Ποιοι είναι οι τρόποι επεξεργασίας των προσωπικών δεδομένων;

Στον κώδικα εργασίας της Ρωσικής Ομοσπονδίας υπάρχει ένας όρος όπως "προσωπική πληροφόρηση ενός εργαζομένου". Τα δεδομένα σχετικά με το λειτουργικό ποσό πρέπει να παρέχονται στον εργοδότη.

Μετά την εξέταση των προσωπικών πληροφοριών, ο εργοδότης κάνει μια ετυμηγορία σχετικά με τη λήψη ενός ατόμου στην εταιρεία.

Οι πληροφορίες που παρουσιάζει ένα άτομο για τον εαυτό του πρέπει να προστατεύονται. Διανέμεται απαγορεύεται.

Αγαπητοί αναγνώστες! Τα άρθρα μας λένε για τυπικούς τρόπους επίλυσης νομικών ζητημάτων, αλλά κάθε περίπτωση είναι μοναδική.

Αν θέλετε να μάθετε πώς να λύσετε ακριβώς το πρόβλημά σας - τηλεφωνήστε, είναι γρήγορο και δωρεάν!

Σύστημα

Οι προσωπικές πληροφορίες σχετικά με τους υπαλλήλους θα πρέπει να εξελιχθούν.

Ο εργοδότης εφαρμόζει τις ακόλουθες απαιτήσεις στα προσωπικά δεδομένα των εργαζομένων:

1. Η διαδικασία επεξεργασίας προσωπικών πληροφοριών σχετικά με έναν εργαζόμενο πραγματοποιείται προκειμένου να διασφαλιστεί η συμμόρφωση με τους νόμους και τις νομικές πράξεις. Χάρη στην επεξεργασία δεδομένων, μπορείτε να χρησιμοποιήσετε ένα άτομο, να του δώσετε προσωπική ασφάλεια, να παρακολουθήσετε το έργο που εκτελεί.
2. Ο εργοδότης λαμβάνει υπόψη το πεδίο εφαρμογής καθώς και το περιεχόμενο των προσωπικών πληροφοριών σχετικά με την εργασία που βρίσκεται υπό επεξεργασία. Όλοι οι εργοδότες μελετούν και ακολουθούν πτυχές του Συντάγματος, άλλους ομοσπονδιακούς νόμους.
3. Πληροφορίες σχετικά με την ομάδα εργασίας πρέπει να λαμβάνονται απευθείας από τους ίδιους τους υπαλλήλους. Μπορείτε να λάβετε πληροφορίες σχετικά με τον εργαζόμενο από ένα τρίτο στόμα, αλλά μόνο με τη γραπτή συγκατάθεση του ατόμου. Ο εργοδότης ενημερώνει τους υπαλλήλους για τους στόχους και τις πηγές τους, από τις οποίες θα προκύψουν προσωπικές πληροφορίες. Ο εργοδότης προειδοποιεί για τις συνέπειες σε περιπτώσεις άρνησης παροχής προσωπικών πληροφοριών από τον εργαζόμενο.
4. Το άτομο που παρέχει εργασία στους υπαλλήλους του δεν έχει δικαίωμα ενημέρωσης για κάθε είδους καταδίκη πολιτικού, θρησκευτικού χαρακτήρα, καθώς και για την οικογενειακή ζωή ενός εργαζομένου. Η προσωπική ζωή ενός υπαλλήλου μπορεί να δηλωθεί μόνο με τη συγκατάθεσή του. Η συμφωνία πρέπει να γίνει γραπτώς.
5. Ο εργοδότης δεν πρέπει να χρησιμοποιεί στην επεξεργασία πληροφοριών σχετικά με την παρουσία εργαζομένων σε ενώσεις μελών, συνδικάτα. Αλλά υπάρχουν καταστάσεις που προβλέπονται από τον ομοσπονδιακό νόμο.
6. Όλες οι προσωπικές πληροφορίες πρέπει να προστατεύονται και να αποκρύπτονται από τον δημόσιο έλεγχο και χρήση. Η προστασία δεδομένων υπόκειται στις προϋποθέσεις του ομοσπονδιακού νόμου.
7. Οι εργαζόμενοι μελετούν έγγραφα που ανήκουν στο ίδρυμα. Θα πρέπει να αποκαλύπτουν τη σημασία και τη σειρά που αφορούν τις διαδικασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων.
8. Οι εργαζόμενοι πρέπει να αποδέχονται την προστασία των προσωπικών τους πληροφοριών.
9. Οι ίδιοι οι εργοδότες, καθώς και οι εργαζόμενοι, μπορούν να συνεργαστούν για να αναπτύξουν τρόπους για την προστασία των προσωπικών πληροφοριών των εργαζομένων.

Κατά την ανακοίνωση πληροφοριών σχετικά με τους υπαλλήλους, ο διευθυντής της επιχείρησης πρέπει να ακολουθεί τους ακόλουθους κανόνες:

• Ένα τρίτο μέρος δεν χρειάζεται να γνωρίζει τα προσωπικά δεδομένα του κάθε υπαλλήλου. Τα δεδομένα μπορούν να παρέχονται μόνο σε περιπτώσεις όπου οι εργαζόμενοι έχουν δώσει γραπτή συγκατάθεσή τους για τη χρήση των προσωπικών τους πληροφοριών. Αλλά αν υπάρχει απειλή για την επιβίωση, την υγεία της ομάδας εργασίας, τότε τα προσωπικά δεδομένα μπορούν να παρέχονται σε άλλους ανθρώπους χωρίς γραπτή γραπτή συγκατάθεση.
• ο εργοδότης δεν πρέπει να δημοσιεύει δεδομένα σχετικά με την ομάδα που εργάζεται σε αυτό για εμπορικούς σκοπούς.
• τα άτομα που λαμβάνουν πληροφορίες σχετικά με τους υπαλλήλους πρέπει να τα επεξεργάζονται εντός του πλαισίου εμπιστευτικότητας.
• η διαβίβαση πληροφοριών σχετικά με ένα πρόσωπο πραγματοποιείται μόνο σε έναν οργανισμό μέσω ειδικών εσωτερικών πράξεων του οργάνου.
• οι πληροφορίες για τον εργαζόμενο έχουν πρόσβαση μόνο σε ειδικά εξουσιοδοτημένα άτομα.
• δεν υπάρχει ανάγκη να ζητούνται πληροφορίες σχετικά με την υγεία των εργαζομένων. Ένα αίτημα μπορεί να γίνει μόνο σε περιπτώσεις που τίθεται το ερώτημα κατά πόσον οι εργαζόμενοι μπορούν να ασκήσουν τις εργασιακές τους λειτουργίες.
• τα προσωπικά δεδομένα σχετικά με την κατάσταση εργασίας μπορούν να συλλέγονται λαμβάνοντας υπόψη τα δεδομένα του Κώδικα.

Ένα εργατικό δυναμικό έχει το δικαίωμα:

• εξοικείωση με τα προσωπικά σας δεδομένα και την επεξεργασία τους.
• απεριόριστη πρόσβαση σε προσωπικές πληροφορίες. Ένας εργαζόμενος μπορεί να εκδίδει αντίγραφα των πληροφοριών. Υπάρχουν όμως περιπτώσεις κατά τις οποίες δεν αποκαλύπτονται προσωπικές πληροφορίες. Αυτές οι καταστάσεις περιγράφονται στον ομοσπονδιακό νόμο.
• ένας ιατρικός επαγγελματίας μπορεί να δει τα προσωπικά δεδομένα των εργαζομένων.
• τη δυνατότητα διόρθωσης ή συμπλήρωσης υποκειμένων προσωπικών δεδομένων.

Διακρίνονται τα ακόλουθα είδη επεξεργασίας δεδομένων προσωπικού χαρακτήρα:

1. Επεξεργασία πληροφοριών με χρήση τεχνολογίας υπολογιστών.
2. Δεν είναι αυτοματοποιημένη επεξεργασία.
3. Πληροφοριακό σύστημα επεξεργασίας των παρεχόμενων δεδομένων.

Αυτοματοποιημένη

Αυτή η επεξεργασία γίνεται χρησιμοποιώντας μια ειδική τεχνολογία υπολογιστών. Οι πιο συνηθισμένες υπολογιστικές μηχανές μπορούν να είναι:

• ηλεκτρονικό υπολογιστή.
• βοηθητικές συσκευές ·
• περιφερειακές συσκευές ·
• κατ 'ανάγκη εγκατεστημένο λογισμικό.

Μη αυτοματοποιημένη

Η πιο λεπτομερής περιγραφή της μη αυτοματοποιημένης επεξεργασίας είναι γραμμένη με κυβερνητικό διάταγμα 687.

Η διανομή, η μελέτη και η απομάκρυνση των πληροφοριών σχετικά με την κατάσταση λειτουργίας πρέπει να πραγματοποιείται με ένα μέρος ενός ατόμου και όχι με την τεχνολογία υπολογιστών.

Ενημερωτικό

Χάρη στο σύστημα πληροφοριών, επεξεργάζονται ειδικές κατηγορίες προσωπικών πληροφοριών σχετικά με το λειτουργικό ενδεχόμενο. Αυτό το σύστημα επεξεργάζεται στοιχεία που επηρεάζουν την ιδιότητα μέλους μιας συγκεκριμένης φυλής και του φύλου, της εθνικότητας, των πολιτικών απόψεων, των φιλοσοφικών προοπτικών.

Χάρη στο σύστημα πληροφοριών μπορεί να γίνει επεξεργασία:

• βιομετρικά προσωπικά δεδομένα. Ειδικά αν υπάρχει ένα χαρακτηριστικό των φυσιολογικών, βιολογικών δεδομένων. Χάρη στα χαρακτηριστικά που έχουν αποκτηθεί, είναι δυνατόν να εκτιμηθεί η προσωπικότητα των εργαζομένων.
• κοινά προσωπικά δεδομένα.
• άλλα πληροφοριακά δεδομένα. Ένα παράδειγμα θα είναι οι θρησκευτικές, οι εθνικές ιδέες, οι φιλοσοφικές προοπτικές, οι στιγμές της οικειότητας του εργαζόμενου συνόλου και πολλά άλλα σημαντικά προσωπικά χαρακτηριστικά μέχρι την κατάσταση της υγείας.

Έτσι, οι προσωπικές πληροφορίες για κάθε εργαζόμενο περιέχονται σε όλους τους εργοδότες. Ο διευθυντής σε καμία περίπτωση δεν έχει το δικαίωμα να διαδώσει τα διαθέσιμα δεδομένα για το άτομο.

Οι πληροφορίες που λαμβάνονται σχετικά με το λειτουργικό ενδεχόμενο μπορούν να υποβληθούν σε επεξεργασία με διάφορους τρόπους: με τη βοήθεια της τεχνολογίας των υπολογιστών, με τη βοήθεια προσωπικών δυνάμεων, χάρη στο σύστημα αξιολόγησης των πληροφοριών.

Σε όλες τις περιπτώσεις, τα προσωπικά δεδομένα κάθε εργαζομένου εξετάζονται διεξοδικά.

Τρόποι επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Με διάταξη του αστικού κώδικα της περιφέρειας Amur

της 26ης Δεκεμβρίου 2012, αρ. 626

σε σχέση με την επεξεργασία προσωπικών δεδομένων

1. ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

1.1. Το έγγραφο αυτό (στο εξής - η πολιτική) είναι μια συστηματική υπόψη τους στόχους, τις αρχές και τις μεθόδους των συνθηκών επεξεργασίας προσωπικών δεδομένων, πληροφορίες σχετικά με τις τρέχουσες απαιτήσεις για την επεξεργασία της παραγγελίας και την προστασία των προσωπικών δεδομένων στο CCU της πόλης Amur Περιφέρεια Απασχόλησης κέντρο Δωρεάν (στο εξής - το Κέντρο για την Απασχόληση).

1.2. Η πολιτική βασίζεται στις απαιτήσεις του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας «για τα προσωπικά δεδομένα», άλλες ρυθμιστικές νομικές πράξεις της Ρωσικής Ομοσπονδίας που θεσπίζουν τη διαδικασία επεξεργασίας και προστασίας των προσωπικών δεδομένων. Η πολιτική είναι δημόσιο έγγραφο.

1.3. Σύμφωνα με τον ομοσπονδιακό νόμο της 27ης Ιουλίου 2006 αριθ. 152-ΦЗ "για τα προσωπικά δεδομένα", το Κέντρο Απασχόλησης είναι ο φορέας παροχής προσωπικών δεδομένων (εφεξής "PD").

2. ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

2.1. Οι κύριοι όροι που χρησιμοποιούνται στην Πολιτική:

· Προσωπικά δεδομένα - κάθε πληροφορία που αφορά συγκεκριμένο ή αναγνωρίσιμο βάσει των πληροφοριών αυτών σε ένα άτομο (υποκείμενο των δεδομένων προσωπικού χαρακτήρα), συμπεριλαμβανομένου του ονόματος του, το όνομα, το έτος, μήνα, ημερομηνία και τόπος γέννησης, διεύθυνση, οικογενειακή, κοινωνική, ιδιοκτησίας θέση, εκπαίδευση, επάγγελμα, εισόδημα, άλλες πληροφορίες ·

· Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα - δράσεις (εργασίες) με τα προσωπικά δεδομένα, συμπεριλαμβανομένης της συλλογής, συστηματοποίηση, συσσώρευση, αποθήκευση, διευκρινίσεις (ενημέρωση, αλλαγή), τη χρήση, τη διανομή (συμπεριλαμβανομένης της μεταφοράς), αποπροσωποποίηση, το κλείδωμα, η καταστροφή των προσωπικών δεδομένων?

2.2. Στο πλαίσιο αυτής της Πολιτικής, τα επεξεργασμένα δεδομένα προσωπικού χαρακτήρα είναι:

· Προσωπικά δεδομένα που παρέχονται από αποδέκτες δημόσιων υπηρεσιών που απευθύνονται στο Κέντρο Απασχόλησης.

· Προσωπικά δεδομένα των υπαλλήλων του Κέντρου Απασχόλησης ή των υποψηφίων για κενές θέσεις ·

3. ΣΤΟΧΟΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

3.1. Οι στόχοι της επεξεργασίας PD στο Κέντρο Απασχόλησης είναι οι εξής:

· Εξασφάλιση της εφαρμογής των συνταγματικών δικαιωμάτων των πολιτών της Ρωσικής Ομοσπονδίας στην εργασία και της κοινωνικής προστασίας κατά της ανεργίας μέσω της παροχής δημόσιων υπηρεσιών στον τομέα της προώθησης της απασχόλησης.

· Εξασφάλιση της εφαρμογής των συνταγματικών δικαιωμάτων των πολιτών για προσφυγή.

· Την επίτευξη αντικειμενικής εκτίμησης της κατάστασης της αγοράς εργασίας στη συστατική οντότητα της Ρωσικής Ομοσπονδίας (σε σχέση με τους αποδέκτες των δημόσιων υπηρεσιών απασχόλησης, τους άνεργους πολίτες, τους πολίτες που υποβάλλουν αίτηση στο Κέντρο Απασχόλησης με προτάσεις, δηλώσεις, καταγγελίες).

· Διασφάλιση της συμμόρφωσης με το Σύνταγμα, τους νόμους και άλλους κανονισμούς, για τη διευκόλυνση των εργαζομένων στην απασχόληση, την κατάρτιση και την προώθηση και την ανάπτυξη της σταδιοδρομίας, για τη διασφάλιση της προσωπικής ασφάλειας των εργαζομένων, την παρακολούθηση της ποσότητας και της ποιότητας της εργασίας, για να εξασφαλιστεί η ασφάλεια της περιουσίας του, λαμβάνοντας υπόψη τις επιδόσεις των επίσημων αποτελεσμάτων τα καθήκοντα και την ασφάλεια της ιδιοκτησίας του Κέντρου Απασχόλησης.

· Την άσκηση των καθηκόντων ενός φορολογικού παράγοντα στην παροχή τακτικών φορολογικών εκπτώσεων (όσον αφορά τα μέλη της οικογένειας των υπαλλήλων του Κέντρου Απασχόλησης).

· Εκτέλεση υποχρεώσεων βάσει συμβάσεων αστικού δικαίου (σε σχέση με πρόσωπα που εκτελούν εργασία, παρέχοντας υπηρεσίες στο πλαίσιο αστικού δικαίου συμβάσεις με το Κέντρο Απασχόλησης).

4. ΑΡΧΕΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

4.1. Εφαρμογή της επεξεργασίας PD σε νόμιμη και δίκαιη βάση.

4.2. Περιορισμός της επεξεργασίας PD στην επίτευξη των συγκεκριμένων, προκαθορισμένων και νόμιμων στόχων που αναφέρονται στην ενότητα 2 του παρόντος εγγράφου. Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων που είναι ασυμβίβαστα με τους σκοπούς συλλογής προσωπικών δεδομένων.

4.3. Αποτροπή του συνδυασμού βάσεων δεδομένων που περιέχουν PD, τα οποία υποβάλλονται σε επεξεργασία για σκοπούς που δεν είναι συμβατοί μεταξύ τους.

4.4. Επεξεργασία μόνο των PDS που πληρούν τους σκοπούς της επεξεργασίας τους.

