišanas, ja vien federālajā likumā nav noteikts citādi.

8. PERSONAS DATU APDROŠINĀŠANA PERSONAS DATU APSTRĀDĒŠANAI

8.1. PD subjekts pieņem lēmumu par viņa personas datu sniegšanu un piekrīt to apstrādei pēc savas gribas un interesēs.

8.2. Piekrišanai PD apstrādei jābūt specifiskai, informētai un apzinātai.

8.2. PD subjekts vai viņa pārstāvis var dot piekrišanu PD apstrādei jebkurā formā, kas ļauj apstiprināt tā saņemšanas faktu, ja vien federālā likumā nav noteikts citādi.

8.3. Ja tiek saņemta piekrišana personas datu apstrādei no personas datu subjekta pārstāvja, šā pārstāvja pilnvaras sniegt piekrišanu personas datu subjekta vārdā pārbauda Nodarbinātības centrs.

8.4. PD subjekts var atsaukt piekrišanu PD apstrādei. Ja PDN subjektam tiek atsaukta PD piekrišana PD apstrādei, Nodarbinātības centram ir tiesības turpināt personas datu apstrādi bez PD subjekta piekrišanas, ja ir iemesli, kas noteikti Federālā likuma „Par personas datiem” 6.panta pirmās daļas 2. – 11. Punktā, 10.panta otrajā daļā un 11.panta otrajā daļā. ".

8.5. Federālā likumā paredzētajos gadījumos PD apstrāde tiek veikta tikai ar PD subjekta rakstisku piekrišanu. Piekrišana rakstiskā veidā tiek atzīta par līdzvērtīgu elektroniskajam dokumentam, kas parakstīts ar elektronisko likumu, kas parakstīts saskaņā ar federālo likumu.

8.6. Personas datus Nodarbinātības centrs var iegūt no personas, kas nav personas datu subjekts, ar nosacījumu, ka Nodarbinātības centrs apstiprina Federālā likuma „Par personas datiem” 6. panta 1. daļas 2. punkta, 10. panta 2. daļas un 11. panta 2. punkta 2. – 11. ".

9. PERSONAS DATU SUBJEKTU TIESĪBU ĪSTENOŠANA

9.1. Apstrādājot PD, Nodarbinātības centrs nodrošina nepieciešamos nosacījumus, lai PD varētu brīvi izmantot savas tiesības.

9.2. PD subjektam ir tiesības piekļūt saviem personas datiem.

9.3. PD objektam ir tiesības saņemt informāciju par personas datu apstrādi, kas ietver: Nodarbinātības centra PD apstrādes fakta apstiprinājumu; PD apstrādes juridiskie pamatojumi un mērķi; Nodarbinātības centra piemērotie PD apstrādes mērķi un metodes; Nodarbinātības centra nosaukums un atrašanās vieta, informācija par indivīdiem (izņemot Nodarbinātības centra darbiniekus), kuriem ir piekļuve personas datiem vai kuri var izpaust personas datus, pamatojoties uz vienošanos ar Nodarbinātības centru vai pamatojoties uz federālo likumu; PD, kurus apstrādā attiecīgais PD objekts, to saņemšanas avots, ja vien federālā likumā nav paredzēta cita šādu datu iesniegšanas kārtība; PD apstrādes laiks, ieskaitot glabāšanas laiku; kārtību, kādā tiek izmantots tiesību subjekta PDN tiesību akts, kas paredzēts Federālajā likumā “Par personas datiem”; informāciju par pabeigtu vai plānotu pārrobežu datu pārsūtīšanu; personas, kas veic PDN apstrādi Nodarbinātības centra vārdā, vārds vai uzvārds, vārds, patronīms un adrese, ja apstrāde ir uzticēta šai personai vai tiks uzticēta tai; cita informācija, ko paredz federālie likumi.

9.4. PD tiesības uz piekļuvi viņa personas datiem var tikt ierobežotas federālajos tiesību aktos skaidri paredzētajos gadījumos.

9.5. PD subjektam ir tiesības aizstāvēt savas tiesības un likumīgās intereses, tostarp atlīdzināt zaudējumus un (vai) atlīdzināt morālo kaitējumu tiesā.

9.6. Ja PD priekšmets uzskata, ka Nodarbinātības centrs apstrādā PD, pārkāpjot Federālā likuma „Par personas datiem” prasības vai citādi pārkāpj tās tiesības un brīvības, PD subjektam ir tiesības pārsūdzēt Nodarbinātības centra darbības vai bezdarbību pilnvarotajai iestādei, lai aizsargātu PD objektu tiesības vai tiesas rīkojums.

10. INFORMĀCIJA PAR Nodarbinātības centra īstenotajiem pasākumiem

MĒRĶIS NODROŠINĀT ATBILDĪBA, KAS SAISTĪTAS AR PERSONAS DATU APSTRĀDI t

10.1. Nodarbinātības centrs, apstrādājot PD, pilda savus pienākumus kā PD operators, kas paredzēts Federālajā likumā „Par personas datiem”.

10.2. Nodarbinātības centrs veic nepieciešamos un pietiekamos pasākumus, lai nodrošinātu šajā Federālajā likumā un saskaņā ar to pieņemtajos normatīvajos aktos paredzēto pienākumu izpildi.

10.3. Nodarbinātības centrs patstāvīgi nosaka nepieciešamo un nepieciešamo pasākumu sastāvu un sarakstu, lai nodrošinātu šajā Federālajā likumā un saskaņā ar to pieņemtajos normatīvajos aktos paredzēto pienākumu izpildi, ja vien federālie likumi nenosaka citādi.

10.4. Nodarbinātības centrs nodrošina neierobežotu piekļuvi šim dokumentam (Politikai), informācijai par aktuālajām PD aizsardzības prasībām, publicējot Amūras reģiona nodarbinātības departamenta oficiālajā tīmekļa vietnē http: // zanamur. ru, Svobodny pilsētas centrālās slimnīcas Amūras reģiona GKU vietnē http://svobzan.amur.ru.

11. INFORMĀCIJA PAR PERSONAS DATU AIZSARDZĪBAS NODARBINĀTĪBAS CENTRU ĪSTENOŠANU PĀRSTRĀDEI

11.1. Nodarbinātības centrs PD apstrādē nodrošina nepieciešamo juridisko, organizatorisko un tehnisko pasākumu pieņemšanu PD aizsardzībai pret nelikumīgu vai nejaušu piekļuvi tiem, iznīcināšanu, modificēšanu, bloķēšanu, kopēšanu, PD, izplatīšanu, kā arī no citām nelikumīgām darbībām saistībā ar PDN.

11.2. Lai aizsargātu personas datus, Nodarbinātības centrs īsteno personas datu aizsardzības prasības, kad tās tiek apstrādātas Krievijas Federācijas valdības izveidotās personas datu informācijas sistēmās.

11.3. Nodrošināt PD drošību nodrošina Nodarbinātības centrs, jo īpaši:

· Personas datu drošības apdraudējumu identificēšana, kad tos apstrādā Nodarbinātības centra ISPDN;

· Organizatorisku un tehnisku pasākumu izmantošana, lai nodrošinātu personas datu drošību, kad tie tiek apstrādāti Nodarbinātības centra ISPDN, kas vajadzīgi, lai izpildītu personas datu aizsardzības prasības, kuru izpildi nodrošina Krievijas Federācijas valdības noteiktais personas datu aizsardzības līmenis;

· Noteiktā veidā pieņemto informācijas drošības pasākumu izmantošana;

· Nodarbinātības centra veikto pasākumu efektivitātes novērtējums, lai nodrošinātu personas datu drošību pirms Nodarbinātības centra ISPDN nodošanas ekspluatācijā;

· Nodarbinātības centra mašīnas operatoru PD ņemšana vērā;

· Faktu atklāšana par neatļautu piekļuvi PDN un rīcība;

· PDN atjaunošana, kas pārveidota vai iznīcināta neatļautas piekļuves dēļ;

· Nodarbinātības centra SPDN apstrādāto PDN piekļuves noteikumu izstrāde, kā arī visu PDN veikto darbību reģistrācija un reģistrēšana ISPDN Nodarbinātības centrā;

· Kontrolēt pasākumus, kas veikti, lai nodrošinātu personas datu drošību un Nodarbinātības centra ISPDN drošības līmeni.

11.4. Informācija par pasākumiem, ko veic Nodarbinātības centrs, lai aizsargātu personas datus, ir ierobežota informācija.

12. Politikas maiņa. Piemērojamie tiesību akti

12.1. Nodarbinātības centram ir tiesības veikt izmaiņas šajā politikā.

12.2. Veicot izmaiņas politikas virsrakstā, ir norādīts pēdējās pārskatīšanas atjaunināšanas datums.

12.3. Politikas jaunā redakcija stājas spēkā no tā publicēšanas brīža Amurskajas apgabala Nodarbinātības departamenta tīmekļa vietnē, ja vien jaunajā politikas versijā nav noteikts citādi.

Personas datu apstrādes veidi

Jautājums-atbilde par šo tēmu

Jautājums

Kas ir saistīts ar personas datu apstrādes metodēm un to, kas ir saistīts ar darbībām ar personas datiem?

Atbilde

Saskaņā ar Roskomnadzor rīkojuma 2011. gada 19. augusta Nr. 706 9. punktu metodes * ietver:

- personas datu automātiska apstrāde;

- vienīgi automatizēta personas datu apstrāde ar vai bez saņemtas informācijas pārsūtīšanas tīklā;

- jaukta personas datu apstrāde (N 4. piezīme).

Un darbībām saskaņā ar Regulas Nr. Federālā likuma Nr. 152-FZ 3. pants par personas datiem ietver: *

- precizējums (atjaunināšana, izmaiņas);

- izplatīšana (ieskaitot pārraidi);

- personas datu iznīcināšana.

Šīs nostājas pamatojums sniegts turpmāk tekstā “Sistēmas advokāts”.

