Koji su načini obrade osobnih podataka?

U radnom zakonu Ruske Federacije postoji takav izraz kao "osobni podaci radne osobe". Podaci o operativnom kontingentu moraju se dostaviti poslodavcu.

Poslije pregleda osobnih podataka, poslodavac donosi presudu o odvođenju osobe u tvrtku.

Informacije koje osoba predstavlja o sebi mora biti zaštićene. Distribuirajte je zabranjeno.

Poštovani čitatelji! Naši članci govore o tipičnim načinima rješavanja pravnih pitanja, ali svaki slučaj je jedinstven.

Ako želite znati kako točno riješiti svoj problem - samo nazovite, to je brzo i besplatno!

sistem

Osobni podaci o zaposlenicima trebaju biti predmetom razvoja.

Poslodavac primjenjuje sljedeće uvjete na osobne podatke radnih osoba:

1. Proces obrade osobnih podataka o radnoj osobi odvija se kako bi se osiguralo poštivanje zakona i pravnih akata. Zahvaljujući obradi podataka, možete zaposliti osobu, pružiti mu osobnu sigurnost, pratiti rad koji obavlja.
2. Poslodavac uzima u obzir opseg i sadržaj osobnih podataka o radnom kontingentu koji se obrađuje. Svi poslodavci proučavaju i slijede aspekte Ustava, drugih saveznih zakona.
3. Informacije o radnom timu trebaju se dobiti izravno od samih zaposlenika. Informacije o radnoj osobi možete dobiti iz trećeg usta, ali samo uz pismenu suglasnost osobe. Poslodavac informira zaposlenike o svojim ciljevima i izvorima, od kojih će osobni podaci biti doneseni. Poslodavac upozorava na posljedice u slučaju odbijanja osobnih podataka od radne osobe.
4. Osoba koja svojim zaposlenicima pruža posao nema pravo na informacije o svim vrstama političkih, vjerskih ili drugih uvjerenja, kao ni o obiteljskom životu radnika. Osobni život zaposlenika može se navesti samo uz njegov pristanak. Sporazum mora biti u pisanom obliku.
5. Poslodavac ne smije koristiti u obradi informacija o prisutnosti zaposlenih u udrugama članstva, sindikatima. No postoje situacije koje su predviđene saveznim zakonom.
6. Svi osobni podaci moraju biti zaštićeni i skriveni od javnog uvida i korištenja. Zaštita podataka podliježe uvjetima saveznog zakona.
7. Radnici proučavaju dokumente koji pripadaju ustanovi. Oni trebaju otkriti značenje i redoslijed procesa obrade osobnih podataka zaposlenika.
8. Radni ljudi moraju prihvatiti zaštitu svojih osobnih podataka.
9. Sami poslodavci, kao i zaposlenici, mogu zajedno raditi na razvijanju načina zaštite osobnih podataka zaposlenika.

Prilikom priopćavanja informacija o zaposlenicima, direktor poduzeća mora slijediti sljedeća pravila:

• Treća strana ne mora znati o osobnim podacima svakog zaposlenika. Podaci se mogu dati samo u slučajevima kada su zaposleni dali svoj pisani pristanak za korištenje svojih osobnih podataka. Ali ako postoji prijetnja za život, zdravlje radnog tima, osobni se podaci mogu dati drugim osobama bez pisanog pisanog pristanka;
• poslodavac ne bi trebao slati podatke o timu koji radi na njemu u svrhu trgovine;
• osobe koje primaju informacije o zaposlenicima moraju ih obraditi u okviru povjerljivosti;
• prijenos podataka o osobi obavlja se samo u jednoj organizaciji putem posebnih internih akata ustanove;
• podaci o zaposleniku imaju pristup samo posebnim ovlaštenim osobama;
• nema potrebe tražiti informacije o zdravlju radnih osoba. Zahtjev se može podnijeti samo u slučajevima kada se postavlja pitanje mogu li radnici obavljati svoju radnu funkciju;
• osobni podaci o radnom kontingentu mogu se prikupljati na temelju podataka iz Kodeksa.

Radni kontingent ima pravo:

• poznavanje vaših osobnih podataka i njihova obrada;
• neograničen pristup osobnim podacima. Radnoj osobi mogu se izdati kopije podataka. No postoje situacije u kojima osobne informacije nisu objavljene. Ove situacije opisane su u saveznom zakonu;
• liječnik može pregledati osobne podatke zaposlenika;
• mogućnost ispravljanja ili dopune predmeta osobnih podataka.

Razlikuju se sljedeće vrste obrade osobnih podataka:

1. Obrada podataka pomoću računalne tehnologije.
2. Nije automatizirana obrada.
3. Informacijski sustav obrade dostavljenih podataka.

automatizirana

Ta se obrada provodi pomoću posebne računalne tehnologije. Najčešći računarski uređaji mogu biti:

• elektroničko računalo;
• pomoćni uređaji;
• periferni uređaji;
• nužno instaliran softver.

Non-automatizirani

Najdetaljniji opis neautomatizirane obrade je napisan u uredbi vlade broj 687.

Distribuciju, proučavanje i uklanjanje informacija o operativnom kontingentu treba obaviti s dijelom osobe, a ne računalnom tehnologijom.

informacije

Zahvaljujući informacijskom sustavu obrađuju se posebne kategorije osobnih podataka o operativnom kontingentu. Ovaj sustav obrađuje podatke koji utječu na pripadnost određenoj rasi i spolu, nacionalnosti, političkih pogleda, filozofskog gledišta.

Zahvaljujući informacijskom sustavu moguće je obraditi:

• biometrijskih osobnih podataka. Pogotovo ako postoji obilježje fizioloških, bioloških podataka. Zahvaljujući dobivenim karakteristikama moguće je procijeniti osobnost radnika;
• dijeljeni osobni podaci;
• ostale podatke. Primjer bi mogao biti vjerska, nacionalna ideja, filozofski pogled, trenutci intimne prirode radnog kontingenta i mnoge druge važne osobne karakteristike do zdravstvenog stanja.

Stoga su osobni podaci o svakom zaposleniku sadržani u svim poslodavcima. Ravnatelj ni u kojem slučaju nema pravo širiti dostupne podatke o osobi.

Dobivene informacije o operativnom kontingentu mogu se obraditi na više načina: uz pomoć računalne tehnologije, uz pomoć osobnih snaga, zahvaljujući sustavu procjene informacija.

U svim slučajevima osobni podaci svakog zaposlenika temeljito se ispituju.

Načini obrade osobnih podataka

Po nalogu građanskog zakonika regije Amur

od 26.12.2012., br. 626

u vezi s obradom osobnih podataka

1. OPĆE ODREDBE

1.1. Ovaj dokument (u daljnjem tekstu: Politika) je sustavna izjava o ciljevima, načelima, metodama i uvjetima za obradu osobnih podataka, informacijama o provedenim zahtjevima za obradu i zaštitu osobnih podataka u GKU amurske regije Središnje slobodne bolnice (u daljnjem tekstu: Centar za zapošljavanje).

1.2. Politika se temelji na zahtjevima Saveznog zakona Ruske Federacije “O osobnim podacima”, drugih regulatornih pravnih akata Ruske Federacije kojima se uspostavlja postupak obrade i zaštite osobnih podataka. Politika je javni dokument.

1.3. Sukladno Saveznom zakonu od 27. srpnja 2006. godine br. 152-FZ "O osobnim podacima", Centar za zapošljavanje je operator osobnih podataka (u daljnjem tekstu: PD).

2. OBRADNI OSOBNI PODACI

2.1. Glavni pojmovi koji se koriste u pravilima:

· Osobni podaci - sve informacije koje se odnose na fizičku osobu (predmet osobnih podataka) utvrđene ili utvrđene na temelju tih podataka, uključujući njegovo prezime, ime, prezime, godinu, mjesec, datum i mjesto rođenja, adresu, obitelj, društvenu, imovinu položaj, obrazovanje, zanimanje, dohodak, druge informacije;

· Obrada osobnih podataka - radnje (operacije) s osobnim podacima, uključujući prikupljanje, sistematizaciju, akumulaciju, pohranu, usavršavanje (ažuriranje, promjenu), korištenje, distribuciju (uključujući prijenos), depersonalizaciju, blokiranje, uništavanje osobnih podataka;

2.2. U okviru ove Politike, obrađeni osobni podaci znače:

· Osobne podatke dobivene od primatelja javnih usluga koje se prijavljuju Centru za zapošljavanje;

· Osobni podaci zaposlenika Centra za zapošljavanje ili kandidata za slobodna radna mjesta;

3. SVRHA OBRADE OSOBNIH PODATAKA

3.1. Ciljevi obrade PD-a u Centru za zapošljavanje su:

· Osiguravanje provedbe ustavnih prava građana Ruske Federacije na rad i socijalnu zaštitu od nezaposlenosti kroz pružanje javnih usluga u području poticanja zapošljavanja;

· Osiguranje provedbe ustavnih prava građana na žalbu;

· Dobivanje objektivne ocjene stanja tržišta rada u konstitutivnom entitetu Ruske Federacije (u odnosu na primatelje javnih službi za zapošljavanje; nezaposlenih građana; građana koji se prijavljuju Centru za zapošljavanje sa prijedlozima, izjavama, pritužbama);

· Osiguravanje usklađenosti s Ustavom Ruske Federacije, zakonima i drugim zakonskim aktima, pomoć zaposlenicima u pronalaženju zaposlenja, osposobljavanju i napredovanju na poslu, rastu radnih mjesta, osiguravanju osobne sigurnosti zaposlenika, kontroli količine i kvalitete obavljenog posla, osiguravanju sigurnosti imovine koja joj pripada i evidentiranju rezultata njihovog rada dužnosti i sigurnosti imovine Centra za zapošljavanje.

· Obavljanje poslova poreznog agenta u pružanju standardnih poreznih odbitaka (u odnosu na članove obitelji zaposlenika Centra za zapošljavanje);

· Ispunjavanje obveza po građanskopravnim ugovorima (u odnosu na osobe koje obavljaju poslove, pružanje usluga u građanskopravnim ugovorima s Centrom za zapošljavanje).

4. NAČELA OBRADE OSOBNIH PODATAKA

4.1. Provedba obrade PD-a na pravnoj i fer osnovi.

4.2. Ograničavanje obrade PD-a na postizanje specifičnih, unaprijed određenih i legitimnih ciljeva navedenih u odjeljku 2. ovog dokumenta. Nije dopušteno obrađivati ​​osobne podatke koji nisu u skladu sa svrhom prikupljanja osobnih podataka.

