Hvad er måder at behandle personlige data på?

I Den Russiske Føderations arbejdskodeks findes en sådan betegnelse som "personlig information for en arbejdende person". Data om driftskontingentet skal gives til arbejdsgiveren.

Efter at have undersøgt personlige oplysninger træffer arbejdsgiveren en dom om at tage en person til virksomheden.

De oplysninger, som en person præsenterer om sig selv, skal beskyttes. Distribuere det er forbudt.

Kære læsere! Vores artikler fortæller om typiske måder at løse juridiske problemer på, men hver sag er unik.

Hvis du vil vide, hvordan du løser nøjagtigt dit problem - bare ring, det er hurtigt og gratis!

systemet

Personlige oplysninger om medarbejdere skal være underlagt udvikling.

Arbejdsgiveren anvender følgende krav til arbejdstageres personoplysninger:

1. Processen med behandling af personlige oplysninger om en arbejdstager finder sted for at sikre overholdelse af love og retsakter. Takket være databehandling kan du ansætte en person, give ham personlig sikkerhed, overvåge det arbejde, han udfører.
2. Arbejdsgiveren tager hensyn til omfanget såvel som indholdet af personlige oplysninger om det arbejdskontingent, der behandles. Alle arbejdsgivere studerer og følger aspekter af forfatningen, andre føderale love.
3. Oplysninger om arbejdsholdet skal hentes direkte fra medarbejderne selv. Du kan få oplysninger om den erhvervsdrivende fra en tredje mund, men kun med det skriftlige samtykke fra personen. Arbejdsgiveren informerer medarbejderne om deres mål og kilder, hvorfra personoplysninger vil blive bragt. Arbejdsgiveren advarer om konsekvenserne i tilfælde af afslag på at udlevere personlige oplysninger fra den erhvervsdrivende.
4. En person, der leverer arbejde til sine medarbejdere, har ingen ret til information om alle former for overbevisninger af politisk, religiøs karakter samt arbejdstagerens familieliv. En medarbejders personlige liv kan kun anføres med hans aftale. Aftalen skal ske skriftligt.
5. Arbejdsgiveren bør ikke bruge i behandlingen af ​​oplysninger om tilstedeværelsen af ​​arbejdstagere i medlemsforeninger, fagforeninger. Men der er situationer, der er fastsat i forbundslov.
6. Alle personlige oplysninger skal beskyttes og skjules af offentlighedens kontrol og brug. Databeskyttelse er underlagt betingelserne i forbundsloven.
7. Arbejdstagere studerer dokumenter, der tilhører institutionen. De bør oplyse betydningen og ordenen vedrørende processerne til behandling af personoplysninger for medarbejdere.
8. Arbejdstagere skal acceptere beskyttelsen af ​​deres personlige oplysninger.
9. Arbejdsgivere såvel som medarbejdere kan arbejde sammen om at udvikle måder at beskytte medarbejdernes personlige oplysninger på.

Når der kommunikeres information om medarbejdere, skal virksomhedens direktør følge følgende regler:

• En tredjepart behøver ikke at vide om personlige oplysninger for hver medarbejder. Data må kun gives i tilfælde, hvor den ansatte har givet deres skriftlige samtykke til brugen af ​​deres personlige oplysninger. Men hvis der er nogen trussel mod levebrød, kan arbejdsgruppens sundhed, så personlige data gives til andre uden skriftligt skriftligt samtykke.
• Arbejdsgiveren bør ikke indsende data på det hold, der arbejder med det med henblik på handel;
• folk, der modtager information om medarbejdere, skal behandle det inden for rammerne af fortrolighed
• Overførsel af oplysninger om en person udføres kun i en organisation gennem institutionens særlige interne handlinger;
• Oplysninger om medarbejderen har kun adgang til særlige autoriserede personer;
• ingen grund til at anmode om oplysninger om arbejdstageres sundhed. En anmodning kan kun ske i tilfælde, hvor spørgsmålet opstår, om arbejdsmedarbejderne kan udøve deres arbejdsfunktioner;
• Personoplysninger om arbejdskontingentet kan indsamles under hensyntagen til kodeksens data.

Et arbejdende kontingent har ret til:

• bekendtskab med dine personlige data og deres behandling
• ubegrænset adgang til personlige oplysninger. En arbejdstager kan udstedes kopier af informationsdata. Men der er situationer, hvor personlige oplysninger ikke afsløres. Disse situationer er beskrevet i den føderale lov
• en læge kan se medarbejderens personoplysninger
• muligheden for at rette eller supplere emner med personoplysninger.

Følgende typer behandling af personoplysninger skelnes mellem:

1. Behandling af information ved hjælp af computerteknologi.
2. Ikke automatiseret behandling.
3. Informationssystem behandler de leverede data.

automatiseret

Denne behandling udføres ved hjælp af en særlig computerteknologi. De mest almindelige computermaskiner kan være:

• elektronisk computer;
• hjælpemidler;
• perifere enheder;
• nødvendigvis installeret software.

Ikkeautomatiseret

Den mest detaljerede beskrivelse af ikke-automatiseret behandling er skrevet i regeringsdekret nr. 687.

Distribution, undersøgelse og fjernelse af oplysninger om driftskontingentet skal udføres med en del af en person, ikke computerteknologi.

oplysninger

Takket være informationssystemet behandles særlige kategorier af personlige oplysninger om driftskvoten. Dette system behandler data, der påvirker medlemskab af et bestemt løb og køn, nationalitet, politiske synspunkter, filosofiske udsigter.

Takket være informationssystemet kan behandles:

• biometriske personlige data. Især hvis der er karakteristisk for fysiologiske, biologiske data. Takket være de opnåede egenskaber er det muligt at vurdere arbejdstagernes personlighed;
• fælles personlige data
• Andre oplysninger. Et eksempel ville være religiøse, nationale ideer, filosofiske udsigter, øjeblikke af den arbejdende kontingents intime karakter og mange andre vigtige personlige karakteristika op til sundhedstilstanden.

Personlige oplysninger om hver medarbejder er således indeholdt i alle arbejdsgivere. Direktøren har under ingen omstændigheder ret til at formidle de tilgængelige data om personen.

De opnåede oplysninger om driftskvoten kan behandles på flere måder: ved hjælp af computerteknologi ved hjælp af personlige kræfter takket være informationsevalueringssystemet.

I alle tilfælde undersøges personoplysningerne for hver medarbejder grundigt.

Måder at behandle personlige data på

Efter ordre fra Amur-regionens civile kodeks

af 26. december 2012, nr. 626

i relation til behandling af personoplysninger

1. ALMINDELIGE BESTEMMELSER

1.1. Dette dokument (herefter benævnt "politikken") er en systematisk oversigt over målsætningerne, principperne, metoderne og betingelserne for behandling af personoplysninger, oplysninger om de gennemførte krav til behandling og beskyttelse af personoplysninger i GKU i Amur-regionen i det centrale hospital i det fri (herefter »Employment Center«).

1.2. Politikken er baseret på kravene i Den Russiske Føderations føderale lov "om personlige data", andre lovgivningsmæssige retsakter i Den Russiske Føderation om fastlæggelse af proceduren for behandling og beskyttelse af personoplysninger. Politikken er et offentligt dokument.

1.3. I overensstemmelse med forbundsloven af ​​27. juli 2006 nr. 152-ФЗ "On Personal Data" er Employment Center operatøren af ​​personoplysninger (i det følgende benævnt "PD").

2. PROCESSERET PERSONOPLYSNINGER

2.1. Vigtigste udtryk anvendt i politikken:

· Personlige data - Oplysninger om en fysisk person (personoplysninger), der er bestemt eller bestemt på grundlag af sådanne oplysninger, herunder hans efternavn, fornavn, patronym, år, måned, fødselsdato og fødested, adresse, familie, sociale, ejendom stilling, uddannelse, erhverv, indkomst, anden information;

· Personlig databehandling - handlinger (handlinger) med personoplysninger, herunder indsamling, systematisering, akkumulering, opbevaring, forfining (opdatering, ændring), brug, distribution (herunder overførsel), depersonalisering, blokering, destruktion af personoplysninger;

2.2. I forbindelse med denne politik betyder behandlede personoplysninger:

· Personoplysninger fra modtagere af offentlige tjenester, der ansøger til Employment Center

· Personlige data for ansatte i Beskæftigelsescentret eller ansøgere til ledige stillinger

3. FORMÅL MED PERSONLIG DATA PROCESSERING

3.1. Formålet med PD-behandling i Beskæftigelsescentret er:

· Sikre gennemførelsen af ​​de statsborgerskabsrettigheder i Den Russiske Føderation til at arbejde og social beskyttelse mod arbejdsløshed gennem udbud af offentlige tjenester inden for beskæftigelsesfremme

· Sikre gennemførelsen af ​​borgernes forfatningsmæssige rettigheder til at appellere

· Obligatorisk vurdering af arbejdsmarkedets status i Den Russiske Føderations bestående enhed (i forhold til modtagere af offentlige arbejdsformidlinger, arbejdsløse borgere, borgere, der ansøger om beskæftigelsescentret med forslag, erklæringer, klager)

· Sikre overholdelsen af ​​Den Russiske Føderations forfatning, love og andre lovgivningsmæssige retsakter, hjælpe medarbejdere med at finde arbejde, træne og fremme arbejde, jobvækst, sikre medarbejdernes personlige sikkerhed, kontrollere mængden og kvaliteten af ​​det udførte arbejde, sikre sikkerheden ved ejendom der tilhører den og registrere resultaterne af deres præstationer pligter og sikkerhed for ejendomsretten til beskæftigelsescentret.

· Udførelse af skattemyndighedens funktioner i levering af faste skattelettelser (for familiemedlemmer til medarbejdere i Employment Center)

· Opfyldelse af forpligtelser i henhold til civilretlige kontrakter (i forhold til personer, der udfører arbejde, leverer tjenesteydelser i henhold til civilretlige kontrakter med Employment Center).

4. PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER

4.1. Implementering af PD-behandling på et retligt og retfærdigt grundlag.

4.2. Begrænsning af PD-behandling til opnåelse af de specifikke, forudbestemte og legitime mål, der er angivet i afsnit 2 i dette dokument. Det er ikke tilladt at behandle personlige data, der er uforenelige med det formål at indsamle personoplysninger.

4.3. Forebyggelse af kombinationen af ​​databaser indeholdende PD, som behandles til formål, der er uforenelige med hinanden.

