Kokie yra asmens duomenų tvarkymo būdai?

Rusijos Federacijos darbo kodekse yra toks terminas, kaip „darbingo asmens asmeninė informacija“. Darbdaviui turi būti pateikti duomenys apie operacinį kontingentą.

Išnagrinėjęs asmeninę informaciją darbdavys priima sprendimą dėl asmens paėmimo į įmonę.

Informacija, kurią asmuo pateikia apie save, turi būti apsaugota. Platinti jį draudžiama.

Mieli skaitytojai! Mūsų straipsniai kalba apie tipinius teisinių problemų sprendimo būdus, tačiau kiekvienas atvejis yra unikalus.

Jei norite sužinoti, kaip išspręsti tiksliai jūsų problemą, tiesiog skambinkite, tai greita ir nemokama!

Sistema

Asmeninė informacija apie darbuotojus turėtų būti vystoma.

Darbdavių asmens duomenys: t

1. Asmeninės informacijos apie darbo asmenį tvarkymo procesas vyksta siekiant užtikrinti įstatymų ir teisės aktų laikymąsi. Duomenų apdorojimo dėka galite įdarbinti asmenį, suteikti jam asmeninį saugumą, stebėti atliktą darbą.
2. Darbdavys atsižvelgia į asmeninės informacijos apie darbinį kontingentą apimtį ir turinį. Visi darbdaviai studijuoja ir vykdo Konstitucijos, kitų federalinių įstatymų aspektus.
3. Informacija apie darbo grupę turėtų būti gaunama tiesiogiai iš pačių darbuotojų. Informaciją apie darbinį asmenį galite gauti iš trečiosios burnos, bet tik gavus raštišką asmens sutikimą. Darbdavys informuoja darbuotojus apie jų tikslus ir šaltinius, iš kurių bus pateikta asmeninė informacija. Darbdavys įspėja apie pasekmes, jei atsisakoma išduoti asmeninę informaciją iš darbingo asmens.
4. Asmuo, teikiantis savo darbuotojams darbą, neturi teisės gauti informacijos apie visus politinius, religinius ar kitus įsitikinimus, taip pat darbuotojo šeimos gyvenimą. Darbuotojo asmeninį gyvenimą galima patvirtinti tik su jo sutikimu. Susitarimas turi būti sudarytas raštu.
5. Darbdavys neturėtų naudoti informacijos apie įdarbintų asmenų buvimą narystės asociacijose, profesinėse sąjungose. Tačiau yra situacijų, numatytų Federaliniame įstatyme.
6. Visa asmeninė informacija turi būti apsaugota ir paslėpta nuo visuomenės priežiūros ir naudojimo. Duomenų apsaugai taikomos Federalinio įstatymo sąlygos.
7. Darbuotojų studijų dokumentai, priklausantys institucijai. Jie turėtų atskleisti darbuotojų asmens duomenų tvarkymo procesų reikšmę ir tvarką.
8. Darbuotojai turi sutikti su savo asmeninės informacijos apsauga.
9. Patys darbdaviai, taip pat darbuotojai, gali dirbti kartu, siekdami plėtoti darbuotojų asmeninės informacijos apsaugos būdus.

Informuojant apie darbuotojus, įmonės direktorius privalo laikytis šių taisyklių:

• Trečioji šalis neturi žinoti apie kiekvieno darbuotojo asmens duomenis. Duomenys gali būti pateikiami tik tais atvejais, kai įdarbinti asmenys davė raštišką sutikimą naudoti savo asmeninę informaciją. Bet jei kyla grėsmė pragyvenimui, darbo grupės sveikatai, tada asmens duomenys gali būti pateikti kitiems žmonėms be raštiško raštiško sutikimo;
• darbdavys neturėtų skelbti duomenų apie komandą, dirbančią su juo prekybos tikslais;
• žmonės, kurie gauna informaciją apie darbuotojus, privalo juos tvarkyti pagal konfidencialumo sistemą;
• informacijos apie asmenį perdavimas vykdomas tik vienoje organizacijoje, vykdant specialius institucijos vidaus veiksmus;
• informacija apie darbuotoją gali naudotis tik specialiai įgaliotais asmenimis;
• nereikia prašyti informacijos apie dirbančių asmenų sveikatą. Prašymas gali būti pateiktas tik tais atvejais, kai kyla klausimas, ar darbininkai gali naudotis savo darbo funkcijomis;
• asmens duomenys apie darbinį kontingentą gali būti renkami atsižvelgiant į Kodekso duomenis.

Darbo kontingentas turi teisę:

• susipažinę su jūsų asmens duomenimis ir jų apdorojimu;
• neribota prieiga prie asmeninės informacijos. Darbuotojui gali būti išduodami informacijos duomenų kopijos. Tačiau yra situacijų, kai asmeninė informacija nėra atskleista. Šios situacijos aprašytos Federaliniame įstatyme;
• medicinos specialistas gali peržiūrėti darbuotojų asmens duomenis;
• galimybė ištaisyti ar papildyti asmens duomenų subjektus.

Skiriami šie asmens duomenų tvarkymo būdai:

1. Informacijos apdorojimas naudojant kompiuterines technologijas.
2. Ne automatizuotas apdorojimas.
3. Informacijos sistema apdoroja pateiktus duomenis.

Automatizuota

Šis apdorojimas atliekamas naudojant specialią kompiuterinę technologiją. Dažniausios skaičiavimo mašinos gali būti:

• elektroninis kompiuteris;
• pagalbiniai įrenginiai;
• periferiniai įrenginiai;
• būtinai įdiegta programinė įranga.

Neautomatizuota

Išsamus neautomatizuoto apdorojimo aprašymas parašytas Vyriausybės nutarimu Nr. 687.

Informacijos apie operacinį kontingentą platinimas, tyrimas ir pašalinimas turėtų būti atliekamas su asmens dalimi, o ne kompiuterine technologija.

Informacinis

Informacinės sistemos dėka tvarkomos specialios asmeninės informacijos apie operacinį kontingentą kategorijos. Ši sistema apdoroja duomenis, turinčius įtakos tam tikros rasės ir lyties, tautybės, politinių pažiūrų, filosofinės perspektyvos.

Informacinės sistemos dėka galima apdoroti:

• biometrinius asmens duomenis. Ypač jei yra fiziologinių, biologinių duomenų požymis. Gautų charakteristikų dėka galima įvertinti darbuotojų asmenybę;
• bendri asmens duomenys;
• kitus informacinius duomenis. Pavyzdžiui, būtų religinės, tautinės idėjos, filosofinės perspektyvos, akimirkos darbinio kontingento intymumo momentai ir daug kitų svarbių asmeninių savybių iki sveikatos būklės.

Taigi, asmeninė informacija apie kiekvieną darbuotoją yra visuose darbdaviuose. Direktorius jokiu būdu neturi teisės skleisti turimų duomenų apie asmenį.

Gauta informacija apie operacinį kontingentą gali būti apdorojama keliais būdais: naudojant kompiuterinę technologiją, pasitelkiant asmenines jėgas, informacijos vertinimo sistema.

Visais atvejais kiekvieno darbuotojo asmens duomenys yra išsamiai išnagrinėti.

Asmens duomenų tvarkymo būdai

Pagal Amuro regiono civilinio kodekso įsakymą

2012 m. gruodžio 26 d., Nr. 626

tvarkant asmens duomenis

1. BENDROSIOS NUOSTATOS

1.1. Šis dokumentas (toliau - Politika) yra sisteminis asmens duomenų tvarkymo tikslų, principų, metodų ir sąlygų aprašymas, informacija apie įgyvendintus asmens duomenų tvarkymo ir apsaugos reikalavimus Centrinės Ligoninės centrinės ligoninės Amūro regiono GKU (toliau - Užimtumo centras).

1.2. Ši politika grindžiama Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“, kitų Rusijos Federacijos teisės aktų, nustatančių asmens duomenų tvarkymo ir apsaugos tvarką, reikalavimais. Ši politika yra viešas dokumentas.

1.3. Remiantis 2006 m. Liepos 27 d. Federaliniu įstatymu Nr. 152-ФЗ „Dėl asmens duomenų“, Užimtumo centras yra asmens duomenų valdytojas (toliau - PD).

2. PERDIRBTI ASMENINIAI DUOMENYS

2.1. Pagrindinės politikos sąvokos:

· Asmens duomenys - bet kokia informacija, susijusi su fiziniu asmeniu (asmens duomenų objektu), nustatyta arba nustatyta remiantis tokia informacija, įskaitant jo pavardę, vardą, tėvynę, metus, mėnesį, gimimo datą ir vietą, adresą, šeimą, socialinę, nuosavybę padėtis, švietimas, profesija, pajamos, kita informacija;

· Asmens duomenų tvarkymas - veiksmai (operacijos) su asmens duomenimis, įskaitant asmens duomenų rinkimą, sisteminimą, kaupimą, saugojimą, tobulinimą (atnaujinimą, keitimą), naudojimą, platinimą (įskaitant perdavimą), depersonalizavimą, blokavimą ir sunaikinimą;

2.2. Pagal šią politiką tvarkomi asmens duomenys reiškia:

· Užimtumo centrui teikiamų viešųjų paslaugų gavėjų pateikti asmens duomenys;

· Užimtumo centro darbuotojų arba kandidatų į laisvas darbo vietas asmens duomenys;

3. ASMENS DUOMENŲ APDOROJIMO TIKSLAI

3.1. PD tvarkymo tikslai Užimtumo centre yra:

· Užtikrinti Rusijos Federacijos piliečių konstitucinių teisių į darbą ir socialinę apsaugą nuo nedarbo įgyvendinimą teikiant viešąsias paslaugas užimtumo skatinimo srityje;

· Užtikrinti konstitucinių piliečių teisių apskųsti įgyvendinimą;

· Gauti objektyvų darbo rinkos būklės vertinimą Rusijos Federacijos sudedamojoje dalyje (kalbant apie valstybinių įdarbinimo tarnybų gavėjus; bedarbius; piliečius, kurie kreipiasi į Užimtumo centrą su pasiūlymais, pareiškimais, skundais);

· Užtikrinti, kad būtų laikomasi Rusijos Federacijos Konstitucijos, įstatymų ir kitų teisės aktų, padedama darbuotojams susirasti darbą, mokytis ir skatinti darbą, skatinti darbo vietų kūrimą, užtikrinti darbuotojų saugumą, kontroliuoti atlikto darbo kiekį ir kokybę, užtikrinti jam priklausančio turto saugumą ir užfiksuoti jų turinio saugumą bei įrašyti jų veiklos rezultatus įdarbinimo centro nuosavybės pareigas ir saugumą.

· Atlikti mokesčių agento funkcijas teikiant standartinius mokesčių atskaitymus (Užimtumo centro darbuotojų šeimos nariams);

· Įsipareigojimų vykdymas pagal civilinės teisės sutartis (dėl asmenų, atliekančių darbą, teikiant paslaugas pagal civilinės teisės sutartis su Užimtumo centru).

4. ASMENINIŲ DUOMENŲ PERDIRBIMO PRINCIPAI

4.1. PD tvarkymo įgyvendinimas teisiniu ir teisingu pagrindu.

4.2. PD apdorojimo apribojimas iki konkrečių, iš anksto nustatytų ir teisėtų tikslų, nurodytų šio dokumento 2 skirsnyje. Negalima tvarkyti asmens duomenų, kurie yra nesuderinami su asmens duomenų rinkimo tikslais.

