Apakah cara memproses data peribadi?

Dalam kod buruh Persekutuan Rusia terdapat istilah seperti "maklumat peribadi orang yang bekerja." Data mengenai kontinjen operasi mesti diberikan kepada majikan.

Selepas memeriksa maklumat peribadi, majikan membuat keputusan mengenai pengambilan seseorang kepada syarikat itu.

Maklumat yang diberikan oleh seseorang itu harus dilindungi. Mengedarnya adalah dilarang.

Pembaca yang dihormati! Artikel kami memberitahu tentang cara-cara tipikal untuk menyelesaikan masalah undang-undang, tetapi setiap kes adalah unik.

Sekiranya anda ingin mengetahui bagaimana menyelesaikan masalah anda - hanya hubungi, cepat dan percuma!

Sistem

Maklumat peribadi tentang pekerja harus tertakluk kepada pembangunan.

Majikan memohon keperluan berikut untuk data peribadi orang yang bekerja:

1. Proses pemprosesan maklumat peribadi tentang orang kerja berlaku untuk memastikan pematuhan undang-undang dan tindakan undang-undang. Terima kasih kepada pemprosesan data, anda boleh menggunakan seseorang, beri dia keselamatan peribadi, memantau kerja yang dia lakukan.
2. Majikan mengambil kira skop serta kandungan maklumat peribadi mengenai kontingen kerja yang sedang diproses. Semua majikan mengkaji dan mengikuti aspek Perlembagaan, undang-undang persekutuan yang lain.
3. Maklumat mengenai pasukan kerja perlu diperolehi secara langsung daripada pekerja itu sendiri. Anda boleh mendapatkan maklumat mengenai orang yang bekerja dari mulut ketiga, tetapi hanya dengan persetujuan bertulis daripada orang itu. Majikan memberitahu pekerja mengenai matlamat dan sumber mereka, dari mana maklumat peribadi akan dibawa. Majikan memberi amaran kepada akibat-akibat dalam hal-hal penolakan untuk memberikan maklumat peribadi dari orang yang bekerja.
4. Seseorang yang memberikan kerja kepada pekerjanya tidak mempunyai hak untuk mendapatkan maklumat mengenai segala macam hukuman politik, agama atau lain-lain, serta kehidupan keluarga seorang pekerja. Kehidupan peribadi seorang pekerja hanya boleh dinyatakan dengan perjanjiannya. Perjanjian itu mesti dibuat secara bertulis.
5. Majikan tidak boleh menggunakan pemprosesan maklumat mengenai kehadiran orang yang bekerja dalam persatuan keahlian, kesatuan sekerja. Tetapi terdapat situasi yang disediakan oleh Undang-undang Persekutuan.
6. Semua maklumat peribadi mesti dilindungi dan tersembunyi daripada pemerhatian awam dan penggunaan. Perlindungan data tertakluk kepada syarat Undang-undang Persekutuan.
7. Pekerja mengkaji dokumen yang dimiliki oleh institusi tersebut. Mereka harus mendedahkan makna dan perintah mengenai proses untuk memproses data peribadi pekerja.
8. Orang yang bekerja mesti menerima perlindungan maklumat peribadi mereka.
9. Majikan sendiri, serta pekerja, boleh bekerjasama untuk membangunkan cara untuk melindungi maklumat peribadi pekerja.

Apabila menyampaikan maklumat mengenai pekerja, pengarah perusahaan mesti mematuhi peraturan berikut:

• Pihak ketiga tidak perlu tahu mengenai data peribadi setiap pekerja. Data hanya boleh diberikan dalam kes-kes di mana pekerja yang telah diberikan kebenaran bertulis mereka untuk menggunakan maklumat peribadi mereka. Tetapi jika ada ancaman terhadap kehidupan, kesihatan pasukan kerja, maka data peribadi dapat diberikan kepada orang lain tanpa persetujuan bertulis bertulis;
• majikan tidak boleh menghantar data mengenai pasukan yang bekerja di atasnya untuk tujuan perdagangan;
• orang yang menerima maklumat mengenai pekerja mesti memprosesnya dalam kerangka kerahsiaan;
• pemindahan maklumat tentang seseorang hanya dijalankan dalam satu organisasi melalui tindakan dalaman institusi khas;
• maklumat mengenai pekerja hanya mempunyai akses kepada orang yang diberi kuasa khas;
• tidak perlu meminta maklumat mengenai kesihatan orang yang bekerja. Permintaan boleh dibuat hanya dalam kes apabila pertanyaan timbul sama ada orang pekerja boleh menjalankan fungsi buruh mereka;
• data peribadi pada kontinjen kerja boleh dikumpulkan dengan mengambil kira data Kod.

Kontingen yang bekerja mempunyai hak untuk:

• kenalan dengan data peribadi anda dan pemprosesannya;
• akses tanpa had kepada maklumat peribadi. Orang yang bekerja boleh mengeluarkan salinan data maklumat. Tetapi terdapat situasi apabila maklumat peribadi tidak didedahkan. Keadaan ini diterangkan dalam Undang-undang Persekutuan;
• seorang profesional perubatan boleh melihat data peribadi pekerja;
• kemungkinan membetulkan atau menambah subjek data peribadi.

Jenis pemprosesan data peribadi berikut dibezakan:

1. Memproses maklumat menggunakan teknologi komputer.
2. Bukan pemprosesan automatik.
3. Sistem maklumat memproses data yang disediakan.

Automatik

Pemprosesan ini dilakukan menggunakan teknologi komputer khas. Mesin pengkomputeran yang paling biasa boleh:

• komputer elektronik;
• peranti tambahan;
• peranti periferi;
• semestinya dipasang perisian.

Bukan automatik

Huraian yang paling terperinci tentang pemprosesan tidak automatik ditulis dalam ketetapan kerajaan nombor 687.

Pengedaran, kajian dan penyingkiran maklumat mengenai kontinjen operasi harus dilakukan dengan sebahagian daripada orang, bukan teknologi komputer.

Maklumat

Terima kasih kepada sistem maklumat, kategori khas maklumat peribadi mengenai kontinjen operasi diproses. Sistem ini memproses data yang mempengaruhi keanggotaan bangsa dan jantina, kewarganegaraan, pandangan politik, pandangan falsafah.

Terima kasih kepada sistem maklumat yang boleh diproses:

• data peribadi biometrik. Terutamanya jika ada ciri-ciri fisiologi, data biologi. Terima kasih kepada ciri-ciri yang diperolehi, adalah mungkin untuk menilai personaliti pekerja;
• berkongsi data peribadi;
• data maklumat lain. Satu contohnya ialah ide keagamaan, kebangsaan, pandangan falsafah, momen sifat intim kontingen yang bekerja, dan banyak ciri peribadi penting yang penting sehingga keadaan kesihatan.

Oleh itu, maklumat peribadi mengenai setiap pekerja terkandung dalam semua majikan. Pengarah tidak mempunyai hak untuk menyebarkan data yang ada mengenai orang itu.

Maklumat yang diperolehi mengenai kontinjen operasi boleh diproses dalam beberapa cara: dengan bantuan teknologi komputer, dengan bantuan pasukan peribadi, terima kasih kepada sistem penilaian maklumat.

Dalam semua kes, data peribadi setiap pekerja diperiksa dengan teliti.

Cara memproses data peribadi

Dengan perintah kod awam Wilayah Amur

26 Disember 2012, No. 626

berhubung dengan pemprosesan data peribadi

1. PERUNTUKAN AM

1.1. Dokumen ini (kemudian dirujuk sebagai Polisi) adalah pernyataan yang sistematik mengenai objektif, prinsip, kaedah dan syarat untuk pemprosesan data peribadi, maklumat mengenai keperluan yang dilaksanakan untuk pemprosesan dan perlindungan data peribadi di GKU Wilayah Amur Hospital Pusat Bebas (selepas ini Pusat Pekerjaan).

1.2. Dasar ini adalah berdasarkan kehendak Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi", tindakan undang-undang peraturan lain Persekutuan Rusia yang menetapkan prosedur untuk memproses dan melindungi data peribadi. Dasar ini adalah dokumen awam.

1.3. Selaras dengan Undang-undang Persekutuan pada 27 Julai 2006 No. 152-ФЗ "Pada Data Peribadi", Pusat Pekerjaan adalah pengendali data peribadi (kemudian dirujuk sebagai "PD").

2. DATA PERIBADI PROSEDUR

2.1. Istilah utama yang digunakan dalam Dasar:

· Data peribadi - apa-apa maklumat yang berhubungan dengan orang fizikal (subjek data peribadi) ditentukan atau ditentukan atas dasar maklumat tersebut, termasuk nama terakhirnya, nama pertama, patronymic, tahun, bulan, tarikh dan tempat kelahiran, alamat, keluarga, harta benda sosial kedudukan, pendidikan, profesion, pendapatan, maklumat lain;

· Pemprosesan data peribadi - tindakan (operasi) dengan data peribadi, termasuk pengumpulan, sistematisasi, pengumpulan, penyimpanan, penambahbaikan (pembaruan, perubahan), penggunaan, pengedaran (termasuk pemindahan), perpindahan, menyekat, pemusnahan data peribadi;

2.2. Dalam rangka Dasar ini, data peribadi diproses bermaksud:

· Data peribadi yang disediakan oleh penerima perkhidmatan awam yang memohon kepada Pusat Pekerjaan;

· Data peribadi pekerja Pusat Pekerjaan atau calon untuk kekosongan;

3. TUJUAN PENGOLAHAN DATA PERIBADI

3.1. Objektif pemprosesan PD di Pusat Pekerjaan adalah:

· Memastikan pelaksanaan hak perlembagaan rakyat Persekutuan Rusia untuk bekerja dan perlindungan sosial terhadap pengangguran melalui penyediaan perkhidmatan awam dalam bidang promosi pekerjaan;

· Memastikan pelaksanaan hak perlembagaan rakyat untuk merayu;

· Mendapatkan penilaian objektif mengenai keadaan pasaran buruh di entiti konstituen Persekutuan Rusia (berhubung dengan penerima perkhidmatan pekerjaan awam; rakyat yang menganggur; warga yang memohon kepada Pusat Pekerjaan dengan cadangan, penyataan, aduan);

· Memastikan pematuhan dengan Perlembagaan Persekutuan Rusia, undang-undang dan tindakan perundangan lain, membantu pekerja dalam mencari pekerjaan, latihan dan promosi untuk kerja, pertumbuhan pekerjaan, memastikan keselamatan pekerja secara peribadi, mengawal kuantiti dan kualiti kerja yang dilakukan, memastikan keselamatan harta miliknya, dan merekodkan hasil prestasi mereka tugas dan keselamatan harta pusat pekerjaan.

· Melaksanakan fungsi ejen cukai dalam peruntukan potongan cukai standard (berkenaan dengan ahli keluarga pekerja Pusat Pekerjaan);

· Pemenuhan kewajiban di bawah kontrak undang-undang sivil (berhubung dengan orang yang melakukan kerja, menyediakan perkhidmatan di bawah kontrak undang-undang sivil dengan Pusat Pekerjaan).

4. PRINSIP PENGOLAHAN DATA PERIBADI

4.1. Pelaksanaan pemprosesan PD secara sah dan adil.

4.2. Mengehadkan pemprosesan PD ke pencapaian matlamat khusus, yang telah ditetapkan dan sah yang ditunjukkan dalam Bahagian 2 dokumen ini. Ia tidak dibenarkan memproses data peribadi yang tidak serasi dengan tujuan mengumpul data peribadi.

4.3. Mencegah kombinasi pangkalan data yang mengandungi PD, yang diproses untuk tujuan yang tidak sesuai dengan satu sama lain.

