Aké sú spôsoby spracovávania osobných údajov?

V kódexe práce Ruskej federácie existuje taký pojem ako "osobné informácie o pracovnej osobe". Údaje o prevádzkovom kontingente sa musia poskytnúť zamestnávateľovi.

Po preskúmaní osobných údajov podniká zamestnávateľ verdikt o prevzatí osoby do spoločnosti.

Informácie, ktoré osoba prezentuje o sebe, musia byť chránené. Distribúcia je zakázaná.

Drahí čitatelia! Naše články hovoria o typických spôsoboch riešenia právnych problémov, ale každý prípad je jedinečný.

Ak chcete vedieť, ako vyriešiť presne váš problém - stačí zavolať, je to rýchle a zadarmo!

systém

Osobné informácie o zamestnancoch by mali byť predmetom vývoja.

Zamestnávateľ uplatňuje na osobné údaje pracujúcich tieto požiadavky:

1. Proces spracúvania osobných informácií o pracujúcej osobe sa uskutočňuje s cieľom zabezpečiť súlad so zákonmi a právnymi predpismi. Vďaka spracovaniu údajov môžete zamestnať osobu, poskytnúť mu osobnú bezpečnosť a sledovať prácu, ktorú vykonáva.
2. Zamestnávateľ berie do úvahy rozsah a obsah osobných údajov o pracovnom kontingente, ktorý sa spracúva. Všetci zamestnávatelia skúmajú a sledujú aspekty ústavy, ďalšie federálne zákony.
3. Informácie o pracovnom kolektíve je potrebné získať priamo od samotných zamestnancov. Informácie o pracovnej osobe môžete získať z tretej úlohy, ale len s písomným súhlasom osoby. Zamestnávateľ informuje zamestnancov o svojich cieľoch a zdrojoch, z ktorých budú poskytnuté osobné informácie. Zamestnávateľ varuje pred následkami v prípadoch odmietnutia poskytnúť osobné údaje od pracujúcej osoby.
4. Osoba, ktorá vykonáva prácu svojich zamestnancov, nemá právo na informácie o všetkých druhoch politických, náboženských alebo iných presvedčení, ako aj o rodinnom živote pracovníka. Osobný život zamestnanca možno vyjadriť len s jeho súhlasom. Dohoda musí byť vyhotovená písomne.
5. Zamestnávateľ by nemal používať pri spracúvaní informácií o prítomnosti zamestnancov v združeniach, odborových zväzoch. Ale existujú situácie, ktoré sú stanovené federálnym zákonom.
6. Všetky osobné informácie musia byť chránené a skryté pred verejnou kontrolou a používaním. Ochrana údajov podlieha podmienkam federálneho zákona.
7. Pracovníci skúmajú dokumenty patriace inštitúcii. Mali by zverejniť význam a poradie procesov spracovania osobných údajov zamestnancov.
8. Pracujúci ľudia musia prijať ochranu svojich osobných informácií.
9. Samotní zamestnávatelia, ako aj zamestnanci, môžu spolupracovať pri vývoji spôsobov ochrany osobných údajov zamestnancov.

Pri poskytovaní informácií o zamestnancoch musí riaditeľ podniku dodržiavať nasledujúce pravidlá:

• Tretia strana nemusí vedieť o osobných údajoch každého zamestnanca. Údaje sa môžu poskytnúť len v prípadoch, keď zamestnanci dali svoj písomný súhlas s používaním svojich osobných údajov. Ale ak existuje nejaká hrozba pre živobytie, zdravie pracovného tímu, potom osobné údaje môžu byť poskytnuté iným ľuďom bez písomného písomného súhlasu;
• zamestnávateľ by nemal uverejňovať údaje o skupine, ktorá na ňom pracuje, na účely obchodu;
• ľudia, ktorí dostávajú informácie o zamestnancoch, ich musia spracovať v rámci dôvernosti;
• prenos informácií o osobe sa uskutočňuje iba v jednej organizácii prostredníctvom osobitných interných aktov inštitúcie;
• informácie o zamestnancovi majú prístup iba k osobitným oprávneným osobám;
• nie je potrebné požadovať informácie o zdraví pracujúcich osôb. Žiadosť možno podať len v prípadoch, keď vznikne otázka, či pracujúci ľudia môžu vykonávať svoje pracovné funkcie;
• osobné údaje o pracovnom kontingente sa môžu zhromažďovať s prihliadnutím na údaje v kódexe.

Pracovný kontingent má právo:

• oboznámenie sa s vašimi osobnými údajmi a ich spracovaním;
• neobmedzený prístup k osobným informáciám. Pracovnej osobe môžu byť vydané kópie informačných údajov. Existujú však situácie, keď nie sú osobné informácie zverejnené. Tieto situácie sú opísané vo federálnom zákone;
• lekár môže zobraziť osobné údaje zamestnancov;
• možnosť opraviť alebo doplniť subjekty osobných údajov.

Uvádzajú sa tieto typy spracovania osobných údajov:

1. Spracovanie informácií pomocou počítačovej technológie.
2. Nie automatizované spracovanie.
3. Informačný systém spracúvajúci poskytnuté údaje.

automatizované

Toto spracovanie sa vykonáva pomocou špeciálnej počítačovej technológie. Najbežnejšie počítačové stroje môžu byť:

• elektronický počítač;
• pomocné zariadenia;
• periférne zariadenia;
• nutne inštalovaný softvér.

Non-automatizované

Najpodrobnejší opis neautomatického spracovania je uvedený vo vládnom nariadení č. 687.

Distribúcia, štúdium a odstraňovanie informácií o prevádzkovom kontingente by sa mala vykonávať s časťou osoby, nie s počítačovou technológiou.

informácie

Vďaka informačnému systému sa spracúvajú špeciálne kategórie osobných informácií o prevádzkovom kontingente. Tento systém spracováva údaje ovplyvňujúce členstvo v konkrétnej rase a pohlavie, národnosť, politické názory, filozofické vyhliadky.

Vďaka informačnému systému je možné spracovať:

• biometrické osobné údaje. Najmä ak existuje charakteristika fyziologických, biologických údajov. Vďaka získaným vlastnostiam je možné posúdiť osobnosť pracovníkov;
• zdieľané osobné údaje;
• iné informačné údaje. Príkladom by mohli byť náboženské, národné myšlienky, filozofické vyhliadky, momenty intimnej povahy pracovného kontingentu a mnoho ďalších dôležitých osobných charakteristík až po zdravotný stav.

Preto sú osobné informácie o každom zamestnancovi obsiahnuté vo všetkých zamestnávateľoch. Riaditeľ nemá v žiadnom prípade právo šíriť dostupné údaje o osobe.

Získané informácie o prevádzkovom kontingente môžu byť spracované niekoľkými spôsobmi: pomocou počítačovej technológie, pomocou osobných síl, vďaka systému hodnotenia informácií.

Vo všetkých prípadoch sa dôkladne preskúmajú osobné údaje každého zamestnanca.

Spôsoby spracovávania osobných údajov

Podľa poriadku občianskeho zákonníka oblasti Amur

26. decembra 2012 č. 626

v súvislosti so spracovaním osobných údajov

1. VŠEOBECNÉ USTANOVENIA

1.1. Tento dokument (ďalej len "politika") je systematickým prehlásením o cieľoch, princípoch, metódach a podmienkach na spracovanie osobných údajov, informáciách o implementovaných požiadavkách na spracovanie a ochranu osobných údajov v GKU Amurského regiónu Centrálnej nemocnice voľného (ďalej len "Centrum zamestnanosti").

1.2. Politika je založená na požiadavkách federálneho zákona Ruskej federácie "o osobných údajoch", iných regulačných právnych aktoch Ruskej federácie stanovujúcich postup spracovania a ochrany osobných údajov. Pravidlá sú verejným dokumentom.

1.3. V súlade s federálnym zákonom z 27. júla 2006 č. 152-FZ "o osobných údajoch" je Centrum zamestnanosti prevádzkovateľom osobných údajov (ďalej len "PD").

2. SPRACOVANÉ OSOBNÉ ÚDAJE

2.1. Hlavné pojmy použité v politike:

· Osobné údaje - akékoľvek informácie týkajúce sa fyzickej osoby (predmet osobných údajov) určené alebo určené na základe takýchto informácií vrátane priezviska, krstného mena, roka, mesiaca, dátumu a miesta narodenia, bydliska, rodiny, sociálnych vecí postavenie, vzdelanie, povolanie, príjem, iné informácie;

· Spracovanie osobných údajov - akcie (operácie) s osobnými údajmi vrátane zhromažďovania, systematizácie, hromadenia, ukladania, upresnenia (aktualizácia, zmena), používania, distribúcie (vrátane prenosu), depersonalizácie, blokovania, zničenia osobných údajov;

2.2. V rámci tejto politiky spracované osobné údaje znamenajú:

· Osobné údaje poskytované príjemcami verejných služieb, ktoré sa vzťahujú na centrum zamestnanosti;

· Osobné údaje zamestnancov centra práce alebo uchádzačov o voľné pracovné miesta;

3. ÚČELY SPRACOVANIA OSOBNÝCH ÚDAJOV

3.1. Ciele spracovania PD v Centre zamestnanosti sú:

· Zabezpečenie uplatňovania ústavných práv občanov Ruskej federácie na prácu a sociálnej ochrany proti nezamestnanosti prostredníctvom poskytovania verejných služieb v oblasti podpory zamestnanosti;

· Zabezpečenie uplatňovania ústavných práv občanov na odvolanie;

· Získanie objektívneho posúdenia stavu trhu práce v subjekte, ktorý je súčasťou Ruskej federácie (vo vzťahu k príjemcom verejných služieb zamestnanosti, nezamestnaným občanom, občanom, ktorí žiadajú o zamestnanie s návrhmi, vyhláseniami, sťažnosťami);

· Zabezpečenie súladu s ústavou Ruskej federácie, zákonov a iných regulačných právnych aktov, pomoc zamestnancom pri hľadaní zamestnania, odbornej príprave a podpore práce, rastu pracovných miest, zabezpečovaní osobnej bezpečnosti zamestnancov, kontrole množstva a kvality vykonávanej práce, zabezpečenia bezpečnosti majetku, ktorý je jej súčasťou a zaznamenávania výsledkov ich výkonu povinnosti a bezpečnosť majetku Centra zamestnanosti.

· Plnenie funkcií daňového agenta pri poskytovaní štandardných daňových odpočtov (vo vzťahu k rodinným príslušníkom zamestnancov Centra zamestnanosti);

· Plnenie povinností vyplývajúcich z občianskoprávnych zmlúv (vo vzťahu k osobám, ktoré vykonávajú prácu, poskytujú služby v rámci občianskoprávnych zmlúv s Centrom zamestnanosti).

4. PRINCÍPY SPRACOVANIA OSOBNÝCH ÚDAJOV

4.1. Implementácia spracovania PD na legálnom a spravodlivom základe.

4.2. Obmedzenie spracovania PD na dosiahnutie špecifických, vopred určených a legitímnych cieľov uvedených v časti 2 tohto dokumentu. Nie je dovolené spracúvať osobné údaje, ktoré sú nezlučiteľné s účelmi zhromažďovania osobných údajov.