4.5. Συμμόρφωση με το περιεχόμενο και τον όγκο του PD που υποβάλλονται σε επεξεργασία με τους αναφερόμενους σκοπούς επεξεργασίας.

4.6. Το απαράδεκτο της πλεονάζουσας απόλυσης που έχει υποστεί επεξεργασία στο PD σε σχέση με τους καθορισμένους στόχους της επεξεργασίας τους.

4.7. Εξασφάλιση της ακρίβειας του PD, της επάρκειας τους και, εάν είναι απαραίτητο, και της συνάφειας σε σχέση με τους σκοπούς της επεξεργασίας PD.

4.8. Βεβαιωθείτε ότι λαμβάνονται τα απαραίτητα μέτρα για την κατάργηση ή τελειοποίηση ελλιπών ή ανακριβών δεδομένων.

4.9. Εφαρμογή της αποθήκευσης PD σε μια μορφή που επιτρέπει στο αντικείμενο να καθορίσει την PD, για όχι περισσότερο από ό, τι απαιτείται από το στόχο της θεραπείας PD, αν η διάρκεια ζωής του ΠΔ δεν είναι εγκατεστημένος από τον ομοσπονδιακό νόμο, συνθήκες στις οποίες, ο δικαιούχος ή ο εγγυητής βάσει της οποίας αποτελεί το αντικείμενο της PD. Οι PD που πρόκειται να υποστούν επεξεργασία υποβάλλονται σε καταστροφή ή αποπροσωποποίηση κατά την επίτευξη των στόχων επεξεργασίας ή σε περίπτωση απώλειας της ανάγκης επίτευξης των στόχων αυτών, εκτός εάν προβλέπεται διαφορετικά από τον ομοσπονδιακό νόμο.

5. ΜΕΘΟΔΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

5.1. Το κέντρο απασχόλησης επεξεργάζεται την PD με τους ακόλουθους τρόπους:

· Μη αυτοματοποιημένη επεξεργασία PD (σε χαρτί).

· Αυτοματοποιημένη επεξεργασία (στο ISPDn με και χωρίς τη χρήση εξοπλισμού αυτοματισμού), συμπεριλαμβανομένων: με και χωρίς μετάδοση μέσω του τοπικού δικτύου του Κέντρου Απασχόλησης, με και χωρίς μετάδοση μέσω του Διαδικτύου.

· Μικτή επεξεργασία PD.

5.2. Το κέντρο απασχόλησης μπορεί ανεξάρτητα να επιλέξει τις μεθόδους επεξεργασίας PD ανάλογα με τους σκοπούς αυτής της επεξεργασίας και τις δικές του υλικές και τεχνικές δυνατότητες.

6. ΟΡΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

6.1. Η επεξεργασία PD γίνεται σύμφωνα με τις αρχές και τους κανόνες που προβλέπονται από τον ομοσπονδιακό νόμο «για τα προσωπικά δεδομένα».

6.2. Η επεξεργασία PD επιτρέπεται στις περιπτώσεις που προβλέπονται από τον ομοσπονδιακό νόμο "για τα προσωπικά δεδομένα".

6.3. Κέντρο Απασχόλησης μπορεί να αναθέσει την επεξεργασία του ΠΔ σε άλλο πρόσωπο με τη συγκατάθεση του υποκειμένου των PD, εκτός αν προβλέπεται διαφορετικά από τον ομοσπονδιακό νόμο, με βάση το συναφθεί με αυτό το άτομο η σύμβαση, συμπεριλαμβανομένης της κατάστασης ή δημοτικές σύμβαση, ή με την υιοθέτηση ενός κράτους ή δημοτική αρχή του νόμου (στο εξής - χειριστή προκειμένου ).

6.4. Εάν το Κέντρο Απασχόλησης αναθέσει την επεξεργασία ενός PD σε άλλο πρόσωπο, η ευθύνη έναντι του PD για τις ενέργειες του εν λόγω ατόμου βαρύνει το Κέντρο Απασχόλησης. Το πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Κέντρου Απασχόλησης είναι υπεύθυνο στο Κέντρο Απασχόλησης.

7. ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

7.1. Το κέντρο απασχόλησης και άλλα πρόσωπα που έχουν αποκτήσει πρόσβαση στο Π.Δ. είναι υποχρεωμένα να μην αποκαλύπτουν σε τρίτους και να μην διανέμουν το ΠΔ χωρίς τη συγκατάθεση του υποκείμενου PD, εκτός εάν προβλέπεται διαφορετικά από τον ομοσπονδιακό νόμο.

8. ΣΥΜΦΩΝΙΑ ΑΝΤΙΚΕΙΜΕΝΟΥ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΟΥ

8.1. Το υποκείμενο PD λαμβάνει απόφαση σχετικά με την παροχή των προσωπικών του δεδομένων και συμφωνεί με την ελεύθερη επεξεργασία του, με δική του βούληση και προς το συμφέρον του.

8.2. Η συγκατάθεση για την επεξεργασία του PD πρέπει να είναι ειδική, ενημερωμένη και συνειδητή.

8.2. Η συγκατάθεση για την επεξεργασία PD μπορεί να δοθεί από τον υποψήφιο του PD ή από τον αντιπρόσωπό του σε οποιαδήποτε μορφή που επιτρέπει να επιβεβαιωθεί το γεγονός της παραλαβής του, εκτός αν ορίζεται διαφορετικά από τον ομοσπονδιακό νόμο.

8.3. Σε περίπτωση λήψης συγκατάθεσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εκπρόσωπο του αντικειμένου δεδομένων προσωπικού χαρακτήρα, η αρχή αυτού του αντιπροσώπου για να δώσει συναίνεση για λογαριασμό του αντικειμένου δεδομένων προσωπικού χαρακτήρα ελέγχεται από το Κέντρο Απασχόλησης.

8.4. Η συγκατάθεση για επεξεργασία PD μπορεί να ανακληθεί από το υποκείμενο PD. Σε περίπτωση απόσυρσης προϋποθέτει τη συναίνεση ΠΔ για την επεξεργασία του Κέντρου Απασχόλησης του Π.Δ. έχει το δικαίωμα να συνεχίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υποκειμένου των PD για τους λόγους που αναφέρονται στις παραγράφους 2 έως 11 Μέρος 1 του άρθρου 6, της παραγράφου 2 του άρθρου 10 και της παραγράφου 2 του άρθρου 11 του ομοσπονδιακού νόμου «Περί Προσωπικών Δεδομένων ".

8.5. Στις περιπτώσεις που προβλέπονται από τον ομοσπονδιακό νόμο, η μεταποίηση PD γίνεται μόνο με τη γραπτή συγκατάθεση του υποκείμενου PD. Η γραπτή συγκατάθεση αναγνωρίζεται ως ισοδύναμη με ηλεκτρονικό έγγραφο που υπογράφεται από τον ηλεκτρονικό νόμο που υπογράφεται σύμφωνα με τον ομοσπονδιακό νόμο.

8.6. Τα προσωπικά δεδομένα μπορούν να ληφθούν από το Κέντρο Απασχόλησης από πρόσωπο που δεν αποτελεί αντικείμενο προσωπικών δεδομένων, υπό την προϋπόθεση ότι το Κέντρο Απασχόλησης επιβεβαιώνει την ύπαρξη των λόγων που αναφέρονται στις παράγραφοι 2 έως 11 του άρθρου 6, 2 του άρθρου 10 και 2 του άρθρου 11 του ομοσπονδιακού νόμου " ".

9. ΕΦΑΡΜΟΓΗ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ΤΩΝ ΘΕΜΑΤΩΝ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

9.1. Κατά την επεξεργασία ενός PD, το Κέντρο Απασχόλησης παρέχει τις απαραίτητες προϋποθέσεις ώστε το PD να ασκήσει ελεύθερα τα δικαιώματά του.

9.2. Το υποκείμενο PD έχει το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα.

9.3. Ένα αντικείμενο PDP έχει το δικαίωμα να λαμβάνει πληροφορίες σχετικά με την επεξεργασία των προσωπικών του δεδομένων, το οποίο περιέχει: επιβεβαίωση του γεγονότος της επεξεργασίας PD από το Κέντρο Απασχόλησης, τους νομικούς λόγους και τους σκοπούς της επεξεργασίας PD · τους στόχους και τις μεθόδους επεξεργασίας PD που εφαρμόζει το Κέντρο Απασχόλησης · το όνομα και τον τόπο του Κέντρου Απασχόλησης, πληροφορίες για άτομα (εκτός από τους υπαλλήλους του Κέντρου Απασχόλησης) που έχουν πρόσβαση σε προσωπικά δεδομένα ή που μπορούν να αποκαλύψουν προσωπικά δεδομένα βάσει συμφωνίας με το Κέντρο Απασχόλησης ή βάσει ομοσπονδιακού νόμου. PD που υποβάλλονται σε επεξεργασία από το σχετικό υποκείμενο PD, την πηγή απόδειξής τους, εκτός εάν προβλέπεται διαφορετική διαδικασία υποβολής αυτών των δεδομένων από την ομοσπονδιακή νομοθεσία. PD χρόνος επεξεργασίας, συμπεριλαμβανομένου του χρόνου αποθήκευσης. η διαδικασία για την άσκηση από το θέμα της PDN των δικαιωμάτων που προβλέπονται από τον ομοσπονδιακό νόμο "για τα προσωπικά δεδομένα" πληροφορίες σχετικά με την ολοκλήρωση ή τη σκοπούμενη διασυνοριακή μεταφορά δεδομένων · το ονοματεπώνυμο, το ονοματεπώνυμο, την επωνυμία και τη διεύθυνση του προσώπου που επεξεργάζεται την PDN για λογαριασμό του Κέντρου Απασχόλησης, εάν η μεταβίβαση ανατίθεται ή πρόκειται να ανατεθεί σε αυτό · άλλες πληροφορίες που προβλέπονται από τους ομοσπονδιακούς νόμους.

9.4. Το δικαίωμα ενός PD που υπόκειται σε πρόσβαση στα προσωπικά του δεδομένα μπορεί να είναι περιορισμένο σε περιπτώσεις που προβλέπονται ρητά από τους ομοσπονδιακούς νόμους.

9.5. Ένα υποκείμενο PD έχει το δικαίωμα να υπερασπίζεται τα δικαιώματά του και τα νόμιμα συμφέροντά του, συμπεριλαμβανομένης της αποζημίωσης για αποζημίωση και (ή) αποζημίωση για ηθική βλάβη σε δικαστήριο.

9.6. Αν το θέμα του Π.Δ. πιστεύει ότι το κέντρο εργασίας είναι η επεξεργασία του PD, κατά παράβαση του ομοσπονδιακού νόμου «Περί προσωπικών δεδομένων» απαιτήσεις, ή με άλλο τρόπο κατά παράβαση των δικαιωμάτων και των ελευθεριών του, το θέμα του Π.Δ. έχει το δικαίωμα να αμφισβητήσει τις πράξεις ή παραλείψεις του Κέντρου της απασχόλησης στον εξουσιοδοτημένο όργανο για την προστασία των δικαιωμάτων των ατόμων PD ή δικαστική απόφαση.

10. ΠΛΗΡΟΦΟΡΙΕΣ ΣΧΕΤΙΚΑ ΜΕ ΤΑ ΜΕΤΡΑ ΠΟΥ ΕΦΑΡΜΟΖΟΝΤΑΙ ΑΠΟ ΤΟ ΚΕΚ

ΟΔΗΓΟΣ ΓΙΑ ΤΗΝ ΕΞΑΣΦΑΛΙΣΗ ΤΗΣ ΥΛΟΠΟΙΗΣΗΣ ΥΠΟΧΡΕΩΣΕΩΝ ΠΟΥ ΑΦΟΡΟΥΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

10.1. Το Κέντρο Απασχόλησης κατά την επεξεργασία PD ασκεί τα καθήκοντά του ως φορέας εκμετάλλευσης PD που προβλέπεται από τον ομοσπονδιακό νόμο «για τα προσωπικά δεδομένα».

10.2. Το Κέντρο Απασχόλησης λαμβάνει τα απαραίτητα και επαρκή μέτρα για να διασφαλίσει την εκπλήρωση των καθηκόντων που προβλέπονται από τον παρόντα ομοσπονδιακό νόμο και τις κανονιστικές νομοθετικές πράξεις που εκδίδονται σύμφωνα με αυτό.

10.3. Το Κέντρο Απασχόλησης καθορίζει ανεξάρτητα τη σύνθεση και τον κατάλογο των μέτρων που είναι απαραίτητα και επαρκή για να διασφαλιστεί η εκπλήρωση των υποχρεώσεων που προβλέπονται από τον παρόντα ομοσπονδιακό νόμο και τις κανονιστικές νομοθετικές πράξεις που εκδίδονται σύμφωνα με αυτό, εκτός εάν προβλέπεται διαφορετικά από τους ομοσπονδιακούς νόμους.

10.4. Το Κέντρο Απασχόλησης παρέχει απεριόριστη πρόσβαση σε αυτό το έγγραφο (Πολιτική), στις πληροφορίες σχετικά με τις πραγματικές απαιτήσεις για προστασία PD, δημοσιεύοντας στον επίσημο δικτυακό τόπο της Περιφέρειας Απασχόλησης Περιφέρειας Αμούρ στο http: // zanamur. ru, GKU της περιφέρειας Amur του κεντρικού νοσοκομείου της πόλης Svobodny στη διεύθυνση http://svobzan.amur.ru.

11. ΠΛΗΡΟΦΟΡΙΕΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΩΝ ΚΕΝΤΡΩΝ ΑΠΑΣΧΟΛΗΣΗΣ ΜΕΤΡΩΝ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

11.1. Το Κέντρο Απασχόλησης στην επεξεργασία PD διασφαλίζει τη λήψη των απαραίτητων νομικών, οργανωτικών και τεχνικών μέτρων για την προστασία της ΠΔ από παράνομη ή τυχαία πρόσβαση σε αυτά, καταστροφή, τροποποίηση, παρεμπόδιση, αντιγραφή, παροχή, διανομή PD, καθώς και από άλλες παράνομες ενέργειες σχετικά με PDN.

11.2. Προκειμένου να προστατευθούν τα προσωπικά δεδομένα, το Κέντρο Απασχόλησης εφαρμόζει τις απαιτήσεις για την προστασία των προσωπικών δεδομένων όταν επεξεργάζονται σε συστήματα πληροφοριών προσωπικού χαρακτήρα που έχει θεσπίσει η κυβέρνηση της Ρωσικής Ομοσπονδίας.

11.3. Η εξασφάλιση της ασφάλειας του PD επιτυγχάνεται από το Κέντρο Απασχόλησης, και συγκεκριμένα:

· Προσδιορισμός απειλών για την ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο ISPDN του Κέντρου Απασχόλησης.

· Η χρήση οργανωτικών και τεχνικών μέτρων για την εξασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο ISPDN του Κέντρου Απασχόλησης, απαραίτητη για την εκπλήρωση των απαιτήσεων προστασίας των προσωπικών δεδομένων, η εκπλήρωση των οποίων εξασφαλίζεται από τα επίπεδα προστασίας των προσωπικών δεδομένων που έχει θεσπίσει η κυβέρνηση της Ρωσικής Ομοσπονδίας.

· Η χρήση των μέτρων ασφάλειας πληροφοριών που εγκρίθηκαν με τον προβλεπόμενο τρόπο.

· Αξιολόγηση της αποτελεσματικότητας των μέτρων που έλαβε το Κέντρο Απασχόλησης για την εξασφάλιση της ασφάλειας των προσωπικών δεδομένων πριν από την ανάθεση της λειτουργίας του ISPDN του Κέντρου Απασχόλησης.

· Λαμβάνοντας υπόψη τους μεταφορείς μηχανών PD του Κέντρου Απασχόλησης.

· Ανίχνευση γεγονότων για μη εξουσιοδοτημένη πρόσβαση στο PDN και ανάληψη δράσης.

· Αποκατάσταση του PDN που τροποποιήθηκε ή καταστράφηκε ως αποτέλεσμα της μη εξουσιοδοτημένης πρόσβασης σε αυτές.

· Την καθιέρωση κανόνων για την πρόσβαση στην PDN που επεξεργάζεται στο SPDN του Κέντρου Απασχόλησης, καθώς και τη διασφάλιση της καταχώρησης και καταγραφής όλων των ενεργειών που εκτελούνται στο PDN στο ISPDN στο Κέντρο Απασχόλησης.

· Έλεγχος των μέτρων που ελήφθησαν για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων και του επιπέδου ασφαλείας του ISPDN του Κέντρου Απασχόλησης.

11.4. Πληροφορίες σχετικά με τα μέτρα που λαμβάνει το Κέντρο Απασχόλησης για την προστασία των προσωπικών δεδομένων είναι περιορισμένες πληροφορίες.

12. Αλλαγή πολιτικής. Εφαρμοστέο δίκαιο

12.1. Το Κέντρο Απασχόλησης έχει το δικαίωμα να προβεί σε αλλαγές σε αυτήν την Πολιτική.

12.2. Όταν κάνετε αλλαγές στην κεφαλίδα Πολιτική, υποδεικνύεται η ημερομηνία της τελευταίας ενημέρωσης της αναθεώρησης.