4.4. Memproses hanya PDS yang memenuhi keperluan pemprosesan mereka.

4.5. Pematuhan kandungan dan volum PD yang diproses oleh tujuan pemprosesan yang dinyatakan.

4.6. Ketidakhadiran PD yang diproses redundansi berkaitan dengan tujuan yang dinyatakan dalam pemprosesan mereka.

4.7. Memastikan ketepatan PD, kecukupan mereka, dan, jika perlu, dan relevan berhubung dengan tujuan pemprosesan PD.

4.8. Memastikan langkah-langkah yang perlu diambil untuk menghapus atau menyempurnakan data yang tidak lengkap atau tidak tepat.

4.9. Menjalankan penyimpanan PD dalam bentuk yang membenarkan penentuan subjek PD tidak lebih lama daripada tujuan pemprosesan PD memerlukan, jika tempoh storan PD tidak ditetapkan oleh undang-undang persekutuan, kontrak yang mana subjek PD adalah benefisiari atau penjamin. PD yang akan diproses adalah tertakluk kepada kemusnahan atau ketidakselesaan apabila pencapaian tujuan pemprosesan atau dalam kes kehilangan keperluan untuk mencapai matlamat ini, melainkan jika diperuntukkan selainnya oleh undang-undang persekutuan.

5. KAEDAH PENGOLAHAN DATA PERIBADI

5.1. Pusat pekerjaan memproses PD dengan cara berikut:

· Pemprosesan PD bukan automatik (di atas kertas);

· Pemprosesan automatik (dalam ISPDn dengan dan tanpa penggunaan peralatan automasi), termasuk: dengan dan tanpa penghantaran melalui rangkaian Pusat Pekerjaan; dengan dan tanpa penghantaran melalui Internet;

· Pemprosesan PD bercampur.

5.2. Pusat pekerjaan secara bebas boleh memilih kaedah pemprosesan PD bergantung kepada tujuan pemprosesan tersebut dan kemampuannya sendiri dan teknikal.

6. SYARAT PENGECUALIAN DATA PERIBADI

6.1. Pemprosesan PD dijalankan dengan mematuhi prinsip dan peraturan yang disediakan oleh Undang-undang Persekutuan "Pada Data Peribadi".

6.2. Pemprosesan PD dibenarkan dalam kes-kes yang diperuntukkan oleh Undang-undang Persekutuan "Pada Data Peribadi".

6.3. Pusat pekerjaan berhak untuk mengamanahkan pemprosesan PD kepada orang lain dengan persetujuan subjek PD, melainkan jika diperuntukkan selainnya oleh undang-undang persekutuan, berdasarkan kontrak yang dibuat dengan orang ini, termasuk kontrak negara atau perbandaran, atau dengan mengambil tindakan yang relevan oleh badan negara atau perbandaran (kemudian daripada ini dirujuk sebagai ).

6.4. Sekiranya Pusat Pekerjaan memberikan pemprosesan PD kepada orang lain, tanggungjawab kepada subjek PD untuk tindakan orang tersebut ditanggung oleh Pusat Pekerjaan. Orang yang memproses data peribadi bagi pihak Pusat Pekerjaan bertanggungjawab ke Pusat Pekerjaan.

7. KERAHAMAN DATA PERIBADI

7.1. Pusat pekerjaan dan orang lain yang telah mendapat akses ke PD diwajibkan untuk tidak mendedahkan kepada pihak ketiga dan tidak mengedarkan PD tanpa persetujuan subjek PD, kecuali dinyatakan sebaliknya oleh undang-undang persekutuan.

8. MENERIMA DARIPADA DATA PERIBADI UNTUK PENGOLAHAN DATA PERIBADI IT

8.1. Subjek PD membuat keputusan mengenai penyediaan data peribadinya dan bersetuju dengan pemprosesan mereka secara bebas, dengan kehendaknya sendiri dan demi kepentingannya.

8.2. Kebenaran untuk pemprosesan PD mestilah khusus, dimaklumkan dan sedar.

8.2. Kebenaran untuk pemprosesan PD boleh diberikan oleh subjek PD atau wakilnya dalam apa-apa bentuk yang membenarkan pengesahan penerimaannya, melainkan dinyatakan sebaliknya oleh undang-undang persekutuan.

8.3. Sekiranya mendapat kebenaran untuk pemprosesan data peribadi dari wakil subjek data peribadi, pihak berkuasa wakil ini untuk memberi persetujuan bagi pihak subjek data peribadi diperiksa oleh Pusat Pekerjaan.

8.4. Kebenaran untuk memproses PD boleh dibatalkan oleh subjek PD. Sekiranya pengunduran oleh subjek PDN persetujuan kepada pemprosesan PD, Pusat Pekerjaan berhak meneruskan pemprosesan data peribadi tanpa persetujuan subjek PD jika terdapat alasan yang dinyatakan dalam klausa 2-11 dari bahagian 1 dari artikel 6, bahagian 2 dari artikel 10 dan bahagian 2 dari Perkara 11 Undang-undang Persekutuan "Pada Data Peribadi ".

8.5. Dalam kes-kes yang diperuntukkan oleh undang-undang persekutuan, pemprosesan PD hanya dijalankan dengan persetujuan secara bertulis mengenai subjek PD. Persetujuan dalam bentuk bertulis diiktiraf sebagai bersamaan dengan dokumen elektronik yang ditandatangani oleh undang-undang elektronik yang ditandatangani mengikut undang-undang persekutuan.

8.6. Data peribadi boleh diperolehi oleh Pusat Pekerjaan dari orang yang bukan subjek data peribadi, dengan syarat Pusat Pengesahan mengesahkan adanya alasan yang ditentukan dalam klausa 2-11 dari bagian 1 dari pasal 6, bagian 2 dari pasal 10 dan bagian 2 pasal 11 Undang-undang Federal "Pada Data Pribadi ".

9. PELAKSANAAN HAK TERAKHIR DATA PERIBADI

9.1. Apabila memproses PD, Pusat Pekerjaan menyediakan syarat-syarat yang perlu bagi PD untuk melaksanakan hak mereka dengan bebas.

9.2. Subjek PD mempunyai hak untuk mengakses data peribadinya.

9.3. Objek PD mempunyai hak untuk menerima maklumat mengenai pemprosesan data peribadinya, yang mengandungi: pengesahan fakta pemprosesan PD oleh Pusat Pekerjaan; alasan hukum dan tujuan pemprosesan PD; objektif dan kaedah pemprosesan PD yang digunakan oleh Pusat Pekerjaan; nama dan lokasi Pusat Pekerjaan, maklumat tentang individu (kecuali pekerja Pusat Pekerjaan) yang mempunyai akses kepada data peribadi atau siapa yang boleh mendedahkan data peribadi berdasarkan perjanjian dengan Pusat Pekerjaan atau berdasarkan undang-undang persekutuan; PD yang diproses oleh subjek PD yang berkaitan, sumber resit mereka, melainkan prosedur yang berbeza untuk menyerahkan data sedemikian disediakan oleh undang-undang persekutuan; Masa pemprosesan PD, termasuk masa penyimpanan; prosedur untuk menjalankan oleh subjek PDN hak-hak yang diperuntukkan oleh Undang-undang Persekutuan "Pada Data Peribadi" maklumat mengenai pemindahan data merentas sempadan atau yang dicadangkan; nama atau nama keluarga, nama, patronymic dan alamat orang yang melakukan pemprosesan PDN bagi pihak Pusat Pekerjaan, jika pemprosesan diamanahkan kepada atau akan diamanahkan kepada orang itu maklumat lain yang disediakan oleh undang-undang persekutuan.

9.4. Hak sesuatu subjek PD untuk mengakses data peribadinya mungkin terhad dalam kes-kes yang diperuntukkan oleh undang-undang persekutuan.

9.5. Subjek PD mempunyai hak untuk mempertahankan hak dan kepentingan sahnya, termasuk pampasan ganti rugi dan (atau) pampasan untuk kerosakan moral di mahkamah undang-undang.

9.6. Jika subjek PD menganggap bahawa Pusat Pekerjaan memproses PDnya melanggar syarat-syarat Undang-undang Persekutuan "Pada Data Peribadi" atau melanggar hak dan kebebasannya, subjek PD mempunyai hak untuk merayu terhadap tindakan atau ketidakmampuan Pusat Pekerjaan kepada badan yang diberi kuasa untuk melindungi hak-hak subjek PD atau perintah mahkamah.

10. MAKLUMAT ATAS LANGKAH-LANGKAH YANG DIPERLUKAN OLEH Pusat Pekerjaan

MEMUTUSKAN MEMASTIKAN PELAKSANAAN TANGGUNGJAWAB YANG BERKAITAN DENGAN PENGOLAHAN DATA PERIBADI

10.1. Pusat Pekerjaan ketika memproses PD menjalankan tugasnya sebagai operator PD yang disediakan oleh Undang-Undang Federal "On Data Peribadi".

10.2. Pusat Pekerjaan mengambil langkah-langkah yang diperlukan dan mencukupi untuk memastikan pemenuhan kewajipan yang disediakan oleh Undang-undang Federal dan peraturan perundang-undangan yang berlaku sesuai dengannya.

10.3. Pusat Pekerjaan secara bebas menentukan komposisi dan senarai langkah-langkah yang diperlukan dan memadai untuk memastikan pemenuhan kewajiban yang disediakan oleh Undang-undang Federal dan peraturan perundang-undangan yang berlaku sesuai dengannya, kecuali dinyatakan sebaliknya oleh undang-undang persekutuan.

10.4. Pusat Pekerjaan menyediakan akses yang tidak terbatas kepada dokumen ini (Polisi), kepada maklumat mengenai keperluan sebenar untuk perlindungan PD dengan memaparkan di laman web rasmi Wilayah Pekerjaan Wilayah Oblast Amur di http: // zanamur. ru, GKU Wilayah Amur Hospital Pusat Kota Svobodny di http://svobzan.amur.ru.

11. MAKLUMAT PELAKSANAAN PUSAT-PEGAWAI PELAKSANAAN UNTUK LANGKAH PERLINDUNGAN DATA PERIBADI DALAM PENGOLAHAN MEREKA

11.1. Pusat Pekerjaan dalam pemprosesan PD memastikan penggunaan undang-undang, organisasi dan langkah-langkah teknikal yang diperlukan untuk melindungi PD dari akses yang tidak sah atau tidak sengaja kepada mereka, pemusnahan, pengubahsuaian, penyekat, penyalinan, penyediaan, pengedaran PD, serta tindakan lain yang menyalahi undang-undang mengenai PDN.

11.2. Untuk melindungi data peribadi, Pusat Pekerjaan melaksanakan keperluan untuk melindungi data peribadi apabila diproses dalam sistem maklumat data peribadi yang ditubuhkan oleh Kerajaan Persekutuan Rusia.

11.3. Memastikan keselamatan PD dicapai oleh Pusat Pekerjaan, khususnya:

· Pengenalpastian ancaman kepada keselamatan data peribadi apabila diproses di ISPDN Pusat Pekerjaan;

· Penggunaan langkah-langkah organisasi dan teknikal untuk memastikan keselamatan data peribadi apabila diproses di ISPDN Pusat Pekerjaan, yang diperlukan untuk memenuhi keperluan untuk perlindungan data peribadi, yang dijamin oleh tahap perlindungan data pribadi yang ditetapkan oleh Pemerintah Persekutuan Rusia

· Penggunaan langkah-langkah keselamatan maklumat yang diluluskan mengikut cara yang ditetapkan;

· Menilai keberkesanan langkah-langkah yang diambil oleh Pusat Pekerjaan untuk memastikan keselamatan data peribadi sebelum pentauliahan ISPDN Pusat Pekerjaan;

· Mempertimbangkan pembekal mesin PD Pusat Pekerjaan;

· Pengesanan fakta akses tidak sah kepada PDN dan mengambil tindakan;

· Pemulihan PDN diubahsuai atau dimusnahkan akibat akses yang tidak dibenarkan kepada mereka;

· Penubuhan peraturan untuk akses kepada PDN diproses di SPDN Pusat Pekerjaan, serta memastikan pendaftaran dan rakaman semua tindakan yang dilakukan pada PDN di ISPDN di Pusat Pekerjaan;

· Mengendalikan langkah-langkah yang diambil untuk memastikan keselamatan data peribadi dan tahap keselamatan ISPDN Pusat Pekerjaan.