4.3. Zabránenie kombinácii databáz obsahujúcich PD, ktoré sa spracúvajú na účely, ktoré sú navzájom nezlučiteľné.

4.4. Spracovanie iba tých PDS, ktoré spĺňajú účely spracovania.

4.5. Súlad s obsahom a objemom PD spracovávaného na uvedené účely spracovania.

4.6. Neprípustnosť prepustenia spracovaného PD vo vzťahu k stanoveným cieľom ich spracovania.

4.7. Zabezpečenie presnosti PD, ich dostatočnosti a, ak je to potrebné, relevantnosti vo vzťahu k účelu PD spracovania.

4.8. Zabezpečte, aby sa vykonali potrebné opatrenia na odstránenie alebo úpravu neúplných alebo nepresných údajov.

4.9. Vykonávanie PD skladovania vo forme umožňujúcej určenie subjektu PD nie je dlhšie, než účel spracovania PD vyžaduje, ak časové obdobie uchovávania PD nie je stanovené federálnymi právnymi predpismi, pričom zmluva, na ktorú je subjektom PD príjemcom alebo ručiteľom. PD, ktoré sa majú spracovať, podliehajú zničeniu alebo depersonalizácii pri dosahovaní cieľov spracovania alebo v prípade straty potreby dosiahnuť tieto ciele, ak federálne zákony nestanovujú inak.

5. METÓDY SPRACOVANIA OSOBNÝCH ÚDAJOV

5.1. Pracovné centrum spracováva PD nasledujúcimi spôsobmi:

· Neautomatizované spracovanie PD (na papieri);

· Automatizované spracovanie (v ISPDn s použitím a bez použitia automatizačného zariadenia), vrátane: s prenosom a bez prechodu cez miestnu sieť centra zamestnanosti; s prenosom a bez prenosu cez internet;

· Zmiešané PD spracovanie.

5.2. Zamestnanecké centrum môže nezávisle vybrať metódy spracovania PD v závislosti od účelu takéhoto spracovania a vlastných materiálnych a technických možností.

6. PODMIENKY SPRACOVANIA OSOBNÝCH ÚDAJOV

6.1. Spracovanie PD sa vykonáva v súlade so zásadami a pravidlami stanovenými federálnym zákonom o osobných údajoch.

6.2. PD spracovanie je povolené v prípadoch stanovených federálnym zákonom "o osobných údajoch".

6.3. Zamestnanecké centrum má právo zveriť spracovanie PD inej osobe so súhlasom subjektu PD, ak federálny zákon neustanovuje inak, na základe zmluvy uzavretej s touto osobou vrátane štátnej alebo obecnej zmluvy alebo prijatím príslušného aktu štátneho alebo obecného orgánu (ďalej len " ).

6.4. Ak Zamestnanecké centrum pridelí spracovanie PD inej osobe, zodpovednosť voči osobe PD za konanie tejto osoby znáša Centrum zamestnanosti. Osoba, ktorá spracúva osobné údaje v mene Centra zamestnanosti, je zodpovedná v Centre zamestnanosti.

7. DÔVERNOSŤ OSOBNÝCH ÚDAJOV

7.1. Zamestnanecké centrum a iné osoby, ktoré získali prístup k PD, sú povinné neposkytnúť tretím stranám a nerozdeliť PD bez súhlasu PD, ak federálny zákon neustanovuje inak.

8. Súhlas s predmetom osobných údajov na spracovanie osobných údajov

8.1. Subjekt PD rozhoduje o poskytnutí svojich osobných údajov a súhlasí so svojím spracovaním slobodne, a to vo vlastnom záujme a vo svojom záujme.

8.2. Súhlas s PD spracovaním by mal byť špecifický, informovaný a vedomý.

8.2. Súhlas s PD spracovaním môže poskytnúť subjekt PD alebo jeho zástupca v akejkoľvek forme, ktorá umožňuje potvrdiť fakt, že mu bolo doručené, pokiaľ federálne zákony nestanovujú inak.

8.3. V prípade získania súhlasu na spracovanie osobných údajov od zástupcu subjektu osobných údajov kontroluje autorita tohto zástupcu súhlas v mene subjektu osobných údajov s Centrom zamestnanosti.

8.4. Súhlas s PD spracovaním môže odobrať PD subjekt. V prípade odvolania PDN súhlasu na spracovanie PD, je Centrum zamestnanosti oprávnené pokračovať v spracúvaní osobných údajov bez súhlasu osoby s PD, ak existujú dôvody špecifikované v článkoch 2 až 11 časti 1 článku 6, časti 2 článku 10 a časti 2 článku 11 Federálneho zákona o osobných údajoch ".

8.5. V prípadoch stanovených federálnym zákonom sa spracovanie PD vykonáva len s písomným súhlasom subjektu PD. Písomný súhlas sa považuje za rovnocenný s elektronickým dokumentom podpísaným elektronickým zákonom podpísaným v súlade s federálnymi zákonmi.

8.6. Osobné údaje možno získať v Centre zamestnanosti od osoby, ktorá nie je predmetom osobných údajov za predpokladu, že Centrum zamestnanosti potvrdzuje existenciu dôvodov uvedených v článku 6 ods. 2 až 11 článku 6, článku 2 časti 2 článku 10 a časti 11 článku 11 federálneho zákona o osobných údajoch ".

9. UPLATŇOVANIE PRÁV VOZIDIEL OSOBNÝCH ÚDAJOV

9.1. Pri spracovávaní PD, Centrum zamestnanosti poskytuje potrebné podmienky, aby PD mohol slobodne vykonávať svoje práva.

9.2. Subjekt PD má právo na prístup k osobným údajom.

9.3. Objekt PD má právo prijímať informácie týkajúce sa spracovania jeho osobných údajov, ktoré obsahujú: potvrdenie o spracovaní PD zo strany Centra zamestnanosti; právny základ a účel spracovania PD; ciele a metódy spracovania PD uplatňované Centrom zamestnanosti; názov a umiestnenie Centra zamestnanosti, informácie o jednotlivcoch (s výnimkou zamestnancov Centra zamestnanosti), ktorí majú prístup k osobným údajom alebo ktorí môžu zverejniť osobné údaje na základe dohody s Centrom zamestnanosti alebo na základe federálneho práva; PD spracované príslušným subjektom PD, zdrojom ich prijatia, pokiaľ federálny zákon nestanovuje iný postup na predkladanie takýchto údajov; Doba spracovania PD vrátane času skladovania; postup pre uplatnenie práv PDN, ktoré stanovuje federálny zákon "o osobných údajoch"; informácie o dokončenom alebo zamýšľanom cezhraničnom prenose údajov; meno alebo priezvisko, meno, priezvisko a adresu osoby, ktorá vykonáva spracovanie PDN v mene centra zamestnanosti, ak je spracovanie zverené alebo bude zverené takejto osobe; iné informácie stanovené federálnymi zákonmi.

9.4. Právo PD, ktoré podlieha prístupu k osobným údajom, môže byť obmedzené v prípadoch výslovne stanovených federálnymi zákonmi.

9.5. Subjekt PD má právo obhajovať svoje práva a oprávnené záujmy vrátane náhrady škody a (alebo) náhrady za morálnu ujmu na súde.

9.6. Ak sa subjekt PD domnieva, že centrum práce spracúva PD v rozpore s požiadavkami federálneho zákona "o osobných údajoch" alebo iným spôsobom porušuje jeho práva a slobody, má PD subjekt právo odvolať sa voči akcii alebo nečinnosti centra zamestnanosti oprávnenému orgánu na ochranu práv subjektov PD alebo súdny príkaz.

10. INFORMÁCIE O OPATRENIACH IMPLEMENTOVANÝCH Centrom zamestnanosti

S CIEĽOM ZABEZPEČIŤ IMPLEMENTÁCIU ZODPOVEDNOSTÍ VZŤAHUJÚCICH SA NA SPRACOVANIE OSOBNÝCH ÚDAJOV

10.1. Centrum zamestnanosti pri spracovávaní PD vykonáva svoje povinnosti ako prevádzkovateľa PD, ktoré stanovuje federálny zákon "o osobných údajoch".

10.2. Centrum zamestnanosti prijme opatrenia potrebné a dostatočné na zabezpečenie plnenia úloh ustanovených týmto federálnym zákonom a regulačnými právnymi predpismi prijatými v súlade s ním.

10.3. Centrum zamestnanosti nezávisle určuje zloženie a zoznam opatrení potrebných a dostatočných na zabezpečenie plnenia povinností ustanovených týmto federálnym zákonom a regulačnými právnymi predpismi prijatými v súlade s ním, pokiaľ federálne zákony nestanovujú inak.

10.4. Centrum zamestnanosti poskytuje neobmedzený prístup k tomuto dokumentu (Politika), k informáciám o skutočných požiadavkách na ochranu PD, a to zverejnením na oficiálnej webovej stránke odboru zamestnanosti regiónu Amur Region na adrese http: // zanamur. ru, GKU z oblasti Amur v Centrálnej nemocnici mesta Svobodny na adrese http://svobzan.amur.ru.

11. INFORMÁCIE O VYKONÁVANÍ ZAMESTNANCOVÝCH STRÁNOK OPATRENÍ NA OCHRANU OSOBNÝCH ÚDAJOV V OBLASTI SPRACOVANIA

11.1. Centrum zamestnanosti v oblasti spracovávania PD zabezpečuje prijatie potrebných právnych, organizačných a technických opatrení na ochranu PD pred neoprávneným alebo náhodným prístupom k nim, zničením, modifikáciou, blokovaním, kopírovaním, poskytovaním, distribúciou PD, ako aj inými protiprávnymi opatreniami týkajúcimi sa PDN.

11.2. V záujme ochrany osobných údajov implementuje Centrum zamestnanosti požiadavky na ochranu osobných údajov, keď sú spracúvané v informačnom systéme osobných údajov zriadeným vládou Ruskej federácie.

11.3. Zabezpečenie bezpečnosti PD je dosiahnuté v Centre zamestnanosti, najmä:

· Identifikácia ohrozenia bezpečnosti osobných údajov pri ich spracovaní v ISPDN Centra zamestnanosti;

· Používanie organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri spracovávaní v ISPDN Centra zamestnanosti potrebných na splnenie požiadaviek na ochranu osobných údajov, ktorých splnenie je zabezpečené úrovňou ochrany osobných údajov stanovenou vládou Ruskej federácie;

· Používanie opatrení informačnej bezpečnosti prijatých predpísaným spôsobom;

· Posúdenie účinnosti opatrení prijatých Centrom zamestnanosti na zabezpečenie bezpečnosti osobných údajov pred uvedením ISPDN do centra zamestnanosti do prevádzky;

· S prihliadnutím na nosiče strojov PD z centra zamestnanosti

· Zisťovanie skutočností o neoprávnenom prístupe k PDN a konaní;

· Obnovenie PDN upraveného alebo zničeného ako dôsledok neoprávneného prístupu k nim;

· Vytvorenie pravidiel prístupu k PDN spracúvaných v SPDN v Centre zamestnanosti, ako aj zabezpečenie registrácie a zaznamenávania všetkých činností vykonávaných na PDN v ISPDN v Centre zamestnanosti;

· Kontrola opatrení prijatých na zabezpečenie bezpečnosti osobných údajov a úrovne bezpečnosti ISPDN centra zamestnanosti.