12.3. Η νέα έκδοση της Πολιτικής τίθεται σε ισχύ από τη στιγμή της δημοσίευσής της στον ιστότοπο του Τμήματος Απασχόλησης της Περιφέρειας Amurskaya, εκτός εάν προβλέπεται διαφορετικά από τη νέα έκδοση της Πολιτικής.

Τρόποι επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Ερώτηση-απάντηση στο θέμα

Ερώτηση

Τι σχετίζεται με τις μεθόδους επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τι σχετίζεται με δράσεις με προσωπικά δεδομένα;

Η απάντηση

Σύμφωνα με την ρήτρα 9 του διατάγματος Roskomnadzor της 19ης Αυγούστου 2011 αρ. 706, οι μέθοδοι * περιλαμβάνουν:

- μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ·

- αποκλειστικά αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με ή χωρίς τη μεταφορά των ληφθέντων πληροφοριών μέσω του δικτύου ·

- μικτή επεξεργασία δεδομένων προσωπικού χαρακτήρα (Σημείωση Ν 4).

Και στις ενέργειες σύμφωνα με το άρθρο. 3 του ομοσπονδιακού νόμου της 27.07.2006 αριθ. 152-FZ σχετικά με τα προσωπικά δεδομένα περιλαμβάνουν: *

- διευκρίνιση (ενημέρωση, αλλαγή) ·

- διανομή (συμπεριλαμβανομένης της μετάδοσης) ·

- την καταστροφή των προσωπικών δεδομένων.

Το σκεπτικό για τη θέση αυτή δίνεται παρακάτω στα υλικά του "Δικηγόρου Συστήματος".

• ΟΜΟΣΠΟΝΔΙΑΚΟ ΔΙΚΑΙΟ ΤΗΣ 27.07.2002 ΑΡ. 152-ΦΖ "ΓΙΑ ΤΑ ΠΡΟΣΩΠΙΚΑ ΣΤΟΙΧΕΙΑ"

"Επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι οποιαδήποτε ενέργεια (λειτουργία) ή σύνολο ενεργειών (λειτουργιών), * που εκτελούνται με τη χρήση εργαλείων αυτοματισμού ή χωρίς τη χρήση τέτοιων μέσων με προσωπικά δεδομένα, συμπεριλαμβανομένης της συλλογής, καταγραφής, συστηματοποίησης, συσσώρευσης, αποθήκευσης, βελτίωσης (ενημέρωση, αλλαγή) εξαγωγή, χρήση, μεταφορά (διανομή, παροχή, πρόσβαση), αποπροσωποποίηση, αποκλεισμός, διαγραφή, καταστροφή προσωπικών δεδομένων "

• ΔΙΑΤΑΞΗ ΤΟΥ ΡΟΚΟΜΑΝΤΖΟΡ ΑΠΟ 19 Αυγούστου 2011 Αρ. 706

"Ο κατάλογος των ενεργειών με προσωπικά δεδομένα, μια γενική περιγραφή των μεθόδων που χρησιμοποιεί ο Διαχειριστής για επεξεργασία προσωπικών δεδομένων" * δηλώνει τις ενέργειες που εκτελεί ο Διαχειριστής με προσωπικά δεδομένα καθώς και μια περιγραφή των μεθόδων που χρησιμοποιεί ο Διαχειριστής για την επεξεργασία προσωπικών δεδομένων:

- μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ·
- αποκλειστικά αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με ή χωρίς τη μεταφορά των ληφθέντων πληροφοριών μέσω του δικτύου ·

- μεικτή επεξεργασία δεδομένων προσωπικού χαρακτήρα (Σημείωση Ν 4) Σημείωση Ν 4. Στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ή σε μεικτή επεξεργασία είναι απαραίτητο να αναφέρεται εάν οι πληροφορίες που λαμβάνονται κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα διαβιβάζονται στο εσωτερικό δίκτυο της νομικής οντότητας (οι πληροφορίες είναι διαθέσιμες μόνο σε καλά καθορισμένους υπαλλήλους της νομικής οντότητας ) ή οι πληροφορίες μεταδίδονται μέσω του δημόσιου διαδικτύου ή χωρίς να διαβιβάζονται οι πληροφορίες που λαμβάνονται. "

* Επισημάνετε τόσο ένα μέρος του υλικού που θα σας βοηθήσει να κάνετε τη σωστή απόφαση.

Likbez σχετικά με τα προσωπικά δεδομένα των εταιρειών που τα επεξεργάζονται

Όροι, αποχρώσεις και συχνές παραληρητικές ιδέες - στο υλικό των εμπειρογνωμόνων της υπηρεσίας ασφαλείας της εταιρείας "Onlanta" (περιλαμβάνεται στον όμιλο εταιρειών LANIT).

Κατανοούμε τη νομική ορολογία και τις ίδιες τις αποχρώσεις για τις οποίες μπορείτε να είστε στο δικαστήριο.

Εξηγήστε τους όρους στην ανθρώπινη γλώσσα

Ο κύριος νόμος που ρυθμίζει τις σχέσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων είναι ο Ομοσπονδιακός Νόμος της 27ης Ιουλίου 2006 αριθ. 152-ΦЗ "για τα προσωπικά δεδομένα".

Ο πρώτος όρος που πρέπει να κατανοηθεί είναι τα προσωπικά δεδομένα.

Τι είναι τα προσωπικά δεδομένα

Αυτές είναι όλες οι πληροφορίες που μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ατόμου: για παράδειγμα, πλήρες όνομα, ημερομηνία γέννησης, εκπαίδευση, εισόδημα και ακόμη και οικογενειακή κατάσταση. Ρωτάτε: "Και τι, το επώνυμό μου, τυπωμένο στην επαγγελματική κάρτα, είναι επίσης προσωπικά δεδομένα;"

Απάντηση: "Ναι". Σύμφωνα με το νόμο, δεν έχει σημασία αν μόνο το επώνυμό σας είναι τυπωμένο στην επαγγελματική κάρτα ή σε συνδυασμό, για παράδειγμα, με έναν αριθμό τηλεφώνου και μια διεύθυνση. Τόσο το πρώτο όσο και το δεύτερο και το τρίτο - προσωπικά δεδομένα. Είναι αλήθεια ότι η αποθήκευση των επαγγελματικών καρτών ή των αριθμών τηλεφώνου των κοριτσιών στον τηλεφωνικό κατάλογο δεν θα πρέπει να απαντηθεί από το νόμο, αλλά περισσότερο από αυτό κάτω.

Πάρε μπροστά. Τα μέσα μαζικής ενημέρωσης γράφουν συνεχώς "αποθήκευση προσωπικών δεδομένων". Ορθώς, δεν είναι η αποθήκευση, αλλά η επεξεργασία των προσωπικών δεδομένων. Ποια είναι η διαφορά; Η αποθήκευση αποτελεί μέρος μόνο αυτού που ονομάζεται επεξεργασία προσωπικών δεδομένων. Οποιεσδήποτε ενέργειες που εκτελείτε με προσωπικά δεδομένα (συλλογή, συσσώρευση, αποθήκευση, μεταφορά, αλλαγή) ορίζονται από το νόμο ως "επεξεργασία δεδομένων προσωπικού χαρακτήρα".

Είναι σημαντικό να γίνει κατανοητό ότι ο νόμος διακρίνει δύο υποκείμενα προσωπικών δεδομένων: τον χειριστή και τον επεξεργαστή. Ο χειριστής εκτελεί την επεξεργασία των προσωπικών δεδομένων και καθορίζει επίσης τον σκοπό της επεξεργασίας τους, τη σύνθεση των προσωπικών δεδομένων προς επεξεργασία, τις ενέργειες (λειτουργίες) που εκτελούνται με προσωπικά δεδομένα.

Ένας χειριστής είναι κάποιος που εκτελεί οποιεσδήποτε ενέργειες με προσωπικά δεδομένα: συλλογή, αποθήκευση, οργάνωση, συσσώρευση, ενημέρωση, ενημέρωση, διαγραφή, αποπροσωποποίηση και ούτω καθεξής.

Στην πραγματικότητα, ένας χειριστής δεν είναι μόνο ένας τελικός χρήστης, ο οποίος χρειάζεται προσωπικά δεδομένα για εργασία, αλλά και κάθε ενδιάμεσο χρήστη, μέσω των οποίων τα προσωπικά δεδομένα πέρασαν. Εμφάνιση στην πράξη.

Πρόβλημα

Το ηλεκτρονικό κατάστημα διαθέτει μια βάση δεδομένων πελατών, η οποία βρίσκεται στο "σύννεφο" μιας εταιρείας τρίτου μέρους. Ένα πρακτορείο μάρκετινγκ λειτουργεί με αυτή τη βάση. Ερώτηση: Πόσους φορείς παροχής προσωπικών δεδομένων διαθέτουμε;

Η σωστή απάντηση είναι μία. Πρόκειται για ένα ηλεκτρονικό κατάστημα που θέτει τους στόχους της επεξεργασίας των προσωπικών δεδομένων. Το δεύτερο ερώτημα: Πόσοι επεξεργαστές προσωπικών δεδομένων έχουμε; Η σωστή απάντηση είναι δύο.

1. Μια εταιρεία που διαθέτει μια βάση δεδομένων ηλεκτρονικού καταστήματος στο σύννεφο της.
2. Ένα πρακτορείο μάρκετινγκ που ανακτά δεδομένα και με βάση αυτά τα δεδομένα μπορεί να προετοιμάσει μια προσφορά προώθησης στους πελάτες.

Τα προσωπικά δεδομένα επεξεργάζονται σε πολλά διαφορετικά ιδρύματα: για παράδειγμα, σε τράπεζες, σχολεία, κλινικές, κέντρα θεώρησης. Για να μην αναφέρουμε τις ιστοσελίδες όπου καταχωρίζουμε, αφήνοντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους αριθμούς τηλεφώνου μας. Αλλά πώς και πού ακριβώς;

Nuance

Υπάρχει ένας τόσο ασαφής όρος στο νόμο ως "σύστημα πληροφοριών προσωπικού χαρακτήρα". Αν προσπαθήσετε να εξηγήσετε με απλούς όρους - αυτό είναι ένα ολόκληρο συγκρότημα, που αποτελείται από διακομιστές βάσεων δεδομένων, τεχνικά μέσα για την εξασφάλιση της επεξεργασίας τους και την τεχνολογία των πληροφοριών. Σύμφωνα με τη νομοθεσία, κάθε σύστημα πληροφοριών προσωπικού χαρακτήρα πρέπει να προστατεύεται.

Οι μέθοδοι προστασίας των πληροφοριών είναι διαφορετικές.

• Φυσικά: για παράδειγμα, στο δωμάτιο όπου βρίσκονται οι υπολογιστές, μπορούν να εγκατασταθούν κάμερες, έλεγχος πρόσβασης, μπορούν να χρησιμοποιηθούν συστήματα συναγερμού.
• Τεχνικά - με χρήση εξειδικευμένων μέσων προστασίας των πληροφοριών.
• Διοικητικό: όλα τα είδη κανονισμών και κανόνων που διέπουν την επεξεργασία προσωπικών δεδομένων εντός της εταιρείας.

Παράδειγμα

Ένα από τα μέσα προστασίας των πληροφοριών είναι η αποπροσωποποίηση προσωπικών δεδομένων. Τι είναι αυτό; Στο κέντρο θεώρησης, κάθε πρόσωπο που υποβάλλει αίτηση για θεώρηση διαθέτει διαφορετικό αριθμό αναγνώρισης. Ο ίδιος ο αριθμός δεν αναφέρεται σε προσωπικά δεδομένα, δεδομένου ότι αποπροσωπεύει ένα άτομο: είναι αδύνατο να προσδιοριστεί το πρόσωπο που ζήτησε θεώρηση.

Φαίνεται ότι επεξεργαζόμαστε προσωπικά δεδομένα.

Έτσι, με την ορολογία που έχει ρυθμιστεί. Τώρα, όλοι οι επιχειρηματικοί εκπρόσωποι, ιδιαίτερα οι μεμονωμένοι επιχειρηματίες, οι οποίοι μπορεί να έχουν μόνο λίγους υπαλλήλους στο προσωπικό, θα πρέπει να απαντήσουν ειλικρινά στην ερώτηση: "επεξεργάζομαι προσωπικά δεδομένα;"

Ναι, εάν είστε ιδιοκτήτης ενός ιστότοπου με συμμετοχή πέντε ατόμων την εβδομάδα, αλλά έχει μια φόρμα επικοινωνίας με τα πεδία "όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου". Πληροφορίες σχετικά με τους σκοπούς για τους οποίους συλλέγετε προσωπικά δεδομένα, τον τρόπο με τον οποίο χρησιμοποιείτε, θα πρέπει να παρουσιάζονται στον ιστότοπό σας.

Ναι, εάν επεξεργάζεστε τα προσωπικά δεδομένα των υπαλλήλων σας ή τρίτων ειδικών που προσλαμβάνονται για να κάνουν κάποια εργασία.

Ναι, αν εργάζεστε με ιδιώτες πελάτες και χρειάζεστε τα δεδομένα διαβατηρίου για τη σύναψη συμβάσεων - αυτό ισχύει για ταξιδιωτικά γραφεία, γυμναστήρια, διάφορες εταιρίες παροχής υπηρεσιών, ηλεκτρονικά καταστήματα και άλλα.

Και πάλι, ναι, εάν είστε οργανισμός προϋπολογισμού, πολιτικό κόμμα ή νηπιαγωγείο. Οι τελευταίοι δεν έχουν μόνο πληροφορίες για το παιδί, αλλά και για τους γονείς του, συμπεριλαμβανομένου του τόπου εργασίας και θέσης. Για να μην αναφέρουμε τα ιατρικά ιδρύματα - υπάρχει μια θάλασσα προσωπικών ευαίσθητων πληροφοριών που πρέπει να αποθηκευτούν με ασφάλεια.

Ωστόσο, εάν χρησιμοποιείτε δεδομένα για προσωπική επικοινωνία χωρίς εμπορικό όφελος, τότε οι απαιτήσεις της νομοθεσίας δεν ισχύουν για εσάς και δεν υπάρχει θέμα ποινικής ευθύνης.

Για παράδειγμα, η χρήση των επαφών που εκτυπώνονται σε μια επαγγελματική κάρτα που λάβατε από έναν συνάδελφο ή οι αριθμοί τηλεφώνου σε ένα σημειωματάριο σε ένα smartphone, οι πληροφορίες σχετικά με τα κοινωνικά δίκτυα δεν σας επιβάλλουν την ευθύνη ενώπιον του νόμου.

Το κυριότερο είναι να μην αποκαλύπτονται δεδομένα σε διαφημιζόμενους και να μην δημοσιεύονται χωρίς την άδεια των κατόχων προσωπικών δεδομένων στον δημόσιο τομέα.

Καθορίστε την κατηγορία των προσωπικών δεδομένων

Συγχαρητήρια, είστε ο υπερήφανος ιδιοκτήτης του τίτλου "χειριστής προσωπικών δεδομένων". Το πιο σημαντικό πράγμα τώρα είναι να καταλάβετε ακριβώς ποια προσωπικά δεδομένα επεξεργάζεστε. Επειδή εξαρτάται από την κατηγορία των προσωπικών δεδομένων, τον τρόπο προστασίας των δεδομένων και τις απαιτήσεις που πρέπει να πληρούνται. Οι κατηγορίες περιγράφονται λεπτομερώς στο Ομοσπονδιακό Νόμο-152 και στο ψήφισμα της κυβέρνησης της 1ης Νοεμβρίου 2012 N 1119.

Κατηγορίες προσωπικών δεδομένων με απλά λόγια:

Γενικά διαθέσιμα προσωπικά δεδομένα: δεδομένα από ανοικτούς πόρους, τα οποία δημοσιεύονται από το θέμα των προσωπικών δεδομένων ή με την έγκρισή του. Τα διαθέσιμα στο κοινό δεδομένα είναι δεδομένα από τα μέσα ή το Διαδίκτυο.

Παράδειγμα: πληροφορίες που δημοσιεύονται στην ανοιχτή πρόσβαση στα κοινωνικά δίκτυα ή στην ιστοσελίδα των εταιρειών. Ο αριθμός τηλεφώνου και η οικογενειακή κατάσταση δημοσιεύονται στην δημόσια πρόσβαση στο Facebook. Το όνομα του υπαλλήλου και η θέση του στην ιστοσελίδα του εργοδότη.

Βιομετρικά προσωπικά δεδομένα: αυτή η κατηγορία περιλαμβάνει όλα τα δεδομένα σχετικά με τα φυσιολογικά και βιολογικά χαρακτηριστικά των ανθρώπων.

Παράδειγμα: βάρος, ύψος, χρώμα ματιών ή μαλλιών, μήκος μαλλιών, τύπος αίματος, φωτογραφία.

Προσωπικά δεδομένα ειδικής κατηγορίας: Περιλαμβάνουν πληροφορίες σχετικά με την ένταξη σε οποιαδήποτε φυλή και έθνος, πολιτικές απόψεις, θρησκευτικές και φιλοσοφικές πεποιθήσεις, κατάσταση της υγείας ή προσωπική ζωή.

Παράδειγμα: ιατρική διάγνωση (πληροφορίες σχετικά με το τι πάσχετε από την ασθένεια, πότε, ποιος γιατρός σας εξέτασε).