  • 152-ФЗ “PERSONAS DATU” FEDERĀLĀ TIESĪBAS

“Personas datu apstrāde ir jebkura darbība (darbība) vai darbību kopums (operācijas) *, ko veic, izmantojot automatizācijas rīkus vai neizmantojot šādus līdzekļus ar personas datiem, tostarp vākšanu, reģistrēšanu, sistematizāciju, uzkrāšanu, uzglabāšanu, pilnveidošanu (atjaunināšana, maiņa), personas datu iegūšana, izmantošana, pārsūtīšana (izplatīšana, nodrošināšana, piekļuve), personāldarīšana, bloķēšana, dzēšana,

  • ROSKOMNADZORA RĪKOJUMS No 2011. gada 19. augusta Nr. 706

„Laukā“ darbību saraksts ar personas datiem, Operatoru izmantoto metožu vispārīgs apraksts personas datu apstrādei ”* norāda Operatora veiktās darbības ar personas datiem, kā arī aprakstu par metodēm, ko Operators izmantojis personas datu apstrādei:

- personas datu automātiska apstrāde;
- vienīgi automatizēta personas datu apstrāde ar vai bez saņemtas informācijas pārsūtīšanas tīklā;

- jaukta personas datu apstrāde (N 4. piezīme) N piezīme 4. Automatizētā personas datu apstrādē vai jauktajā apstrādē jānorāda, vai personas datu apstrādes laikā iegūtā informācija tiek pārsūtīta juridiskās personas iekšējā tīklā (informācija ir pieejama tikai labi definētiem juridiskās personas darbiniekiem). ) vai informācija tiek pārsūtīta, izmantojot publisko internetu vai nesniedzot saņemto informāciju. ”

* Tā izcelta materiāla daļa, kas palīdzēs jums izdarīt pareizo lēmumu.

Likbez par personas datiem uzņēmumiem, kas tos apstrādā

Noteikumi, nianses un biežas maldi - uzņēmuma "Onlanta" drošības dienesta ekspertu materiālā (iekļauti uzņēmumu grupā LANIT).

Mēs saprotam juridisko terminoloģiju un tās nianses, par kurām jūs varat būt tiesā.

Izskaidrojiet cilvēka valodas terminus

Galvenais likums, kas regulē attiecības ar personas datu apstrādi, ir 2006. gada 27. jūlija Federālais likums Nr. 152-ФЗ “Par personas datiem”.

Pirmais termins, kas jāsaprot, ir personas dati.

Kas ir personas dati

Šī ir jebkura informācija, ko var izmantot personas identificēšanai: piemēram, pilns vārds, dzimšanas datums, izglītība, ienākumi un pat ģimenes stāvoklis. Jūs jautājat: "Un kas, mana uzvārds, drukāts uz vizītkartes, ir arī personas dati?"

Atbilde: "Jā." Saskaņā ar likumu nav svarīgi, vai vizītkartē vai kombinācijā, piemēram, ar tālruņa numuru un adresi, tiek izdrukāts tikai jūsu uzvārds. Gan pirmais, gan otrais un trešais - personas dati. Tiešām, uz vizītkartēm vai meiteņu tālruņu numuriem tālruņu katalogā nebūs jāatbild ar likumu, bet vairāk par to.

Iet uz priekšu. Mediji pastāvīgi raksta "personas datu glabāšanu". Pareizi runājot, tas nav uzglabāšana, bet personas datu apstrāde. Kāda ir atšķirība? Uzglabāšana ir tikai daļa no tā, ko sauc par personas datu apstrādi. Jebkuras darbības, ko veicat ar personas datiem (vākt, uzkrāt, uzglabāt, nodot, mainīt), saskaņā ar likumu ir noteiktas kā “personas datu apstrāde”.

Ir svarīgi saprast, ka likums nodala divus personas datu subjektus: operatoru un apstrādātāju. Operators veic personas datu apstrādi, kā arī nosaka to apstrādes mērķi, apstrādājamo personas datu sastāvu, ar personas datiem veiktās darbības (operācijas).

Apstrādātājs ir kāds, kas veic jebkādas darbības ar personas datiem: vāc, uzglabā, organizē, uzkrāj, atjaunina, atjaunina, dzēš, depersonalizē utt.

Faktiski apstrādātājs nav tikai gala lietotājs, kam ir vajadzīgi personas dati darbam, bet arī jebkuram starpniekam, kura rokās šie personas dati ir nodoti. Rādīt praksē.

Problēma

Interneta veikalā ir klientu datu bāze, kas atrodas trešās puses uzņēmuma "mākonis". Ar šo bāzi darbojas mārketinga aģentūra. Jautājums: Cik daudz personas datu operatoru mums ir?

Pareizā atbilde ir viena. Tas ir tiešsaistes veikals, kas nosaka personas datu apstrādes mērķus. Otrs jautājums ir: cik daudz personas datu apstrādātāju mums ir? Pareizā atbilde ir divas.

  1. Uzņēmums, kas savā mākonī ir tiešsaistes veikalu datu bāze.
  2. Mārketinga aģentūra, kas iegūst datus un, pamatojoties uz šiem datiem, var sagatavot reklāmas piedāvājumu.

Personas datus apstrādā daudzās dažādās iestādēs: piemēram, bankās, skolās, klīnikās, vīzu centros. Nemaz nerunājot par tīmekļa lapām, kurās mēs reģistrējamies, atstājot mūsu e-pasta adreses un tālruņu numurus. Bet kā un kur tieši?

Nuance

Likumā ir tik neskaidrs termins kā “personas datu informācijas sistēma”. Ja jūs mēģināt izskaidrot vienkāršus terminus - tas ir vesels komplekss, kas sastāv no datu bāzes serveriem, tehniskiem līdzekļiem to apstrādes nodrošināšanai un informācijas tehnoloģiju. Saskaņā ar likumu jebkura personas datu informācijas sistēma ir jāaizsargā.

Informācijas aizsardzības metodes ir atšķirīgas.

  • Fiziska: piemēram, telpā, kur atrodas datori, var uzstādīt kameras, piekļuves kontroli, signalizācijas sistēmas.
  • Tehniski - izmantojot specializētus informācijas aizsardzības līdzekļus.
  • Administratīvie: visi noteikumi un noteikumi, kas reglamentē personas datu apstrādi uzņēmumā.

Piemērs

Viens no informācijas aizsardzības līdzekļiem ir personas datu personalizācija. Kas tas ir? Vīzu centrā katrai vīzas pieprasītājai personai tiek piešķirts atsevišķs identifikācijas numurs. Numurs pats par sevi neattiecas uz personas datiem, jo ​​tas personiski nemodificē: nav iespējams identificēt personu, kas pieprasījusi vīzu.

Man šķiet, ka apstrādāju personas datus.

Tātad, ar terminoloģiju sakārtoti. Tagad visiem biznesa pārstāvjiem, jo ​​īpaši individuāliem uzņēmējiem, kuriem personālam ir tikai daži darbinieki, godīgi jāatbild uz jautājumu: „Vai es apstrādāju personas datus?”

Jā, ja esat vietnes īpašnieks, kuram nedēļā ir pieci cilvēki, bet tai ir atgriezeniskā saite ar laukiem "vārds, e-pasta adrese, tālruņa numurs". Informācija par mērķiem, kādiem jūs vācat personas datus, kā to lietojat, jāiesniedz jūsu tīmekļa vietnē.

Jā, ja jūs apstrādājat savu darbinieku vai trešo personu speciālistu personas datus, kas pieņemti darbā.

Jā, ja jūs strādājat ar privātiem klientiem un jums ir nepieciešami pasu dati līgumu noslēgšanai - tas attiecas uz ceļojumu aģentūrām, fitnesa centriem, dažādiem pakalpojumu uzņēmumiem, tiešsaistes veikaliem un citiem.

Un atkal, jā, ja esat budžeta organizācija, politiskā partija vai bērnudārzs. Pēdējam ir ne tikai informācija par bērnu, bet arī par saviem vecākiem, tostarp darba vietu un amatu. Nemaz nerunājot par medicīnas iestādēm - ir jūtama personīga sensitīva informācija, kas ir droši jāglabā.

Tomēr, ja lietojat datus personiskai saziņai bez komerciāla labuma, tad likumdošanas prasības uz jums neattiecas un nav nekādas kriminālatbildības.

Piemēram, kontaktpersonas, kas izdrukātas uz vizītkartes, ko saņēmāt no kolēģa, vai tālruņu numurus piezīmjdatorā viedtālrunī, informācija par sociālajiem tīkliem neuzliek jums atbildību likuma priekšā.

Galvenais nav izpaust datus reklāmdevējiem un nepublicēt tos bez publisko domēnu personas īpašnieku atļaujas.

Nosakiet personas datu kategoriju

Apsveicam, jūs esat titula „personas datu operators” lepns īpašnieks. Tagad vissvarīgākais ir saprast, kādi personas dati tiek apstrādāti. Tā kā tas ir atkarīgs no personas datu kategorijas, kā aizsargāt datus un kādas prasības ir jāievēro. Kategorijas ir sīki aprakstītas Federālajā likumā Nr. 152 un valdības 2012. gada 1. novembra lēmumā N 1119.

Personas datu kategorijas vienkāršos vārdos:

Vispārēji pieejami personas dati: dati no atklātajiem resursiem, kurus publicē personas datu subjekts vai ar to apstiprināts. Publiski pieejami dati ir mediju vai interneta dati.

Piemērs: informācija, kas ievietota atklātā piekļuvē sociālajos tīklos vai uzņēmumu tīmekļa vietnē. Tālruņa numurs un ģimenes statuss, kas publicēts sabiedrībai Facebook. Darbinieka vārds un amats darba devēja tīmekļa vietnē.

Biometriskie personas dati: šajā kategorijā ietilpst visi dati par cilvēku fizioloģiskajām un bioloģiskajām īpašībām.