11.4. Maklumat mengenai langkah-langkah yang diambil oleh Pusat Pekerjaan untuk melindungi data peribadi adalah maklumat terhad.

12. Perubahan dasar. Undang-undang yang berkenaan

12.1. Pusat Pekerjaan mempunyai hak untuk membuat perubahan pada Polisi ini.

12.2. Apabila membuat perubahan pada tajuk Dasar, tarikh pembaharuan terakhir bagi semakan ditunjukkan.

12.3. Versi baru Polisi ini berkuat kuasa dari saat pengumumannya di laman web Jabatan Pekerjaan Wilayah, Amura, kecuali jika diperuntukkan selainnya oleh versi baru Dasar ini.

Cara memproses data peribadi

Menjawab soalan mengenai topik ini

Soalan

Apakah yang berkaitan dengan kaedah pemprosesan data peribadi, dan apa yang berkaitan dengan tindakan dengan data peribadi?

Jawapannya

Menurut klausa 9 Perintah Roskomnadzor bertarikh 19 Ogos 2011 No 706, kaedah * termasuk:

- pemprosesan data peribadi yang tidak automatik;

- pemprosesan secara automatik pemprosesan data peribadi dengan atau tanpa pemindahan maklumat yang diterima melalui rangkaian;

- pemprosesan campuran data peribadi (Nota N 4).

Dan tindakan mengikut Art. 3 Undang-undang Persekutuan pada 27.07.2006 No. 152-FZ. Data peribadi termasuk: *

- penjelasan (kemas kini, perubahan);

- pengedaran (termasuk penghantaran);

- pemusnahan data peribadi.

Rasional untuk kedudukan ini diberikan di bawah bahan-bahan "Peguam Sistem".

• UNDANG-UNDANG PERSEKUTUAN 27.07.200 No. 152-ФЗ "DATA PERIBADI"

"Pemprosesan data peribadi adalah apa-apa tindakan (operasi) atau set tindakan (operasi), * dilakukan dengan menggunakan alat automasi atau tanpa menggunakan cara sedemikian dengan data peribadi, termasuk pengumpulan, rakaman, sistematisasi, pengumpulan, penyimpanan, pengekstrakan, penggunaan, pemindahan (pengedaran, penyediaan, akses), penyalaan, menyekat, penghapusan, pemusnahan data peribadi "

• ATURAN ROSKOMNADZOR DARI 19 Ogos 2011 Bil. 706

Senarai "tindakan" dengan data peribadi, keterangan umum kaedah yang digunakan oleh Operator untuk memproses data peribadi "* menunjukkan tindakan yang dilakukan oleh Operator dengan data pribadi, serta keterangan mengenai metode yang digunakan oleh Operator untuk memproses data pribadi:

- pemprosesan data peribadi yang tidak automatik;
- pemprosesan secara automatik pemprosesan data peribadi dengan atau tanpa pemindahan maklumat yang diterima melalui rangkaian;

- Pemprosesan campuran data peribadi (Nota N 4) Nota N 4. Dalam pemprosesan data peribadi atau pemprosesan bercampur secara automatik, adalah perlu untuk menunjukkan sama ada maklumat yang diperolehi semasa pemprosesan data peribadi ditransmisikan pada rangkaian dalaman entiti undang-undang (maklumat hanya tersedia untuk pekerja entiti hukum ) atau maklumat yang dihantar menggunakan Internet awam atau tanpa menghantar maklumat yang diterima. "

* Jadi menyerlahkan sebahagian daripada bahan yang akan membantu anda membuat keputusan yang betul.

Likbez pada data peribadi untuk syarikat yang memprosesnya

Terma, nuansa dan khayalan yang kerap - dalam bahan dari pakar-pakar perkhidmatan keselamatan syarikat "Onlanta" (termasuk dalam kumpulan LANIT syarikat).

Kami memahami istilah undang-undang dan nuansa yang anda boleh berada di mahkamah.

Terangkan istilah dalam bahasa manusia

Undang-undang utama yang mengawal hubungan yang berkaitan dengan pemprosesan data peribadi adalah Undang-undang Persekutuan pada 27 Julai 2006 No. 152-FI "Pada Data Peribadi".

Istilah pertama yang perlu difahami ialah data peribadi.

Apakah data peribadi?

Ini adalah apa-apa maklumat yang boleh digunakan untuk mengenal pasti seseorang: contohnya, nama penuh, tarikh lahir, pendidikan, pendapatan, dan juga status perkahwinan. Anda bertanya: "Dan apa, nama keluarga saya, dicetak pada kad perniagaan, juga data peribadi?"

Jawab: "Ya." Oleh undang-undang, tidak kira sama ada nama terakhir anda dicetak pada kad perniagaan atau gabungan, contohnya, dengan nombor telefon dan alamat. Data pertama, dan yang kedua, dan ketiga - data peribadi. Benar, penyimpanan kad perniagaan atau nombor telefon gadis dalam buku telefon tidak perlu dijawab oleh undang-undang, tetapi lebih banyak perkara di bawah.

Teruskan. Media sentiasa menulis "penyimpanan data peribadi." Betul bercakap, ia bukan penyimpanan, tetapi pemprosesan data peribadi. Apakah perbezaannya? Penyimpanan hanya sebahagian daripada apa yang dipanggil pemprosesan data peribadi. Apa-apa tindakan yang anda lakukan dengan data peribadi (mengumpul, mengumpul, menyimpan, memindahkan, menukar) ditetapkan oleh undang-undang sebagai "pemprosesan data peribadi".

Adalah penting untuk memahami bahawa undang-undang membezakan dua subjek data peribadi: pengendali dan pemproses. Operator melakukan pemprosesan data peribadi, dan juga menentukan tujuan pemprosesan mereka, komposisi data pribadi yang akan diproses, tindakan (operasi) dilakukan dengan data pribadi.

Pengendali adalah seseorang yang melakukan apa-apa tindakan dengan data peribadi: mengumpul, menyimpan, menganjurkan, mengumpul, mengemas kini, mengemas kini, memotong, menyesuaikan diri dan sebagainya.

Sebenarnya, pengendali bukan sahaja pengguna akhir, yang memerlukan data peribadi untuk kerja, tetapi juga pengguna perantaraan, yang melalui tangannya, data peribadi ini diluluskan. Tunjukkan dalam amalan.

Masalah

Kedai dalam talian mempunyai pangkalan data pelanggan, yang terletak di "awan" sebuah syarikat pihak ketiga. Agensi pemasaran berfungsi dengan asas ini. Soalan: Berapa banyak operator data peribadi yang kami ada?

Jawapan yang betul adalah satu. Ini adalah kedai dalam talian yang menetapkan matlamat pemprosesan data peribadi. Soalan kedua: berapa pemproses data peribadi yang kita ada? Jawapan yang betul adalah dua.

1. Sebuah syarikat yang mempunyai pangkalan data kedai dalam talian di awannya.
2. Agensi pemasaran yang mengambil data dan, berdasarkan data ini, boleh menyediakan tawaran promosi kepada pelanggan.

Data peribadi diproses di banyak institusi yang berbeza: contohnya, di bank, sekolah, klinik, pusat visa. Belum lagi laman web yang kami daftar, meninggalkan alamat e-mel dan nombor telefon kami. Tetapi bagaimana dan di mana betul-betul?

Nuance

Terdapat istilah yang tidak jelas dalam undang-undang sebagai "sistem maklumat data peribadi". Sekiranya anda cuba menerangkan secara ringkas - ini adalah kompleks keseluruhan, yang terdiri daripada pelayan pangkalan data, cara teknikal untuk memastikan pemprosesan mereka, dan teknologi maklumat. Selaras dengan undang-undang, sebarang sistem maklumat data peribadi mesti dilindungi.

Kaedah melindungi maklumat adalah berbeza.

• Fizikal: contohnya, di dalam bilik di mana komputer berada, kamera boleh dipasang, kawalan akses, sistem penggera boleh digunakan.
• Teknikal - menggunakan cara perlindungan maklumat khusus.
• Pentadbiran: pelbagai peraturan dan peraturan yang mengawal pemprosesan data peribadi dalam syarikat.

Contoh

Salah satu cara untuk melindungi maklumat adalah penyesalan data peribadi. Apa itu? Di pusat visa, setiap orang yang memohon visa diberikan nombor pengenalan berasingan. Nombor itu sendiri tidak merujuk kepada data peribadi, kerana ia menafsirkan seseorang: adalah mustahil untuk mengenal pasti orang yang memohon visa.

Saya nampaknya memproses data peribadi.

Jadi, dengan terminologi disusun. Sekarang semua wakil perniagaan, terutamanya usahawan individu, yang mungkin hanya mempunyai beberapa pekerja dalam kakitangan, harus jujur ​​menjawab soalan: "Adakah saya memproses data peribadi?"

Ya, jika anda adalah pemilik laman web dengan kehadiran lima orang dalam seminggu, tetapi ia mempunyai borang maklumbalas dengan bidang "nama, alamat e-mel, nombor telefon". Maklumat mengenai tujuan yang anda kumpulkan data peribadi, bagaimana anda menggunakannya, harus dipaparkan di laman web anda.

Ya, jika anda memproses data peribadi pekerja anda atau pakar pihak ketiga yang disewa untuk melakukan kerja.

Ya, jika anda bekerja dengan pelanggan swasta dan anda memerlukan data pasport mereka untuk memasuki kontrak - ini berlaku untuk agensi perjalanan, pusat kecergasan, pelbagai syarikat servis, kedai dalam talian dan lain-lain.

Dan sekali lagi, ya, jika anda adalah organisasi belanjawan, parti politik atau tadika. Yang kedua bukan hanya maklumat tentang anak itu, tetapi juga tentang ibu bapanya, termasuk tempat kerja dan kedudukannya. Belum lagi institusi perubatan - ada maklumat sensitif peribadi laut yang mesti disimpan dengan selamat.

Walau bagaimanapun, jika anda menggunakan data untuk komunikasi peribadi tanpa faedah komersil, maka syarat undang-undang tidak berlaku kepada anda dan tidak ada masalah tentang sebarang liabiliti jenayah.

Sebagai contoh, penggunaan kenalan anda yang dicetak pada kad perniagaan yang anda terima dari rakan sekerja, atau nombor telefon dalam buku nota pada telefon pintar, maklumat mengenai rangkaian sosial tidak mengenakan tanggungjawab anda sebelum undang-undang.

Perkara utama adalah tidak mendedahkan data kepada pengiklan dan tidak menerbitkannya tanpa kebenaran pemilik data peribadi dalam domain awam.

Tentukan kategori data peribadi

Tahniah, anda adalah pemilik bangga dengan tajuk "pengendali data peribadi". Perkara yang paling penting sekarang adalah untuk memahami dengan tepat data peribadi yang anda proseskan. Kerana ia bergantung kepada kategori data peribadi, cara melindungi data dan keperluan apa yang perlu dipenuhi. Kategori tersebut diterangkan secara terperinci dalam Undang-undang Persekutuan-152 dan resolusi kerajaan pada 1 November 2012 N 1119.

Kategori data peribadi dengan kata mudah:

Data peribadi yang biasa tersedia: data dari sumber terbuka, yang diterbitkan oleh subjek data peribadi atau dengan kelulusannya. Data yang tersedia secara umum adalah data dari media atau Internet.

Contoh: maklumat dipaparkan dalam akses terbuka di rangkaian sosial atau di tapak web syarikat. Nombor telefon dan status keluarga yang diterbitkan dalam akses awam ke Facebook. Nama pekerja dan kedudukannya di laman web majikan.

Data peribadi biometrik: kategori ini merangkumi semua data mengenai ciri-ciri fisiologi dan biologi orang.

Contoh: berat, ketinggian, mata atau warna rambut, panjang rambut, jenis darah, foto.