Προσωπικά δεδομένα άλλων τύπων - αυτό περιλαμβάνει προσωπικά δεδομένα που δεν περιλαμβάνονται στις παραπάνω κατηγορίες.

Παράδειγμα: εταιρικές πληροφορίες. Λογιστικές κάρτες για υπαλλήλους που περιέχουν πληροφορίες με τις οποίες το HR και η λογιστική εργασία: μισθός, περίοδοι διακοπών, ημερομηνίες απασχόλησης.

Κατηγορία, αριθμός, τύπος απειλών - επίπεδο προστασίας

Μόλις αποφασίσετε για την κατηγορία των προσωπικών δεδομένων, πρέπει να κατανοήσετε το ακριβές ποσό των δεδομένων που επεξεργάζεστε: μέχρι 100 χιλιάδες ή πάνω από 100 χιλιάδες.

Βρήκε την κατηγορία και την ποσότητα, καθορίστε τον τύπο της απειλής:

Απειλές αριθ. 1. "Τρύπες" και ευπάθειες στο λειτουργικό σύστημα. Παράδειγμα: τα τρωτά σημεία που χρησιμοποιούν οι χάκερ για να διεισδύσουν στο λειτουργικό σύστημα για να κλέψουν πληροφορίες.

Απειλές αριθ. 2. "Τρύπες" και ευπάθειες στο λογισμικό εφαρμογών, δηλαδή στο λογισμικό που χρησιμοποιείται στην καθημερινή εργασία σας. Παράδειγμα: Word, Excel.

Απειλές αριθ. 3. Όλες οι άλλες απειλές που δεν περιλαμβάνονται στους δύο πρώτους τύπους. Πρώτα απ 'όλα, ο ανθρώπινος παράγοντας. Ένας υπάλληλος μπορεί να αφήσει ένα έγγραφο ανοιχτό σε έναν ξεκλειδωμένο υπολογιστή, να στείλει ένα έγγραφο για να εκτυπώσει σε κάποιον άλλο εκτυπωτή ή μέσω ηλεκτρονικού ταχυδρομείου.

Η ποσότητα των προσωπικών δεδομένων, η κατηγορία, ο τύπος των απειλών - όλα μαζί σας επιτρέπουν να καθορίσετε ποιο επίπεδο προστασίας απαιτείται για το πληροφοριακό σας σύστημα. Τώρα υπάρχουν τέσσερα επίπεδα προστασίας.

Το πρώτο και υψηλότερο επίπεδο προστασίας χρησιμοποιείται συχνότερα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κυβερνητικούς οργανισμούς και ιατρικά ιδρύματα. Το τέταρτο επίπεδο προστασίας είναι το πιο εύκολο να παρασχεθεί, μερικές φορές αρκεί να εκτελεστούν οργανωτικά ρυθμιστικά μέτρα, κυρίως αφορά την προστασία των διαθέσιμων στο κοινό δεδομένων.

Μπορείτε να καθορίσετε το επίπεδο προστασίας χρησιμοποιώντας αυτόν τον πίνακα.

Παράδειγμα

Το νοσοκομείο επεξεργάζεται τα προσωπικά δεδομένα των ασθενών του - αυτό είναι τα προσωπικά δεδομένα μιας ειδικής κατηγορίας. Επίσης επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων - πρόκειται για προσωπικά δεδομένα άλλης κατηγορίας. Πιθανότατα, το νοσοκομείο έχει δύο βάσεις δεδομένων. Εάν προσθέσετε και τις δύο βάσεις δεδομένων, θα πάρετε το συνολικό ποσό των προσωπικών δεδομένων που περιστρέφονται στο σύστημα πληροφοριών αυτού του νοσοκομείου.

Για παράδειγμα, όλα αυτά - μέχρι 100 χιλιάδες. Στη συνέχεια, εξετάζουμε τον τρόπο επεξεργασίας των δεδομένων: αυτοματοποιημένα (σε υπολογιστή) ή μη αυτοματοποιημένα (σε χειροκίνητο αρχείο). Εάν τα πάντα είναι αυτοματοποιημένα, εξετάζουμε το λογισμικό που χρησιμοποιεί το νοσοκομείο, τι ευπάθειες έχει.

Με βάση αυτό, εντοπίζονται οι απειλές και το επίπεδό τους. Προσθέτουμε όλους τους παράγοντες και παίρνουμε την τάξη προστασίας δευτέρου επιπέδου. Εξετάζουμε ποιες είναι οι απαιτήσεις του νόμου που διατυπώνονται στο δεύτερο επίπεδο ασφάλειας. Βάσει αυτών των απαιτήσεων, θα χρειαστεί να οικοδομηθεί μια προστασία του συστήματος πληροφορικής για την εκπλήρωση των απαιτήσεων του ομοσπονδιακού νόμου.

Λίγο για τον κίνδυνο διαρροής προσωπικών δεδομένων

Γιατί να ασχοληθείτε με την προστασία των προσωπικών δεδομένων; Τα προσωπικά δεδομένα είναι ένα ακριβό στοιχείο στη μαύρη αγορά. Οι απατεώνες είναι πρόθυμοι να πληρώσουν εντυπωσιακά ποσά για ένα προφίλ που περιέχει τις πλήρεις λεπτομέρειες του ιατρικού αρχείου ενός ατόμου. Χωριστή πώληση - πώληση στοιχείων τραπεζικών καρτών. λογαριασμούς στα κοινωνικά δίκτυα.

Οι συνέπειες της διαρροής προσωπικών δεδομένων είναι διαφορετικές. Τα δεδομένα ενδέχεται να είναι διαθέσιμα στο Διαδίκτυο στο Διαδίκτυο: για παράδειγμα, μπορείτε εύκολα να βρείτε κλεμμένες βάσεις δεδομένων με διευθύνσεις και αριθμούς τηλεφώνου των πελατών των εταιρειών στο δίκτυο. Γνωρίζοντας το όνομα και το επώνυμο, ο καθένας μπορεί να βρει τη διεύθυνση κατοικίας ενός ατόμου, να πάρει στο κοινωνικό δίκτυο, να δει ένα προφίλ ή απλά να γράψει ένα SMS σε ένα κινητό τηλέφωνο.

Τα προσωπικά δεδομένα μπορούν να μπουν στη βάση δεδομένων των ενοχλητικών αλληλογραφίας κάποιας εμπορικής οργάνωσης, κατόπιν ο ιδιοκτήτης τους θα συγκλονιστεί με ανεπιθύμητες προσφορές υπηρεσιών. Μπορούν επίσης να χρησιμοποιηθούν από ηλεκτρονικούς απατεώνες για online καζίνο ή να ανοίξουν ένα ηλεκτρονικό πορτοφόλι.

Στις χειρότερες περιπτώσεις, ένας εισβολέας μπορεί να μιμηθεί άλλο άτομο και να λάβει πίστωση για το όνομα κάποιου άλλου. Οι πιο σοβαρές συνέπειες των διαρροών προσωπικών δεδομένων περιλαμβάνουν: παράνομες ενέργειες με ακίνητα, κλοπή χρημάτων από τραπεζικές κάρτες, εκβιασμό συγγενών και καταχώριση εταιρείας.

Το βάρος της ευθύνης

Κατανοείτε τη σημασία της ερώτησης και είστε έτοιμοι να αναλάβετε ευθύνη; Αυτό είναι σωστό. Επειδή η ευθύνη για την ασφάλεια των προσωπικών δεδομένων βρίσκεται αποκλειστικά στον φορέα εκμετάλλευσης.

Αυτό σημαίνει ότι ο φορέας εκμετάλλευσης πρέπει να μεριμνήσει ώστε οι πληροφορίες να μην εισέρχονται σε δημόσια πρόσβαση ή να μην πέφτουν στα χέρια τρίτων που δεν έχουν δικαιώματα σε αυτό. Αυτό απαιτεί συνεχή παρακολούθηση και αποτροπή απειλών για την ασφάλεια των δεδομένων, έλεγχο του επιπέδου ασφάλειας των πληροφοριών και αποκατάσταση σε περίπτωση απώλειας.

Στη χώρα μας, η Roskomnadzor παρακολουθεί τη συμμόρφωση με τη νομοθεσία στον τομέα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Αυτός ο οργανισμός απαντά σε καταγγελίες, ρυθμίζει τις σχέσεις μεταξύ θεμάτων και φορέων εκμετάλλευσης.

Οι τεχνικές απαιτήσεις για την προστασία των πληροφοριών είναι ευθύνη της FSTEC και της FSB: αναπτύσσουν απαιτήσεις και ελέγχουν την εκτέλεσή τους.

Απαιτήσεις για την επεξεργασία προσωπικών δεδομένων

Και τώρα είναι καιρός να μελετήσουμε τα τραπέζια με τις απαιτήσεις για την τεχνική προστασία των προσωπικών δεδομένων. Λεπτομέρειες υπάρχουν στη διαταγή της Ομοσπονδιακής Υπηρεσίας Τεχνικού Ελέγχου και Ελέγχου Εξαγωγών της 18ης Φεβρουαρίου 2013 N 21.

Αλλά τουλάχιστον ξεκινήστε με αυτό:

1. Εγγραφείτε στο Roskomnadzor ως φορέας παροχής προσωπικών δεδομένων. Απαιτείται να υποβάλετε αίτηση στο Roskomnadzor σε έντυπη ή ηλεκτρονική μορφή. Πληροφορίες σχετικά με τη σύνδεση.
2. Αποκτήστε γραπτή συναίνεση από όλες τις οντότητες των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία Η συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι το κύριο νομικό έγγραφο που επιβεβαιώνει τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
3. Ανάπτυξη εσωτερικής τεκμηρίωσης. Θέση σε λειτουργία με εντολή του επικεφαλής του οργανισμού "Κανονισμοί για την επεξεργασία προσωπικών δεδομένων". Σε αυτό το έγγραφο, ο χειριστής εξηγεί πώς σχεδιάζει να χρησιμοποιήσει τα προσωπικά δεδομένα, για το τι και πού θα μεταφερθούν. Αυτό είναι ένα βασικό έγγραφο που απαιτείται από οποιονδήποτε διαχειριστή δεδομένων προσωπικού χαρακτήρα. Με βάση αυτό, αναπτύσσονται όλα τα άλλα διοικητικά έγγραφα.

Πολλοί ιδιοκτήτες ιστότοπων πιστεύουν ότι εάν ένας επισκέπτης κάνει κλικ στο κουμπί "Συμφωνώ με την επεξεργασία των προσωπικών δεδομένων", δεν θα υπάρχουν νομικά προβλήματα και η επεξεργασία δεδομένων θα πέσει αυτόματα στο νομικό πεδίο. Δεν είναι.

Από νομική άποψη, υπάρχουν μόνο δύο τρόποι για να επιβεβαιώσετε τη συγκατάθεσή σας για την επεξεργασία των προσωπικών δεδομένων: να υποβάλετε υπογραφή σε χαρτί ή χρησιμοποιώντας ηλεκτρονική ψηφιακή υπογραφή.

Σε όλες τις άλλες περιπτώσεις, αν η υπόθεση παραπεμφθεί στο δικαστήριο, ο κάτοχος του ιστότοπου δεν θα μπορέσει να επιβεβαιώσει ποιος ακριβώς πατήθηκε το κουμπί "Συμφωνώ". Κάποιος μπορεί μόνο να ελπίζει ότι το θέμα που ήρθε στον ιστότοπό σας μεταδίδει εθελοντικά τα δεδομένα του και δεν υποβάλλει καταγγελία.

Υπάρχει πραγματικά έλεγχος;

Ναι, οι έλεγχοι μπορούν να γίνουν από τον Roskomnadzor.

Η Roskomnadzor δημοσιεύει ετησίως κατάλογο επιταγών επιλεκτικά από τον κατάλογο των εγγεγραμμένων φορέων, εάν μια εταιρεία περιλαμβάνεται στον κατάλογο των επιταγών, τότε ο επόμενος προγραμματισμένος έλεγχος είναι δυνατός όχι νωρίτερα από τρία χρόνια. Μπορείτε να δείτε αν η εταιρεία σας είναι στη λίστα αυτή τη χρονιά εδώ.

Οι έλεγχοι εκτός σχεδίου προκαλούνται συνήθως από καταγγελίες. Εάν ο έλεγχος είναι μη προγραμματισμένος, θα πρέπει να το προειδοποιήσετε γραπτώς εντός 24 ωρών.

Ενδέχεται επίσης να υπάρχουν έλεγχοι εγγράφων. Κατά την τεκμηρίωση θα στείλετε μια λίστα εγγράφων, αντίγραφα των οποίων θα πρέπει να σταλούν στο Roskomnadzor.

Μερικές φορές η Roskomnadzor διεξάγει επιτόπιους ελέγχους: οι επιθεωρητές πραγματοποιούν προσωπικές επισκέψεις για να ελέγξουν την εταιρεία στην περιοχή.

Η προετοιμασία για οποιονδήποτε από αυτούς τους ελέγχους είναι μια χρονοβόρα εργασία. Θα επιλύσετε το έργο της προετοιμασίας για την επιθεώρηση μόνοι σας ή θα εμπλέξετε εξωτερικούς ειδικούς, πρώτα θα πρέπει να προσδιορίσετε ποιος στην εταιρεία θα είναι υπεύθυνος για τη συμμόρφωση με το FZ-152.

Πρόστιμα, δικαστήρια και άλλα φρίκη

Για παραβίαση της 152-FZ, παρέχεται αστική, ποινική, διοικητική και πειθαρχική ευθύνη.

Έτσι, ο Roskomnadzor διενήργησε έλεγχο, αν διαπίστωσε ασυμφωνίες με το νόμο, θα εκδώσει εντολή στην εξεταστική επιτροπή να διεξαγάγει δίκη για το γεγονός της παραβίασης του νόμου «Για τα προσωπικά δεδομένα».

Μετά από αυτό, το γραφείο του εισαγγελέα θα ξεκινήσει μια επιθεώρηση, κατά τη διάρκεια της οποίας μπορεί να αναστείλει τις δραστηριότητες της εταιρείας: αποσύρει τη βάση δεδομένων της εταιρείας, ιδίως, τους υπολογιστές στους οποίους επεξεργάστηκαν τα προσωπικά δεδομένα.

Οι παραβάτες του νόμου αναμένουν κυρίως πρόστιμα. Το ύψος των προστίμων ποικίλλει ανάλογα με το αδίκημα. Έτσι, για την επεξεργασία προσωπικών δεδομένων χωρίς τη γραπτή άδεια των φορέων, νομικά πρόσωπα θα πρέπει να φέρουν διοικητική ευθύνη.

Ακόμη και αν ο φορέας εκμετάλλευσης είναι πρόθυμος να καταβάλει πρόστιμο, αλλά με τα πρότυπα των μεγάλων επιχειρήσεων, δεν φαίνεται τεράστιο, ο δράστης θα πρέπει ακόμα να εξαλείψει την ασυνέπεια πριν από το νόμο (για παράδειγμα, να διαγράψει τα αποθηκευμένα δεδομένα) και να ειδοποιήσει το Roskomnadzor.

Το χειρότερο σενάριο είναι εάν η Roskomnadzor αποφασίσει να ανακαλέσει την άδεια της εταιρείας, να απαγορεύσει τις επιχειρήσεις να επεξεργαστούν προσωπικά δεδομένα και να δημοσιεύσει παράνομα δεδομένα προσωπικού χαρακτήρα στους πολίτες.

Τα τελευταία χρόνια, το πιο δυναμικό σκάνδαλο στη Ρωσία συνδέθηκε με την παρεμπόδιση του LinkedIn, των οποίων οι ιδιοκτήτες κατηγορήθηκαν ότι επεξεργάζονται προσωπικά δεδομένα των πολιτών χωρίς τη συγκατάθεσή τους σε διακομιστές εκτός της Ρωσικής Ομοσπονδίας. Το μπλοκάρισμα της υπηρεσίας autonum.info έγινε επίσης "θόρυβος".

Πόσο θα μου κοστίσει χρήματα και δύναμη

Μπορείτε να οργανώσετε την επεξεργασία των προσωπικών δεδομένων ανεξάρτητα ή με τη βοήθεια μιας εταιρείας που παρέχει μια τέτοια υπηρεσία.

Αν αποφασίσετε να επεξεργαστείτε προσωπικά τα προσωπικά σας δεδομένα, θα χρειαστείτε:

1. Κατανοήστε την κατηγορία των προσωπικών δεδομένων που επεξεργάζεστε και ποιες είναι οι τεχνικές απαιτήσεις για την προστασία τους.
2. Μεμονωμένα ή με τη βοήθεια μιας εταιρείας πληροφορικής, αναπτύσσουν τεχνικές λύσεις, προετοιμάζουν τις αγορές του αναγκαίου εξοπλισμού και λογισμικού, την εγκαθιστούν και την υλοποιούν.
3. Έκδοση όλων των νομικών εγγράφων. Αναπτύξτε μια σειρά εσωτερικών εγγράφων: οδηγίες και κανονισμούς.