4.3. Užkirsti kelią duomenų bazių, turinčių PD, derinimui, kurie tvarkomi tarpusavyje nesuderinamais tikslais.

4.4. Apdoroti tik tuos PDS, kurie atitinka jų tvarkymo tikslus.

4.5. Atitinkamo PD apdoroto PD turinio ir apimties laikymasis.

4.6. Darbuotojų atleidimo iš darbo nepriimtinumas nagrinėjamas PD atsižvelgiant į nurodytus jų tvarkymo tikslus.

4.7. Užtikrinti PD tikslumą, jų pakankamumą ir, jei reikia, svarbą PD apdorojimo tikslams.

4.8. Užtikrinkite, kad būtų imtasi būtinų priemonių neišsamiems ar netiksliams duomenims pašalinti.

4.9. PD saugojimas tokiu būdu, kuris leidžia nustatyti PD objektą, yra ne ilgesnis nei PD apdorojimo tikslas, jei PD saugojimo laikotarpis nėra nustatytas federaliniame įstatyme, sutartis, kuriai PD objektas yra gavėjas arba garantas. Apdorojami PD turi būti sunaikinti ar depersonalizuoti, kai pasiekiami apdorojimo tikslai arba prarandamas poreikis pasiekti šiuos tikslus, jei federalinis įstatymas nenumato kitaip.

5. ASMENS DUOMENŲ PERDIRBIMO METODAI

5.1. Užimtumo centras apdoroja PD tokiais būdais:

· Neautomatizuotas PD apdorojimas (popieriuje);

· Automatizuotas apdorojimas (ISPDn su automatikos įranga ir be jos), įskaitant: su ir be perdavimo per vietinį Užimtumo centro tinklą; su ir be perdavimo internetu;

· Mišrus PD apdorojimas.

5.2. Užimtumo centras gali savarankiškai pasirinkti PD apdorojimo metodus, priklausomai nuo tokių duomenų tvarkymo tikslų ir savo materialinių bei techninių galimybių.

6. ASMENS DUOMENŲ APDOROJIMO SĄLYGOS

6.1. PD apdorojimas atliekamas laikantis principų ir taisyklių, numatytų Federaliniame įstatyme „Dėl asmens duomenų“.

6.2. PD tvarkymas leidžiamas Federaliniame įstatyme „Dėl asmens duomenų“ numatytais atvejais.

6.3. Užimtumo centras turi teisę perduoti PD tvarkymą kitam asmeniui PD subjekto sutikimu, išskyrus atvejus, kai federalinis įstatymas numato kitaip, remiantis su šiuo asmeniu sudarytomis sutartimis, įskaitant valstybės ar savivaldybės sutartį, arba priimant atitinkamą valstybės ar savivaldybės institucijos aktą (toliau - valstybinis ar savivaldybės organas). ).

6.4. Jei Užimtumo centras perduoda PD tvarkymą kitam asmeniui, atsakomybę PD atžvilgiu už minėto asmens veiksmus padengia Užimtumo centras. Užimtumo centro vardu asmens duomenis tvarkantis asmuo yra atsakingas Užimtumo centrui.

7. ASMENS DUOMENŲ KONFIDENCIALUMAS

7.1. Užimtumo centras ir kiti asmenys, turintys prieigą prie PD, privalo neatskleisti tretiesiems asmenims ir nepaskirstyti PD be PD subjekto sutikimo, nebent federaliniame įstatyme numatyta kitaip.

8. ASMENINIŲ DUOMENŲ DALYVAVIMO PATVIRTINIMAS DĖL PERSONALŲ DUOMENŲ APDOROJIMO

8.1. PD subjektas priima sprendimą dėl savo asmens duomenų teikimo ir sutinka, kad jis būtų laisvai tvarkomas savo valia ir jo interesais.

8.2. Sutikimas apdoroti PD turėtų būti konkretus, informuotas ir sąmoningas.

8.2. PD subjektas arba jo atstovas gali duoti sutikimą PD apdorojimui bet kokia forma, leidžiančia patvirtinti jo gavimo faktą, išskyrus atvejus, kai federalinis įstatymas nustato kitaip.

8.3. Jei asmens duomenų subjekto asmens duomenų tvarkymui gaunamas sutikimas, šio atstovo įgaliojimą duoti sutikimą asmens duomenų subjekto vardu tikrina Užimtumo centras.

8.4. PD subjektas gali atšaukti PD apdorojimo sutikimą. Jei PDN subjektas atšaukia sutikimą PD apdorojimui, Užimtumo centras turi teisę tęsti asmens duomenų tvarkymą be PD subjekto sutikimo, jei yra priežasčių, nurodytų Federalinio įstatymo „Dėl asmens duomenų“ 6 straipsnio 1 dalies 2 dalies, 10 straipsnio 2 dalies ir 11 straipsnio 2 dalies. ".

8.5. Federalinio įstatymo numatytais atvejais PD tvarkymas atliekamas tik gavus raštišką PD subjekto sutikimą. Rašytinis sutikimas pripažįstamas lygiaverčiu elektroniniam dokumentui, pasirašytam pagal federalinį įstatymą.

8.6. Užimtumo centras gali gauti asmens duomenis iš asmens, kuris nėra asmens duomenų subjektas, su sąlyga, kad Užimtumo centras patvirtina federalinio įstatymo „Dėl asmens duomenų“ 6 straipsnio 1 dalies 2 punkto, 10 straipsnio 2 dalies ir 11 straipsnio 2–11 punktuose nurodytų priežasčių buvimą. ".

9. ASMENS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMAS

9.1. Apdorojant PD, Užimtumo centras suteikia būtinas sąlygas, kad PD galėtų laisvai naudotis savo teisėmis.

9.2. PD subjektas turi teisę susipažinti su savo asmens duomenimis.

9.3. PD objektas turi teisę gauti informaciją apie savo asmens duomenų tvarkymą, kuriame yra: Užimtumo centro PD apdorojimo faktų patvirtinimas; PD tvarkymo teisiniai pagrindai ir tikslai; Užimtumo centro taikomus PD apdorojimo tikslus ir metodus; Užimtumo centro pavadinimas ir vieta, informacija apie asmenis (išskyrus Užimtumo centro darbuotojus), turintys prieigą prie asmens duomenų arba kurie gali atskleisti asmens duomenis pagal susitarimą su Užimtumo centru arba federaliniu įstatymu; PD, kuriuos tvarko atitinkamas PD subjektas, jų gavimo šaltinis, išskyrus atvejus, kai federalinis įstatymas numato kitokią tokių duomenų pateikimo tvarką; PD apdorojimo laikas, įskaitant laikymo laiką; federaliniame įstatyme „Dėl asmens duomenų“ numatytų teisių, susijusių su PDN, vykdymo tvarka; informacija apie užbaigtą ar numatomą tarpvalstybinį duomenų perdavimą; asmens, atliekančio PDN tvarkymą Užimtumo centro vardu, vardas, pavardė, vardas, globojantis vardas ir pavardė, vardas ir pavardė, pavardė, pavardė ir adresas, jei duomenų tvarkymas yra patikėtas arba bus patikėtas tokiam asmeniui; kita federalinių įstatymų numatyta informacija.

9.4. PD teisė naudotis savo asmens duomenimis gali būti apribota federalinių įstatymų aiškiai numatytais atvejais.

9.5. PD subjektas turi teisę ginti savo teises ir teisėtus interesus, įskaitant žalos atlyginimą ir (arba) moralinės žalos atlyginimą teisme.

9.6. Jei PD dalykas mano, kad Užimtumo centras tvarko savo PD pažeidžiant Federalinio įstatymo „Dėl asmens duomenų“ reikalavimus arba kitaip pažeidžia savo teises ir laisves, PD subjektas turi teisę apskųsti Užimtumo centro veiksmus ar neveikimą įgaliotajai institucijai, kad apsaugotų PD subjektų teises arba teismo nutartis.

10. INFORMACIJA APIE PRIEMONES, KURIOMS ĮGYVENDINTA Užimtumo centras

TIKSLAI užtikrinti, kad būtų įgyvendinta atsakomybė, susijusi su asmeninių duomenų apdorojimu

10.1. Užimtumo centras, tvarkydamas PD, atlieka savo kaip PD operatoriaus pareigas, numatytas Federaliniame įstatyme „Dėl asmens duomenų“.

10.2. Užimtumo centras imasi būtinų ir pakankamų priemonių, kad užtikrintų šiame federaliniame įstatyme ir pagal jį priimtų teisės aktų nustatytų pareigų vykdymą.

10.3. Užimtumo centras savarankiškai nustato būtinų ir pakankamų priemonių, reikalingų šiame federaliniame įstatyme ir pagal jį priimtuose teisės aktuose numatytų įsipareigojimų vykdymui užtikrinti, sudėtį ir sąrašą, nebent federaliniuose įstatymuose numatyta kitaip.

10.4. Užimtumo centras suteikia neribotą prieigą prie šio dokumento (politikos), informaciją apie faktinius PD apsaugos reikalavimus, skelbdama oficialioje Amuro regiono užimtumo departamento interneto svetainėje http: // zanamur. ru, Švobodijos miesto centrinės ligoninės Amūro regiono GKU, http://svobzan.amur.ru.

11. INFORMACIJA APIE ĮMONIŲ DUOMENŲ APSAUGOS UŽTIKRINIMO PRIEMONIŲ ĮGYVENDINIMO CENTRŲ ĮGYVENDINIMĄ t

11.1. Užimtumo centras, tvarkantis PD, užtikrina būtinų teisinių, organizacinių ir techninių priemonių priėmimą, kad apsaugotų PD nuo neteisėto ar atsitiktinio prieigos prie jų, sunaikinimo, modifikavimo, blokavimo, kopijavimo, teikimo, platinimo, taip pat iš kitų neteisėtų veiksmų, susijusių su PDN.

11.2. Siekdamas apsaugoti asmens duomenis, Užimtumo centras įgyvendina asmens duomenų apsaugos reikalavimus, kai jie tvarkomi Rusijos Federacijos Vyriausybės nustatytose asmens duomenų informacijos sistemose.

11.3. Užtikrinti PD saugumą užtikrina Užimtumo centras, visų pirma:

· Asmens duomenų saugumo grėsmių nustatymas, kai jie tvarkomi Užimtumo centro ISPDN;

· Organizacinių ir techninių priemonių naudojimas siekiant užtikrinti asmens duomenų saugą, kai jie tvarkomi Užimtumo centro ISPDN, būtini asmens duomenų apsaugos reikalavimams įvykdyti, kurių vykdymą užtikrina Rusijos Federacijos Vyriausybės nustatytas asmens duomenų apsaugos lygis;

· Nustatyta tvarka naudojamų informacijos saugumo priemonių naudojimas;

· Priemonių, kurių ėmėsi Užimtumo centras, siekiant užtikrinti asmens duomenų saugumą prieš SPDN paleidimą, efektyvumo įvertinimas;

· Įdarbinimo centro mašinų vežėjų PD atsižvelgimas;

· Neteisėtos prieigos prie PDN faktų ir veiksmų nustatymas;

· PDN atkūrimas, pakeistas ar sunaikintas dėl neteisėtos prieigos prie jų;

· Užimtumo centro SPDN tvarkomų prieigos prie PDN taisyklių nustatymas, taip pat visų PDN atliktų veiksmų įdarbinimo centre ISPDN registravimas ir registravimas;

· Priemonių, kurių imamasi siekiant užtikrinti asmens duomenų saugumą ir Užimtumo centro ISPDN saugumo lygį, kontrolė.

11.4. Informacija apie priemones, kurių ėmėsi Užimtumo centras asmens duomenų apsaugai, yra ribota informacija.

12. Politikos pakeitimas. Taikoma teisė

12.1. Užimtumo centras turi teisę keisti šią politiką.

12.2. Keičiant politikos pavadinimą, nurodoma paskutinio atnaujinimo atnaujinimo data.

12.3. Nauja Politikos redakcija įsigalioja nuo jos paskelbimo Amurskos rajono Užimtumo departamento interneto svetainėje, nebent naujajame politikos variante numatyta kitaip.

Asmens duomenų tvarkymo būdai

Klausimo atsakymas šia tema

Klausimas

Kas yra susijusi su asmens duomenų tvarkymo metodais ir kas yra susijusi su veiksmais su asmens duomenimis?