11.4. Informácie o opatreniach prijatých Centrom zamestnanosti na ochranu osobných údajov sú obmedzené informácie.

12. Zmena politiky. Platné právo

12.1. Centrum zamestnanosti má právo vykonať zmeny v týchto pravidlách.

12.2. Pri vykonávaní zmien v záhlaví Pravidiel je uvedený dátum poslednej aktualizácie revízie.

12.3. Nová verzia Zásady nadobúda platnosť od momentu jej uverejnenia na webovej stránke Odboru zamestnanosti Amurská oblasť, ak nová zmluva neustanovuje inak.

Spôsoby spracovávania osobných údajov

Otázka a odpoveď na túto tému

otázkou

Čo súvisí s metódami spracovania osobných údajov a čo súvisí s činnosťami s osobnými údajmi?

Odpoveď

Podľa ustanovenia 9 vyhlášky Roskomnadzora z 19. augusta 2011 č. 706 metódy * zahŕňajú:

- neautomatizované spracovanie osobných údajov;

- výlučne automatizované spracovanie osobných údajov s prenosom alebo bez prenosu prijatých informácií prostredníctvom siete;

- zmiešané spracovanie osobných údajov (poznámka N 4).

A na akcie v súlade s čl. 3 federálneho zákona z 27. júla 2006 č. 152-FZ o osobných údajoch: *

- objasnenie (aktualizácia, zmena);

- distribúcia (vrátane prenosu);

- zničenie osobných údajov.

Zdôvodnenie tejto pozície je uvedené nižšie v materiáloch "System Lawyer".

• FEDERÁLNE PRÁVO Z 27. 7. 2001 č. 152-FZ "O OSOBNÝCH ÚDAJOCH"

"Spracovanie osobných údajov je akákoľvek akcia (operácia) alebo súbor činností (operácií), * vykonávaných s použitím automatizačných nástrojov alebo bez použitia takýchto prostriedkov s osobnými údajmi vrátane zberu, nahrávania, systematizácie, hromadenia, ukladania, upresnenia (aktualizácia, zmena) extrakcia, používanie, prenos (distribúcia, poskytovanie, prístup), depersonalizácia, blokovanie, vymazanie, zničenie osobných údajov "

• ORDER ROSKOMNADZORA od 19. augusta 2011 č. 706

"Pole" zoznam činností s osobnými údajmi, všeobecný opis metód používaných prevádzkovateľom na spracovanie osobných údajov "* označuje činnosti vykonávané prevádzkovateľom s osobnými údajmi, ako aj opis metód používaných prevádzkovateľom na spracovanie osobných údajov:

- neautomatizované spracovanie osobných údajov;
- výlučne automatizované spracovanie osobných údajov s prenosom alebo bez prenosu prijatých informácií prostredníctvom siete;

- zmiešané spracovanie osobných údajov (Poznámka N 4) Poznámka N 4. Pri automatizovanom spracovaní osobných údajov alebo zmiešanom spracovaní je potrebné uviesť, či sa informácie získané pri spracovaní osobných údajov prenášajú v internej sieti právnickej osoby (informácie sú dostupné len pre prísne definovaných zamestnancov právnickej osoby ) alebo sa informácie prenášajú prostredníctvom verejného internetu alebo bez prenosu získaných informácií. "

* Tak zvýraznená časť materiálu, ktorá vám pomôže prijať správne rozhodnutie.

Likbez o osobných údajoch pre spoločnosti, ktoré ich spracúvajú

Podmienky, nuansy a časté bludy - v materiáli od odborníkov bezpečnostnej služby spoločnosti "Onlanta" (zahrnuté v skupine spoločností LANIT).

Chápeme právnu terminológiu a tie najjemnejšie nuansy, pre ktoré môžete byť na súde.

Vysvetlite pojmy v ľudskom jazyku

Hlavným zákonom, ktorý upravuje vzťahy súvisiace so spracovaním osobných údajov, je Federálny zákon z 27. júla 2006 č. 152-FZ "o osobných údajoch".

Prvým pojmom, ktorý treba chápať, sú osobné údaje.

Čo sú osobné údaje

Toto sú všetky informácie, ktoré možno použiť na identifikáciu osoby: napríklad celé meno, dátum narodenia, vzdelanie, príjem a dokonca aj rodinný stav. Pýtate sa: "A čo, moje priezvisko, vytlačené na vizitke, sú tiež osobné údaje?"

Odpoveď: "Áno." Podľa zákona nezáleží na tom, či je na vizitke alebo v kombinácii vytlačené iba vaše meno, napríklad s telefónnym číslom a adresou. Prvá, druhá a tretia - osobné údaje. Je pravda, že ukladanie vizitiek alebo telefónnych čísel dievčat do telefónneho zoznamu nebude musieť byť zodpovedané zákonom, ale viac o tom nižšie.

Pokračujte. Médiá neustále píšu "ukladanie osobných údajov". Správne povedané, nie je to skladovanie, ale spracovanie osobných údajov. Aký je rozdiel? Skladovanie je len časťou toho, čo sa nazýva spracovanie osobných údajov. Všetky akcie, ktoré vykonávate s osobnými údajmi (zhromažďovať, hromadiť, ukladať, prenášať, meniť), sú podľa zákona určené ako "spracovanie osobných údajov".

Je dôležité si uvedomiť, že zákon rozlišuje dva subjekty osobných údajov: prevádzkovateľa a spracovateľa. Prevádzkovateľ spracúva osobné údaje a určuje účel ich spracovania, zloženie osobných údajov, ktoré sa majú spracovávať, činnosti (operácie) vykonávané s osobnými údajmi.

Pracovníkom je osoba, ktorá vykonáva akékoľvek kroky s osobnými údajmi: zhromažďovanie, ukladanie, organizovanie, zhromažďovanie, aktualizácia, aktualizácia, mazanie, depersonalizácia atď.

V skutočnosti je obsluhujúci nielen koncový používateľ, ktorý potrebuje osobné údaje na prácu, ale aj akéhokoľvek sprostredkujúceho užívateľa, ktorého ruky tieto osobné údaje prešli. Zobraziť v praxi.

úloha

Internetový obchod má zákaznícku databázu, ktorá sa nachádza v "mraku" spoločnosti tretej strany. S touto základňou pracuje marketingová agentúra. Otázka: Koľko prevádzkovateľov osobných údajov máme?

Správna odpoveď je jedna. Jedná sa o internetový obchod, ktorý stanovuje ciele spracovania osobných údajov. Druhá otázka: koľko spracovateľov osobných údajov máme? Správna odpoveď je dva.

1. Spoločnosť, ktorá má vo svojom oblave databázu online obchodu.
2. Marketingová agentúra, ktorá získava údaje a na základe týchto údajov môže pripraviť propagačnú ponuku pre zákazníkov.

Osobné údaje sa spracúvajú v mnohých rôznych inštitúciách: napríklad v bankách, školách, klinikách, vízových strediskách. Nehovoriac o webových stránkach, na ktorých sa zaregistrujeme, pričom opúšťame naše e-mailové adresy a telefónne čísla. Ale ako a kde presne?

odtieň

V zákone existuje taký neurčitý termín ako "informačný systém osobných údajov". Ak sa pokúsite vysvetliť jednoduchým spôsobom - ide o celý komplex, ktorý pozostáva z databázových serverov, technických prostriedkov na zabezpečenie ich spracovania a informačnej technológie. V súlade so zákonom musí byť každý informačný systém osobných údajov chránený.

Spôsoby ochrany informácií sú rôzne.

• Fyzické: napríklad v miestnosti, kde sa počítače nachádzajú, môžu byť inštalované kamery, kontrola prístupu, môžu byť použité poplašné systémy.
• Technická - pomocou špecializovaných prostriedkov na ochranu informácií.
• Administratívne: všetky druhy nariadení a pravidiel upravujúcich spracovanie osobných údajov v rámci spoločnosti.

príklad

Jedným zo spôsobov ochrany informácií je depersonalizácia osobných údajov. Čo je to? Vo vízovom centre sa každej osobe, ktorá žiada o vízum, pridelí samostatné identifikačné číslo. Samotné číslo sa nevzťahuje na osobné údaje, pretože depersonalizuje osobu: nie je možné identifikovať osobu, ktorá požiadala o vízum.

Zdá sa, že spracovávam osobné údaje.

Takže s vyriešenou terminológiou. Teraz všetci obchodní zástupcovia, najmä individuálni podnikatelia, ktorí môžu mať iba niekoľko zamestnancov v zamestnancoch, by mali čestne odpovedať na otázku: "Mám spracovávať osobné údaje?"

Áno, ak ste majiteľom stránky s návštevnosťou piatich ľudí týždenne, ale má formulár na spätnú väzbu s políčkami "meno, e-mailová adresa, telefónne číslo". Informácie o účeloch, na ktoré zhromažďujete osobné údaje, ako ich používate, by sa mali zobrazovať na vašich webových stránkach.

Áno, ak spracovávate osobné údaje svojich zamestnancov alebo odborníkov tretích strán, ktorí sú najatý na vykonanie nejakej práce.

Áno, ak pracujete so súkromnými klientmi a potrebujete údaje o pasoch pre uzatváranie zmlúv - to platí pre cestovné kancelárie, fitness centrá, rôzne servisné spoločnosti, online obchody a ďalšie.

A znova, áno, ak ste rozpočtová organizácia, politická strana alebo materská škola. Títo majú nielen informácie o dieťati, ale aj o svojich rodičoch vrátane miesta výkonu práce a pozície. Nehovoriac o zdravotníckych zariadeniach - existuje množstvo citlivých osobných informácií, ktoré musia byť bezpečne uložené.

Ak však používate údaje na osobnú komunikáciu bez komerčného prospechu, potom sa na vás nevzťahujú požiadavky právnych predpisov a nie je žiadna otázka akejkoľvek trestnej zodpovednosti.

Napríklad, používanie kontaktov vytlačených na vizitke, ktoré ste dostali od kolegu, alebo telefónne čísla v prenosnom počítači na smartphone, informácie o sociálnych sieťach nekladú na vás zodpovednosť pred zákonom.

Hlavnou vecou nie je zverejňovanie údajov inzerentom a ich zverejňovanie bez povolenia majiteľov osobných údajov vo verejnej sfére.

Určite kategóriu osobných údajov

Blahoželáme vám, ste hrdým majiteľom titulu "operátor osobných údajov". Najdôležitejšou vecou je presne pochopiť, ktoré osobné údaje spracovávate. Vzhľadom na to, že závisí od kategórie osobných údajov, ako chrániť údaje a aké požiadavky je potrebné splniť. Kategórie sú podrobne opísané vo federálnom zákone 152 a vo vládnom uznesení z 1. novembra 2012 N 1119.

Kategórie osobných údajov v jednoduchých slovách:

Všeobecne dostupné osobné údaje: údaje z otvorených zdrojov, ktoré uverejňuje subjekt osobných údajov alebo s jeho súhlasom. Verejne dostupné údaje sú údaje z médií alebo internetu.

Príklad: informácie uverejnené v otvorenom prístupe v sociálnych sieťach alebo na webových stránkach spoločností. Telefónne číslo a rodinný stav publikované vo verejnom prístupe na Facebook. Meno zamestnanca a jeho postavenie na webovej stránke zamestnávateľa.

Biometrické osobné údaje: táto kategória zahŕňa všetky údaje o fyziologických a biologických charakteristikách ľudí.

