V kódexe práce Ruskej federácie existuje taký pojem ako "osobné informácie o pracovnej osobe". Údaje o prevádzkovom kontingente sa musia poskytnúť zamestnávateľovi.
Po preskúmaní osobných údajov podniká zamestnávateľ verdikt o prevzatí osoby do spoločnosti.
Informácie, ktoré osoba prezentuje o sebe, musia byť chránené. Distribúcia je zakázaná.
Drahí čitatelia! Naše články hovoria o typických spôsoboch riešenia právnych problémov, ale každý prípad je jedinečný.
Ak chcete vedieť, ako vyriešiť presne váš problém - stačí zavolať, je to rýchle a zadarmo!
Osobné informácie o zamestnancoch by mali byť predmetom vývoja.
Zamestnávateľ uplatňuje na osobné údaje pracujúcich tieto požiadavky:
Pri poskytovaní informácií o zamestnancoch musí riaditeľ podniku dodržiavať nasledujúce pravidlá:
Pracovný kontingent má právo:
Uvádzajú sa tieto typy spracovania osobných údajov:
Toto spracovanie sa vykonáva pomocou špeciálnej počítačovej technológie. Najbežnejšie počítačové stroje môžu byť:
Najpodrobnejší opis neautomatického spracovania je uvedený vo vládnom nariadení č. 687.
Distribúcia, štúdium a odstraňovanie informácií o prevádzkovom kontingente by sa mala vykonávať s časťou osoby, nie s počítačovou technológiou.
Vďaka informačnému systému sa spracúvajú špeciálne kategórie osobných informácií o prevádzkovom kontingente. Tento systém spracováva údaje ovplyvňujúce členstvo v konkrétnej rase a pohlavie, národnosť, politické názory, filozofické vyhliadky.
Vďaka informačnému systému je možné spracovať:
Preto sú osobné informácie o každom zamestnancovi obsiahnuté vo všetkých zamestnávateľoch. Riaditeľ nemá v žiadnom prípade právo šíriť dostupné údaje o osobe.
Získané informácie o prevádzkovom kontingente môžu byť spracované niekoľkými spôsobmi: pomocou počítačovej technológie, pomocou osobných síl, vďaka systému hodnotenia informácií.
Vo všetkých prípadoch sa dôkladne preskúmajú osobné údaje každého zamestnanca.
Podľa poriadku občianskeho zákonníka oblasti Amur
26. decembra 2012 č. 626
v súvislosti so spracovaním osobných údajov
1. VŠEOBECNÉ USTANOVENIA
1.1. Tento dokument (ďalej len "politika") je systematickým prehlásením o cieľoch, princípoch, metódach a podmienkach na spracovanie osobných údajov, informáciách o implementovaných požiadavkách na spracovanie a ochranu osobných údajov v GKU Amurského regiónu Centrálnej nemocnice voľného (ďalej len "Centrum zamestnanosti").
1.2. Politika je založená na požiadavkách federálneho zákona Ruskej federácie "o osobných údajoch", iných regulačných právnych aktoch Ruskej federácie stanovujúcich postup spracovania a ochrany osobných údajov. Pravidlá sú verejným dokumentom.
1.3. V súlade s federálnym zákonom z 27. júla 2006 č. 152-FZ "o osobných údajoch" je Centrum zamestnanosti prevádzkovateľom osobných údajov (ďalej len "PD").
2. SPRACOVANÉ OSOBNÉ ÚDAJE
2.1. Hlavné pojmy použité v politike:
· Osobné údaje - akékoľvek informácie týkajúce sa fyzickej osoby (predmet osobných údajov) určené alebo určené na základe takýchto informácií vrátane priezviska, krstného mena, roka, mesiaca, dátumu a miesta narodenia, bydliska, rodiny, sociálnych vecí postavenie, vzdelanie, povolanie, príjem, iné informácie;
· Spracovanie osobných údajov - akcie (operácie) s osobnými údajmi vrátane zhromažďovania, systematizácie, hromadenia, ukladania, upresnenia (aktualizácia, zmena), používania, distribúcie (vrátane prenosu), depersonalizácie, blokovania, zničenia osobných údajov;
2.2. V rámci tejto politiky spracované osobné údaje znamenajú:
· Osobné údaje poskytované príjemcami verejných služieb, ktoré sa vzťahujú na centrum zamestnanosti;
· Osobné údaje zamestnancov centra práce alebo uchádzačov o voľné pracovné miesta;
3. ÚČELY SPRACOVANIA OSOBNÝCH ÚDAJOV
3.1. Ciele spracovania PD v Centre zamestnanosti sú:
· Zabezpečenie uplatňovania ústavných práv občanov Ruskej federácie na prácu a sociálnej ochrany proti nezamestnanosti prostredníctvom poskytovania verejných služieb v oblasti podpory zamestnanosti;
· Zabezpečenie uplatňovania ústavných práv občanov na odvolanie;
· Získanie objektívneho posúdenia stavu trhu práce v subjekte, ktorý je súčasťou Ruskej federácie (vo vzťahu k príjemcom verejných služieb zamestnanosti, nezamestnaným občanom, občanom, ktorí žiadajú o zamestnanie s návrhmi, vyhláseniami, sťažnosťami);
· Zabezpečenie súladu s ústavou Ruskej federácie, zákonov a iných regulačných právnych aktov, pomoc zamestnancom pri hľadaní zamestnania, odbornej príprave a podpore práce, rastu pracovných miest, zabezpečovaní osobnej bezpečnosti zamestnancov, kontrole množstva a kvality vykonávanej práce, zabezpečenia bezpečnosti majetku, ktorý je jej súčasťou a zaznamenávania výsledkov ich výkonu povinnosti a bezpečnosť majetku Centra zamestnanosti.
· Plnenie funkcií daňového agenta pri poskytovaní štandardných daňových odpočtov (vo vzťahu k rodinným príslušníkom zamestnancov Centra zamestnanosti);
· Plnenie povinností vyplývajúcich z občianskoprávnych zmlúv (vo vzťahu k osobám, ktoré vykonávajú prácu, poskytujú služby v rámci občianskoprávnych zmlúv s Centrom zamestnanosti).
4. PRINCÍPY SPRACOVANIA OSOBNÝCH ÚDAJOV
4.1. Implementácia spracovania PD na legálnom a spravodlivom základe.
4.2. Obmedzenie spracovania PD na dosiahnutie špecifických, vopred určených a legitímnych cieľov uvedených v časti 2 tohto dokumentu. Nie je dovolené spracúvať osobné údaje, ktoré sú nezlučiteľné s účelmi zhromažďovania osobných údajov.
4.3. Zabránenie kombinácii databáz obsahujúcich PD, ktoré sa spracúvajú na účely, ktoré sú navzájom nezlučiteľné.
4.4. Spracovanie iba tých PDS, ktoré spĺňajú účely spracovania.
4.5. Súlad s obsahom a objemom PD spracovávaného na uvedené účely spracovania.
4.6. Neprípustnosť prepustenia spracovaného PD vo vzťahu k stanoveným cieľom ich spracovania.
4.7. Zabezpečenie presnosti PD, ich dostatočnosti a, ak je to potrebné, relevantnosti vo vzťahu k účelu PD spracovania.
4.8. Zabezpečte, aby sa vykonali potrebné opatrenia na odstránenie alebo úpravu neúplných alebo nepresných údajov.
4.9. Vykonávanie PD skladovania vo forme umožňujúcej určenie subjektu PD nie je dlhšie, než účel spracovania PD vyžaduje, ak časové obdobie uchovávania PD nie je stanovené federálnymi právnymi predpismi, pričom zmluva, na ktorú je subjektom PD príjemcom alebo ručiteľom. PD, ktoré sa majú spracovať, podliehajú zničeniu alebo depersonalizácii pri dosahovaní cieľov spracovania alebo v prípade straty potreby dosiahnuť tieto ciele, ak federálne zákony nestanovujú inak.
5. METÓDY SPRACOVANIA OSOBNÝCH ÚDAJOV
5.1. Pracovné centrum spracováva PD nasledujúcimi spôsobmi:
· Neautomatizované spracovanie PD (na papieri);
· Automatizované spracovanie (v ISPDn s použitím a bez použitia automatizačného zariadenia), vrátane: s prenosom a bez prechodu cez miestnu sieť centra zamestnanosti; s prenosom a bez prenosu cez internet;
· Zmiešané PD spracovanie.
5.2. Zamestnanecké centrum môže nezávisle vybrať metódy spracovania PD v závislosti od účelu takéhoto spracovania a vlastných materiálnych a technických možností.