Atsakymas

Pagal 2011 m. Rugpjūčio 19 d. Roskomnadzoro įsakymo Nr. 706 9 punktą * yra:

- automatinis asmens duomenų tvarkymas;

- išimtinai automatizuotas asmens duomenų apdorojimas perduodant gautą informaciją tinkle arba be jo;

- mišrus asmens duomenų tvarkymas (N 4 pastaba).

Ir pagal veiksmus, numatytus pagal t Nr. 152-FZ federalinio įstatymo 3 straipsnis dėl asmens duomenų: *

- paaiškinimas (atnaujinimas, keitimas);

- platinimas (įskaitant perdavimą);

- asmens duomenų sunaikinimą.

Šios pozicijos pagrindimas pateikiamas toliau „Sistemos advokatas“.

• 152-ФЗ FEDERACINĖ TEISĖ „DĖL ASMENINIŲ DUOMENŲ“

„Asmens duomenų tvarkymas - tai bet koks veiksmas (veiksmas) arba veiksmų rinkinys (operacijos), * atliekamas naudojant automatikos įrankius arba nenaudojant tokių priemonių su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, tobulinimą (atnaujinimą, keitimą), asmens duomenų išgavimas, naudojimas, perdavimas (platinimas, teikimas, prieiga), depersonalizavimas, blokavimas, ištrynimas,

• ROSKOMNADZORO UŽSAKYMAS IŠ 2011 m. Rugpjūčio 19 d. Nr. 706

„Laukas“ veiksmų sąrašas su asmens duomenimis, bendras metodų, naudojamų Operatoriaus asmens duomenų tvarkymui, aprašymas * nurodo Operatoriaus veiksmus su asmens duomenimis, taip pat metodų, kuriuos naudotojas naudoja asmens duomenims tvarkyti, aprašymas:

- automatinis asmens duomenų tvarkymas;
- išimtinai automatizuotas asmens duomenų apdorojimas perduodant gautą informaciją tinkle arba be jo;

- mišrus asmens duomenų tvarkymas (N 4 pastaba) N pastaba 4. Automatizuotai tvarkant asmens duomenis arba mišrią tvarkymą būtina nurodyti, ar asmens duomenų tvarkymo metu gauta informacija perduodama juridinio asmens vidaus tinkle (informacija yra prieinama tik gerai apibrėžtiems juridinio asmens darbuotojams) ) arba informacija perduodama naudojant viešąjį internetą arba neperduodama gautos informacijos. “

* Taigi pabrėžė dalį medžiagos, kuri padės jums priimti teisingą sprendimą.

Apie asmens duomenų tvarkymą įmonėse, kurios jas apdoroja

Sąlygos, niuansai ir dažni iliuzijos - bendrovės „Onlanta“ saugumo tarnybos ekspertų (įtrauktos į įmonių grupę LANIT) ekspertai.

Mes suprantame teisinę terminiją ir labai niuansus, dėl kurių galite būti teisme.

Paaiškinkite terminus žmogaus kalba

Pagrindinis įstatymas, reglamentuojantis santykius, susijusius su asmens duomenų tvarkymu, yra 2006 m. Liepos 27 d. Federalinis įstatymas Nr. 152-ФЗ „Dėl asmens duomenų“.

Pirmasis suprantamas terminas yra asmens duomenys.

Kas yra asmens duomenys

Tai bet kokia informacija, kurią galima naudoti asmens tapatybei nustatyti: pavyzdžiui, vardas, pavardė, gimimo data, švietimas, pajamos ir netgi šeimyninė padėtis. Jūs klausiate: „O kas, mano pavardė, atspausdinta ant vizitinės kortelės, taip pat yra asmens duomenys?“

Atsakymas: „Taip.“ Pagal įstatymą nesvarbu, ar tik jūsų pavardė yra spausdinama vizitinėje kortelėje, ar kartu, pavyzdžiui, su telefono numeriu ir adresu. Tiek pirmasis, tiek antrasis ir trečiasis - asmens duomenys. Tiesa, vizitinių kortelių ar mergaičių telefono numerių saugojimas telefonų knygoje neturės atsakyti įstatymu, bet daugiau apie tai žemiau.

Eiti į priekį. Žiniasklaida nuolat rašo „asmens duomenų saugojimą“. Teisingai kalbėkite ne apie saugojimą, o asmens duomenų tvarkymą. Koks skirtumas? Saugojimas yra tik dalis asmens duomenų tvarkymo. Bet kokie veiksmai, kuriuos atliekate su asmens duomenimis (rinkti, kaupti, saugoti, perduoti, keisti), yra įstatymo nustatyta kaip „asmens duomenų tvarkymas“.

Svarbu suprasti, kad įstatymas išskiria du asmens duomenų subjektus: operatorių ir duomenų tvarkytoją. Operatorius atlieka asmens duomenų tvarkymą, taip pat nustato jų tvarkymo tikslą, tvarkytinų asmens duomenų sudėtį, su asmens duomenimis atliktus veiksmus (operacijas).

Tvarkytojas yra asmuo, kuris atlieka bet kokius veiksmus su asmens duomenimis: rinkimas, saugojimas, organizavimas, kaupimas, atnaujinimas, atnaujinimas, ištrynimas, depersonalizavimas ir pan.

Iš tikrųjų tvarkytojas yra ne tik galutinis vartotojas, kuriam reikalingi asmens duomenys darbui, bet ir bet kuris tarpinis naudotojas, kurio rankomis šie asmens duomenys perduoti. Rodyti praktikoje.

Problema

Internetinė parduotuvė turi klientų duomenų bazę, kuri yra trečiosios įmonės „debesyje“. Rinkodaros agentūra dirba su šia baze. Klausimas: Kiek asmeninių duomenų operatorių mes turime?

Teisingas atsakymas yra vienas. Tai internetinė parduotuvė, kurioje nustatomi asmens duomenų tvarkymo tikslai. Antrasis klausimas yra toks: kiek asmens duomenų tvarkytojų turime? Teisingas atsakymas yra du.

1. Bendrovė, kurioje debesyje yra internetinės parduotuvės duomenų bazė.
2. Rinkodaros agentūra, kuri gauna duomenis ir, remdamasi šiais duomenimis, gali parengti reklaminį pasiūlymą klientams.

Asmens duomenys tvarkomi įvairiose institucijose: pavyzdžiui, bankuose, mokyklose, klinikose, vizų centruose. Jau nekalbant apie tinklalapius, kuriuose registruojamės, paliekant mūsų el. Pašto adresus ir telefono numerius. Bet kaip ir kur tiksliai?

Nuance

Teisėje yra toks neaiškus terminas kaip „asmens duomenų informacijos sistema“. Jei bandote paaiškinti paprastais žodžiais - tai visas kompleksas, kurį sudaro duomenų bazių serveriai, techninės priemonės jų apdorojimui ir informacinės technologijos. Pagal įstatymą turi būti saugoma bet kokia asmens duomenų informacijos sistema.

Informacijos apsaugos metodai yra skirtingi.

• Fizinis: pvz., Patalpoje, kurioje yra kompiuteriai, gali būti įrengtos kameros, galima naudoti prieigos kontrolę, gali būti naudojamos signalizacijos sistemos.
• Techninė - naudojant specializuotas informacijos apsaugos priemones.
• Administracinė: visi reglamentai ir taisyklės, reglamentuojančios asmens duomenų tvarkymą įmonėje.

Pavyzdys

Viena iš informacijos apsaugos priemonių yra asmens duomenų deponavimas. Kas tai? Vizų centre kiekvienam vizos prašančiam asmeniui suteikiamas atskiras identifikavimo numeris. Pats numeris nėra susijęs su asmens duomenimis, nes jis asmeniškai pakeičia asmenį: neįmanoma nustatyti asmens, kuris kreipėsi dėl vizos.

Man atrodo, kad tvarkau asmens duomenis.

Taigi, su terminologija sutvarkyta. Dabar visi verslo atstovai, ypač individualūs verslininkai, kurie gali turėti tik kelis darbuotojus, turėtų sąžiningai atsakyti į klausimą: „Ar tvarkau asmens duomenis?“

Taip, jei esate svetainės savininkas, dalyvaujantis penkių žmonių per savaitę, tačiau jis turi atsiliepimų formą su laukais „vardas, el. Pašto adresas, telefono numeris“. Informacija apie tai, kokiais tikslais jūs renkate asmens duomenis, kaip jais naudojate, turėtų būti pateikta jūsų svetainėje.

Taip, jei tvarkote savo darbuotojų ar trečiųjų šalių specialistų, kurie samdo darbą, asmens duomenis.

Taip, jei dirbate su privačiais klientais ir jums reikalingi jų paso duomenys, norint sudaryti sutartis - tai taikoma kelionių agentūroms, fitneso centrams, įvairioms paslaugų įmonėms, internetinėms parduotuvėms ir kt.

Ir vėl, taip, jei esate biudžeto organizacija, politinė partija ar darželis. Pastarasis turi ne tik informaciją apie vaiką, bet ir apie tėvus, įskaitant darbo vietą ir pareigas. Jau nekalbant apie medicinos įstaigas - yra asmeninės informacijos, kuri turi būti saugiai saugoma, jūra.

Tačiau, jei asmeninius ryšius naudojate be komercinės naudos, teisės aktų reikalavimai jums netaikomi ir nėra jokios baudžiamosios atsakomybės.

Pvz., Naudodami kontaktus, atspausdintus vizitinėje kortelėje, kurią gavote iš kolegos, arba telefono numerius, esančius nešiojamojoje knygoje, išmaniajame telefone, informacija apie socialinius tinklus jums nereikalauja atsakomybės prieš įstatymą.

Svarbiausia yra neatskleisti duomenų reklamuotojams ir neskelbti jų be viešųjų nuosavybės duomenų savininkų leidimo.

Nustatykite asmens duomenų kategoriją

Sveikiname, esate didžiuojasi „asmens duomenų operatoriaus“ savininku. Dabar svarbiausia yra suprasti, kokie asmens duomenys tvarkomi. Kadangi tai priklauso nuo asmens duomenų kategorijos, kaip apsaugoti duomenis ir kokie reikalavimai turi būti įvykdyti. Kategorijos išsamiai aprašytos Federaliniame įstatyme Nr. 152 ir Vyriausybės 2012 m. Lapkričio 1 d.

Asmens duomenų kategorijos paprastais žodžiais:

Paprastai prieinami asmens duomenys: duomenys iš atvirų išteklių, kuriuos skelbia asmens duomenų subjektas arba kurie yra patvirtinti. Viešai prieinami duomenys yra žiniasklaidos ar interneto duomenys.

Pavyzdys: informacija, paskelbta atviroje prieigoje socialiniuose tinkluose arba įmonių svetainėje. Telefono numeris ir šeimos statusas paskelbti viešai prieinamoje „Facebook“. Darbuotojo vardas ir pavardė darbdavio svetainėje.

Biometriniai asmens duomenys: ši kategorija apima visus duomenis apie žmonių fiziologines ir biologines savybes.

Pavyzdys: svoris, aukštis, akis arba plaukų spalva, plaukų ilgis, kraujo tipas, nuotrauka.

Specialiosios kategorijos asmens duomenys: tai apima informaciją apie priklausymą bet kuriai rasei ir tautai, politines pažiūras, religinius ir filosofinius įsitikinimus, sveikatos būklę ar intymų gyvenimą.

Pavyzdys: medicininė diagnozė (informacija apie tai, ką sergate, kada, ką gydė gydytojas).

Kitų tipų asmens duomenys - tai asmens duomenys, neįtraukti į pirmiau nurodytas kategorijas.

Pavyzdys: verslo informacija. Darbuotojų apskaitos kortelės, kuriose pateikiama informacija, su kuria susiję HR ir buhalterijos darbai: atlyginimas, atostogų laikotarpiai, įdarbinimo datos.