Piemērs: svars, augstums, acs vai matu krāsa, matu garums, asinsgrupa, foto.

Speciālās kategorijas personas dati: tas ietver informāciju par piederību jebkurai rasei un tautai, politiskiem uzskatiem, reliģiskiem un filozofiskiem pārliecinājumiem, veselības stāvokli vai intīmu dzīvi.

Piemērs: medicīniskā diagnoze (informācija par to, ko esat slims, kad, ko ārsts ārstēja).

Citu veidu personas dati - tas ietver personas datus, kas nav iekļauti iepriekšminētajās kategorijās.

Piemērs: korporatīvā informācija. Grāmatvedības kartes darbiniekiem, kas satur informāciju, ar kādu personāla un grāmatvedības darbu: algas, atvaļinājuma periodi, nodarbinātības datumi.

Bīstamības kategorija, skaits, veidu veids - aizsardzības līmenis

Kad esat nolēmis par personas datu kategoriju, jums ir jāsaprot precīzs apstrādājamo datu apjoms: līdz 100 tūkstošiem vai vairāk nekā 100 tūkstošiem.

Noskaidroja kategoriju un daudzumu, nosaka apdraudējuma veidu:

Apdraudējumu skaits 1. "Caurumi" un operētājsistēmas ievainojamība. Piemērs: ievainojamība, ko hakeri izmanto, lai infiltrētu operētājsistēmu, lai nozagtu informāciju.

Draudi Nr. "Caurumi" un ievainojamības lietojumprogrammatūrā, tas ir, jūsu ikdienas darbā izmantotajā programmatūrā. Piemērs: Word, Excel.

Apdraudējumu skaits 3. Visi pārējie draudi, kas nav uzskaitīti pirmajos divos veidos. Pirmkārt, cilvēka faktors. Darbinieks var atstāt dokumentu atvērtu atbloķētam datoram, nosūtīt dokumentu, lai drukātu kādu citu printeri, vai pa e-pastu.

Personas datu, kategoriju, draudu veidu kopums ļauj jums noteikt, kāda līmeņa aizsardzība ir nepieciešama jūsu informācijas sistēmai. Šobrīd ir četri aizsardzības līmeņi.

Pirmo un augstāko aizsardzības līmeni visbiežāk izmanto personas datu apstrādei valsts aģentūrās un medicīnas iestādēs. Ceturtais aizsardzības līmenis ir visvieglāk nodrošināt, reizēm pietiek ar organizatoriski regulējošu pasākumu veikšanu, galvenokārt tas attiecas uz publiski pieejamo datu aizsardzību.

Jūs varat noteikt aizsardzības līmeni, izmantojot šo tabulu.

Piemērs

Slimnīca apstrādā pacientu personas datus - tas ir īpašas kategorijas personas dati. Tas arī apstrādā darbinieku personas datus - tas ir citas kategorijas personas dati. Visticamāk, ka slimnīcā ir divas datu bāzes. Ja pievienojat abas datubāzes, saņemsiet kopējo personas datu apjomu, kas vēršas šīs slimnīcas informācijas sistēmā.

Piemēram, visi no tiem - līdz 100 tūkst. Tālāk aplūkosim, kā dati tiek apstrādāti: automatizēti (datorā) vai nav automatizēti (manuālā failu skapī). Ja viss ir automatizēts, mēs skatāmies, kāda programmatūra izmanto slimnīcu, kādas ir tās ievainojamības.

Pamatojoties uz to, tiek identificēti draudi un to līmenis. Mēs pievienojam visus faktorus un iegūstam otrā līmeņa aizsardzības klasi. Mēs skatāmies, kādas ir likumā noteiktās prasības otrajam drošības līmenim. Pamatojoties uz šīm prasībām, būs nepieciešams izveidot informācijas sistēmas aizsardzību, lai izpildītu Federālā likuma prasības.

Nedaudz par personas datu noplūdes risku

Kāpēc vispār apgrūtināt personas datu aizsardzību? Personas dati ir dārgs postenis melnajā tirgū. Scammers ir gatavi maksāt iespaidīgas summas profilam, kurā ir pilnīga informācija par personas medicīnisko ierakstu. Atsevišķs tirgus - bankas karšu datu pārdošana; kontus sociālajos tīklos.

Personas datu noplūdes sekas ir atšķirīgas. Dati var būt publiski pieejami internetā: piemēram, jūs varat viegli atrast nozagtās datubāzes ar uzņēmumu klientiem adresēm un tālruņu numuriem tīklā. Zinot vārdu un uzvārdu, ikviens var uzzināt personas mājas adresi, nokļūt sociālajā tīklā, apskatīt profilu vai vienkārši uzrakstīt SMS uz mobilo tālruni.

Personas dati var iekļūt dažu komerciālu organizāciju nepatīkamu sūtījumu datubāzē, tad viņu īpašnieks būs pārsteigts par nevēlamiem pakalpojumu piedāvājumiem. Tos var izmantot arī tiešsaistes kazino tiešsaistes scammers vai atvērt elektronisko seifu.

Sliktākajos gadījumos uzbrucējs var uzdoties citai personai un uzņemties kredītu kādam citam vārdam. Visnopietnākās personas datu noplūdes sekas ir šādas: nelikumīgas darbības ar nekustamo īpašumu, naudas zādzība no bankas kartēm, radinieku izspiešana un uzņēmuma reģistrācija.

Atbildības pienākums

Vai jūs saprotat jautājuma svarīgumu un esat gatavs uzņemties atbildību? Tas ir labi. Tā kā atbildība par personas datu drošību ir pilnībā atkarīga no operatora.

Tas nozīmē, ka operatoram ir jārūpējas par to, lai informācija netiktu publiski pieejama vai neietilpst to trešo personu rokās, kurām nav tiesību uz to. Tas prasa pastāvīgu datu drošības draudu uzraudzību un novēršanu, informācijas drošības līmeņa kontroli un atjaunošanu zaudējumu gadījumā.

Mūsu valstī Roskomnadzor uzrauga atbilstību tiesību aktiem personas datu apstrādes jomā. Šī iestāde reaģē uz sūdzībām, regulē attiecības starp subjektiem un operatoriem.

Par informācijas aizsardzības tehniskajām prasībām atbild FSTEC un FSB: tās izstrādā prasības un kontrolē to izpildi.

Prasības personas datu apstrādei

Un tagad ir pienācis laiks izpētīt tabulas ar prasībām par personas datu tehnisko aizsardzību. Sīkāka informācija atrodama Federālā tehniskā un eksporta kontroles dienesta rīkojumā 2013. gada 18. februārī N 21.

Bet vismaz jāsāk ar šo:

  1. Reģistrējieties ar Roskomnadzor kā personas datu operatoru. Nepieciešams pieteikties uz Roskomnadzor papīra vai elektroniskā formā. Informācija par saiti.
  2. Saņemiet rakstisku piekrišanu no visām vienībām, kuru personas dati tiek apstrādāti. Piekrišana personas datu apstrādei ir galvenais juridiskais dokuments, kas apliecina personas datu apstrādes likumību.
  3. Izstrādāt iekšējo dokumentāciju. Nodošana ekspluatācijā ar organizācijas "Noteikumi par personas datu apstrādi" vadītāja rīkojumu. Šajā dokumentā operators izskaidro, kā viņš plāno izmantot personas datus, par to, kur un kur tie tiks nodoti. Šis ir būtisks dokuments, ko pieprasa jebkurš personas datu operators. Pamatojoties uz to, tiek izstrādāti visi pārējie administratīvie dokumenti.

Daudzi vietņu īpašnieki domā, ka, ja apmeklētājs noklikšķina uz pogas “Es piekrītu personas datu apstrādei”, nebūs juridisku problēmu, un datu apstrāde automātiski iekļausies juridiskajā jomā. Tas nav.

No juridiskā viedokļa ir tikai divi veidi, kā apstiprināt savu piekrišanu personas datu apstrādei: nodot parakstu uz papīra vai izmantojot elektronisko elektronisko parakstu.

Visos citos gadījumos, ja lieta tiek nodota tiesai, vietnes īpašnieks nevarēs apstiprināt, kurš tieši nospiež pogu "Es piekrītu". Var tikai cerēt, ka tēma, kas ieradās jūsu vietnē, brīvprātīgi pārsūta savus datus un nesniedz sūdzību.

Vai tiešām ir pārbaude?

Jā, pārbaudes var būt no Roskomnadzor.

Roskomnadzor reizi gadā reģistrēto operatoru sarakstā publicē pārbaužu sarakstu, ja uzņēmums ir iekļauts pārbaužu sarakstā, tad nākamā plānotā pārbaude ir iespējama ne agrāk kā pēc trim gadiem. Jūs varat redzēt, vai jūsu uzņēmums šogad atrodas sarakstā.

Pārbaudes ārpus plāniem parasti izraisa sūdzības. Ja čeks ir neplānots, jums par to jābrīdina rakstiski 24 stundu laikā.

Var būt arī dokumentu pārbaudes. Dokumentējot jūs nosūtīsiet to dokumentu sarakstu, kuru kopijas būs jānosūta Roskomnadzor.

Dažreiz Roskomnadzor veic pārbaudes uz vietas: inspektori personīgi apmeklē apmeklējumus, lai pārbaudītu uzņēmumu uz vietas.

Sagatavošanās jebkurai no šīm pārbaudēm ir laikietilpīgs uzdevums. Vai jūs paši atrisināsiet uzdevumu sagatavoties pārbaudei, vai arī piesaistīsit ārējus speciālistus, vispirms jums ir jānoskaidro, kurš uzņēmumā būs atbildīgs par FZ-152 ievērošanu.

Naudas sodi, tiesas un citas šausmas

Par 152-FZ pārkāpumiem tiek nodrošināta civiltiesiskā, krimināltiesiskā, administratīvā un disciplinārā atbildība.