4.4. Behandler kun de PDS, der opfylder formålene med deres behandling.

4.5. Overholdelse af indholdet og mængden af ​​PD behandlet med de angivne forarbejdningsformål.

4.6. Afvisning af afskedigelse behandlet PD i forhold til de angivne mål for deres behandling.

4.7. Sikre nøjagtigheden af ​​PD, deres tilstrækkelighed og om nødvendigt og relevans i forhold til PD-behandlingens formål.

4.8. Sørg for, at der træffes nødvendige foranstaltninger for at fjerne eller forfalske ufuldstændige eller unøjagtige data.

4.9. Udførelse af PD-opbevaring i en form, der gør det muligt at bestemme et PD-emne, er ikke længere end formålet med PD-behandling kræver, hvis PD-opbevaringsperioden ikke er etableret ved føderal lovgivning, den kontrakt, som PD-emnet er modtager eller garant for. PD'er, der skal behandles, er underkastet destruktion eller depersonalisering ved opnåelse af behandlingsmål eller i tilfælde af tab af behovet for at nå disse mål, medmindre andet er fastsat i føderal lovgivning.

5. METODER TIL BEHANDLING AF PERSONOPLYSNINGER

5.1. Arbejdscentret behandler PD på følgende måder:

· Ikke-automatiseret PD-behandling (på papir);

· Automatiseret behandling (i ISPDn med og uden brug af automatiseringsudstyr), herunder: med og uden transmission via det lokale netværk af Employment Center; med og uden transmission via internettet

· Blandet PD behandling.

5.2. Arbejdscentret kan selvstændigt vælge metoderne til PD-behandling afhængigt af formålet med sådan behandling og dets egne materielle og tekniske evner.

6. VILKÅR FOR PERSONOPLYSNINGER

6.1. PD-behandling sker i overensstemmelse med de principper og regler, der er fastsat i forbundslov "om personlige data".

6.2. PD-behandling er tilladt i tilfælde, der er fastsat i forbundslov "om personlige data".

6.3. Arbejdscentret har ret til at overdrage behandling af PD til en anden person med samtykke fra PD'ens emne, medmindre andet er fastsat i føderal lovgivning på grundlag af en kontrakt indgået med denne person, herunder en statslig eller kommunal kontrakt eller ved at vedtage en relevant handling fra staten eller kommunalorganet (i det følgende benævnt " ).

6.4. Hvis Employment Center tildeler behandling af en PD til en anden person, bæres ansvaret for PD-emnet for den pågældende persons handlinger af Employment Center. Den person, der behandler personoplysninger på vegne af Beskæftigelsescentret, er ansvarlig for Beskæftigelsescentret.

7. FORTROLIGHED FOR PERSONOPLYSNINGER

7.1. Ansættelsescentret og andre personer, der har fået adgang til PD, er forpligtet til ikke at videregive til tredjemand og ikke distribuere PD uden samtykke fra PD-emnet, medmindre andet er fastsat i forbundslov.

8. HENSYN TIL UNDERSØGELSE AF PERSONOPLYSNINGER TIL BEHANDLING AF PERSONOPLYSNINGER

8.1. PD-personen træffer afgørelse om udleveringen af ​​hans personoplysninger og accepterer deres behandling frit af egen vilje og i hans interesse.

8.2. Samtykke til PD-behandling bør være specifik, informeret og bevidst.

8.2. Samtykke til PD-behandling kan gives af PD-emnet eller hans repræsentant i enhver form, der tillader at bekræfte faktumet for kvitteringen, medmindre andet er fastsat i føderal lovgivning.

8.3. Hvis der opnås samtykke til behandling af personoplysninger fra repræsentanten for genstanden for personoplysninger, kontrolleres repræsentantskabets myndighed for at give samtykke på vegne af emnet for personoplysninger, af Beskæftigelsescentret.

8.4. Samtykke til PD-behandling kan tilbagekaldes af PD-emnet. I tilfælde af tilbagetrækning af PDN-genstand for samtykke til behandling af PD, har Employment Center ret til at fortsætte behandling af personoplysninger uden PD-samtykke, hvis der er grunde, der er angivet i stk. 2-11 i del 6, artikel 6, stk. 2, og artikel 2 i lov nr. ".

8.5. I tilfælde, der er fastsat i føderal lovgivning, udføres PD-behandling kun med skriftligt samtykke fra PD-emnet. Samtykket i skriftlig form anerkendes som ækvivalent med et elektronisk dokument underskrevet af den elektroniske lov, der er underskrevet i overensstemmelse med føderal lov.

8.6. Personlige data kan fås af Beskæftigelsescentret fra en person, der ikke er genstand for personoplysninger, forudsat at Beskæftigelsescentret bekræfter eksistensen af ​​de grunde, der er angivet i klausul 2-11 i del 1 i artikel 10, stk. 2, i artikel 10 og del 2 i § 11 i forbundslov "om personoplysninger ".

9. GENNEMFØRELSE AF RETTIGHEDERNE AF VÆRDENE AF PERSONOPLYSNINGER

9.1. Når du behandler en PD, giver Employment Center de nødvendige betingelser for at PD kan frit udøve deres rettigheder.

9.2. PD-personen har ret til at få adgang til hans personlige data.

9.3. Et PD-objekt har ret til at modtage oplysninger om behandling af personoplysninger, der indeholder: Bekræftelse af, at PD-behandling af Employment Center juridiske grunde og formål med PD behandling målsætningerne og metoderne til PD-behandling anvendt af beskæftigelsescentret Beskæftigelsescentrets navn og beliggenhed, oplysninger om enkeltpersoner (undtagen ansatte i Beskæftigelsescentret), der har adgang til personoplysninger eller som kan videregive personoplysninger på grundlag af en aftale med Employment Center eller på grundlag af føderal lovgivning PD'er behandlet af det relevante PD-emne, kilden for deres kvittering, medmindre en anden procedure for indgivelse af sådanne data er fastsat i føderal lovgivning PD behandlingstid, inklusive lagringstid; proceduren for udøvelse af emnet for PDN af rettigheder, der er fastsat i forbundslov "om personoplysninger" oplysninger om gennemført eller planlagt grænseoverskridende dataoverførsel Navn eller efternavn, navn, patronym og adresse på den person, der udfører behandling af PDN på vegne af Beskæftigelsescentret, hvis behandlingen er betroet eller vil blive betroet en sådan person Andre oplysninger, der er fastsat i føderale love.

9.4. Rettighederne for en PD-person, der har adgang til hans personlige oplysninger, kan begrænses i tilfælde, der udtrykkeligt er fastsat i føderale love.

9.5. En PD-person har ret til at forsvare sine rettigheder og legitime interesser, herunder erstatning for erstatning og (eller) erstatning for moralsk skade i en domstol.

9.6. Hvis et PD-emne vurderer, at Beskæftigelsescentret behandler sin PD i strid med kravene i forbundslov "om personlige data" eller på anden måde overtræder sine rettigheder og friheder, har PD-subjektet ret til at appellere handlinger eller manglende handling af arbejdscentret til det autoriserede organ for at beskytte rettighederne til PD-fag eller retskendelse.

10. OPLYSNINGER OM DE FORANSTALTNINGER, DER ER GENNEMFØRET AF ARBEJDSCENTRET

Direktiveret for at sikre gennemførelsen af ​​forpligtelser i forbindelse med behandling af personlige data

10.1. Beskæftigelsescentret ved behandling af PD udfører sine opgaver som PD-operatør, der er fastsat i forbundslov "om personlige data".

10.2. Beskæftigelsescentret træffer de nødvendige og tilstrækkelige foranstaltninger til at sikre opfyldelsen af ​​de opgaver, der er fastsat i denne føderale lov og de lovgivningsmæssige retsakter vedtaget i overensstemmelse hermed.

10.3. Beskæftigelsescentret bestemmer selvstændigt sammensætningen og listen over nødvendige og tilstrækkelige foranstaltninger til at sikre opfyldelsen af ​​de forpligtelser, der er fastsat i denne føderale lov og de lovgivningsmæssige retsakter vedtaget i overensstemmelse hermed, medmindre andet er fastsat i føderale love.

10.4. Beskæftigelsescentret giver ubegrænset adgang til dette dokument (Politik) til oplysningerne om de faktiske krav til PD-beskyttelse ved at sende på den officielle hjemmeside for Amur Region Oblast Employment Department på http: // zanamur. ru, GKU af Amur-regionen i det centrale hospital i byen Svobodny på http://svobzan.amur.ru.

11. OPLYSNINGER OM GENNEMFØRELSE AF BESKÆFTIGELSE CENTRER AF FORANSTALTNINGER TIL BESKYTTELSE AF PERSONOPLYSNINGER I HENSYN TILBEHANDLING

11.1. Beskæftigelsescentret i PD-behandling sikrer vedtagelse af nødvendige juridiske, organisatoriske og tekniske foranstaltninger til beskyttelse af PD mod ulovlig eller utilsigtet adgang til dem, destruktion, modifikation, blokering, kopiering, levering, distribution af PD samt fra andre ulovlige handlinger vedrørende PDN.

11.2. For at beskytte personlige data implementerer Beskæftigelsescentret kravene til beskyttelse af personoplysninger, når de behandles i personoplysninger, der er oprettet af Den Russiske Føderations regering.

11.3. Sikring af PD-sikkerhed opnås af Employment Center, især:

· Identifikation af trusler mod sikkerheden ved personoplysninger, når de behandles i ISPDN fra Employment Center

· Brug af organisatoriske og tekniske foranstaltninger til sikring af sikkerheden ved personoplysninger, når de behandles i ISPDN for Beskæftigelsescentret, der er nødvendige for at opfylde kravene til beskyttelse af personoplysninger, hvis opfyldelse er tilvejebragt af de niveauer af beskyttelse af personoplysninger, der er oprettet af Den Russiske Føderations regering

· Brugen af ​​de informationssikkerhedsforanstaltninger, der er vedtaget på den foreskrevne måde

· Vurdering af effektiviteten af ​​de foranstaltninger, der er truffet af Beskæftigelsescentret for at sikre sikkerheden af ​​personoplysninger forud for idriftsættelsen af ​​ISPDN fra Beskæftigelsescentret

· Under hensyntagen til maskinbærerne PD af Employment Center

· Opdagelse af fakta om uautoriseret adgang til PDN og handling

· Restaurering af PDN ændret eller ødelagt som følge af uautoriseret adgang til dem

· Opstilling af regler for adgang til PDN behandlet i SPDN på Beskæftigelsescenteret samt sikring af registrering og registrering af alle handlinger udført på PDN i ISPDN i Employment Center;

· Kontrol over de foranstaltninger, der er truffet for at sikre sikkerheden for personoplysninger og sikkerhedsniveauet for ISPDN fra Employment Center.

11.4. Oplysninger om foranstaltninger, som Beskæftigelsescentret tager for at beskytte personoplysninger, er begrænset information.