Pavojų kategorija, skaičius, tipas - apsaugos lygis

Nusprendę dėl asmens duomenų kategorijos, turite suprasti tikslią jūsų apdorojamų duomenų sumą: iki 100 tūkst. Arba daugiau nei 100 tūkst.

Nustatė kategoriją ir kiekį, nustatykite grėsmės tipą:

Grėsmių skaičius 1. „Skylės“ ir operacinės sistemos pažeidžiamumai. Pavyzdys: pažeidžiamumai, kuriuos įsilaužėliai naudoja įsilaužimui į operacinę sistemą, kad pavogtų informaciją.

Grėsmių skaičius 2. „Skylės“ ir programinės įrangos pažeidžiamumai, ty programinėje įrangoje, kuri naudojama jūsų kasdieniame darbe. Pavyzdys: Word, Excel.

Grėsmių skaičius 3. Visos kitos grėsmės, neįtrauktos į pirmuosius du tipus. Visų pirma, žmogiškasis veiksnys. Darbuotojas gali palikti dokumentą atidarytoje kompiuteryje, siųsti dokumentą spausdinti kitam spausdintuvui arba el. Paštu.

Asmens duomenų, kategorijų, grėsmių rūšies kiekis - visa tai leidžia nustatyti, kokio lygio apsaugą reikia jūsų informacinei sistemai. Dabar yra keturi apsaugos lygiai.

Pirmasis ir aukščiausias apsaugos lygis dažniausiai naudojamas tvarkant asmens duomenis vyriausybinėse įstaigose ir medicinos įstaigose. Ketvirtasis apsaugos lygis yra paprasčiausias, kartais užtenka atlikti organizacines reguliavimo priemones, dažniausiai tai yra viešai prieinamų duomenų apsauga.

Galite nustatyti apsaugos lygį naudodami šią lentelę.

Pavyzdys

Ligoninė apdoroja savo pacientų asmens duomenis - tai specialios kategorijos asmens duomenys. Jis taip pat apdoroja darbuotojų asmens duomenis - tai kitos kategorijos asmens duomenys. Labiausiai tikėtina, kad ligoninėje yra dvi duomenų bazės. Jei pridedate abi duomenų bazes, gausite visą asmens duomenų, kurie verčiasi šios ligoninės informacinėje sistemoje, kiekį.

Pavyzdžiui, visi jie - iki 100 tūkst. Toliau aptariame, kaip tvarkomi duomenys: automatizuoti (kompiuteriu) arba automatizuoti (rankiniu būdu). Jei viskas yra automatizuota, mes žiūrime, kokią programinę įrangą naudoja ligoninė, kokių pažeidžiamumų ji turi.

Remiantis tuo, nustatomos grėsmės ir jų lygis. Pridedame visus veiksnius ir gauname antro lygio apsaugos klasę. Žiūrime, kokie yra įstatymo reikalavimai antrajam saugumo lygiui. Remiantis šiais reikalavimais, reikės sukurti informacinės sistemos apsaugą, kad būtų laikomasi Federalinio įstatymo reikalavimų.

Šiek tiek apie asmens duomenų nutekėjimo pavojų

Kodėl visai nerimaujate asmens duomenų apsaugos? Asmens duomenys yra brangus juodojoje rinkoje. Sukčiai nori mokėti įspūdingas sumas už profilį, kuriame yra išsami informacija apie asmens medicininį įrašą. Atskira rinka - banko kortelės duomenų pardavimas; sąskaitų socialiniuose tinkluose.

Asmens duomenų nutekėjimo pasekmės yra skirtingos. Duomenys gali būti viešai prieinami internete: pavyzdžiui, galite lengvai rasti pavogtas duomenų bazes, kuriose yra įmonių klientų adresai ir telefono numeriai tinkle. Žinant vardą ir pavardę, kiekvienas gali sužinoti asmens asmens adresą, gauti socialinį tinklą, peržiūrėti profilį arba tiesiog parašyti SMS į mobilųjį telefoną.

Asmeniniai duomenys gali patekti į tam tikros komercinės organizacijos erzinančio pašto siuntų duomenų bazę, tada jų savininkas bus užvaldytas nepageidaujamų paslaugų pasiūlymų. Juos taip pat gali naudoti internetiniai kazino internetiniai sukčiai arba atidaryti elektroninę piniginę.

Blogiausiu atveju užpuolikas gali įsivaizduoti kitą asmenį ir atsiskaityti už kito asmens vardą. Sunkiausi asmens duomenų nutekėjimo pasekmės yra: neteisėti veiksmai su nekilnojamuoju turtu, pinigų vagystė iš banko kortelių, artimųjų šantažas ir įmonės registravimas.

Atsakomybės našta

Ar suprantate klausimo svarbą ir esate pasirengę prisiimti atsakomybę? Tai tiesa. Kadangi atsakomybė už asmens duomenų saugumą tenka tik operatoriui.

Tai reiškia, kad operatorius turi pasirūpinti, kad informacija nepatektų į viešą prieigą arba nepatektų į trečiųjų šalių, kurios neturi jokių teisių, rankas. Tam reikalingas nuolatinis duomenų saugumo grėsmių stebėjimas ir prevencija, informacijos saugumo lygio kontrolė ir jos atkūrimas praradimo atveju.

Mūsų šalyje „Roskomnadzor“ stebi, kaip laikomasi asmens duomenų tvarkymo teisės aktų. Ši institucija reaguoja į skundus, reguliuoja subjektų ir operatorių santykius.

Už informacijos apsaugos techninius reikalavimus atsako FSTEC ir FSB: jie rengia reikalavimus ir kontroliuoja jų vykdymą.

Asmens duomenų tvarkymo reikalavimai

Ir dabar atėjo laikas ištirti lenteles su asmens duomenų techninės apsaugos reikalavimais. Išsamesnę informaciją rasite Federalinės techninės ir eksporto kontrolės tarnybos 2013 m. Vasario 18 d.

Bet bent jau pradėkite tai:

1. Registruokitės su „Roskomnadzor“ kaip asmens duomenų valdytoju. Reikalaujama kreiptis į „Roskomnadzor“ popierine ar elektronine forma. Informacija apie nuorodą.
2. Gauti raštišką sutikimą iš visų subjektų, kurių asmens duomenys tvarkomi. Sutikimas tvarkyti asmens duomenis yra pagrindinis teisinis dokumentas, patvirtinantis asmens duomenų tvarkymo teisėtumą.
3. Parengti vidaus dokumentus. Eksploatavimas pagal organizacijos vadovo nurodymus „Asmens duomenų tvarkymo taisyklės“. Šiame dokumente operatorius paaiškina, kaip jis ketina naudoti asmens duomenis, už ką ir kur jie bus perkelti. Tai yra esminis dokumentas, kurio reikalauja bet kuris asmens duomenų operatorius. Remiantis tuo, rengiami visi kiti administraciniai dokumentai.

Daugelis svetainių savininkų mano, kad jei lankytojas paspaudžia mygtuką „Sutinku su asmens duomenų apdorojimu“, nebus jokių teisinių problemų, o duomenų apdorojimas automatiškai patenka į teisinę sritį. Tai ne.

Teisiniu požiūriu yra tik du būdai, kaip patvirtinti savo sutikimą tvarkyti asmens duomenis: parašą parašykite popieriuje arba naudodami elektroninį skaitmeninį parašą.

Visais kitais atvejais, jei byla patenka į teismą, svetainės savininkas negalės patvirtinti, kas tiksliai paspaudė mygtuką „Sutinku“. Galima tik tikėtis, kad jūsų svetainėje atvykęs subjektas savanoriškai perduoda savo duomenis ir nepateikia skundo.

Ar tikrai yra patikrinimas?

Taip, patikrinimai gali būti atliekami iš „Roskomnadzor“.

„Roskomnadzor“ kasmet skelbia patikrinimų sąrašą iš registruotų operatorių sąrašo, jei įmonė įtraukta į patikrinimų sąrašą, o kitas planuojamas patikrinimas galimas ne anksčiau kaip po trejų metų. Čia galite pamatyti, ar jūsų įmonė yra sąraše šiais metais.

Paprastai patikrinimai dėl plano atsiranda dėl skundų. Jei čekis yra neplanuotas, apie tai turėtumėte įspėti per 24 valandas raštu.

Taip pat gali būti tikrinami dokumentai. Dokumentuodami jums atsiųsite dokumentų, kurių kopijas reikės nusiųsti į Roskomnadzor, sąrašą.

Kartais „Roskomnadzor“ atlieka patikrinimus vietoje: inspektoriai asmeniškai apsilanko, kad patikrintų įmonę vietoje.

Pasiruošimas bet kuriam iš šių patikrinimų yra daug laiko reikalaujanti užduotis. Ar išspręsite užduotį pasiruošti patikrinimui, ar įtrauksite išorės specialistus, pirmiausia turite nustatyti, kas kompanijoje bus atsakingas už FZ-152 laikymąsi.

Baudos, teismai ir kiti baisumai

Už 152-FZ pažeidimą yra teikiama civilinė, baudžiamoji, administracinė ir drausminė atsakomybė.

Taigi, „Roskomnadzor“ atliko patikrinimą, jei nustatė neatitikimus įstatymui, jis išduos tyrimą atliekančiam komitetui įsakymą atlikti teismo procesą dėl įstatymo „Dėl asmens duomenų“ pažeidimo.

Po to prokuratūra pradės patikrinimą, kurio metu ji gali sustabdyti įmonės veiklą: atšaukti bendrovės duomenų bazę, ypač kompiuterius, kuriuose buvo tvarkomi asmens duomenys.

Teisės pažeidėjai pirmiausia laukia baudų. Baudų dydis skiriasi priklausomai nuo nusikaltimo. Taigi, tvarkant asmens duomenis be raštiško subjektų leidimo, juridiniai asmenys turės prisiimti administracinę atsakomybę.

Net jei operatorius yra pasirengęs mokėti baudą, bet pagal didelio verslo standartus, jis neatrodo didžiulis, nusikaltėlis vis tiek turės pašalinti prieštaravimą prieš įstatymą (pavyzdžiui, ištrinti saugomus duomenis) ir pranešti Roskomnadzor.

Blogiausias scenarijus yra, jei „Roskomnadzor“ nusprendžia atšaukti bendrovės licenciją, uždrausti verslui tvarkyti asmens duomenis ir neteisėtai skelbti asmens duomenis apie piliečius.

Per pastaruosius kelerius metus garsiausias skandalas Rusijoje buvo susijęs su „LinkedIn“ blokavimu, kurio savininkai buvo apkaltinti piliečių asmens duomenų tvarkymu be jų sutikimo serveriuose už Rusijos Federacijos ribų. „Autoum.info“ paslaugos blokavimas taip pat buvo „padarytas triukšmu“.

Kiek kainuos pinigai ir jėga

Asmens duomenų tvarkymą galite organizuoti nepriklausomai arba naudodami tokią paslaugą teikiančią įmonę.

Jei nuspręsite tvarkyti asmeninius duomenis, jums reikės:

1. Suprasti, kokią kategoriją asmens duomenys tvarkomi ir kokie yra jų apsaugos techniniai reikalavimai.
2. Savarankiškai arba padedant IT kompanijai, sukurkite techninius sprendimus, paruošite reikiamos įrangos ir programinės įrangos pirkimus, ją įdiegiate ir įgyvendinkite.
3. Išduokite visus teisinius dokumentus. Sukurti vidaus dokumentų rinkinį: instrukcijas ir reglamentus.

Geriausiu atveju, tai užtruks nuo trijų iki keturių mėnesių, tokio įgyvendinimo kaina, tai gali būti 200-300 tūkst. Rublių - tai yra įrangos ir licencijų pirkimo kaina. Darbo sąnaudos ir tolesnė informacinės sistemos parama yra atskiras išlaidų punktas. Taip pat reikės administratoriaus, kuris stebės sistemos veikimą.