Tātad, Roskomnadzor veica pārbaudi, ja konstatēja pretrunas ar likumu, viņš izdos rīkojumu izmeklēšanas komitejai veikt tiesas procesu par likuma „Par personas datiem” pārkāpumu.

Pēc tam prokuratūra sāks pārbaudi, kuras laikā tā var apturēt uzņēmuma darbību: izņemt uzņēmuma datubāzi, jo īpaši datorus, kuros personas dati tika apstrādāti.

Likuma pārkāpēji galvenokārt gaida naudas sodu. Sodanaudas apmērs ir atkarīgs no pārkāpuma. Tādējādi personas datu apstrādei bez juridisku personu rakstiskas atļaujas būs jāuzņemas administratīva atbildība.

Pat tad, ja operators ir gatavs maksāt naudas sodu, bet pēc lielo uzņēmumu standartiem, tas nešķiet milzīgs, likumpārkāpējam joprojām būs jānovērš pretruna likuma priekšā (piemēram, izdzēsiet saglabātos datus) un jāpaziņo Roskomnadzor.

Sliktākais scenārijs ir, ja Roskomnadzor nolemj atsaukt uzņēmuma licenci, aizliegt uzņēmumam apstrādāt personas datus un nelikumīgi publicēt personas datus par pilsoņiem.

Pēdējos gados visskaļākais skandāls Krievijā bija saistīts ar LinkedIn bloķēšanu, kura īpašnieki tika apsūdzēti par personas datu apstrādi bez viņu piekrišanas serveros ārpus Krievijas Federācijas. Pakalpojuma „autonum.info” bloķēšana tika veikta arī „trokšņos”.

Cik tas man maksās naudu un spēku

Jūs varat organizēt personas datu apstrādi neatkarīgi vai ar uzņēmuma palīdzību, kas sniedz šādu pakalpojumu.

Ja jūs nolemjat apstrādāt personas datus, jums būs nepieciešams:

  1. Saprast, kāda veida personas dati tiek apstrādāti un kādas ir to aizsardzības tehniskās prasības.
  2. Izstrādājot tehniskus risinājumus, sagatavojot nepieciešamo iekārtu un programmatūras iegādi, instalējiet to un ieviešot to, izmantojot IT uzņēmumu.
  3. Izsniedziet visus juridiskos dokumentus. Izstrādāt iekšējo dokumentu kopumu: instrukcijas un noteikumus.

Labākajā gadījumā tas prasīs trīs līdz četrus mēnešus pēc šādas īstenošanas izmaksām, tas var būt 200-300 tūkstoši rubļu - tas ir aprīkojuma un licenču iegādes izmaksas. Darbaspēka izmaksas un turpmāks informācijas sistēmas atbalsts ir atsevišķs izdevumu postenis. Jums būs vajadzīgs arī administrators, kurš uzraudzīs sistēmas darbību.

Runājot objektīvi, ļoti mazi uzņēmumi vienkārši neatbilst visām likuma prasībām, cerot, ka netiks veikta pārbaude. Varbūt tas tiešām nebūs. Citi uzņēmumi “Potemkin ciemus” izveido tikai izliekoties apstrādāt personas datus saskaņā ar likuma prasībām, citiem vārdiem sakot, viņi „pērk” nepieciešamos dokumentus.

Nākamajā rakstā mēs parādīsim, kā aprēķināt personas datu apstrādes izmaksas uzņēmumā, un pastāstīsim, kad ir izdevīgāk veikt personas datu apstrādi un kad tas ir labāk noguldīt mākonī.

Materiālu publicē lietotājs. Noklikšķiniet uz pogas "Rakstīt", lai dalītos ar savu viedokli vai runātu par savu projektu.

Personas datu likums: ietekme uz biroja darbu

  • Khramtsovskaya Natalia | Vēsturisko zinātņu kandidāts, vadošais eksperts dokumentu pārvaldībā EOS uzņēmumā, ISO eksperts, Starptautiskās arhīvu padomes loceklis

Meklējat cēloni

Krievijas Federācijas Federālais likums Nr. 152-ФЗ “Par personas datiem” tika pieņemts 2006. gada 27. jūlijā, un, ņemot vērā citus pagājušā gada nenokārtotos notikumus, gandrīz nepamanīja. Formāls iemesls tās pieņemšanai bija daudzie fakti par personas datu bāzu zādzību valsts un komerciālajās struktūrās un to plašu pārdošanu. Patiesībā šā likuma pieņemšanas galvenais mērķis bija novērst dažus šķēršļus tirdzniecībai ar Eiropas Savienības valstīm.

Francija aizliedza publicēt faktus par privātumu un uzlikt sodus pārkāpējiem 1858. Gadā.

Norvēģijas Kriminālkodekss aizliedza publicēt informāciju par "personiskajām vai privātajām lietām" 1889. gadā.

Valsts likums “Par personas datiem”, kas datēts ar 2006. gada 27. jūliju Nr. 152-FZ, sāka savu darbību šā gada 26. janvārī (saskaņā ar 25.panta 1.daļu likums stājas spēkā 180 dienas pēc oficiālās publikācijas, kas notika 2006. gada 29. jūlijā. "Rossiyskaya Gazeta").

Saskaņā ar ES Direktīvu 95/46 / EK personas datus var nodot tikai tām valstīm, kas nodrošina tādu pašu aizsardzības līmeni kā Eiropā. Tas ievērojami apgrūtināja informācijas apmaiņu no Eiropas valdības aģentūrām un uzņēmumiem ar saviem ārvalstu partneriem, padarot to neiespējamu daudziem komerciāli perspektīviem projektiem. Šādus ierobežojumus piedzīvoja ne tikai Krievija un trešās pasaules valstis, bet arī tāds ekonomikas monstrs kā ASV. Tātad, mūsu valdība nolēma pārvarēt šo šķērsli. Let's redzēt, kā viņš to darīja un ko tas mums izmaksās.

Krievijas likuma par personas datiem pieņemšana bija Krievijas Federācijas pievienošanās 1981. gada Eiropas konvencijai „Par personas aizsardzību saistībā ar personas datu automātisku apstrādi”, kas nosaka personas datu aizsardzības pamatprincipus Eiropas valstīs. Šajā konvencijā un turpmākajās Eiropas Savienības direktīvās izklāstīti uzdevumi, kas valsts tiesību aktiem būtu jārisina, reglamentējot personas datus:

  • personas datu aizsardzība no nesankcionētas piekļuves citām personām, tostarp to valsts iestāžu un dienestu pārstāvjiem, kuriem nav vajadzīgās pilnvaras;
  • datu drošības, integritātes un uzticamības nodrošināšana, strādājot ar tiem, tostarp pārraide ar sakaru kanāliem;
  • nodrošinot šo datu pareizu tiesisko režīmu, strādājot ar tiem dažādām personas datu kategorijām;
  • nodrošināt personas datu kontroles kontroli;
  • izveidot īpašu neatkarīgu struktūru, kas nodrošina efektīvu kontroli pār pilsoņa tiesību ievērošanu, lai aizsargātu savus personas datus (piemēram, izveidotu personas datu aizsardzības komisāra amatu).

Mūsu likums lielā mērā atkārto galvenos Eiropas tiesību aktu noteikumus šajā jomā, kas tiek uzskatīta par vienu no visgrūtākajiem 2 pasaulē. Lai gan 2006. gadā likums tika runāts diezgan bieži, taču tikai daži cilvēki rūpīgi izlasīja tās noteikumu saturu. Bet, lai nodrošinātu atbilstību prasībām, ir būtiski būtiski jāmaina darbs ar informāciju un dokumentāciju, kas satur personas datus. Mēģināsim noskaidrot, kas ir jauns dokumentu un informācijas pārvaldības jomā?

  • Visās organizācijās ir jauns, diezgan apjomīgs dokumentācijas slānis. Tie ir dokumenti, kas saistīti ar personu piekrišanas iegūšanu viņu personas datu apstrādei, reģistrējot datubāzes ar pilnvaroto iestādi, dokumentējot visus darījumus ar personas datiem utt.
  • Ir nepieciešams izcelt dokumentus un informāciju, kas satur personas datus; to īpašo marķējumu gan papīra, gan elektroniskajos medijos; atsevišķa grāmatvedība un piekļuves izsekošana. Jūs varat runāt par cita veida kakla piekļuves dokumentiem izskatu.
  • Būtiski mainīga pieeja dokumentu un informācijas saglabāšanai. Pirmo reizi iekšzemes praksē tiek noteikts maksimālais uzglabāšanas laiks un nosacītais periods, kas būs diezgan grūti novērot un izsekot.
  • Strādājot ar personas datiem, ir skaidri jādomā iepriekš un jāreģistrē to normatīvajos dokumentos, kas ir saistīti ar to apstrādi. Pretējā gadījumā organizācija var tikt saukta pie atbildības, un vēl nepatīkamāk, no pašu personas datu subjektiem var būt vairākas tiesas prāvas 3.
  • Likums ievieš ļoti stingrus termiņus visu pilsoņu apelāciju izpildei saistībā ar personas datu apstrādi.

Tagad padziļināsimies par svarīgākajiem likuma noteikumiem un novērtēsim, kādām organizācijām un iestādēm būs jāapņemas to īstenot. Turklāt mēs centīsimies analizēt dažus likuma noteikumus attiecībā uz to formulējuma pareizību un skaidrību.

Likuma darbības joma

Pirmais jautājums: kam šis likums ir piemērojams? Atbildot uz to, mēs varam droši teikt, ka tas attiecas uz visiem bez izņēmuma (valsts iestādēm, juridiskām personām un privātpersonām). Šeit ir saraksts ar 1. pantu:

  • federālās valdības iestādes
  • Krievijas Federācijas struktūrvienību valsts iestādes, t
  • citām valsts iestādēm
  • pašvaldības,
  • pašvaldības iestādes, t
  • juridiskām personām
  • indivīdiem.