12. Politisk ændring. Gældende lov

12.1. Beskæftigelsescentret har ret til at ændre denne politik.

12.2. Når der foretages ændringer i overskriften til politikken, angives datoen for den sidste opdatering af revisionen.

12.3. Den nye version af politikken træder i kraft fra det tidspunkt, hvor den blev sendt på Amurskaya Oblast-tjenestegrenes hjemmeside, medmindre andet er fastsat i den nye version af politikken.

Måder at behandle personlige data på

Spørgsmål-svar på emnet

spørgsmålet

Hvad er relateret til personoplysninger, og hvad relaterer sig til handlinger med personlige data?

Svaret

I henhold til Roskomnadzors ordlyd af 9. august 2011 nr. 706 omfatter metoderne *:

- ikke-automatiseret behandling af personoplysninger

- udelukkende automatiseret behandling af personoplysninger med eller uden overførsel af modtaget information over netværket

- Blandet behandling af personoplysninger (Note N 4).

Og til handlingerne i overensstemmelse med Art. 3 i forbundslov af 27.07.2006 nr. 152-FZ. Personoplysninger omfatter: *

- afklaring (opdatering, ændring)

- distribution (herunder transmission)

- ødelæggelse af personoplysninger

Begrundelsen for denne stilling er angivet nedenfor i materialet "System Lawyer".

• FEDERAL LAW 27.07.2005 Nr. 152-ФЗ "ON PERSONAL DATA"

"Personlig databehandling er enhver handling (handling) eller sæt af handlinger (operationer) * udført ved brug af automatiseringsværktøjer eller uden brug af sådanne midler med personlige data, herunder indsamling, optagelse, systematisering, akkumulering, opbevaring, forfining (opdatering, ændring) udtrækning, brug, overførsel (distribution, levering, adgang), depersonalisering, blokering, sletning, destruktion af personoplysninger "

• BESTEMMELSE AF ROSKOMNADZOR FRA 19. august 2011 nr. 706

"Feltet" liste over handlinger med personoplysninger, en generel beskrivelse af de metoder, som operatøren bruger til behandling af personoplysninger "* angiver handlinger udført af operatøren med personoplysninger samt en beskrivelse af de metoder, som operatøren bruger til behandling af personoplysninger:

- ikke-automatiseret behandling af personoplysninger
- udelukkende automatiseret behandling af personoplysninger med eller uden overførsel af modtaget information over netværket

- Blandet behandling af personoplysninger (Note N 4) Note N 4. Ved automatiseret behandling af personoplysninger eller blandet behandling er det nødvendigt at angive, om de oplysninger, der er opnået under behandlingen af ​​personoplysninger, overføres på den juridiske persons interne netværk (oplysningerne er kun tilgængelige for veldefinerede medarbejdere i den juridiske enhed ) eller oplysningerne overføres via det offentlige internet eller uden at sende de modtagne oplysninger. "

* Så fremhævet en del af materialet, der vil hjælpe dig med at træffe den rigtige beslutning.

Likbez på personlige data for virksomheder, der behandler dem

Vilkår, nyanser og hyppige vrangforestillinger - i materialet fra eksperterne fra sikkerhedstjenesten til virksomheden "Onlanta" (indgår i gruppen af ​​virksomheder LANIT).

Vi forstår den juridiske terminologi og de meget nuancer, som du kan være i retten.

Forklar vilkårene i det menneskelige sprog

Den vigtigste lov, der regulerer forhold i forbindelse med behandling af personoplysninger, er den føderale lov af 27. juli 2006 nr. 152-ФЗ "On Personal Data".

Det første udtryk, der skal forstås, er personlige data.

Hvad er personlige data

Dette er enhver information, der kan bruges til at identificere en person: for eksempel fuldt navn, fødselsdato, uddannelse, indkomst og endda civilstand. Du spørger: "Og hvad er mit efternavn, trykt på visitkortet, også personlige data?"

Svar: "Ja." Ved lov er det ligegyldigt, om kun dit efternavn udskrives på visitkortet eller i kombination, for eksempel med et telefonnummer og en adresse. Både den første og den anden og den tredje personlige data. Det er sandt, at opbevaring af visitkort eller telefonnumre af piger i telefonbogen ikke behøver at besvares ved lov, men mere på det nedenfor.

Gå videre. Medierne skriver konstant "opbevaring af personlige data". Det er korrekt, at det ikke er opbevaring, men behandling af personoplysninger. Hvad er forskellen? Opbevaring er kun en del af det, der kaldes personlig databehandling. Eventuelle handlinger, du udfører med personlige data (indsamle, akkumulere, gemme, overføre, ændre) er lovmæssigt betegnet som "personlig databehandling".

Det er vigtigt at forstå, at loven skelner mellem to personoplysninger: operatøren og processoren. Operatøren udfører behandling af personoplysninger og bestemmer også formålet med deres behandling, sammensætningen af ​​personoplysninger, der skal behandles, handlinger (operationer) udført med personoplysninger.

En handler er en person, der udfører handlinger med personlige data: indsamling, lagring, organisering, akkumulering, opdatering, opdatering, sletning, depersonalisering og så videre.

Faktisk er en håndterer ikke kun en slutbruger, der har brug for personlige data for arbejde, men også enhver mellemliggende bruger, gennem hvem disse hænder denne personlige data bestod. Vis i praksis.

opgave

Onlineforretningen har en kundedatabase, som er placeret i "cloud" hos et tredjepartsfirma. Et marketing bureau arbejder med denne base. Spørgsmål: Hvor mange personoplysninger har vi?

Det rigtige svar er en. Dette er en online butik, der sætter målene for personlig databehandling. Det andet spørgsmål er: Hvor mange personoplysninger har vi? Det rigtige svar er to.

1. Et firma, der har en online butik database i sin sky.
2. Et marketingbureau, der henter data, og baseret på disse data, kan forberede et salgsfremmende tilbud til kunderne.

Personoplysninger behandles i mange forskellige institutioner: For eksempel i banker, skoler, klinikker, visumcentre. For ikke at nævne de websider, hvor vi registrerer, forlader vores e-mail-adresser og telefonnumre. Men hvordan og hvor præcist?

nuance

Der er et så uklart begreb i loven som "personoplysninger informationssystem". Hvis du forsøger at forklare i enkle termer - dette er en hel kompleks, der består af databaseservere, tekniske midler til at sikre deres behandling og informationsteknologi. I overensstemmelse med loven skal ethvert personoplysninger informationssystem være beskyttet.

Metoder til beskyttelse af oplysninger er forskellige.

• Fysisk: I lokalet hvor computere er placeret, kan kameraer installeres, adgangskontrol, alarmsystemer kan bruges.
• Teknisk - ved hjælp af specialiserede midler til informationsbeskyttelse.
• Administrative: Alle former for regler og regler for behandling af personoplysninger i virksomheden.

eksempel

Et af midlerne til at beskytte information er depersonalisering af personoplysninger. Hvad er det? I visumcentret er hver person, der ansøger om visum, tildelt et særskilt identifikationsnummer. Nummeret selv henviser ikke til personoplysninger, da det depersonaliserer en person: Det er umuligt at identificere den person, der ansøgte om visum.

Jeg synes at behandle personoplysninger.

Så med terminologien slået ud. Nu skal alle forretningsrepræsentanter, især individuelle iværksættere, som kun har få ansatte i personalet, ærligt besvare spørgsmålet: "Behandler jeg personlige data?"

Ja, hvis du er ejer af et websted med deltagelse af fem personer om ugen, men det har en tilbagemelding med felterne "navn, e-mail-adresse, telefonnummer". Oplysninger om de formål, som du indsamler personlige data for, hvordan du bruger det, skal præsenteres på din hjemmeside.

Ja, hvis du behandler personlige oplysninger fra dine medarbejdere eller tredjeparts specialister ansat til at gøre noget arbejde.

Ja, hvis du arbejder med private kunder, og du har brug for deres pasdata til indgåelse af kontrakter - gælder det for rejsebureauer, fitnesscentre, forskellige servicevirksomheder, onlinebutikker og andre.

Og igen, ja, hvis du er en budgetorganisation, et politisk parti eller en børnehave. Sidstnævnte har ikke kun information om barnet, men også om hans forældre, herunder arbejdsplads og stilling. For ikke at nævne de medicinske institutioner - der er et hav af personlige følsomme oplysninger, der skal gemmes sikkert.

Men hvis du bruger data til personlig kommunikation uden kommerciel fordel, gælder kravene i lovgivningen ikke for dig, og der er ikke noget spørgsmål om strafansvar.

Din brug af kontakter, der udskrives på et visitkort, du har modtaget fra en kollega eller telefonnumre i en notesbog på en smartphone, indeholder f.eks. Ikke oplysninger om sociale netværk på dig ansvaret for loven.

Det vigtigste er ikke at videregive data til annoncører og ikke offentliggøre dem uden tilladelse fra ejerne af personlige data i det offentlige område.

Bestem kategorien af ​​personoplysninger

Tillykke med, du er den stolte ejer af titlen "personal data operator". Det vigtigste er nu at forstå præcis hvilke personlige data du behandler. Fordi det afhænger af kategorien af ​​personoplysninger, hvordan man beskytter data og hvilke krav der skal opfyldes. Kategorien er beskrevet i detaljer i Federal Law-152 og regeringens beslutning af 1. november 2012 N 1119.

Kategorier af personlige data i enkle ord:

Almindeligt tilgængelige personoplysninger: Data fra åbne ressourcer, som udgives af emnet for personoplysninger eller med godkendelse. Offentlige tilgængelige data er data fra medierne eller internettet.

Eksempel: Oplysninger offentliggjort i åben adgang på sociale netværk eller på firmaets hjemmeside. Telefonnummer og familie status offentliggjort i den offentlige adgang til Facebook. Navn på medarbejder og hans stilling på arbejdsgiverens hjemmeside.

Biometriske personoplysninger: Denne kategori indeholder alle data om de fysiologiske og biologiske egenskaber hos mennesker.

Eksempel: vægt, højde, øje eller hårfarve, hårlængde, blodtype, foto.

Personlige data i en særlig kategori: Dette inkluderer oplysninger om tilhørsforhold til ethvert race og nation, politiske synspunkter, religiøse og filosofiske overbevisninger, sundhedstilstand eller intimt liv.

Eksempel: Medicinsk diagnose (oplysninger om, hvad du var syg med, hvornår, hvilken læge behandlede dig).

Personlige data af andre typer - dette omfatter personoplysninger, der ikke er inkluderet i ovennævnte kategorier.