Kalbant objektyviai, labai mažos įmonės paprasčiausiai neatitinka visų įstatymo reikalavimų tikėdamosi, kad nebus patikrinimo. Galbūt tai tikrai nebus. Kitos įmonės „Potemkin kaimus“ kuria tik apsimeta, kad tvarko asmens duomenis pagal įstatymo reikalavimus, kitaip tariant, jie „perka“ reikiamus dokumentus.

Kitame straipsnyje mes parodysime, kaip apskaičiuoti asmens duomenų tvarkymo išlaidas įmonės viduje ir pranešti, kada yra naudingiau atlikti asmens duomenų tvarkymą ir kada geriau jį deponuoti debesyje.

Medžiaga skelbiama vartotojo. Spustelėkite mygtuką „Rašyti“, kad galėtumėte pasidalinti savo nuomone ar kalbėti apie savo projektą.

Asmens duomenų įstatymas: poveikis biuro darbui

• Khramtsovskaya Natalia | Istorinių mokslų kandidatas, pirmaujantis ekspertų dokumentų valdymo ekspertas, ISO ekspertas, Tarptautinės archyvų tarybos narys

Ieškote pagrindinės priežasties

Rusijos Federacijos federalinis įstatymas Nr. 152-ФЗ „Dėl asmens duomenų“ buvo priimtas 2006 m. Liepos 27 d., Ir, atsižvelgiant į kitus neįvykusius praėjusių metų įvykius, beveik nepastebėta. Formalios priežastys, dėl kurių jis buvo priimtas, buvo daugybė faktų, susijusių su asmens duomenų bazių vagyste valstybinėse ir komercinėse struktūrose ir jų platinimu. Iš tiesų pagrindinis šio įstatymo priėmimo tikslas buvo pašalinti tam tikras kliūtis prekybai su Europos Sąjungos šalimis.

Prancūzija uždraudė paskelbti faktus apie privatumą ir 1858 m. Skyrė baudas pažeidėjams.

Norvegijos baudžiamasis kodeksas uždraudė 1889 m. Paskelbti informaciją, susijusią su "asmeniniais ar asmeniniais reikalais".

Nacionalinis įstatymas „Dėl asmens duomenų“, pateiktas 2006 m. Liepos 27 d. Nr. 152-FZ, pradėjo veikti šių metų sausio 26 d. (Pagal 25 straipsnio 1 dalį įstatymas įsigalioja 180 dienų po oficialaus paskelbimo, kuris įvyko 2006 m. Liepos 29 d. „Rossiyskaya Gazeta“).

Pagal ES direktyvą 95/46 / EB asmens duomenis galima perduoti tik toms šalims, kurios užtikrina tokį patį apsaugos lygį kaip ir Europoje. Tai labai trukdė keistis informacija iš Europos vyriausybės agentūrų ir įmonių su savo užsienio partneriais, todėl daugeliui komerciniu požiūriu perspektyvių projektų neįmanoma. Tokius apribojimus patyrė ne tik Rusija ir trečiosios pasaulio šalys, bet ir ekonominis monstras, kaip antai Jungtinės Valstijos. Taigi, mūsų vyriausybė nusprendė įveikti šią kliūtį. Pažiūrėkime, kaip jis tai padarė ir kas mums kainuos.

Rusijos įstatymo dėl asmens duomenų priėmimas buvo Rusijos Federacijos prisijungimo prie 1981 m. Europos konvencijos „Dėl asmens apsaugos, susijusios su automatiniu asmens duomenų tvarkymu“, rezultatas, kuris apibrėžia pagrindinius asmens duomenų apsaugos principus Europos šalyse. Šioje Konvencijoje ir vėlesnėse Europos Sąjungos direktyvose buvo apibrėžtos užduotys, kurias nacionalinės teisės aktai turėtų reglamentuoti reguliuodami asmens duomenis:

• asmens duomenų apsauga nuo neteisėtos prieigos prie kitų asmenų, įskaitant valdžios institucijų ir tarnybų, neturinčių reikiamų įgaliojimų, atstovus;
• užtikrinant duomenų saugumą, vientisumą ir patikimumą dirbant su jais, įskaitant perdavimą ryšių kanalais;
• užtikrinti tinkamą šių duomenų teisinį režimą dirbant su jais įvairioms asmens duomenų kategorijoms;
• užtikrinti, kad piliečiai naudotųsi asmens duomenimis;
• sukurti specialią nepriklausomą struktūrą, kuri užtikrintų veiksmingą piliečių teisių į jo asmens duomenų apsaugą kontrolę (pavyzdžiui, asmens duomenų apsaugos komisaro pareigybės sukūrimas).

Mūsų įstatymas iš esmės pakartoja pagrindines Europos teisės aktų nuostatas šioje srityje, kuri yra laikoma viena iš sunkiausių 2 pasaulyje. Nors 2006 m. Įstatymas buvo kalbamas gana dažnai, tačiau nedaugelis žmonių atidžiai perskaitė jos nuostatų turinį. Tačiau siekiant užtikrinti, kad būtų laikomasi jos reikalavimų, būtina žymiai pakeisti darbą su informacija ir dokumentais, kuriuose yra asmens duomenų. Pabandykime išsiaiškinti, kas nauja organizavimo dokumentų ir informacijos valdymo srityje?

• Visose organizacijose yra naujas, gana platus dokumentų rinkinys. Tai dokumentai, susiję su asmenų sutikimo tvarkyti asmens duomenis tvarkymu, registruojant duomenų bazes su įgaliotąja institucija, dokumentuojant visus sandorius su asmens duomenimis ir pan.
• Būtina pabrėžti dokumentus ir informaciją, kurioje yra asmens duomenys; jų specialus ženklinimas tiek popieriuje, tiek elektroninėje laikmenoje; atskiras apskaitos ir prieigos stebėjimas. Galite kalbėti apie kito tipo kaklo prieigą prie dokumentų.
• Iš esmės keičiantis požiūris į dokumentų ir informacijos saugojimą. Pirmą kartą vidaus praktikoje nustatytas maksimalus saugojimo laikotarpis ir sąlyginis laikotarpis, kurį bus gana sunku stebėti ir stebėti.
• Dirbant su asmens duomenimis, būtina aiškiai iš anksto apgalvoti ir įrašyti jį į reguliavimo dokumentus, susijusius su jų tvarkymu. Priešingu atveju organizacija gali būti atskaitinga ir, netgi nemaloniau, gali kilti daugybė bylų iš pačių asmens duomenų subjektų 3.
• Įstatymu nustatomi labai griežti visų piliečių skundų, susijusių su asmens duomenų tvarkymu, vykdymo terminai.

Dabar išsiaiškinkime svarbiausias įstatymo nuostatas ir įvertinkime, kokios organizacijos ir institucijos turės ją įgyvendinti. Be to, mes stengsimės analizuoti kai kurias įstatymo nuostatas dėl jų formuluotės teisingumo ir aiškumo.

Įstatymo taikymo sritis

Pirmasis klausimas: kam šis įstatymas taikomas? Atsakydami į tai, galime saugiai pasakyti, kad jis taikomas visiems be išimties (valstybės institucijoms, juridiniams asmenims ir asmenims). Čia yra 1 straipsnio sąrašas:

• federalinės valdžios institucijos
• Rusijos Federacijos subjektų valstybinės valdžios institucijos, t
• kitos valstybės institucijos
• savivaldybės,
• savivaldybių įstaigos, kurios nėra vietos savivaldos institucijų sistemos dalis, t
• juridiniai asmenys
• asmenims.

Antras svarbus klausimas yra teisės taikymo sritis.

2006 m. Liepos 27 d. Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ Nr. 152-FZ 1 straipsnis

Šis federalinis įstatymas reglamentuoja santykius, susijusius su asmens duomenų tvarkymu... naudojant automatizavimo priemones arba nenaudojant tokių priemonių, jei asmens duomenų tvarkymas nenaudojant tokių priemonių atitinka veiksmų (operacijų), atliekamų su asmens duomenimis, pobūdį automatizavimo priemonėmis.

Šio straipsnio formuluotė yra pavyzdys, kaip nerengti įstatymų. Paaiškėjo, kad kažkas nesuprantama, leidžianti įvairias interpretacijas. Kaip, remiantis tokiu tekstu, atsakyti, pavyzdžiui, į klausimą, ar verslo knygoje pateikiami laisvos formos duomenys, patenka į įstatymo taikymo sritį? Jei toks nešiojamas kompiuteris yra saugomas kompiuteryje ar mobiliajame telefone, ar laikoma „automatikos įrangos naudojimu“?

Europos teisės aktai šiuo atžvilgiu yra aiškesni:

1995 m. ES direktyva 95/46 / EB

2 straipsnis „Apibrėžimai“:

c) „asmens duomenų saugojimo sistema“ 4 („saugojimo sistema“) - tai bet koks struktūrizuotas asmens duomenų rinkinys, prie kurio galima susipažinti pagal tam tikrus kriterijus - neatsižvelgiant į tai, kaip duomenų rinkinys organizuojamas, centralizuotai, decentralizuotai arba platinant funkciniu ar geografiniu pagrindu...

3 straipsnis "Taikymo sritis":

1. Ši direktyva yra susijusi su asmens duomenų tvarkymu automatinėmis priemonėmis (visiškai arba iš dalies), taip pat su duomenų tvarkymu kitomis priemonėmis nei automatiniai, asmens duomenys, sudedamosios dalys arba skirti saugojimo sistemoms.

Šiuolaikinėje kompiuterių terminologijoje „struktūrizuoti duomenys“ visų pirma reiškia duomenų bazes. Dokumentuose jie apima kortelių failus ir asmeninių failų archyvus. Todėl Europos reikalavimai apima:

• automatinio asmens duomenų tvarkymo ir. t
• naudoti (automatiniu ar kitu būdu), kuriame yra popierinių ir elektroninių duomenų bazių, kortelių failų ir tt asmens duomenys, turintys paieškos mechanizmą, kuris leidžia lengvai gauti informaciją apie konkretų asmenį.

Kodėl neįmanoma rašyti rusų kalba ir mūsų įstatyme lieka nesuprantamas?

Reikėtų atkreipti dėmesį į terminologijos skirtumą: „automatinis apdorojimas“ yra vienas dalykas, o „automatizavimo įrangos naudojimas“ yra visiškai kitokia sąvoka, daug platesnė ir neaiškesnė.

Įstatymas numato tik keturias išimtis, ty įstatymas netaikomas santykiams, kylantiems:

• tvarkant asmens duomenis asmeniniams ir šeimos poreikiams;
• tvarkant asmens duomenis Rusijos Federacijos Archyvų fondo dokumentuose;
• tvarkant asmens duomenis įtraukiant į Vieningą valstybinį individualių verslininkų registrą (EGRIP);
• tvarkant asmens duomenis, klasifikuojamus kaip valstybės paslaptis.

Vienas iš šių punktų reikalauja išsamesnio tyrimo. Norėdami pradėti, cituojame įstatymą:

2006 m. Liepos 27 d. Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ Nr. 152-FZ 1 straipsnis

2. Šis federalinis įstatymas netaikomas santykiams, kylantiems iš:

2) Rusijos Federacijos archyvo fondo dokumentų ir kitų archyvinių dokumentų saugojimo, įsigijimo, apskaitos ir naudojimo organizavimą, įskaitant asmens duomenų archyvą pagal Rusijos Federacijos archyvų teisės aktus.

Primename jums du apibrėžimus, įtvirtintus Įstatyme „Dėl archyvų reikalų Rusijos Federacijoje“, Nr. 125-ФЗ, 2005 02 10:

• archyvinis dokumentas - materialinė laikmena su jame įrašyta informacija, turinti išsamią informaciją, leidžiančią ją identifikuoti ir saugoti dėl nurodyto vežėjo reikšmės ir informacijos piliečiams, visuomenei ir valstybei;
• Rusijos Federacijos Archyvų fondo dokumentas yra archyvinis dokumentas, išlaikęs dokumentų vertės patikrinimą, įkeliamas į valstybės apskaitą ir yra nuolat saugomas.
  Pasirodo, kad jei dokumentui ar duomenų bazei yra nustatytas nuolatinis saugojimo laikotarpis ir jie yra įtraukti į Rusijos Federacijos archyvų fondą, šis įstatymas jiems netaikomas. Ši klaida leidžia vyriausybinėms agentūroms rimtą duomenų bazę, kad būtų išvengta naujo įstatymo dėl asmens duomenų įgyvendinimo.