4.3. Sprečavanje kombinacije baza podataka koje sadrže PD, koje se obrađuju u svrhe koje nisu međusobno kompatibilne.

4.4. Obrada samo onih PDS-a koji ispunjavaju svrhu njihove obrade.

4.5. Usklađenost sadržaja i obujma PD-a obrađenih navedenom obradom.

4.6. Neprihvatljivost obustavljene PD-a u odnosu na navedene ciljeve njihove obrade.

4.7. Osiguravanje točnosti PD-a, njihove dostatnosti i, ako je potrebno, i relevantnosti u odnosu na svrhu obrade PD-a.

4.8. Osigurati poduzimanje potrebnih mjera za uklanjanje ili poboljšanje nepotpunih ili netočnih podataka.

4.9. Izvršavanje PD skladištenja u obliku koji omogućava utvrđivanje subjekta PD nije duže od svrhe obrade PD-a zahtijeva, ako razdoblje čuvanja PD-a nije utvrđeno saveznim zakonom, ugovor na koji je subjekt PD korisnik ili jamac. PD koji se obrađuju podložni su uništenju ili depersonalizaciji nakon postizanja ciljeva obrade ili u slučaju gubitka potrebe za postizanjem tih ciljeva, osim ako saveznim zakonom nije drugačije određeno.

5. METODE OBRADE OSOBNIH PODATAKA

5.1. Centar za zapošljavanje obrađuje PD na sljedeće načine:

· Neautomatizirana obrada PD-a (na papiru);

· Automatizirana obrada (u ISPDn-u sa i bez uporabe opreme za automatizaciju), uključujući: sa i bez prijenosa putem lokalne mreže Centra za zapošljavanje; sa i bez prijenosa putem interneta;

· Miješana obrada PD-a.

5.2. Centar za zapošljavanje može samostalno birati metode obrade PD-a ovisno o svrsi takve obrade i vlastitim materijalnim i tehničkim mogućnostima.

6. UVJETI OBRADE OSOBNIH PODATAKA

6.1. Obrada PD-a provodi se u skladu s načelima i pravilima propisanim Saveznim zakonom “O osobnim podacima”.

6.2. Obrada PD-a dopuštena je u slučajevima predviđenim saveznim zakonom "O osobnim podacima".

6.3. Centar za zapošljavanje ima pravo povjeriti obradu PD drugoj osobi uz pristanak subjekta PD-a, osim ako je drugačije određeno saveznim zakonom, na temelju ugovora sklopljenog s tom osobom, uključujući državni ili općinski ugovor, ili donošenjem odgovarajućeg akta od strane državnog ili općinskog organa (u daljnjem tekstu: ).

6.4. Ako Zavod za zapošljavanje ustupi rješavanje PD drugoj osobi, odgovornost prema subjektu PD za radnje te osobe snosi Centar za zapošljavanje. Osoba koja obrađuje osobne podatke u ime Centra za zapošljavanje odgovorna je Centru za zapošljavanje.

7. POVJERLJIVOST OSOBNIH PODATAKA

7.1. Centar za zapošljavanje i druge osobe koje su dobile pristup PD-u dužne su ne otkrivati ​​trećim osobama i ne distribuirati PD bez pristanka subjekta PD-a, osim ako saveznim zakonom nije drugačije određeno.

8. SAGLASNOST OD PREDMETA OSOBNIH PODATAKA ZA OBRADU NJIHOVIH OSOBNIH PODATAKA

8.1. Subjekat PD donosi odluku o davanju svojih osobnih podataka i pristaje na njihovu slobodnu obradu, vlastitom voljom i interesom.

8.2. Pristanak na obradu PD-a trebao bi biti specifičan, informiran i svjestan.

8.2. Suglasnost za obradu PD može dati subjekt PD-a ili njegov zastupnik u bilo kojoj formi kojom se može potvrditi činjenica da je primljena, osim ako saveznim zakonom nije drukčije određeno.

8.3. U slučaju dobivanja suglasnosti za obradu osobnih podataka od predstavnika subjekta osobnih podataka, ovlaštenje tog zastupnika da daje suglasnost u ime subjekta osobnih podataka provjerava Centar za zapošljavanje.

8.4. Predmet PD-a može opozvati pristanak na obradu PD-a. U slučaju da subjekt PDN-a odustane od pristanka na obradu PD-a, Centar za zapošljavanje ima pravo nastaviti s obradom osobnih podataka bez suglasnosti subjekta PD-a ako postoje razlozi navedeni u točkama 2. do 11. dijela 1. članka 6., stavka 2. članka 10. i dijelu 2. članka 11. Zakona o osobnim podacima ”.

8.5. U slučajevima predviđenim saveznim zakonom, obrada PD provodi se samo uz pismenu suglasnost subjekta PD. Pismena suglasnost priznaje se kao ekvivalent elektroničkom dokumentu potpisanom elektroničkim zakonom koji je potpisan u skladu sa saveznim zakonom.

8.6. Osobne podatke Centar za zapošljavanje može dobiti od osobe koja nije predmet osobnih podataka, pod uvjetom da Centar za zapošljavanje potvrdi postojanje razloga navedenih u točkama 2. do 11. dijela 1. članka 6. stavka 2. članka 10. i dijelu 2. članka 11. Saveznog zakona “O osobnim podacima” ”.

9. PROVEDBA PRAVA SUBJEKATA OSOBNIH PODATAKA

9.1. Pri obradi PD-a, Centar za zapošljavanje osigurava potrebne uvjete kako bi PD mogao slobodno ostvarivati ​​svoja prava.

9.2. Subjekt PD ima pravo pristupa svojim osobnim podacima.

9.3. Objekt PD ima pravo dobiti informaciju o obradi svojih osobnih podataka, koja sadrži: potvrdu činjenice obrade PD-a od strane Centra za zapošljavanje; pravna osnova i svrha obrade PD-a; ciljeve i metode obrade PD koje primjenjuje Centar za zapošljavanje; naziv i mjesto rada Centra za zapošljavanje, podatke o pojedincima (osim djelatnika Centra za zapošljavanje) koji imaju pristup osobnim podacima ili koji mogu otkriti osobne podatke na temelju ugovora s Centrom za zapošljavanje ili na temelju saveznog zakona; PD koje obrađuje relevantni subjekt PD-a, izvor njihovog primitka, osim ako saveznim zakonom nije predviđen drugačiji postupak za podnošenje takvih podataka; PD vrijeme obrade, uključujući vrijeme skladištenja; postupak ostvarivanja prava subjekta PDN-a predviđenog saveznim zakonom “O osobnim podacima”; informacije o dovršenom ili namjeravanom prekograničnom prijenosu podataka; ime ili prezime, ime, ime i adresu osobe koja obavlja obradu PDN-a u ime Centra za zapošljavanje, ako je obrada povjerena ili će biti povjerena takvoj osobi druge informacije predviđene saveznim zakonima.

9.4. Pravo PD-a na pristup njegovim osobnim podacima može biti ograničeno u slučajevima koji su izričito predviđeni saveznim zakonima.

9.5. Subjekat PD ima pravo braniti svoja prava i legitimne interese, uključujući naknadu štete i (ili) naknadu moralne štete na sudu.

9.6. Ako subjekt PD-a smatra da Centar za zapošljavanje obrađuje svoj PD u suprotnosti sa zahtjevima Saveznog zakona “O osobnim podacima” ili na drugi način krši njegova prava i slobode, subjekt PD ima pravo žalbe na radnje ili nedjelovanje Centra za zapošljavanje nadležnom tijelu radi zaštite prava subjekata PD ili sudski nalog.

10. PODACI O MJERAMA PROVEDENIH ODREDBOM ZAPOSLENJA

CILJ ZA OSIGURANJE PROVEDBE ODGOVORNOSTI VEZANIH ZA OBRADU OSOBNIH PODATAKA

10.1. Centar za zapošljavanje, kada obrađuje PD, obavlja svoje dužnosti kao PD operatera predviđenog saveznim zakonom “O osobnim podacima”.

10.2. Centar za zapošljavanje poduzima potrebne i dostatne mjere kako bi osigurao ispunjenje obveza predviđenih ovim saveznim zakonom i propisima donesenim u skladu s njim.

10.3. Centar za zapošljavanje samostalno određuje sastav i popis mjera potrebnih i dostatnih da osigura ispunjenje obveza predviđenih ovim saveznim zakonom i regulatornim aktima donesenim u skladu s njim, ako saveznim zakonima nije drukčije određeno.

10.4. Centar za zapošljavanje pruža neograničen pristup ovom dokumentu (Politika), informacijama o stvarnim zahtjevima za zaštitu OZ-a objavljivanjem na službenoj internetskoj stranici Odjela za zapošljavanje na području regije Amur na adresi http: // zanamur. ru, GKU Amurskog područja Središnje bolnice grada Svobodny na http://svobzan.amur.ru.

11. PODACI O IMPLEMENTACIJI MJERA ZAPOŠLJAVANJA ZA ZAŠTITU OSOBNIH PODATAKA U NJIHOVOJ OBRADI

11.1. Centar za zapošljavanje u obradi PD-a osigurava donošenje potrebnih zakonskih, organizacijskih i tehničkih mjera za zaštitu PD-a od nezakonitog ili slučajnog pristupa njima, uništavanja, izmjene, blokiranja, kopiranja, pružanja, distribucije PD-a, kao i od drugih nezakonitih radnji vezanih uz PDN.

11.2. Radi zaštite osobnih podataka, Centar za zapošljavanje provodi zahtjeve za zaštitu osobnih podataka kada se obrađuju u informacijskim sustavima osobnih podataka koje je uspostavila Vlada Ruske Federacije.

11.3. Osiguravanje sigurnosti PD-a ostvaruje Centar za zapošljavanje, posebice:

· Identifikacija prijetnji sigurnosti osobnih podataka kada se obrađuju u ISPDN-u Centra za zapošljavanje;

· Korištenje organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka kada se obrađuju u ISPDN-u Centra za zapošljavanje, koji su potrebni za ispunjavanje uvjeta za zaštitu osobnih podataka, a koji se osiguravaju razinama zaštite osobnih podataka koje je utvrdila Vlada Ruske Federacije;

· Korištenje provedenih mjera informacijske sigurnosti na propisani način;

· Procjena učinkovitosti mjera koje poduzima Centar za zapošljavanje kako bi se osigurala sigurnost osobnih podataka prije puštanja u rad SPDN-a;

· Uzimajući u obzir nosioce strojeva PD Centra za zapošljavanje;

· Otkrivanje činjenica neovlaštenog pristupa PDN-u i poduzimanje radnji;

· Obnova PDN-a izmijenjena ili uništena kao posljedica neovlaštenog pristupa njima;

· Uspostavljanje pravila za pristup PDN-u obrađenim u SPDN-u Centra za zapošljavanje, kao i osiguranje registracije i evidentiranja svih radnji izvršenih na PDN-u u ISPDN-u u Centru za zapošljavanje;

· Kontrola mjera poduzetih radi osiguranja osobnih podataka i razine sigurnosti ISPDN-a Centra za zapošljavanje.

11.4. Informacije o mjerama koje poduzima Centar za zapošljavanje radi zaštite osobnih podataka su ograničene informacije.