Eksempel: Virksomhedsoplysninger. Regnskabskort til medarbejdere, der indeholder oplysninger med hvilke HR og bogholderi: løn, ferieperioder, ansættelsesdatoer.

Kategori, antal, type trusler - beskyttelsesniveau

Når du først har besluttet kategori af personoplysninger, skal du forstå det nøjagtige antal data, du behandler: op til 100.000 eller over 100.000.

Fandt ud af kategorien og mængden, bestemmer typen af ​​trussel:

Trusler nummer 1. "Holes" og sårbarheder i operativsystemet. Eksempel: Sårbarheder, som hackere bruger til at infiltrere operativsystemet til at stjæle information.

Trusler nummer 2. "Huler" og sårbarheder i applikationssoftwaren, det vil sige i softwaren, der bruges i dit daglige arbejde. Eksempel: Word, Excel.

Trusler nummer 3. Alle andre trusler, der ikke er opført i de to første typer. Først og fremmest den menneskelige faktor. En medarbejder kan lade et dokument åbne på en ulåst computer, sende et dokument til udskrivning til andres printer eller via e-mail.

Mængden af ​​personoplysninger, kategori, type trusler - giver dig mulighed for at bestemme hvilket beskyttelsesniveau der kræves for dit informationssystem. Der er nu fire beskyttelsesniveauer.

Det første og højeste beskyttelsesniveau bruges oftest til behandling af personoplysninger i offentlige myndigheder og medicinske institutioner. Det fjerde beskyttelsesniveau er det nemmeste at tilvejebringe, og det er undertiden nok at gennemføre organisatoriske reguleringsforanstaltninger. Det drejer sig især om beskyttelse af offentligt tilgængelige data.

Du kan bestemme beskyttelsesniveauet ved hjælp af denne tabel.

eksempel

Hospitalet behandler patienternes personoplysninger - dette er personoplysningerne i en særlig kategori. Det behandler også personoplysninger for medarbejdere - det er personlige data for en anden kategori. Sandsynligvis har hospitalet to databaser. Hvis du tilføjer begge databaser, får du det samlede antal personlige data, der spinder i informationssystemet på dette hospital.

For eksempel alle dem - op til 100 tusinde. Dernæst ser vi på, hvordan dataene behandles: automatiseret (i en computer) eller ikke automatiseret (i et manuelt arkivskab). Hvis alt er automatiseret, ser vi på hvilken software hospitalet bruger, hvilke sårbarheder det har.

På baggrund heraf identificeres trusler og deres niveau. Vi tilføjer alle faktorerne og får beskyttelsesklassen på andet niveau. Vi ser på, hvad kravene i loven er spelt ud for andet niveau af sikkerhed. På baggrund af disse krav vil det være nødvendigt at opbygge en informationssystembeskyttelse for at opfylde kravene i forbundsloven.

Lidt om risikoen for lækage af personoplysninger

Hvorfor forstyrre personligt beskyttelse overhovedet? Personoplysninger er et dyrt element på det sorte marked. Svindlere er villige til at betale imponerende beløb for en profil, der indeholder de fulde oplysninger om en persons lægejournal. Separat marked - salg af bankkort detaljer; konti i sociale netværk.

Konsekvenserne af personlækage er forskellige. Dataene kan være offentligt tilgængelige på internettet: Du kan f.eks. Nemt finde stjålne databaser med adresser og telefonnumre af virksomhedernes kunder på netværket. Kendskab til navn og efternavn kan enhver finde ud af en persons hjemadresse, komme på det sociale netværk, se en profil eller bare skrive en SMS til en mobiltelefon.

Personlige data kan komme ind i databasen med irriterende mailings fra en eller anden kommerciel organisation, så deres ejer vil blive overvældet med uopfordrede tilbud om tjenester. De kan også bruges af online svindlere til online kasinoer eller for at åbne en elektronisk tegnebog.

I værste fald kan en angriber efterligne en anden person og tage æren for andres navn. De mest alvorlige konsekvenser af udslip af personoplysninger er: ulovlige handlinger med fast ejendom, tyveri af penge fra bankkort, udpressning af slægtninge og registrering af et selskab.

Ansvarsbyrde

Forstår du betydningen af ​​spørgsmålet og er klar til at bære ansvar? Det er rigtigt. Fordi ansvaret for sikkerheden ved personoplysninger ligger helt hos operatøren.

Det betyder, at operatøren skal passe på, at oplysningerne ikke strømmer ind i offentlighedens adgang eller ikke falder i hænderne hos tredjeparter, som ikke har nogen rettigheder til det. Dette kræver konstant overvågning og forebyggelse af datasikkerhedstrusler, kontrol over niveauet af informationssikkerhed og genoprettelse i tilfælde af tab.

I vores land overvåger Roskomnadzor overholdelsen af ​​lovgivningen inden for personlig databehandling. Denne krop reagerer på klager, regulerer forholdet mellem fag og operatører.

De tekniske krav til beskyttelse af oplysninger er FSTECs og FSB's ansvar: De udvikler krav og kontrollerer deres gennemførelse.

Krav til behandling af personoplysninger

Og nu er det tid til at studere tabellerne med kravene til den tekniske beskyttelse af personoplysninger. Nærmere oplysninger kan findes i forbundsregeringen for teknisk og eksportkontrol den 18. februar 2013 N 21.

Men i det mindste begynde med dette:

1. Tilmeld dig Roskomnadzor som operatør af personlige data. Påkrævet at ansøge om Roskomnadzor i papir eller elektronisk form. Oplysninger om linket.
2. Få skriftligt samtykke fra alle enheder, hvis personoplysninger behandles. Samtykke til behandling af personoplysninger er det vigtigste juridiske dokument, der bekræfter lovligheden af ​​behandlingen af ​​personoplysninger.
3. Udvikle intern dokumentation. Idriftsættelse efter ordre fra organisationens leder "Forordninger om behandling af personoplysninger". I dette dokument forklarer operatøren, hvordan han planlægger at bruge personlige data, for hvad og hvor de vil blive overført. Dette er et grundlæggende dokument, som kræves af enhver personlig dataoperatør. På baggrund heraf udvikles alle andre administrative dokumenter.

Mange webstedsejere tror, ​​at hvis en besøgende klikker på knappen "Jeg accepterer behandlingen af ​​personlige data", er der ingen juridiske problemer, og databehandling vil automatisk falde ind i det juridiske område. Det er det ikke.

Fra et juridisk synspunkt er der kun to måder at bekræfte dit samtykke til behandling af personoplysninger: læg en underskrift på papir eller ved hjælp af en elektronisk digital signatur.

I alle andre tilfælde, hvis sagen går til retten, vil ejeren af ​​hjemmesiden ikke kunne bekræfte, hvem der netop trykkede på knappen "Jeg er enig". Man kan kun håbe, at emnet, der kom til dit websted, frivilligt overfører sine data og ikke klager.

Er der virkelig en check?

Ja, checks kan være fra Roskomnadzor.

Roskomnadzor offentliggør årligt en liste med kontroller selektivt fra listen over registrerede operatører, hvis en virksomhed er inkluderet i listen over checks, så er den næste planlagte check muligvis ikke tidligere end efter tre år. Du kan se, om dit firma er på listen i år her.

Off-plan kontrol skyldes normalt klager. Hvis checken er uplanlagt, skal du advares om det i 24 timer skriftligt.

Der kan også være dokumentkontrol. Når du dokumenterer, sender du en liste over dokumenter, hvoraf kopier skal sendes til Roskomnadzor.

Nogle gange foretager Roskomnadzor inspektioner på stedet: Inspektørerne foretager personligt besøg for at kontrollere virksomheden på stedet.

Forberedelse af nogen af ​​disse kontroller er en tidskrævende opgave. Vil du løse opgaven med at forberede dig til inspektionen selv eller involvere eksterne eksperter, skal du først afgøre, hvem i virksomheden er ansvarlig for at overholde FZ-152.

Bøder, domstole og andre rædsler

For overtrædelse af 152-FZ er civilretligt, strafferetligt, administrativt og disciplinært ansvar.

Så udførte Roskomnadzor en inspektion, hvis han fandt uoverensstemmelser med loven, vil han udstede en bekendtgørelse til undersøgelsesudvalget for at gennemføre en retssag mod overtrædelsen af ​​loven "On Personal Data".

Herefter påbegynder anklagemyndigheden en inspektion, hvor den kan suspendere virksomhedens aktiviteter: trække selskabets database tilbage, især de computere, hvor personoplysningerne blev behandlet.

Lovens lovovertrædere venter først og fremmest på bøder. Bødenes størrelse varierer afhængigt af lovovertrædelsen. For behandling af personoplysninger uden skriftlig tilladelse fra enhederne skal juridiske personer derfor påtage sig administrativt ansvar.

Selvom operatøren er villig til at betale en bøde, men ifølge storforretningsstandarden, ser den ikke ud til at være stor, men lovovertræderen skal stadig eliminere inkonsekvensen inden loven (for eksempel slette de lagrede data) og underrette Roskomnadzor.

Det værste scenario er, hvis Roskomnadzor beslutter at tilbagekalde virksomhedens licens, forbyde forretninger at behandle personoplysninger og ulovligt offentliggøre personoplysninger om borgerne.

I løbet af de sidste par år var den højeste skandale i Rusland forbundet med at blokere LinkedIn, hvis ejere blev anklaget for at behandle personoplysninger af borgere uden deres samtykke til servere uden for Den Russiske Føderation. Blokeringen af ​​autonum.info-tjenesten var også "lavet lyde".

Hvor meget vil det koste mig penge og styrke

Du kan organisere behandlingen af ​​personlige data uafhængigt eller ved hjælp af et firma, der yder en sådan service.

Hvis du selv beslutter at behandle personlige data, skal du:

1. Forstå hvilken kategori af personoplysninger du behandler, og hvad er de tekniske krav til deres beskyttelse.
2. På egen hånd eller med hjælp fra et it-selskab udvikler man tekniske løsninger, forbereder indkøb af nødvendigt udstyr og software, installerer det og implementerer det.
3. Udgiv alle juridiske dokumenter. Udvikle et sæt interne dokumenter: instruktioner og regler.

I bedste fald vil det tage tre til fire måneder, på bekostning af en sådan implementering kan det være 200-300 tusind rubler - det er omkostningerne ved at købe udstyr og licenser. Arbejdsomkostninger og yderligere støtte til informationssystemet er et særskilt udgiftsområde. Du skal også have en administrator, der overvåger systemets drift.

Når man taler objektivt, opfylder meget små virksomheder simpelthen ikke alle lovens krav i håb om, at der ikke vil blive verificeret. Måske vil det virkelig ikke. Andre virksomheder skaber "Potemkin landsbyer" kun ved at foregive at behandle personoplysninger i overensstemmelse med lovens krav, med andre ord, "de" køber de nødvendige dokumenter.