Στην καλύτερη περίπτωση, θα διαρκέσει τρεις με τέσσερις μήνες, με κόστος μιας τέτοιας εφαρμογής, μπορεί να είναι 200-300 χιλιάδες ρούβλια - αυτό είναι το κόστος της αγοράς εξοπλισμού και άδειες. Το κόστος εργασίας και η περαιτέρω στήριξη του συστήματος πληροφοριών αποτελούν ξεχωριστό κονδύλιο δαπανών. Θα χρειαστείτε επίσης έναν διαχειριστή ο οποίος θα παρακολουθεί τη λειτουργία του συστήματος.

Μιλώντας αντικειμενικά, πολύ μικρές εταιρείες απλά δεν πληρούν όλες τις απαιτήσεις του νόμου με την ελπίδα ότι δεν θα υπάρξει επαλήθευση. Ίσως δεν θα το κάνει πραγματικά. Άλλες εταιρείες δημιουργούν "χωριά Ποτέμκιν" μόνο υποτιμώντας ότι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις απαιτήσεις του νόμου, με άλλα λόγια, «αγοράζουν» τα απαραίτητα έγγραφα.

Στο επόμενο άρθρο, θα παρουσιάσουμε τον τρόπο υπολογισμού του κόστους επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε μια εταιρεία και θα σας πούμε πότε είναι πιο επικερδές να κάνετε επεξεργασία δεδομένων προσωπικού χαρακτήρα και πότε είναι καλύτερο να την αποθηκεύσετε στο σύννεφο.

Το υλικό δημοσιεύεται από το χρήστη. Κάντε κλικ στο κουμπί "Γράψτε" για να μοιραστείτε τη γνώμη σας ή να μιλήσετε για το έργο σας.

Νόμος περί προσωπικών δεδομένων: συνέπειες για την εργασία γραφείου

• Khramtsovskaya Natalia | Υποψήφιος για τις Ιστορικές Επιστήμες, Επικεφαλής Εμπειρογνώμονας για τη Διαχείριση Εγγράφων της Εταιρείας EOS, Ειδικός ISO, Μέλος του Διεθνούς Συμβουλίου Αρχείων

Ψάχνετε για τη βασική αιτία

Ο ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας αριθ. 152-ΦΖ "για τα προσωπικά δεδομένα" εγκρίθηκε στις 27 Ιουλίου 2006 και, στο πλαίσιο άλλων σημαντικών γεγονότων του παρελθόντος έτους, πέρασε σχεδόν απαρατήρητη. Ο επίσημος λόγος για την υιοθέτησή του ήταν τα πολυάριθμα γεγονότα κλοπής των βάσεων δεδομένων προσωπικού χαρακτήρα στις κρατικές και εμπορικές δομές και η ευρεία πώληση τους. Στην πραγματικότητα, ο κύριος σκοπός της υιοθέτησης αυτού του νόμου ήταν η ανάγκη άρσης ορισμένων φραγμών στο εμπόριο με τις χώρες της Ευρωπαϊκής Ένωσης.

Η Γαλλία απαγόρευσε τη δημοσίευση στοιχείων σχετικά με την προστασία της ιδιωτικής ζωής και επέβαλε πρόστιμα για παραβάτες το 1858.

Ο Νορβηγικός Ποινικός Κώδικας απαγόρευσε τη δημοσίευση πληροφοριών σχετικά με «προσωπικές ή ιδιωτικές υποθέσεις» το 1889.

Το εθνικό νόμο «Από τα προσωπικά δεδομένα» της 27ης Ιουλίου 2006 άρχισε να λειτουργεί στις 26 Ιανουαρίου 2006 (σύμφωνα με το άρθρο 25, μέρος 1, ο νόμος τίθεται σε ισχύ 180 ημέρες μετά την επίσημη δημοσίευση, η οποία έλαβε χώρα στις 29 Ιουλίου 2006 στο "Rossiyskaya Gazeta").

Σύμφωνα με την Οδηγία 95/46 / ΕΚ της ΕΕ, τα προσωπικά δεδομένα μπορούν να μεταφερθούν μόνο σε χώρες που παρέχουν το ίδιο επίπεδο προστασίας όπως στην Ευρώπη. Αυτό εμπόδισε σημαντικά την ανταλλαγή πληροφοριών από ευρωπαϊκούς κυβερνητικούς οργανισμούς και εταιρείες με τους ξένους εταίρους τους, καθιστώντας αδύνατη πολλά εμπορικά υποσχόμενα έργα. Τέτοιοι περιορισμοί βιώνουν όχι μόνο η Ρωσία και οι χώρες του τρίτου κόσμου, αλλά και ένα οικονομικό τέρας όπως οι Ηνωμένες Πολιτείες. Έτσι, η κυβέρνησή μας αποφάσισε να ξεπεράσει αυτό το εμπόδιο. Ας δούμε πώς το έκανε και τι θα κοστίσει όλους μας.

Η έγκριση του ρωσικού νόμου για τα προσωπικά δεδομένα ήταν αποτέλεσμα της προσχώρησης της Ρωσικής Ομοσπονδίας στην Ευρωπαϊκή Σύμβαση του 1981 «για την προστασία του ατόμου σε σχέση με την αυτόματη επεξεργασία προσωπικών δεδομένων», η οποία ορίζει τις βασικές αρχές για την προστασία των προσωπικών δεδομένων στις ευρωπαϊκές χώρες. Η παρούσα σύμβαση και οι μεταγενέστερες οδηγίες της Ευρωπαϊκής Ένωσης περιέγραψαν τα καθήκοντα που πρέπει να επιληφθούν από την εθνική νομοθεσία κατά τη ρύθμιση των προσωπικών δεδομένων:

• προστασία προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση σε αυτά από άλλα πρόσωπα, συμπεριλαμβανομένων των εκπροσώπων κυβερνητικών φορέων και υπηρεσιών που δεν έχουν την απαραίτητη εξουσία ·
• διασφαλίζοντας την ασφάλεια, την ακεραιότητα και την αξιοπιστία των δεδομένων στη διαδικασία συνεργασίας με αυτά, συμπεριλαμβανομένης της μετάδοσης μέσω των διαύλων επικοινωνίας ·
• εξασφάλιση του κατάλληλου νομικού καθεστώτος των δεδομένων αυτών, όταν συνεργάζονται μαζί τους για διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα ·
• διασφαλίζοντας τον έλεγχο της χρήσης των προσωπικών δεδομένων από τον πολίτη ·
• τη δημιουργία μιας ειδικής ανεξάρτητης δομής που θα διασφαλίζει τον αποτελεσματικό έλεγχο της τήρησης των δικαιωμάτων ενός πολίτη για την προστασία των προσωπικών του δεδομένων (για παράδειγμα, η δημιουργία της θέσης του Επιτρόπου για την προστασία των προσωπικών δεδομένων).

Ο νόμος μας επαναλαμβάνει σε μεγάλο βαθμό τις βασικές διατάξεις της ευρωπαϊκής νομοθεσίας σε αυτόν τον τομέα, η οποία θεωρείται μία από τις πιο δύσκολες 2 στον κόσμο. Παρόλο που το 2006 ο νόμος μίλησε αρκετά συχνά, λίγοι όμως διαβάζουν προσεκτικά το περιεχόμενο των διατάξεων του. Ωστόσο, για να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις της, είναι απαραίτητο να αλλάξει σημαντικά το έργο με πληροφορίες και τεκμηρίωση που περιέχουν προσωπικά δεδομένα. Ας προσπαθήσουμε να καταλάβουμε τι νέο υπάρχει στον τομέα της διαχείρισης εγγράφων και πληροφοριών στον οργανισμό;

• Σε όλες τις οργανώσεις υπάρχει ένα νέο, αρκετά ογκώδες επίπεδο τεκμηρίωσης. Πρόκειται για έγγραφα που αφορούν τη λήψη της συγκατάθεσης των ατόμων για την επεξεργασία των προσωπικών τους δεδομένων, την καταχώριση βάσεων δεδομένων με τον εξουσιοδοτημένο φορέα, την τεκμηρίωση όλων των συναλλαγών με προσωπικά δεδομένα κλπ.
• Πρέπει να επισημανθούν τα έγγραφα και οι πληροφορίες που περιέχουν προσωπικά δεδομένα. την ειδική σήμανση τόσο σε χαρτί όσο και σε ηλεκτρονικά μέσα. χωριστή λογιστική και παρακολούθηση πρόσβασης. Μπορείτε να μιλήσετε για την εμφάνιση άλλου τύπου πρόσβασης στο λαιμό σε έγγραφα.
• Βασικά μεταβαλλόμενη προσέγγιση για την καθιέρωση της διατήρησης εγγράφων και πληροφοριών. Για πρώτη φορά στην εγχώρια πρακτική, καθορίζεται η μέγιστη περίοδος αποθήκευσης και η περίοδος υπό όρους, η οποία θα είναι μάλλον δύσκολη για παρακολούθηση και παρακολούθηση.
• Όταν εργάζεστε με προσωπικά δεδομένα, είναι απαραίτητο να το σκεφτείτε ξεκάθαρα εκ των προτέρων και να το καταγράψετε στα κανονιστικά έγγραφα που σχετίζονται με την επεξεργασία τους. Διαφορετικά, ο οργανισμός μπορεί να λογοδοτεί και, ακόμη πιο δυσάρεστα, μπορεί να υπάρξουν πολυάριθμες αγωγές από τα ίδια τα υποκείμενα δεδομένων προσωπικού χαρακτήρα 3.
• Ο νόμος εισάγει πολύ αυστηρές προθεσμίες για την εκτέλεση όλων των προσφυγών των πολιτών που σχετίζονται με την επεξεργασία προσωπικών δεδομένων.

Ας εξετάσουμε τώρα λεπτομερέστερα τις πιο σημαντικές διατάξεις του νόμου και να αξιολογήσουμε ποιες οργανώσεις και θεσμικά όργανα θα πρέπει να αναλάβουν για να το εφαρμόσουν. Επιπλέον, θα προσπαθήσουμε να αναλύσουμε ορισμένες διατάξεις του νόμου όσον αφορά την ορθότητα και τη σαφήνεια της διατύπωσής τους.

Πεδίο εφαρμογής του νόμου

Το πρώτο ερώτημα: σε ποιον εφαρμόζεται αυτός ο νόμος; Ανταποκρινόμαστε σε αυτό, μπορούμε με ασφάλεια να πούμε ότι ισχύει για όλους ανεξαιρέτως (σε κρατικούς θεσμούς, νομικά πρόσωπα και ιδιώτες). Ακολουθεί μια λίστα του άρθρου 1:

• όργανα της ομοσπονδιακής κυβέρνησης
• κρατικές αρχές των θεμάτων της Ρωσικής Ομοσπονδίας,
• άλλα κρατικά όργανα
• τοπικές κυβερνήσεις,
• μη δημοτικών φορέων,
• νομικές οντότητες
• άτομα.

Το δεύτερο σημαντικό ζήτημα είναι το πεδίο εφαρμογής του νόμου.

Άρθρο 1 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας "για τα προσωπικά δεδομένα" αριθ. 152-FZ της 27ης Ιουλίου 2006

Αυτός ο ομοσπονδιακός νόμος ρυθμίζει τις σχέσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων... με τη χρήση εργαλείων αυτοματοποίησης ή χωρίς τη χρήση τέτοιων μέσων, εάν η επεξεργασία των προσωπικών δεδομένων χωρίς τη χρήση τέτοιων μέσων αντιστοιχεί στη φύση των ενεργειών που εκτελούνται με δεδομένα προσωπικού χαρακτήρα χρησιμοποιώντας μέσα αυτοματοποίησης.

Η διατύπωση αυτού του άρθρου είναι ένα παράδειγμα για το πώς να μην γράψουμε νόμους. Αποδείχθηκε κάτι ακατανόητο, επιτρέποντας μια ποικιλία ερμηνειών. Με ποιον τρόπο, βάσει ενός τέτοιου κειμένου, μπορεί να δοθεί απάντηση, για παράδειγμα, στο ερώτημα εάν τα δεδομένα που καλύπτονται ελεύθερα από ένα φορητό υπολογιστή για επιχειρήσεις εμπίπτουν στο πεδίο εφαρμογής του νόμου; Εάν ένα τέτοιο σημειωματάριο αποθηκεύεται σε έναν υπολογιστή ή σε ένα κινητό τηλέφωνο, θεωρείται "χρήση εξοπλισμού αυτοματισμού";

Η σχετική ευρωπαϊκή νομοθεσία είναι σαφέστερη:

Οδηγία 95/46 / ΕΚ της ΕΕ του 1995

Άρθρο 2 "Ορισμοί":

γ) "σύστημα αποθήκευσης δεδομένων προσωπικού χαρακτήρα" 4 ("σύστημα αποθήκευσης") είναι κάθε δομημένο σύνολο προσωπικών δεδομένων που μπορούν να προσεγγιστούν σύμφωνα με συγκεκριμένα κριτήρια - ανεξάρτητα από τον τρόπο οργάνωσης του συνόλου δεδομένων, κεντρικό, αποκεντρωμένο ή κατανεμημένο σε λειτουργική ή γεωγραφική βάση...

Άρθρο 3 "Πεδίο εφαρμογής":

1. Η παρούσα οδηγία αφορά την επεξεργασία προσωπικών δεδομένων με αυτόματα μέσα (εν όλω ή εν μέρει), καθώς και με την επεξεργασία με άλλα μέσα εκτός των αυτόματων, δεδομένων προσωπικού χαρακτήρα, στοιχείων ή που προορίζονται να αποτελέσουν μέρος των συστημάτων αποθήκευσης.

Στη σύγχρονη ορολογία πληροφορικής, τα "δομημένα δεδομένα" σημαίνουν, πρώτον, βάσεις δεδομένων. Στη γραφική εργασία, περιλαμβάνουν αρχεία καρτών και αρχεία προσωπικών αρχείων. Ως εκ τούτου, οι ευρωπαϊκές απαιτήσεις περιλαμβάνουν:

• στην αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και
• για χρήση (είτε σε αυτόματο είτε σε άλλο τρόπο) που περιέχει προσωπικά δεδομένα από χαρτί και ηλεκτρονικές βάσεις δεδομένων, αρχεία καρτών κλπ., τα οποία διαθέτουν μηχανισμό αναζήτησης που καθιστά εύκολη την εξαγωγή πληροφοριών σχετικά με ένα συγκεκριμένο άτομο.

Γιατί ήταν αδύνατο να γράψω στα ρωσικά και ο νόμος μας παραμένει ακατανόητος;

Πρέπει να δοθεί προσοχή στη διαφορά στην ορολογία: η "αυτόματη επεξεργασία" είναι ένα πράγμα και η επεξεργασία "χρησιμοποιώντας εξοπλισμό αυτοματισμού" είναι μια εντελώς διαφορετική έννοια, πολύ ευρύτερη και πιο ασαφής.

Ο νόμος προβλέπει μόνο τέσσερις εξαιρέσεις, δηλαδή ότι ο νόμος δεν εφαρμόζεται στις σχέσεις που προκύπτουν:

• κατά την επεξεργασία προσωπικών δεδομένων για προσωπικές και οικογενειακές ανάγκες.
• όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε έγγραφα του Αρχειακού Ταμείου της Ρωσικής Ομοσπονδίας ·
• όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για να συμπεριληφθεί στο ενιαίο μητρώο κρατικών μεμονωμένων επιχειρηματιών (EGRIP) ·
• όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που χαρακτηρίζονται ως κρατικά μυστικά.

Ένα από αυτά τα σημεία απαιτεί λεπτομερέστερη μελέτη. Αρχικά, αναφέρουμε τον νόμο:

Άρθρο 1 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας "για τα προσωπικά δεδομένα" αριθ. 152-FZ της 27ης Ιουλίου 2006

2. Ο παρών ομοσπονδιακός νόμος δεν εφαρμόζεται στις σχέσεις που προκύπτουν από:

2) την οργάνωση της αποθήκευσης, της απόκτησης, της λογιστικής και της χρήσης, που περιέχουν προσωπικά δεδομένα των εγγράφων του Αρχείου Τραπέζης της Ρωσικής Ομοσπονδίας και άλλα αρχειακά έγγραφα σύμφωνα με τη νομοθεσία περί αρχείων στη Ρωσική Ομοσπονδία.

Σας υπενθυμίζουμε δύο ορισμούς που κατοχυρώνονται από το νόμο «Στις αρχειακές υποθέσεις στη Ρωσική Ομοσπονδία» αρ. 125-ΦΖ της 10.22.2005:

• αρχειακό έγγραφο - ένα απτό μέσο με πληροφορίες που καταγράφονται σε αυτό, το οποίο διαθέτει λεπτομέρειες, επιτρέποντάς του να ταυτοποιηθεί και υπόκειται σε αποθήκευση λόγω της σημασίας του αναφερόμενου μεταφορέα και πληροφοριών για τους πολίτες, την κοινωνία και το κράτος.
• Το έγγραφο του Ταμείου Αρχείων της Ρωσικής Ομοσπονδίας είναι ένα αρχείο αρχείου που πέρασε την εξέταση της αξίας των εγγράφων, εγγράφεται σε κρατική λογιστική και υπόκειται σε μόνιμη αποθήκευση.
  Αποδεικνύεται ότι εάν έχει οριστεί μόνιμη περίοδος αποθήκευσης για ένα έγγραφο ή μια βάση δεδομένων και περιλαμβάνονται στο Αρχειακό Ταμείο της Ρωσικής Ομοσπονδίας, ο νόμος αυτός δεν ισχύει για αυτούς. Αυτό το ελάττωμα επιτρέπει στις κυβερνητικές υπηρεσίες με οποιαδήποτε σοβαρή βάση δεδομένων να αποφεύγουν την εφαρμογή του νέου νόμου για τα προσωπικά δεδομένα.