6. PODMIENKY SPRACOVANIA OSOBNÝCH ÚDAJOV
6.1. Spracovanie PD sa vykonáva v súlade so zásadami a pravidlami stanovenými federálnym zákonom o osobných údajoch.
6.2. PD spracovanie je povolené v prípadoch stanovených federálnym zákonom "o osobných údajoch".
6.3. Zamestnanecké centrum má právo zveriť spracovanie PD inej osobe so súhlasom subjektu PD, ak federálny zákon neustanovuje inak, na základe zmluvy uzavretej s touto osobou vrátane štátnej alebo obecnej zmluvy alebo prijatím príslušného aktu štátneho alebo obecného orgánu (ďalej len " ).
6.4. Ak Zamestnanecké centrum pridelí spracovanie PD inej osobe, zodpovednosť voči osobe PD za konanie tejto osoby znáša Centrum zamestnanosti. Osoba, ktorá spracúva osobné údaje v mene Centra zamestnanosti, je zodpovedná v Centre zamestnanosti.
7. DÔVERNOSŤ OSOBNÝCH ÚDAJOV
7.1. Zamestnanecké centrum a iné osoby, ktoré získali prístup k PD, sú povinné neposkytnúť tretím stranám a nerozdeliť PD bez súhlasu PD, ak federálny zákon neustanovuje inak.
8. Súhlas s predmetom osobných údajov na spracovanie osobných údajov
8.1. Subjekt PD rozhoduje o poskytnutí svojich osobných údajov a súhlasí so svojím spracovaním slobodne, a to vo vlastnom záujme a vo svojom záujme.
8.2. Súhlas s PD spracovaním by mal byť špecifický, informovaný a vedomý.
8.2. Súhlas s PD spracovaním môže poskytnúť subjekt PD alebo jeho zástupca v akejkoľvek forme, ktorá umožňuje potvrdiť fakt, že mu bolo doručené, pokiaľ federálne zákony nestanovujú inak.
8.3. V prípade získania súhlasu na spracovanie osobných údajov od zástupcu subjektu osobných údajov kontroluje autorita tohto zástupcu súhlas v mene subjektu osobných údajov s Centrom zamestnanosti.
8.4. Súhlas s PD spracovaním môže odobrať PD subjekt. V prípade odvolania PDN súhlasu na spracovanie PD, je Centrum zamestnanosti oprávnené pokračovať v spracúvaní osobných údajov bez súhlasu osoby s PD, ak existujú dôvody špecifikované v článkoch 2 až 11 časti 1 článku 6, časti 2 článku 10 a časti 2 článku 11 Federálneho zákona o osobných údajoch ".
8.5. V prípadoch stanovených federálnym zákonom sa spracovanie PD vykonáva len s písomným súhlasom subjektu PD. Písomný súhlas sa považuje za rovnocenný s elektronickým dokumentom podpísaným elektronickým zákonom podpísaným v súlade s federálnymi zákonmi.
8.6. Osobné údaje možno získať v Centre zamestnanosti od osoby, ktorá nie je predmetom osobných údajov za predpokladu, že Centrum zamestnanosti potvrdzuje existenciu dôvodov uvedených v článku 6 ods. 2 až 11 článku 6, článku 2 časti 2 článku 10 a časti 11 článku 11 federálneho zákona o osobných údajoch ".
9. UPLATŇOVANIE PRÁV VOZIDIEL OSOBNÝCH ÚDAJOV
9.1. Pri spracovávaní PD, Centrum zamestnanosti poskytuje potrebné podmienky, aby PD mohol slobodne vykonávať svoje práva.
9.2. Subjekt PD má právo na prístup k osobným údajom.
9.3. Objekt PD má právo prijímať informácie týkajúce sa spracovania jeho osobných údajov, ktoré obsahujú: potvrdenie o spracovaní PD zo strany Centra zamestnanosti; právny základ a účel spracovania PD; ciele a metódy spracovania PD uplatňované Centrom zamestnanosti; názov a umiestnenie Centra zamestnanosti, informácie o jednotlivcoch (s výnimkou zamestnancov Centra zamestnanosti), ktorí majú prístup k osobným údajom alebo ktorí môžu zverejniť osobné údaje na základe dohody s Centrom zamestnanosti alebo na základe federálneho práva; PD spracované príslušným subjektom PD, zdrojom ich prijatia, pokiaľ federálny zákon nestanovuje iný postup na predkladanie takýchto údajov; Doba spracovania PD vrátane času skladovania; postup pre uplatnenie práv PDN, ktoré stanovuje federálny zákon "o osobných údajoch"; informácie o dokončenom alebo zamýšľanom cezhraničnom prenose údajov; meno alebo priezvisko, meno, priezvisko a adresu osoby, ktorá vykonáva spracovanie PDN v mene centra zamestnanosti, ak je spracovanie zverené alebo bude zverené takejto osobe; iné informácie stanovené federálnymi zákonmi.
9.4. Právo PD, ktoré podlieha prístupu k osobným údajom, môže byť obmedzené v prípadoch výslovne stanovených federálnymi zákonmi.
9.5. Subjekt PD má právo obhajovať svoje práva a oprávnené záujmy vrátane náhrady škody a (alebo) náhrady za morálnu ujmu na súde.
9.6. Ak sa subjekt PD domnieva, že centrum práce spracúva PD v rozpore s požiadavkami federálneho zákona "o osobných údajoch" alebo iným spôsobom porušuje jeho práva a slobody, má PD subjekt právo odvolať sa voči akcii alebo nečinnosti centra zamestnanosti oprávnenému orgánu na ochranu práv subjektov PD alebo súdny príkaz.
10. INFORMÁCIE O OPATRENIACH IMPLEMENTOVANÝCH Centrom zamestnanosti
S CIEĽOM ZABEZPEČIŤ IMPLEMENTÁCIU ZODPOVEDNOSTÍ VZŤAHUJÚCICH SA NA SPRACOVANIE OSOBNÝCH ÚDAJOV
10.1. Centrum zamestnanosti pri spracovávaní PD vykonáva svoje povinnosti ako prevádzkovateľa PD, ktoré stanovuje federálny zákon "o osobných údajoch".
10.2. Centrum zamestnanosti prijme opatrenia potrebné a dostatočné na zabezpečenie plnenia úloh ustanovených týmto federálnym zákonom a regulačnými právnymi predpismi prijatými v súlade s ním.
10.3. Centrum zamestnanosti nezávisle určuje zloženie a zoznam opatrení potrebných a dostatočných na zabezpečenie plnenia povinností ustanovených týmto federálnym zákonom a regulačnými právnymi predpismi prijatými v súlade s ním, pokiaľ federálne zákony nestanovujú inak.
11. INFORMÁCIE O VYKONÁVANÍ ZAMESTNANCOVÝCH STRÁNOK OPATRENÍ NA OCHRANU OSOBNÝCH ÚDAJOV V OBLASTI SPRACOVANIA
11.1. Centrum zamestnanosti v oblasti spracovávania PD zabezpečuje prijatie potrebných právnych, organizačných a technických opatrení na ochranu PD pred neoprávneným alebo náhodným prístupom k nim, zničením, modifikáciou, blokovaním, kopírovaním, poskytovaním, distribúciou PD, ako aj inými protiprávnymi opatreniami týkajúcimi sa PDN.
11.2. V záujme ochrany osobných údajov implementuje Centrum zamestnanosti požiadavky na ochranu osobných údajov, keď sú spracúvané v informačnom systéme osobných údajov zriadeným vládou Ruskej federácie.
11.3. Zabezpečenie bezpečnosti PD je dosiahnuté v Centre zamestnanosti, najmä:
· Identifikácia ohrozenia bezpečnosti osobných údajov pri ich spracovaní v ISPDN Centra zamestnanosti;
· Používanie organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri spracovávaní v ISPDN Centra zamestnanosti potrebných na splnenie požiadaviek na ochranu osobných údajov, ktorých splnenie je zabezpečené úrovňou ochrany osobných údajov stanovenou vládou Ruskej federácie;
· Používanie opatrení informačnej bezpečnosti prijatých predpísaným spôsobom;
· Posúdenie účinnosti opatrení prijatých Centrom zamestnanosti na zabezpečenie bezpečnosti osobných údajov pred uvedením ISPDN do centra zamestnanosti do prevádzky;
· S prihliadnutím na nosiče strojov PD z centra zamestnanosti
· Zisťovanie skutočností o neoprávnenom prístupe k PDN a konaní;
· Obnovenie PDN upraveného alebo zničeného ako dôsledok neoprávneného prístupu k nim;
· Vytvorenie pravidiel prístupu k PDN spracúvaných v SPDN v Centre zamestnanosti, ako aj zabezpečenie registrácie a zaznamenávania všetkých činností vykonávaných na PDN v ISPDN v Centre zamestnanosti;
· Kontrola opatrení prijatých na zabezpečenie bezpečnosti osobných údajov a úrovne bezpečnosti ISPDN centra zamestnanosti.