Data peribadi kategori khusus: ini termasuk maklumat mengenai kepunyaan bangsa dan negara, pandangan politik, agama dan falsafah, keadaan kesihatan atau kehidupan intim.

Contoh: diagnosis perubatan (maklumat tentang apa yang anda sakit dengan, bila, apa yang dirawat oleh doktor anda).

Data peribadi jenis lain - ini termasuk data peribadi yang tidak termasuk dalam kategori di atas.

Contoh: maklumat korporat. Kad perakaunan untuk pekerja yang mengandungi maklumat yang HR dan kerja simpan kira bekerja: gaji, tempoh bercuti, tarikh pekerjaan.

Kategori, nombor, jenis ancaman - tahap perlindungan

Sebaik sahaja anda telah membuat keputusan mengenai kategori data peribadi, anda perlu memahami jumlah sebenar data yang anda proses: hingga 100 ribu atau lebih 100 ribu.

Mengetahui kategori dan kuantiti, tentukan jenis ancaman:

Ancaman nombor 1. "Lubang" dan kelemahan dalam sistem operasi. Contoh: kelemahan yang digunakan oleh penggodam untuk menyusup sistem operasi untuk mencuri maklumat.

Ancaman nombor 2. "Lubang" dan kelemahan dalam perisian aplikasi, iaitu, dalam perisian yang digunakan dalam kerja harian anda. Contoh: Word, Excel.

Ancaman nombor 3. Semua ancaman lain yang tidak disenaraikan dalam dua jenis pertama. Pertama sekali, faktor manusia. Seorang pekerja boleh meninggalkan dokumen terbuka pada komputer yang dikunci, menghantar dokumen untuk dicetak kepada pencetak orang lain, atau melalui e-mel.

Jumlah data peribadi, kategori, jenis ancaman - semuanya bersama membolehkan anda menentukan tahap perlindungan yang diperlukan untuk sistem maklumat anda. Kini terdapat empat tahap perlindungan.

Tahap perlindungan pertama dan tertinggi paling sering digunakan untuk pemprosesan data peribadi di agensi kerajaan dan institusi perubatan. Tahap perlindungan keempat adalah yang paling mudah untuk diberikan, kadang-kadang ia cukup untuk melaksanakan langkah-langkah pengawalseliaan organisasi, terutama yang berkaitan dengan perlindungan data yang tersedia secara umum.

Anda boleh menentukan tahap perlindungan menggunakan jadual ini.

Contoh

Hospital memproses data peribadi pesakitnya - ini adalah data peribadi kategori khas. Ia juga memproses data peribadi pekerja - ini adalah data peribadi kategori lain. Kemungkinan besar, hospital ini mempunyai dua pangkalan data. Jika anda menambah kedua-dua pangkalan data, anda akan mendapat jumlah data peribadi yang berputar di sistem maklumat hospital ini.

Contohnya, semuanya - sehingga 100 ribu. Seterusnya, kita melihat bagaimana data diproses: automatik (dalam komputer) atau tidak automatik (dalam kabinet fail manual). Jika segalanya adalah automatik, kita melihat perisian yang digunakan oleh hospital, apa kelemahannya.

Berdasarkan ini, ancaman dan tahap mereka dikenalpasti. Kami menambah semua faktor dan mendapat kelas perlindungan peringkat kedua. Kami melihat apa keperluan dalam undang-undang yang dinyatakan dalam tahap keselamatan yang kedua. Berdasarkan syarat-syarat ini, adalah perlu untuk membina perlindungan sistem maklumat untuk memenuhi kehendak Undang-undang Persekutuan.

Sedikit tentang bahaya kebocoran data peribadi

Mengapa mengganggu dengan perlindungan data peribadi sama sekali? Data peribadi adalah barangan mahal di pasaran gelap. Penipu sanggup membayar jumlah yang mengagumkan untuk profil yang mengandungi butiran lengkap rekod perubatan seseorang. Pemisahan pasaran - jualan butiran kad bank; akaun dalam rangkaian sosial.

Akibat kebocoran data peribadi adalah berbeza. Data ini boleh didapati secara terbuka di Internet: sebagai contoh, anda boleh dengan mudah mencari pangkalan data yang dicuri dengan alamat dan nombor telefon pelanggan syarikat di rangkaian. Mengetahui nama dan nama keluarga, sesiapa sahaja boleh mengetahui alamat rumah seseorang, mendapatkan rangkaian sosial, melihat profil atau hanya menulis SMS ke telefon bimbit.

Data peribadi boleh masuk ke dalam pangkalan data melayari surat beberapa organisasi komersil, maka pemiliknya akan dibanjiri dengan tawaran layanan yang tidak diminta. Mereka juga boleh digunakan oleh penipu dalam talian untuk kasino dalam talian atau membuka dompet elektronik.

Dalam kes yang paling teruk, penyerang boleh menyamar sebagai orang lain dan mengambil kredit untuk nama orang lain. Akibat yang paling serius dari kebocoran data peribadi termasuk: tindakan yang menyalahi undang-undang dengan harta tanah, pencurian wang dari kad bank, penangkapan kerabat saudara dan pendaftaran suatu perusahaan.

Beban tanggungjawab

Adakah anda memahami kepentingan soalan dan bersedia untuk bertanggungjawab? Itu betul. Kerana tanggungjawab untuk keselamatan data peribadi terletak sepenuhnya dengan pengendali.

Ini bermakna pengendali mesti menjaga maklumat tersebut tidak mengalir ke akses awam atau tidak jatuh ke tangan pihak ketiga yang tidak mempunyai hak kepadanya. Ini memerlukan pemantauan berterusan dan pencegahan ancaman keselamatan data, mengawal tahap keselamatan maklumat dan pemulihannya sekiranya berlaku kerugian.

Di negara kita, Roskomnadzor memantau pematuhan undang-undang dalam bidang pemprosesan data peribadi. Badan ini bertindak balas terhadap aduan, mengawal hubungan antara subjek dan pengendali.

Keperluan teknikal untuk perlindungan maklumat adalah tanggungjawab FSTEC dan FSB: mereka mengembangkan keperluan dan mengawal pelaksanaannya.

Keperluan untuk pemprosesan data peribadi

Dan kini sudah tiba masanya untuk mengkaji jadual dengan keperluan untuk perlindungan teknikal data peribadi. Butiran boleh didapati dalam perintah Perkhidmatan Persekutuan bagi Kawalan Teknikal dan Eksport pada 18 Februari 2013 N 21.

Tetapi sekurang-kurangnya bermula dengan ini:

1. Daftar dengan Roskomnadzor sebagai pengendali data peribadi. Diperlukan untuk memohon kepada Roskomnadzor dalam bentuk kertas atau elektronik. Maklumat mengenai pautan.
2. Dapatkan persetujuan bertulis dari semua entiti yang data peribadi diproses. Kebenaran untuk pemprosesan data peribadi adalah dokumen undang-undang utama yang mengesahkan kesahihan pemprosesan data peribadi.
3. Buat dokumentasi dalaman. Pentauliahan oleh ketua ketua organisasi "Peraturan mengenai pemprosesan data pribadi." Dalam dokumen ini, operator menjelaskan bagaimana dia merancang untuk menggunakan data peribadi, untuk apa dan di mana ia akan dipindahkan. Ini adalah dokumen asas yang diperlukan oleh mana-mana pengendali data peribadi. Berdasarkan itu, semua dokumen pentadbiran lain telah dibangunkan.

Banyak pemilik tapak berfikir bahawa jika pengunjung mengklik butang "Saya bersetuju dengan pemprosesan data peribadi", tidak akan ada masalah undang-undang, dan pemprosesan data akan secara automatik jatuh ke dalam bidang undang-undang. Ia tidak.

Dari sudut pandangan undang-undang, hanya ada dua cara untuk mengesahkan persetujuan anda terhadap pemprosesan data peribadi: meletakkan tandatangan di atas kertas atau menggunakan tandatangan digital elektronik.

Dalam semua kes lain, jika kes itu pergi ke mahkamah, pemilik tapak tidak dapat mengesahkan siapa yang menekan butang "Saya setuju" dengan tepat. Orang hanya boleh berharap subjek yang datang ke laman web anda secara sukarela menghantar datanya dan tidak memfailkan aduan.

Adakah terdapat pemeriksaan?

Ya, cek boleh dari Roskomnadzor.

Roskomnadzor setiap tahun menerbitkan senarai cek secara selektif dari senarai operator berdaftar, jika syarikat dimasukkan ke dalam senarai pemeriksaan, maka pemeriksaan berjadual berikutnya mungkin tidak lebih awal daripada setelah tiga tahun. Anda boleh melihat jika syarikat anda berada dalam senarai tahun ini di sini.

Pemeriksaan luar pelan biasanya disebabkan oleh aduan. Sekiranya cek tidak berjadual, anda perlu diberi amaran tentangnya dalam masa 24 jam secara bertulis.

Mungkin juga terdapat pemeriksaan dokumentari. Apabila mendokumentasikan anda akan menghantar senarai dokumen, salinan yang perlu dihantar kepada Roskomnadzor.

Kadang-kadang Roskomnadzor membuat pemeriksaan di tempat: pemeriksa secara peribadi membuat lawatan untuk memeriksa syarikat di lokasi.

Menyediakan untuk mana-mana cek ini adalah tugas yang memakan masa. Anda akan menyelesaikan tugas penyediaan untuk pemeriksaan sendiri, atau akan melibatkan pakar luaran, pertama anda perlu menentukan siapa syarikat akan bertanggungjawab mematuhi FZ-152.

Denda, mahkamah dan kengerian lain

Kerana melanggar liabiliti 152-FZ, liabiliti sivil, jenayah, pentadbiran, dan tatatertib disediakan.

Oleh itu, Roskomnadzor melakukan pemeriksaan, jika ia mendapati tidak konsisten dengan undang-undang, ia akan mengeluarkan perintah kepada jaksa penyelidikan untuk melakukan percobaan tentang fakta pelanggaran hukum "Pada Data Pribadi".

Selepas itu, pejabat pendakwa akan memulakan pemeriksaan, di mana ia boleh menggantung aktiviti syarikat: menarik balik pangkalan data syarikat, khususnya, komputer di mana data peribadi diproses.

Pelanggar undang-undang terutama menunggu denda. Jumlah denda bergantung kepada kesalahan tersebut. Oleh itu, untuk memproses data peribadi tanpa kebenaran bertulis dari entiti, entiti sah perlu menanggung liabiliti pentadbiran.

Sekalipun pengendali bersedia untuk membayar denda, tetapi oleh piawaian perniagaan besar, ia tidak kelihatan besar, pesalah masih perlu menghapuskan ketidakkonsistenan sebelum undang-undang (misalnya, padam data yang disimpan) dan memberitahu Roskomnadzor.

Senario terburuk adalah jika Roskomnadzor memutuskan untuk membatalkan lesen syarikat, melarang perniagaan daripada memproses data peribadi, dan menyalahi undang-undang menerbitkan data peribadi mengenai rakyat.

Sepanjang beberapa tahun kebelakangan ini, skandal paling kuat di Rusia dikaitkan dengan menyekat LinkedIn, yang pemiliknya dituduh memproses data peribadi rakyat tanpa persetujuan mereka di pelayan di luar Persekutuan Rusia. Penyekatan perkhidmatan autonum.info juga "membuat bunyi".

Berapa banyak yang akan membebankan saya wang dan kekuatan

Anda boleh menganjurkan pemprosesan data peribadi secara bebas atau dengan bantuan syarikat yang menyediakan perkhidmatan sedemikian.

Jika anda memutuskan untuk memproses sendiri data peribadi, anda perlu:

1. Memahami apa kategori data peribadi yang anda pemprosesan dan apakah keperluan teknikal untuk perlindungan mereka.
2. Mereka sendiri atau dengan bantuan syarikat IT, membangunkan penyelesaian teknikal, menyediakan pembelian peralatan dan perisian yang diperlukan, memasang dan melaksanakannya.
3. Mengeluarkan semua dokumen undang-undang. Membangunkan satu set dokumen dalaman: arahan dan peraturan.