I den næste artikel viser vi, hvordan du beregner omkostningerne ved behandling af personoplysninger i et firma og fortæller dig, hvornår det er mere rentabelt at foretage personlig databehandling, og når det er bedre at deponere det i skyen.

Materialet udgives af brugeren. Klik på knappen "Skriv" for at dele din mening eller tale om dit projekt.

Personoplysninger Act: konsekvenser for kontorarbejde

• Khramtsovskaya Natalia | Kandidat for Historisk Videnskab, Ledende Ekspert på Dokumentstyring af EOS Company, ISO Expert, Medlem af Det Internationale Arkiveringsråd

Leder efter grundårsagen

Den Russiske Føderations føderale lov nr. 152-ФЗ "On Personal Data" blev vedtaget den 27. juli 2006, og på baggrund af andre udestående begivenheder i det forløbne år gik det næsten ubemærket. Den formelle grund til vedtagelsen var de mange fakta om tyveri af personoplysninger i statslige og kommercielle strukturer og deres udbredte salg. Faktisk var hovedformålet med at vedtage denne lov behovet for at fjerne visse handelshindringer med EU-landene.

Frankrig har forbudt offentliggørelse af fakta om privatlivets fred og pålagt bøder for overtrædelser i 1858.

Den norske straffelov forbød offentliggørelse af oplysninger om "personlige eller private anliggender" i 1889.

Indenrigsret "Personoplysninger" dateret den 27. juli 2006 startede 152-FZ sin drift den 26. januar i år (i overensstemmelse med artikel 25, stk. 1, træder loven i kraft 180 dage efter den officielle offentliggørelse, der fandt sted den 29. juli 2006 i "Rossiyskaya Gazeta").

I henhold til EU-direktiv 95/46 / EF kan personoplysninger kun overføres til lande med samme beskyttelsesniveau som i Europa. Dette hindrede betydeligt udvekslingen af ​​oplysninger fra europæiske regeringsorganer og virksomheder med deres udenlandske partnere, hvilket gør det umuligt for mange kommercielt lovende projekter. Sådanne restriktioner blev oplevet ikke kun af Rusland og tredjelandes lande, men også af et økonomisk monster som USA. Så vores regering besluttede at overvinde denne barriere. Lad os se, hvordan han gjorde det, og hvad det vil koste os alle sammen.

Vedtagelsen af ​​den russiske lov om personoplysninger var resultatet af Den Russiske Føderations tiltrædelse af den europæiske konvention fra 1981 om beskyttelse af personen i forbindelse med automatisk behandling af personoplysninger, der definerer de grundlæggende principper for beskyttelse af personoplysninger i europæiske lande. Denne konvention og de efterfølgende EU-direktiver skitserede de opgaver, som national lovgivning bør tage fat på ved regulering af personoplysninger:

• beskyttelse af personoplysninger mod uautoriseret adgang til dem af andre personer, herunder repræsentanter for offentlige organer og tjenester, der ikke har den nødvendige myndighed
• sikring af sikkerhed, integritet og pålidelighed af data i processen med at arbejde med dem, herunder transmission via kommunikationskanaler
• sikre den korrekte retlige ordning for disse data, når de arbejder med dem for forskellige kategorier af personoplysninger
• sikring af kontrollen med borgerens brug af personoplysninger
• oprettelsen af ​​en særlig uafhængig struktur, der sikrer effektiv kontrol med overholdelsen af ​​borgernes rettigheder for at beskytte hans personoplysninger (f.eks. oprettelsen af ​​stillingen som kommissær for beskyttelse af personoplysninger).

Vores lov gentager i vid udstrækning de vigtigste bestemmelser i europæisk lovgivning på dette område, som anses for at være en af ​​verdens hårdeste 2. Selv om loven i 2006 blev talt om ganske ofte, men få mennesker omhyggeligt læser indholdet af dens bestemmelser. Men for at sikre overholdelse af sine krav er det nødvendigt at ændre arbejdet væsentligt med information og dokumentation indeholdende personoplysninger. Lad os prøve at finde ud af, hvad der er nyt inden for administration af dokumenter og informationer i organisationen?

• I alle organisationer er der et nyt, ret omfattende dokumentationslag. Dette er dokumenter, der vedrører indhentning af individers samtykke til behandling af deres personoplysninger med registrering af databaser med det autoriserede organ med dokumentation af alle transaktioner med personoplysninger mv.
• Der er behov for at fremhæve dokumenter og oplysninger, der indeholder personoplysninger; deres særlige mærkning både på papir og elektroniske medier; adskilt regnskabs- og adgangssporing. Du kan tale om udseendet af en anden type nakkeadgang til dokumenter.
• Grundlæggende skiftende tilgang til etablering af bevarelse af dokumenter og oplysninger. For første gang i hjemmepraksis er den maksimale oplagringsperiode fastlagt, og den betingede periode, som vil være ret vanskelig at observere og spore.
• Når du arbejder med personlige data, er det nødvendigt at tydeliggøre på forhånd og registrere det i reguleringsdokumenterne, som er forbundet med deres behandling. Ellers kan organisationen holdes ansvarlig, og endnu mere ubehageligt kan der være talrige retssager fra de personoplysninger, som de selv har 3.
• Loven indfører meget strenge frister for fuldbyrdelsen af ​​alle borgernes appel i forbindelse med behandling af personoplysninger.

Lad os nu være mere detaljeret om de vigtigste lovbestemmelser og vurdere, hvilke organisationer og institutioner der skal gennemføres for at gennemføre den. Derudover vil vi forsøge at analysere nogle lovbestemmelser med hensyn til rigtigheden og klarheden af ​​deres ordlyd.

Lovens anvendelsesområde

Det allerførste spørgsmål: til hvem gælder denne lov? Som svar på det kan vi trygt sige, at det gælder for alle uden undtagelse (til statslige institutioner, juridiske enheder og enkeltpersoner). Her er en liste over artikel 1:

• føderale regeringsorganer
• statslige myndigheder af emnerne i Den Russiske Føderation,
• andre statslige organer
• lokale myndigheder,
• kommunale organer, der ikke er en del af systemet med lokale selvstyreorganer,
• juridiske enheder
• individer.

Det andet vigtige spørgsmål er lovens anvendelsesområde.

Artikel 1 i Den Russiske Føderations føderale lov "om personlige data" nr. 152-FZ af 27. juli 2006

Denne føderale lov regulerer relationer i forbindelse med behandling af personoplysninger... ved hjælp af automatiseringsværktøjer eller uden brug af sådanne midler, hvis behandling af personoplysninger uden brug af sådanne midler svarer til arten af ​​de handlinger (operationer), der udføres med personoplysninger ved hjælp af automatiseringsorganer.

Ordlyden af ​​denne artikel er et eksempel på, hvordan man ikke skriver love. Det viste sig noget uforståeligt, hvilket tillod en række fortolkninger. Hvordan på baggrund af en sådan tekst at besvare spørgsmålet om, hvorvidt de data, der er omfattet af en fri form i en virksomhedsbog, falder ind under lovens anvendelsesområde? Hvis en sådan notesbog er opbevaret i en computer eller i en mobiltelefon, betragtes det som "brug af automatiseringsudstyr"?

Den europæiske lovgivning i denne henseende er klarere:

EU-direktiv 95/46 / EF 1995

Artikel 2 "Definitioner":

c) "personopbevaringssystem" 4 ("opbevaringssystem") er et struktureret sæt personoplysninger, der kan opnås ifølge bestemte kriterier - uanset hvordan datasættet er organiseret, hvad enten det er centralt, decentralt eller distribueret på et funktionelt eller geografisk grundlag...

Artikel 3 "Anvendelsesområde":

1. Dette direktiv vedrører behandling af personoplysninger ved hjælp af automatiske midler (helt eller delvist) samt behandling på andre måder end automatisk, personoplysninger, komponenter eller som er beregnet til at indgå i oplagringssystemerne.

I moderne computerterminologi betyder "struktureret data" først og fremmest databaser. I papirarbejde omfatter de kortfiler og arkiver af personlige filer. Derfor omfatter europæiske krav:

• til automatisk behandling af personoplysninger og
• til brug (enten i automatisk eller anden tilstand) indeholdende personoplysninger i papir- og elektroniske databaser, kortfiler mv., som har en søgemekanisme, der gør det nemt at udtrække oplysninger om en bestemt person.

Hvorfor var det umuligt at skrive på russisk og i vores lov forbliver uforståeligt?

Der skal tages hensyn til forskellen i terminologi: "automatisk behandling" er en ting, og behandling af "ved hjælp af automatiseringsudstyr" er et helt andet begreb, meget bredere og mere vagt.

Loven giver kun fire undtagelser, nemlig loven gælder ikke for forhold, der opstår:

• ved behandling af personoplysninger til personlige og familiemæssige behov
• ved behandling af personoplysninger i dokumenter fra Den Russiske Føderations Arkivfond
• ved behandling af personoplysninger til optagelse i Unified State Register of Individual Entrepreneurs (EGRIP)
• ved behandling af personoplysninger klassificeret som statshemmeligheder.

Et af disse punkter kræver mere detaljeret undersøgelse. Til at begynde med citerer vi loven:

Artikel 1 i Den Russiske Føderations føderale lov "om personlige data" nr. 152-FZ af 27. juli 2006

2. Denne føderale lov gælder ikke for forhold som følge af:

2) Opbevaring, opkøb, bogføring og brug, der indeholder personoplysninger om dokumenter fra Den Russiske Føderations Arkivfond og andre arkivdokumenter i overensstemmelse med lovgivningen om arkiver i Den Russiske Føderation.

Vi minder dig om to definitioner, der er fastlagt i loven "om arkivvæsen i den russiske føderation" nr. 125-ФЗ dateret den 10.2.2005:

• arkivdokument - et håndgribeligt medium med oplysninger, der er optaget på den, som har detaljer, som gør det muligt at identificere det og er underlagt opbevaring på grund af den angivne bærers og betydningen af ​​borgernes, samfundets og statenes betydning
• Dokumentet fra Den Russiske Føderations arkivfond er et arkivdokument, der har bestået undersøgelsen af ​​værdien af ​​dokumenter, sættes på statsregnskab og er underlagt permanent opbevaring.
  Det viser sig, at hvis en permanent opbevaringsperiode er etableret for et dokument eller en database, og de er inkluderet i Den Russiske Føderations Arkivfond, gælder denne lov ikke for dem. Denne fejl gør det muligt for offentlige myndigheder at få en seriøs database for at undgå gennemførelsen af ​​den nye lov om personoplysninger.