12. Promjena politike. Mjerodavno pravo

12.1. Centar za zapošljavanje ima pravo na izmjene ove Politike.

12.2. Pri izmjenama naslova Politike navodi se datum posljednjeg ažuriranja revizije.

12.3. Nova verzija Politike stupa na snagu od trenutka objavljivanja na internetskoj stranici Odjela za zapošljavanje Amurske oblasti, osim ako nova verzija Politike ne odredi drugačije.

Načini obrade osobnih podataka

Pitanje-odgovor na temu

pitanje

Što se odnosi na metode obrade osobnih podataka i što se odnosi na radnje s osobnim podacima?

Odgovor

Prema paragrafu 9 Naloga Roskomnadzora od 19. kolovoza 2011. godine br. 706, metode * uključuju:

- neautomatizirana obrada osobnih podataka;

- isključivo automatizirana obrada osobnih podataka sa ili bez prijenosa primljenih informacija putem mreže;

- mješovita obrada osobnih podataka (bilješka N 4).

I na radnje u skladu s čl. 3 Saveznog zakona od 27.07.2006. Br. 152-FZ.

- pojašnjenje (ažuriranje, promjena);

- distribucija (uključujući prijenos);

- uništavanje osobnih podataka.

Obrazloženje ovog stajališta dano je u nastavku u materijalima „Odvjetnik sustava“.

• SAVEZNI ZAKON OD 27.07.2001. Br. 152-FZ "O OSOBNIM PODACIMA"

"Obrada osobnih podataka je svaka radnja (radnja) ili skup radnji (operacija), * koje se provode uz korištenje alata za automatizaciju ili bez korištenja takvih sredstava s osobnim podacima, uključujući prikupljanje, snimanje, sistematizaciju, akumulaciju, pohranu, usavršavanje (ažuriranje, izmjenu), vađenje, korištenje, prijenos (distribucija, pružanje, pristup), depersonalizacija, blokiranje, brisanje, uništavanje osobnih podataka

• ROSKOMNADZOR OD 19. kolovoza 2011. godine br. 706

"Polje" popis radnji s osobnim podacima, opći opis metoda koje Operator koristi za obradu osobnih podataka "* označava radnje koje je Operator izvršio s osobnim podacima, kao i opis metoda koje Operator koristi za obradu osobnih podataka:

- neautomatizirana obrada osobnih podataka;
- isključivo automatizirana obrada osobnih podataka sa ili bez prijenosa primljenih informacija putem mreže;

- mješovita obrada osobnih podataka (bilješka N 4) Napomena N 4. Kod automatske obrade osobnih podataka ili mješovite obrade potrebno je naznačiti jesu li informacije dobivene tijekom obrade osobnih podataka prenesene na internu mrežu pravne osobe (informacije su dostupne samo dobro definiranim zaposlenicima pravne osobe ) ili se informacija prenosi putem javnog Interneta ili bez prijenosa primljenih informacija. "

* Tako je istaknut dio materijala koji će vam pomoći donijeti ispravnu odluku.

Likbez o osobnim podacima za tvrtke koje ih obrađuju

Uvjeti, nijanse i česte zablude - u materijalu od stručnjaka službe sigurnosti tvrtke "Onlanta" (uključeni u grupu tvrtki LANIT).

Mi razumijemo pravnu terminologiju i same nijanse za koje možete biti na sudu.

Objasnite pojmove u ljudskom jeziku

Glavni zakon koji regulira odnose vezane uz obradu osobnih podataka je Savezni zakon od 27. srpnja 2006. godine br. 152-FZ "O osobnim podacima".

Prvi termin koji treba razumjeti su osobni podaci.

Što su osobni podaci

To su sve informacije koje se mogu koristiti za identifikaciju osobe: na primjer, puno ime, datum rođenja, obrazovanje, dohodak, pa čak i bračni status. Pitate: "A što je, moje prezime, tiskano na posjetnici, također osobni podaci?"

Odgovor: "Da." Prema zakonu, nije važno je li samo prezime tiskano na posjetnici ili u kombinaciji, na primjer, s telefonskim brojem i adresom. I prvi, i drugi, i treći - osobni podaci. Istina, pohranjivanje posjetnica ili telefonskih brojeva djevojčica u telefonskom imeniku neće morati odgovarati zakonom, već o tome ispod.

Samo naprijed. Mediji stalno pišu "pohranu osobnih podataka". Pravilno govoreći, to nije pohrana, već obrada osobnih podataka. U čemu je razlika? Pohrana je samo dio onoga što se naziva obrada osobnih podataka. Sve radnje koje izvedete s osobnim podacima (prikupljanje, akumuliranje, pohranjivanje, prijenos, izmjenu) zakonski su označene kao "obrada osobnih podataka".

Važno je razumjeti da zakon razlikuje dva subjekta osobnih podataka: operatera i procesora. Operator obrađuje osobne podatke, a također određuje svrhu njihove obrade, sastav osobnih podataka koji se obrađuju, radnje (operacije) koje se obavljaju s osobnim podacima.

Voditelj je osoba koja obavlja bilo kakve radnje s osobnim podacima: prikupljanje, pohranjivanje, organiziranje, akumuliranje, ažuriranje, ažuriranje, brisanje, depersonaliziranje i tako dalje.

Zapravo, rukovatelj nije samo krajnji korisnik, kome su potrebni osobni podaci za rad, već i bilo koji posrednik, preko čije ruke su ti osobni podaci prošli. Pokažite u praksi.

zadatak

Internetska trgovina ima bazu podataka o klijentima koja se nalazi u "oblaku" tvrtke treće strane. Marketinška agencija radi s tom bazom. Pitanje: Koliko operatera osobnih podataka imamo?

Ispravan odgovor je jedan. To je internetska trgovina koja postavlja ciljeve obrade osobnih podataka. Drugo pitanje: koliko procesora osobnih podataka imamo? Točan odgovor je dva.

1. Tvrtka koja ima bazu online trgovine u svom oblaku.
2. Marketinška agencija koja prikuplja podatke i na temelju tih podataka može pripremiti promotivnu ponudu za korisnike.

Osobni podaci obrađuju se u mnogim različitim institucijama: na primjer, u bankama, školama, klinikama, viznim centrima. Da ne spominjemo web stranice na kojima se registriramo, ostavljajući naše adrese e-pošte i telefonske brojeve. Ali kako i gdje točno?

nijansa

Postoji tako nejasan pojam u zakonu kao “informacijski sustav osobnih podataka”. Ako pokušate objasniti u jednostavnim uvjetima - to je cijeli kompleks, koji se sastoji od baze podataka poslužitelja, tehničkih sredstava kako bi se osigurala njihova obrada, i informacijske tehnologije. U skladu sa zakonom, svaki informacijski sustav o osobnim podacima mora biti zaštićen.

Metode zaštite informacija su različite.

• Fizički: na primjer, u prostoriji u kojoj se nalaze računala, mogu se instalirati kamere, kontrola pristupa, alarmni sustavi.
• Tehničko - korištenje specijaliziranih sredstava zaštite podataka.
• Administrativni: sve vrste propisa i pravila koja uređuju obradu osobnih podataka unutar tvrtke.

primjer

Jedan od načina zaštite informacija je depersonalizacija osobnih podataka. Što je to? U viznom centru svaka osoba koja traži vizu dobiva poseban identifikacijski broj. Sam broj se ne odnosi na osobne podatke, budući da osoba depersonalizira osobu: nemoguće je identificirati osobu koja je podnijela zahtjev za vizu.

Čini se da obrađujem osobne podatke.

Dakle, s razvrstanom terminologijom. Sada bi svi poslovni predstavnici, pogotovo individualni poduzetnici, koji mogu imati samo nekoliko zaposlenika u osoblju, iskreno odgovoriti na pitanje: “Obrađujem li osobne podatke?”

Da, ako ste vlasnik web-lokacije koja posjećuje pet osoba tjedno, ali ima obrazac za povratne informacije s poljima "ime, adresa e-pošte, broj telefona". Informacije o svrsi za koje prikupljate osobne podatke, načinu na koji ih koristite, trebale bi biti predstavljene na Vašoj web stranici.

Da, ako obrađujete osobne podatke svojih zaposlenika ili stručnjaka treće strane angažiranih za obavljanje određenog posla.

Da, ako radite s privatnim klijentima i trebate im podatke o putovnici za sklapanje ugovora - to vrijedi za putničke agencije, fitness centre, razne uslužne tvrtke, online trgovine i druge.

I opet, da, ako ste budžetska organizacija, politička stranka ili vrtić. Potonji imaju ne samo podatke o djetetu, nego i njegove roditelje, uključujući i mjesto rada i položaj. Da ne spominjem medicinske ustanove - postoji more osobnih osjetljivih informacija koje se moraju sigurno pohraniti.

Međutim, ako podatke koristite za osobnu komunikaciju bez komercijalne koristi, tada se zahtjevi zakonodavstva ne primjenjuju na vas i ne može se govoriti o kaznenoj odgovornosti.

Primjerice, korištenje kontakata ispisanih na posjetnici koje ste dobili od kolege ili telefonskih brojeva u bilježnici na pametnom telefonu, informacije na društvenim mrežama ne nameću vam odgovornost pred zakonom.

Glavno je da ne otkrijemo podatke oglašivačima i da ih ne objavljujemo bez dopuštenja vlasnika osobnih podataka u javnoj domeni.

Odredite kategoriju osobnih podataka

Čestitamo, vi ste ponosni vlasnik naslova "operater osobnih podataka". Sada je najvažnije točno razumjeti koje osobne podatke obrađujete. Budući da ovisi o kategoriji osobnih podataka, kako zaštititi podatke i koje zahtjeve treba ispuniti. Kategorije su detaljno opisane u Saveznom zakonu-152 i rezoluciji Vlade od 1. studenog 2012. godine N 1119.

Kategorije osobnih podataka jednostavnim riječima:

Općenito dostupni osobni podaci: podaci iz otvorenih izvora, koje objavljuje subjekt osobnih podataka ili uz njihovo odobrenje. Javno dostupni podaci su podaci iz medija ili Interneta.

Primjer: informacije objavljene u otvorenom pristupu na društvenim mrežama ili na web-lokaciji tvrtki. Broj telefona i obiteljski status objavljeni u javnom pristupu Facebooku. Ime zaposlenika i njegov položaj na internetskoj stranici poslodavca.

Biometrijski osobni podaci: ova kategorija uključuje sve podatke o fiziološkim i biološkim osobinama ljudi.

Primjer: težina, visina, boja očiju ili kose, dužina kose, krvna grupa, fotografija.

Osobni podaci posebne kategorije: to uključuje informacije o pripadnosti bilo kojoj rasi i narodu, političkim pogledima, vjerskim i filozofskim uvjerenjima, zdravstvenom stanju ili intimnom životu.

Primjer: medicinska dijagnoza (informacije o tome s čime ste bili bolesni, kada, što vas je liječnik liječio).