Pada masa yang terbaik, ia akan mengambil masa tiga hingga empat bulan, dengan kos pelaksanaan sedemikian, ia boleh menjadi 200-300 ribu rubel - ini adalah kos membeli peralatan dan lesen. Kos buruh dan sokongan lanjut sistem maklumat adalah perbelanjaan berasingan. Anda juga memerlukan pentadbir yang akan memantau operasi sistem.

Bercakap secara objektif, syarikat yang sangat kecil hanya tidak memenuhi semua keperluan undang-undang dengan harapan tidak akan ada pengesahan. Mungkin ia tidak akan. Syarikat lain membuat "kampung Potemkin" hanya dengan berpura-pura bahawa mereka memproses data peribadi sesuai dengan kehendak undang-undang, dengan kata lain, mereka "membeli" dokumen yang diperlukan.

Dalam artikel seterusnya, kami akan menunjukkan bagaimana untuk mengira kos pemprosesan data peribadi dalam syarikat dan memberitahu anda apabila lebih menguntungkan untuk melakukan pemprosesan data peribadi dan apabila lebih baik untuk mendepositkannya di awan.

Bahan ini diterbitkan oleh pengguna. Klik butang "Tulis" untuk berkongsi pendapat anda atau bercakap tentang projek anda.

Akta Data Peribadi: implikasi untuk kerja pejabat

• Khramtsovskaya Natalia | Calon Sains Sejarah, Pakar Utama Pengurusan Dokumen Syarikat EOS, Ahli ISO, Ahli Majlis Antarabangsa Arkib

Mencari sebab akar

Undang-undang Persekutuan Persekutuan Rusia No. 152-ФЗ "Pada Data Peribadi" telah diterima pakai pada 27 Julai 2006, dan, dengan latar belakang peristiwa-peristiwa lain yang luar biasa tahun lalu, hampir tidak disedari. Sebab formal untuk penerimaannya adalah banyak fakta kecurian pangkalan data peribadi dalam struktur negeri dan komersil dan penjualan meluasnya. Malah, tujuan utamanya untuk mengadopsi undang-undang ini adalah keperluan untuk menghapuskan halangan tertentu untuk berdagang dengan negara-negara Kesatuan Eropah.

Perancis mengharamkan penerbitan fakta tentang privasi dan dikenakan denda untuk pelanggar pada tahun 1858.

Kanun Keseksaan Norway mengharamkan penerbitan maklumat yang berkaitan dengan "urusan peribadi atau swasta" pada tahun 1889.

Undang-undang Domestik "Pada data peribadi" bertarikh 27 Julai 2006 No. 152-FZ mula beroperasi pada 26 Januari tahun ini (sesuai dengan bagian 1 dari pasal 25, undang-undang tersebut mulai berlaku 180 hari setelah penerbitan resmi yang berlaku pada 29 Juli 2006 dalam "Rossiyskaya Gazeta").

Menurut Arahan EU 95/46 / EC, data peribadi hanya boleh dipindahkan ke negara-negara yang menyediakan tahap perlindungan yang sama seperti di Eropah. Ini sangat menjejaskan pertukaran maklumat dari agensi-agensi kerajaan Eropah dan syarikat-syarikat dengan rakan-rakan asing mereka, sehingga tidak mungkin untuk banyak projek-projek yang menjanjikan secara komersial. Sekatan sedemikian telah dialami bukan sahaja oleh Rusia dan negara-negara dunia ketiga, tetapi juga oleh raksasa ekonomi seperti Amerika Syarikat. Oleh itu, Kerajaan kami memutuskan untuk mengatasi halangan ini. Mari kita lihat bagaimana dia melakukannya dan apa yang akan dikenakan kita semua.

Penerapan undang-undang Rusia pada data peribadi adalah hasil penyertaan Persekutuan Rusia pada Konvensi Eropah 1981 "Pada perlindungan orang yang berkaitan dengan pemprosesan data pribadi otomatis", yang mendefinisikan prinsip-prinsip dasar untuk perlindungan data pribadi di negara-negara Eropa. Konvensyen ini dan Arahan Kesatuan Eropah yang berikutnya menggariskan tugas-tugas yang perlu ditangani oleh undang-undang kebangsaan semasa mengawal selia data peribadi:

• perlindungan data peribadi daripada akses yang tidak dibenarkan kepada mereka oleh orang lain, termasuk wakil-wakil badan kerajaan dan perkhidmatan yang tidak mempunyai kuasa yang diperlukan;
• memastikan keselamatan, integriti dan kebolehpercayaan data dalam proses bekerja dengan mereka, termasuk penghantaran melalui saluran komunikasi;
• memastikan rejim undang-undang yang sah data ini apabila bekerja dengan mereka untuk pelbagai kategori data peribadi;
• memastikan kawalan ke atas penggunaan data peribadi oleh warganegara;
• penciptaan struktur bebas khas yang memastikan kawalan yang berkesan terhadap pemeliharaan hak warganegara untuk melindungi data peribadinya (contohnya, penciptaan jawatan Pesuruhjaya untuk perlindungan data peribadi).

Undang-undang kami sebahagian besarnya mengulangi peruntukan utama undang-undang Eropah di kawasan ini, yang dianggap sebagai salah satu yang paling sukar di dunia. Walaupun pada tahun 2006, undang-undang itu sering dibicarakan, tetapi sedikit orang dengan teliti membaca kandungan peruntukannya. Tetapi untuk memastikan pematuhan terhadap keperluannya, adalah perlu untuk mengubah kerja dengan ketara dengan maklumat dan dokumentasi yang mengandungi data peribadi. Mari cuba cari apa yang baru dalam bidang pengurusan dokumen dan maklumat dalam organisasi?

• Di dalam semua organisasi, terdapat dokumentasi baru yang cukup besar. Ini adalah dokumen yang berkaitan dengan mendapatkan persetujuan individu untuk pemprosesan data peribadi mereka, dengan pendaftaran pangkalan data dengan badan yang diberi kuasa, dengan dokumentasi semua transaksi dengan data peribadi, dll.
• Terdapat keperluan untuk menyerlahkan dokumen dan maklumat yang mengandungi data peribadi; pelabelan khas mereka di atas kertas dan media elektronik; perakaunan dan penjejakan akses berasingan. Anda boleh bercakap mengenai rupa lain akses leher ke dokumen.
• Pendekatan yang secara asasnya berubah kepada penubuhan pengekalan dokumen dan maklumat. Buat kali pertama dalam amalan domestik, tempoh storan maksimum ditubuhkan, dan tempoh bersyarat, yang agak sukar untuk diperhatikan dan dilacak.
• Apabila bekerja dengan data peribadi, perlu terlebih dahulu berfikir dengan jelas dan merekodkannya dalam dokumen pengawalseliaan, yang berkaitan dengan pemprosesan mereka. Jika tidak, pertubuhan itu boleh dipertanggungjawabkan, dan, lebih-lebih lagi tidak menyenangkan, mungkin ada banyak tuntutan dari subjek data peribadi sendiri 3.
• Undang-undang memperkenalkan tarikh akhir yang sangat ketat untuk pelaksanaan semua rayuan warga yang berkaitan dengan pemprosesan data peribadi.

Marilah kita sekarang lebih terperinci mengenai peruntukan undang-undang yang paling penting dan menilai apa yang diperlukan oleh organisasi dan institusi untuk melaksanakannya. Di samping itu, kami akan cuba menganalisis beberapa peruntukan undang-undang dari segi ketepatan dan kejelasan kata-kata mereka.

Skop undang-undang

Soalan pertama: siapa undang-undang ini? Menjawabnya, kami dengan selamat boleh mengatakan bahawa ia terpakai kepada semua orang tanpa pengecualian (kepada institusi negeri, entiti undang-undang dan individu). Berikut adalah senarai artikel 1:

• badan kerajaan persekutuan
• pihak berkuasa negeri subjek Persekutuan Rusia,
• badan negara lain
• kerajaan tempatan,
• badan-badan perbandaran yang bukan sebahagian daripada sistem badan-badan kendiri tempatan,
• entiti sah
• individu.

Isu penting kedua adalah skop undang-undang.

Perkara 1 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" No. 152-FZ pada 27 Julai 2006

Undang-undang Persekutuan ini mengawal hubungan yang berkaitan dengan pemprosesan data peribadi... dengan penggunaan alat automasi atau tanpa menggunakan cara sedemikian, jika pemprosesan data peribadi tanpa menggunakan cara sedemikian sepadan dengan jenis tindakan (operasi) yang dilakukan dengan data peribadi menggunakan cara automasi.

Perkataan artikel ini adalah contoh bagaimana tidak menulis undang-undang. Ternyata sesuatu yang tidak dapat difahami, membolehkan pelbagai tafsiran. Bagaimanakah, berdasarkan teks seperti itu, untuk menjawab, sebagai contoh, soalan sama ada data yang diliputi dalam bentuk bebas dalam buku nota perniagaan jatuh dalam ruang lingkup undang-undang? Jika komputer riba seperti itu disimpan dalam komputer atau dalam telefon bimbit, adakah ia dianggap sebagai "penggunaan peralatan automasi"?

Undang-undang Eropah dalam hal ini lebih jelas:

Arahan EU 95/46 / EC 1995

Perkara 2 "Definisi":

(c) "sistem storan data peribadi" 4 ("sistem storan") adalah sebarang set data peribadi yang boleh diakses mengikut kriteria tertentu - tanpa mengira bagaimana set data diatur, sama ada berpusat, berpusat atau diedarkan pada dasar fungsian atau geografi...

Perkara 3 "Skop":

1. Arahan ini berkaitan dengan pemprosesan data peribadi menggunakan cara automatik (secara keseluruhan atau sebahagian), serta pemprosesan dengan cara selain daripada data peribadi, personal, komponen atau dimaksudkan untuk menjadi sebahagian dari sistem penyimpanan.

Dalam terminologi komputer moden, "data berstruktur" bermaksud, pertama sekali, pangkalan data. Dalam kertas kerja, mereka termasuk fail kad dan arkib fail peribadi. Oleh itu, keperluan Eropah termasuk:

• untuk pemprosesan automatik data peribadi dan
• untuk digunakan (sama ada dalam mod automatik atau lain-lain) yang mengandungi data peribadi kertas dan pangkalan data elektronik, fail kad, dan lain-lain, yang mempunyai mekanisme carian yang memudahkan untuk mengekstrak maklumat tentang orang tertentu.

Kenapa tidak mustahil untuk menulis dalam bahasa Rusia dan dalam undang-undang kita masih tidak dapat difahami?

Perhatian harus diberikan kepada perbezaan istilah: "pemprosesan automatik" adalah satu perkara, dan pemprosesan "menggunakan peralatan automasi" adalah konsep yang sama sekali berbeza, jauh lebih luas dan lebih jelas.

Undang-undang hanya menyediakan empat pengecualian, iaitu undang-undang tidak berlaku untuk hubungan yang timbul:

• apabila memproses data peribadi untuk keperluan peribadi dan keluarga;
• apabila memproses data peribadi dalam dokumen Arkib Dana Persekutuan Rusia;
• apabila memproses data peribadi untuk dimasukkan ke dalam Daftar Negeri Bersepadu Usahawan Individu (EGRIP);
• apabila memproses data peribadi diklasifikasikan sebagai rahsia negara.

Salah satu perkara ini memerlukan kajian yang lebih terperinci. Untuk memulakan, kami memetik undang-undang:

Perkara 1 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" No. 152-FZ pada 27 Julai 2006

2. Undang-undang Persekutuan ini tidak terpakai kepada hubungan yang timbul daripada:

2) organisasi penyimpanan, pengambilalihan, perakaunan dan penggunaan, yang mengandungi data peribadi dokumen Arkib Dana Persekutuan Rusia dan dokumen arkib lain mengikut undang-undang mengenai arkib di Persekutuan Rusia.