Otrs svarīgais jautājums ir likuma darbības joma.

Krievijas Federācijas 2006. gada 27. jūlija Federālā likuma “Par personas datiem” 1. pants

Šis Federālais likums regulē attiecības, kas saistītas ar personas datu apstrādi... izmantojot automatizācijas rīkus vai neizmantojot šos līdzekļus, ja personas datu apstrāde, neizmantojot šos līdzekļus, atbilst to darbību (operāciju) būtībai, kas ar personas datiem veiktas, izmantojot automatizācijas līdzekļus.

Šī panta formulējums ir piemērs tam, kā nerakstīt likumus. Izrādījās kaut kas nesaprotams, ļaujot dažādām interpretācijām. Kā, pamatojoties uz šādu tekstu, atbildēt, piemēram, jautājums par to, vai dati, kas iekļauti brīvā formā biznesa piezīmju grāmatiņā, ietilpst likuma darbības jomā? Ja šāda piezīmju grāmatiņa tiek glabāta datorā vai mobilajā tālrunī, vai tā tiek uzskatīta par „automatizācijas iekārtu izmantošanu”?

Eiropas tiesību akti šajā sakarā ir skaidrāki:

ES Direktīva 95/46 / EK 1995

2. pants "Definīcijas":

c) „personas datu glabāšanas sistēma” 4 (“uzglabāšanas sistēma”) ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar noteiktiem kritērijiem, neatkarīgi no tā, kā datu kopa ir organizēta, centralizēta, decentralizēta vai izplatīta funkcionāli vai ģeogrāfiski...

3. pants "Darbības joma":

1. Šī direktīva attiecas uz personas datu apstrādi, izmantojot automātiskus līdzekļus (pilnīgi vai daļēji), kā arī uz apstrādi, kas nav automātiska, personas dati, sastāvdaļas vai kas ir paredzēti glabāšanas sistēmu daļai.

Mūsdienu datoru terminoloģijā „strukturēti dati” nozīmē, pirmkārt, datubāzes. Papīra darbos tie ietver karšu failus un personisko failu arhīvus. Tāpēc Eiropas prasības ietver:

  • personas datu automātisku apstrādi un. t
  • lietošanai (automātiskā vai citā režīmā), kas satur papīra un elektronisko datu bāzu, karšu failu utt. personas datus, kuriem ir meklēšanas mehānisms, kas ļauj viegli iegūt informāciju par konkrētu personu.

Kāpēc nebija iespējams rakstīt krievu valodā un mūsu likumā joprojām ir nesaprotams?

Jāpievērš uzmanība terminoloģijas atšķirībai: „automātiska apstrāde” ir viena lieta, un “automatizācijas iekārtu izmantošana” ir pilnīgi atšķirīga koncepcija, kas ir daudz plašāka un neskaidra.

Likums paredz tikai četrus izņēmumus, proti, likums neattiecas uz attiecībām, kas rodas:

  • apstrādājot personas datus personiskām un ģimenes vajadzībām;
  • apstrādājot personas datus Krievijas Federācijas Arhīva fonda dokumentos;
  • apstrādājot personas datus iekļaušanai Vienotajā valsts uzņēmumu reģistrā (EGRIP);
  • apstrādājot personas datus, kas klasificēti kā valsts noslēpumi.

Viens no šiem punktiem prasa detalizētāku izpēti. Lai sāktu, mēs citējam likumu:

Krievijas Federācijas 2006. gada 27. jūlija Federālā likuma “Par personas datiem” 1. pants

2. Šis federālais likums neattiecas uz attiecībām, kas izriet no:

2) Krievijas Federācijas Arhīva fonda dokumentu un citu arhīvu dokumentu uzglabāšanas, iegādes, uzskaites un izmantošanas organizēšanu, kas satur personas datus saskaņā ar Krievijas Federācijas tiesību aktiem par arhīviem.

Mēs atgādinām jums par divām definīcijām, kas ietvertas likumā „Par arhīvu lietām Krievijas Federācijā” Nr. 125-ФЗ, datēts ar 2005. gada 10. februāri:

  • arhīva dokuments - materiāls informācijas nesējs ar tajā ierakstīto informāciju, kurai ir detaļas, kas ļauj to identificēt, un ir uzglabājams, ņemot vērā norādītā pārvadātāja nozīmi un informāciju iedzīvotājiem, sabiedrībai un valstij;
  • Krievijas Federācijas arhīva fonda dokuments ir arhīva dokuments, kas ir nokārtojis dokumentu vērtības pārbaudi, tiek likts uz valsts uzskaiti un ir pastāvīgi uzglabāts.
    Izrādās, ka, ja dokumentam vai datubāzei ir noteikts pastāvīgs glabāšanas laiks un tie ir iekļauti Krievijas Federācijas Arhīvu fondā, tad šis likums uz tiem neattiecas. Šī kļūda ļauj valsts aģentūrām izveidot nopietnu datu bāzi, lai izvairītos no jaunā likuma par personas datiem ieviešanas.

Šeit ir piemērs tam, kā to izdarīt. Saskaņā ar Federālo likumu “Par arhīvu lietām Krievijas Federācijā” (18. panta 2. daļa) Krievijas Federācijas valdība apstiprina federālo izpildinstitūciju un organizāciju sarakstu, kas veic Krievijas Federācijas Arhīva fonda dokumentu, kas atrodas federālajā īpašumā, depozitāriju glabāšanu. 2006. gada beigās tika apstiprināts jauns 5 departamentu un organizāciju saraksts. Tajā pašā laikā šīm organizācijām tika uzdots noslēgt līgumu par dokumentu glabāšanas nosacījumiem ar Rosarkhiv. Ja pēc līguma noslēgšanas ir īpaši noteikts, ka visi dokumenti, izņemot operatīvos, tiek uzskatīti par glabāšanai nodotiem dokumentiem, tad lielāko daļu dokumentu var attiecināt uz šo izņēmumu.

Citās valsts organizācijās viena no iespējām varētu būt ātru gadījumu ierakstu apstiprināšana ar valsts arhīviem, kas faktiski nozīmētu dokumentu iekļaušanu Krievijas Federācijas Arhīvu fondā un atkal atstājot likuma par personas datiem "darbības zonu".

Eiropas Savienības direktīvās nav ietverts šāds izņēmums, tomēr tas pastāv, piemēram, ASV Kodeksā 6, kas satur precīzāku formulējumu, kas nepieļauj neskaidrību: personas datu tiesību akti parasti neattiecas uz dokumentiem, kas jau glabāti valsts arhīvos, bet attiecas uz dokumentiem, ko jebkura aģentūra nodod valsts arhīvam.

Nav arī skaidrs, kāpēc no mūsu daudzajām valsts datu bāzēm mūsu likums ir izņēmums attiecībā uz Vienoto valsts uzņēmumu reģistru (EGRIP). Būtu loģiski, ja izņēmumu attiecinātu arī uz citiem valsts reģistriem, kuros ir arī personas dati (piemēram, Iekļaušana ietver informāciju par visu valsts juridisko personu dibinātājiem un pirmajām personām).

Personas dati un apstrādes metodes

Personas dati - jebkura informācija, kas attiecas uz fizisku personu (personas datu subjektu), kas noteikta vai noteikta, pamatojoties uz šādu informāciju, tostarp viņa uzvārds, vārds, tēvs, dzimšanas gads, mēnesis, dzimšanas datums un vieta, adrese, ģimene, sociālais un īpašuma statuss, izglītība, profesija, ienākumi, cita informācija (saskaņā ar Likuma par personas datiem 3. pantu).

Likums paredz šādas personas datu apstrādes metodes (vairākiem no tiem detalizēti paskaidrojumi sniegti 3. pantā):

  • kolekcija;
  • sistematizācija;
  • uzkrāšanās;
  • uzglabāšana;
  • precizējums (atjaunināšana, izmaiņas);
  • izmantot - “darbības (operācijas) ar personas datiem, ko veic operators 7, lai pieņemtu lēmumus vai veiktu citas darbības, kas rada juridiskas sekas attiecībā uz personas datu vai citu personu priekšmetu, vai kādā citā veidā, kas ietekmē personas datu subjekta vai citu personu tiesības un brīvības”;
  • izplatīšana (ieskaitot nodošanu) - “darbības, kuru mērķis ir personas datu pārsūtīšana uz noteiktu personu loku (personas datu pārsūtīšana) vai neierobežota skaita personu personas datu iepazīšana, tostarp personas datu publiskošana plašsaziņas līdzekļos, izvietošana informācijā un telekomunikācijās tīkliem vai jebkādā citā veidā nodrošināt piekļuvi personas datiem ”;
  • Depersonalizācija - “darbības, kuru rezultātā nav iespējams noteikt personas datu identitāti konkrētam personas datu subjektam”;
  • bloķēšana - “personas datu vākšanas, sistematizācijas, uzkrāšanas, izmantošanas, izplatīšanas, tostarp to nodošanas pagaidu apturēšana”;
  • personas datu iznīcināšana - “darbības, kuru rezultātā nav iespējams atjaunot personas datu saturu personas datu informācijas sistēmā vai kā rezultātā tiek iznīcināti personas datu nesēji”.

Īpaša uzmanība jāpievērš tādām apstrādes metodēm kā personas datu bloķēšana un iznīcināšana. Likums saka diezgan labi par iznīcināšanu - šī ir pieeja, ko tagad iesaka iekšzemes un ārvalstu standarti. Kas attiecas uz personas datu bloķēšanu, šī apstrādes metode iekšzemes praksē tika ieviesta pirmo reizi, un tā izpilde var ievērojami sarežģīt to organizāciju dzīvi, kuras izmanto iepriekš izstrādātas informācijas sistēmas un datu bāzes, kurās šāda darbība nav nodrošināta.