Osobni podaci drugih vrsta - to uključuje osobne podatke koji nisu uključeni u gornje kategorije.

Primjer: korporativne informacije. Računovodstvene kartice za zaposlenike koje sadrže podatke s kojima su HR i knjigovodstveni poslovi: plaća, razdoblja odmora, datumi zaposlenja.

Kategorija, broj, vrsta prijetnji - razina zaštite

Kada se odlučite za kategoriju osobnih podataka, morate razumjeti točnu količinu podataka koje obrađujete: do 100 tisuća ili više od 100 tisuća.

Pronašli smo kategoriju i količinu, odredili vrstu prijetnje:

Prijetnje broj 1. "Rupe" i ranjivosti u operativnom sustavu. Primjer: ranjivosti koje hakeri koriste da bi se infiltrirali u operativni sustav da bi ukrali informacije.

Prijetnje broj 2. "Rupe" i ranjivosti u aplikacijskom softveru, tj. U softveru koji se koristi u vašem svakodnevnom radu. Primjer: Word, Excel.

Prijetnje broj 3. Sve ostale prijetnje koje nisu navedene u prve dvije vrste. Prije svega, ljudski faktor. Zaposlenik može ostaviti dokument otvoren na otključanom računalu, poslati dokument za ispis na tuđi pisač ili putem e-pošte.

Količina osobnih podataka, kategorija, vrsta prijetnji - zajedno vam omogućuju da odredite koja je razina zaštite potrebna za vaš informacijski sustav. Sada postoje četiri razine zaštite.

Prva i najviša razina zaštite najčešće se koristi za obradu osobnih podataka u vladinim agencijama i zdravstvenim ustanovama. Četvrtu razinu zaštite je najlakše osigurati, ponekad je dovoljno provesti organizacijski regulatorne mjere, uglavnom se odnosi na zaštitu javno dostupnih podataka.

Razinu zaštite možete odrediti pomoću ove tablice.

primjer

Bolnica obrađuje osobne podatke svojih pacijenata - to su osobni podaci posebne kategorije. Također obrađuje osobne podatke zaposlenika - to su osobni podaci druge kategorije. Najvjerojatnije bolnica ima dvije baze podataka. Ako zbrojite obje baze podataka, dobit ćete ukupnu količinu osobnih podataka koja se vrti u informacijskom sustavu ove bolnice.

Na primjer, sve od njih - do 100 tisuća. Zatim ćemo pogledati kako se obrađuju podaci: automatizirani (u računalu) ili ne automatizirani (u ručnom ormaru za datoteke). Ako je sve automatizirano, gledamo na softver koji bolnica koristi, koje ranjivosti ima.

Na temelju toga identificiraju se prijetnje i njihova razina. Zbrojimo sve faktore i dobijemo drugi stupanj zaštite. Gledamo na ono što su zahtjevi u zakonu definirani na drugu razinu sigurnosti. Na temelju tih zahtjeva bit će potrebno izgraditi zaštitu informacijskog sustava kako bi se zadovoljili zahtjevi Saveznog zakona.

Malo o opasnosti od curenja osobnih podataka

Zašto se uopće brinete o zaštiti osobnih podataka? Osobni podaci skupa su stavka na crnom tržištu. Scammeri su voljni platiti impresivne iznose za profil koji sadrži sve pojedinosti medicinskog kartona osobe. Odvojeno tržište - prodaja podataka o bankovnim karticama; računi u društvenim mrežama.

Posljedice curenja osobnih podataka su različite. Podaci mogu biti javno dostupni na internetu: na primjer, možete lako pronaći ukradene baze podataka s adresama i telefonskim brojevima klijenata tvrtki na mreži. Znajući ime i prezime, svatko može saznati kućnu adresu osobe, doći na društvenu mrežu, pogledati profil ili jednostavno napisati SMS na mobilni telefon.

Osobni podaci mogu ući u bazu dosadnih poruka nekih komercijalnih organizacija, a onda će njihov vlasnik biti preplavljen neželjenim ponudama usluga. Također ih mogu koristiti online prevaranti za online kockarnice ili otvoriti elektronički novčanik.

U najgorim slučajevima, napadač može predstavljati drugu osobu i uzeti zasluge za tuđe ime. Najozbiljnije posljedice curenja osobnih podataka uključuju: nezakonite radnje s nekretninama, krađu novca s bankovnih kartica, ucjenu rođaka i registraciju tvrtke.

Teret odgovornosti

Razumijete li važnost pitanja i spremni ste snositi odgovornost? Tako je. Jer odgovornost za sigurnost osobnih podataka leži isključivo na operatoru.

To znači da se operater mora pobrinuti da informacije ne ulaze u javni pristup ili ne spadaju u ruke trećih strana koje nemaju nikakva prava na njega. To zahtijeva stalno praćenje i sprječavanje prijetnji sigurnosti podataka, kontrolu nad razinom sigurnosti informacija i njihovo vraćanje u slučaju gubitka.

U našoj zemlji, Roskomnadzor prati usklađenost sa zakonodavstvom u području obrade osobnih podataka. Ovo tijelo odgovara na pritužbe, regulira odnose između subjekata i operatera.

Tehnički zahtjevi za zaštitu informacija odgovornost su FSTEC-a i FSB-a: oni razvijaju zahtjeve i kontroliraju njihovo izvršenje.

Zahtjevi za obradu osobnih podataka

I sada je vrijeme da se prouče tablice sa zahtjevima za tehničku zaštitu osobnih podataka. Pojedinosti se mogu naći u nalogu Federalne službe za tehničku i izvoznu kontrolu od 18. veljače 2013. N 21.

Ali barem započnite s ovim:

1. Registrirajte se kao Roskomnadzor kao operater osobnih podataka. Potrebno je podnijeti zahtjev za Roskomnadzor u papirnatom ili elektronskom obliku. Informacije o vezi.
2. Dobiti pismeni pristanak od svih subjekata čiji se osobni podaci obrađuju. Pristanak na obradu osobnih podataka glavni je pravni dokument koji potvrđuje zakonitost obrade osobnih podataka.
3. Izraditi internu dokumentaciju. Puštanje u rad po nalogu voditelja organizacije "Pravilnik o obradi osobnih podataka". U ovom dokumentu, operater objašnjava kako planira koristiti osobne podatke, za što i gdje će biti prebačeni. To je temeljni dokument koji zahtijeva svaki operater osobnih podataka. Na temelju toga izrađuju se svi ostali administrativni dokumenti.

Mnogi vlasnici web-mjesta smatraju da ako posjetitelj klikne na gumb "Prihvaćam obradu osobnih podataka", neće biti pravnih problema, a obrada podataka će automatski pasti u pravno područje. Nije.

S pravnog gledišta, postoje samo dva načina da potvrdite svoj pristanak na obradu osobnih podataka: stavite potpis na papir ili pomoću elektroničkog digitalnog potpisa.

U svim drugim slučajevima, ako slučaj ode na sud, vlasnik web-lokacije neće moći potvrditi tko je točno pritisnuo gumb "Slažem se". Može se samo nadati da je subjekt koji je došao na vašu stranicu dobrovoljno prenosi svoje podatke i ne podnosi prigovor.

Postoji li doista ček?

Da, čekovi mogu biti iz Roskomnadzora.

Roskomnadzor godišnje objavljuje popis provjera selektivno s popisa registriranih operatora, ako je tvrtka uključena u popis čekova, onda je sljedeća planirana provjera moguća najranije nakon tri godine. Možete vidjeti je li vaša tvrtka na popisu ove godine ovdje.

Provjere izvan plana obično su uzrokovane pritužbama. Ako je ček neplaniran, trebalo bi vas u roku od 24 sata pismeno upozoriti.

Mogu postojati i dokumentarne provjere. Prilikom dokumentiranja poslat ćete popis dokumenata, čije će kopije biti poslane Roskomnadzoru.

Ponekad Roskomnadzor vrši inspekciju na licu mjesta: inspektori osobno posjećuju kako bi provjerili tvrtku na licu mjesta.

Priprema za bilo koju od tih provjera je dugotrajan zadatak. Hoćete li sami riješiti zadatak pripreme za inspekciju, ili će uključiti vanjske stručnjake, prvo morate odrediti tko će u tvrtki biti odgovoran za poštivanje FZ-152.

Novčane kazne, sudovi i drugi užasi

Za kršenje 152-FZ, predviđena je građanska, kaznena, upravna i disciplinska odgovornost.

Dakle, Roskomnadzor je proveo inspekciju, ako bi utvrdio nedosljednosti sa zakonom, izdat će naredbu istražnom odboru da provede suđenje o činjenici kršenja zakona "O osobnim podacima".

Nakon toga, tužiteljstvo će započeti inspekciju, tijekom koje može obustaviti aktivnosti tvrtke: povući bazu podataka tvrtke, osobito računala na kojima su obrađeni osobni podaci.

Prekršitelji zakona prije svega čekaju novčane kazne. Iznos novčane kazne varira ovisno o djelu. Dakle, za obradu osobnih podataka bez pismenog dopuštenja entiteta, pravne osobe moraju snositi administrativnu odgovornost.

Čak i ako operater je spreman platiti kaznu, ali po standardima velikog poslovanja, to ne čini ogroman, počinitelj će i dalje morati ukloniti nedosljednost pred zakonom (na primjer, izbrisati pohranjene podatke) i obavijestiti Roskomnadzor.

Najgori scenarij je ako Roskomnadzor odluči opozvati licencu tvrtke, zabrani poslovanje s obradom osobnih podataka i nezakonito objavi osobne podatke o građanima.

U posljednjih nekoliko godina najglasniji skandal u Rusiji bio je povezan s blokiranjem LinkedIna, čiji su vlasnici optuženi za obradu osobnih podataka građana bez njihovog pristanka na poslužiteljima izvan Ruske Federacije. Blokiranje servisa autonum.info također je „napravilo buku“.

Koliko će me to koštati novca i snage

Obradu osobnih podataka možete organizirati samostalno ili uz pomoć tvrtke koja pruža takvu uslugu.

Ako odlučite sami obraditi osobne podatke, trebat će vam:

1. Razumjeti koju kategoriju osobnih podataka koju obrađujete i koji su tehnički zahtjevi za njihovu zaštitu.
2. Samostalno ili uz pomoć IT tvrtke, razvijaju tehnička rješenja, pripremaju nabavu potrebne opreme i softvera, instaliraju ga i implementiraju.
3. Izdajte sve pravne dokumente. Izraditi skup internih dokumenata: upute i propise.

U najboljem slučaju, to će potrajati tri do četiri mjeseca, na trošak takve provedbe, to može biti 200-300 tisuća rubalja - to je trošak kupnje opreme i licenci. Troškovi rada i daljnja podrška informacijskog sustava zasebna su stavka rashoda. Trebat će vam i administrator koji će nadzirati rad sustava.