Kami mengingatkan anda tentang dua definisi yang termaktub dalam Undang-undang "Pada Arsip Hal Ehwal Dalam Persekutuan Rusia" No. 125-PHB bertarikh 10.22.2005:

• dokumen arkib - medium yang ketara dengan maklumat yang direkodkan di atasnya, yang mempunyai butir-butir, yang membolehkannya dikenalpasti, dan tertakluk kepada penyimpanan kerana kepentingan pembawa dan maklumat yang dinyatakan bagi warganegara, masyarakat dan negara;
• Dokumen Dana Arkib Persekutuan Rusia adalah dokumen arkib yang telah lulus pemeriksaan nilai dokumen, dimasukkan ke dalam perakaunan negeri dan tertakluk kepada simpanan kekal.
  Ternyata jika tempoh simpanan tetap ditubuhkan untuk dokumen atau pangkalan data dan dimasukkan ke dalam Kumpulan Wang Arkib Persekutuan Rusia, maka undang-undang ini tidak berlaku kepada mereka. Kesilapan ini membolehkan agensi kerajaan mempunyai pangkalan data yang serius untuk mengelakkan pelaksanaan undang-undang baru mengenai data peribadi.

Berikut adalah contoh bagaimana ini boleh dilakukan. Menurut Undang-undang Persekutuan "Pada Urusan Arsip di Persekutuan Rusia" (Bahagian 2 dari Pasal 18), Pemerintah Persekutuan Rusia meluluskan daftar badan eksekutif persekutuan dan organisasi yang melakukan penyimpanan dokumen simpanan Dana Arkib Persekutuan Rusia yang berada dalam pemilikan persekutuan. Senarai baru 5 jabatan dan organisasi ini telah diluluskan pada akhir tahun 2006. Pada masa yang sama, organisasi-organisasi ini diperintahkan untuk membuat kesimpulan mengenai syarat penyimpanan dokumen dengan Rosarkhiv. Jika pada akhir kontrak itu, secara khusus ditetapkan bahawa semua dokumen, kecuali yang beroperasi, dianggap sebagai dokumen yang dipindahkan untuk jagaan, maka sebagian besar dokumen dapat diletakkan di bawah pengecualian ini.

Bagi organisasi negara lain, salah satu pilihan boleh menjadi kelulusan segera rekod kes dengan arkib negeri, yang sebenarnya bermaksud penyertaan dokumen ke dalam Arkib Dana Persekutuan Rusia dan sekali lagi meninggalkan "zon tindakan" undang-undang mengenai data peribadi.

Perintah Kesatuan Eropah tidak mengandungi pengecualian semacam itu, tetapi ada, contohnya, dalam Kod AS 6, yang mengandungi kata-kata yang lebih tepat yang tidak membenarkan kekaburan: undang-undang data peribadi tidak secara umum digunakan pada dokumen yang telah disimpan di arkib negeri, tetapi terpakai kepada dokumen yang dipindahkan ke arkib negeri oleh mana-mana agensi untuk jagaan.

Juga tidak jelas mengapa, dari pangkalan data negeri kami, undang-undang kami membuat pengecualian untuk Daftar Negeri Bersepadu Usahawan Individu (EGRIP). Adalah logik kemudian untuk memperluaskan pengecualian kepada pendaftaran negeri lain yang juga mengandungi data peribadi (contohnya, Pemerbadanan termasuk maklumat mengenai pengasas dan orang pertama dari semua entiti undang-undang negara).

Data peribadi dan kaedah pemprosesan

Data peribadi - apa-apa maklumat yang berhubungan dengan orang fizikal (subjek data peribadi) ditentukan atau ditentukan atas dasar maklumat tersebut, termasuk nama akhirnya, nama pertama, patronymic, tahun, bulan, tarikh dan tempat lahir, alamat, keluarga, sosial, status harta benda, pendidikan, profesion, pendapatan, maklumat lain (mengikut artikel 3 Undang-undang Data Peribadi).

Undang-undang memperuntukkan kaedah pemprosesan data peribadi berikut (untuk beberapa penjelasan terperinci diberikan dalam Perkara 3):

• koleksi;
• sistematisasi;
• pengumpulan;
• penyimpanan;
• penjelasan (kemas kini, perubahan);
• penggunaan - "tindakan (operasi) dengan data peribadi yang dilakukan oleh pengendali 7 untuk tujuan membuat keputusan atau melakukan tindakan lain yang menimbulkan akibat undang-undang berhubung dengan subjek data peribadi atau orang lain, atau dengan cara lain yang mempengaruhi hak dan kebebasan subjek data peribadi atau orang lain";
• pengedaran (termasuk pemindahan) - "tindakan yang bertujuan untuk memindahkan data peribadi kepada kalangan orang tertentu (pemindahan data peribadi) atau kenalan dengan data peribadi orang yang tidak terhad, termasuk pendedahan awam data peribadi di media, penempatan maklumat dan telekomunikasi rangkaian atau menyediakan akses kepada data peribadi dengan cara lain ";
• Pertahanan - "tindakan, akibatnya adalah mustahil untuk menentukan identiti data peribadi ke subjek tertentu data peribadi";
• menyekat - "penggantungan sementara pengumpulan, sistematisasi, pengumpulan, penggunaan, penyebaran data peribadi, termasuk pemindahan mereka";
• pemusnahan data peribadi - "tindakan, sebagai hasilnya adalah mustahil untuk memulihkan kandungan data peribadi dalam sistem maklumat data peribadi atau akibatnya pembawa material data peribadi dimusnahkan".

Perhatian khusus harus dibayar kepada kaedah pemprosesan seperti penyekatan dan pemusnahan data peribadi. Undang-undang itu menyatakan dengan baik tentang kemusnahan - ini adalah pendekatan yang kini disyorkan oleh piawaian domestik dan asing. Bagi menyekat data peribadi, kaedah pemprosesan dalam amalan domestik diperkenalkan buat pertama kalinya, dan pelaksanaannya dapat merumitkan kehidupan organisasi dengan menggunakan sistem maklumat dan pangkalan data yang telah dibangunkan sebelum ini.

Prinsip dan syarat untuk pemprosesan data peribadi

Peruntukan undang-undang terutama bertujuan untuk menghalang pengumpulan haram dan penggunaan data peribadi. Hasrat penggubal undang-undang ini telah membawa kepada kemunculan kedudukan baru untuk amalan penyimpanan rekod:

Fasal 2 Perkara 5 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" bertarikh 27 Julai. 2006 No. 152-FZ

Data peribadi harus disimpan dalam bentuk yang membolehkan untuk menentukan subjek, tidak lebih daripada tujuan pemprosesan yang diperlukan, dan harus dihancurkan apabila mencapai tujuan pemprosesan data pribadi, atau kehilangan kebutuhan untuk mencapainya.

Dalam kes ini, undang-undang, untuk kali pertama, mungkin menetapkan maklumat dan dokumen maksimum dan, lebih lagi, tempoh penyimpanan bersyarat - "apabila pencapaian tujuan pemprosesan". Organisasi mesti menetapkan tempoh penyimpanan untuk dokumen yang mengandungi data peribadi, dan perlu untuk berfikir terlebih dahulu tentang rasional untuk tempoh penyimpanan yang dipilih. Ini adalah soalan yang agak rumit yang boleh menyebabkan banyak kontroversi dan masalah.

Di samping itu, pakar DOE perlu memberi perhatian kepada perkara-perkara berikut: kerana tujuan untuk mengumpul dan memproses data peribadi, seperti yang dikehendaki oleh undang-undang, mesti ditentukan sebelum memulakan kerja, perlu dipertimbangkan dengan teliti kata-kata mereka. Jika tidak, organisasi itu sendiri boleh "menggantikan" dirinya sendiri: matlamat akan dipenuhi, dan data peribadi tidak akan dimusnahkan.

Salah satu yang paling tidak menyenangkan bagi organisasi yang mengumpulkan dan memproses data peribadi adalah keperluan artikel 6 tentang keperluan untuk mendapatkan persetujuan subjek untuk pemprosesan mereka. Tiada persetujuan diperlukan hanya dalam kes berikut:

• berdasarkan undang-undang persekutuan;
• untuk memenuhi kontrak dengan subjek data peribadi;
• untuk tujuan statistik atau saintifik;
• untuk melindungi kehidupan dan kesihatan subjek data peribadi;
• untuk penghantaran barangan mel melalui organisasi pos;
• dalam perjalanan aktiviti profesional wartawan, cendekiawan, dan sebagainya;
• data yang akan diterbitkan mengikut undang-undang persekutuan;
• untuk melindungi asas-asas perintah perlembagaan, moral, kesihatan, hak-hak dan kepentingan sah orang lain, untuk memastikan pembelaan negara dan keselamatan negara.

Kami sudah mempunyai beberapa undang-undang persekutuan yang menggambarkan pemprosesan data peribadi, sebagai contoh, semasa mengekalkan Registri Pendaftar Cukai Bersepadu (EGRN) dan entiti undang-undang (USR). Satu-satunya syarat untuk menggunakan pengecualian daripada keperluan persetujuan umum adalah untuk menetapkan soalan berikut dalam perundangan yang berkaitan:

• matlamat
• syarat untuk mendapatkan data peribadi
• bulatan subjek yang data peribadinya tertakluk kepada pemprosesan,
• kuasa pengendali mengumpul data.

Tidak jelas apa yang akan berlaku dengan undang-undang yang mengandungi norma yang berkaitan dengan pengumpulan dan pemprosesan data peribadi, tetapi tidak memenuhi syarat yang ditetapkan.

Yang pertama untuk masalah yang berkaitan dengan pematuhan dengan undang-undang baru, menarik perhatian syarikat insurans. Pada pendapat mereka, undang-undang mengenai data peribadi serius boleh menghalang pelaksanaan undang-undang mengenai insurans liabiliti pihak ketiga wajib motor (MTPL) kerana larangan untuk memindahkan kepada pihak ketiga data peribadi klien yang diperoleh pada akhir kontrak MTPL tanpa persetujuannya. Akibatnya, syarikat insurans tidak dapat memperoleh maklumat lengkap mengenai para pelanggannya dari satu pangkalan data (dan mengekalkan pangkalan data tersebut juga dipersoalkan), dalam keadaan ini, risiko penanggung insurans semakin meningkat.

Sudah, syarikat insurans cuba menyelesaikan masalah penting ini dengan mempertimbangkan pilihan berikut:

• Pindaan kepada undang-undang mengenai OSAGO dan kewajipan penanggung insurans untuk menukar data mengenai kejadian yang diinsuranskan.
• Definisi sebahagian daripada data peribadi sebagai orang awam. Maklumat yang ditunjukkan individu apabila membuat kontrak OSAGO adalah, menurut penanggung insurans, orang awam. Walau bagaimanapun, undang-undang "Pada Data Peribadi" memerlukan mendapatkan persetujuan untuk pengumpulan data awam.
• Jawatankuasa Kesatuan Kesatuan Semua Kesatuan Rusia (ARIA) untuk memerangi penipuan insurans telah menyediakan dua bil, yang dirancang untuk dikemukakan kepada Duma Negeri pada awal tahun 2007. Menurut ketua jawatankuasa itu, Yevgeny Potapov, salah satu tagihan akan meminda undang-undang "Pada organisasi bisnis asuransi di Persekutuan Rusia." Ia akan membolehkan penanggung insurans untuk mewujudkan sistem maklumat automatik berdasarkan persatuan dan persatuan mereka, yang akan mengandungi data mengenai tuntutan dan pembayaran insurans 8.

Perenggan 6 dari pasal 6 mengenai pemberian hak untuk memproses data peribadi kepada wartawan, cendekiawan dan wakil-wakil profesi kreatif lain tanpa persetujuan subjek itu diragukan. Ia agak realistik (terutamanya dalam struktur komersial) untuk memperkenalkan kedudukan sepenuh masa "wakil profesion kreatif" dan "menulis kepadanya" semua pangkalan data yang mengandungi maklumat peribadi.