11.4. Informácie o opatreniach prijatých Centrom zamestnanosti na ochranu osobných údajov sú obmedzené informácie.
12. Zmena politiky. Platné právo
12.1. Centrum zamestnanosti má právo vykonať zmeny v týchto pravidlách.
12.2. Pri vykonávaní zmien v záhlaví Pravidiel je uvedený dátum poslednej aktualizácie revízie.
12.3. Nová verzia Zásady nadobúda platnosť od momentu jej uverejnenia na webovej stránke Odboru zamestnanosti Amurská oblasť, ak nová zmluva neustanovuje inak.
Čo súvisí s metódami spracovania osobných údajov a čo súvisí s činnosťami s osobnými údajmi?
Podľa ustanovenia 9 vyhlášky Roskomnadzora z 19. augusta 2011 č. 706 metódy * zahŕňajú:
- neautomatizované spracovanie osobných údajov;
- výlučne automatizované spracovanie osobných údajov s prenosom alebo bez prenosu prijatých informácií prostredníctvom siete;
- zmiešané spracovanie osobných údajov (poznámka N 4).
A na akcie v súlade s čl. 3 federálneho zákona z 27. júla 2006 č. 152-FZ o osobných údajoch: *
- objasnenie (aktualizácia, zmena);
- distribúcia (vrátane prenosu);
- zničenie osobných údajov.
Zdôvodnenie tejto pozície je uvedené nižšie v materiáloch "System Lawyer".
"Spracovanie osobných údajov je akákoľvek akcia (operácia) alebo súbor činností (operácií), * vykonávaných s použitím automatizačných nástrojov alebo bez použitia takýchto prostriedkov s osobnými údajmi vrátane zberu, nahrávania, systematizácie, hromadenia, ukladania, upresnenia (aktualizácia, zmena) extrakcia, používanie, prenos (distribúcia, poskytovanie, prístup), depersonalizácia, blokovanie, vymazanie, zničenie osobných údajov "
"Pole" zoznam činností s osobnými údajmi, všeobecný opis metód používaných prevádzkovateľom na spracovanie osobných údajov "* označuje činnosti vykonávané prevádzkovateľom s osobnými údajmi, ako aj opis metód používaných prevádzkovateľom na spracovanie osobných údajov:
- neautomatizované spracovanie osobných údajov;
- výlučne automatizované spracovanie osobných údajov s prenosom alebo bez prenosu prijatých informácií prostredníctvom siete;
- zmiešané spracovanie osobných údajov (Poznámka N 4) Poznámka N 4. Pri automatizovanom spracovaní osobných údajov alebo zmiešanom spracovaní je potrebné uviesť, či sa informácie získané pri spracovaní osobných údajov prenášajú v internej sieti právnickej osoby (informácie sú dostupné len pre prísne definovaných zamestnancov právnickej osoby ) alebo sa informácie prenášajú prostredníctvom verejného internetu alebo bez prenosu získaných informácií. "
* Tak zvýraznená časť materiálu, ktorá vám pomôže prijať správne rozhodnutie.
Podmienky, nuansy a časté bludy - v materiáli od odborníkov bezpečnostnej služby spoločnosti "Onlanta" (zahrnuté v skupine spoločností LANIT).
Chápeme právnu terminológiu a tie najjemnejšie nuansy, pre ktoré môžete byť na súde.
Hlavným zákonom, ktorý upravuje vzťahy súvisiace so spracovaním osobných údajov, je Federálny zákon z 27. júla 2006 č. 152-FZ "o osobných údajoch".
Prvým pojmom, ktorý treba chápať, sú osobné údaje.
Toto sú všetky informácie, ktoré možno použiť na identifikáciu osoby: napríklad celé meno, dátum narodenia, vzdelanie, príjem a dokonca aj rodinný stav. Pýtate sa: "A čo, moje priezvisko, vytlačené na vizitke, sú tiež osobné údaje?"
Odpoveď: "Áno." Podľa zákona nezáleží na tom, či je na vizitke alebo v kombinácii vytlačené iba vaše meno, napríklad s telefónnym číslom a adresou. Prvá, druhá a tretia - osobné údaje. Je pravda, že ukladanie vizitiek alebo telefónnych čísel dievčat do telefónneho zoznamu nebude musieť byť zodpovedané zákonom, ale viac o tom nižšie.
Pokračujte. Médiá neustále píšu "ukladanie osobných údajov". Správne povedané, nie je to skladovanie, ale spracovanie osobných údajov. Aký je rozdiel? Skladovanie je len časťou toho, čo sa nazýva spracovanie osobných údajov. Všetky akcie, ktoré vykonávate s osobnými údajmi (zhromažďovať, hromadiť, ukladať, prenášať, meniť), sú podľa zákona určené ako "spracovanie osobných údajov".
Je dôležité si uvedomiť, že zákon rozlišuje dva subjekty osobných údajov: prevádzkovateľa a spracovateľa. Prevádzkovateľ spracúva osobné údaje a určuje účel ich spracovania, zloženie osobných údajov, ktoré sa majú spracovávať, činnosti (operácie) vykonávané s osobnými údajmi.
Pracovníkom je osoba, ktorá vykonáva akékoľvek kroky s osobnými údajmi: zhromažďovanie, ukladanie, organizovanie, zhromažďovanie, aktualizácia, aktualizácia, mazanie, depersonalizácia atď.
V skutočnosti je obsluhujúci nielen koncový používateľ, ktorý potrebuje osobné údaje na prácu, ale aj akéhokoľvek sprostredkujúceho užívateľa, ktorého ruky tieto osobné údaje prešli. Zobraziť v praxi.
Internetový obchod má zákaznícku databázu, ktorá sa nachádza v "mraku" spoločnosti tretej strany. S touto základňou pracuje marketingová agentúra. Otázka: Koľko prevádzkovateľov osobných údajov máme?
Správna odpoveď je jedna. Jedná sa o internetový obchod, ktorý stanovuje ciele spracovania osobných údajov. Druhá otázka: koľko spracovateľov osobných údajov máme? Správna odpoveď je dva.
Osobné údaje sa spracúvajú v mnohých rôznych inštitúciách: napríklad v bankách, školách, klinikách, vízových strediskách. Nehovoriac o webových stránkach, na ktorých sa zaregistrujeme, pričom opúšťame naše e-mailové adresy a telefónne čísla. Ale ako a kde presne?
V zákone existuje taký neurčitý termín ako "informačný systém osobných údajov". Ak sa pokúsite vysvetliť jednoduchým spôsobom - ide o celý komplex, ktorý pozostáva z databázových serverov, technických prostriedkov na zabezpečenie ich spracovania a informačnej technológie. V súlade so zákonom musí byť každý informačný systém osobných údajov chránený.
Spôsoby ochrany informácií sú rôzne.
Jedným zo spôsobov ochrany informácií je depersonalizácia osobných údajov. Čo je to? Vo vízovom centre sa každej osobe, ktorá žiada o vízum, pridelí samostatné identifikačné číslo. Samotné číslo sa nevzťahuje na osobné údaje, pretože depersonalizuje osobu: nie je možné identifikovať osobu, ktorá požiadala o vízum.
Takže s vyriešenou terminológiou. Teraz všetci obchodní zástupcovia, najmä individuálni podnikatelia, ktorí môžu mať iba niekoľko zamestnancov v zamestnancoch, by mali čestne odpovedať na otázku: "Mám spracovávať osobné údaje?"
Áno, ak ste majiteľom stránky s návštevnosťou piatich ľudí týždenne, ale má formulár na spätnú väzbu s políčkami "meno, e-mailová adresa, telefónne číslo". Informácie o účeloch, na ktoré zhromažďujete osobné údaje, ako ich používate, by sa mali zobrazovať na vašich webových stránkach.
Áno, ak spracovávate osobné údaje svojich zamestnancov alebo odborníkov tretích strán, ktorí sú najatý na vykonanie nejakej práce.
Áno, ak pracujete so súkromnými klientmi a potrebujete údaje o pasoch pre uzatváranie zmlúv - to platí pre cestovné kancelárie, fitness centrá, rôzne servisné spoločnosti, online obchody a ďalšie.
A znova, áno, ak ste rozpočtová organizácia, politická strana alebo materská škola. Títo majú nielen informácie o dieťati, ale aj o svojich rodičoch vrátane miesta výkonu práce a pozície. Nehovoriac o zdravotníckych zariadeniach - existuje množstvo citlivých osobných informácií, ktoré musia byť bezpečne uložené.