Personas datu apstrādes principi un nosacījumi

Likuma noteikumi galvenokārt ir vērsti uz to, lai novērstu personas datu nelikumīgu vākšanu un izmantošanu. Šī likumdevēja vēlme ir radījusi jaunu nostāju attiecībā uz uzskaites praksi:

Krievijas Federācijas Federālā likuma „Par personas datiem” 5. panta 2. punkts. 2006 Nr. 152-FZ

Personas dati būtu jāglabā tādā formā, kas ļauj noteikt priekšmetu, ne ilgāk par apstrādes mērķiem, un tie jāiznīcina, sasniedzot personas datu apstrādes mērķus, vai zaudējot vajadzību tos sasniegt.

Šajā gadījumā likums pirmo reizi, iespējams, nosaka informāciju un dokumentē maksimālo un nosacīto uzglabāšanas laiku - „pēc apstrādes mērķu sasniegšanas”. Organizācijām būs jānosaka glabāšanas termiņi dokumentiem, kas satur personas datus, un būs nepieciešams iepriekš domāt par izvēlēto uzglabāšanas periodu. Tas ir diezgan sarežģīts jautājums, kas var radīt daudz strīdu un problēmu.

Turklāt DOE speciālistiem ir jāpievērš uzmanība šādiem jautājumiem: tā kā likumā prasītie personas datu vākšanas un apstrādes mērķi ir jānosaka pirms darba uzsākšanas, ir nepieciešams rūpīgi apsvērt to formulējumu. Pretējā gadījumā pati organizācija pati var aizstāt sevi: mērķi tiks izpildīti, un personas dati netiks iznīcināti.

Viena no nepatīkamākajām organizācijām, kas vāc un apstrādā personas datus, ir 6. panta prasība par nepieciešamību saņemt subjekta piekrišanu to apstrādei. Piekrišana nav nepieciešama tikai šādos gadījumos:

  • pamatojoties uz federālajiem tiesību aktiem;
  • lai izpildītu līgumu ar personas datu subjektu;
  • statistikas vai zinātniskiem mērķiem;
  • aizsargāt personas datu subjekta dzīvību un veselību;
  • pasta sūtījumu sūtījumiem pa pastu organizācijām;
  • žurnālista, zinātnieka uc profesionālās darbības gaitā;
  • dati, kas jāpublicē saskaņā ar federālajiem likumiem;
  • lai aizsargātu citu valstu konstitucionālās kārtības, morāles, veselības, tiesību un likumīgo interešu pamatus, lai nodrošinātu valsts aizsardzību un valsts drošību.

Mums jau ir vairāki federālie likumi, kas apraksta personas datu apstrādi, piemēram, uzturot vienotus nodokļu maksātāju valsts reģistrus (EGRN) un juridiskās personas (USR). Vienīgais nosacījums izņēmuma izmantošanai no vispārējās piekrišanas prasības ir attiecīgajos tiesību aktos noteikt šādus jautājumus:

  • mērķus
  • personas datu iegūšanas nosacījumi
  • to personu loku, kuru personas dati tiek apstrādāti, t
  • operatora pilnvaras, kas vāc datus.

Vēl nav skaidrs, kas notiks ar tiem likumiem, kas satur normas, kas saistītas ar personas datu vākšanu un apstrādi, bet neatbilst noteiktajam nosacījumam.

Pirmā problēma, kas saistīta ar jaunā likuma ievērošanu, pievērsa apdrošināšanas sabiedrību uzmanību. Pēc viņu domām, likums par personas datiem var nopietni kavēt likuma par obligāto transportlīdzekļu īpašnieku civiltiesiskās atbildības apdrošināšanu (MTPL) īstenošanu, jo aizliegums trešajām personām nodot klienta personas datus, kas iegūti, noslēdzot OCTA līgumu, bez viņa piekrišanas. Tā rezultātā apdrošināšanas sabiedrība nespēs iegūt pilnīgu informāciju par saviem klientiem no vienas datu bāzes (un šādas datu bāzes uzturēšana ir apšaubāma), šajā situācijā apdrošinātāju riski pieaug.

Jau apdrošināšanas sabiedrības cenšas atrisināt šo svarīgo problēmu, apsverot šādas iespējas:

  • Grozījumi OSAGO likumā un apdrošinātāju pienākums apmainīties ar datiem par apdrošināšanas gadījumiem.
  • Personas datu daļas definēšana kā publiska. Informācija, ko indivīds norāda, veicot OSAGO līgumu, saskaņā ar apdrošinātāju viedokli ir publiski. Tomēr likumā “Par personas datiem” ir nepieciešama piekrišana publisku datu vākšanai.
  • Visu Krievijas apdrošinātāju savienības komiteja (ARIA), lai cīnītos pret apdrošināšanas krāpšanu, jau ir sagatavojusi divus rēķinus, kurus plānots iesniegt Valsts domai 2007. gada sākumā. Saskaņā ar komitejas vadītāja Jevgeņiju Potapovu, viens no šiem rēķiniem grozīs likumu "Par apdrošināšanas darījumu organizēšanu Krievijas Federācijā". Tas ļaus apdrošinātājiem izveidot automatizētas informācijas sistēmas, kuru pamatā ir to apvienības un apvienības, kas satur datus par apdrošināšanas atlīdzībām un maksājumiem 8.

6. panta 6. punkts par tiesībām apstrādāt personas datus žurnālistiem, zinātniekiem un citu radošo profesiju pārstāvjiem bez subjekta piekrišanas ir apšaubāms. Ir diezgan reāli (jo īpaši komercstruktūrās) ieviest „radošās profesijas pārstāvja” pilna laika amatu un „rakstīt uz to” visas datu bāzes, kas satur personisko informāciju.

Piemēram, Anglijā līdzīgā likuma noteikumā papildus ir noteikts, ka šajā gadījumā datu apstrādes mērķim vajadzētu būt attiecīgā materiāla publicēšanai; ka šādai publikācijai ir jābūt sabiedrības interesēm (tostarp, izmantojot radošā profesijas pārstāvja pašizpausmes tiesības) 9.

Turklāt ir interesanti, kā mēs noteiksim, kas ir žurnālists vai rakstnieks, un kurš nav. Nav noslēpums, ka daudziem rakstīšanas brāļiem nav atbilstošu diplomu vai oficiālu ID. ASV pieeja mums var būt noderīga: žurnālisti atzīst visus tos, kas raksta rakstus publiskai izplatīšanai, pat ja tie tiek publicēti tikai internetā.

Amerikas Savienotajās Valstīs 2007. gada janvārī sākās bijušā vecākā Džordža Buša Lūisa "Scooter" Libby administrācija. Tiesu zālē presē tika rezervēti simti sēdvietu, un divas no tām oficiāli saņēma interneta dienasgrāmatu autori.

Amerikāņu laikrakstu redaktoru biedrība, izstrādājot federālo likumu par žurnālistiem tiesību izpaust konfidenciālu informāciju tiesvedības laikā, liek domāt, ka šis likums attiecas uz visiem bez izņēmuma un attiecas uz tiem, kas vāc informāciju tālākai izplatīšanai. Šajā definīcijā ietilpst arī interneta dienasgrāmatu autori, “Emuāru autori” 10.

Tagad aplūkosim, kā jaunais likums ietver subjekta piekrišanas iegūšanu viņa personas datu apstrādei.

Krievijas Federācijas Federālā likuma „Par personas datiem” 9. panta 1. punkts. 2006 Nr. 152-FZ

Personas datu subjekts lemj par viņa personas datu sniegšanu un piekrīt to apstrādei pēc savas gribas un pēc savas intereses. Piekrišanu personas datu apstrādei var atsaukt personas datu subjekts.

Turklāt 9. panta 3. punktā ir diezgan nepatīkams nosacījums operatoriem. Viņiem vai nu būs jāapkopo pierādījumi par to, ka viņu savāktie dati ir ņemti no publiski pieejamiem avotiem, vai arī saņemt personas datu subjekta piekrišanu un pēc tam glabā šo dokumentu, ja “subjekts” nolemj iesūdzēt operatoru par viņa tiesību pārkāpumiem.

Ar publiski pieejamiem datiem arī nav tik vienkārši. 8. pants, kurā definēts, kas ir domāts ar publiski pieejamiem personas datu avotiem (uzziņu grāmatas, adrešu grāmatas utt.), Uzsver, ka personas informāciju var iekļaut tikai ar rakstisku attiecīgās personas piekrišanu. Turklāt “informāciju par personas datu subjektu jebkurā laikā var izslēgt no publiski pieejamiem personas datu avotiem pēc personas datu subjekta pieprasījuma vai tiesas vai citu pilnvarotu valsts iestāžu pieprasījuma”.

No otras puses, ja organizācija, vācot informāciju, izmantoja publiski pieejamus personas datu avotus, tad tai būtu jādokumentē, kur tā ir saņēmusi šo informāciju, un pārliecināties, ka “avotam” ir likumā noteiktā rakstiskā piekrišana.

Krievijas Federācijas Federālais likums “Par personas datiem”, 27. jūlijs. 2006 Nr. 152-FZ

3.pants. 3. pants

Vispārēji pieejamie personas dati ir personas dati, ko neierobežots skaits personu var piekļūt ar personas datu subjekta piekrišanu vai kuriem nepiemēro konfidencialitātes prasību saskaņā ar federālajiem likumiem.

8. panta 1. punkts. Vispārēji pieejami personas datu avoti

Lai sniegtu informācijas atbalstu, var izveidot publiski pieejamus personas datu avotus (tostarp uzziņu grāmatas, adrešu grāmatas). Publiski pieejamie personas datu avoti ar personas datu subjekta rakstisku piekrišanu var ietvert viņa uzvārdu, vārdu, uzvārdu, dzimšanas gadu un vietu, adresi, abonenta numuru, informāciju par profesiju un citus personas datus, ko sniedz personas datu subjekts.