Príklad: hmotnosť, výška, oko alebo farba vlasov, dĺžka vlasov, krvný typ, foto.

Osobné údaje osobitnej kategórie: zahŕňajú informácie o príslušnosti k akejkoľvek rase a národe, politické názory, náboženské a filozofické presvedčenie, zdravotný stav alebo intímny život.

Príklad: lekárska diagnóza (informácie o tom, čo ste ochoreli, kedy, čo vám lekár zaobchádza).

Osobné údaje iných typov - to zahŕňa osobné údaje nezahrnuté do vyššie uvedených kategórií.

Príklad: firemné informácie. Účtovné karty pre zamestnancov, ktoré obsahujú informácie, s ktorými HR a účtovníctvo pracujú: plat, dovolenkové obdobia, dátumy zamestnania.

Kategória, číslo, typ hrozieb - úroveň ochrany

Akonáhle sa rozhodnete pre kategóriu osobných údajov, musíte pochopiť presné množstvo údajov, ktoré spracovávate: až 100 tisíc alebo viac ako 100 tisíc.

Zistila kategóriu a množstvo, určila typ hrozby:

Hrozby číslo 1. "Otvory" a zraniteľnosti v operačnom systéme. Príklad: zraniteľnosť, ktorú hackeri používajú na infiltráciu operačného systému na ukradnutie informácií.

Hrozby číslo 2. "Otvory" a zraniteľnosti v aplikačnom softvéri, to znamená v softvéri, ktorý sa používa vo vašej každodennej práci. Príklad: Word, Excel.

Hrozby číslo 3. Všetky ostatné hrozby, ktoré nie sú uvedené v prvých dvoch typoch. Najprv ľudský faktor. Zamestnanec môže nechať dokument otvorený na odomknutom počítači, poslať dokument na tlač inej tlačiarne alebo e-mailom.

Množstvo osobných údajov, kategórie, typ ohrozenia - všetko spoločne vám umožňuje určiť, akú úroveň ochrany je potrebné pre váš informačný systém. Teraz sú štyri úrovne ochrany.

Prvá a najvyššia úroveň ochrany sa najčastejšie používa na spracovanie osobných údajov vo vládnych agentúrach a zdravotníckych zariadeniach. Štvrtá úroveň ochrany je najjednoduchšie poskytnúť, niekedy stačí vykonať organizačné regulačné opatrenia, hlavne sa týka ochrany verejne dostupných údajov.

Úroveň ochrany môžete určiť pomocou tejto tabuľky.

príklad

Nemocnica spracováva osobné údaje svojich pacientov - ide o osobné údaje osobitnej kategórie. Tiež spracúva osobné údaje zamestnancov - ide o osobné údaje inej kategórie. S najväčšou pravdepodobnosťou má nemocnica dve databázy. Ak pridáte obe databázy, získate celkové množstvo osobných údajov, ktoré sa točí v informačnom systéme tejto nemocnice.

Napríklad, všetky z nich - až 100 tisíc. Ďalej sa pozrieme na to, ako sa spracovávajú údaje: automatizované (v počítači) alebo neautomatizované (v manuálnej schránke). Ak je všetko automatizované, pozeráme sa na to, aký softvér používa nemocnica, aké zraniteľnosti má.

Na základe toho sa identifikujú hrozby a ich úroveň. Pripočítame všetky faktory a získame druhú úroveň ochrany. Pozeráme sa na to, čo sú požiadavky zákona uvedené na druhú úroveň bezpečnosti. Na základe týchto požiadaviek bude potrebné vybudovať ochranu informačného systému, aby sa splnili požiadavky federálneho zákona.

Trochu o nebezpečenstve úniku osobných údajov

Prečo sa obťažuje ochrana osobných údajov? Osobné údaje sú drahé položky na čiernom trhu. Podvodníci sú ochotní zaplatiť pôsobivé sumy za profil, ktorý obsahuje všetky podrobnosti o zdravotnej dokumentácii osoby. Samostatný trh - predaj údajov bankovej karty; účty v sociálnych sieťach.

Dôsledky úniku osobných údajov sú odlišné. Údaje môžu byť verejne dostupné na internete: napríklad môžete ľahko nájsť ukradnuté databázy s adresami a telefónnymi číslami klientov spoločností v sieti. Keď poznáte meno a priezvisko, ktokoľvek môže zistiť domovskú adresu osoby, dostať sa do sociálnej siete, prezrieť profil alebo jednoducho napísať SMS do mobilného telefónu.

Osobné údaje sa môžu dostať do databázy nepríjemných zásielok nejakej komerčnej organizácie, potom ich majiteľ bude zahltený nevyžiadanými ponukou služieb. Môžu byť tiež použité online scammers pre online kasína alebo otvoriť elektronickú peňaženku.

V najhorších prípadoch môže útočník zosobňovať inú osobu a vziať si úver pre meno iného. Najzávažnejšie dôsledky úniku osobných údajov zahŕňajú: nezákonné konanie s nehnuteľnosťami, krádež peňazí z bankových kariet, vydieranie príbuzných a registrácia spoločnosti.

Zaťaženie zodpovednosti

Rozumiete dôležitosti otázky a ste ochotní niesť zodpovednosť? To je pravda. Keďže zodpovednosť za bezpečnosť osobných údajov spočíva výhradne v prevádzkovateľovi.

To znamená, že prevádzkovateľ musí dbať na to, aby informácie neplynuli do verejného prístupu, alebo že nespadajú do rúk tretích strán, ktoré nemajú žiadne práva k nim. To vyžaduje neustále monitorovanie a prevenciu ohrozenia bezpečnosti údajov, kontrolu nad úrovňou bezpečnosti informácií a jej obnovenie v prípade straty.

V našej krajine spoločnosť Roskomnadzor sleduje dodržiavanie právnych predpisov v oblasti spracovania osobných údajov. Tento orgán reaguje na sťažnosti, upravuje vzťahy medzi subjektmi a operátormi.

Technické požiadavky na ochranu informácií sú v zodpovednosti FSTEC a FSB: vyvíjajú požiadavky a kontrolujú ich vykonávanie.

Požiadavky na spracovanie osobných údajov

A teraz je čas študovať tabuľky s požiadavkami na technickú ochranu osobných údajov. Podrobnosti nájdete v poradí Federálnej služby pre technickú a vývoznú kontrolu z 18. februára 2013 N 21.

Ale aspoň začať s týmto:

1. Registrujte sa v spoločnosti Roskomnadzor ako prevádzkovateľ osobných údajov. Vyžaduje sa, aby sa spoločnosti Roskomnadzor uchádzať v papierovej alebo elektronickej podobe. Informácie na odkaz.
2. Získajte písomný súhlas od všetkých subjektov, ktorých osobné údaje sú spracovávané. Súhlas so spracovaním osobných údajov je hlavným právnym dokumentom, ktorý potvrdzuje zákonnosť spracovania osobných údajov.
3. Vytvorte internú dokumentáciu. Uvedenie na objednávku vedúceho organizácie "Predpisy o spracovaní osobných údajov". V tomto dokumente prevádzkovateľ vysvetľuje, ako plánuje používať osobné údaje, čo a kde sa budú prenášať. Ide o základný dokument, ktorý vyžaduje akýkoľvek prevádzkovateľ osobných údajov. Na základe toho sa vyvíjajú všetky ostatné administratívne dokumenty.

Mnoho majiteľov stránok si myslí, že ak návštevník klikne na tlačidlo Súhlasím so spracovaním osobných údajov, nedôjde k žiadnym právnym problémom a spracovanie údajov sa automaticky dostane do právneho poľa. To nie je.

Z právneho hľadiska existujú iba dva spôsoby, ako potvrdiť svoj súhlas so spracovaním osobných údajov: dať podpis na papieri alebo pomocou elektronického digitálneho podpisu.

Vo všetkých ostatných prípadoch, ak prípad prechádza na súd, vlastník stránky nebude môcť potvrdiť, kto presne stlačil tlačidlo "Súhlasím". Dalo by sa len dúfať, že subjekt, ktorý prišiel na váš web, dobrovoľne odošle svoje údaje a nepodá sťažnosť.

Je naozaj šekom?

Áno, šeky môžu byť od spoločnosti Roskomnadzor.

Roskomnadzor každoročne uverejňuje zoznam výberov zo zoznamu registrovaných operátorov, ak je spoločnosť zaradená do zoznamu šekov, potom je možná ďalšia naplánovaná kontrola najskôr po troch rokoch. Môžete vidieť, či je vaša spoločnosť v tomto roku na tomto zozname.

Kontroly mimo plánu sú zvyčajne spôsobené sťažnosťami. Ak je kontrola neplánovaná, mali by ste o tom písomne ​​upozorniť o 24 hodín.

Môžu sa uskutočniť aj kontroly dokladov. Pri písaní dokumentov budete posielať zoznam dokumentov, ktorých kópie bude potrebné zaslať spoločnosti Roskomnadzor.

Niekedy vykoná inšpekcie na mieste spoločnosťou Roskomnadzor: inšpektori osobne navštívia spoločnosť na mieste.

Príprava na ktorúkoľvek z týchto kontrol je časovo náročná úloha. Budete vyriešiť úlohu prípravy na inšpekciu sami, alebo sa zapoja externí špecialisti, najprv musíte zistiť, kto v spoločnosti bude zodpovedný za dodržiavanie FZ-152.

Pokuty, súdy a iné hrôzy

Pri porušení 152-FZ sa poskytuje civilná, trestná, správna a disciplinárna zodpovednosť.

Takže Roskomnadzor vykonal inšpekciu, ak zistí nezrovnalosti so zákonom, vydá príkaz vyšetrovaciemu výboru, aby vykonal súdny proces na porušenie zákona "o osobných údajoch".

Potom začne prokuratúra inšpekciu, počas ktorej môže pozastaviť činnosť spoločnosti: stiahnuť databázu spoločnosti, najmä počítače, na ktorých boli spracované osobné údaje.

Porušovatelia zákona čakajú najmä na pokuty. Výška pokút sa líši v závislosti od trestného činu. Pre spracovanie osobných údajov bez písomného súhlasu právnických osôb vzniká preto právna zodpovednosť.

Aj keď je prevádzkovateľ ochotný zaplatiť pokutu, ale podľa noriem veľkého podnikania, nezdá sa to obrovské, páchateľ bude musieť ešte pred zákonom odstrániť nesúlad (napríklad vymazanie uložených údajov) a oznámiť spoločnosti Roskomnadzor.

Najhorší scenár je, ak sa spoločnosť Roskomnadzor rozhodne zrušiť licenciu spoločnosti, zakázať podnikom spracovávať osobné údaje a neoprávnene uverejňovať osobné údaje o občanoch.

V posledných rokoch bol najsilnejší škandál v Rusku spojený s blokovaním spoločnosti LinkedIn, ktorej vlastníci boli obvinení zo spracovania osobných údajov občanov bez ich súhlasu na serveroch mimo Ruskej federácie. Blokovanie služby autonum.info bolo tiež "hlukom".

Koľko mi bude stáť peniaze a silu

Spracovanie osobných údajov môžete spracovať nezávisle alebo za pomoci spoločnosti, ktorá poskytuje takúto službu.