Govoreći objektivno, vrlo male tvrtke jednostavno ne ispunjavaju sve zahtjeve zakona u nadi da neće biti provjere. Možda doista neće. Druge tvrtke stvaraju "sela Potemkina" samo se pretvarajući da obrađuju osobne podatke u skladu sa zahtjevima zakona, drugim riječima, "kupuju" potrebne dokumente.

U sljedećem članku pokazat ćemo kako izračunati troškove obrade osobnih podataka unutar tvrtke i reći vam kada je profitabilnije raditi obradu osobnih podataka i kada je bolje pohraniti ih u oblak.

Materijal objavljuje korisnik. Kliknite gumb "Napišite" da biste podijelili svoje mišljenje ili razgovarali o svom projektu.

Zakon o osobnim podacima: implikacije za uredski rad

• Khramtsovskaya Natalia | Kandidat za povijesne znanosti, vodeći stručnjak za upravljanje dokumentima tvrtke EOS, stručnjak za ISO, član Međunarodnog arhivskog vijeća

Tražite uzrok

Savezni zakon Ruske Federacije br. 152-FZ "O osobnim podacima" usvojen je 27. srpnja 2006. godine i, u usporedbi s drugim izvanrednim događajima iz protekle godine, prošao je gotovo nezapaženo. Formalni razlog za njegovo usvajanje bile su brojne činjenice krađe baza osobnih podataka u državnim i komercijalnim strukturama i njihova široka prodaja. Zapravo, glavna svrha usvajanja ovog zakona bila je potreba uklanjanja određenih prepreka trgovini sa zemljama Europske unije.

Francuska je zabranila objavljivanje činjenica o privatnosti i izrekla kazne za prekršitelje 1858. godine.

Norveški kazneni zakon zabranio je objavljivanje informacija o "osobnim ili privatnim stvarima" 1889.

Domaći zakon “O osobnim podacima” od 27. srpnja 2006. godine br. 152-FZ počeo je s radom 26. siječnja ove godine (u skladu s dijelom 1. članka 25., zakon stupa na snagu 180 dana nakon službene objave, koja je održana 29. srpnja 2006. u "Rossiyskaya Gazeta").

Prema Direktivi EU 95/46 / EC, osobni podaci mogu se prenijeti samo u zemlje koje pružaju istu razinu zaštite kao u Europi. To je znatno otežalo razmjenu informacija iz europskih vladinih agencija i tvrtki sa stranim partnerima, što je onemogućilo mnoge komercijalno obećavajuće projekte. Takva ograničenja doživjela su ne samo Rusija i zemlje trećeg svijeta, nego i ekonomsko čudovište poput Sjedinjenih Država. Tako je naša vlada odlučila prevladati ovu prepreku. Da vidimo kako je to učinio i što će nas sve koštati.

Usvajanje ruskog zakona o osobnim podacima rezultat je pristupanja Ruske Federacije Europskoj konvenciji 1981. o zaštiti osobe u vezi s automatskom obradom osobnih podataka, koja definira osnovna načela zaštite osobnih podataka u europskim zemljama. Ovom Konvencijom i narednim direktivama Europske unije istaknute su zadaće koje nacionalno zakonodavstvo treba rješavati pri reguliranju osobnih podataka:

• zaštitu osobnih podataka od neovlaštenog pristupa drugih osoba, uključujući predstavnike državnih tijela i službi koje nemaju potrebna ovlaštenja;
• osiguravanje sigurnosti, integriteta i pouzdanosti podataka u procesu rada s njima, uključujući prijenos putem komunikacijskih kanala;
• osiguravanje odgovarajućeg pravnog režima tih podataka pri radu s njima za različite kategorije osobnih podataka;
• osiguravanje kontrole nad korištenjem osobnih podataka od strane građanina;
• stvaranje posebne neovisne strukture koja osigurava djelotvornu kontrolu nad poštivanjem prava građana na zaštitu svojih osobnih podataka (primjerice, stvaranje mjesta povjerenika za zaštitu osobnih podataka).

Naš zakon u velikoj mjeri ponavlja glavne odredbe europskog zakonodavstva u ovom području, koje se smatra jednim od najtežih u svijetu. Iako je 2006. godine o zakonu često govorio, malo je ljudi pažljivo pročitalo sadržaj njegovih odredbi. No, kako bi se osigurala usklađenost sa zahtjevima, potrebno je značajno promijeniti rad s informacijama i dokumentacijom koja sadrži osobne podatke. Pokušajmo shvatiti što je novo u području upravljanja dokumentima i informacijama u organizaciji?

• U svim organizacijama postoji novi, prilično obiman sloj dokumentacije. Riječ je o dokumentima koji se odnose na dobivanje suglasnosti pojedinaca za obradu njihovih osobnih podataka, uz registraciju baza podataka kod nadležnog tijela, uz dokumentaciju svih transakcija s osobnim podacima, itd.
• Postoji potreba za isticanjem dokumenata i informacija koje sadrže osobne podatke; njihovo posebno označavanje na papiru i elektroničkim medijima; odvojeno računovodstvo i praćenje pristupa. Možete govoriti o pojavi drugog tipa pristupa dokumentima.
• Temeljno mijenja pristup uspostavi čuvanja dokumenata i informacija. Prvi put u domaćoj praksi utvrđen je maksimalni rok skladištenja i uvjetno razdoblje koje će biti teško pratiti i pratiti.
• Prilikom rada s osobnim podacima potrebno je unaprijed unaprijed zamisliti i zabilježiti u regulatorne dokumente, što je povezano s njihovom obradom. U suprotnom, organizacija se može smatrati odgovornom i, što je još neugodnije, mogu postojati brojne tužbe od samih subjekata osobnih podataka 3.
• Zakon uvodi vrlo stroge rokove za izvršenje svih žalbi građana vezanih uz obradu osobnih podataka.

Sada ćemo se detaljnije osvrnuti na najvažnije odredbe zakona i procijeniti što će se organizacije i institucije morati poduzeti kako bi ga provele. Osim toga, pokušat ćemo analizirati neke odredbe zakona u smislu ispravnosti i jasnoće njihovog teksta.

Područje primjene zakona

Prvo pitanje: na koga se primjenjuje ovaj zakon? Odgovarajući na to, možemo sa sigurnošću reći da se odnosi na sve bez iznimke (na državne institucije, pravne osobe i pojedince). Evo popisa članka 1:

• tijela savezne vlade
• državna tijela sastavnica Ruske Federacije,
• drugih državnih tijela
• lokalne vlasti,
• općinska tijela koja nisu dio sustava tijela lokalne samouprave,
• pravne osobe
• pojedinaca.

Drugo važno pitanje je područje primjene zakona.

Članak 1 Saveznog zakona Ruske Federacije “O osobnim podacima” br. 152-FZ od 27. srpnja 2006. godine

Ovim saveznim zakonom uređeni su odnosi u vezi s obradom osobnih podataka... uz korištenje alata za automatizaciju ili bez korištenja takvih sredstava, ako obrada osobnih podataka bez korištenja takvih sredstava odgovara prirodi radnji (operacija) koje se obavljaju s osobnim podacima pomoću sredstava automatizacije.

Tekst ovog članka je primjer kako ne pisati zakone. Ispalo je nešto nerazumljivo, dopuštajući različite interpretacije. Kako, na temelju takvog teksta, odgovoriti, primjerice, na pitanje jesu li podaci obuhvaćeni u slobodnom obliku u poslovnoj bilježnici obuhvaćeni zakonom? Ako je takva bilježnica pohranjena u računalu ili mobilnom telefonu, smatra li se "upotrebom opreme za automatizaciju"?

Europsko zakonodavstvo u tom pogledu je jasnije:

Direktiva EU 95/46 / EC 1995

Članak 2. "Definicije":

(c) “sustav za pohranu osobnih podataka” 4 (“sustav pohrane”) je svaki strukturirani skup osobnih podataka kojima se može pristupiti prema određenim kriterijima - bez obzira na to kako je skup podataka organiziran, bilo centraliziran, decentraliziran ili distribuiran na funkcionalnoj ili geografskoj osnovi...

Članak 3. "Opseg":

1. Ova se Direktiva odnosi na obradu osobnih podataka korištenjem automatskih sredstava (u cijelosti ili djelomično), kao i na obradu drugim sredstvima, a ne automatskim, osobnim podacima, komponentama ili namijenjenima za dio sustava za pohranu.

U modernoj računalnoj terminologiji "strukturirani podaci" prije svega znače baze podataka. U papirologiji oni uključuju kartoteke i arhive osobnih datoteka. Stoga europski zahtjevi uključuju:

• na automatsku obradu osobnih podataka i
• za uporabu (bilo u automatskom ili drugom načinu) koji sadrži osobne podatke papirnih i elektroničkih baza podataka, kartotečnih datoteka itd., koji imaju mehanizam pretraživanja koji olakšava izdvajanje informacija o određenoj osobi.

Zašto je bilo nemoguće pisati na ruskom i u našem zakonu i dalje je nerazumljivo?

Potrebno je obratiti pozornost na razliku u terminologiji: "automatska obrada" je jedna stvar, a obrada "upotrebom opreme za automatizaciju" potpuno je drugačiji koncept, mnogo širi i nejasniji.

Zakon predviđa samo četiri iznimke, naime, zakon se ne odnosi na odnose koji nastaju:

• prilikom obrade osobnih podataka za osobne i obiteljske potrebe;
• prilikom obrade osobnih podataka u dokumentima Arhivskog fonda Ruske Federacije;
• prilikom obrade osobnih podataka za uvrštenje u Jedinstveni državni registar pojedinačnih poduzetnika (EGRIP);
• pri obradi osobnih podataka koji su klasificirani kao državne tajne.

Jedna od tih točaka zahtijeva detaljniju studiju. Za početak citiramo zakon:

Članak 1 Saveznog zakona Ruske Federacije “O osobnim podacima” br. 152-FZ od 27. srpnja 2006. godine

2. Ovaj se Savezni zakon ne primjenjuje na odnose koji proizlaze iz:

2) organizaciju skladištenja, pribavljanja, obračunavanja i korištenja osobnih podataka dokumenata Arhivskog fonda Ruske Federacije i drugih arhivskih dokumenata u skladu s propisima o arhivu u Ruskoj Federaciji.

Podsjećamo vas na dvije definicije sadržane u Zakonu o arhivskim poslovima u Ruskoj Federaciji br. 125-FZ od 10.22.2005:

• arhivski dokument - opipljiv medij s podacima na njemu, koji sadrži pojedinosti, dopuštajući da bude identificiran i podložan pohranjivanju zbog značaja naznačenog nositelja i informacija za građane, društvo i državu;
• Dokument Arhivskog fonda Ruske Federacije je arhivski dokument koji je prošao ispitivanje vrijednosti dokumenata, stavljen je u državno računovodstvo i podložan je trajnom čuvanju.
  Pokazalo se da, ako se za određeni dokument ili bazu podataka uspostavi trajno razdoblje skladištenja, a oni su uključeni u Arhivski fond Ruske Federacije, tada se ovaj zakon ne odnosi na njih. Ovaj nedostatak omogućuje vladinim agencijama bilo kakvu ozbiljnu bazu podataka kako bi se izbjegla primjena novog zakona o osobnim podacima.