9. panta 3. punkts. Personas datu subjekta piekrišana personas datu apstrādei

Pienākums pierādīt personas datu subjekta piekrišanu viņa personas datu apstrādei un publiski pieejamu personas datu apstrādes gadījumā ir pienākums pierādīt, ka apstrādātie personas dati ir publiski pieejami.

Izrādās, ka, lai sevi aizsargātu, organizācijām būs jāpieprasa oficiāls apstiprinājums katram pilsonim.

Kā jāiesniedz subjekta rakstveida piekrišana? Izrādās, ka nepietiks ar pilsoņa parakstu vispārējā frāzē “Es piekrītu savu personas datu vākšanai un apstrādei”.

Krievijas Federācijas Federālā likuma „Par personas datiem” 9. panta 4. punkts. 2006 Nr. 152-FZ

personas datu subjekta rakstiska piekrišana personas datu apstrādei ietver: t

  1. personas datu uzvārds, vārds, tēvs, personas datu adrese, galvenā dokumenta numurs, kas apliecina viņa identitāti, informācija par norādītā dokumenta izsniegšanas datumu un izdevējiestādi;
  2. tā operatora vārdu (uzvārdu, vārdu, patronīmu) un adresi, kurš saņem personas datu subjekta piekrišanu;
  3. personas datu apstrādes mērķis;
  4. to personas datu saraksts, kuru apstrādei tiek sniegta personas datu subjekta piekrišana;
  5. darbību saraksts ar personas datiem, par kuriem sniegta piekrišana, vispārējs apraksts par metodēm, ko operators izmanto personas datu apstrādei;
  6. termiņš, kurā piekrišana ir derīga, kā arī tā atsaukšanas procedūra.

Tas nozīmē, ka pirms personas datu “nozvejas” un mēģinājuma saņemt viņa piekrišanu operatoram jāizstrādā īpaša dokumenta forma, kurā būtu visa nepieciešamā informācija.

Personas datu subjekta tiesības

Pirmkārt, personas datu subjektam ir tiesības saņemt šādu informāciju:

  • informācija par operatoru,
  • informācija par operatora atrašanās vietu, t
  • informāciju par operatora personas datiem, kas attiecas uz attiecīgo personas datu subjektu, t
  • subjektam ir arī tiesības iepazīties ar viņa rīcībā esošajiem personas datiem.

No operatora personas datu priekšmets var būt nepieciešams:

  • precizēt savus personas datus
  • to bloķēšana vai iznīcināšana gadījumā, ja personas dati ir nepilnīgi, novecojuši, neprecīzi, nelikumīgi iegūti vai nav nepieciešami norādītajam apstrādes nolūkam.

Daudzas grūtības operatoru organizācijām radīs likuma 14. panta 2. punktu, kurā noteikts, ka operatoram informācija par personas datu pieejamību ir jāsniedz pieejamā formā un ka tajos nav informācijas par citiem personas datu subjektiem.

“Durant vs Financial Services Authority” lieta 11, kas tika izskatīta Anglijas Apelācijas tiesā 2003. gada decembrī, saņēma plašu atbildi. Tiesas lēmums būtiski sašaurināja jēdziena „personas dati” interpretāciju. Konkrētāk, tiesa norādīja, ka tikai ar šo personu pieminēt dokumenta tekstā nepietiek, lai apsvērtu dokumentu, kas satur personas datus. Turklāt tiesa apstiprināja, ka tiesības piekļūt saviem personas datiem nedrīkstētu būt pretrunā ar trešo personu tiesībām un līdz ar to trešo personu personas dati ir jāsvītro no pieprasīto dokumentu kopijām (izņemot īpašus apstākļu sakritības gadījumus).

2004. gada novembrī valdība noliedza AK darba ņēmēju tiesības piekļūt saviem personas datiem neatkarīgi no tā, vai viņu darba devējs tos glabā papīra vai elektroniskā formā, ja tie tiek glabāti sistēmā, kas nepārprotami strukturē informāciju par katru personu. Tādējādi papīra failu glabāšanas sistēmas (izņemot personas lietas) de facto tika izslēgtas no tiesību akta par piekļuvi personas informācijai, jo tās ir grūti izolēt informāciju par konkrētu personu.

Lai piekļūtu saviem personas datiem, mūsu tautiešiem ir:

  • piemēro personīgi vai
  • nosūtīt pieprasījumu, kurā jāiekļauj:
    • galvenā dokumenta, kas apliecina personas datu subjektu, vai viņa likumīgā pārstāvja numurs, t
    • informāciju par norādītā dokumenta izsniegšanas datumu un izdevējiestādi un. t
    • personas datu subjekta parakstu ar roku vai viņa likumīgo pārstāvi.

Šo pieprasījumu var nosūtīt elektroniskā formā un parakstīt ar digitālo parakstu. Tādējādi likums formāli dod iespēju pieteikties saviem personas datiem, izmantojot elektroniskos sakaru kanālus. Mums vēl nav personu, kurām ir savs EDS saskaņā ar EDS likumu (vairumā gadījumu mūsu valsts izmanto EDS saskaņā ar Civilkodeksa 160. pantu, kas paredz pušu iepriekšēju vienošanos).

Informācijas apjoms, ko var pieprasīt personas datu subjekts, liecina par mūsu pilsoņu bažām. Organizācijām, kuras vada datu bāzi, kurā ir personas dati, ieteicams pievērst īpašu uzmanību jaunā likuma 14. panta 4. punktam, lai pārdomātu un nostiprinātu iekšējo noteikumu sniegšanas procedūru:

  1. personas datu apstrādi, ko veic operators, kā arī šādas apstrādes mērķi;
  2. par operatora izmantoto personas datu apstrādes metodēm;
  3. par personām, kurām ir piekļuve personas datiem vai kurām var tikt piešķirta šāda piekļuve (lai varētu ziņot par to, kas un kādus personas datus sniedz, ir nepieciešams organizēt darbu par personas datu reģistrāciju un kontrolēt piekļuvi tiem, pretējā gadījumā operatoru organizācija). izpildīt šo prasību);
  4. apstrādāto personas datu saraksts un to saņemšanas avoti;
  5. personas datu apstrādes laiku, ieskaitot tā glabāšanas laiku (īpaša uzmanība jāpievērš šai prasībai, jo patiesībā tas uzliek operatoram pienākumu noteikt apstrādes un uzglabāšanas laiku, kas var atšķirties atkarībā no personas datu apstrādes mērķiem, ar iekšējiem normatīvajiem dokumentiem);
  6. informācija par to, kādas tiesiskās sekas attiecībā uz personas datu subjektu var radīt viņa personas datu apstrādi (lai izpildītu šo prasību, organizācijām iepriekš būtu jādod norādījums saviem advokātiem formulēt pamatojumu visām iespējamām personas datu apstrādes juridiskajām sekām).

Personas datu apstrādes jautājums „lai veicinātu preces, darbus, pakalpojumus tirgū, izmantojot tiešus kontaktus ar potenciālajiem patērētājiem, izmantojot saziņas līdzekļus, kā arī politiskas kampaņas”, ir veltīts īpašam pantam (15. pants). Tagad komerciālajām un politiskajām organizācijām pirms reklāmas nosūtīšanas ir jāsaņem pilsoņa iepriekšēja piekrišana, un PD "apstrāde tiek atzīta bez personas datu subjekta iepriekšējas piekrišanas, ja operators nepierāda, ka šāda piekrišana ir iegūta." Dažām komerciālām struktūrām šī prasība var būt ļoti neērta!

No šī brīža “ir aizliegts pieņemt lēmumus, pamatojoties tikai uz personas datu automatizētu apstrādi, kas rada juridiskas sekas attiecībā uz personas datu subjektu vai citādi ietekmē viņa tiesības un likumīgās intereses” (16. pants).

Šis noteikums ir nepieciešams un savlaicīgs. Bet mūsu likumdevēji, formulējot to, sajauca divus dažādus jēdzienus: „automātisks” (tas ir, bez cilvēku līdzdalības) un „automatizēts” (ti, iet ar cilvēku līdzdalību). Tā rezultātā šis pants, nevis uzlikt papildu ierobežojumus tiem un tikai tad, kad informācijas sistēma pieņem lēmumus bez cilvēku līdzdalības (piemēram, naudas soda uzlikšana, aizliegums ceļot ārpus valsts utt.), Var jāinterpretē kā tādi, kas ierobežo visu veidu personas datu apstrādi, jo pat kalkulatora izmantošanu var saprast kā automatizētu apstrādi!

Tajā pašā jaunā likuma pantā norādīts, ka operators varēs pieņemt lēmumus, pamatojoties tikai uz „automatizētu” apstrādi, ja:

  • saņemt personas datu subjekta rakstisku piekrišanu vai. t
  • ja šos noteikumus nosaka federālie likumi.

Dažos normatīvajos dokumentos šīs likuma prasības jau ir ņemtas vērā. Tādējādi jaunu paaudzes pasu izsniegšanas pieteikumu paraugos ir īpaša sadaļa, kurā pieteikuma iesniedzējs piekrīt pieteikumā norādīto datu „automātiskai” apstrādei. Tas izklausās šādi: “Es piekrītu automatizētai datu apstrādei, pārraidei un glabāšanai pieteikumā norādītajiem datiem pases izgatavošanas, apstrādes un kontroles nolūkos tā derīguma termiņa laikā” 12.

Operatoram arī iepriekš jāsniedz pilsoņiem šāda informācija:

  • lēmumu pieņemšanas kārtību, pamatojoties tikai uz viņa personas datu "automātisku" apstrādi un. t
  • šāda lēmuma iespējamās juridiskās sekas;
  • kārtību, kādā persona aizsargā personas tiesības un likumīgās intereses;
  • iespēja iebilst pret šādu lēmumu.

Strīda gadījumā operatoram ir jāpierāda, ka viņš ir izpildījis visas likuma prasības. Tas nozīmē, ka viņam rūpīgi jāapkopo un jāuzglabā apliecinošie dokumenti.