Ak však používate údaje na osobnú komunikáciu bez komerčného prospechu, potom sa na vás nevzťahujú požiadavky právnych predpisov a nie je žiadna otázka akejkoľvek trestnej zodpovednosti.
Napríklad, používanie kontaktov vytlačených na vizitke, ktoré ste dostali od kolegu, alebo telefónne čísla v prenosnom počítači na smartphone, informácie o sociálnych sieťach nekladú na vás zodpovednosť pred zákonom.
Hlavnou vecou nie je zverejňovanie údajov inzerentom a ich zverejňovanie bez povolenia majiteľov osobných údajov vo verejnej sfére.
Blahoželáme vám, ste hrdým majiteľom titulu "operátor osobných údajov". Najdôležitejšou vecou je presne pochopiť, ktoré osobné údaje spracovávate. Vzhľadom na to, že závisí od kategórie osobných údajov, ako chrániť údaje a aké požiadavky je potrebné splniť. Kategórie sú podrobne opísané vo federálnom zákone 152 a vo vládnom uznesení z 1. novembra 2012 N 1119.
Všeobecne dostupné osobné údaje: údaje z otvorených zdrojov, ktoré uverejňuje subjekt osobných údajov alebo s jeho súhlasom. Verejne dostupné údaje sú údaje z médií alebo internetu.
Príklad: informácie uverejnené v otvorenom prístupe v sociálnych sieťach alebo na webových stránkach spoločností. Telefónne číslo a rodinný stav publikované vo verejnom prístupe na Facebook. Meno zamestnanca a jeho postavenie na webovej stránke zamestnávateľa.
Biometrické osobné údaje: táto kategória zahŕňa všetky údaje o fyziologických a biologických charakteristikách ľudí.
Príklad: hmotnosť, výška, oko alebo farba vlasov, dĺžka vlasov, krvný typ, foto.
Osobné údaje osobitnej kategórie: zahŕňajú informácie o príslušnosti k akejkoľvek rase a národe, politické názory, náboženské a filozofické presvedčenie, zdravotný stav alebo intímny život.
Príklad: lekárska diagnóza (informácie o tom, čo ste ochoreli, kedy, čo vám lekár zaobchádza).
Osobné údaje iných typov - to zahŕňa osobné údaje nezahrnuté do vyššie uvedených kategórií.
Príklad: firemné informácie. Účtovné karty pre zamestnancov, ktoré obsahujú informácie, s ktorými HR a účtovníctvo pracujú: plat, dovolenkové obdobia, dátumy zamestnania.
Akonáhle sa rozhodnete pre kategóriu osobných údajov, musíte pochopiť presné množstvo údajov, ktoré spracovávate: až 100 tisíc alebo viac ako 100 tisíc.
Zistila kategóriu a množstvo, určila typ hrozby:
Hrozby číslo 1. "Otvory" a zraniteľnosti v operačnom systéme. Príklad: zraniteľnosť, ktorú hackeri používajú na infiltráciu operačného systému na ukradnutie informácií.
Hrozby číslo 2. "Otvory" a zraniteľnosti v aplikačnom softvéri, to znamená v softvéri, ktorý sa používa vo vašej každodennej práci. Príklad: Word, Excel.
Hrozby číslo 3. Všetky ostatné hrozby, ktoré nie sú uvedené v prvých dvoch typoch. Najprv ľudský faktor. Zamestnanec môže nechať dokument otvorený na odomknutom počítači, poslať dokument na tlač inej tlačiarne alebo e-mailom.
Množstvo osobných údajov, kategórie, typ ohrozenia - všetko spoločne vám umožňuje určiť, akú úroveň ochrany je potrebné pre váš informačný systém. Teraz sú štyri úrovne ochrany.
Prvá a najvyššia úroveň ochrany sa najčastejšie používa na spracovanie osobných údajov vo vládnych agentúrach a zdravotníckych zariadeniach. Štvrtá úroveň ochrany je najjednoduchšie poskytnúť, niekedy stačí vykonať organizačné regulačné opatrenia, hlavne sa týka ochrany verejne dostupných údajov.
Úroveň ochrany môžete určiť pomocou tejto tabuľky.
Nemocnica spracováva osobné údaje svojich pacientov - ide o osobné údaje osobitnej kategórie. Tiež spracúva osobné údaje zamestnancov - ide o osobné údaje inej kategórie. S najväčšou pravdepodobnosťou má nemocnica dve databázy. Ak pridáte obe databázy, získate celkové množstvo osobných údajov, ktoré sa točí v informačnom systéme tejto nemocnice.
Napríklad, všetky z nich - až 100 tisíc. Ďalej sa pozrieme na to, ako sa spracovávajú údaje: automatizované (v počítači) alebo neautomatizované (v manuálnej schránke). Ak je všetko automatizované, pozeráme sa na to, aký softvér používa nemocnica, aké zraniteľnosti má.
Na základe toho sa identifikujú hrozby a ich úroveň. Pripočítame všetky faktory a získame druhú úroveň ochrany. Pozeráme sa na to, čo sú požiadavky zákona uvedené na druhú úroveň bezpečnosti. Na základe týchto požiadaviek bude potrebné vybudovať ochranu informačného systému, aby sa splnili požiadavky federálneho zákona.
Prečo sa obťažuje ochrana osobných údajov? Osobné údaje sú drahé položky na čiernom trhu. Podvodníci sú ochotní zaplatiť pôsobivé sumy za profil, ktorý obsahuje všetky podrobnosti o zdravotnej dokumentácii osoby. Samostatný trh - predaj údajov bankovej karty; účty v sociálnych sieťach.
Dôsledky úniku osobných údajov sú odlišné. Údaje môžu byť verejne dostupné na internete: napríklad môžete ľahko nájsť ukradnuté databázy s adresami a telefónnymi číslami klientov spoločností v sieti. Keď poznáte meno a priezvisko, ktokoľvek môže zistiť domovskú adresu osoby, dostať sa do sociálnej siete, prezrieť profil alebo jednoducho napísať SMS do mobilného telefónu.
Osobné údaje sa môžu dostať do databázy nepríjemných zásielok nejakej komerčnej organizácie, potom ich majiteľ bude zahltený nevyžiadanými ponukou služieb. Môžu byť tiež použité online scammers pre online kasína alebo otvoriť elektronickú peňaženku.
V najhorších prípadoch môže útočník zosobňovať inú osobu a vziať si úver pre meno iného. Najzávažnejšie dôsledky úniku osobných údajov zahŕňajú: nezákonné konanie s nehnuteľnosťami, krádež peňazí z bankových kariet, vydieranie príbuzných a registrácia spoločnosti.
Rozumiete dôležitosti otázky a ste ochotní niesť zodpovednosť? To je pravda. Keďže zodpovednosť za bezpečnosť osobných údajov spočíva výhradne v prevádzkovateľovi.
To znamená, že prevádzkovateľ musí dbať na to, aby informácie neplynuli do verejného prístupu, alebo že nespadajú do rúk tretích strán, ktoré nemajú žiadne práva k nim. To vyžaduje neustále monitorovanie a prevenciu ohrozenia bezpečnosti údajov, kontrolu nad úrovňou bezpečnosti informácií a jej obnovenie v prípade straty.
V našej krajine spoločnosť Roskomnadzor sleduje dodržiavanie právnych predpisov v oblasti spracovania osobných údajov. Tento orgán reaguje na sťažnosti, upravuje vzťahy medzi subjektmi a operátormi.
Technické požiadavky na ochranu informácií sú v zodpovednosti FSTEC a FSB: vyvíjajú požiadavky a kontrolujú ich vykonávanie.
A teraz je čas študovať tabuľky s požiadavkami na technickú ochranu osobných údajov. Podrobnosti nájdete v poradí Federálnej služby pre technickú a vývoznú kontrolu z 18. februára 2013 N 21.
Ale aspoň začať s týmto:
Mnoho majiteľov stránok si myslí, že ak návštevník klikne na tlačidlo Súhlasím so spracovaním osobných údajov, nedôjde k žiadnym právnym problémom a spracovanie údajov sa automaticky dostane do právneho poľa. To nie je.
Z právneho hľadiska existujú iba dva spôsoby, ako potvrdiť svoj súhlas so spracovaním osobných údajov: dať podpis na papieri alebo pomocou elektronického digitálneho podpisu.
Vo všetkých ostatných prípadoch, ak prípad prechádza na súd, vlastník stránky nebude môcť potvrdiť, kto presne stlačil tlačidlo "Súhlasím". Dalo by sa len dúfať, že subjekt, ktorý prišiel na váš web, dobrovoľne odošle svoje údaje a nepodá sťažnosť.
Áno, šeky môžu byť od spoločnosti Roskomnadzor.