Čia yra pavyzdys, kaip tai galima padaryti. Pagal Federalinį įstatymą „Dėl Rusijos Federacijos archyvavimo reikalų“ (18 straipsnio 2 dalis) Rusijos Federacijos Vyriausybė patvirtina federalinių vykdomųjų organų ir organizacijų, vykdančių federalinės nuosavybės teise priklausančių Rusijos Federacijos archyvo fondo dokumentų saugyklą, sąrašą. 2006 m. Pabaigoje buvo patvirtintas naujas 5 iš šių departamentų ir organizacijų sąrašas. Tuo pačiu metu šios organizacijos buvo įpareigotos sudaryti susitarimą dėl dokumentų saugojimo sąlygų su Rosarkhiv. Jei sutarties sudarymo metu konkrečiai nustatyta, kad visi dokumentai, išskyrus operatyvinius, laikomi saugoti perduotais dokumentais, tada didžioji dalis dokumentų gali būti priskirta šiai išimčiai.

Kitoms valstybinėms organizacijoms viena iš galimybių galėtų būti greitas atvejo įrašų patvirtinimas su valstybės archyvais, o tai iš tikrųjų reikštų dokumentų įtraukimą į Rusijos Federacijos archyvų fondą ir iš naujo paliekant asmens duomenų įstatymo „zoną“.

Europos Sąjungos direktyvose nėra tokios išimties, tačiau ji egzistuoja, pavyzdžiui, JAV 6 kodekse, kuriame yra teisingesnė formuluotė, kuri neleidžia dviprasmiškumo: asmens duomenų teisės aktai paprastai netaikomi dokumentams, jau deponuotiems valstybės archyvuose, tačiau taikoma dokumentams, perduotiems valstybės archyvams bet kurios globos įstaigos.

Taip pat neaišku, kodėl iš mūsų daugybės valstybinių duomenų bazių mūsų įstatymas išimtis dėl Vieningo valstybinio individualių verslininkų registro (EGRIP). Taigi būtų logiška išplėsti išimtį ir kitiems valstybiniams registrams, kuriuose taip pat yra asmens duomenų (pavyzdžiui, Įtraukimas apima informaciją apie visų šalies juridinių asmenų steigėjus ir pirmuosius asmenis).

Asmens duomenys ir tvarkymo metodai

Asmens duomenys - bet kokia informacija, susijusi su fiziniu asmeniu (asmens duomenų objektu), nustatyta arba nustatyta remiantis tokia informacija, įskaitant jo pavardę, vardą, tėvynę, metus, mėnesį, gimimo datą ir vietą, adresą, šeimą, socialinę, nuosavybės statusą., švietimas, profesija, pajamos, kita informacija (pagal Asmens duomenų įstatymo 3 straipsnį).

Įstatymas numato tokius asmens duomenų tvarkymo būdus (daugeliui jų išsamūs paaiškinimai pateikti 3 straipsnyje):

• rinkimas;
• sisteminimas;
• kaupimasis;
• saugojimas;
• paaiškinimas (atnaujinimas, keitimas);
• naudoti - „veiksmai (operacijos) su asmens duomenimis, kuriuos atlieka operatorius 7, siekiant priimti sprendimus ar atlikti kitus veiksmus, dėl kurių kyla teisinių pasekmių asmens duomenų subjektui ar kitiems asmenims, arba kitaip paveikti asmens duomenų ar kitų asmenų teises ir laisves“;
• platinimas (įskaitant perkėlimą) - „veiksmai, kuriais asmens duomenys perduodami tam tikrame asmenų rate (asmens duomenų perdavimas) arba susipažinimas su neribotam asmenų skaičiui, įskaitant viešą asmens duomenų atskleidimą žiniasklaidoje, informacijos pateikimą ir telekomunikacijų paslaugas tinklus arba bet kokiu kitu būdu suteikti prieigą prie asmens duomenų “;
• Depersonalizacija - „veiksmai, dėl kurių neįmanoma nustatyti asmens duomenų tapatybės konkrečiam asmens duomenų subjektui“;
• blokavimas - „laikinas asmens duomenų rinkimo, sisteminimo, kaupimo, naudojimo, sklaidos, įskaitant jų perdavimą, sustabdymas“;
• asmens duomenų sunaikinimas - „veiksmai, dėl kurių neįmanoma atkurti asmens duomenų turinio asmens duomenų informacinėje sistemoje arba dėl to sunaikinami asmens duomenų turėtojai“.

Ypatingas dėmesys turėtų būti skiriamas tokiems apdorojimo metodams, kaip asmens duomenų blokavimas ir sunaikinimas. Įstatymas sako gana gerai apie sunaikinimą - tai požiūris, kurį dabar rekomenduoja vidaus ir užsienio standartai. Kalbant apie asmens duomenų blokavimą, šis apdorojimo būdas vidaus praktikoje pirmą kartą buvo įvestas ir jo vykdymas gali labai apsunkinti organizacijų, naudojančių anksčiau sukurtas informacines sistemas ir duomenų bazes, kuriose tokia operacija nėra teikiama, gyvenimą.

Asmens duomenų tvarkymo principai ir sąlygos

Įstatymo nuostatos pirmiausia skirtos užkirsti kelią neteisėtam asmens duomenų rinkimui ir naudojimui. Toks įstatymų leidėjo noras sukėlė naują poziciją, susijusią su apskaitos praktika:

Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ 5 straipsnio 2 d. 2006 Nr. 152-FZ

Asmens duomenys turėtų būti saugomi tokiu būdu, kuris leistų nustatyti dalyką, ne ilgiau kaip reikia apdorojimo tikslams, ir turėtų būti sunaikintas, kai pasiekiami asmens duomenų tvarkymo tikslai, arba prarandama būtinybė juos pasiekti.

Šiuo atveju, įstatymas pirmą kartą, galbūt, nustato informaciją ir dokumentuoja maksimalų ir, be to, sąlyginį saugojimo laikotarpį - „pasiekus apdorojimo tikslus“. Organizacijos turės nustatyti saugojimo terminus dokumentams, kuriuose yra asmens duomenys, ir reikės iš anksto pagalvoti apie pasirinktų saugojimo laikotarpių pagrindimą. Tai gana sudėtingas klausimas, dėl kurio gali kilti daug prieštaravimų ir problemų.

Be to, DOE specialistai turi atkreipti dėmesį į šiuos dalykus: kadangi asmens duomenų rinkimo ir tvarkymo tikslai, kaip reikalaujama įstatymuose, turi būti nustatyti prieš pradedant darbą, būtina atidžiai apsvarstyti jų formuluotę. Priešingu atveju pati organizacija gali „pakeisti“: tikslai bus įvykdyti, o asmens duomenys nebus sunaikinti.

Viena iš nemaloniausių organizacijų, renkančių ir apdorojančių asmens duomenis, yra 6 straipsnio reikalavimas dėl būtinybės gauti subjekto sutikimą jų tvarkymui. Sutikimas nereikalingas tik šiais atvejais:

• remiantis federaliniais teisės aktais;
• siekiant įvykdyti sutartį su asmens duomenų subjektu;
• statistiniais ar moksliniais tikslais;
• apsaugoti asmens duomenų subjekto gyvenimą ir sveikatą;
• pašto siuntų pristatymui paštu;
• žurnalisto, mokslininko ir kt. profesinės veiklos metu;
• duomenys, skelbiami pagal federalinius įstatymus;
• siekiant apsaugoti konstitucinės tvarkos, moralės, sveikatos, kitų teisių ir teisėtų interesų pagrindus, užtikrinti šalies gynybą ir valstybės saugumą.

Jau turime keletą federalinių įstatymų, kuriuose aprašomi asmens duomenų tvarkymai, pavyzdžiui, tvarkant vieningus mokesčių mokėtojų valstybinius registrus (EGRN) ir juridinius asmenis (USR). Vienintelė išimties iš bendro sutikimo reikalavimo taikymo sąlyga yra pateikti šiuos klausimus atitinkamuose teisės aktuose:

• tikslus
• asmens duomenų gavimo sąlygos
• subjektų, kurių asmens duomenys yra tvarkomi, ratą, t
• duomenų rinkimo operatoriaus įgaliojimus.

Dar neaišku, kas nutiks su tais įstatymais, kuriuose yra normų, susijusių su asmens duomenų rinkimu ir apdorojimu, bet neatitinka nurodytos sąlygos.

Pirmoji problema, susijusi su naujojo įstatymo laikymusi, atkreipė draudimo bendrovių dėmesį. Jų nuomone, asmens duomenų įstatymas gali rimtai trukdyti įgyvendinti įstatymą dėl privalomojo transporto priemonių valdytojų civilinės atsakomybės draudimo, nes draudžiama perduoti trečiosioms šalims kliento asmens duomenis, gautus sudarant TPPL sutartį, be jo sutikimo. Dėl to draudimo bendrovė negalės gauti išsamios informacijos apie savo klientus iš vienos duomenų bazės (ir tokios duomenų bazės išlaikymas taip pat yra abejotinas), šiuo atveju draudikų rizika didėja.

Jau draudimo įmonės stengiasi išspręsti šią svarbią problemą, atsižvelgdamos į šias galimybes:

• OSAGO įstatymo pakeitimai ir draudikų pareiga keistis duomenimis apie draudžiamuosius įvykius.
• Asmens duomenų apibrėžimas kaip viešas. Informacija, kurią asmuo nurodo sudarant OSAGO sutartį, yra, pasak draudikų, vieša. Tačiau įstatymas „Dėl asmens duomenų“ reikalauja gauti sutikimą rinkti viešus duomenis.
• Visų Rusijos draudikų sąjungos (ARIA) kovos su draudimo sukčiavimu komitetas jau parengė dvi sąskaitas, kurias planuojama pateikti Valstybės Dūmai 2007 m. Pradžioje. Pasak komiteto vadovo, Jevgenijus Potapovas, vienas iš šių sąskaitų bus iš dalies pakeisti įstatymą „Dėl draudimo veiklos organizavimo Rusijos Federacijoje“. Tai leis draudikams kurti automatines informacines sistemas, pagrįstas jų asociacijomis ir asociacijomis, kuriose bus pateikti duomenys apie draudimo reikalavimus ir mokėjimus 8.

Abejojama 6 straipsnio 6 dalimi dėl teisės tvarkyti asmens duomenis žurnalistams, mokslininkams ir kitų kūrybinių profesijų atstovams be subjekto sutikimo. Labai realu (ypač komercinėse struktūrose) įdiegti „kūrybinės profesijos atstovo“ visą darbo dieną ir „rašyti jai“ visas duomenų bazes, kuriose yra asmeninė informacija.

Pavyzdžiui, Anglijoje panašioje įstatymo nuostatoje taip pat yra numatyta, kad šiuo atveju duomenų tvarkymo tikslas turėtų būti atitinkamos medžiagos paskelbimas; kad toks skelbimas turi atitikti viešąjį interesą (įskaitant naudojimąsi kūrybinės profesijos atstovo saviraiškos teise) 9.

Be to, įdomu, kaip mes nustatysime, kas yra žurnalistas ar rašytojas ir kas ne. Tai ne paslaptis, kad daugelis rašymo brolių neturi atitinkamų diplomų ar oficialių ID. Čia JAV naudotas požiūris gali būti naudingas mums: žurnalistai pripažįsta visus tuos, kurie rašo straipsnius viešam platinimui, net jei jie skelbiami tik internete.