Evo primjera kako se to može učiniti. Prema Saveznom zakonu “o arhivskim poslovima u Ruskoj Federaciji” (drugi dio članka 18.), Vlada Ruske Federacije odobrava popis saveznih izvršnih tijela i organizacija koje obavljaju poslove pohrane dokumenata Arhivskog fonda Ruske Federacije koje su u saveznom vlasništvu. Novi popis od 5 odjela i organizacija odobren je krajem 2006. godine. U isto vrijeme, tim organizacijama je naređeno da zaključe sporazum o uvjetima skladištenja dokumenata s Rosarkhivom. Ako je prilikom sklapanja ugovora izričito propisano da se svi dokumenti, osim onih operativnih, smatraju dokumentima koji su preneseni na skrbništvo, tada se većina dokumenata može staviti pod tu iznimku.

Za ostale državne organizacije, jedna od mogućnosti mogla bi biti i hitno odobrenje evidencije predmeta s državnim arhivima, što bi zapravo značilo uključivanje dokumenata u Arhivski fond Ruske Federacije i ponovno napuštanje “zone djelovanja” zakona o osobnim podacima.

Direktive Europske unije ne sadrže takvu iznimku, međutim, ona postoji, na primjer, u američkom Kodeksu 6, koji sadrži ispravnije formulacije koje ne dopuštaju dvosmislenost: zakoni o osobnim podacima općenito se ne primjenjuju na dokumente koji su već pohranjeni u državnim arhivima, ali odnosi se na dokumente koje je bilo koja agencija za skrbništvo prenijela u državne arhive.

Također je nejasno zašto je iz naših brojnih državnih baza podataka naš zakon izuzeo jedinstveni državni registar pojedinačnih poduzetnika (EGRIP). Bilo bi logično da se iznimka proširi i na druge državne registre koji sadrže i osobne podatke (primjerice, u Registru se nalaze informacije o osnivačima i prvim osobama svih pravnih osoba u zemlji).

Osobni podaci i metode obrade

Osobni podaci - sve informacije koje se odnose na fizičku osobu (predmet osobnih podataka) utvrđene ili utvrđene na temelju tih podataka, uključujući njegovo prezime, ime, ime, godinu, mjesec, datum i mjesto rođenja, adresu, obitelj, socijalni, imovinski status, obrazovanje, zanimanje, dohodak, ostale informacije (prema članku 3. Zakona o osobnim podacima).

Zakon propisuje sljedeće metode obrade osobnih podataka (za neke od njih detaljna objašnjenja su navedena u članku 3):

• zbirka;
• sistematizaciju;
• akumulacija;
• skladištenje;
• pojašnjenje (ažuriranje, promjena);
• korištenje - "radnje (operacije) s osobnim podacima koje obavlja operator 7 u svrhu donošenja odluka ili obavljanja drugih radnji koje dovode do pravnih posljedica u odnosu na predmet osobnih podataka ili drugih osoba, ili na drugi način koji utječe na prava i slobode subjekta osobnih podataka ili drugih osoba";
• distribucija (uključujući prijenos) - “akcije usmjerene na prijenos osobnih podataka određenom krugu osoba (prijenos osobnih podataka) ili upoznavanje s osobnim podacima neograničenog broja osoba, uključujući javno otkrivanje osobnih podataka u medijima, postavljanje informacija i telekomunikacija mreže ili pružanje pristupa osobnim podacima na bilo koji drugi način ”;
• Depersonalizacija - „radnje, zbog kojih je nemoguće utvrditi identitet osobnih podataka određenom predmetu osobnih podataka“;
• blokiranje - “privremena obustava prikupljanja, sistematizacije, akumulacije, korištenja, širenja osobnih podataka, uključujući njihov prijenos”;
• uništavanje osobnih podataka - “radnje, zbog kojih je nemoguće vratiti sadržaj osobnih podataka u informacijski sustav osobnih podataka ili kao rezultat toga uništiti materijalne nositelje osobnih podataka”.

Posebnu pozornost treba posvetiti metodama obrade kao što su blokiranje i uništavanje osobnih podataka. Zakon prilično dobro govori o uništenju - to je pristup koji sada preporučuju domaći i inozemni standardi. Što se tiče blokiranja osobnih podataka, ovaj način obrade u domaćoj praksi uveden je prvi put, a njegovo izvršenje može znatno otežati život organizacijama koje koriste prethodno razvijene informacijske sustave i baze podataka u kojima takva operacija nije osigurana.

Načela i uvjeti za obradu osobnih podataka

Odredbe zakona prvenstveno su usmjerene na sprječavanje nezakonitog prikupljanja i korištenja osobnih podataka. Ta želja zakonodavca dovela je do pojave nove pozicije za vođenje evidencije:

Odredba 2. članka 5. Saveznog zakona Ruske Federacije "O osobnim podacima" od 27. srpnja. 2006, br. 152-FZ

Osobni podaci trebaju biti pohranjeni u obliku koji omogućuje određivanje predmeta, a ne duže nego što to zahtijevaju ciljevi obrade, te treba biti uništen pri postizanju ciljeva obrade osobnih podataka ili gubitka potrebe za njihovim ostvarenjem.

U ovom slučaju, zakon, po prvi put, možda za informacije i dokumente postavlja maksimalni i, štoviše, uvjet za skladištenje - “nakon postizanja ciljeva obrade”. Organizacije će morati utvrditi rokove čuvanja dokumenata koji sadrže osobne podatke, te će biti potrebno unaprijed razmisliti o razlozima za odabrana razdoblja skladištenja. To je prilično komplicirano pitanje koje može izazvati mnogo kontroverzi i problema.

Osim toga, stručnjaci DOE-a trebaju obratiti pozornost na sljedeće: budući da se ciljevi prikupljanja i obrade osobnih podataka, kako je propisano zakonom, moraju odrediti prije početka rada, potrebno je pažljivo razmotriti njihov tekst. Inače, sama organizacija može sama “zamijeniti”: ciljevi će biti ispunjeni, a osobni podaci neće biti uništeni.

Jedna od najneugodnijih za organizacije koje prikupljaju i obrađuju osobne podatke je zahtjev članka 6. o potrebi pribavljanja suglasnosti subjekta za njihovu obradu. Nije potrebna suglasnost samo u sljedećim slučajevima:

• na temelju saveznog zakonodavstva;
• radi ispunjavanja ugovora s osobnim podacima;
• za statističke ili znanstvene svrhe;
• zaštititi život i zdravlje subjekta osobnih podataka;
• za dostavu poštanskih pošiljaka poštanskim organizacijama;
• tijekom profesionalnog djelovanja novinara, znanstvenika itd.;
• podatke koji se objavljuju u skladu sa saveznim zakonima;
• kako bi se zaštitili temelji ustavnog poretka, morala, zdravlja, prava i legitimnih interesa drugih, osigurati obranu zemlje i sigurnost države.

Već imamo niz saveznih zakona koji opisuju obradu osobnih podataka, na primjer, pri vođenju jedinstvenog državnog registra poreznih obveznika (EGRN) i pravnih osoba (USR). Jedini uvjet za korištenje iznimke od zahtjeva opće suglasnosti je iznijeti sljedeća pitanja u relevantnom zakonodavstvu:

• cilj,
• uvjeti za dobivanje osobnih podataka
• krug subjekata čiji osobni podaci podliježu obradi,
• ovlasti operatora koji prikuplja podatke.

Još nije jasno što će se dogoditi s onim zakonima koji sadrže norme koje se odnose na prikupljanje i obradu osobnih podataka, ali ne ispunjavaju navedene uvjete.

Prvi problemi vezani uz poštivanje novog zakona privukli su pozornost osiguravajućih društava. Prema njihovom mišljenju, zakon o osobnim podacima može ozbiljno ometati primjenu Zakona o obveznom osiguranju od automobilske odgovornosti zbog zabrane da se trećim osobama bez njegovog pristanka prenesu osobni podaci klijenta dobiveni prilikom sklapanja Ugovora o osiguranju od automobilske odgovornosti. Kao rezultat toga, osiguravajuće društvo neće moći dobiti cjelovite informacije o svojim klijentima iz jedinstvene baze podataka (i održavanje takve baze podataka je također upitno), u takvoj situaciji, rizici osiguravatelja se povećavaju.

Već sada osiguravajuće tvrtke pokušavaju riješiti ovaj važan problem za njih razmatrajući sljedeće opcije:

• Izmjene i dopune Zakona o OSAGO-u i obveza osiguravatelja da razmjenjuju podatke o osiguranim događajima.
• Definiranje dijela osobnih podataka kao javnih. Podaci koje pojedinac navodi prilikom sklapanja OSAGO ugovora su, prema osiguravateljima, javni. Međutim, zakon “o osobnim podacima” zahtijeva dobivanje suglasnosti za prikupljanje javnih podataka.
• Odbor All-Ruski Savez osiguravatelja (ARIA) za borbu protiv prijevara osiguranja već je pripremio dva računa, koji se planiraju podnijeti Državnoj Dumi početkom 2007. godine. Prema glavi odbora, Yevgeny Potapov, jedan od tih računa će izmijeniti zakon "o organizaciji osiguranja u Ruskoj Federaciji." To će omogućiti osiguravateljima stvaranje automatiziranih informacijskih sustava temeljenih na njihovim udrugama i udruženjima, koji će sadržavati podatke o potraživanjima od osiguranja i plaćanjima 8.

U pitanju je stavak 6. članka 6. o davanju prava na obradu osobnih podataka novinarima, znanstvenicima i predstavnicima drugih kreativnih struka bez pristanka subjekta. Sasvim je realno (posebno u komercijalnim strukturama) uvesti puno radno vrijeme "predstavnika kreativne struke" i "zapisati" sve baze podataka koje sadrže osobne podatke.

Na primjer, u Engleskoj, u sličnoj odredbi zakona, dodatno je propisano da u ovom slučaju svrha obrade podataka treba biti objavljivanje relevantnog materijala; da takva objava mora biti u javnom interesu (uključujući u ostvarivanju prava na samoizražavanje predstavnika kreativne struke) 9.

Osim toga, zanimljivo je kako ćemo odrediti tko je novinar ili pisac, a tko nije. Nije tajna da mnoga pisca nemaju odgovarajuće diplome ili službene isprave. Ovdje nam pristup u SAD može biti koristan: novinari prepoznaju sve one koji pišu članke za javnu distribuciju, čak i ako se objavljuju samo na internetu.

U Sjedinjenim Američkim Državama u siječnju 2007. počelo je suđenje bivšoj visokoj administraciji Georgea Busha Lewisa "Scooter" Libby. U sudnici je za tisak izdvojeno stotinu mjesta, a dva od njih službeno su primili autori internetskih dnevnika.