Roskomnadzor každoročne uverejňuje zoznam výberov zo zoznamu registrovaných operátorov, ak je spoločnosť zaradená do zoznamu šekov, potom je možná ďalšia naplánovaná kontrola najskôr po troch rokoch. Môžete vidieť, či je vaša spoločnosť v tomto roku na tomto zozname.
Kontroly mimo plánu sú zvyčajne spôsobené sťažnosťami. Ak je kontrola neplánovaná, mali by ste o tom písomne upozorniť o 24 hodín.
Môžu sa uskutočniť aj kontroly dokladov. Pri písaní dokumentov budete posielať zoznam dokumentov, ktorých kópie bude potrebné zaslať spoločnosti Roskomnadzor.
Niekedy vykoná inšpekcie na mieste spoločnosťou Roskomnadzor: inšpektori osobne navštívia spoločnosť na mieste.
Príprava na ktorúkoľvek z týchto kontrol je časovo náročná úloha. Budete vyriešiť úlohu prípravy na inšpekciu sami, alebo sa zapoja externí špecialisti, najprv musíte zistiť, kto v spoločnosti bude zodpovedný za dodržiavanie FZ-152.
Pri porušení 152-FZ sa poskytuje civilná, trestná, správna a disciplinárna zodpovednosť.
Takže Roskomnadzor vykonal inšpekciu, ak zistí nezrovnalosti so zákonom, vydá príkaz vyšetrovaciemu výboru, aby vykonal súdny proces na porušenie zákona "o osobných údajoch".
Potom začne prokuratúra inšpekciu, počas ktorej môže pozastaviť činnosť spoločnosti: stiahnuť databázu spoločnosti, najmä počítače, na ktorých boli spracované osobné údaje.
Porušovatelia zákona čakajú najmä na pokuty. Výška pokút sa líši v závislosti od trestného činu. Pre spracovanie osobných údajov bez písomného súhlasu právnických osôb vzniká preto právna zodpovednosť.
Aj keď je prevádzkovateľ ochotný zaplatiť pokutu, ale podľa noriem veľkého podnikania, nezdá sa to obrovské, páchateľ bude musieť ešte pred zákonom odstrániť nesúlad (napríklad vymazanie uložených údajov) a oznámiť spoločnosti Roskomnadzor.
Najhorší scenár je, ak sa spoločnosť Roskomnadzor rozhodne zrušiť licenciu spoločnosti, zakázať podnikom spracovávať osobné údaje a neoprávnene uverejňovať osobné údaje o občanoch.
V posledných rokoch bol najsilnejší škandál v Rusku spojený s blokovaním spoločnosti LinkedIn, ktorej vlastníci boli obvinení zo spracovania osobných údajov občanov bez ich súhlasu na serveroch mimo Ruskej federácie. Blokovanie služby autonum.info bolo tiež "hlukom".
Spracovanie osobných údajov môžete spracovať nezávisle alebo za pomoci spoločnosti, ktorá poskytuje takúto službu.
Ak sa rozhodnete spracovať osobné údaje sami, budete potrebovať:
V najlepšom prípade to bude trvať tri až štyri mesiace, za cenu takejto implementácie, môže to byť 200-300 tisíc rubľov - to sú náklady na nákup zariadení a licencií. Náklady na prácu a ďalšia podpora informačného systému sú samostatnou výdavkovou položkou. Budete tiež potrebovať administrátora, ktorý bude monitorovať prevádzku systému.
Objektívne povedané, veľmi malé spoločnosti jednoducho nespĺňajú všetky požiadavky zákona s nádejou, že sa nebude overovať. Možno to naozaj nebude. Ostatné spoločnosti vytvárajú "dediny Potemkin" iba tým, že predstierajú, že spracúvajú osobné údaje v súlade s požiadavkami zákona, inými slovami, "kupujú" potrebné dokumenty.
V ďalšom článku vám ukážeme, ako vypočítať náklady na spracovanie osobných údajov v rámci spoločnosti a povedať, kedy je výhodnejšie vykonať spracovanie osobných údajov a kedy je lepšie ich uložiť do cloudu.
Materiál uverejňuje používateľ. Ak chcete zdieľať svoj názor alebo hovoriť o vašom projekte, kliknite na tlačidlo "Napísať".
Federálny zákon Ruskej federácie č. 152-FZ "o osobných údajoch" bol prijatý 27. júla 2006 a na pozadí ostatných výnimočných udalostí minulého roka prešiel takmer bez povšimnutia. Formálnym dôvodom na jeho prijatie boli početné fakty krádeže databáz osobných údajov v štátnych a obchodných štruktúrach a ich rozšírený predaj. V skutočnosti hlavným cieľom prijatia tohto zákona bola potreba odstrániť určité prekážky obchodu s krajinami Európskej únie.
Francúzsko zakázalo uverejnenie skutočností o súkromí a uložilo pokuty pre porušovateľov v roku 1858.
Nórsky trestný zákon zakazoval zverejnenie informácií týkajúcich sa "osobných alebo súkromných záležitostí" v roku 1889.
Vnútorné právo "o osobných údajoch" z 27. júla 2006 č. 152-FZ začalo svoju činnosť 26. januára tohto roku (v súlade s časťou 1 článku 25 zákon nadobúda účinnosť 180 dní po oficiálnom uverejnení, ktoré sa konalo 29. júla 2006 v "Rossiyskaya Gazeta").
Podľa smernice EÚ 95/46 / ES môžu byť osobné údaje prenesené iba do krajín, ktoré poskytujú rovnakú úroveň ochrany ako v Európe. To výrazne brzdilo výmenu informácií od európskych vládnych agentúr a spoločností so svojimi zahraničnými partnermi, čo znemožnilo mnoho komerčne sľubných projektov. Takéto obmedzenia zaznamenali nielen Rusko a krajiny tretieho sveta, ale aj hospodárske monštrum podobné Spojeným štátom. Preto sa naša vláda rozhodla prekonať túto prekážku. Uvidíme, ako to urobil a čo nás bude stáť všetko.
Prijatie ruského zákona o osobných údajoch bolo výsledkom pristúpenia Ruskej federácie k Európskemu dohovoru z roku 1981 o ochrane osoby v súvislosti s automatickým spracovaním osobných údajov, ktorý definuje základné zásady ochrany osobných údajov v európskych krajinách. Tento dohovor a následné smernice Európskej únie načrtli úlohy, ktoré by sa mali riešiť vo vnútroštátnych právnych predpisoch pri regulácii osobných údajov:
Náš zákon vo veľkej miere opakuje hlavné ustanovenia európskej legislatívy v tejto oblasti, ktorá sa považuje za jednu z najťažších 2 na svete. Hoci v roku 2006 sa hovorilo o práve pomerne často, len málo ľudí pozorne prečítalo obsah jeho ustanovení. Avšak na zabezpečenie súladu s jej požiadavkami je potrebné výrazne zmeniť prácu s informáciami a dokumentáciou obsahujúcou osobné údaje. Pokúsime sa zistiť, čo je nové v oblasti správy dokumentov a informácií v organizácii?
Pozrime sa teraz podrobnejšie na najdôležitejšie ustanovenia zákona a posúdime, aké organizácie a inštitúcie sa budú musieť zaviazať, aby ho vykonali. Okrem toho sa budeme snažiť analyzovať niektoré ustanovenia zákona z hľadiska správnosti a jasnosti ich znenia.
Prvá otázka: Komu sa tento zákon vzťahuje? V reakcii na to môžeme bezpečne povedať, že sa vzťahuje na všetkých bez výnimky (na štátne inštitúcie, právnické osoby a jednotlivcov). Tu je zoznam článku 1:
Druhou dôležitou otázkou je rozsah pôsobnosti zákona.
Článok 1 federálneho zákona Ruskej federácie "o osobných údajoch" č. 152-FZ z 27. júla 2006
Tento federálny zákon upravuje vzťahy spojené so spracovaním osobných údajov... s použitím automatizačných nástrojov alebo bez použitia takýchto prostriedkov, ak spracovanie osobných údajov bez použitia takýchto prostriedkov zodpovedá charakteru činností (operácií) vykonávaných s osobnými údajmi pomocou automatizačných prostriedkov.
Znenie tohto článku je príkladom toho, ako písať zákony. Ukázalo sa to niečo nepochopiteľné, čo umožnilo rôzne interpretácie. Ako na základe takéhoto textu odpovedať napríklad na otázku, či údaje, na ktoré sa vzťahuje voľná forma v obchodnom notebooku, patria do rozsahu pôsobnosti zákona? Ak je takýto prenosný počítač uložený v počítači alebo v mobilnom telefóne, považuje sa to za "použitie automatizačných zariadení"?