Jungtinėse Valstijose 2007 m. Sausio mėn. Prasidėjo buvusių vyresniųjų George'o Busho Lewio „Scooter“ Libby administracijos bandymai. Šimtai vietų buvo atidėtos spaudai teismo salėje, o du iš jų oficialiai gavo interneto dienoraščių autoriai.

Amerikos laikraščių redaktorių draugija, rengdama federalinį įstatymą dėl leidimo suteikti žurnalistams teisę neatskleisti konfidencialios informacijos teisminio proceso metu, siūlo, kad šis įstatymas būtų taikomas visiems be išimties ir apima tuos, kurie renka informaciją tolesniam platinimui. Interneto apibrėžimų autoriai, „Bloggers“, taip pat priklauso šiam apibrėžimui 10.

Dabar pažiūrėkime, kaip naujasis įstatymas apima subjekto sutikimo gavimą jo asmens duomenų tvarkyme.

Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ 9 straipsnio 1 d. 2006 Nr. 152-FZ

Asmens duomenų objektas sprendžia dėl jo asmens duomenų teikimo ir sutinka su jų tvarkymu savo noru ir jo interesais... Asmens duomenų subjekto sutikimas tvarkyti asmens duomenis gali būti atšauktas.

Be to, 9 straipsnio 3 punkte yra gana nemalonus operatorių statusas. Jie turės arba sukaupti įrodymus, kad jų surinkti duomenys yra paimti iš viešai prieinamų šaltinių, arba gauti asmens duomenų subjekto sutikimą ir tada saugoti šį dokumentą tuo atveju, jei „subjektas“ nusprendžia iškelti bylą operatoriui už jo teisių pažeidimą.

Be viešai prieinamų duomenų taip pat nėra taip paprasta. 8 straipsnyje, kuriame apibrėžiama, ką reiškia viešai prieinami asmens duomenų šaltiniai (informacinės knygos, adresų knygos ir tt), pabrėžiama, kad asmeninę informaciją galima įtraukti tik su raštišku subjekto sutikimu. Be to, „asmens duomenų subjekto prašymu arba teismo ar kitų įgaliotų valdžios institucijų prašymu„ informacija apie asmens duomenų objektą bet kuriuo metu gali būti pašalinta iš viešai prieinamų asmens duomenų šaltinių “.

Kita vertus, jei organizacija, naudodamasi informacija, naudojo viešai prieinamus asmens duomenų šaltinius, tuomet ji turėtų dokumentuoti, kur gavo šią informaciją, ir įsitikinti, kad „šaltinis“ turi įstatymų reikalaujamą rašytinį sutikimą.

Rusijos Federacijos federalinis įstatymas „Dėl asmens duomenų“, pateiktas liepos 27 d. 2006 Nr. 152-FZ

3 straipsnio 12 punktas. Šiame federaliniame įstatyme vartojamos pagrindinės sąvokos

Paprastai prieinami asmens duomenys yra asmens duomenys, kuriuos neribotam asmenų skaičiui gali suteikti asmens duomenų subjekto sutikimas arba kuriems konfidencialumo reikalavimas netaikomas pagal federalinius įstatymus.

8 straipsnio 1 dalis. Paprastai prieinami asmens duomenų šaltiniai

Siekiant teikti informaciją, galima sukurti viešai prieinamus asmens duomenų šaltinius (įskaitant informacines knygas, adresų knygas). Į viešai prieinamus asmens duomenų šaltinius su rašytiniu asmens duomenų subjekto sutikimu gali būti jo vardas, pavardė, vardas, pavardė, gimimo metai ir vieta, adresas, abonento numeris, informacija apie profesiją ir kiti asmens duomenys, kuriuos pateikia asmens duomenys.

9 straipsnio 3 dalis. Asmens duomenų subjekto sutikimas tvarkyti jų asmens duomenis

Pareiga įrodyti asmens duomenų subjekto sutikimą tvarkyti jo asmens duomenis ir viešai prieinamų asmens duomenų tvarkymo atveju privalo įrodyti, kad tvarkomi asmens duomenys yra viešai prieinami.

Pasirodo, kad norėdamos apsisaugoti, organizacijos turės paprašyti kiekvieno piliečio oficialiai patvirtinti.

Kaip turėtų būti pateiktas rašytinis subjekto sutikimas? Pasirodo, kad piliečių parašas pagal bendrąją frazę „Sutinku su mano asmens duomenų rinkimu ir apdorojimu“ nebus pakankamas.

Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ 9 straipsnio 4 punktas. 2006 Nr. 152-FZ

... rašytinis asmens duomenų subjekto sutikimas tvarkyti jų asmens duomenis turėtų apimti:

1. asmens duomenų pavardė, vardas, pavardė, asmens vardas, pavardė, pagrindinio jo tapatybę patvirtinančio dokumento numeris, informacija apie nurodyto dokumento išdavimo datą ir išduodančioji institucija;
2. asmens, kuris gauna asmens duomenų subjekto sutikimą, pavadinimas (vardas, pavardė, globėjas) ir adresas;
3. asmens duomenų tvarkymo tikslas;
4. asmens duomenų, kuriais tvarkomas asmens duomenų subjekto sutikimas, sąrašas;
5. veiksmų su asmens duomenimis, kuriems duotas sutikimas, sąrašas, bendras metodų, kuriuos naudotojas naudoja asmens duomenims tvarkyti, aprašymas;
6. laikotarpis, per kurį sutikimas galioja, ir jo panaikinimo tvarka.

Tai reiškia, kad prieš „gaudydamas“ asmens duomenų temą ir bandydamas gauti jo sutikimą, operatorius turi parengti specialią dokumento formą, kurioje būtų visa reikalinga informacija.

Asmens duomenų subjektų teisės

Visų pirma, asmens duomenų objektas turi teisę gauti šią informaciją:

• informacija apie operatorių,
• informacija apie operatoriaus vietą,
• informacija apie operatoriaus asmens duomenis, susijusius su atitinkamu asmens duomenų subjektu, t
• subjektas taip pat turi teisę susipažinti su jo turimais asmens duomenimis.

Iš operatoriaus asmens duomenų objektas gali būti:

• paaiškinti savo asmens duomenis
• jų blokavimas ar sunaikinimas tuo atveju, jei asmens duomenys yra neišsamūs, pasenę, netikslūs, gauti neteisėtai arba nėra būtini nurodytam tvarkymo tikslui.

Daugelis sunkumų operatorių organizacijoms sukurs įstatymo 14 straipsnio 2 punktą, pagal kurį reikalaujama, kad operatorius pateiktų informaciją apie asmens duomenų prieinamumą prieinamoje formoje ir kad joje nebūtų informacijos apie kitus asmens duomenų subjektus.

„Durant vs Financial Services Authority“ atvejis 11, nagrinėjamas Anglijos apeliaciniame teisme 2003 m. Gruodžio mėn., Gavo platų atsakymą. Teismo sprendimas žymiai susiaurino „asmens duomenų“ sąvokos aiškinimą. Konkrečiai, teismas nurodė, kad vien to, kad šis asmuo paminėtas dokumento tekste, nepakanka, kad būtų apsvarstytas dokumentas, kuriame yra asmens duomenys. Be to, teismas patvirtino, kad teisė susipažinti su savo asmens duomenimis neturėtų pažeisti trečiųjų šalių teisių ir kad dėl to trečiųjų šalių asmens duomenys turėtų būti pašalinti iš prašomų dokumentų kopijų (išskyrus ypatingus aplinkybių sutapimus).

2004 m. Lapkričio mėn. Vyriausybė atsisakė JK darbuotojų teisės susipažinti su savo asmens duomenimis, neatsižvelgiant į tai, ar jų darbdavys juos saugo popierine ar elektronine forma, jei jie saugomi sistemoje, kurioje nėra aiškiai struktūrizuota informacija apie kiekvieną asmenį. Taigi, popierinių failų saugojimo sistemos (išskyrus asmens bylas) de facto buvo pašalintos iš teisės akto dėl prieigos prie asmeninės informacijos teikimo, nes jiems sunku atskirti informaciją apie konkretų asmenį.

Norėdami pasiekti savo asmens duomenis, mūsų tautiečiai turi:

• taikyti asmeniškai arba. t
• siųsti užklausą, kurioje turėtų būti:
  • pagrindinio dokumento, patvirtinančio asmens duomenų subjekto tapatybę, numeris arba jo teisinis atstovas, t
  • informacija apie nurodyto dokumento išdavimo datą ir išduodančiąją instituciją bei. t
  • asmens duomenų subjekto parašas arba jo teisinis atstovas.

Šį prašymą galima siųsti elektronine forma ir pasirašyti su skaitmeniniu parašu. Taigi įstatymas formaliai suteikia galimybę kreiptis dėl savo asmens duomenų elektroniniais ryšių kanalais. Mes dar neturime asmenų, turinčių savo EDS, atitinkančio EDS įstatymą (didžioji dalis atvejų EDS mūsų šalyje naudojamas pagal Civilinio kodekso 160 straipsnį, kuriame numatytas preliminarus šalių susitarimas).

Informacija, kurią gali prašyti asmens duomenų subjektas, rodo mūsų piliečių susirūpinimą. Organizacijoms, vadovaujančioms duomenų bazei, kurioje yra asmens duomenys, rekomenduojama atkreipti ypatingą dėmesį į naujojo įstatymo 14 straipsnio 4 dalį, kad apsvarstytų ir įtvirtintų informacijos teikimo vidaus taisyklėse tvarką:

1. asmens duomenų tvarkymo operatoriaus faktas ir tokio tvarkymo tikslai;
2. apie naudotojo naudojamų asmens duomenų tvarkymo metodus;
3. apie asmenis, kurie turi prieigą prie asmens duomenų arba kuriems gali būti suteikta tokia prieiga (kad galėtų pranešti apie tai, kas ir kokie asmens duomenys buvo pateikti, būtina organizuoti asmens duomenų registravimo darbą ir kontroliuoti prieigą prie jų, kitaip operatoriaus organizacija). gana sunku įvykdyti šį reikalavimą);
4. tvarkomų asmens duomenų ir jų gavimo šaltinių sąrašas;
5. asmens duomenų tvarkymo laikas, įskaitant jo saugojimo laiką (ypatingas dėmesys turėtų būti skiriamas šiam reikalavimui, nes iš tikrųjų jis įpareigoja operatorių nustatyti tvarkymo ir saugojimo laiką, kuris gali skirtis priklausomai nuo asmens duomenų tvarkymo tikslų, vidaus reglamentavimo dokumentais);
6. informacija apie tai, kokių teisinių pasekmių asmens duomenų subjektui gali reikėti tvarkyti jo asmens duomenis (norint įvykdyti šį reikalavimą, organizacijos iš anksto turėtų nurodyti savo advokatams suformuluoti visų galimų asmens duomenų tvarkymo teisinių pasekmių pagrindimą).

Asmens duomenų tvarkymo klausimas „siekiant skatinti prekes, darbus, paslaugas rinkoje tiesioginiais ryšiais su potencialiu vartotoju per komunikacijos priemones ir politinę kampaniją“ skirtas specialiam straipsniui (15 straipsnis). Dabar komercinės ir politinės organizacijos, prieš siunčiant reklamą, turi gauti išankstinį piliečio sutikimą, o PD apdorojimas pripažįstamas be išankstinio asmens duomenų subjekto sutikimo, jei operatorius neįrodo, kad toks sutikimas buvo gautas. Kai kurioms komercinėms struktūroms šis reikalavimas gali būti labai nepatogu!

Nuo šiol „draudžiama priimti sprendimus remiantis tik automatizuotu asmens duomenų tvarkymu, dėl kurio kyla teisinių pasekmių asmens duomenų subjektui ar kitaip paveikti jo teises ir teisėtus interesus“ (16 straipsnis).