Američki urednici novinskih urednika pri izradi saveznog zakona o odobravanju prava novinarima da ne otkriju povjerljive informacije tijekom sudskih postupaka sugeriraju da se ovaj zakon primjenjuje na sve bez iznimke i pokriva one koji prikupljaju podatke za daljnju distribuciju. Autori internetskih dnevnika, “blogeri”, također spadaju u ovu definiciju 10.

Sada ćemo vidjeti kako novi zakon uključuje dobivanje pristanka subjekta na obradu njegovih osobnih podataka.

Točka 1. članka 9. Saveznog zakona Ruske Federacije “O osobnim podacima” od 27. srpnja. 2006, br. 152-FZ

Predmet osobnih podataka odlučuje o davanju svojih osobnih podataka i pristaje na njihovu obradu po vlastitoj volji iu vlastitom interesu... Prava osobnih podataka može povući pristanak na obradu osobnih podataka.

Osim toga, odredba 3. članka 9. sadrži prilično neugodan uvjet za operatore. Oni će ili morati prikupiti dokaze da su podaci koje su prikupili preuzeti iz javno dostupnih izvora, ili dobiti pristanak od subjekta osobnih podataka, a zatim taj dokument pohraniti u slučaju da "subjekt" odluči tužiti operatera zbog kršenja njegovih prava.

S javno dostupnim podacima također nije tako jednostavno. Članak 8., kojim se definira što se podrazumijeva pod javno dostupnim izvorima osobnih podataka (priručnici, adresari, itd.), Naglašava da se osobni podaci mogu uključiti samo uz pisanu suglasnost subjekta. Štoviše, "informacije o predmetu osobnih podataka mogu se u bilo kojem trenutku isključiti iz javno dostupnih izvora osobnih podataka na zahtjev subjekta osobnih podataka ili od strane suda ili drugih ovlaštenih državnih tijela."

S druge strane, ako je organizacija prilikom prikupljanja informacija koristila javno dostupne izvore osobnih podataka, onda bi trebala dokumentirati gdje je primila te informacije i osigurati da “izvor” ima pisani pristanak koji se zahtijeva zakonom.

Savezni zakon Ruske Federacije "O osobnim podacima" od 27. srpnja. 2006, br. 152-FZ

Točka 12. članka 3. Osnovni pojmovi korišteni u ovom saveznom zakonu

Općenito pristupačni osobni podaci su osobni podaci kojima neograničen broj osoba ima pristup uz pristanak subjekta osobnih podataka ili kojima se zahtjev povjerljivosti ne primjenjuje u skladu sa saveznim zakonima.

Članak 8. T Općenito dostupni izvori osobnih podataka

Kako bi se osigurala informacijska podrška, mogu se stvoriti javno dostupni izvori osobnih podataka (uključujući referentne knjige, adresare). Javno dostupni izvori osobnih podataka uz pisanu suglasnost subjekta osobnih podataka mogu uključivati ​​njegovo prezime, ime, srednje ime, godinu i mjesto rođenja, adresu, pretplatnički broj, podatke o struci i druge osobne podatke koje daje subjekt osobnih podataka.

Točka 3. članka 9. Pristanak subjekta osobnih podataka o obradi njihovih osobnih podataka

Obveza pružanja dokaza o pristanku subjekta osobnih podataka na obradu njegovih osobnih podataka, te u slučaju obrade javno dostupnih osobnih podataka, operator je dužan dokazati da su osobni podaci koji se obrađuju javno dostupni.

Ispostavlja se da će se, kako bi se zaštitili, organizacije morati tražiti službenu potvrdu za svakog građanina.

Kako se podnosi pisani pristanak subjekta? Ispostavlja se da potpis građanina pod općim izrazom "Prihvaćam prikupljanje i obradu mojih osobnih podataka" neće biti dovoljan.

Točka 4. članka 9. Saveznog zakona Ruske Federacije “O osobnim podacima” od 27. srpnja. 2006, br. 152-FZ

... pisani pristanak subjekta osobnih podataka na obradu njihovih osobnih podataka trebao bi uključivati:

1. prezime, ime, prezime, adresu subjekta osobnih podataka, broj glavnog dokumenta kojim se dokazuje njegov identitet, podatak o datumu izdavanja navedenog dokumenta i organu koji ga je izdao;
2. ime (prezime, ime i prezime) i adresu operatera koji pribavi pristanak subjekta osobnih podataka;
3. svrha obrade osobnih podataka;
4. popis osobnih podataka za čiju obradu se daje pristanak subjekta osobnih podataka;
5. popis radnji s osobnim podacima za koje se daje suglasnost, opći opis metoda koje operater koristi za obradu osobnih podataka;
6. razdoblje u kojem je suglasnost valjana, kao i postupak za njegovo povlačenje.

To znači da prije „hvatanja“ predmeta osobnih podataka i pokušaja dobivanja njegovog pristanka, operator mora razviti poseban oblik dokumenta koji bi sadržavao sve potrebne informacije.

Prava subjekta osobnih podataka

Prije svega, predmet osobnih podataka ima pravo na sljedeće informacije:

• informacije o operateru,
• informacije o lokaciji operatora,
• podatke o osobnim podacima operatera koji se odnose na predmet osobnih podataka,
• subjekt također ima pravo upoznati se s njegovim osobnim podacima koje posjeduje operater.

Od operatera, predmet osobnih podataka može zahtijevati:

• razjasniti vaše osobne podatke
• njihovo blokiranje ili uništenje u slučaju da su osobni podaci nepotpuni, zastarjeli, netočni, nezakonito pribavljeni ili nisu nužni za navedenu svrhu obrade.

Mnoge poteškoće za organizacije operatera stvorit će točku 2. članka 14. Zakona, koja zahtijeva da informacije o dostupnosti osobnih podataka subjekt dostavi subjektu u pristupačnom obliku i da ne sadrže podatke koji se odnose na druge subjekte osobnih podataka.

Predmet „Durant protiv financijskih službi“ 11, koji je razmatran na žalbenom sudu u Engleskoj u prosincu 2003., dobio je širok odgovor. Odluka suda znatno je suzila tumačenje pojma „osobni podaci“. Osobito je sud naveo da samo spominjanje te osobe u tekstu dokumenta nije dovoljno za razmatranje dokumenta koji sadrži osobne podatke. Osim toga, sud je potvrdio da pravo na pristup njihovim osobnim podacima ne bi trebalo povrijediti prava trećih osoba i da bi, u skladu s tim, osobne podatke trećih osoba trebalo ukloniti iz kopija dokumenata koji se dostavljaju na zahtjev (osim posebnih okolnosti).

U studenom 2004., Vlada je uskratila pravo radnika u Velikoj Britaniji na pristup njihovim osobnim podacima, bez obzira na to da li ih njihov poslodavac čuva u papirnatom ili elektroničkom obliku, ako su pohranjeni u sustavu koji ne strukturira jasno podatke o svakoj osobi. Tako su sustavi za pohranu papirnatih datoteka (s izuzetkom osobnih datoteka) de facto uklonjeni iz djelovanja zakona o pružanju pristupa osobnim podacima, jer teško je izolirati informacije o određenoj osobi.

Kako bi pristupili svojim osobnim podacima, naši sunarodnjaci trebaju:

• primjenjivati ​​osobno ili
• poslati zahtjev koji treba sadržavati:
  • broj glavnog dokumenta kojim se potvrđuje identitet predmeta osobnih podataka ili njegov zakonski zastupnik,
  • podatke o datumu izdavanja navedenog dokumenta i tijela koje je izdalo dokument i. t
  • rukopisni potpis predmeta osobnih podataka ili njegov zakonski zastupnik.

Ovaj se zahtjev može poslati u elektroničkom obliku i potpisan digitalnim potpisom. Prema tome, zakon formalno pruža mogućnost podnošenja zahtjeva za osobne podatke putem elektroničkih komunikacijskih kanala. Još uvijek nemamo pojedince koji imaju svoje EDS u skladu sa Zakonom o EDS-u (u velikoj većini slučajeva EDS se u našoj zemlji koristi u skladu s člankom 160. Građanskog zakonika, koji predviđa prethodni sporazum stranaka).

Količina informacija koje subjekt osobnih podataka može zatražiti pokazuje brigu za naše građane. Organizacijama koje vode bazu podataka s osobnim podacima preporučuje se da posebnu pozornost posvete stavku 4. članka 14. novog zakona kako bi razmislili i konsolidirali postupak za davanje informacija u internim propisima:

1. činjenicu obrade osobnih podataka od strane operatora, kao i svrhe takve obrade;
2. o metodama obrade osobnih podataka koje koristi operater;
3. o osobama koje imaju pristup osobnim podacima ili kojima se može odobriti takav pristup (kako bi se moglo izvijestiti o tome tko je i koji su osobni podaci dostavljeni, potrebno je organizirati rad na registraciji osobnih podataka i kontrolirati pristup njima, u suprotnom organizacija operatera teško ispuniti ovaj zahtjev);
4. popis obrađenih osobnih podataka i izvora njihovog primitka;
5. vrijeme obrade osobnih podataka, uključujući i vrijeme njegovog skladištenja (posebnu pozornost treba posvetiti tom zahtjevu, budući da ustvari obvezuje operatera da utvrdi vrijeme obrade i čuvanja podataka, što može varirati ovisno o svrhama obrade osobnih podataka, internim aktima o regulaciji);
6. informacije o tome koje pravne posljedice za predmet osobnih podataka mogu imati za posljedicu obradu njegovih osobnih podataka (da bi se ispunio taj zahtjev, organizacije bi trebale unaprijed uputiti svoje odvjetnike da formuliraju obrazloženja za sve moguće pravne posljedice obrade osobnih podataka)

Pitanje obrade osobnih podataka „radi promicanja robe, radova, usluga na tržištu kroz izravne kontakte s potencijalnim potrošačem putem komunikacijskih alata, kao i za političku kampanju“ posvećeno je posebnom članku (članak 15). Sada, komercijalne i političke organizacije, prije slanja oglašavanja, moraju dobiti prethodnu suglasnost građanina, a obrada PD-a "se priznaje bez prethodne suglasnosti subjekta osobnih podataka, ako operater ne dokaže da je takav pristanak dobiven". Za neke komercijalne strukture, ovaj zahtjev može biti vrlo nezgodan!

Od sada je „zabranjeno donošenje odluka na temelju isključivo automatizirane obrade osobnih podataka, što dovodi do pravnih posljedica u odnosu na predmet osobnih podataka ili na drugi način utječe na njegova prava i legitimne interese“ (članak 16.).