Európska legislatíva je v tomto ohľade jasnejšia:
Smernica EÚ 95/46 / ES z roku 1995
Článok 2 "Definície":
c) "systém uchovávania osobných údajov" 4 ("systém skladovania") je akýkoľvek štruktúrovaný súbor osobných údajov, ku ktorým možno pristupovať podľa určitých kritérií - bez ohľadu na to, ako je súbor údajov organizovaný, či už centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe...
Článok 3 "Rozsah pôsobnosti":
1. Táto smernica sa týka spracovania osobných údajov pomocou automatických prostriedkov (úplne alebo čiastočne), ako aj spracovania inými ako automatickými, osobnými údajmi, komponentmi alebo určenými na to, aby boli súčasťou skladovacích systémov.
V modernej počítačovej terminológii sú "štruktúrované údaje" predovšetkým databázy. V papierovej práci obsahujú kartové súbory a archívy osobných súborov. Preto európske požiadavky zahŕňajú:
Prečo bolo nemožné písať v ruštine a v našom zákone zostáva nepochopiteľné?
Pozornosť by sa mala venovať rozdielom v terminológii: "automatické spracovanie" je jedna vec a spracovanie "používať automatizačné zariadenia" je úplne iný koncept, oveľa širší a nejasný.
Zákon stanovuje len štyri výnimky, konkrétne, že zákon sa nevzťahuje na vznikajúce vzťahy:
Jeden z týchto bodov si vyžaduje podrobnejšie štúdium. Na začiatok citujeme zákon:
Článok 1 federálneho zákona Ruskej federácie "o osobných údajoch" č. 152-FZ z 27. júla 2006
2. Tento federálny zákon sa nevzťahuje na vzťahy vyplývajúce z:
2) organizáciu skladovania, akvizície, účtovníctva a používania obsahujúcich osobné údaje dokumentov Archívneho fondu Ruskej federácie a iné archívne dokumenty v súlade s právnymi predpismi o archívoch v Ruskej federácii.
Pripomíname vám dve definície zakotvené v zákone "O archívnych záležitostiach v Ruskej federácii" č. 125-ФЗ z 10.2.2005:
Tu je príklad toho, ako sa to dá urobiť. Podľa federálneho zákona "o archívnych záležitostiach v Ruskej federácii" (časť 2 článku 18) vláda Ruskej federácie schvaľuje zoznam federálnych výkonných orgánov a organizácií, ktoré vykonávajú ukladanie dokumentov archívneho fondu Ruskej federácie, ktoré sú vo federálnom vlastníctve. Nový zoznam 5 týchto oddelení a organizácií bol schválený koncom roka 2006. Zároveň boli tieto organizácie nariadené uzavrieť dohodu o podmienkach uchovávania dokumentov s Rosarkhivom. Ak sa pri uzatvorení zmluvy výslovne ustanoví, že všetky dokumenty okrem prevádzkových dokumentov sa považujú za dokumenty prenesené do úschovy, potom môže byť pod touto výnimkou umiestnená veľká časť dokumentov.
Pre ostatné štátne organizácie by jednou z možností mohlo byť rýchle schvaľovanie záznamov prípadov so štátnymi archívmi, čo by v skutočnosti znamenalo zahrnutie dokumentov do Archívneho fondu Ruskej federácie a opäť opustiť "zónu pôsobnosti" zákona o osobných údajoch.
Smernice Európskej únie neobsahujú takúto výnimku, existuje však napríklad v americkom kódexe 6, ktorý obsahuje presnejšie znenie, ktoré neumožňuje nejednoznačnosť: právne predpisy o osobných údajoch sa vo všeobecnosti nevzťahujú na dokumenty už uložené v štátnych archívoch, ale sa vzťahuje na dokumenty prenesené do štátnych archívov akoukoľvek agentúrou pre opatrovníctvo.
Nie je ani jasné, prečo sme z našich početných štátnych databáz urobili výnimku pre Jednotný štátny register jednotlivých podnikateľov (EGRIP). Bolo by logické rozšíriť túto výnimku na iné štátne registre, ktoré obsahujú aj osobné údaje (napríklad registrácia zahŕňa informácie o zakladateľoch a prvých osobách všetkých právnických osôb v krajine).
Osobné údaje - akékoľvek informácie týkajúce sa fyzickej osoby (predmet osobných údajov) určené alebo určené na základe takýchto informácií, vrátane priezviska, krstného mena, roka, mesiaca, dátumu a miesta narodenia, adresy, rodinného stavu,, vzdelanie, povolanie, príjem, iné informácie (podľa článku 3 zákona o osobných údajoch).
Zákon ustanovuje nasledujúce spôsoby spracovania osobných údajov (pre niektoré z nich sú podrobné vysvetlenia uvedené v článku 3):
Osobitná pozornosť by sa mala venovať takým metódam spracovania, akými sú blokovanie a zničenie osobných údajov. Zákon hovorí celkom dobre o zničení - to je prístup, ktorý teraz odporúčajú domáce a zahraničné štandardy. Pokiaľ ide o blokovanie osobných údajov, táto metóda spracovania v domácej praxi bola zavedená po prvýkrát a jej realizácia môže výrazne skomplikovať život organizácií využívajúcich predtým vyvinuté informačné systémy a databázy, v ktorých takáto operácia nie je poskytovaná.
Ustanovenia zákona sú zamerané predovšetkým na zabránenie nezákonnému zhromažďovaniu a používaniu osobných údajov. Toto želanie zákonodarcu viedlo k vytvoreniu nového stanoviska pre postup vedenia záznamov:
Doložka 2 článku 5 federálneho zákona Ruskej federácie "o osobných údajoch" z 27. júla. 2006 č. 152-FZ
Osobné údaje by sa mali uchovávať vo forme, ktorá umožňuje určiť predmet, nie dlhšie ako ciele spracovania, a mala by byť zničená pri dosiahnutí cieľov spracovania osobných údajov alebo straty potreby ich dosiahnutia.
V tomto prípade po prvýkrát zákon pravdepodobne stanovuje pre informácie a dokumenty maximálne a navyše podmienené obdobie skladovania - "na dosiahnutie cieľov spracovania". Organizácie budú musieť stanoviť lehoty uchovávania dokumentov obsahujúcich osobné údaje a bude potrebné vopred zamyslieť nad odôvodnením vybraných období uchovávania. Ide o dosť komplikovanú otázku, ktorá môže spôsobiť veľa diskusií a problémov.
Okrem toho musia špecialisti DOE venovať pozornosť nasledujúcim otázkam: keďže ciele zberu a spracovávania osobných údajov, ktoré sa vyžadujú podľa zákona, musia byť stanovené pred začatím práce, je potrebné starostlivo zvážiť ich znenie. V opačnom prípade samotná organizácia môže sama nahradiť: ciele sa splnia a osobné údaje nebudú zničené.
Jedným z najnepríjemnejších pre organizácie, ktoré zhromažďujú a spracúvajú osobné údaje, je požiadavka článku 6 o potrebe získať súhlas subjektu na ich spracovanie. Nevyžaduje sa súhlas iba v nasledujúcich prípadoch:
Už máme niekoľko federálnych zákonov, ktoré opisujú spracovanie osobných údajov, napríklad pri zachovaní Jednotných štátnych registrov daňových poplatníkov (EGRN) a právnických osôb (USR). Jedinou podmienkou na uplatnenie výnimky z požiadavky všeobecného súhlasu je stanoviť v príslušných právnych predpisoch tieto otázky:
Ešte nie je jasné, čo sa stane s týmito zákonmi, ktoré obsahujú normy súvisiace so zberom a spracovaním osobných údajov, ale nespĺňajú stanovené podmienky.
Prvý z problémov spojených s dodržiavaním nového zákona upozornil poisťovne. Podľa ich názoru môže zákon o osobných údajoch vážne brániť vykonávaniu zákona o povinnom poistení zodpovednosti za škodu spôsobenú prevádzkou motorových vozidiel (PZP) z dôvodu zákazu preniesť na tretie osoby osobné údaje klienta získané pri uzatvorení zmluvy o ručení bez jeho súhlasu. Výsledkom je, že poisťovňa nebude schopná získať úplné informácie o svojich zákazníkoch z jednej databázy (a udržanie takejto databázy je tiež sporné), v takejto situácii rastú riziká poisťovateľov.
Už sa poisťovne snažia vyriešiť tento dôležitý problém pre ne zvážením nasledujúcich možností:
Odsek 6 článku 6 o udelení práva na spracovanie osobných údajov novinárom, učencom a zástupcom iných tvorivých profesií bez súhlasu subjektu je nepochybný. Je celkom realistické (najmä v obchodných štruktúrach) zaviesť na plný úväzok pozíciu "zástupcu tvorivej profesie" a "napísať na ňu" všetky databázy obsahujúce osobné informácie.