Sebagai contoh, di England, dalam peruntukan undang-undang yang sama, ia juga menetapkan bahawa dalam hal ini tujuan pemprosesan data haruslah penerbitan bahan yang relevan; bahawa penerbitan sedemikian mestilah demi kepentingan awam (termasuk dalam pelaksanaan hak untuk mengekspresikan diri seorang wakil profesion kreatif) 9.

Di samping itu, adalah menarik bagaimana kita akan menentukan siapa wartawan atau penulis, dan siapa yang tidak. Bukan rahsia lagi bahawa banyak saudara penulisan tidak mempunyai diploma atau ID rasmi yang sesuai. Di sini, pendekatan yang digunakan di Amerika Syarikat mungkin berguna kepada kami: wartawan mengenali semua orang yang menulis artikel untuk pengedaran awam, walaupun hanya diterbitkan di Internet.

Di Amerika Syarikat pada bulan Januari 2007, percubaan bekas pentadbiran George Bush Lewis "Skuter" Libby bermula. Seratus kerusi telah diketepikan untuk akhbar di ruang sidang, dan dua daripadanya telah diterima secara rasmi oleh penulis buku harian Internet.

American Society of Newspaper Editors, apabila merangka undang-undang persekutuan mengenai pemberian wartawan hak untuk tidak mendedahkan maklumat sulit semasa prosiding undang-undang, menunjukkan bahawa undang-undang ini berlaku untuk semua orang tanpa pengecualian dan meliputi mereka yang mengumpulkan informasi untuk pengedaran selanjutnya. Dan penulis buku harian Internet, "blogger", juga termasuk dalam definisi ini 10.

Sekarang mari kita lihat bagaimana undang-undang baru melibatkan mendapatkan persetujuan subjek dengan memproses data peribadinya.

Fasal 1 Perkara 9 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" bertarikh 27 Julai. 2006 No. 152-FZ

Subjek data peribadi memutuskan tentang penyediaan data peribadi dan bersetuju dengan pemprosesan mereka oleh kehendaknya sendiri dan demi kepentingannya sendiri... Persetujuan pemprosesan data peribadi boleh ditarik balik oleh subjek data peribadi.

Di samping itu, klausa 3 Perkara 9 mengandungi keadaan yang agak tidak menyenangkan untuk pengendali. Mereka sama ada perlu mengumpulkan bukti bahawa data yang dikutip oleh mereka diambil dari sumber yang tersedia secara umum, atau mendapatkan persetujuan daripada subjek data peribadi dan kemudian menyimpan dokumen ini sekiranya "subjek" memutuskan untuk menuntut pengendali untuk melanggar haknya.

Dengan data yang tersedia secara umum juga tidak begitu mudah. Perkara 8, menentukan apa yang dimaksudkan dengan sumber-sumber data peribadi yang boleh diakses oleh orang awam (buku rujukan, buku alamat, dll.), Menekankan bahawa maklumat peribadi hanya boleh disertakan bersama dengan persetujuan bertulis mengenai subjek itu. Selain itu, "maklumat mengenai subjek data peribadi boleh pada bila-bila masa dikecualikan daripada sumber data peribadi yang tersedia secara terbuka atas permintaan subjek data peribadi atau oleh mahkamah atau badan-badan kerajaan yang dibenarkan lain."

Sebaliknya, jika sesebuah organisasi menggunakan sumber data peribadi yang tersedia secara terbuka apabila mengumpul maklumat, maka ia perlu mendokumentasikan di mana ia menerima maklumat ini dan memastikan bahawa "sumber" mempunyai persetujuan bertulis yang dikehendaki oleh undang-undang.

Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" bertarikh 27 Julai. 2006 No. 152-FZ

Fasal 12 Perkara 3. Syarat Asas yang Digunakan dalam Undang-undang Persekutuan ini

Data peribadi yang boleh diakses secara umum adalah data peribadi bahawa bilangan orang yang tidak terhad mempunyai akses dengan persetujuan subjek data peribadi atau kepadanya keperluan kerahsiaan tidak terpakai selaras dengan undang-undang persekutuan.

Fasal 1 Perkara 8. Sumber data peribadi yang boleh diakses secara umum

Untuk memberikan sokongan maklumat, sumber data peribadi yang boleh diakses secara umum (termasuk buku rujukan, buku alamat) boleh diwujudkan. Sumber-sumber data peribadi yang terdapat secara terbuka dengan persetujuan bertulis mengenai subjek data peribadi termasuk nama akhir, nama depan, nama tengah, tahun dan tempat kelahiran, alamat, nombor pelanggan, maklumat mengenai profesion dan data peribadi lain yang disediakan oleh subjek data peribadi.

Fasal 3 dari artikel 9. Kebenaran mengenai subjek data peribadi mengenai pemprosesan data peribadi mereka

Kewajipan untuk memberikan bukti persetujuan subjek data peribadi kepada pemprosesan data peribadinya, dan dalam hal memproses data peribadi awam, pengendali diwajibkan untuk membuktikan bahawa data peribadi yang diproses tersedia secara terbuka.

Ternyata untuk melindungi diri mereka, organisasi perlu meminta pengesahan resmi untuk setiap warga negara.

Bagaimanakah persetujuan tertulis tertakluk? Ternyata tandatangan seorang warganegara di bawah frasa umum "Saya bersetuju dengan pengumpulan dan pemprosesan data peribadi saya" tidak akan mencukupi.

Fasal 4 Perkara 9 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" bertarikh 27 Julai. 2006 No. 152-FZ

... persetujuan tertulis mengenai subjek data peribadi kepada pemprosesan data peribadi mereka hendaklah termasuk:

1. nama keluarga, nama, patronymic, alamat subjek data peribadi, bilangan dokumen utama yang membuktikan identitinya, maklumat pada tarikh terbitan dokumen yang dinyatakan dan pihak berkuasa yang mengeluarkan;
2. nama (nama keluarga, nama, patronymic) dan alamat operator yang mendapat persetujuan subjek data peribadi;
3. tujuan pemprosesan data peribadi;
4. senarai data peribadi untuk pemprosesan yang mana persetujuan subjek data peribadi diberikan;
5. senarai tindakan dengan data peribadi yang diberikan persetujuan, keterangan umum mengenai kaedah yang digunakan oleh pengendali untuk memproses data peribadi;
6. tempoh di mana kebenaran itu sah, serta tatacara untuk pengeluarannya.

Ini bermakna bahawa sebelum "menangkap" subjek data peribadi dan cuba mendapatkan persetujuannya, pengendali mesti mengembangkan bentuk dokumen khusus yang akan mengandungi semua maklumat yang diperlukan.

Hak subjek data peribadi

Pertama sekali, subjek data peribadi berhak menerima maklumat berikut:

• maklumat mengenai pengendali,
• maklumat tentang lokasi pengendali,
• maklumat mengenai data peribadi pengendali yang berkaitan dengan subjek yang berkaitan dengan data peribadi,
• subjek juga mempunyai hak untuk membiasakan dirinya dengan data peribadi yang dipegang oleh pengendali.

Dari pengendali, subjek data peribadi mungkin memerlukan:

• menjelaskan data peribadi anda
• penyekatan atau pemusnahan mereka sekiranya data peribadi tidak lengkap, ketinggalan zaman, tidak tepat, diperoleh secara haram atau tidak diperlukan untuk tujuan pemprosesan yang dinyatakan.

Banyak kesukaran untuk organisasi pengendali akan mencipta klausa 2 dari Perkara 14 undang-undang, yang menghendaki maklumat mengenai ketersediaan data peribadi diberikan kepada subjek oleh pengendali dalam bentuk yang boleh diakses dan mereka tidak mengandungi maklumat yang berkaitan dengan subjek data peribadi yang lain.

Kes "Durant vs. Financial Services Authority", 11 yang diuruskan di Mahkamah Rayuan di England pada bulan Disember 2003, menerima sambutan yang meluas. Keputusan mahkamah dengan ketara menyempitkan tafsiran konsep "data peribadi". Khususnya, mahkamah menunjukkan bahawa sebutan semata-mata mengenai orang ini dalam teks dokumen itu tidak cukup untuk mempertimbangkan dokumen yang mengandungi data peribadi. Di samping itu, mahkamah mengesahkan bahawa hak untuk mengakses data peribadi mereka tidak boleh melanggar hak pihak ketiga dan oleh itu, data peribadi pihak ketiga harus dikeluarkan daripada salinan dokumen yang disediakan atas permintaan (kecuali kebetulan khas keadaan).

Pada bulan November 2004, Kerajaan menafikan hak pekerja di UK untuk mengakses data peribadi mereka, tanpa mengira sama ada majikan mereka menyimpannya dalam bentuk kertas atau elektronik, jika mereka disimpan dalam sistem yang tidak secara jelas menyusun maklumat mengenai setiap orang. Oleh itu, sistem storan untuk fail kertas (dengan pengecualian fail peribadi) adalah secara de facto dikeluarkan dari tindakan undang-undang untuk menyediakan akses kepada maklumat peribadi, kerana mereka sukar untuk mengasingkan maklumat mengenai orang tertentu.

Untuk mengakses data peribadi mereka, senegara kita perlu:

• memohon secara peribadi atau
• hantar permintaan, yang sepatutnya mengandungi:
  • bilangan dokumen utama yang memperakui identiti subjek data peribadi atau wakilnya yang sah,
  • maklumat mengenai tarikh terbitan dokumen yang dinyatakan dan pihak berkuasa yang mengeluarkan dan
  • tandatangan tulisan tangan mengenai subjek data peribadi atau wakil sahnya.

Permintaan ini boleh dihantar dalam bentuk elektronik dan ditandatangani dengan tandatangan digital. Oleh itu, undang-undang secara rasmi memberi peluang untuk memohon data peribadi mereka melalui saluran komunikasi elektronik. Kami belum mempunyai individu yang mempunyai EDS mereka sendiri yang mematuhi undang-undang mengenai EDS (dalam majoriti kes, EDS digunakan di negara kita mengikut artikel 160 Kanun Sivil, yang memperuntukkan persetujuan awal pihak-pihak).

Jumlah maklumat yang subjek data peribadi boleh meminta menunjukkan keprihatinan terhadap warga negara kita. Organisasi yang mengetuai pangkalan data yang mengandungi data peribadi adalah disyorkan untuk memberi perhatian khusus kepada perenggan 4 Perkara 14 undang-undang baru untuk memikirkan dan menyatukan prosedur untuk memberikan maklumat dalam peraturan dalaman:

1. fakta pemprosesan data peribadi oleh pengendali, serta tujuan pemprosesan sedemikian;
2. mengenai kaedah pemprosesan data peribadi yang digunakan oleh pengendali;
3. mengenai orang yang mempunyai akses kepada data peribadi atau yang boleh diberikan akses tersebut (untuk dapat melaporkan siapa dan apa data peribadi yang disediakan, adalah perlu untuk mengatur kerja-kerja pendaftaran data peribadi dan akses kawalan kepada mereka, jika tidak, organisasi pengendali agak sukar untuk memenuhi keperluan ini);
4. senarai data peribadi yang diproses dan sumber resit mereka;
5. masa pemprosesan data peribadi, termasuk masa penyimpanannya (perhatian khusus harus dibayar kepada keperluan ini, kerana sebenarnya ia mewajibkan pengendali untuk menetapkan masa pemprosesan dan penyimpanan, yang mungkin berbeza-beza bergantung kepada tujuan pemprosesan data peribadi, oleh dokumen pengawalseliaan dalaman);
6. maklumat tentang apa akibat undang-undang untuk subjek data peribadi mungkin melibatkan pemprosesan data peribadinya (untuk memenuhi keperluan ini, organisasi harus terlebih dahulu mengarahkan peguam mereka untuk merumuskan alasan untuk semua kemungkinan akibat undang-undang pemprosesan data peribadi)

Isu pemprosesan data peribadi "untuk mempromosikan barangan, kerja, perkhidmatan di pasaran melalui hubungan langsung dengan pengguna berpotensi melalui alat komunikasi, serta untuk kempen politik" ditujukan kepada artikel khusus (Perkara 15). Sekarang, organisasi komersil dan politik, sebelum menghantar pengiklanan, harus mendapatkan persetujuan awal dari warga negara itu, dan pemprosesan PD "diakui dilakukan tanpa persetujuan terlebih dahulu dari subjek data pribadi, jika operator tidak membuktikan bahwa persetujuan itu diperoleh." Untuk beberapa struktur komersil, keperluan ini mungkin sangat menyusahkan!