Ak sa rozhodnete spracovať osobné údaje sami, budete potrebovať:

1. Pochopte, akú kategóriu osobných údajov spracovávate a aké sú technické požiadavky na ich ochranu.
2. Sami alebo s pomocou IT spoločnosti vyvíjajú technické riešenia, pripravujú nákup potrebného vybavenia a softvéru, inštalujú ho a implementujú.
3. Vydanie všetkých právnych dokumentov. Vytvorte súbor interných dokumentov: pokyny a predpisy.

V najlepšom prípade to bude trvať tri až štyri mesiace, za cenu takejto implementácie, môže to byť 200-300 tisíc rubľov - to sú náklady na nákup zariadení a licencií. Náklady na prácu a ďalšia podpora informačného systému sú samostatnou výdavkovou položkou. Budete tiež potrebovať administrátora, ktorý bude monitorovať prevádzku systému.

Objektívne povedané, veľmi malé spoločnosti jednoducho nespĺňajú všetky požiadavky zákona s nádejou, že sa nebude overovať. Možno to naozaj nebude. Ostatné spoločnosti vytvárajú "dediny Potemkin" iba tým, že predstierajú, že spracúvajú osobné údaje v súlade s požiadavkami zákona, inými slovami, "kupujú" potrebné dokumenty.

V ďalšom článku vám ukážeme, ako vypočítať náklady na spracovanie osobných údajov v rámci spoločnosti a povedať, kedy je výhodnejšie vykonať spracovanie osobných údajov a kedy je lepšie ich uložiť do cloudu.

Materiál uverejňuje používateľ. Ak chcete zdieľať svoj názor alebo hovoriť o vašom projekte, kliknite na tlačidlo "Napísať".

Zákon o osobných údajoch: dôsledky pre prácu v kancelárii

• Khramtsovskaya Natalia | Kandidát historických vied, vedúci expert na riadenie dokumentov spoločnosti EOS, ISO expert, člen Medzinárodnej rady archívov

Hľadáte hlavnú príčinu

Federálny zákon Ruskej federácie č. 152-FZ "o osobných údajoch" bol prijatý 27. júla 2006 a na pozadí ostatných výnimočných udalostí minulého roka prešiel takmer bez povšimnutia. Formálnym dôvodom na jeho prijatie boli početné fakty krádeže databáz osobných údajov v štátnych a obchodných štruktúrach a ich rozšírený predaj. V skutočnosti hlavným cieľom prijatia tohto zákona bola potreba odstrániť určité prekážky obchodu s krajinami Európskej únie.

Francúzsko zakázalo uverejnenie skutočností o súkromí a uložilo pokuty pre porušovateľov v roku 1858.

Nórsky trestný zákon zakazoval zverejnenie informácií týkajúcich sa "osobných alebo súkromných záležitostí" v roku 1889.

Vnútorné právo "o osobných údajoch" z 27. júla 2006 č. 152-FZ začalo svoju činnosť 26. januára tohto roku (v súlade s časťou 1 článku 25 zákon nadobúda účinnosť 180 dní po oficiálnom uverejnení, ktoré sa konalo 29. júla 2006 v "Rossiyskaya Gazeta").

Podľa smernice EÚ 95/46 / ES môžu byť osobné údaje prenesené iba do krajín, ktoré poskytujú rovnakú úroveň ochrany ako v Európe. To výrazne brzdilo výmenu informácií od európskych vládnych agentúr a spoločností so svojimi zahraničnými partnermi, čo znemožnilo mnoho komerčne sľubných projektov. Takéto obmedzenia zaznamenali nielen Rusko a krajiny tretieho sveta, ale aj hospodárske monštrum podobné Spojeným štátom. Preto sa naša vláda rozhodla prekonať túto prekážku. Uvidíme, ako to urobil a čo nás bude stáť všetko.

Prijatie ruského zákona o osobných údajoch bolo výsledkom pristúpenia Ruskej federácie k Európskemu dohovoru z roku 1981 o ochrane osoby v súvislosti s automatickým spracovaním osobných údajov, ktorý definuje základné zásady ochrany osobných údajov v európskych krajinách. Tento dohovor a následné smernice Európskej únie načrtli úlohy, ktoré by sa mali riešiť vo vnútroštátnych právnych predpisoch pri regulácii osobných údajov:

• ochrana osobných údajov pred neoprávneným prístupom k nim inými osobami vrátane zástupcov vládnych orgánov a služieb, ktoré nemajú potrebnú autoritu;
• zabezpečenie bezpečnosti, integrity a spoľahlivosti údajov v procese práce s nimi vrátane prenosu prostredníctvom komunikačných kanálov;
• zabezpečenie správneho právneho režimu týchto údajov pri práci s nimi na rôzne kategórie osobných údajov;
• zabezpečenie kontroly používania osobných údajov občanom;
• vytvorenie osobitnej nezávislej štruktúry, ktorá zabezpečí účinnú kontrolu dodržiavania práv občana na ochranu svojich osobných údajov (napríklad vytvorenie funkcie komisára pre ochranu osobných údajov).

Náš zákon vo veľkej miere opakuje hlavné ustanovenia európskej legislatívy v tejto oblasti, ktorá sa považuje za jednu z najťažších 2 na svete. Hoci v roku 2006 sa hovorilo o práve pomerne často, len málo ľudí pozorne prečítalo obsah jeho ustanovení. Avšak na zabezpečenie súladu s jej požiadavkami je potrebné výrazne zmeniť prácu s informáciami a dokumentáciou obsahujúcou osobné údaje. Pokúsime sa zistiť, čo je nové v oblasti správy dokumentov a informácií v organizácii?

• Vo všetkých organizáciách je nová, dosť objemná vrstva dokumentácie. Sú to dokumenty súvisiace so získaním súhlasu jednotlivcov na spracovanie ich osobných údajov, registráciou databáz s oprávneným orgánom, dokumentáciou všetkých transakcií s osobnými údajmi atď.
• Je potrebné zdôrazniť dokumenty a informácie obsahujúce osobné údaje; ich osobitné označovanie na papieri aj v elektronických médiách; oddelené účtovníctvo a sledovanie prístupu. Môžete hovoriť o výskyte iného typu krku prístup k dokumentom.
• Zásadne sa meniaci prístup k zavedeniu uchovávania dokumentov a informácií. Po prvýkrát v domácej praxi sa stanovuje maximálna doba skladovania a podmienené obdobie, ktoré bude pomerne ťažké sledovať a sledovať.
• Pri práci s osobnými údajmi je potrebné vopred jasne premýšľať a zaznamenať ich v regulačných dokumentoch, ktoré súvisia s ich spracovaním. V opačnom prípade môže byť organizácia zodpovedná a ešte omnoho nepríjemnejšie môže byť početné súdne spory zo strany dotknutých osobných údajov 3.
• Zákon zavádza veľmi prísne lehoty na výkon všetkých odvolaní občanov súvisiacich so spracovaním osobných údajov.

Pozrime sa teraz podrobnejšie na najdôležitejšie ustanovenia zákona a posúdime, aké organizácie a inštitúcie sa budú musieť zaviazať, aby ho vykonali. Okrem toho sa budeme snažiť analyzovať niektoré ustanovenia zákona z hľadiska správnosti a jasnosti ich znenia.

Rozsah pôsobnosti zákona

Prvá otázka: Komu sa tento zákon vzťahuje? V reakcii na to môžeme bezpečne povedať, že sa vzťahuje na všetkých bez výnimky (na štátne inštitúcie, právnické osoby a jednotlivcov). Tu je zoznam článku 1:

• orgány federálnej vlády
• štátne orgány subjektov tvoriacich Ruskú federáciu,
• ostatné štátne orgány
• miestne samosprávy,
• ktoré nie sú súčasťou systému orgánov miestnej samosprávy,
• právnické osoby
• jednotlivcov.

Druhou dôležitou otázkou je rozsah pôsobnosti zákona.

Článok 1 federálneho zákona Ruskej federácie "o osobných údajoch" č. 152-FZ z 27. júla 2006

Tento federálny zákon upravuje vzťahy spojené so spracovaním osobných údajov... s použitím automatizačných nástrojov alebo bez použitia takýchto prostriedkov, ak spracovanie osobných údajov bez použitia takýchto prostriedkov zodpovedá charakteru činností (operácií) vykonávaných s osobnými údajmi pomocou automatizačných prostriedkov.

Znenie tohto článku je príkladom toho, ako písať zákony. Ukázalo sa to niečo nepochopiteľné, čo umožnilo rôzne interpretácie. Ako na základe takéhoto textu odpovedať napríklad na otázku, či údaje, na ktoré sa vzťahuje voľná forma v obchodnom notebooku, patria do rozsahu pôsobnosti zákona? Ak je takýto prenosný počítač uložený v počítači alebo v mobilnom telefóne, považuje sa to za "použitie automatizačných zariadení"?

Európska legislatíva je v tomto ohľade jasnejšia:

Smernica EÚ 95/46 / ES z roku 1995

Článok 2 "Definície":

c) "systém uchovávania osobných údajov" 4 ("systém skladovania") je akýkoľvek štruktúrovaný súbor osobných údajov, ku ktorým možno pristupovať podľa určitých kritérií - bez ohľadu na to, ako je súbor údajov organizovaný, či už centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe...

Článok 3 "Rozsah pôsobnosti":

1. Táto smernica sa týka spracovania osobných údajov pomocou automatických prostriedkov (úplne alebo čiastočne), ako aj spracovania inými ako automatickými, osobnými údajmi, komponentmi alebo určenými na to, aby boli súčasťou skladovacích systémov.

V modernej počítačovej terminológii sú "štruktúrované údaje" predovšetkým databázy. V papierovej práci obsahujú kartové súbory a archívy osobných súborov. Preto európske požiadavky zahŕňajú:

• na automatické spracovanie osobných údajov a
• na použitie (či už v automatickom alebo inom režime) obsahujúce osobné údaje z papierových a elektronických databáz, kartových súborov atď., ktoré majú vyhľadávací mechanizmus, ktorý umožňuje jednoduché získavanie informácií o konkrétnej osobe.

Prečo bolo nemožné písať v ruštine a v našom zákone zostáva nepochopiteľné?

Pozornosť by sa mala venovať rozdielom v terminológii: "automatické spracovanie" je jedna vec a spracovanie "používať automatizačné zariadenia" je úplne iný koncept, oveľa širší a nejasný.

Zákon stanovuje len štyri výnimky, konkrétne, že zákon sa nevzťahuje na vznikajúce vzťahy:

• pri spracúvaní osobných údajov na osobné a rodinné potreby;
• pri spracovaní osobných údajov v dokumentoch Archívneho fondu Ruskej federácie;
• pri spracovaní osobných údajov na zaradenie do Jednotného štátneho registra jednotlivcov (EGRIP);
• pri spracúvaní osobných údajov klasifikovaných ako štátne tajomstvá.

Jeden z týchto bodov si vyžaduje podrobnejšie štúdium. Na začiatok citujeme zákon:

Článok 1 federálneho zákona Ruskej federácie "o osobných údajoch" č. 152-FZ z 27. júla 2006

2. Tento federálny zákon sa nevzťahuje na vzťahy vyplývajúce z:

2) organizáciu skladovania, akvizície, účtovníctva a používania obsahujúcich osobné údaje dokumentov Archívneho fondu Ruskej federácie a iné archívne dokumenty v súlade s právnymi predpismi o archívoch v Ruskej federácii.