Her er et eksempel på, hvordan dette kan gøres. Ifølge den føderale lov om arkivering i Den Russiske Føderation (§ 2 i artikel 18) godkender Den Russiske Føderations regering listen over forbundsstatslige organer og organisationer, der udfører opbevaring af dokumenter fra Den Russiske Føderations arkivfond, som er i føderalt ejerskab. En ny liste over 5 af disse afdelinger og organisationer blev godkendt i slutningen af ​​2006. Samtidig blev disse organisationer beordret til at indgå en aftale om opbevaringsbetingelser for dokumenter med Rosarkhiv. Hvis det ved kontraktens indgåelse specifikt er fastsat, at alle dokumenter, bortset fra operationelle, anses for at være dokumenter, der overføres til forældremyndighed, så kan hovedparten af ​​dokumenter henføres under denne undtagelse.

For andre statslige organisationer kunne en af ​​mulighederne være hurtig godkendelse af sagsakter med statsarkiver, hvilket faktisk ville betyde optagelse af dokumenter i Den Russiske Føderations Arkivfond og igen at forlade "aktionsområdet" af loven om personoplysninger.

EU-direktiver indeholder ikke en sådan undtagelse, men findes f.eks. I US Code 6, som indeholder mere korrekt ordlyd, der ikke tillader tvetydighed: Personoplysninger lovgivningen gælder generelt ikke for dokumenter, der allerede er deponeret i statsarkiver, men gælder for dokumenter, der overføres til statsarkiverne af et agentur for varetægt.

Det er også uklart, hvorfor vores lov fra vores talrige statsdatabaser gjorde en undtagelse for Unified State Register of Individual Entrepreneurs (EGRIP). Det ville være logisk at udvide undtagelsen til andre statsregistre, der også indeholder personoplysninger (for eksempel inkorporeringen indeholder oplysninger om grundlæggerne og førstepersoner fra alle juridiske enheder i landet).

Personlige data og metoder til behandling

Personlige data - Oplysninger om en fysisk person (personoplysninger), der er bestemt eller bestemt på grundlag af sådanne oplysninger, herunder hans efternavn, fornavn, patronym, år, måned, dato og fødested, adresse, familie, sociale, ejendomsstatus, uddannelse, erhverv, indkomst, andre oplysninger (ifølge artikel 3 i lov om personoplysninger).

Loven giver mulighed for følgende metoder til behandling af personoplysninger (for en række af dem gives detaljerede forklaringer i artikel 3):

• samling;
• systematisering;
• akkumulering;
• opbevaring;
• afklaring (opdatering, ændring);
• brug - "handlinger" med personoplysninger udført af operatøren 7 med henblik på at træffe beslutninger eller udføre andre handlinger, der medfører juridiske konsekvenser i forbindelse med genstand for personoplysninger eller andre personer eller på nogen anden måde påvirker rettigheder og friheder i forbindelse med personoplysninger eller andre personer "
• distribution (herunder overførsel) - "handlinger med henblik på at overføre personoplysninger til en bestemt kreds af personer (overførsel af personoplysninger) eller bekendtskab med personoplysninger om et ubegrænset antal personer, herunder offentliggørelse af personoplysninger i medierne, placering i information og telekommunikation netværk eller adgang til personlige data på nogen anden måde ";
• Depersonalisering - "handlinger, hvor det ikke er muligt at bestemme identiteten af ​​personoplysninger til et bestemt emne for personoplysninger"
• blokering - "midlertidig suspension af indsamlingen, systematisering, ophobning, brug, formidling af personoplysninger, herunder overførsel heraf"
• destruktion af personoplysninger - "handlinger, hvorved det er umuligt at genoprette indholdet af personoplysninger i informationssystemet for personoplysninger eller som følge heraf de materielle luftfartsselskaber af personoplysninger destrueres".

Der skal lægges særlig vægt på sådanne behandlingsmetoder som blokering og destruktion af personoplysninger. Loven siger ganske godt om ødelæggelse - dette er den tilgang, der nu anbefales af indenlandske og udenlandske standarder. Med hensyn til blokering af personoplysninger blev denne metode til behandling i hjemmepraksis introduceret for første gang, og dens gennemførelse kan betydeligt komplicere organisationernes liv ved hjælp af tidligere udviklede informationssystemer og databaser, hvor en sådan operation ikke er tilvejebragt.

Principper og betingelser for behandling af personoplysninger

Lovens bestemmelser er primært rettet mod at forhindre ulovlig indsamling og brug af personoplysninger. Lovgiverens ønske har ført til fremkomsten af ​​en ny stilling til rekordpraksis:

Artikel 5 i lov nr. 5 i Den Russiske Føderations forbundslov "om personoplysninger" dateret den 27. juli. 2006 nr. 152-FZ

Personlige data skal opbevares i en form, der gør det muligt at bestemme emnet, ikke længere end forarbejdningsmålene kræver, og bør destrueres, når målene for personlig databehandling er nået, eller tabet af behovet for at opnå dem.

I dette tilfælde indeholder loven for første gang måske oplysninger og dokumenterer den maksimale og desuden betingede opbevaringsperiode - "når det gælder opnåelse af forarbejdningsmål". Organisationer skal oprette opbevaringsperioder for dokumenter, der indeholder personoplysninger, og det vil være nødvendigt at forudse på baggrund af begrundelsen for de valgte opbevaringsperioder. Dette er et ret kompliceret spørgsmål, der kan forårsage en masse kontroverser og problemer.

Derudover skal DOE-specialister være opmærksomme på følgende: Da målene for indsamling og behandling af personoplysninger, som krævet i loven, skal fastlægges inden arbejdet påbegyndes, er det nødvendigt at overveje deres formulering nøje. Ellers kan organisationen selv "erstatte" sig selv: målene vil blive opfyldt, og personoplysninger vil ikke blive ødelagt.

En af de mest ubehagelige for organisationer, der indsamler og behandler personoplysninger, er kravet i artikel 6 om behovet for at opnå samtykke fra emnet til behandling. Der kræves ikke samtykke i følgende tilfælde:

• på grundlag af føderal lovgivning
• for at opfylde kontrakten med genstand for personoplysninger
• til statistiske eller videnskabelige formål
• at beskytte livets og helbredets genstand for personoplysninger
• til levering af postforsendelser af postorganisationer
• i løbet af en journalists, en akademikeres faglige aktiviteter mv.
• data, der skal offentliggøres i overensstemmelse med føderale love
• for at beskytte grundlaget for andres forfatningsmæssige orden, moral, sundhed, rettigheder og legitime interesser for at sikre landets forsvar og statens sikkerhed.

Vi har allerede en række føderale love, der beskriver behandling af personoplysninger, f.eks. Ved opretholdelse af de unified state registries of taxpayers (EGRN) og juridiske enheder (USR). Den eneste betingelse for at anvende undtagelsen fra det generelle samtykke krav er at fremsætte følgende spørgsmål i den relevante lovgivning:

• mål,
• betingelser for opnåelse af personoplysninger
• kreds af emner, hvis personoplysninger er underlagt behandling,
• operatørens beføjelser indsamle dataene.

Det er endnu ikke klart, hvad der vil ske med de love, der indeholder normer i forbindelse med indsamling og behandling af personoplysninger, men opfylder ikke den angivne betingelse.

Den første til de problemer, der er forbundet med overholdelse af den nye lov, henledte forsikringsselskabernes opmærksomhed. Efter deres opfattelse kan loven om personoplysninger alvorligt hindre gennemførelsen af ​​loven om tvangsforsikring for tredjepartspligtsforsikring (MTPL) på grund af forbuddet mod overførsel til tredjemand af kundens personoplysninger, der er opnået ved indgåelsen af ​​MTPL-kontrakten uden hans samtykke. Som følge heraf vil forsikringsselskabet ikke være i stand til at få fuldstændig information om sine kunder fra en enkelt database (og vedligeholdelse af en sådan database er også tvivlsom). I denne situation øges risikoen ved forsikringsselskaber.

Allerede forsøger forsikringsselskaber at løse dette vigtige problem for dem ved at overveje følgende muligheder:

• Ændringer i OSAGOs lov og forsikringsselskabers forpligtelse til at udveksle data om forsikrede begivenheder.
• Definition af en del af personoplysninger som offentligt. De oplysninger, som en person angiver, når man laver en OSAGO-kontrakt, er ifølge forsikringsselskaberne offentlige. Dog kræver loven "On Personal Data" at opnå samtykke til indsamling af offentlige data.
• Udvalget for All-Russian Association of Insurers (ARIA) til bekæmpelse af forsikringssvig har allerede udarbejdet to regninger, som planlægges forelagt for statsdumaen i begyndelsen af ​​2007. Ifølge lederen af ​​udvalget, Yevgeny Potapov, en af ​​disse regninger vil ændre loven "Om organisationen af ​​forsikringsvirksomhed i Den Russiske Føderation." Det vil give forsikringsselskaber mulighed for at oprette automatiserede informationssystemer baseret på deres foreninger og foreninger, som vil indeholde data om forsikringsanmodninger og betalinger 8.

Artikel 6, stk. 6, om ret til at behandle personoplysninger til journalister, forskere og repræsentanter for andre kreative erhverv uden samtykke fra emnet er i tvivl. Det er ret realistisk (især i kommercielle strukturer) at indføre en fuldtidsstilling af "en repræsentant for det kreative erhverv" og "skrive til det" alle databaser, der indeholder personlige oplysninger.

For eksempel er det i England i en lignende lovbestemmelse endvidere fastsat, at formålet med databehandling i dette tilfælde er offentliggørelsen af ​​det relevante materiale at en sådan offentliggørelse skal være af almen interesse (herunder i udøvelsen af ​​retten til selvudtryk af en repræsentant for det kreative erhverv) 9.

Derudover er det interessant, hvordan vi bestemmer hvem der er journalist eller forfatter, og hvem der ikke er. Det er ikke en hemmelighed, at mange af de skriftlige brødre ikke har de relevante eksamensbeviser eller officielle id'er. Her kan den tilgang, der anvendes i USA, være nyttig for os: journalister anerkender alle dem, der skriver artikler til offentlig distribution, selvom de kun udgives på internettet.

I USA i januar 2007 begyndte forsøget med den tidligere senior George Bush Lewis "Scooter" Libby administration. Et hundrede pladser blev afsat til pressen i retssalen, og to af dem blev officielt modtaget af forfatterne af internetbøgerne.