Operatora pienākumi

Operatora pienākumi saskaņā ar 18. pantu galvenokārt ietver personas informācijas sniegšanu pēc pilsoņa pieprasījuma. Turklāt operatoram "personas datu subjektam ir jāprecizē juridiskās sekas, ko rada atteikums sniegt personas datus", ja šo pienākumu nosaka federālais likums.

20. pantā noteikti ļoti stingri termiņi, lai operatori varētu izpildīt personas datu subjektu pieprasījumus (tie ir daudz stingrāki, piemēram, tie, kas paredzēti nesen izdotajā likumā „Par Krievijas Federācijas pilsoņu sūdzību izskatīšanas kārtību”):

  • datu sniegšana - 10 darba dienu laikā no pieprasījuma saņemšanas dienas;
  • motivēts atteikums - 7 darba dienu laikā.

Operatoram būs vēl vairāk jautājumu, ja ir nepieciešams likvidēt likuma pārkāpumus jaunā likuma 21. pantā noteiktajā termiņā. Datu bloķēšana jāveic no pieprasījuma brīža vai no pieprasījuma saņemšanas brīža un pārkāpumu novēršanas - 3 darba dienu laikā.

Dažos gadījumos operatoram ir pienākums 3 darba dienu laikā iznīcināt personas datus, proti:

  • ja netiek novērsti pārkāpumi,
  • personas datu apstrādes mērķa sasniegšanai, t
  • ja personas datu subjekts atsauc savu piekrišanu personas datu apstrādei.

Gan personas datu bloķēšana, gan iznīcināšana var būt sarežģīta (un dažkārt neiespējama) ieviest pašlaik darbojošās informācijas sistēmās un datu bāzēs, kas iepriekš neparedzēja šādu iespēju.

Operatoram būs vēl grūtāk, ja viņš saņems personas datus nevis no pilsoņa, bet no trešās personas.

Krievijas Federācijas Federālā likuma „Par personas datiem” 18. jūlija 3. klauzula. 2006 Nr. 152-FZ

Ja personas dati nav saņemti no personas datu subjekta, ja vien personas dati nav sniegti operatoram saskaņā ar federālo likumu vai ja personas dati ir publiski pieejami, operatoram pirms šādu personas datu apstrādes jāiesniedz personas datu subjektam šāda informācija:

  1. operatora vai viņa pārstāvja vārds (uzvārds, vārds, vidējais vārds) un adrese;
  2. personas datu apstrādes mērķis un tā juridiskais pamats;
  3. paredzētie personas datu lietotāji;
  4. personas datu subjekta tiesības, kas izveidotas ar šo federālo likumu.

Aiz šiem vārdiem ir vairāk laikietilpīga darba. Piemēram, var rasties jautājums: kā šī informācija būtu jāsniedz priekšmetam? Vai ir iespējams nosūtīt to pa pastu un vai informācija tiks uzskatīta par sniegtu, ja objekts nav saņēmis atbilstošo vēstuli?

Operatora pienākums saskaņā ar 19. pantu ir arī nodrošināt personas datu drošību to apstrādes laikā. Lai izvairītos no nepatikšanām, operatoru organizācijai normatīvajos dokumentos ir jāizstrādā un jākonsolidē visi organizatoriskie un tehniskie informācijas drošības pasākumi, ko tā ir gatava veikt, lai aizsargātu tās informācijas sistēmās ietvertos personas datus.

Personas datu apstrādes sistēmu valsts reģistrācija

Likums paredz, ka visiem operatoriem, kas veic personas datu apstrādi, ir iepriekš jāpaziņo pilnvarotajai iestādei (22. pants), kas reģistrēs operatorus īpašā reģistrā. Pilnvarotā iestāde saskaņā ar 23. pantu ir Krievijas Federācijas Informācijas tehnoloģiju un komunikāciju ministrija, kas pašlaik veic „kontroles un uzraudzības funkcijas informācijas tehnoloģiju un komunikāciju jomā”. Paziņojumā būs detalizēti jānorāda, ko plānots darīt ar personas datiem. Par visām izmaiņām saistībā ar personas datu apstrādi jāziņo arī pilnvarotajai iestādei.

Personas datus drīkst apstrādāt, neinformējot pilnvaroto iestādi šādos gadījumos:

  • darba attiecību klātbūtnē;
  • noslēdzot līgumu, kurā ir personas datu subjekts;
  • ja personas dati pieder sabiedriskās apvienības vai reliģiskās organizācijas biedriem (dalībniekiem) un tos apstrādā attiecīgā sabiedriskā apvienība vai reliģiskā organizācija;
  • ja personas dati ir publiski pieejami;
  • ja personas dati ietver tikai subjektu vārdus, uzvārdus un patronīmu;
  • uzņemšanas reģistrācijā;
  • ja personas dati ir iekļauti informācijas sistēmās, kas saskaņā ar federālajiem likumiem ir federālo automatizēto informācijas sistēmu statuss, kā arī valsts informācijas sistēmas, kas paredzētas personas datu aizsardzībai, lai aizsargātu valsts un sabiedrisko kārtību;

  • ja personas dati tiek apstrādāti bez automatizācijas.
  • Nobeigumā mēs sniegsim operatoriem vairākus ieteikumus. Ja šis darbs tiks uzsākts, nebūs ļoti grūti izpildīt likuma par personas datiem prasības, negaidot pirmās sūdzības un sūdzības. Varat sākt ar šādiem acīmredzamiem pasākumiem:

    • Ieteicams iecelt atbildīgo amatpersonu, lai izskatītu visus jautājumus, kas saistīti ar šā likuma īstenošanu organizācijā, un lieliem uzņēmumiem īpašas komisijas izveidošana var būt pamatota.
    • Visiem organizācijas resursiem, kuros ir personas dati, jums ir:
      • noteikt to statusu (uz kura pamata tie tika izveidoti: saskaņā ar tiesību aktiem, līguma izpildei, pēc savas iniciatīvas utt.);
      • precizēt un reģistrēt personas datu un to saņemšanas avotu sastāvu (no pilsoņa, no publiskiem avotiem, no trešām personām utt.);
      • noteikt datu glabāšanas laiku un datu apstrādes laiku katrā informācijas resursā;
      • noteikt apstrādes metodes;
      • identificēt personas ar piekļuvi datiem;
      • formulēt juridiskas sekas;
      • nosaka procedūru, kā atbildēt uz pieprasījumiem, iespējamām atbildēm un darbībām, novērtēt atbilstību noteiktajiem reaģēšanas laikiem.

    Šajā rakstā tiek analizēta jaunā likuma par personas datu aizsardzību analīze no speciālistu viedokļa dokumentu pārvaldības jomā, ko tā sabojā daudz asiņu. Tās efektivitāte tiks parādīta praksē, bet šobrīd kā “personas datu subjekts” es novērtēju to valsts iestāžu sarakstu, kurām es varētu nosūtīt pieprasījumu sniegt man, saskaņā ar likuma prasībām, attiecīgu informāciju. Tagad man ir tiesības!

    1 Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvas 95/46 / EK par personu tiesību aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti IV nodaļas 25. pants.

    2 Interesanti, ka pat ASV neievēro stingras Eiropas prasības, un amerikāņu uzņēmumi ir spiesti izmantot tā sauktos „jumta” līgumus.

    3 Personas datu subjekts ir persona, kuras personas dati tiek apstrādāti.

    4 "Personas datu reģistrēšanas sistēma"

    5 Federālās izpildvaras iestāžu un organizāciju, kas iesaistītas Krievijas Federācijas Arhīva fonda dokumentu glabāšanā federālajā īpašumā, saraksts ietver 18 organizācijas: Krievijas Iekšlietu ministriju, Krievijas Ārlietu ministriju, Krievijas Aizsardzības ministriju, Krievijas SVR, Krievijas FSB, Krievijas Federālo narkotiku kontroles dienestu, Krievijas FSIN Krievijas Federāciju, Krievijas FSIN, Rosatom, Krievijas Federāciju. Roskartografiya, Krievijas Lauksaimniecības zinātņu akadēmija, Krievijas Medicīnas akadēmija, Krievijas Izglītības akadēmija, Krievijas Mākslas akadēmija, Krievijas Arhitektūras un būvniecības zinātņu akadēmija, Valsts Fonds: Visu Krievijas Hidrometeoroloģiskās informācijas institūts - Pasaules datu centrs, Federālā valsts iestāde „Valsts televīzijas un radio programmu fonds”, Federālais valsts vienotais zinātniskās ražošanas uzņēmums “Krievijas Federālais ģeoloģiskais fonds”, Federālais valsts vienotais uzņēmums “Krievijas zinātniskais-tehniskais centrs informācija par standartizāciju, metroloģiju un atbilstības novērtēšanu ”.

    6 5 ASV C. § 552a (k) (1) “Dokumenti privātpersonām - Īpaši izņēmumi - Arhīva dokumenti”.

    7 Operators - valsts iestāde, pašvaldības iestāde, juridiska vai fiziska persona, kas organizē un / vai veic personas datu apstrādi, kā arī nosaka personas datu apstrādes mērķi un saturu.

    9 1998. gada Datu aizsardzības likums, 32. pants.

    11 Durant vs Financial Services Authority (FSA).

    12 Instrukciju pielikums Nr. 1 par Krievijas Federācijas pilsoņa pases apstrādes un izsniegšanas kārtību, diplomātiskā pase un dienesta pase, kas ir galvenie dokumenti, kas apliecina Krievijas Federācijas pilsoņa identitāti ārpus Krievijas Federācijas teritorijas, kurā ir elektroniskie mediji (apstiprināts ar Krievijas Federācijas Iekšlietu ministrijas rīkojumu, Krievijas Federācijas Ārlietu ministrija) Krievijas Federācijas Federālais drošības dienests 2006. gada 6. oktobrī Nr. 785/14133/461).