Pripomíname vám dve definície zakotvené v zákone "O archívnych záležitostiach v Ruskej federácii" č. 125-ФЗ z 10.2.2005:

• archívne dokumenty - hmotné médium s nahratými informáciami, ktoré majú podrobné údaje umožňujúce ich identifikáciu a podliehajú skladovaniu z dôvodu významu uvedeného dopravcu a informácií pre občanov, spoločnosť a štát;
• dokument archívneho fondu Ruskej federácie - archívny dokument, ktorý prešiel skúmaním hodnoty dokumentov, je uvedený do štátneho účtovníctva a je predmetom trvalého ukladania.
  Ukazuje sa, že ak je pre dokument alebo databázu vytvorené trvalé obdobie skladovania a sú zahrnuté do Archívneho fondu Ruskej federácie, tento zákon sa na ne nevzťahuje. Táto chyba umožňuje vládnym agentúram s akoukoľvek serióznou databázou zabrániť implementácii nového zákona o osobných údajoch.

Tu je príklad toho, ako sa to dá urobiť. Podľa federálneho zákona "o archívnych záležitostiach v Ruskej federácii" (časť 2 článku 18) vláda Ruskej federácie schvaľuje zoznam federálnych výkonných orgánov a organizácií, ktoré vykonávajú ukladanie dokumentov archívneho fondu Ruskej federácie, ktoré sú vo federálnom vlastníctve. Nový zoznam 5 týchto oddelení a organizácií bol schválený koncom roka 2006. Zároveň boli tieto organizácie nariadené uzavrieť dohodu o podmienkach uchovávania dokumentov s Rosarkhivom. Ak sa pri uzatvorení zmluvy výslovne ustanoví, že všetky dokumenty okrem prevádzkových dokumentov sa považujú za dokumenty prenesené do úschovy, potom môže byť pod touto výnimkou umiestnená veľká časť dokumentov.

Pre ostatné štátne organizácie by jednou z možností mohlo byť rýchle schvaľovanie záznamov prípadov so štátnymi archívmi, čo by v skutočnosti znamenalo zahrnutie dokumentov do Archívneho fondu Ruskej federácie a opäť opustiť "zónu pôsobnosti" zákona o osobných údajoch.

Smernice Európskej únie neobsahujú takúto výnimku, existuje však napríklad v americkom kódexe 6, ktorý obsahuje presnejšie znenie, ktoré neumožňuje nejednoznačnosť: právne predpisy o osobných údajoch sa vo všeobecnosti nevzťahujú na dokumenty už uložené v štátnych archívoch, ale sa vzťahuje na dokumenty prenesené do štátnych archívov akoukoľvek agentúrou pre opatrovníctvo.

Nie je ani jasné, prečo sme z našich početných štátnych databáz urobili výnimku pre Jednotný štátny register jednotlivých podnikateľov (EGRIP). Bolo by logické rozšíriť túto výnimku na iné štátne registre, ktoré obsahujú aj osobné údaje (napríklad registrácia zahŕňa informácie o zakladateľoch a prvých osobách všetkých právnických osôb v krajine).

Osobné údaje a metódy spracovania

Osobné údaje - akékoľvek informácie týkajúce sa fyzickej osoby (predmet osobných údajov) určené alebo určené na základe takýchto informácií, vrátane priezviska, krstného mena, roka, mesiaca, dátumu a miesta narodenia, adresy, rodinného stavu,, vzdelanie, povolanie, príjem, iné informácie (podľa článku 3 zákona o osobných údajoch).

Zákon ustanovuje nasledujúce spôsoby spracovania osobných údajov (pre niektoré z nich sú podrobné vysvetlenia uvedené v článku 3):

• kolekcia;
• systematizácia;
• akumulácie;
• skladovanie;
• objasnenie (aktualizácia, zmena);
• (operácie) s osobnými údajmi vykonávanými prevádzkovateľom 7 na účely rozhodovania alebo vykonávania iných úkonov, ktoré majú za následok právne dôsledky vo vzťahu k predmetu osobných údajov alebo iných osôb alebo akýmkoľvek iným spôsobom ovplyvňujúcim práva a slobody subjektu osobných údajov alebo iných osôb ";
• distribúcia (vrátane prevodu) - "akcie zamerané na prenos osobných údajov do určitého okruhu osôb (prenos osobných údajov) alebo na zoznámenie s osobnými údajmi neobmedzeného počtu osôb, vrátane zverejňovania osobných údajov v médiách, umiestňovania v informáciách a telekomunikáciách alebo poskytovanie prístupu k osobným údajom akýmkoľvek iným spôsobom ";
• Depersonalizácia - "akcie, v dôsledku ktorých nie je možné určiť totožnosť osobných údajov určitému predmetu osobných údajov";
• blokovanie - "dočasné pozastavenie výberu, systematizácia, hromadenie, používanie, šírenie osobných údajov vrátane ich prevodu";
• zničenie osobných údajov - "akcie, ktoré nemohli obnoviť obsah osobných údajov v informačnom systéme osobných údajov alebo viesť k zničeniu materiálnych nosičov osobných údajov".

Osobitná pozornosť by sa mala venovať takým metódam spracovania, akými sú blokovanie a zničenie osobných údajov. Zákon hovorí celkom dobre o zničení - to je prístup, ktorý teraz odporúčajú domáce a zahraničné štandardy. Pokiaľ ide o blokovanie osobných údajov, táto metóda spracovania v domácej praxi bola zavedená po prvýkrát a jej realizácia môže výrazne skomplikovať život organizácií využívajúcich predtým vyvinuté informačné systémy a databázy, v ktorých takáto operácia nie je poskytovaná.

Zásady a podmienky spracovania osobných údajov

Ustanovenia zákona sú zamerané predovšetkým na zabránenie nezákonnému zhromažďovaniu a používaniu osobných údajov. Toto želanie zákonodarcu viedlo k vytvoreniu nového stanoviska pre postup vedenia záznamov:

Doložka 2 článku 5 federálneho zákona Ruskej federácie "o osobných údajoch" z 27. júla. 2006 č. 152-FZ

Osobné údaje by sa mali uchovávať vo forme, ktorá umožňuje určiť predmet, nie dlhšie ako ciele spracovania, a mala by byť zničená pri dosiahnutí cieľov spracovania osobných údajov alebo straty potreby ich dosiahnutia.

V tomto prípade po prvýkrát zákon pravdepodobne stanovuje pre informácie a dokumenty maximálne a navyše podmienené obdobie skladovania - "na dosiahnutie cieľov spracovania". Organizácie budú musieť stanoviť lehoty uchovávania dokumentov obsahujúcich osobné údaje a bude potrebné vopred zamyslieť nad odôvodnením vybraných období uchovávania. Ide o dosť komplikovanú otázku, ktorá môže spôsobiť veľa diskusií a problémov.

Okrem toho musia špecialisti DOE venovať pozornosť nasledujúcim otázkam: keďže ciele zberu a spracovávania osobných údajov, ktoré sa vyžadujú podľa zákona, musia byť stanovené pred začatím práce, je potrebné starostlivo zvážiť ich znenie. V opačnom prípade samotná organizácia môže sama nahradiť: ciele sa splnia a osobné údaje nebudú zničené.

Jedným z najnepríjemnejších pre organizácie, ktoré zhromažďujú a spracúvajú osobné údaje, je požiadavka článku 6 o potrebe získať súhlas subjektu na ich spracovanie. Nevyžaduje sa súhlas iba v nasledujúcich prípadoch:

• na základe federálnej legislatívy;
• s cieľom splniť zmluvu s predmetom osobných údajov;
• na štatistické alebo vedecké účely;
• na ochranu života a zdravia subjektu osobných údajov;
• na doručovanie poštových zásielok poštovými organizáciami;
• v priebehu odbornej činnosti novinára, učenca atď.;
• údaje, ktoré sa zverejňujú v súlade s federálnymi zákonmi;
• s cieľom chrániť základy ústavného poriadku, morálky, zdravia, práv a oprávnených záujmov iných, zabezpečiť obranu krajiny a bezpečnosť štátu.

Už máme niekoľko federálnych zákonov, ktoré opisujú spracovanie osobných údajov, napríklad pri zachovaní Jednotných štátnych registrov daňových poplatníkov (EGRN) a právnických osôb (USR). Jedinou podmienkou na uplatnenie výnimky z požiadavky všeobecného súhlasu je stanoviť v príslušných právnych predpisoch tieto otázky:

• cieľ,
• podmienky na získanie osobných údajov
• kruh subjektov, ktorých osobné údaje podliehajú spracovaniu,
• právomoci prevádzkovateľa zhromažďovania údajov.

Ešte nie je jasné, čo sa stane s týmito zákonmi, ktoré obsahujú normy súvisiace so zberom a spracovaním osobných údajov, ale nespĺňajú stanovené podmienky.

Prvý z problémov spojených s dodržiavaním nového zákona upozornil poisťovne. Podľa ich názoru môže zákon o osobných údajoch vážne brániť vykonávaniu zákona o povinnom poistení zodpovednosti za škodu spôsobenú prevádzkou motorových vozidiel (PZP) z dôvodu zákazu preniesť na tretie osoby osobné údaje klienta získané pri uzatvorení zmluvy o ručení bez jeho súhlasu. Výsledkom je, že poisťovňa nebude schopná získať úplné informácie o svojich zákazníkoch z jednej databázy (a udržanie takejto databázy je tiež sporné), v takejto situácii rastú riziká poisťovateľov.

Už sa poisťovne snažia vyriešiť tento dôležitý problém pre ne zvážením nasledujúcich možností:

• Zmeny a doplnenia zákona o OSAGO a povinnosť poisťovateľov vymieňať si údaje o poistných udalostiach.
• Vymedzenie časti osobných údajov ako verejné. Informácie, ktoré jednotlivec uvádza pri uzatváraní zmluvy OSAGO, sú podľa poisťovateľov verejné. Zákon "o osobných údajoch" však vyžaduje získanie súhlasu na zhromažďovanie verejných údajov.
• Výbor Všeo ruskej únie poisťovateľov (ARIA) na boj proti poistným podvodom už pripravil dva zákony, ktoré sa plánujú predložiť Štátnej dume začiatkom roku 2007. Podľa vedúceho výboru, Jevgenij Potapov, jeden z týchto návrhov zmení zákon "O organizácii poisťovníctva v Ruskej federácii." Umožní poisťovateľom vytvárať automatizované informačné systémy založené na ich združeniach a združeniach, ktoré budú obsahovať údaje o poistných udalostiach a platbách 8.

Odsek 6 článku 6 o udelení práva na spracovanie osobných údajov novinárom, učencom a zástupcom iných tvorivých profesií bez súhlasu subjektu je nepochybný. Je celkom realistické (najmä v obchodných štruktúrach) zaviesť na plný úväzok pozíciu "zástupcu tvorivej profesie" a "napísať na ňu" všetky databázy obsahujúce osobné informácie.

Napríklad v Anglicku v podobnom ustanovení zákona sa dodatočne ustanovuje, že v tomto prípade je účelom spracovania údajov zverejnenie relevantného materiálu; že takéto uverejnenie musí byť vo verejnom záujme (vrátane výkonu práva na sebavyjadrenie zástupcu tvorivej profesie) 9.