Napríklad v Anglicku v podobnom ustanovení zákona sa dodatočne ustanovuje, že v tomto prípade je účelom spracovania údajov zverejnenie relevantného materiálu; že takéto uverejnenie musí byť vo verejnom záujme (vrátane výkonu práva na sebavyjadrenie zástupcu tvorivej profesie) 9.
Okrem toho je zaujímavé, ako určiť, kto je novinár alebo spisovateľ a kto nie. Nie je tajomstvom, že mnoho písaných bratov nemá príslušné diplomy alebo oficiálne doklady. Tu môže byť užitočný prístup v USA: novinári rozpoznávajú všetkých, ktorí píšu články na verejnú distribúciu, aj keď sú publikované iba na internete.
V Spojených štátoch v januári 2007 začal súdny proces s bývalým seniorom George Bushe Lewisom "Scooter" Libby. Pre tlač v súdnej sieni bolo vyhradených sto kresiel a dve z nich boli oficiálne prijaté autormi internetových denníkov.
Americká spoločnosť redaktorov novín pri vypracovávaní federálneho zákona o udeľovaní novinárom právo nezverejňovať dôverné informácie počas súdneho konania naznačuje, že tento zákon platí pre všetkých bez výnimky a vzťahuje sa na tých, ktorí zhromažďujú informácie na ďalšie rozširovanie. Na túto definíciu spadajú aj autori internetových denníkov, "blogeri" 10.
Teraz sa pozrime, ako nový zákon zahŕňa získanie súhlasu subjektu so spracovaním jeho osobných údajov.
Článok 9 ods. 1 federálneho zákona Ruskej federácie o osobných údajoch z 27. júla. 2006 č. 152-FZ
Predmet osobných údajov rozhoduje o poskytovaní svojich osobných údajov a súhlasí s ich spracovaním z vlastnej vôle av jeho vlastnom záujme... Súhlas s spracovaním osobných údajov môže odobrať subjekt osobných údajov.
Okrem toho ustanovenie článku 9 obsahuje pre prevádzkovateľov pomerne nepríjemnú podmienku. Musia buď zhromaždiť dôkaz o tom, že zhromaždené údaje sú prevzaté z verejne dostupných zdrojov alebo získať súhlas od predmetu osobných údajov a potom uložiť tento doklad v prípade, že sa "subjekt" rozhodne žalovať prevádzkovateľa za porušenie jeho práv.
S verejne dostupnými údajmi nie je ani tak jednoduché. V článku 8, ktorý definuje význam verejne prístupných zdrojov osobných údajov (referenčné knihy, adresáre atď.), Sa zdôrazňuje, že osobné informácie môžu byť do nich zahrnuté len s písomným súhlasom subjektu. Okrem toho "informácie o predmete osobných údajov môžu byť kedykoľvek vylúčené z verejne dostupných zdrojov osobných údajov na žiadosť subjektu osobných údajov alebo súdom alebo inými autorizovanými vládnymi orgánmi."
Na druhej strane, ak by organizácia pri zhromažďovaní informácií používala verejne dostupné zdroje osobných údajov, mala by dokumentovať, kde získala tieto informácie, a uistiť sa, že "zdroj" má písomný súhlas vyžadovaný zákonom.
Federálny zákon Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ
Klauzula 12 článku 3. Základné pojmy používané v tomto federálnom zákone
Všeobecne prístupné osobné údaje sú osobné údaje, ku ktorým má prístup neobmedzený počet osôb so súhlasom subjektu osobných údajov alebo ktorým sa neuplatňuje požiadavka dôvernosti v súlade s federálnymi zákonmi.
Doložka 1 článku 8. Všeobecne prístupné zdroje osobných údajov
Na poskytovanie informačnej podpory je možné vytvoriť verejne prístupné zdroje osobných údajov (vrátane referenčných kníh, adresárov). Verejne dostupné zdroje osobných údajov s písomným súhlasom subjektu osobných údajov môžu zahŕňať jeho priezvisko, krstné meno, priezvisko, rok a miesto narodenia, adresu, účastnícke číslo, informácie o profesii a iné osobné údaje poskytnuté subjektom osobných údajov.
Doložka 3 článku 9. Súhlas subjektu osobných údajov so spracovaním ich osobných údajov
Povinnosť poskytnúť dôkaz o súhlase subjektu osobných údajov so spracovaním jeho osobných údajov a v prípade spracovania verejne dostupných osobných údajov je prevádzkovateľ povinný preukázať, že spracované osobné údaje sú verejne dostupné.
Ukázalo sa, že organizácie budú musieť požiadať o oficiálne potvrdenie pre každého občana.
Ako by sa mal podať písomný súhlas subjektu? Ukazuje sa, že občiansky podpis pod všeobecnou vetou "Súhlasím so zberom a spracovaním mojich osobných údajov" nestačí.
Článok 9 článku 4 federálneho zákona Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ
... písomný súhlas subjektu osobných údajov so spracovaním ich osobných údajov by mal obsahovať:
To znamená, že predtým, než sa "zachyti" predmet osobných údajov a pokúsi sa získať jeho súhlas, musí prevádzkovateľ vytvoriť osobitnú formu dokumentu, ktorá by obsahovala všetky potrebné informácie.
Predovšetkým je predmet osobných údajov oprávnený získať nasledujúce informácie:
Od prevádzkovateľa môže predmet osobných údajov vyžadovať:
Mnoho ťažkostí pre organizácie prevádzkovateľov vytvorí ustanovenie 2 článku 14 zákona, podľa ktorého prevádzkovateľovi poskytnú informácie o dostupnosti osobných údajov v prístupnej forme a neobsahujú informácie týkajúce sa iných subjektov osobných údajov.
Vec "Durant a finančné služby", prípad 11, ktorý sa zaoberal odvolacím súdom v Anglicku v decembri 2003, získal širokú odpoveď. Rozhodnutie súdu výrazne zúžilo výklad pojmu "osobné údaje". Najmä súd uviedol, že samotná zmienka o tejto osobe v texte dokumentu nestačí na posúdenie dokumentu obsahujúceho osobné údaje. Okrem toho súd potvrdil, že právo na prístup k osobným údajom by nemalo porušovať práva tretích osôb a že z kópií dokumentov poskytnutých na požiadanie by sa mali odstrániť osobné údaje tretích strán (s výnimkou zvláštnych okolností).
V novembri 2004 vláda poprela právo pracovníkov v Spojenom kráľovstve na prístup k osobným údajom bez ohľadu na to, či ich zamestnávateľ uchováva v papierovej alebo elektronickej podobe, ak sú uložené v systéme, ktorý jasne neupravuje informácie o každej osobe. Systémy archivovania papierových súborov (s výnimkou osobných súborov) boli de facto odstránené z pôsobnosti zákona o poskytovaní prístupu k osobným informáciám, pretože je ťažké izolovať informácie o konkrétnej osobe.
Na prístup k osobným údajom musia naši krajania:
Táto žiadosť môže byť zaslaná v elektronickej forme a podpísaná digitálnym podpisom. Zákon teda formálne poskytuje možnosť požiadať o svoje osobné údaje prostredníctvom elektronických komunikačných kanálov. Ešte nemáme jednotlivcov, ktorí majú svoj vlastný EDS v súlade so zákonom o EDS (v prevažnej väčšine prípadov sa EDS používa v našej krajine v súlade s článkom 160 Občianskeho zákonníka, ktorý stanovuje predbežnú dohodu strán).
Množstvo informácií, ktoré si môžu subjekty s osobnými údajmi vyžadovať, preukazuje záujem našich občanov. Organizáciám vedúcim databázu obsahujúcu osobné údaje sa odporúča, aby venovali osobitnú pozornosť odseku 4 článku 14 nového zákona s cieľom premyslieť a konsolidovať postup poskytovania informácií vo vnútorných predpisoch:
Otázka spracovania osobných údajov "s cieľom propagovať tovar, diela, služby na trhu prostredníctvom priamych kontaktov s potenciálnym spotrebiteľom prostredníctvom komunikačných nástrojov, ako aj pre politické kampane" sa venuje osobitnému článku (článok 15). Teraz musia komerčné a politické organizácie pred odoslaním reklamy získať predchádzajúci súhlas občana a spracovanie PD "sa uznáva bez predchádzajúceho súhlasu subjektu osobných údajov, ak prevádzkovateľ nepreukáže, že takýto súhlas získal." Pre niektoré komerčné štruktúry môže byť táto požiadavka veľmi nepríjemná!