American Society of Newspaper Editors, når de udarbejder en føderal lov om at give journalister ret til ikke at videregive fortrolige oplysninger under retssagen, foreslår, at denne lov finder anvendelse på alle uden undtagelse og dækker dem, der indsamler oplysninger til videre distribution. Og forfatterne af internetbøgerne, "bloggere", falder også under denne definition 10.

Lad os nu se, hvordan den nye lov indebærer at opnå samtykke fra emnet til behandling af hans personoplysninger.

Artikel 9, stk. 1, i Den Russiske Føderations forbundslov "om personoplysninger" dateret den 27. juli. 2006 nr. 152-FZ

Personoplysningerne bestemmer om udleveringen af ​​hans personoplysninger og indvilliger i deres behandling af egen vilje og i egen interesse. Samtykket til behandling af personoplysninger kan trækkes tilbage af personoplysninger.

Endvidere indeholder artikel 9, stk. 3, en ret ubehagelig betingelse for operatørerne. De skal enten akkumulere bevis for, at de data, de indsamler af dem, er taget fra offentligt tilgængelige kilder eller opnår samtykke fra genstanden for personlige data og derefter gemmer dette dokument, hvis "subjektet" beslutter at sagsøge operatøren for krænkelse af hans rettigheder.

Med offentligt tilgængelige data er det heller ikke så simpelt. Artikel 8, der definerer hvad der menes med offentligt tilgængelige kilder til personoplysninger (referencebøger, adressebøger mv.), Understreger, at personlige oplysninger kun kan medtages der med skriftligt samtykke fra emnet. Desuden kan "information om emnet for personoplysninger til enhver tid udelukkes fra offentligt tilgængelige kilder til personoplysninger efter anmodning fra emnet for personoplysninger eller af en domstol eller andre autoriserede offentlige organer."

På den anden side, hvis en organisation brugte offentligt tilgængelige kilder til personoplysninger, når de indsamlede oplysninger, skulle den dokumentere, hvor den modtog disse oplysninger, og sørg for, at "kilden" har det skriftlige samtykke, der kræves i henhold til loven.

Forbundslov af Den Russiske Føderation "På Personlige Data" dateret 27. juli. 2006 nr. 152-FZ

Artikel 12 i artikel 3. Grundlæggende vilkår, der anvendes i denne føderale lov

Almindeligt tilgængelige personoplysninger er personlige data, som et ubegrænset antal personer har adgang til med samtykke fra emnet for personoplysninger eller til hvem kravet om fortrolighed ikke finder anvendelse i overensstemmelse med føderale love.

Artikel 8, stk. 1. Almindeligt tilgængelige kilder til personoplysninger

For at give oplysningsstøtte kan der oprettes offentligt tilgængelige kilder til personoplysninger (herunder referencebøger, adressebøger). Offentlige tilgængelige kilder til personoplysninger med skriftligt samtykke fra emnet for personoplysninger kan indeholde hans efternavn, fornavn, mellemnavn, år og fødested, adresse, abonnentnummer, oplysninger om erhvervet og andre personoplysninger, der leveres af personoplysninger.

§ 3 i § 9. Godkendelse af genstand for personoplysninger om behandling af deres personoplysninger

Forpligtelsen til at fremlægge bevis for samtykke fra personoplysninger til behandling af hans personoplysninger og i tilfælde af behandling af offentligt tilgængelige personoplysninger, er operatøren forpligtet til at bevise, at de personoplysninger, der behandles, er offentligt tilgængelige.

Det viser sig, at for at beskytte sig selv, skal organisationerne anmode om officiel bekræftelse for hver borger.

Hvordan skal fagets skriftlige samtykke indleveres? Det viser sig, at en borgers underskrift under den generelle sætning "Jeg accepterer indsamling og behandling af mine personlige data", vil ikke være nok.

Artikel 4 i artikel 9 i Den Russiske Føderations forbundslov "om personoplysninger" dateret 27. juli. 2006 nr. 152-FZ

... det skriftlige samtykke fra genstanden til personoplysninger til behandling af deres personoplysninger bør omfatte:

1. efternavn, navn, patronym, adresse på emnet for personoplysninger, nummeret på hoveddokumentet, der beviser sin identitet, oplysninger om udstedelsesdatoen for det specificerede dokument og udstedelsesmyndigheden
2. navn (efternavn, fornavn, patronym) og adresse på den erhvervsdrivende, der opnår samtykke fra emnet for personoplysninger
3. Formålet med behandlingen af ​​personoplysninger
4. en liste over personoplysninger til behandling, hvis samtykke fra genstanden for personoplysninger er givet
5. listen over handlinger med personoplysninger, for hvilket der gives tilladelse, en generel beskrivelse af de metoder, som operatøren bruger til behandling af personoplysninger
6. den periode, hvor samtykket er gyldigt, samt proceduren for dens tilbagetrækning.

Det betyder, at før operatøren skal "fange" emnet med personoplysninger og forsøge at få sit samtykke, skal han udvikle en speciel form for dokumentet, som vil indeholde alle de nødvendige oplysninger.

Rettigheder for emnet for personoplysninger

For det første er emnet for personoplysninger berettiget til at modtage følgende oplysninger:

• oplysninger om operatøren,
• oplysninger om operatørens placering
• Oplysninger om operatørens personoplysninger vedrørende det relevante emne for personoplysninger,
• emnet har også ret til at gøre sig bekendt med hans personoplysninger, som operatøren har.

Fra operatøren kan emnet for personoplysninger kræve:

• afklare dine personlige data
• deres blokering eller ødelæggelse i tilfælde af, at personoplysninger er ufuldstændige, forældede, unøjagtige, ulovligt opnåede eller ikke nødvendige for det angivne formål med behandling.

Mange vanskeligheder for operatørorganisationer skaber lovens § 14, stk. 2, der kræver, at oplysninger om tilgængelighed af personoplysninger gives til operatøren i en tilgængelig form, og at de ikke indeholder oplysninger om andre emner af personoplysninger.

Sagen 11 "Durant vs. Financial Services Authority", der blev behandlet i Court of Appeal i England i december 2003, modtog et bredt svar. Retsafgørelsen mindskede væsentligt fortolkningen af ​​begrebet "personoplysninger". Retten anførte navnlig, at den eneste omtale af denne person i dokumentets tekst ikke er tilstrækkelig til at overveje det dokument, der indeholder personoplysninger. Retten bekræftede endvidere, at retten til adgang til deres personoplysninger ikke bør krænke tredjemands rettigheder, og at personoplysninger fra tredjeparter derfor bør fjernes fra de kopier af dokumenter, der leveres efter anmodning (med undtagelse af særlige tilfælde af omstændigheder).

I november 2004 nægtede regeringen arbejdstagerne i Storbritannien at få adgang til deres personoplysninger, uanset om deres arbejdsgiver holder dem i papir eller elektronisk form, hvis de opbevares i et system, der ikke klart strukturerer oplysningerne om hver person. Lagringssystemerne for papirfiler (med undtagelse af personlige filer) blev således de facto fjernet fra lovens handling om adgang til personlige oplysninger, da de er vanskelige at isolere oplysninger om en bestemt person.

For at få adgang til deres personlige data skal vores landsmænd:

• Ansøg personligt eller
• send anmodning, som skal indeholde:
  • nummeret på hoveddokumentet, der bekræfter identiteten af ​​emnet for personoplysninger eller hans juridiske repræsentant
  • Oplysninger om datoen for udstedelse af det angivne dokument og udstedelsesmyndigheden og
  • håndskrevet underskrift af emnet for personoplysninger eller hans juridiske repræsentant.

Denne anmodning kan sendes i elektronisk form og underskrevet med en digital signatur. Således giver loven formelt mulighed for at ansøge om deres personlige data via elektroniske kommunikationskanaler. Vi har endnu ikke personer, der har deres egne EDS, der overholder loven om EDS (i det overvældende flertal af tilfælde er EDS brugt i vores land i overensstemmelse med artikel 160 i civilloven, som indebærer en foreløbig aftale fra parterne).

Den mængde information, som et emne med personoplysninger kan anmode om, viser bekymring for vores borgere. Organisationer, der fører databasen med personoplysninger, anbefales at være særlig opmærksomme på artikel 14, stk. 4, i den nye lov for at tænke over og konsolidere proceduren for information i interne regler:

1. faktoren af ​​operatørens behandling af personoplysninger såvel som formålet med sådan behandling
2. om metoderne til behandling af personoplysninger, der anvendes af operatøren
3. om personer, der har adgang til personoplysninger, eller som kan få adgang til sådan adgang (for at kunne rapportere om, hvem og hvilke personoplysninger der blev leveret, er det nødvendigt at organisere arbejde med registrering af personoplysninger og kontrollere adgang til dem, ellers operatørorganisationen ret vanskeligt at opfylde dette krav);
4. liste over behandlede personoplysninger og kilder til deres kvittering
5. behandlingstidspunktet for personoplysninger, herunder dets opbevaringstid (der skal lægges særlig vægt på dette krav, da det faktisk forpligter operatøren til at fastsætte behandlings- og opbevaringstiderne, som kan variere afhængigt af formålet med personlig databehandling ved hjælp af interne reguleringsdokumenter)
6. Oplysninger om hvilke juridiske konsekvenser for genstand for personoplysninger kan medføre behandling af hans personoplysninger (for at opfylde dette krav bør organisationer på forhånd instruere deres advokater om at formulere begrundelser for alle mulige juridiske konsekvenser af personoplysninger)

Spørgsmålet om personlig databehandling "for at fremme varer, værker, tjenester på markedet gennem direkte kontakter med en potentiel forbruger via kommunikationsværktøjer samt for politisk kampagne" er afsat til en særlig artikel (artikel 15). Nu skal kommercielle og politiske organisationer, inden de sender reklame, opnå borgernes forudgående samtykke, og behandlingen af ​​PD "anerkendes udført uden forudgående samtykke fra genstanden for personoplysninger, hvis operatøren ikke godtgør at samtykke er opnået." For nogle kommercielle strukturer kan dette krav være meget ubelejligt!

Fra nu af "er det forbudt at træffe beslutninger på grundlag af udelukkende automatiseret behandling af personoplysninger, der medfører juridiske konsekvenser med hensyn til personoplysninger eller på anden måde påvirker hans rettigheder og legitime interesser" (artikel 16).

Denne bestemmelse er nødvendig og rettidig. Men vores lovgivere forvekslede to forskellige begreber: "automatisk" (det vil sige uden menneskelig deltagelse) og "automatiseret" (det vil sige med menneskelig deltagelse). Som følge heraf kan denne artikel i stedet for at pålægge yderligere begrænsninger for dem, og kun når informationssystemet træffer beslutninger uden menneskelig deltagelse (f.eks. Pålæggelse af bøde, forbud mod rejser uden for landet osv.) Kan fortolkes som at indføre restriktioner for alle former for personlig databehandling, da selv brugen af ​​en regnemaskine kan forstås som automatiseret behandling!