Okrem toho je zaujímavé, ako určiť, kto je novinár alebo spisovateľ a kto nie. Nie je tajomstvom, že mnoho písaných bratov nemá príslušné diplomy alebo oficiálne doklady. Tu môže byť užitočný prístup v USA: novinári rozpoznávajú všetkých, ktorí píšu články na verejnú distribúciu, aj keď sú publikované iba na internete.

V Spojených štátoch v januári 2007 začal súdny proces s bývalým seniorom George Bushe Lewisom "Scooter" Libby. Pre tlač v súdnej sieni bolo vyhradených sto kresiel a dve z nich boli oficiálne prijaté autormi internetových denníkov.

Americká spoločnosť redaktorov novín pri vypracovávaní federálneho zákona o udeľovaní novinárom právo nezverejňovať dôverné informácie počas súdneho konania naznačuje, že tento zákon platí pre všetkých bez výnimky a vzťahuje sa na tých, ktorí zhromažďujú informácie na ďalšie rozširovanie. Na túto definíciu spadajú aj autori internetových denníkov, "blogeri" 10.

Teraz sa pozrime, ako nový zákon zahŕňa získanie súhlasu subjektu so spracovaním jeho osobných údajov.

Článok 9 ods. 1 federálneho zákona Ruskej federácie o osobných údajoch z 27. júla. 2006 č. 152-FZ

Predmet osobných údajov rozhoduje o poskytovaní svojich osobných údajov a súhlasí s ich spracovaním z vlastnej vôle av jeho vlastnom záujme... Súhlas s spracovaním osobných údajov môže odobrať subjekt osobných údajov.

Okrem toho ustanovenie článku 9 obsahuje pre prevádzkovateľov pomerne nepríjemnú podmienku. Musia buď zhromaždiť dôkaz o tom, že zhromaždené údaje sú prevzaté z verejne dostupných zdrojov alebo získať súhlas od predmetu osobných údajov a potom uložiť tento doklad v prípade, že sa "subjekt" rozhodne žalovať prevádzkovateľa za porušenie jeho práv.

S verejne dostupnými údajmi nie je ani tak jednoduché. V článku 8, ktorý definuje význam verejne prístupných zdrojov osobných údajov (referenčné knihy, adresáre atď.), Sa zdôrazňuje, že osobné informácie môžu byť do nich zahrnuté len s písomným súhlasom subjektu. Okrem toho "informácie o predmete osobných údajov môžu byť kedykoľvek vylúčené z verejne dostupných zdrojov osobných údajov na žiadosť subjektu osobných údajov alebo súdom alebo inými autorizovanými vládnymi orgánmi."

Na druhej strane, ak by organizácia pri zhromažďovaní informácií používala verejne dostupné zdroje osobných údajov, mala by dokumentovať, kde získala tieto informácie, a uistiť sa, že "zdroj" má písomný súhlas vyžadovaný zákonom.

Federálny zákon Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ

Klauzula 12 článku 3. Základné pojmy používané v tomto federálnom zákone

Všeobecne prístupné osobné údaje sú osobné údaje, ku ktorým má prístup neobmedzený počet osôb so súhlasom subjektu osobných údajov alebo ktorým sa neuplatňuje požiadavka dôvernosti v súlade s federálnymi zákonmi.

Doložka 1 článku 8. Všeobecne prístupné zdroje osobných údajov

Na poskytovanie informačnej podpory je možné vytvoriť verejne prístupné zdroje osobných údajov (vrátane referenčných kníh, adresárov). Verejne dostupné zdroje osobných údajov s písomným súhlasom subjektu osobných údajov môžu zahŕňať jeho priezvisko, krstné meno, priezvisko, rok a miesto narodenia, adresu, účastnícke číslo, informácie o profesii a iné osobné údaje poskytnuté subjektom osobných údajov.

Doložka 3 článku 9. Súhlas subjektu osobných údajov so spracovaním ich osobných údajov

Povinnosť poskytnúť dôkaz o súhlase subjektu osobných údajov so spracovaním jeho osobných údajov a v prípade spracovania verejne dostupných osobných údajov je prevádzkovateľ povinný preukázať, že spracované osobné údaje sú verejne dostupné.

Ukázalo sa, že organizácie budú musieť požiadať o oficiálne potvrdenie pre každého občana.

Ako by sa mal podať písomný súhlas subjektu? Ukazuje sa, že občiansky podpis pod všeobecnou vetou "Súhlasím so zberom a spracovaním mojich osobných údajov" nestačí.

Článok 9 článku 4 federálneho zákona Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ

... písomný súhlas subjektu osobných údajov so spracovaním ich osobných údajov by mal obsahovať:

1. priezvisko, meno, priezvisko, adresa subjektu osobných údajov, číslo hlavného dokladu preukazujúceho jeho totožnosť, informácie o dátume vydania vymedzeného dokumentu a vydávajúcemu orgánu;
2. meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa, ktorý získa súhlas subjektu osobných údajov;
3. účel spracovania osobných údajov;
4. zoznam osobných údajov, na spracovanie ktorých sa udeľuje súhlas subjektu osobných údajov;
5. zoznam akcií s osobnými údajmi, na ktoré sa udeľuje súhlas, všeobecný opis metód používaných prevádzkovateľom na spracovanie osobných údajov;
6. obdobie, počas ktorého je súhlas platný, ako aj postup jeho stiahnutia.

To znamená, že predtým, než sa "zachyti" predmet osobných údajov a pokúsi sa získať jeho súhlas, musí prevádzkovateľ vytvoriť osobitnú formu dokumentu, ktorá by obsahovala všetky potrebné informácie.

Práva subjektu osobných údajov

Predovšetkým je predmet osobných údajov oprávnený získať nasledujúce informácie:

• informácie o operátorovi,
• informácie o mieste prevádzkovateľa,
• informácie o osobných údajoch prevádzkovateľa súvisiacich s príslušným predmetom osobných údajov,
• subjekt má tiež právo oboznámiť sa s jeho osobnými údajmi, ktoré má prevádzkovateľ.

Od prevádzkovateľa môže predmet osobných údajov vyžadovať:

• upresnite svoje osobné údaje
• ich zablokovanie alebo zničenie v prípade, že osobné údaje sú neúplné, zastarané, nepresné, nezákonne získané alebo nepotrebné pre daný účel spracovania.

Mnoho ťažkostí pre organizácie prevádzkovateľov vytvorí ustanovenie 2 článku 14 zákona, podľa ktorého prevádzkovateľovi poskytnú informácie o dostupnosti osobných údajov v prístupnej forme a neobsahujú informácie týkajúce sa iných subjektov osobných údajov.

Vec "Durant a finančné služby", prípad 11, ktorý sa zaoberal odvolacím súdom v Anglicku v decembri 2003, získal širokú odpoveď. Rozhodnutie súdu výrazne zúžilo výklad pojmu "osobné údaje". Najmä súd uviedol, že samotná zmienka o tejto osobe v texte dokumentu nestačí na posúdenie dokumentu obsahujúceho osobné údaje. Okrem toho súd potvrdil, že právo na prístup k osobným údajom by nemalo porušovať práva tretích osôb a že z kópií dokumentov poskytnutých na požiadanie by sa mali odstrániť osobné údaje tretích strán (s výnimkou zvláštnych okolností).

V novembri 2004 vláda poprela právo pracovníkov v Spojenom kráľovstve na prístup k osobným údajom bez ohľadu na to, či ich zamestnávateľ uchováva v papierovej alebo elektronickej podobe, ak sú uložené v systéme, ktorý jasne neupravuje informácie o každej osobe. Systémy archivovania papierových súborov (s výnimkou osobných súborov) boli de facto odstránené z pôsobnosti zákona o poskytovaní prístupu k osobným informáciám, pretože je ťažké izolovať informácie o konkrétnej osobe.

Na prístup k osobným údajom musia naši krajania:

• použite osobne alebo
• odoslať žiadosť, ktorá by mala obsahovať:
  • číslo hlavného dokladu potvrdzujúceho totožnosť subjektu osobných údajov alebo jeho právneho zástupcu,
  • - informácie o dátume vydania určeného dokumentu a vydávajúcom orgáne a -
  • rukou písaný podpis subjektu osobných údajov alebo jeho právneho zástupcu.

Táto žiadosť môže byť zaslaná v elektronickej forme a podpísaná digitálnym podpisom. Zákon teda formálne poskytuje možnosť požiadať o svoje osobné údaje prostredníctvom elektronických komunikačných kanálov. Ešte nemáme jednotlivcov, ktorí majú svoj vlastný EDS v súlade so zákonom o EDS (v prevažnej väčšine prípadov sa EDS používa v našej krajine v súlade s článkom 160 Občianskeho zákonníka, ktorý stanovuje predbežnú dohodu strán).

Množstvo informácií, ktoré si môžu subjekty s osobnými údajmi vyžadovať, preukazuje záujem našich občanov. Organizáciám vedúcim databázu obsahujúcu osobné údaje sa odporúča, aby venovali osobitnú pozornosť odseku 4 článku 14 nového zákona s cieľom premyslieť a konsolidovať postup poskytovania informácií vo vnútorných predpisoch:

1. spracovanie osobných údajov prevádzkovateľom, ako aj účely takéhoto spracovania;
2. o spôsoboch spracovania osobných údajov používaných prevádzkovateľom;
3. o osobách, ktoré majú prístup k osobným údajom alebo ktorým môže byť udelený takýto prístup (aby mohol podať správu o tom, kto a aké osobné údaje boli poskytnuté, je potrebné organizovať práce na registrácii osobných údajov a kontrolovať prístup k nim, inak organizácia operátora ťažko splniť túto požiadavku);
4. zoznam spracovaných osobných údajov a zdroje ich prijatia;
5. čas spracovania osobných údajov vrátane doby ich uchovávania (osobitná pozornosť by sa mala venovať tejto požiadavke, pretože v skutočnosti zaväzuje prevádzkovateľa stanoviť doby spracovania a skladovania, ktoré sa môžu líšiť v závislosti od účelu spracovávania osobných údajov vnútornými regulačnými dokumentmi);
6. informácie o tom, aké právne dôsledky na predmet osobných údajov môžu mať za následok spracovanie jeho osobných údajov (na splnenie tejto požiadavky by organizácie mali vopred poveriť svojich právnikov, aby formulovali odôvodnenie všetkých možných právnych dôsledkov spracovania osobných údajov)

Otázka spracovania osobných údajov "s cieľom propagovať tovar, diela, služby na trhu prostredníctvom priamych kontaktov s potenciálnym spotrebiteľom prostredníctvom komunikačných nástrojov, ako aj pre politické kampane" sa venuje osobitnému článku (článok 15). Teraz musia komerčné a politické organizácie pred odoslaním reklamy získať predchádzajúci súhlas občana a spracovanie PD "sa uznáva bez predchádzajúceho súhlasu subjektu osobných údajov, ak prevádzkovateľ nepreukáže, že takýto súhlas získal." Pre niektoré komerčné štruktúry môže byť táto požiadavka veľmi nepríjemná!

Odteraz je "zakázané prijímať rozhodnutia na základe výlučne automatizovaného spracovania osobných údajov, ktoré spôsobujú právne dôsledky týkajúce sa predmetu osobných údajov alebo inak ovplyvňujú ich práva a oprávnené záujmy" (článok 16).