Ακολουθεί ένα παράδειγμα του πώς μπορεί να γίνει αυτό. Σύμφωνα με τον ομοσπονδιακό νόμο «για τα αρχειακά θέματα στη Ρωσική Ομοσπονδία» (μέρος 2 του άρθρου 18), η κυβέρνηση της Ρωσικής Ομοσπονδίας εγκρίνει τον κατάλογο των ομοσπονδιακών εκτελεστικών οργάνων και οργανισμών που πραγματοποιούν αποθήκευση εγγράφων του αρχειακού ταμείου της Ρωσικής Ομοσπονδίας που ανήκουν σε ομοσπονδιακό επίπεδο. Ένας νέος κατάλογος 5 αυτών των υπηρεσιών και οργανισμών εγκρίθηκε στα τέλη του 2006. Ταυτόχρονα, οι οργανισμοί αυτοί διατάχθηκαν να συνάψουν συμφωνία με τους Rosarkhiv σχετικά με τους όρους αποθήκευσης των εγγράφων. Εάν κατά τη σύναψη της σύμβασης ορίζεται ρητά ότι όλα τα έγγραφα, εκτός από τα επιχειρησιακά, θεωρούνται ως έγγραφα που μεταφέρονται για επιμέλεια, τότε το μεγαλύτερο μέρος των εγγράφων μπορεί να υπαχθεί στην εξαίρεση αυτή.

Για άλλες κρατικές οργανώσεις, μία από τις επιλογές θα μπορούσε να είναι η έγκαιρη έγκριση αρχείου καταστάσεων με κρατικά αρχεία, πράγμα που θα σήμαινε την εγγραφή εγγράφων στο Αρχειακό Ταμείο της Ρωσικής Ομοσπονδίας και θα άφηνε και πάλι τη «ζώνη δράσης» του νόμου για τα προσωπικά δεδομένα.

Οι οδηγίες της Ευρωπαϊκής Ένωσης δεν περιέχουν μια τέτοια εξαίρεση, ωστόσο υπάρχει, για παράδειγμα, στον Κώδικα των ΗΠΑ 6, ο οποίος περιέχει πιο σωστή διατύπωση που δεν επιτρέπει αμφισημία: η νομοθεσία για τα προσωπικά δεδομένα δεν ισχύει γενικά για τα έγγραφα που έχουν ήδη κατατεθεί στα κρατικά αρχεία, αλλά ισχύει για τα έγγραφα που μεταφέρονται στα κρατικά αρχεία από οποιοδήποτε φορέα επιμέλειας.

Δεν είναι επίσης ξεκάθαρο γιατί, από τις πολυάριθμες κρατικές βάσεις δεδομένων μας, ο νόμος μας έκανε μια εξαίρεση για το ενοποιημένο κρατικό μητρώο ιδίων επιχειρηματιών (EGRIP). Θα ήταν συνεπώς λογικό να επεκταθεί η εξαίρεση σε άλλα κρατικά μητρώα που περιέχουν επίσης προσωπικά δεδομένα (για παράδειγμα, η Ενσωμάτωση περιλαμβάνει πληροφορίες για τους ιδρυτές και τα πρώτα πρόσωπα όλων των νομικών οντοτήτων της χώρας).

Προσωπικά δεδομένα και μέθοδοι επεξεργασίας

Προσωπικά δεδομένα - οποιαδήποτε πληροφορία σχετικά με ένα φυσικό πρόσωπο (αντικείμενο δεδομένων προσωπικού χαρακτήρα) που καθορίζεται ή προσδιορίζεται βάσει αυτών των πληροφοριών, συμπεριλαμβανομένου του επωνύμου, του ονόματος, του πατρόνυμου, του έτους, του μήνα, της ημερομηνίας και του τόπου γέννησης, της διεύθυνσης, της οικογένειας,, την εκπαίδευση, το επάγγελμα, το εισόδημα, άλλες πληροφορίες (σύμφωνα με το άρθρο 3 του Νόμου περί Προσωπικών Δεδομένων).

Ο νόμος προβλέπει τις ακόλουθες μεθόδους επεξεργασίας δεδομένων προσωπικού χαρακτήρα (για ορισμένες από αυτές παρέχονται λεπτομερείς εξηγήσεις στο άρθρο 3):

• συλλογή ·
• συστηματοποίηση ·
• συσσώρευση ·
• αποθήκευση.
• διευκρίνιση (ενημέρωση, αλλαγή) ·
• (πράξεις) με προσωπικά δεδομένα που εκτελούνται από τον φορέα εκμετάλλευσης 7 για τη λήψη αποφάσεων ή την εκτέλεση άλλων ενεργειών που προκαλούν νομικές συνέπειες σε σχέση με το θέμα των προσωπικών δεδομένων ή άλλων προσώπων ή με οποιονδήποτε άλλο τρόπο επηρεάζουν τα δικαιώματα και τις ελευθερίες του υποκειμένου προσωπικών δεδομένων ή άλλων προσώπων.
• διανομή (συμπεριλαμβανομένης της μεταφοράς) - «ενέργειες που αποσκοπούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε ορισμένο κύκλο προσώπων (μεταφορά δεδομένων προσωπικού χαρακτήρα) ή γνωριμία με ατομικά δεδομένα απεριόριστου αριθμού προσώπων, συμπεριλαμβανομένης της δημοσιοποίησης των προσωπικών δεδομένων στα μέσα ενημέρωσης, της τοποθέτησης σε πληροφορίες και των τηλεπικοινωνιών δίκτυα ή την πρόσβαση σε προσωπικά δεδομένα με οποιονδήποτε άλλο τρόπο ".
• Αποπροσωποποίηση - "ενέργειες, ως αποτέλεσμα των οποίων είναι αδύνατον να προσδιοριστεί η ταυτότητα των προσωπικών δεδομένων σε ένα συγκεκριμένο θέμα προσωπικών δεδομένων" ·
• - "προσωρινή αναστολή της συλλογής, συστηματοποίησης, συσσώρευσης, χρήσης, διάδοσης των προσωπικών δεδομένων, συμπεριλαμβανομένης της μεταφοράς τους" ·
• καταστροφή προσωπικών δεδομένων - "πράξεις που δεν θα μπορούσαν να αποκαταστήσουν το περιεχόμενο των προσωπικών δεδομένων στο σύστημα πληροφοριών των προσωπικών δεδομένων ή να καταλήξουν στην καταστροφή των υλικών φορέων των προσωπικών δεδομένων".

Ιδιαίτερη προσοχή πρέπει να δοθεί σε τέτοιες μεθόδους επεξεργασίας, όπως η παρεμπόδιση και η καταστροφή προσωπικών δεδομένων. Ο νόμος λέει αρκετά καλά για την καταστροφή - αυτή είναι η προσέγγιση που τώρα συνιστάται από τα εγχώρια και τα εξωτερικά πρότυπα. Όσον αφορά την παρεμπόδιση των προσωπικών δεδομένων, αυτή η μέθοδος επεξεργασίας στην εγχώρια πρακτική εισήχθη για πρώτη φορά και η εκτέλεσή της μπορεί να περιπλέξει σημαντικά τη ζωή των οργανισμών που χρησιμοποιούν παλαιότερα αναπτυγμένα συστήματα πληροφοριών και βάσεις δεδομένων στις οποίες δεν παρέχεται τέτοια ενέργεια.

Αρχές και όροι για την επεξεργασία προσωπικών δεδομένων

Οι διατάξεις του νόμου αποσκοπούν πρωτίστως στην πρόληψη της παράνομης συλλογής και χρήσης προσωπικών δεδομένων. Αυτή η επιθυμία του νομοθέτη οδήγησε στην εμφάνιση μιας νέας θέσης για την πρακτική τήρησης αρχείων:

Άρθρο 2 του άρθρου 5 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας "για τα προσωπικά δεδομένα" της 27ης Ιουλίου. 2006 αρ. 152-FZ

Τα προσωπικά δεδομένα πρέπει να αποθηκεύονται σε μορφή που να επιτρέπει τον προσδιορισμό του αντικειμένου, όχι περισσότερο από τους στόχους επεξεργασίας και πρέπει να καταστρέφονται κατά την επίτευξη των στόχων επεξεργασίας των προσωπικών δεδομένων ή την απώλεια της ανάγκης επίτευξής τους.

Σε αυτή την περίπτωση, ο νόμος, για πρώτη φορά, ίσως θέτει για ενημέρωση και τεκμηρίωση τη μέγιστη και, εξάλλου, υπό όρους περίοδο αποθήκευσης - «κατά την επίτευξη των στόχων επεξεργασίας». Οι οργανισμοί θα πρέπει να καθορίσουν περιόδους αποθήκευσης για έγγραφα που περιέχουν προσωπικά δεδομένα και θα πρέπει να σκεφτούν εκ των προτέρων το σκεπτικό για τις επιλεγμένες περιόδους αποθήκευσης. Πρόκειται για μια αρκετά περίπλοκη ερώτηση που μπορεί να προκαλέσει πολλές διαμάχες και προβλήματα.

Επιπλέον, οι ειδικοί του DOE πρέπει να δώσουν προσοχή στα ακόλουθα: δεδομένου ότι οι στόχοι συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως απαιτείται από το νόμο, πρέπει να καθοριστούν πριν από την έναρξη της εργασίας, είναι απαραίτητο να εξεταστεί προσεκτικά η διατύπωσή τους. Διαφορετικά, ο ίδιος ο οργανισμός μπορεί να "υποκαταστήσει" τον εαυτό του: οι στόχοι θα εκπληρωθούν και τα προσωπικά δεδομένα δεν θα καταστραφούν.

Ένα από τα πιο δυσάρεστα για τις οργανώσεις που συλλέγουν και επεξεργάζονται τα προσωπικά δεδομένα είναι η απαίτηση του άρθρου 6 σχετικά με την ανάγκη λήψης της συγκατάθεσης του υποκειμένου για την επεξεργασία τους. Δεν απαιτείται συγκατάθεση μόνο στις ακόλουθες περιπτώσεις:

• βάσει της ομοσπονδιακής νομοθεσίας ·
• προκειμένου να εκπληρώσει τη σύμβαση με το θέμα των δεδομένων προσωπικού χαρακτήρα ·
• για στατιστικούς ή επιστημονικούς σκοπούς.
• για την προστασία της ζωής και της υγείας του αντικειμένου των δεδομένων προσωπικού χαρακτήρα ·
• για την παράδοση ταχυδρομικών αντικειμένων από τους ταχυδρομικούς οργανισμούς.
• κατά τη διάρκεια των επαγγελματικών δραστηριοτήτων ενός δημοσιογράφου, μελετητή κ.λπ.
• τα δεδομένα που πρέπει να δημοσιεύονται σύμφωνα με τους ομοσπονδιακούς νόμους ·
• προκειμένου να προστατεύσει τα θεμέλια της συνταγματικής τάξης, της ηθικής, της υγείας, των δικαιωμάτων και των νόμιμων συμφερόντων των άλλων, να διασφαλίσει την υπεράσπιση της χώρας και την ασφάλεια του κράτους.

Έχουμε ήδη έναν αριθμό ομοσπονδιακών νόμων που περιγράφουν την επεξεργασία προσωπικών δεδομένων, για παράδειγμα, κατά τη διατήρηση των ενοποιημένων μητρώων κρατών φορολογουμένων (EGRN) και νομικών προσώπων (USR). Η μόνη προϋπόθεση για τη χρήση της εξαίρεσης από την απαίτηση γενικής συγκατάθεσης είναι να θέσει τα ακόλουθα ερωτήματα στη σχετική νομοθεσία:

• στόχων
• προϋποθέσεις για την απόκτηση προσωπικών δεδομένων
• κύκλο υποκειμένων των οποίων τα προσωπικά δεδομένα υπόκεινται σε επεξεργασία,
• αρμοδιότητες του φορέα εκμετάλλευσης που συλλέγει τα δεδομένα.

Δεν είναι ακόμη σαφές τι θα συμβεί με εκείνους τους νόμους που περιέχουν κανόνες σχετικά με τη συλλογή και επεξεργασία προσωπικών δεδομένων, αλλά δεν πληρούν τις καθορισμένες προϋποθέσεις.

Το πρώτο στα προβλήματα που σχετίζονται με τη συμμόρφωση με το νέο νόμο, επέστησε την προσοχή των ασφαλιστικών εταιρειών. Κατά την άποψή τους, ο νόμος περί προσωπικών δεδομένων μπορεί να παρεμποδίσει σοβαρά την εφαρμογή του νόμου περί υποχρεωτικής αστικής ευθύνης λόγω αστικής ευθύνης λόγω αστικής ευθύνης λόγω της απαγόρευσης μεταβίβασης στους τρίτους των προσωπικών δεδομένων του πελάτη που αποκτήθηκαν κατά τη σύναψη της σύμβασης ατυχήματος χωρίς τη συγκατάθεσή του. Ως αποτέλεσμα, η ασφαλιστική εταιρεία δεν θα μπορέσει να αποκτήσει ολοκληρωμένες πληροφορίες για τους πελάτες της από μια ενιαία βάση δεδομένων (και η διατήρηση μιας τέτοιας βάσης δεδομένων είναι επίσης αμφισβητήσιμη), σε αυτήν την περίπτωση, οι κίνδυνοι των ασφαλιστών αυξάνονται.

Ήδη, οι ασφαλιστικές εταιρείες προσπαθούν να λύσουν αυτό το σημαντικό πρόβλημα γι 'αυτούς εξετάζοντας τις ακόλουθες επιλογές:

• Τροποποιήσεις του νόμου για την OSAGO και υποχρέωση των ασφαλιστών να ανταλλάσσουν δεδομένα σχετικά με ασφαλισμένα συμβάντα.
• Ορισμός ενός μέρους των προσωπικών δεδομένων ως δημόσιων. Οι πληροφορίες που υποδεικνύει ένα άτομο κατά τη σύναψη σύμβασης OSAGO είναι, σύμφωνα με τους ασφαλιστές, δημόσιες. Ωστόσο, ο νόμος "Για τα προσωπικά δεδομένα" απαιτεί τη λήψη συγκατάθεσης για τη συλλογή δημόσιων δεδομένων.
• Η επιτροπή της ρωσικής ένωσης ασφαλιστών (ARIA) για την καταπολέμηση της απάτης στην ασφάλιση έχει ήδη εκπονήσει δύο νομοσχέδια, τα οποία προβλέπεται να υποβληθούν στην Κρατική Δούμα στις αρχές του 2007. Σύμφωνα με τον επικεφαλής της επιτροπής, Yevgeny Potapov, ένας από αυτούς τους λογαριασμούς θα τροποποιήσει το νόμο «για την οργάνωση των ασφαλιστικών επιχειρήσεων στη Ρωσική Ομοσπονδία." Θα επιτρέψει στους ασφαλιστές να δημιουργήσουν αυτοματοποιημένα συστήματα πληροφοριών βασισμένα στις ενώσεις και τις ενώσεις τους, τα οποία θα περιέχουν στοιχεία για τις ασφαλιστικές απαιτήσεις και τις πληρωμές 8.

Η παράγραφος 6 του άρθρου 6 σχετικά με τη χορήγηση του δικαιώματος επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε δημοσιογράφους, μελετητές και εκπροσώπους άλλων δημιουργικών επαγγελμάτων χωρίς τη συγκατάθεση του θέματος είναι αμφίβολη. Είναι αρκετά ρεαλιστικό (ειδικά στις εμπορικές δομές) να εισαγάγει μια θέση πλήρους απασχόλησης "ενός εκπροσώπου του δημιουργικού επαγγέλματος" και να "γράψει σε αυτό" όλες τις βάσεις δεδομένων που περιέχουν προσωπικές πληροφορίες.

Για παράδειγμα, στην Αγγλία, σε παρόμοια διάταξη του νόμου, ορίζεται επιπλέον ότι στην περίπτωση αυτή ο σκοπός της επεξεργασίας δεδομένων θα πρέπει να είναι η δημοσίευση του σχετικού υλικού. ότι μια τέτοια δημοσίευση πρέπει να είναι προς το δημόσιο συμφέρον (συμπεριλαμβανομένης της άσκησης του δικαιώματος αυτοαπασχόλησης εκπροσώπου του δημιουργικού επαγγέλματος) 9.

Επιπλέον, είναι ενδιαφέρον πώς θα καθορίσουμε ποιος είναι δημοσιογράφος ή συγγραφέας και ποιος δεν είναι. Δεν είναι μυστικό ότι πολλοί από τους αδελφούς γραφής δεν έχουν τα κατάλληλα διπλώματα ή επίσημες ταυτότητες. Εδώ, η προσέγγιση που χρησιμοποιείται στις ΗΠΑ μπορεί να είναι χρήσιμη για εμάς: οι δημοσιογράφοι αναγνωρίζουν όλους εκείνους που γράφουν άρθρα για δημόσια διανομή, ακόμη και αν δημοσιεύονται μόνο στο διαδίκτυο.