Ši nuostata yra būtina ir laiku. Tačiau mūsų teisės aktų leidėjai, formuluodami, supainiojo dvi skirtingas sąvokas: „automatinis“ (ty vyksta be žmonių dalyvavimo) ir „automatizuotas“ (ty vyksta su žmonių dalyvavimu). Todėl šis straipsnis, užuot taikęs papildomus apribojimus tiems ir tik tada, kai informacinė sistema priima sprendimus be žmonių dalyvavimo (pvz., Bauda, ​​draudimas keliauti už šalies ribų ir tt), gali suprantama kaip apribojanti visų tipų asmens duomenų tvarkymą, nes net skaičiuoklės naudojimas gali būti suprantamas kaip automatinis apdorojimas!

Tame pačiame naujojo įstatymo straipsnyje teigiama, kad operatorius galės priimti sprendimus tik „automatizuotu“ apdorojimu, jeigu:

• gauti asmens duomenų subjekto raštišką sutikimą arba. t
• jei šios taisyklės yra nustatytos federaliniuose įstatymuose.

Kai kuriuose reglamentavimo dokumentuose šie teisės aktų reikalavimai jau buvo įtraukti. Taigi paraiškų dėl naujos kartos paso išdavimo pavyzdžiuose yra specialus skyrius, kuriame pareiškėjas sutinka, kad paraiškoje nurodyti duomenys būtų „automatizuoti“. Tai skamba taip: „Sutinku su automatizuotu paraiškoje nurodytų duomenų apdorojimu, perdavimu ir saugojimu paso gamybos, apdorojimo ir kontrolės tikslais jo galiojimo laikotarpiu“ 12.

Operatorius taip pat turės iš anksto pateikti piliečiui šią informaciją:

• sprendimų priėmimo tvarka, pagrįsta išimtinai „automatizuotu“ jo asmens duomenų tvarkymu ir
• galimas tokio sprendimo teisines pasekmes;
• asmens duomenų apsaugos pagal asmens teises ir teisėtus interesus tvarka;
• galimybę prieštarauti tokiam sprendimui.

Ginčo atveju operatorius turės įrodyti, kad įvykdė visus įstatymo reikalavimus. Tai reiškia, kad jis turės kruopščiai rinkti ir saugoti patvirtinamuosius dokumentus.

Operatoriaus pareigos

Operatoriaus įsipareigojimai pagal 18 straipsnį visų pirma apima asmens informacijos teikimą piliečio prašymu. Be to, operatorius privalo „asmens duomenų subjektui paaiškinti teisines atsisakymo pateikti asmens duomenis pasekmes“, jei ši pareiga nustatoma federaliniu įstatymu.

20 straipsnyje nustatyti labai griežti terminai, per kuriuos operatoriai gali įvykdyti asmens duomenų subjektų prašymus (jie yra daug griežtesni, pavyzdžiui, numatyti neseniai paskelbtame įstatyme „Dėl Rusijos Federacijos piliečių skundų nagrinėjimo tvarkos“):

• duomenų teikimas - per 10 darbo dienų nuo prašymo gavimo dienos;
• motyvuotas atsisakymas - per 7 darbo dienas.

Operatorius turės dar daugiau klausimų, jei būtina pašalinti įstatymo pažeidimus per naujo įstatymo 21 straipsnyje nustatytą laikotarpį. Duomenų blokavimas turi būti atliekamas nuo prašymo pateikimo momento arba nuo prašymo gavimo momento ir pažeidimų pašalinimo - per 3 darbo dienas.

Kai kuriais atvejais operatorius privalo sunaikinti asmens duomenis per 3 darbo dienas, ty:

• nesugebėjus pašalinti pažeidimų,
• jei siekiama asmens duomenų tvarkymo tikslo, t
• jei asmens duomenų objektas atšaukia jo sutikimą tvarkyti jo asmens duomenis.

Tiek asmens duomenų blokavimas, tiek sunaikinimas gali būti sunku (ir kartais neįmanoma) įgyvendinti šiuo metu veikiančiose informacinėse sistemose ir duomenų bazėse, kurios anksčiau nebuvo tokios galimybės.

Operatoriui bus dar sunkiau, jei jis gaus asmens duomenis ne iš piliečio, bet iš trečiosios šalies.

Rusijos Federacijos federalinio įstatymo „Dėl asmens duomenų“ 18 straipsnio 3 dalis. 2006 Nr. 152-FZ

Jei asmens duomenys nebuvo gauti iš asmens duomenų subjekto, išskyrus atvejus, kai asmens duomenys buvo pateikti operatoriui pagal federalinius įstatymus arba jei asmens duomenys yra viešai prieinami, prieš tvarkydamas tokius asmens duomenis operatorius privalo pateikti asmens duomenų subjektui šią informaciją:

1. operatoriaus arba jo atstovo vardas (vardas, pavardė, vardas, pavardė) ir adresas;
2. asmens duomenų tvarkymo tikslas ir jo teisinis pagrindas;
3. numatomus asmens duomenų naudotojus;
4. asmens duomenų subjekto teises, nustatytas šiuo federaliniu įstatymu.

Už šių žodžių yra daugiau laiko reikalaujančio darbo. Pvz., Gali kilti klausimas: kaip ši informacija turėtų būti pateikta temai? Ar galima jį siųsti paštu ir ar informacija bus laikoma teikiama, jei subjektas negavo atitinkamo laiško?

Operatoriaus pareiga pagal 19 straipsnį taip pat yra užtikrinti asmens duomenų saugumą jų tvarkymo metu. Siekiant išvengti problemų, operatoriaus organizacija reguliavimo dokumentuose turėtų parengti ir konsoliduoti visas organizacines ir technines informacijos saugumo priemones, kurias ji yra pasirengusi apsaugoti savo informacinėse sistemose esančius asmens duomenis.

Asmens duomenų tvarkymo sistemų valstybinė registracija

Įstatymas numato, kad visi ūkio subjektai, vykdantys asmens duomenų tvarkymą, privalo iš anksto apie tai pranešti įgaliotajai institucijai (22 straipsnis), kuris tvarkys operatorių įrašus specialiame registre. Įgaliotoji institucija pagal 23 straipsnį yra Rusijos Federacijos informacinių technologijų ir ryšių ministerija, kuri šiuo metu atlieka „kontrolės ir priežiūros funkcijas informacinių technologijų ir ryšių srityje“. Pranešime turi būti išsamiai nurodyta, ką planuojama daryti su asmens duomenimis. Apie visus asmens duomenų tvarkymo pokyčius taip pat turi būti pranešta įgaliotajai institucijai.

Leidžiama tvarkyti asmens duomenis nepranešus įgaliotajai institucijai šiais atvejais:

• dalyvaujant darbo santykiams;
• sudarant sutartį, kurios šalimi yra asmens duomenų subjektas;
• jei asmens duomenys priklauso viešosios asociacijos ar religinės organizacijos nariams (dalyviams) ir juos tvarko atitinkama viešoji asociacija ar religinė organizacija;
• jei asmens duomenys yra viešai prieinami;
• jei asmens duomenys apima tik dalykų pavadinimus, pavardes ir globojamus;
• registracijos metu;
• jei asmens duomenys yra įtraukti į informacines sistemas, kurios pagal federalinius įstatymus turi federalinių automatizuotų informacinių sistemų statusą, taip pat valstybines asmens duomenų sistemas, sukurtas siekiant apsaugoti valstybės ir viešosios tvarkos saugumą;

Apibendrinant, mes suteiksime operatoriams keletą rekomendacijų. Asmeninių duomenų įstatymo reikalavimų nebus labai sunku įvykdyti, jei šis darbas būtų pradėtas, nelaukiant pirmųjų skundų ir skundų. Galite pradėti nuo šių akivaizdžių priemonių:

• Patartina paskirti atsakingą pareigūną, kuris peržiūrėtų visus klausimus, susijusius su šio įstatymo įgyvendinimu organizacijoje, o didelėms įmonėms specialios komisijos sukūrimas gali būti pateisinamas.
• Visiems organizacijos informacijos šaltiniams, kuriuose yra asmens duomenų, turite:
  • nustatyti jų statusą (pagal kurį jie buvo sukurti: pagal teisės aktus, sutarties vykdymą savo iniciatyva ir pan.);
  • paaiškinti ir registruoti asmens duomenų ir jų gavimo šaltinių sudėtį (iš piliečio, iš viešųjų šaltinių, trečiųjų šalių ir pan.);
  • nustatyti duomenų saugojimo laikotarpį ir duomenų apdorojimo laiką kiekviename informacijos šaltinyje;
  • nustatyti apdorojimo metodus;
  • nustatyti asmenis, turinčius prieigą prie duomenų;
  • suformuluoti teisines pasekmes;
  • nustato atsakymų į prašymus, galimus atsakymus ir veiksmus tvarką, įvertina, kaip laikomasi nustatytų atsakymo laikų.

Šiame straipsnyje analizuojama nauja asmens duomenų apsaugos įstatymo dalis, susijusi su įrašų tvarkymo srities specialistų nuomone, kurią ji sugadins daug kraujo. Jos veiksmingumą parodys praktika, tačiau šiuo metu, kaip „asmens duomenų subjektas“, vertinu valdžios institucijų, kurioms galėčiau pateikti prašymą suteikti man, įstatymo reikalavimus atitinkančią informaciją, sąrašą. Dabar turiu teisę!

1 1995 m. Spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46 / EB dėl asmenų teisių apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo IV skyriaus 25 straipsnis.

2 Įdomu tai, kad net Jungtinės Valstijos neatitinka griežtų Europos reikalavimų, o Amerikos įmonės yra priverstos naudoti vadinamuosius „skėtinius“ susitarimus.

3 Asmens duomenų subjektas yra asmuo, kurio asmens duomenys tvarkomi.

4 „asmens duomenų rinkmenų sistema“

5 federalinių vykdomųjų valdžios institucijų ir organizacijų, dalyvaujančių Rusijos Federacijos archyvo fondo dokumentų saugykloje, sąraše yra 18 organizacijų: Rusijos Vidaus reikalų ministerija, Rusijos užsienio reikalų ministerija, Rusijos gynybos ministerija, Rusijos SVR, Rusijos FSB, Rusijos federalinė vaistų kontrolės tarnyba, Rusijos federalinė narkotikų kontrolės tarnyba, Rusijos Federacija. Roskartografiya, Rusijos žemės ūkio mokslų akademija, Rusijos medicinos akademija, Rusijos švietimo akademija, Rusijos dailės akademija, Rusijos architektūros ir statybos mokslų akademija, Valstybė Fondas: Visų Rusijos hidrometeorologinės informacijos institutas - Pasaulinis duomenų centras, Federalinė valstybinė televizijos ir radijo programų fondas, Federalinė valstybinė vieningoji mokslo ir gamybos įmonė „Rusijos Federacinis geologijos fondas“, Federalinė valstybinė vieneto įmonė „Rusijos mokslinis-techninis centras“ informacija apie standartizaciją, metrologiją ir atitikties vertinimą “.

6 5 JAV C. § 552a (k) (1) „Dokumentai asmenims - specialios išimtys - archyviniai dokumentai“.

7 Operatorius - valstybinė įstaiga, savivaldybės įstaiga, juridinis arba fizinis asmuo, organizuojantis ir (arba) tvarkantis asmens duomenis, taip pat apibrėžiamas asmens duomenų tvarkymo tikslas ir turinys.

9 1998 m. Duomenų apsaugos įstatymas, 32 straipsnis.

11 Durant ir Finansinių paslaugų institucija (FSA).

12 Rusijos Federacijos piliečio paso tvarkymo ir išdavimo tvarkos, diplomatinio paso ir tarnybinio paso, kuris yra pagrindiniai dokumentai, patvirtinantys Rusijos Federacijos piliečio tapatybę už Rusijos Federacijos teritorijos ribų, turintys elektroninę žiniasklaidą, Priedas Nr. ir 2006 m. spalio 6 d. Rusijos Federacijos Federalinė saugumo tarnyba Nr. 785/14133/461).