Toto ustanovenie je potrebné a včasné. Ale naši zákonodarcovia pri formulovaní zmiešali dve odlišné pojmy: "automatické" (to znamená, že ide bez ľudskej účasti) a "automatizované" (tj ide s ľudskou účasťou). Výsledkom toho je, že tento článok namiesto toho, aby im uložil ďalšie obmedzenia, a len vtedy, keď informačný systém prijíma rozhodnutia bez ľudskej účasti (napríklad účtovanie pokuty, zákaz cestovania mimo krajiny atď.), Môže vykladať tak, že ukladajú obmedzenia na všetky typy spracovania osobných údajov, pretože aj použitie kalkulačky možno chápať ako automatické spracovanie!

V tom istom článku nového zákona sa uvádza, že prevádzkovateľ bude môcť prijímať rozhodnutia založené len na "automatizovanom" spracovaní, ak:

• získať písomný súhlas subjektu osobných údajov alebo
• ak sú tieto pravidlá stanovené federálnymi zákonmi.

V niektorých regulačných dokumentoch už boli tieto požiadavky zákona zohľadnené. Preto vo vzorkách žiadostí o vydanie pasu novej generácie existuje osobitná časť, v ktorej žiadateľ súhlasí s "automatizovaným" spracovaním údajov uvedených v žiadosti. Znie to takto: "Súhlasím s automatizovaným spracovaním, prenosom a ukladaním údajov uvedených v žiadosti na účely výroby, spracovania a kontroly pasu počas jeho platnosti" 12.

Prevádzkovateľ bude musieť občanom poskytnúť aj tieto informácie vopred:

• - poradie rozhodovania na základe výlučne "automatizovaného" spracovania jeho osobných údajov a -
• možné právne dôsledky takéhoto rozhodnutia;
• postup na ochranu osobných údajov o ich právach a legitímnych záujmoch;
• možnosť namietať proti takémuto rozhodnutiu.

V prípade sporu musí prevádzkovateľ preukázať, že splnil všetky požiadavky zákona. To znamená, že bude musieť starostlivo zhromažďovať a uchovávať podporné dokumenty.

Zodpovednosť prevádzkovateľa

Povinnosti prevádzkovateľa v súlade s článkom 18 zahŕňajú najmä poskytovanie osobných informácií na žiadosť občana. Okrem toho musí prevádzkovateľ "objasniť na predmet osobných údajov právne dôsledky odmietnutia poskytnúť svoje osobné údaje", ak je táto povinnosť stanovená federálnymi zákonmi.

Článok 20 stanovuje pre prevádzkovateľov veľmi striktné termíny na splnenie požiadaviek subjektov osobných údajov (sú oveľa prísnejšie, napríklad tie, ktoré sú stanovené v nedávno vydanom zákone "o postupe pri posudzovaní odvolania občanov Ruskej federácie"):

• poskytovanie údajov - do 10 pracovných dní odo dňa prijatia žiadosti;
• motivované odmietnutie - do 7 pracovných dní.

Prevádzkovateľ bude mať ešte viac otázok, ak je potrebné odstrániť porušenie zákona v časovom rámci stanovenom v článku 21 nového zákona. Blokovanie údajov by sa malo vykonať od okamihu podania žiadosti alebo od okamihu prijatia žiadosti a odstránenia porušenia - do 3 pracovných dní.

V niektorých prípadoch je prevádzkovateľ povinný zničiť osobné údaje do 3 pracovných dní, a to:

• v prípade, že nedošlo k odstráneniu porušení,
• v prípade dosiahnutia cieľa spracovania osobných údajov,
• v prípade, že predmet osobných údajov zruší svoj súhlas so spracovaním jeho osobných údajov.

Blokovanie a likvidácia osobných údajov môže byť ťažké (a niekedy aj nemožné) implementovať v súčasných prevádzkových informačných systémoch a databázach, ktoré predtým neposkytovali takúto možnosť.

Operátorovi to bude ešte ťažšie, ak by dostal osobné údaje nie od občana, ale od tretej strany.

Článok 18 ods. 3 federálneho zákona Ruskej federácie "Osobné údaje" z 27. júla. 2006 č. 152-FZ

Ak osobné údaje neboli prijaté od subjektu osobných údajov, ak osobné údaje neboli poskytnuté prevádzkovateľovi podľa federálnych zákonov alebo ak sú osobné údaje verejne dostupné, prevádzkovateľ pred spracovaním takýchto osobných údajov musí poskytnúť subjektu osobných údajov tieto informácie:

1. meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa alebo jeho zástupcu;
2. účel spracovania osobných údajov a jeho právny základ;
3. plánovaní používatelia osobných údajov;
4. práva subjektu osobných údajov ustanoveného týmto federálnym zákonom.

Za týmito slovami je časovo náročnejšia práca. Napríklad môže nastať otázka: ako by sa tieto informácie mali poskytnúť subjektu? Je možné ho poslať poštou a budú tieto informácie považované za poskytnuté, ak subjekt nedostal zodpovedajúci list?

Povinnosťou prevádzkovateľa v súlade s článkom 19 je tiež zabezpečiť bezpečnosť osobných údajov počas ich spracovania. Aby sa zabránilo problémom, organizácia prevádzkovateľa by mala v regulačných dokumentoch vypracovať a skonsolidovať všetky organizačné a technické opatrenia na zabezpečenie informácií, ktoré sú pripravené prijať na ochranu osobných údajov obsiahnutých v jej informačných systémoch.

Štátna registrácia systémov spracovania osobných údajov

Zákon stanovuje, že všetci prevádzkovatelia, ktorí vykonávajú spracúvanie osobných údajov, musia vopred informovať autorizovaný orgán (článok 22), ktorý bude viesť záznamy o prevádzkovateľoch v osobitnom registri. Autorizovaným orgánom podľa článku 23 je Ministerstvo pre informačné technológie a komunikácie Ruskej federácie, ktoré v súčasnosti vykonáva "funkcie kontroly a dohľadu v oblasti informačných technológií a komunikácií". Toto oznámenie bude musieť podrobne vysvetliť, čo sa plánuje s osobnými údajmi. Akékoľvek zmeny vo vzťahu k spracovaniu osobných údajov musia byť tiež oznámené oprávnenému orgánu.

Povolenie spracovávať osobné údaje bez oznámenia autorizovanému orgánu v týchto prípadoch:

• v prítomnosti pracovných vzťahov;
• pri uzatváraní zmluvy, ktorej je predmetom osobných údajov zmluvná strana;
• ak osobné údaje patria členom (účastníkom) verejného združenia alebo náboženskej organizácie a sú spracované príslušným verejným združením alebo náboženskou organizáciou;
• ak sú osobné údaje verejne dostupné;
• ak osobné údaje zahŕňajú len mená, priezviská a priezvisko subjektov;
• pri registrácii prijatia;
• ak sú osobné údaje zahrnuté do informačných systémov, ktoré majú v súlade s federálnymi zákonmi status federálnych automatizovaných informačných systémov, ako aj štátne informačné systémy pre osobné údaje vytvorené na ochranu bezpečnosti štátu a verejného poriadku;

Na záver ponúkneme niekoľko odporúčaní pre prevádzkovateľov. Nebude veľmi náročné splniť požiadavky zákona o osobných údajoch, ak sa táto práca začína teraz, bez čakania na prvé sťažnosti a sťažnosti. Môžete začať s nasledujúcimi zrejmými opatreniami:

• Odporúča sa, aby bol v organizácii vymenovaný zodpovedný úradník, ktorý by preskúmal všetky otázky súvisiace s vykonávaním tohto zákona av prípade veľkých spoločností môže byť odôvodnené vytvorenie osobitnej komisie.
• Pre všetky informačné zdroje organizácie obsahujúce osobné údaje musíte:
  • určiť ich postavenie (na základe ktorého boli vytvorené: v súlade s právnymi predpismi, na vykonanie zmluvy z vlastnej iniciatívy atď.);
  • objasniť a zaznamenať zloženie osobných údajov a zdroje ich prijatia (od občana, z verejných zdrojov, od tretích strán atď.);
  • stanoviť čas uchovávania a čas spracovania údajov v každom informačnom zdroji;
  • stanoviť metódy spracovania;
  • identifikovať osoby s prístupom k údajom;
  • formulovať právne dôsledky;
  • určiť postup na zodpovedanie žiadostí, možných odpovedí a akcií, posúdiť skutočnosť dodržiavania stanovených časov odozvy.

V tomto článku sa analýza nového zákona o ochrane osobných údajov uskutočňuje z hľadiska špecialistov v oblasti správy záznamov, ktorá bude zničiť veľa krvi. Jeho účinnosť bude preukázaná praxou, ale zatiaľ ako "subjekt osobných údajov" odhadujem zoznam verejných orgánov, na ktorý by som mohol poslať žiadosť o poskytnutie relevantných informácií v súlade s požiadavkami zákona. Teraz mám právo!

1 Článok 25 kapitoly IV smernice Európskeho parlamentu a Rady 95/46 / ES z 24. októbra 1995 o ochrane práv jednotlivcov so zreteľom na spracovanie osobných údajov a voľnom pohybe týchto údajov.

2 Je zaujímavé, že aj Spojené štáty nedodržiavajú prísne európske požiadavky a americké spoločnosti sú nútené používať tzv. "Zastrešujúce" dohody.

3 Subjektom osobných údajov je osoba, ktorej osobné údaje sú spracovávané.

4 "systém podávania osobných údajov"

5 Zoznam federálnych výkonných orgánov a organizácií zaoberajúcich sa ukladaním dokumentov Federálneho archívneho fondu Ruskej federácie, ktoré sú vo federálnom vlastníctve, zahŕňa 18 organizácií: ministerstvo vnútra Ruska, ministerstvo zahraničných vecí Ruska, ministerstvo obrany Ruska, SVR Ruska, FSB Ruska, Federálna služba kontroly drog Ruska, Roskartografiya, Ruská akadémia poľnohospodárskych vied, Ruská akadémia lekárskych vied, Ruská akadémia vzdelávania, Ruská akadémia umení, Ruská akadémia architektúry a stavebných vied, štát Nadácia: Celoskupinský výskumný ústav hydrometeorologických informácií - Svetové dátové centrum, Federálna štátna inštitúcia Štátny fond televíznych a rozhlasových programov, Federálny štátny jednotný vedecko-výrobný podnik Ruský federálny geologický fond, Federálny štátny jednotný podnik Ruské vedecko-technické centrum informácie o normalizácii, metrológii a posudzovaní zhody ".

6 5 U.S. C. § 552a (k) (1) "Dokumenty pre jednotlivcov - Osobitné výnimky - Archívne dokumenty".

7 Obsluha - verejný orgán, obec, právnická alebo fyzická osoba, ktorá organizuje a (alebo) vykonáva spracovanie osobných údajov, ako aj vymedzenie účelu a obsah so spracovaním osobných údajov.

9 Zákon o ochrane údajov z roku 1998, článok 32.

11 Durant - Úrad pre finančné služby (FSA).

12 Dodatok № 1 k nariadeniu o postupe registrácie a vydávanie pasov občanov Ruskej federácie, diplomatický pas a iných úradných pasov je hlavným dokumentom potvrdzujúcim občan Ruskej federácie hranicami Ruskej federácie, ktoré obsahujú elektronické nosiče dát (app. Poradie ministerstva vnútra, ministerstvo zahraničných vecí a Federálna bezpečnostná služba Ruskej federácie z 6. októbra 2006 č. 785/14133/461).