Στις Ηνωμένες Πολιτείες, τον Ιανουάριο του 2007, ξεκίνησε η δίκη του πρώην ανώτερου διοικητή του George Bush Lewis "Scooter" Libby. Εκατοντάδες έδρες αφιερώθηκαν για τον Τύπο στην αίθουσα του δικαστηρίου και δύο από αυτές έλαβαν επίσημα οι συντάκτες των ημερολογίων του Διαδικτύου.

Η Αμερικανική Εταιρεία Συντάκτες Εφημερίδων κατά τη σύνταξη ενός ομοσπονδιακού νόμου για τη χορήγηση στους δημοσιογράφους του δικαιώματος να μην αποκαλύπτουν εμπιστευτικές πληροφορίες κατά τη διάρκεια δικαστικών διαδικασιών υποδεικνύει ότι ο νόμος αυτός ισχύει για όλους ανεξαιρέτως και καλύπτει όσους συλλέγουν πληροφορίες για περαιτέρω διανομή. Και αυτοί οι συντάκτες των ημερολογίων Internet, "bloggers", εμπίπτουν επίσης στον ορισμό αυτό 10.

Τώρα ας δούμε πώς ο νέος νόμος περιλαμβάνει τη λήψη της συγκατάθεσης του υποκειμένου στην επεξεργασία των προσωπικών του δεδομένων.

Άρθρο 1 του άρθρου 9 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας "για τα προσωπικά δεδομένα" της 27ης Ιουλίου. 2006 αρ. 152-FZ

Το θέμα των προσωπικών δεδομένων αποφασίζει για την παροχή των προσωπικών του δεδομένων και συμφωνεί στην επεξεργασία τους με δική του βούληση και προς το συμφέρον του... Η συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων μπορεί να αποσυρθεί από το θέμα των προσωπικών δεδομένων.

Επιπλέον, η ρήτρα 3 του άρθρου 9 περιέχει μια μάλλον δυσάρεστη προϋπόθεση για τους φορείς εκμετάλλευσης. Θα πρέπει είτε να συγκεντρώσουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα που συλλέγουν προέρχονται από πηγές που είναι διαθέσιμες στο κοινό είτε να λαμβάνουν τη συγκατάθεσή τους από το θέμα των προσωπικών δεδομένων και στη συνέχεια να αποθηκεύουν αυτό το έγγραφο σε περίπτωση που το "υποκείμενο" αποφασίσει να μηνύσει τον φορέα εκμετάλλευσης για παραβίαση των δικαιωμάτων του.

Με τα διαθέσιμα στο κοινό δεδομένα δεν είναι επίσης τόσο απλό. Το άρθρο 8, το οποίο ορίζει τι σημαίνουν οι πηγές προσωπικών δεδομένων που είναι προσβάσιμα από το κοινό (βιβλία αναφοράς, βιβλία διευθύνσεων κ.λπ.), τονίζει ότι οι προσωπικές πληροφορίες μπορούν να συμπεριληφθούν μόνο με τη γραπτή συγκατάθεση του υποκειμένου. Επιπλέον, "οι πληροφορίες σχετικά με το θέμα των προσωπικών δεδομένων μπορούν να εξαιρούνται οποιαδήποτε στιγμή από τις διαθέσιμες στο κοινό πηγές δεδομένων προσωπικού χαρακτήρα κατόπιν αιτήματος του υποκειμένου των δεδομένων προσωπικού χαρακτήρα ή από δικαστήριο ή από άλλα εξουσιοδοτημένα κυβερνητικά όργανα".

Από την άλλη πλευρά, εάν ένας οργανισμός χρησιμοποίησε διαθέσιμες στο κοινό πηγές δεδομένων προσωπικού χαρακτήρα κατά τη συλλογή πληροφοριών, τότε θα έπρεπε να τεκμηριώνει από πού έλαβε αυτές τις πληροφορίες και να βεβαιωθεί ότι η "πηγή" έχει τη γραπτή συγκατάθεση που απαιτείται από το νόμο.

Ομοσπονδιακό Δίκαιο της Ρωσικής Ομοσπονδίας "Στα Προσωπικά Δεδομένα" της 27ης Ιουλίου. 2006 αρ. 152-FZ

Ρήτρα 12 του άρθρου 3. Βασικοί όροι που χρησιμοποιούνται στον παρόντα ομοσπονδιακό νόμο

Τα γενικά προσβάσιμα προσωπικά δεδομένα είναι προσωπικά δεδομένα στα οποία έχει πρόσβαση ένας απεριόριστος αριθμός ατόμων με τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων ή στους οποίους η απαίτηση εμπιστευτικότητας δεν ισχύει σύμφωνα με τους ομοσπονδιακούς νόμους.

Άρθρο 1 του άρθρου 8. Γενικώς προσιτές πηγές προσωπικών δεδομένων

Προκειμένου να παρέχεται υποστήριξη πληροφοριών, μπορούν να δημιουργηθούν δημόσιες πηγές προσωπικών δεδομένων (συμπεριλαμβανομένων βιβλίων αναφοράς, βιβλίων διευθύνσεων). Οι δημόσιες πηγές δεδομένων προσωπικού χαρακτήρα με τη γραπτή συγκατάθεση του υποκειμένου των δεδομένων προσωπικού χαρακτήρα μπορούν να περιλαμβάνουν το επώνυμό του, το ονοματεπώνυμό του, το έτος και τον τόπο γέννησής του, τη διεύθυνση, τον αριθμό συνδρομητή, τις πληροφορίες σχετικά με το επάγγελμα και άλλα προσωπικά δεδομένα που παρέχονται από το θέμα των προσωπικών δεδομένων.

Άρθρο 3 του άρθρου 9. Συγκατάθεση του αντικειμένου των δεδομένων προσωπικού χαρακτήρα σχετικά με την επεξεργασία των προσωπικών τους δεδομένων

Η υποχρέωση απόδειξης παραλαβής της συγκατάθεσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα για την επεξεργασία των προσωπικών του δεδομένων, όπως στην περίπτωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δημόσιου βάρος της απόδειξης ότι διατίθενται στο κοινό τα επεξεργασμένα δεδομένα προσωπικού χαρακτήρα, η ευθύνη του φορέα εκμετάλλευσης.

Αποδεικνύεται ότι για να προστατευθούν, οι οργανώσεις θα πρέπει να ζητήσουν επίσημη επιβεβαίωση για κάθε πολίτη.

Πώς πρέπει να υποβληθεί γραπτή συγκατάθεση του υποκειμένου; Αποδεικνύεται ότι η υπογραφή ενός πολίτη υπό τη γενική φράση "Συμφωνώ με τη συλλογή και επεξεργασία των προσωπικών μου δεδομένων" δεν θα είναι αρκετή.

Άρθρο 4 του άρθρου 9 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας «για τα προσωπικά δεδομένα» της 27ης Ιουλίου. 2006 αρ. 152-FZ

... η γραπτή συγκατάθεση του αντικειμένου των δεδομένων προσωπικού χαρακτήρα στην επεξεργασία των προσωπικών τους δεδομένων πρέπει να περιλαμβάνει:

1. ονοματεπώνυμο, ονοματεπώνυμο, διεύθυνση του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, αριθμός του κύριου εγγράφου που αποδεικνύει την ταυτότητά του, πληροφορίες σχετικά με την ημερομηνία έκδοσης του συγκεκριμένου εγγράφου και την αρχή έκδοσης ·
2. το ονοματεπώνυμο (όνομα, επώνυμο) και διεύθυνση του χειριστή που λαμβάνει τη συγκατάθεση του υποκειμένου των δεδομένων προσωπικού χαρακτήρα ·
3. σκοπό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ·
4. κατάλογο των δεδομένων προσωπικού χαρακτήρα για την επεξεργασία των οποίων δίνεται η συναίνεση του υποκειμένου των δεδομένων προσωπικού χαρακτήρα ·
5. τον κατάλογο των ενεργειών με δεδομένα προσωπικού χαρακτήρα για τα οποία παρέχεται συγκατάθεση, μια γενική περιγραφή των μεθόδων που χρησιμοποιεί ο φορέας εκμετάλλευσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ·
6. την περίοδο κατά την οποία ισχύει η συναίνεση, καθώς και τη διαδικασία απόσυρσής της.

Αυτό σημαίνει ότι πριν επιχειρήσει να «πιάσει» το θέμα των προσωπικών δεδομένων και προσπαθήσει να πάρει τη συναίνεσή του, ο φορέας εκμετάλλευσης πρέπει να αναπτύξει μια ειδική μορφή του εγγράφου που θα περιέχει όλες τις απαραίτητες πληροφορίες.

Δικαιώματα του αντικειμένου προσωπικών δεδομένων

Πρώτον, το θέμα των προσωπικών δεδομένων έχει το δικαίωμα να λαμβάνει τις ακόλουθες πληροφορίες:

• πληροφορίες σχετικά με τον χειριστή,
• πληροφορίες σχετικά με την τοποθεσία του χειριστή,
• πληροφορίες σχετικά με τα προσωπικά δεδομένα του φορέα εκμετάλλευσης σχετικά με το σχετικό θέμα των προσωπικών δεδομένων,
• το υποκείμενο έχει επίσης το δικαίωμα να εξοικειωθεί με τα προσωπικά του δεδομένα που κατέχει ο φορέας εκμετάλλευσης.

Από τον χειριστή, το θέμα των προσωπικών δεδομένων μπορεί να απαιτεί:

• διευκρινίστε τα προσωπικά σας δεδομένα
• την παρεμπόδιση ή την καταστροφή τους σε περίπτωση που τα προσωπικά δεδομένα είναι ελλιπή, παρωχημένα, ανακριβή, παράνομα ληφθέντα ή μη απαραίτητα για τον συγκεκριμένο σκοπό της επεξεργασίας.

Πολλά προβλήματα για τους επιχειρηματίες οργανισμούς να δημιουργήσουν το άρθρο 14, παράγραφος 2 του νόμου, το οποίο απαιτεί ότι οι πληροφορίες για την ύπαρξη των προσωπικών δεδομένων που διατίθενται από το χειριστή του θέματος σε προσιτή μορφή, και ότι δεν παρουσιάζουν πληροφορίες σχετικά με άλλα θέματα προσωπικών δεδομένων.

Η υπόθεση "Durant vs. Financial Services Authority", υπόθεση 11, που εξετάστηκε στο Εφετείο της Αγγλίας τον Δεκέμβριο του 2003, έλαβε ευρεία απάντηση. Η απόφαση του δικαστηρίου μείωσε σημαντικά την ερμηνεία της έννοιας "προσωπικά δεδομένα". Συγκεκριμένα, το δικαστήριο ανέφερε ότι η απλή αναφορά αυτού του προσώπου στο κείμενο του εγγράφου δεν αρκεί για να εξετάσει το έγγραφο που περιέχει προσωπικά δεδομένα. Επιπλέον, το δικαστήριο επιβεβαίωσε ότι το δικαίωμα πρόσβασης στα προσωπικά δεδομένα δεν θα πρέπει να παραβιάζει τα δικαιώματα τρίτων και ότι συνεπώς τα προσωπικά δεδομένα τρίτων πρέπει να αφαιρεθούν από τα αντίγραφα των παρεχόμενων εγγράφων κατόπιν αιτήματος (εκτός από ειδικές περιστάσεις).

Τον Νοέμβριο του 2004, η κυβέρνηση αρνήθηκε την πρόσβαση στα δικαιώματα των εργαζομένων στο Ηνωμένο Βασίλειο για τα προσωπικά τους δεδομένα, ανεξάρτητα από το αν ο εργοδότης τους κρατά σε χαρτί ή σε ηλεκτρονική μορφή εάν διατηρούνται σε ένα σύστημα που δεν επιτρέπει να δομήσει με σαφήνεια τις πληροφορίες για κάθε άτομο. Έτσι, τα συστήματα αποθήκευσης αρχείων εγγράφων (με εξαίρεση τα προσωπικά αρχεία) απομακρύνθηκαν de facto από τη δράση του νόμου για την παροχή πρόσβασης σε προσωπικά είναι δύσκολο να απομονωθούν πληροφορίες για ένα συγκεκριμένο άτομο.

Για να έχουν πρόσβαση στα προσωπικά τους δεδομένα, οι συμπατριώτες μας πρέπει:

• εφαρμόστε προσωπικά ή
• αποστολή αίτησης, η οποία πρέπει να περιέχει:
  • τον αριθμό του κύριου εγγράφου που πιστοποιεί την ταυτότητα του αντικειμένου των δεδομένων προσωπικού χαρακτήρα ή τον νόμιμο εκπρόσωπό του,
  • - πληροφορίες σχετικά με την ημερομηνία έκδοσης του συγκεκριμένου εγγράφου και την αρχή έκδοσης και -
  • χειρόγραφη υπογραφή του αντικειμένου των δεδομένων προσωπικού χαρακτήρα ή του νόμιμου αντιπροσώπου του.

Το αίτημα αυτό μπορεί να αποσταλεί σε ηλεκτρονική μορφή και να υπογραφεί με ψηφιακή υπογραφή. Έτσι, ο νόμος παρέχει επίσημα την ευκαιρία να υποβάλλει αίτηση για τα προσωπικά του δεδομένα μέσω ηλεκτρονικών διαύλων επικοινωνίας. Δεν έχουμε ακόμα άτομα που έχουν δικό τους EDS σύμφωνα με το νόμο για την EDS (στη συντριπτική πλειοψηφία των περιπτώσεων, η EDS χρησιμοποιείται στη χώρα μας σύμφωνα με το άρθρο 160 του Αστικού Κώδικα, το οποίο προβλέπει την προκαταρκτική συμφωνία των μερών).

Το ποσό των πληροφοριών που μπορεί να ζητήσει ένα θέμα δεδομένων προσωπικού χαρακτήρα δείχνει ανησυχία στους πολίτες μας. Οι οργανισμοί που οδηγούν τη βάση δεδομένων που περιέχει δεδομένα προσωπικού χαρακτήρα συνιστάται να δίνουν ιδιαίτερη προσοχή στην παράγραφο 4 του άρθρου 14 του νέου νόμου, προκειμένου να εξετάσει και να εδραιώσει τη διαδικασία παροχής πληροφοριών στους εσωτερικούς κανονισμούς:

1. το γεγονός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τον φορέα εκμετάλλευσης, καθώς και τους σκοπούς αυτής της επεξεργασίας ·
2. σχετικά με τις μεθόδους επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιεί ο φορέας εκμετάλλευσης ·
3. σχετικά με τα πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα ή που μπορεί να χορηγηθεί η εν λόγω πρόσβαση (να είναι σε θέση να αναφέρουν ότι, σε ποιον και ποια προσωπικά δεδομένα που παρέχονται, είναι απαραίτητο να οργανώνει τις εργασίες της λογιστικής προσωπικών δεδομένων και ελέγχου πρόσβασης σε αυτά, ή ο οργανισμός-φορέας θα είναι δύσκολο να εκπληρωθεί αυτή η απαίτηση) ·
4. τον κατάλογο των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα και τις πηγές απόδειξής τους ·
5. προθεσμίες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των όρων της αποθήκευσης τους (θα πρέπει να δώσουν ιδιαίτερη προσοχή σε αυτή την απαίτηση, γιατί στην πραγματικότητα απαιτεί από τον φορέα εκμετάλλευσης να καθορίσει τις εσωτερικές ρυθμίσεις των όρων της επεξεργασίας και αποθήκευσης, η οποία μπορεί να ποικίλει ανάλογα με τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα)?
6. πληροφορίες σχετικά με το ποιες είναι οι νομικές συνέπειες για το υποκείμενο των δεδομένων προσωπικού χαρακτήρα μπορεί να συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα (για να ικανοποιηθεί η απαίτηση αυτή, οι οργανισμοί θα πρέπει να προχωρήσει, να αναθέσει τους δικηγόρους τους για να διατυπώσει μια μελέτη όλων των πιθανών νομικών συνεπειών των προσωπικών δεδομένων)

Το θέμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα "για την προώθηση αγαθών, έργων και υπηρεσιών στην αγορά μέσω άμεσων επαφών με δυνητικό καταναλωτή μέσω εργαλείων επικοινωνίας, καθώς και για πολιτικές εκστρατείες", αφιερώνεται σε ειδικό άρθρο (άρθρο 15). Τώρα, οι εμπορικοί και πολιτικοί οργανισμοί, πριν από την αποστολή της διαφήμισης, πρέπει να λάβουν την προηγούμενη συγκατάθεση του πολίτη και η επεξεργασία του PD "αναγνωρίζεται ότι πραγματοποιείται χωρίς την προηγούμενη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, εάν ο χειριστής δεν αποδείξει ότι έχει ληφθεί τέτοια συγκατάθεση". Για ορισμένες εμπορικές δομές, αυτή η απαίτηση μπορεί να είναι πολύ ενοχλητική!

Στο εξής «Απαγορεύεται η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία των δεδομένων προσωπικού χαρακτήρα λύσεις που οδηγούν σε έννομα αποτελέσματα όσον αφορά το θέμα των προσωπικών δεδομένων ή με άλλο τρόπο επηρεάζουν τα δικαιώματα και τα νόμιμα συμφέροντα» (άρθρο 16).