Odteraz je "zakázané prijímať rozhodnutia na základe výlučne automatizovaného spracovania osobných údajov, ktoré spôsobujú právne dôsledky týkajúce sa predmetu osobných údajov alebo inak ovplyvňujú ich práva a oprávnené záujmy" (článok 16).
Toto ustanovenie je potrebné a včasné. Ale naši zákonodarcovia pri formulovaní zmiešali dve odlišné pojmy: "automatické" (to znamená, že ide bez ľudskej účasti) a "automatizované" (tj ide s ľudskou účasťou). Výsledkom toho je, že tento článok namiesto toho, aby im uložil ďalšie obmedzenia, a len vtedy, keď informačný systém prijíma rozhodnutia bez ľudskej účasti (napríklad účtovanie pokuty, zákaz cestovania mimo krajiny atď.), Môže vykladať tak, že ukladajú obmedzenia na všetky typy spracovania osobných údajov, pretože aj použitie kalkulačky možno chápať ako automatické spracovanie!
V tom istom článku nového zákona sa uvádza, že prevádzkovateľ bude môcť prijímať rozhodnutia založené len na "automatizovanom" spracovaní, ak:
V niektorých regulačných dokumentoch už boli tieto požiadavky zákona zohľadnené. Preto vo vzorkách žiadostí o vydanie pasu novej generácie existuje osobitná časť, v ktorej žiadateľ súhlasí s "automatizovaným" spracovaním údajov uvedených v žiadosti. Znie to takto: "Súhlasím s automatizovaným spracovaním, prenosom a ukladaním údajov uvedených v žiadosti na účely výroby, spracovania a kontroly pasu počas jeho platnosti" 12.
Prevádzkovateľ bude musieť občanom poskytnúť aj tieto informácie vopred:
V prípade sporu musí prevádzkovateľ preukázať, že splnil všetky požiadavky zákona. To znamená, že bude musieť starostlivo zhromažďovať a uchovávať podporné dokumenty.
Povinnosti prevádzkovateľa v súlade s článkom 18 zahŕňajú najmä poskytovanie osobných informácií na žiadosť občana. Okrem toho musí prevádzkovateľ "objasniť na predmet osobných údajov právne dôsledky odmietnutia poskytnúť svoje osobné údaje", ak je táto povinnosť stanovená federálnymi zákonmi.
Článok 20 stanovuje pre prevádzkovateľov veľmi striktné termíny na splnenie požiadaviek subjektov osobných údajov (sú oveľa prísnejšie, napríklad tie, ktoré sú stanovené v nedávno vydanom zákone "o postupe pri posudzovaní odvolania občanov Ruskej federácie"):
Prevádzkovateľ bude mať ešte viac otázok, ak je potrebné odstrániť porušenie zákona v časovom rámci stanovenom v článku 21 nového zákona. Blokovanie údajov by sa malo vykonať od okamihu podania žiadosti alebo od okamihu prijatia žiadosti a odstránenia porušenia - do 3 pracovných dní.
V niektorých prípadoch je prevádzkovateľ povinný zničiť osobné údaje do 3 pracovných dní, a to:
Blokovanie a likvidácia osobných údajov môže byť ťažké (a niekedy aj nemožné) implementovať v súčasných prevádzkových informačných systémoch a databázach, ktoré predtým neposkytovali takúto možnosť.
Operátorovi to bude ešte ťažšie, ak by dostal osobné údaje nie od občana, ale od tretej strany.
Článok 18 ods. 3 federálneho zákona Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ
Ak osobné údaje neboli prijaté od subjektu osobných údajov, ak osobné údaje neboli poskytnuté prevádzkovateľovi podľa federálnych zákonov alebo ak sú osobné údaje verejne dostupné, prevádzkovateľ pred spracovaním takýchto osobných údajov musí poskytnúť subjektu osobných údajov tieto informácie:
Za týmito slovami je časovo náročnejšia práca. Napríklad môže nastať otázka: ako by sa tieto informácie mali poskytnúť subjektu? Je možné ho poslať poštou a budú tieto informácie považované za poskytnuté, ak subjekt nedostal zodpovedajúci list?
Povinnosťou prevádzkovateľa v súlade s článkom 19 je tiež zabezpečiť bezpečnosť osobných údajov počas ich spracovania. Aby sa zabránilo problémom, organizácia prevádzkovateľa by mala v regulačných dokumentoch vypracovať a skonsolidovať všetky organizačné a technické opatrenia na zabezpečenie informácií, ktoré sú pripravené prijať na ochranu osobných údajov obsiahnutých v jej informačných systémoch.
Zákon stanovuje, že všetci prevádzkovatelia, ktorí vykonávajú spracúvanie osobných údajov, musia vopred informovať autorizovaný orgán (článok 22), ktorý bude viesť záznamy o prevádzkovateľoch v osobitnom registri. Autorizovaným orgánom podľa článku 23 je Ministerstvo pre informačné technológie a komunikácie Ruskej federácie, ktoré v súčasnosti vykonáva "funkcie kontroly a dohľadu v oblasti informačných technológií a komunikácií". Toto oznámenie bude musieť podrobne vysvetliť, čo sa plánuje s osobnými údajmi. Akékoľvek zmeny vo vzťahu k spracovaniu osobných údajov musia byť tiež oznámené oprávnenému orgánu.
Povolenie spracovávať osobné údaje bez oznámenia autorizovanému orgánu v týchto prípadoch:
Na záver ponúkneme niekoľko odporúčaní pre prevádzkovateľov. Nebude veľmi náročné splniť požiadavky zákona o osobných údajoch, ak sa táto práca začína teraz, bez čakania na prvé sťažnosti a sťažnosti. Môžete začať s nasledujúcimi zrejmými opatreniami:
V tomto článku sa analýza nového zákona o ochrane osobných údajov uskutočňuje z hľadiska špecialistov v oblasti správy záznamov, ktorá bude zničiť veľa krvi. Jeho účinnosť bude preukázaná praxou, ale zatiaľ ako "subjekt osobných údajov" odhadujem zoznam verejných orgánov, na ktorý by som mohol poslať žiadosť o poskytnutie relevantných informácií v súlade s požiadavkami zákona. Teraz mám právo!
1 Článok 25 kapitoly IV smernice Európskeho parlamentu a Rady 95/46 / ES z 24. októbra 1995 o ochrane práv jednotlivcov so zreteľom na spracovanie osobných údajov a voľnom pohybe týchto údajov.
2 Je zaujímavé, že aj Spojené štáty nedodržiavajú prísne európske požiadavky a americké spoločnosti sú nútené používať tzv. "Zastrešujúce" dohody.
3 Subjektom osobných údajov je osoba, ktorej osobné údaje sú spracovávané.
4 "systém podávania osobných údajov"
5 Zoznam federálnych výkonných orgánov a organizácií zaoberajúcich sa ukladaním dokumentov Federálneho archívneho fondu Ruskej federácie, ktoré sú vo federálnom vlastníctve, zahŕňa 18 organizácií: ministerstvo vnútra Ruska, ministerstvo zahraničných vecí Ruska, ministerstvo obrany Ruska, SVR Ruska, FSB Ruska, Federálna služba kontroly drog Ruska, Roskartografiya, Ruská akadémia poľnohospodárskych vied, Ruská akadémia lekárskych vied, Ruská akadémia vzdelávania, Ruská akadémia umení, Ruská akadémia architektúry a stavebných vied, štát Nadácia: Celoskupinský výskumný ústav hydrometeorologických informácií - Svetové dátové centrum, Federálna štátna inštitúcia Štátny fond televíznych a rozhlasových programov, Federálny štátny jednotný vedecko-výrobný podnik Ruský federálny geologický fond, Federálny štátny jednotný podnik Ruské vedecko-technické centrum informácie o normalizácii, metrológii a posudzovaní zhody ".
6 5 U.S. C. § 552a (k) (1) "Dokumenty pre jednotlivcov - Osobitné výnimky - Archívne dokumenty".
7 Obsluha - verejný orgán, obec, právnická alebo fyzická osoba, ktorá organizuje a (alebo) vykonáva spracovanie osobných údajov, ako aj vymedzenie účelu a obsah so spracovaním osobných údajov.
9 Zákon o ochrane údajov z roku 1998, článok 32.
11 Durant - Úrad pre finančné služby (FSA).
12 Dodatok № 1 k nariadeniu o postupe registrácie a vydávanie pasov občanov Ruskej federácie, diplomatický pas a iných úradných pasov je hlavným dokumentom potvrdzujúcim občan Ruskej federácie hranicami Ruskej federácie, ktoré obsahujú elektronické nosiče dát (app. Poradie ministerstva vnútra, ministerstvo zahraničných vecí a Federálna bezpečnostná služba Ruskej federácie z 6. októbra 2006 č. 785/14133/461).