I den samme artikel i den nye lov hedder det, at operatøren vil kunne træffe beslutninger baseret kun på "automatiseret" behandling, hvis:

• få skriftligt samtykke fra det personoplysninger eller
• hvis disse regler er oprettet ved føderale love.

I nogle lovgivningsmæssige dokumenter er disse lovkrav allerede taget i betragtning. I eksemplerne på ansøgninger om udstedelse af en ny generation af pas er der således et særligt afsnit, hvori ansøgeren indvilliger i den "automatiserede" behandling af de data, der er angivet i ansøgningen. Det lyder som følger: "Jeg er enig i den automatiserede behandling, transmission og opbevaring af de data, der er angivet i ansøgningen med det formål at fremstille, behandle og kontrollere et pas i løbet af dens gyldighedsperiode" 12.

Operatøren skal også på forhånd give følgende oplysninger til borgeren:

• beslutningsafgørelsen på grundlag af udelukkende "automatiseret" behandling af hans personoplysninger og
• mulige juridiske konsekvenser af en sådan afgørelse
• proceduren for beskyttelse af personoplysninger om personoplysninger om hans rettigheder og berettigede interesser
• mulighed for at gøre indsigelse mod en sådan beslutning.

I tilfælde af en tvist er det operatøren, der skal bevise at han har overholdt alle lovens krav. Det betyder, at han bliver nødt til at indsamle og opbevare understøttende dokumenter omhyggeligt.

Operatøransvar

Operatørens forpligtelser i overensstemmelse med artikel 18 omfatter primært tilvejebringelse af personlige oplysninger på borgernes anmodning. Derudover skal operatøren "forklare personoplysninger om de juridiske konsekvenser af at nægte at udlevere sine personoplysninger", hvis denne pligt er oprettet ved føderal lovgivning.

Artikel 20 fastsætter meget strenge frister for, at operatørerne kan opfylde anmodninger fra emner af personoplysninger (de er meget hårdere, f.eks. Dem, der er fastsat i den nyligt udstedte lov om proceduren for overvejelser om indrømmelser af borgerne i Den Russiske Føderation):

• Datasikkerhed - inden for 10 arbejdsdage fra datoen for modtagelse af anmodningen
• motiveret afslag - inden for 7 arbejdsdage.

Operatøren vil have endnu flere spørgsmål, hvis det er nødvendigt at fjerne lovbrud inden for den frist, der er fastsat i artikel 21 i den nye lov. Datablokke skal udføres fra anmodningens tidspunkt eller fra tidspunktet for modtagelse af anmodningen og afskaffelse af overtrædelser - inden for 3 arbejdsdage.

I nogle tilfælde er operatøren forpligtet til at ødelægge personoplysninger inden for 3 arbejdsdage, nemlig:

• i tilfælde af manglende eliminering af overtrædelserne
• i tilfælde af at opnå målet om behandling af personoplysninger,
• i tilfælde af at genstanden for personoplysningerne ophæver hans samtykke til behandling af hans personoplysninger.

Både blokering og destruktion af personoplysninger kan være vanskeligt (og undertiden umuligt) at implementere i de nuværende informationssystemer og databaser, der tidligere ikke gav mulighed for en sådan mulighed.

Det vil være endnu sværere for operatøren, hvis han modtog personoplysninger ikke fra en borger, men fra en tredjepart.

Artikel 3 i artikel 18 i Den Russiske Føderations forbundslov "om personoplysninger" dateret den 27. juli. 2006 nr. 152-FZ

Hvis personoplysninger ikke blev modtaget fra det personoplysninger, medmindre personoplysningerne blev givet til operatøren i henhold til føderal lovgivning, eller hvis personoplysninger er offentligt tilgængelige, skal operatøren fremlægge følgende oplysninger til det personoplysninger, der skal behandles inden behandlingen af ​​sådanne personoplysninger:

1. navn (efternavn, fornavn, mellemnavn) og adresse på operatøren eller hans repræsentant
2. Formålet med behandlingen af ​​personoplysninger og dets retsgrundlag
3. Tiltænkte brugere af personoplysninger
4. rettighederne til emnet for personoplysninger, der er oprettet ved denne føderale lov.

Bag disse ord er det mere tidskrævende arbejde. For eksempel kan spørgsmålet opstå: Hvordan skal disse oplysninger gives til emnet? Er det muligt at sende det via post, og vil oplysningerne blive betragtet som forudsat, hvis emnet ikke har modtaget det tilsvarende brev?

Operatørens forpligtelse i henhold til artikel 19 skal også sikre, at personoplysningerne sikres under behandlingen. For at undgå problemer skal operatørorganisationen udvikle og konsolidere i alle de lovgivningsmæssige dokumenter alle de organisatoriske og tekniske informationssikkerhedsforanstaltninger, som den er villig til at tage for at beskytte de personlige data i sine informationssystemer.

Statsregistrering af databehandlingssystemer

Loven bestemmer, at alle erhvervsdrivende, der foretager behandling af personoplysninger, skal underrette den bemyndigede instans på forhånd (artikel 22), som fører register over operatører i et særligt register. Det bemyndigede organ er ifølge artikel 23 Ministeriet for Informationsteknologi og Kommunikation i Den Russiske Føderation, som i øjeblikket udfører "kontrol- og overvågningsfunktioner inden for informationsteknologi og kommunikation". Meddelelsen skal uddybe i detaljer, hvad der er planlagt at gøre med personoplysninger. Eventuelle ændringer i forbindelse med behandling af personoplysninger skal også indberettes til det autoriserede organ.

Det er tilladt at behandle personoplysninger uden at underrette den bemyndigede instans i følgende tilfælde:

• i nærværelse af arbejdsforhold
• når indgåelse af en kontrakt, hvortil genstand for personoplysninger er parti
• hvis personlige data tilhører medlemmer (deltagere) i en offentlig sammenslutning eller religiøs organisation og behandles af den relevante offentlige sammenslutning eller religiøse organisation
• hvis personoplysninger er offentligt tilgængelige
• hvis personoplysninger kun indeholder navne, efternavne og patronymic af fagene;
• ved registrering af optagelser
• hvis personoplysninger indgår i informationssystemer, der i overensstemmelse med føderale love har status som føderale automatiserede informationssystemer samt statlige informationssystemer til personlige data, der er oprettet for at beskytte statens og den offentlige ordens sikkerhed

Afslutningsvis vil vi give en række anbefalinger til operatørerne. Det vil ikke være meget svært at opfylde kravene i loven om personoplysninger, hvis dette arbejde er startet nu uden at vente på de første klager og klager. Du kan starte med følgende indlysende foranstaltninger:

• Det anbefales at udnævne en ansvarlig medarbejder til at gennemgå alle spørgsmål vedrørende gennemførelsen af ​​denne lov i organisationen, og for store virksomheder kan oprettelsen af ​​en særlig kommission være berettiget.
• For alle informationsressourcer i organisationen, der indeholder personoplysninger, skal du:
  • fastlægge deres status (på grundlag af hvilken de blev oprettet: i overensstemmelse med lovgivningen for udførelse af kontrakten på eget initiativ mv.)
  • præcisere og registrere sammensætningen af ​​personoplysninger og deres modtagerkilder (fra en borger, fra offentlige kilder, fra tredjepart mv.)
  • etablere lagringsperiode og behandlingstid for data i hver informationsressource
  • bestemme behandlingsmetoder
  • identificere personer med adgang til data
  • formulere juridiske konsekvenser
  • fastlægge proceduren for at imødekomme anmodninger, mulige svar og handlinger, vurdere realiteten i overensstemmelse med de etablerede responstidstider.

I denne artikel er der foretaget en analyse af den nye lov om beskyttelse af personoplysninger ud fra specialister inden for journalhåndtering, som det vil ødelægge en masse blod. Dens effektivitet vil blive vist af praksis, men for nu som "personoplysninger" vurderer jeg listen over offentlige myndigheder, som jeg kunne sende en anmodning om at give mig i overensstemmelse med lovens krav relevante oplysninger. Nu har jeg ret!

1 Artikel 25 i kapitel IV i Europa-Parlamentets og Rådets direktiv 95/46 / EF af 24. oktober 1995 om beskyttelse af enkeltpersoners rettigheder i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

2 Det er interessant, at selv USA ikke overholder strenge europæiske krav, og amerikanske virksomheder er tvunget til at bruge de såkaldte "paraply" aftaler.

3 Personoplysninger er en person, hvis personoplysninger behandles.

4 "personoplysninger arkiveringssystem"

5 Listen over de føderale forvaltningsmyndigheder og organisationer, der beskæftiger sig med opbevaring af dokumenter fra Den Russiske Føderations Arkivfond, der er i føderalt ejerskab, omfatter 18 organisationer: Ruslands ministerium for udenrigsanliggender, Ruslands udenrigsministerium, Ruslands ministerium, SVR i Rusland, Ruslands FSB, Roskartografiya, Russisk Akademi for Landbrugsvidenskab, Russiske Akademi for Medicinsk Videnskab, Russisk Akademi for Uddannelse, Russisk Kunstakademi, Russisk Akademi for Arkitektur og Konstruktion, Stat Stiftelsen: All-Russian Research Institute for Hydrometeorological Information - World Data Center, Federal State Institution "Statens fond for fjernsyn og radioprogrammer", Federal State Unitary Scientific-Production Enterprise "Den Russiske Føderale Geologiske Fund", Federal State Unitary Enterprise "Russisk Videnskabeligt Teknisk Center oplysninger om standardisering, metrologi og overensstemmelsesvurdering ".

6 5 U.S. C. § 552a (k) (1) "Dokumenter til enkeltpersoner - Særlige undtagelser - Arkivdokumenter".

7 Operatør - en statslig instans, et kommunalt organ, en juridisk eller fysisk person, organiserer og (eller) udfører behandling af personoplysninger samt definerer formålet med og indholdet af personoplysninger.

9 Databeskyttelsesloven 1998, artikel 32.

11 Durant vs Financial Services Authority (FSA).

12 Bilag № 1 til forordningerne om proceduren for registrering og udstedelse af pas i Den Russiske Føderation borger, diplomatpas og officielt pas er det vigtigste dokument, der bekræfter Russiske Føderation borger i grænserne for Den Russiske Føderation, der indeholder elektroniske databærere (app. Rækkefølgen af ​​Ministeriet for Indre Anliggender, Udenrigsministeriet og Den Russiske Føderations Federal Security Service dateret 6. oktober 2006 nr. 785/14133/461).