Αυτή η διάταξη είναι απαραίτητη και έγκαιρη. Αλλά οι νομοθέτες μας, κατά τη διατύπωσή της, μπερδεύτηκαν με δύο διαφορετικές αντιλήψεις: "αυτόματη" (δηλαδή, χωρίς ανθρώπινη συμμετοχή) και "αυτοματοποιημένη" (δηλαδή με την ανθρώπινη συμμετοχή). Ως αποτέλεσμα, το άρθρο αυτό, αντί να επιβάλλει πρόσθετους περιορισμούς σε αυτά και μόνο όταν το σύστημα πληροφοριών λαμβάνει αποφάσεις χωρίς ανθρώπινη συμμετοχή (π.χ. επιβολή προστίμου, απαγόρευση ταξιδιών εκτός της χώρας κ.λπ.), μπορεί να ερμηνευθεί υπό την έννοια ότι επιβάλλει περιορισμούς σε όλους τους τύπους επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δεδομένου ότι ακόμη και η χρήση μιας αριθμομηχανής μπορεί να νοηθεί ως αυτοματοποιημένη επεξεργασία!

Στο ίδιο άρθρο του νέου νόμου αναφέρεται ότι ο φορέας εκμετάλλευσης θα μπορεί να λαμβάνει αποφάσεις μόνο με βάση την αυτοματοποιημένη επεξεργασία, εάν:

• - να λάβει γραπτή συγκατάθεση από το υποκείμενο των δεδομένων προσωπικού χαρακτήρα ή -
• εάν αυτοί οι κανόνες θεσπίζονται με ομοσπονδιακούς νόμους.

Σε ορισμένα κανονιστικά έγγραφα, αυτές οι απαιτήσεις του νόμου έχουν ήδη ληφθεί υπόψη. Έτσι, στα δείγματα των αιτήσεων έκδοσης διαβατηρίου νέας γενιάς υπάρχει ένα ειδικό τμήμα στο οποίο ο αιτών συμφωνεί με την «αυτοματοποιημένη» επεξεργασία των δεδομένων που αναφέρονται στην αίτηση. Ακούγεται ως εξής: "Συμφωνώ με την αυτοματοποιημένη επεξεργασία, μετάδοση και αποθήκευση των δεδομένων που καθορίζονται στην αίτηση για τους σκοπούς της κατασκευής, επεξεργασίας και ελέγχου ενός διαβατηρίου κατά τη διάρκεια ισχύος του" 12.

Ο φορέας εκμετάλλευσης θα πρέπει επίσης να παρέχει τις ακόλουθες πληροφορίες στον πολίτη εκ των προτέρων:

• τη σειρά λήψης αποφάσεων με βάση αποκλειστικά "αυτοματοποιημένη" επεξεργασία των προσωπικών του δεδομένων και
• πιθανές νομικές συνέπειες μιας τέτοιας απόφασης ·
• τη διαδικασία προστασίας από το θέμα των προσωπικών δεδομένων των δικαιωμάτων και των έννομων συμφερόντων του ·
• ευκαιρία να αντιταχθεί σε μια τέτοια απόφαση.

Σε περίπτωση διαφωνίας, ο φορέας εκμετάλλευσης θα πρέπει να αποδείξει ότι έχει συμμορφωθεί με όλες τις απαιτήσεις του νόμου. Αυτό σημαίνει ότι θα πρέπει να συλλέξει και να αποθηκεύσει προσεκτικά τα δικαιολογητικά.

Ευθύνες χειριστή

Οι υποχρεώσεις του φορέα εκμετάλλευσης, σύμφωνα με το άρθρο 18, περιλαμβάνουν κυρίως την παροχή προσωπικών πληροφοριών κατόπιν αιτήματος του πολίτη. Επιπλέον, ο φορέας εκμετάλλευσης πρέπει να "διευκρινίσει στο θέμα των προσωπικών δεδομένων τις νομικές συνέπειες της άρνησης παροχής των προσωπικών του δεδομένων", εάν αυτή η υποχρέωση καθορίζεται από τον ομοσπονδιακό νόμο.

Το άρθρο 20 ορίζει τους φορείς είναι πολύ αυστηρές προθεσμίες των αιτήσεων από τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα (είναι πολύ πιο άκαμπτη, όπως αυτές που παρέχονται σε πρόσφατο νόμο «Με τη σειρά της εξέτασης των αιτήσεων των πολιτών της Ρωσικής Ομοσπονδίας»):

• παροχή στοιχείων - εντός 10 εργάσιμων ημερών από την ημερομηνία παραλαβής της αίτησης.
• κίνητρο άρνησης - εντός 7 εργάσιμων ημερών.

Ο χειριστής θα έχει ακόμα περισσότερες ερωτήσεις εάν είναι απαραίτητο να εξαλείψει τις παραβιάσεις του νόμου εντός του χρονικού πλαισίου που ορίζεται στο άρθρο 21 του νέου νόμου. Το κλείδωμα δεδομένων θα πρέπει να πραγματοποιείται από τη στιγμή της αίτησης ή από τη στιγμή παραλαβής της αίτησης και την εξάλειψη των παραβιάσεων - εντός 3 εργάσιμων ημερών.

Σε ορισμένες περιπτώσεις, ο φορέας εκμετάλλευσης υποχρεούται να καταστρέψει τα δεδομένα προσωπικού χαρακτήρα εντός 3 εργάσιμων ημερών, δηλαδή:

• σε περίπτωση αδυναμίας εξάλειψης των παραβιάσεων,
• σε περίπτωση επίτευξης του στόχου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
• σε περίπτωση που το θέμα των προσωπικών δεδομένων ανακαλέσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων.

Τόσο η δέσμευση όσο και η καταστροφή των προσωπικών δεδομένων μπορεί να είναι δύσκολη (και μερικές φορές αδύνατη) για την εφαρμογή σε επί του παρόντος λειτουργούντα συστήματα πληροφοριών και βάσεις δεδομένων που προηγουμένως δεν προέβλεπαν μια τέτοια δυνατότητα.

Θα είναι ακόμη πιο δύσκολο για τον χειριστή εάν έλαβε προσωπικά δεδομένα όχι από πολίτη, αλλά από τρίτο μέρος.

Άρθρο 18 του άρθρου 18 του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας «για τα προσωπικά δεδομένα» της 27ης Ιουλίου. 2006 αρ. 152-FZ

Εάν τα προσωπικά δεδομένα δεν ελήφθησαν από το υποκείμενο των δεδομένων προσωπικού χαρακτήρα, εκτός από τις περιπτώσεις, όταν τα προσωπικά δεδομένα έχει στη διάθεση του φορέα βάσει του ομοσπονδιακού νόμου ή αν διατίθενται στο κοινό τα προσωπικά δεδομένα, ο χειριστής πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα υποχρεούται να παρέχει στον υποκείμενο των δεδομένων προσωπικού χαρακτήρα τα ακόλουθα στοιχεία:

1. όνομα (επώνυμο, όνομα, μεσαία επωνυμία) και διεύθυνση του χειριστή ή του αντιπροσώπου του ·
2. ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και η νομική βάση της ·
3. τους σκοπούμενους χρήστες των προσωπικών δεδομένων ·
4. τα δικαιώματα του αντικειμένου των δεδομένων προσωπικού χαρακτήρα που θεσπίζει ο ομοσπονδιακός νόμος.

Πίσω από αυτές τις λέξεις είναι πιο χρονοβόρα εργασία. Για παράδειγμα, μπορεί να προκύψει το ερώτημα: πώς πρέπει να παρέχονται αυτές οι πληροφορίες στο θέμα; Είναι δυνατή η αποστολή μέσω ταχυδρομείου και θα ληφθούν υπόψη οι πληροφορίες εάν το θέμα δεν έχει λάβει την αντίστοιχη επιστολή;

Η υποχρέωση του φορέα εκμετάλλευσης, σύμφωνα με το άρθρο 19, είναι επίσης να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων κατά τη διάρκεια της επεξεργασίας τους. Προκειμένου να αποφευχθούν προβλήματα, η οργάνωση φορέων εκμετάλλευσης θα πρέπει να αναπτύξει και να εδραιώσει στα ρυθμιστικά έγγραφα όλα τα οργανωτικά και τεχνικά μέτρα ασφάλειας πληροφοριών που είναι διατεθειμένα να λάβει για την προστασία των προσωπικών δεδομένων που περιέχονται στα πληροφοριακά της συστήματα.

Δημόσια εγγραφή συστημάτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Ο νόμος προβλέπει ότι όλοι οι φορείς επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να ενημερώσουν εκ των προτέρων τον εξουσιοδοτημένο οργανισμό (άρθρο 22), ο οποίος θα τηρεί μητρώα των φορέων εκμετάλλευσης σε ειδικό μητρώο. Το εξουσιοδοτημένο όργανο, σύμφωνα με το άρθρο 23, είναι το Υπουργείο Τεχνολογιών Πληροφορίας και Επικοινωνιών της Ρωσικής Ομοσπονδίας, το οποίο εκτελεί επί του παρόντος "λειτουργίες ελέγχου και εποπτείας στον τομέα των τεχνολογιών πληροφόρησης και επικοινωνιών". Η κοινοποίηση θα πρέπει να διευκρινίσει λεπτομερώς τι σχεδιάζεται να κάνει με τα προσωπικά δεδομένα. Οποιεσδήποτε αλλαγές σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει επίσης να αναφέρονται στον εξουσιοδοτημένο φορέα.

Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς κοινοποίηση στον εξουσιοδοτημένο φορέα στις ακόλουθες περιπτώσεις:

• παρουσία εργασιακών σχέσεων.
• όταν συνάπτει σύμβαση στην οποία το πρόσωπο των προσωπικών δεδομένων είναι συμβαλλόμενο μέρος ·
• εάν τα προσωπικά δεδομένα ανήκουν σε μέλη (συμμετέχοντες) μιας δημόσιας ένωσης ή θρησκευτικής οργάνωσης και υποβάλλονται σε επεξεργασία από το σχετικό δημόσιο σωματείο ή θρησκευτική οργάνωση ·
• εάν τα δεδομένα προσωπικού χαρακτήρα είναι διαθέσιμα στο κοινό ·
• εάν τα προσωπικά δεδομένα περιλαμβάνουν μόνο τα ονόματα, τα επώνυμα και την επωνυμία των υποκειμένων.
• κατά την εγγραφή των εισαγωγών ·
• εάν τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνονται σε συστήματα πληροφοριών τα οποία, σύμφωνα με τους ομοσπονδιακούς νόμους, έχουν την κατάσταση ομοσπονδιακών αυτοματοποιημένων συστημάτων πληροφοριών, καθώς και κρατικών συστημάτων πληροφοριών για προσωπικά δεδομένα που δημιουργούνται για την προστασία της ασφάλειας του κράτους και της δημόσιας τάξης ·

Εν κατακλείδι, θα δώσουμε ορισμένες συστάσεις στους φορείς εκμετάλλευσης. Δεν θα είναι πολύ δύσκολο να εκπληρωθούν οι απαιτήσεις του νόμου για τα προσωπικά δεδομένα, αν αυτή η εργασία ξεκινήσει τώρα, χωρίς να περιμένουν τις πρώτες καταγγελίες και καταγγελίες. Μπορείτε να ξεκινήσετε με τα ακόλουθα προφανή μέτρα:

• Συνιστάται να διοριστεί υπεύθυνος υπάλληλος για να επανεξετάσει όλα τα ζητήματα που σχετίζονται με την εφαρμογή αυτού του νόμου στον οργανισμό, ενώ για τις μεγάλες επιχειρήσεις μπορεί να δικαιολογηθεί η δημιουργία ειδικής επιτροπής.
• Για όλους τους πόρους πληροφοριών του οργανισμού που περιέχει προσωπικά δεδομένα, πρέπει:
  • καθορίζουν το καθεστώς τους (βάσει του οποίου δημιουργήθηκαν: σύμφωνα με τη νομοθεσία, για την εκτέλεση της σύμβασης, με δική τους πρωτοβουλία κ.λπ.) ·
  • να αποσαφηνίσει και να καταγράψει τη σύνθεση των προσωπικών δεδομένων και των πηγών παραλαβής τους (από πολίτη, από δημόσιες πηγές, από τρίτους κ.λπ.) ·
  • καθορίζει την περίοδο αποθήκευσης και τον χρόνο επεξεργασίας των δεδομένων σε κάθε πόρο πληροφοριών ·
  • προσδιορίζουν τις μεθόδους επεξεργασίας ·
  • εντοπίζουν άτομα με πρόσβαση στα δεδομένα ·
  • διατύπωση νομικών επιπτώσεων ·
  • καθορίζει τη διαδικασία ανταπόκρισης σε αιτήματα, πιθανές απαντήσεις και ενέργειες, αξιολογεί την πραγματικότητα της συμμόρφωσης με τους καθιερωμένους χρόνους απόκρισης.

Σε αυτό το άρθρο, μια ανάλυση του νέου νόμου για την προστασία των προσωπικών δεδομένων γίνεται από την άποψη των ειδικών στον τομέα της διαχείρισης αρχείων, τα οποία θα χαλάσουν πολύ αίμα. Η αποτελεσματικότητά του θα αποδειχθεί από την πρακτική, αλλά προς το παρόν, ως "πρόσωπο με τα προσωπικά δεδομένα", εκτιμώ τον κατάλογο των δημόσιων αρχών στις οποίες θα μπορούσα να απευθύνω αίτηση παροχής, σύμφωνα με τις απαιτήσεις του νόμου, σχετικών πληροφοριών. Τώρα έχω το δικαίωμα!

1 του άρθρου 25 του Κεφαλαίου IV της οδηγίας 95/46 / ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης ΕΕ Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

2 Είναι ενδιαφέρον ότι ακόμη και οι Ηνωμένες Πολιτείες δεν συμμορφώνονται με αυστηρές ευρωπαϊκές απαιτήσεις και οι αμερικανικές εταιρείες αναγκάζονται να χρησιμοποιούν τις αποκαλούμενες συμφωνίες "ομπρέλα".

3 Το υποκείμενο προσωπικών δεδομένων είναι ένα φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία.

4 "σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα"

5 Ο κατάλογος των ομοσπονδιακών εκτελεστικών οργάνων και των οργανώσεων που επιτελούν θεματοφυλακής ρωσικά έγγραφα Αρχειακή Ταμείο στο πλαίσιο ομοσπονδιακή ιδιοκτησία, περιλαμβάνονται 18 επιχειρήσεις: το ρωσικό Υπουργείο Εσωτερικών, το ρωσικό υπουργείο Εξωτερικών, το ρωσικό υπουργείο Άμυνας, Ρωσική Υπηρεσίας Πληροφοριών Εξωτερικού, η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας Ομοσπονδιακής Υπηρεσίας Ελέγχου Ναρκωτικών της Ρωσίας FSIN της Ρωσίας, Rosatom, Roskartografiya, Ρωσική Ακαδημία Γεωπονικών Επιστημών, Ρωσική Ακαδημία Ιατρικών Επιστημών, Ρωσική Ακαδημία Εκπαίδευσης, Ρωσική Ακαδημία Τεχνών, Ρωσική Ακαδημία Αρχιτεκτονικής και Επιστημών Κατασκευών, Κρατική chrezhdenie «All-Ρωσίας Ερευνητικό Ινστιτούτο υδρομετεωρολογικών πληροφορίες - Κόσμος Data Center» Ομοσπονδιακή Κρατικού Ιδρύματος «Κρατικό Ταμείο Τηλεόραση και το Ραδιόφωνο», Ομοσπονδιακό κράτος Ενιαία Επιστημονική και Παραγωγή Επιχειρήσεις «Ρωσική Ομοσπονδιακή Ταμείο Γεωλογικής», Ομοσπονδιακό κράτος Ενιαία Επιχείρηση «ρωσικό Κέντρο Επιστήμης και Τεχνολογίας πληροφορίες σχετικά με την τυποποίηση, τη μετρολογία και την αξιολόγηση της συμμόρφωσης ".

6 5 Η.Π.Α. Γ. § 552α (ια) (1) «Έγγραφα σε ιδιώτες - Ειδικές εξαιρέσεις - Αρχεία εγγράφων».

7 Ο χειριστής - δημόσιος φορέας, ένας δήμος, νομικό ή φυσικό πρόσωπο που οργανώνει και (ή) την εκτέλεση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, καθώς και τον καθορισμό του σκοπού και του περιεχομένου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

9, 1998, άρθρο 32.

11 Durant εναντίον της Υπηρεσίας Χρηματοπιστωτικών Υπηρεσιών (FSA).

12 Παράρτημα № 1 του κανονισμού σχετικά με τη διαδικασία εγγραφής και έκδοσης των διαβατηρίων των πολιτών Ρωσικής Ομοσπονδίας, διπλωματικό διαβατήριο και επίσημα διαβατήρια που είναι το κύριο έγγραφο που πιστοποιεί τον πολίτη Ρωσική Ομοσπονδία των ορίων της Ρωσικής Ομοσπονδίας που περιέχει ηλεκτρονικά μέσα αποθήκευσης δεδομένων (app. Η απόφαση του Υπουργείου Εσωτερικών, του Υπουργείου Εξωτερικών και της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσικής Ομοσπονδίας ημερομηνίας 6 Οκτωβρίου 2006 αρ. 785/14133/461).