Ova je odredba nužna i pravodobna. Ali naši zakonodavci, formulirajući to, zbunili su dva različita pojma: „automatski“ (to jest, bez ljudskog sudjelovanja) i „automatizirani“ (to jest, ići s ljudskim sudjelovanjem). Kao rezultat toga, ovaj članak, umjesto nametanja dodatnih ograničenja onima i samo onda kada informacijski sustav donosi odluke bez sudjelovanja čovjeka (na primjer, naplata novčane kazne, zabrana putovanja izvan zemlje, itd.), Može tumačiti kao nametanje ograničenja za sve vrste obrade osobnih podataka, budući da se čak i korištenje kalkulatora može shvatiti kao automatizirana obrada!

U istom članku novog zakona navodi se da će operator moći donositi odluke samo na temelju „automatizirane“ obrade, ako:

• pribaviti pisani pristanak od nositelja osobnih podataka ili
• ako su ta pravila utvrđena saveznim zakonima.

U nekim regulatornim dokumentima ti su zahtjevi već uzeti u obzir. Tako u uzorcima zahtjeva za izdavanje putovnice nove generacije postoji poseban odjeljak u kojem se podnositelj zahtjeva slaže s „automatiziranom“ obradom podataka navedenih u zahtjevu. Zvuči ovako: „Slažem se s automatiziranom obradom, prijenosom i pohranjivanjem podataka navedenih u prijavi za potrebe proizvodnje, obrade i kontrole putovnice tijekom razdoblja valjanosti“ 12.

Operater će također građaninu unaprijed morati dostaviti sljedeće informacije:

• redoslijed donošenja odluka na temelju isključivo "automatizirane" obrade njegovih osobnih podataka i
• moguće pravne posljedice takve odluke;
• postupak zaštite osobnih podataka od strane svojih osoba i njegovih legitimnih interesa;
• mogućnost prigovora na takvu odluku.

U slučaju spora, operater će morati dokazati da je ispunio sve zahtjeve zakona. To znači da će morati pažljivo prikupljati i čuvati popratne dokumente.

Odgovornosti operatora

Obveze operatora, u skladu s člankom 18., prvenstveno uključuju pružanje osobnih podataka na zahtjev građanina. Osim toga, operater mora »osobnom podatku pojasniti pravne posljedice odbijanja davanja osobnih podataka«, ako je ta dužnost utvrđena saveznim zakonom.

Člankom 20. utvrđeni su vrlo strogi rokovi za operatore da ispune zahtjeve subjekata osobnih podataka (oni su mnogo oštriji, primjerice oni koji su predviđeni nedavno donesenim Zakonom “O postupku razmatranja žalbi građana Ruske Federacije”):

• pružanje podataka - u roku od 10 radnih dana od dana primitka zahtjeva;
• motivirano odbijanje - u roku od 7 radnih dana.

Operater će imati još više pitanja ako je potrebno otkloniti kršenja zakona u roku predviđenom člankom 21. novog zakona. Blokiranje podataka treba obaviti od trenutka podnošenja zahtjeva ili od trenutka primitka zahtjeva, te otklanjanja kršenja - u roku od 3 radna dana.

U nekim slučajevima, operator je dužan uništiti osobne podatke u roku od 3 radna dana, i to:

• u slučaju neuspjeha da se otklone kršenja,
• u slučaju postizanja cilja obrade osobnih podataka,
• u slučaju da subjekt osobnih podataka opozove svoj pristanak na obradu njegovih osobnih podataka.

Blokiranje i uništavanje osobnih podataka može biti teško (a ponekad i nemoguće) implementirati u trenutno operativne informacijske sustave i baze podataka koje prethodno nisu predviđale takvu mogućnost.

Za operatera će biti još teže ako primi osobne podatke ne od građanina, nego od treće strane.

Točka 3. članka 18. Saveznog zakona Ruske Federacije “O osobnim podacima” od 27. srpnja. 2006, br. 152-FZ

Ako osobni podaci nisu primljeni od osobe koja se bavi osobnim podacima, osim ako su osobni podaci dostavljeni operatoru prema saveznom zakonu ili ako su osobni podaci javno dostupni, operator mora osobama s podacima osobne podatke dostaviti sljedeće podatke:

1. ime (prezime, ime, srednje ime) i adresu operatera ili njegovog zastupnika;
2. svrha obrade osobnih podataka i njihove pravne osnove;
3. namijenjeni korisnici osobnih podataka;
4. prava subjekta osobnih podataka utvrđenih ovim saveznim zakonom.

Iza ovih riječi stoji više vremena. Na primjer, može se postaviti pitanje: kako bi se ta informacija trebala pružiti subjektu? Je li moguće poslati ga poštom i hoće li se smatrati da su informacije dostavljene ako subjekt nije primio odgovarajuće pismo?

Obveza operatora, u skladu s člankom 19., je također osigurati sigurnost osobnih podataka tijekom njihove obrade. Kako bi se izbjegli problemi, organizacija operatera bi trebala razviti i konsolidirati u regulatornim dokumentima sve organizacijske i tehničke mjere sigurnosti informacija koje je spremna poduzeti kako bi zaštitila osobne podatke sadržane u njezinim informacijskim sustavima.

Državna registracija sustava za obradu osobnih podataka

Zakonom je propisano da svi operateri koji obavljaju obradu osobnih podataka moraju unaprijed obavijestiti nadležni organ (članak 22.), koji će voditi evidenciju operatora u posebnom registru. Ovlašteno tijelo, sukladno članku 23., je Ministarstvo informacijskih tehnologija i komunikacija Ruske Federacije, koje trenutno obavlja "funkcije kontrole i nadzora u području informacijskih tehnologija i komunikacija". Obavijest će trebati detaljno razraditi što se planira učiniti s osobnim podacima. Svaka promjena u vezi s obradom osobnih podataka također se mora prijaviti nadležnom tijelu.

Dopušteno je obraditi osobne podatke bez obavještavanja nadležnog tijela u sljedećim slučajevima:

• u prisutnosti radnih odnosa;
• prilikom sklapanja ugovora o kojem je stranka osobni podatak;
• ako osobni podaci pripadaju članovima (sudionicima) javnog udruženja ili vjerske organizacije i obrađuju ih relevantne javne udruge ili vjerske organizacije;
• ako su osobni podaci javno dostupni;
• ako osobni podaci uključuju samo imena, prezimena i patronimska imena subjekata;
• pri prijavi upisa;
• ako su osobni podaci uključeni u informacijske sustave koji, u skladu sa saveznim zakonima, imaju status federalnih automatiziranih informacijskih sustava, kao i državne informacijske sustave za osobne podatke stvorene radi zaštite sigurnosti države i javnog reda;

U zaključku, dat ćemo niz preporuka operatorima. Neće biti teško ispuniti zahtjeve zakona o osobnim podacima ako se ovaj rad počne sada, bez čekanja na prve pritužbe i pritužbe. Možete početi sa sljedećim očiglednim mjerama:

• Preporučljivo je imenovati odgovornog službenika koji će razmotriti sva pitanja vezana uz provedbu ovog zakona u organizaciji, a za velika poduzeća može se opravdati stvaranje posebne komisije.
• Za sve izvore informacija organizacije koji sadrže osobne podatke, morate:
  • utvrđuju svoj status (na temelju kojeg su stvoreni: u skladu sa zakonodavstvom, za izvršenje ugovora, na vlastitu inicijativu, itd.);
  • razjasniti i zabilježiti sastav osobnih podataka i njihovih izvora primitka (od građana, iz javnih izvora, od trećih strana, itd.);
  • utvrditi razdoblje skladištenja i vrijeme obrade podataka u svakom izvoru informacija;
  • odrediti metode obrade;
  • identificirati osobe s pristupom podacima;
  • formulirati pravne implikacije;
  • odrediti postupak reagiranja na zahtjeve, moguće odgovore i postupke, procijeniti stvarnost usklađenosti s utvrđenim vremenom odgovora.

U ovom članku izrađena je analiza novog zakona o zaštiti osobnih podataka sa stajališta stručnjaka iz područja upravljanja dokumentima, koji će pokvariti mnogo krvi. Njegovu učinkovitost će pokazati praksa, ali za sada, kao "subjekt osobnih podataka", procjenjujem popis javnih tijela kojima bih mogao poslati zahtjev za davanje relevantnih informacija, u skladu sa zahtjevima zakona. Sada imam pravo!

1 Članak 25. Poglavlja IV Direktive 95/46 / EZ Europskog parlamenta i Vijeća Europske unije od 24. listopada 1995. o zaštiti prava pojedinaca u pogledu obrade osobnih podataka i slobodnog kretanja takvih podataka.

2 Zanimljivo je da čak ni Sjedinjene Države ne udovoljavaju strogim europskim zahtjevima, a američke tvrtke prisiljene su koristiti takozvane „kišobranske“ sporazume.

3 Subjekt osobnih podataka je osoba čiji se osobni podaci obrađuju.

4 "zbirka osobnih podataka"

5 Popis federalnih izvršnih vlasti i organizacija koje se bave skladištenjem dokumenata Arhivskog fonda Ruske Federacije koje su u saveznom vlasništvu obuhvaća 18 organizacija: Ministarstvo unutarnjih poslova Rusije, Ministarstvo vanjskih poslova Rusije, Ministarstvo obrane Rusije, SVR Rusije, FSB Rusije, Federalna služba za kontrolu lijekova Rusije, Ruski FSB, Rosatom, Roskartografiya, Ruska akademija poljoprivrednih znanosti, Ruska akademija medicinskih znanosti, Ruska akademija obrazovanja, Ruska akademija umjetnosti, Ruska akademija arhitekture i građevinskih znanosti Zaklada: Sve-ruski istraživački institut hidrometeoroloških informacija - Svjetski podatkovni centar, Savezna državna ustanova "Državni fond za televiziju i radio programe", Federalno državno jedinstveno znanstveno-proizvodno poduzeće "Ruski federalni geološki fond", Federalno državno jedinstveno poduzeće “Ruski znanstveno-tehnički centar informacije o normizaciji, mjeriteljstvu i ocjeni sukladnosti ".

6 5 U.S. C. § 552a (k) (1) „Dokumenti pojedincima - Posebne iznimke - Arhivski dokumenti“.

7 Operator - državno tijelo, općinsko tijelo, pravna ili fizička osoba, organizira i (ili) obavlja obradu osobnih podataka, te utvrđuje svrhu i sadržaj obrade osobnih podataka.

9 Zakon o zaštiti podataka iz 1998., članak 32. t

11 Durant protiv Financial Services Authority (FSA).

12 Dodatak br. 1 Uputi o postupku za obradu i izdavanje putovnice državljana Ruske Federacije, diplomatska putovnica i službena putovnica, koji su glavni dokumenti koji potvrđuju identitet državljana Ruske Federacije izvan teritorija Ruske Federacije koji sadrže elektroničke medije (odobreno naredbom Ministarstva unutarnjih poslova Ruske Federacije, Ministarstva vanjskih poslova) i Savezne sigurnosne službe Ruske Federacije od 6. listopada 2006. godine br. 785/14133/461).