Mulai sekarang, "adalah dilarang membuat keputusan atas dasar pemprosesan data peribadi secara eksklusif, yang menimbulkan akibat undang-undang berkenaan dengan subjek data peribadi atau sebaliknya mempengaruhi hak dan kepentingan sahnya" (Perkara 16).

Peruntukan ini diperlukan dan tepat pada masanya. Tetapi undang-undang kami, dalam merumuskannya, membingungkan dua pandangan yang berbeza: "automatik" (iaitu, tanpa penyertaan manusia) dan "automatik" (iaitu, dengan penyertaan manusia). Akibatnya, artikel ini, bukannya mengenakan sekatan tambahan kepada mereka dan hanya apabila sistem maklumat membuat sebarang keputusan tanpa penyertaan manusia (contohnya, mengenakan denda, melarang perjalanan di luar negara, dll.), Boleh ditafsirkan sebagai mengenakan sekatan pada semua jenis pemprosesan data peribadi, kerana walaupun penggunaan kalkulator dapat difahami sebagai pemprosesan automatik!

Dalam artikel undang-undang yang sama, dinyatakan bahawa operator akan dapat membuat keputusan hanya berdasarkan pemprosesan "automatik", jika:

• mendapatkan kebenaran bertulis daripada subjek data peribadi atau
• jika peraturan ini ditubuhkan oleh undang-undang persekutuan.

Dalam beberapa dokumen peraturan, keperluan undang-undang ini telah diambil kira. Oleh itu, dalam sampel permohonan bagi penerbitan pasport generasi baru, terdapat seksyen khusus di mana pemohon bersetuju dengan pemprosesan "automatik" data yang ditunjukkan dalam permohonan itu. Ia berbunyi seperti berikut: "Saya bersetuju dengan pemprosesan automatik, penghantaran dan penyimpanan data yang dinyatakan dalam permohonan untuk tujuan pembuatan, pemprosesan dan pengawalan pasport semasa tempoh sahnya" 12.

Pengendali juga perlu memberikan maklumat berikut kepada warganegara terlebih dahulu:

• perintah membuat keputusan atas dasar pemprosesan "automatik" secara eksklusif terhadap data peribadinya dan
• akibat akibat undang-undang keputusan sedemikian;
• prosedur untuk perlindungan oleh subjek data peribadi hak-haknya dan kepentingan sah;
• peluang untuk membantah keputusan sedemikian.

Sekiranya berlaku pertikaian, pengendali mesti membuktikan bahawa dia telah mematuhi semua kehendak undang-undang. Ini bermakna dia perlu berhati-hati mengumpul dan menyimpan dokumen sokongan.

Tanggungjawab Pengendali

Kewajiban pengendali, sesuai dengan Pasal 18, terutama mencakup penyediaan informasi pribadi atas permintaan warga negara. Di samping itu, pengendali mesti "menjelaskan kepada subjek data peribadi akibat undang-undang daripada menolak untuk menyediakan data peribadinya", jika tugas ini ditubuhkan oleh undang-undang persekutuan.

Perkara 20 menetapkan tarikh akhir yang sangat ketat untuk pengendali untuk memenuhi permintaan daripada subjek data peribadi (mereka lebih sukar, contohnya, yang diperuntukkan dalam Undang-undang baru-baru ini yang dikeluarkan "Pada Prosedur Memandangkan Rayuan Warga Persekutuan Rusia"):

• peruntukan data - dalam tempoh 10 hari bekerja dari tarikh penerimaan permintaan;
• penolakan bermotivasi - dalam tempoh 7 hari bekerja.

Pengendali akan mempunyai lebih banyak soalan jika perlu untuk menghapuskan pelanggaran undang-undang dalam jangka masa yang ditetapkan dalam pasal 21 undang-undang baru. Penyekatan data harus dijalankan dari saat permintaan atau dari saat menerima permintaan, dan penghapusan pelanggaran - dalam 3 hari kerja.

Dalam sesetengah kes, pengendali diwajibkan memusnahkan data peribadi dalam masa 3 hari bekerja, iaitu:

• Sekiranya kegagalan untuk menghapuskan pelanggaran,
• dalam kes mencapai matlamat untuk memproses data peribadi,
• sekiranya subjek data peribadi menarik perhatian persetujuan pemprosesan data peribadinya

Kedua-dua menyekat dan memusnahkan data peribadi boleh menjadi sukar (dan kadang-kadang mustahil) untuk dilaksanakan dalam sistem maklumat dan pangkalan data operasi yang sebelum ini tidak menyediakan kemungkinan sedemikian.

Ia akan lebih sukar bagi pengendali jika dia menerima data peribadi bukan dari warganegara, tetapi dari pihak ketiga.

Fasal 3 Perkara 18 Undang-undang Persekutuan Persekutuan Rusia "Pada Data Peribadi" bertarikh 27 Julai. 2006 No. 152-FZ

Jika data peribadi tidak diterima daripada subjek data peribadi, melainkan data peribadi diberikan kepada pengendali di bawah undang-undang persekutuan atau jika data peribadi tersedia secara terbuka, pengendali mesti memberikan maklumat berikut kepada subjek data peribadi sebelum memproses data peribadi tersebut:

1. nama (nama belakang, nama pertama, nama tengah) dan alamat pengendali atau wakilnya;
2. tujuan pemprosesan data peribadi dan asas hukumnya;
3. pengguna yang dimaksudkan untuk data peribadi;
4. hak-hak subjek data peribadi yang ditubuhkan oleh Undang-undang Persekutuan ini.

Di sebalik kata-kata ini lebih banyak kerja yang memakan masa. Sebagai contoh, soalan mungkin timbul: bagaimana maklumat ini harus diberikan kepada subjek? Adakah mungkin untuk menghantarnya melalui pos dan apakah maklumat tersebut akan diberikan jika subjek belum menerima surat yang sesuai?

Kewajipan pengendali, mengikut Perkara 19, juga untuk memastikan keselamatan data peribadi semasa pemprosesan mereka. Untuk mengelakkan masalah, organisasi pengendali harus mengembangkan dan menyatukan dalam dokumen pengawalseliaan semua langkah keselamatan maklumat organisasi dan teknikal yang disediakan untuk melindungi data peribadi yang terdapat dalam sistem maklumatnya.

Pendaftaran negara sistem pemprosesan data peribadi

Undang-undang memperuntukkan bahawa semua pengendali yang menjalankan pemprosesan data peribadi mesti memberitahu badan yang diberi kuasa terlebih dahulu (Perkara 22), yang akan menyimpan rekod pengendali dalam pendaftaran khas. Badan yang berwenang, menurut Pasal 23, adalah Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia, yang saat ini melakukan "fungsi pengawasan dan pengawasan di bidang teknologi informasi dan komunikasi". Pemberitahuan akan perlu menjelaskan secara terperinci apa yang dirancang untuk dilakukan dengan data peribadi. Sebarang perubahan berkaitan dengan pemprosesan data peribadi juga harus dilaporkan kepada badan yang diberi kuasa.

Ia dibenarkan untuk memproses data peribadi tanpa memberitahu badan yang diberi kuasa dalam kes berikut:

• di hadapan hubungan buruh;
• apabila menyimpulkan kontrak yang mana subjek data peribadi adalah pihak;
• jika data peribadi dimiliki oleh anggota (peserta) persatuan awam atau organisasi keagamaan dan diproses oleh persatuan awam atau organisasi keagamaan yang relevan;
• jika data peribadi tersedia secara terbuka;
• jika data peribadi hanya mengandungi nama, nama keluarga dan patronymic subjek;
• pada pendaftaran kemasukan;
• jika data peribadi dimasukkan dalam sistem maklumat yang, menurut undang-undang persekutuan, mempunyai status sistem maklumat automatik persekutuan, serta sistem maklumat negara untuk data peribadi yang dibuat untuk melindungi keselamatan keadaan dan ketenteraman awam;

Sebagai kesimpulan, kami akan memberikan beberapa cadangan kepada pengendali. Ia tidak akan menjadi sangat sukar untuk memenuhi keperluan undang-undang mengenai data peribadi jika kerja ini bermula sekarang, tanpa menunggu aduan dan aduan yang pertama. Anda boleh memulakan langkah-langkah berikut yang jelas:

• Adalah dinasihatkan untuk melantik seorang pegawai yang bertanggungjawab untuk mengkaji semua isu yang berkaitan dengan pelaksanaan undang-undang ini dalam organisasi, dan bagi syarikat besar, penciptaan komisen khas boleh dibenarkan.
• Untuk semua sumber maklumat organisasi yang mengandungi data peribadi, anda mesti:
  • menentukan status mereka (berdasarkan yang mereka diciptakan: mengikut undang-undang, untuk pelaksanaan kontrak, atas inisiatif mereka sendiri, dll.);
  • menjelaskan dan merekam komposisi data peribadi dan sumber resit mereka (dari warganegara, dari sumber awam, dari pihak ketiga, dsb.);
  • menubuhkan tempoh penyimpanan dan masa pemprosesan data dalam setiap sumber maklumat;
  • menentukan kaedah pemprosesan;
  • mengenal pasti orang yang mempunyai akses kepada data;
  • merumuskan implikasi hukum;
  • tentukan tatacara untuk menanggapi permintaan, jawapan dan tindakan yang mungkin, menilai realiti pematuhan dengan masa tindak balas yang ditetapkan.

Dalam artikel ini, analisis undang-undang baru mengenai perlindungan data peribadi dibuat dari sudut pandang pakar dalam bidang pengurusan rekod, yang akan merosakkan banyak darah. Keberkesanannya akan ditunjukkan oleh amalan ini, tetapi pada masa ini, sebagai "subjek data peribadi", saya menganggarkan senarai pihak berkuasa awam yang saya boleh menghantar permintaan untuk memberi saya, mematuhi kehendak undang-undang, maklumat yang relevan. Sekarang saya mempunyai hak!

1 Perkara 25 Bab IV Arahan 95/46 / EC Parlimen Eropah dan Majlis Kesatuan Eropah pada 24 Oktober 1995 mengenai perlindungan hak individu berkenaan dengan pemprosesan data peribadi dan pergerakan bebas data tersebut.

2 Adalah menarik bahawa walaupun Amerika Syarikat tidak mematuhi keperluan Eropah yang ketat, dan syarikat-syarikat Amerika terpaksa menggunakan perjanjian "payung" yang dipanggil.

3 Subjek data peribadi ialah individu yang data peribadinya diproses.

4 "sistem pemfailan data peribadi"

5 Senarai pihak berkuasa eksekutif persekutuan dan organisasi yang terlibat dalam penyimpanan dokumen dokumen Arkib Dana Persekutuan Rusia yang berada dalam pemilikan persekutuan termasuk 18 organisasi: Kementerian Hal Ehwal Dalam Negeri Rusia, Kementerian Luar Negeri Rusia, Kementerian Pertahanan Rusia, SVR Rusia, FSB Rusia, Perkhidmatan Kawalan Dadah Persekutuan Rusia, Roskartografiya, Akademi Sains Pertanian Rusia, Akademi Sains Perubatan Rusia, Akademi Pendidikan Rusia, Akademi Seni Rusia, Akademi Seni Bina Rusia dan Sains Pembinaan, Negeri Yayasan: Institut Penyelidikan Hidrometeorologi All-Russian - Pusat Data Dunia, Institusi Negeri Persekutuan "Dana Negeri untuk Televisyen dan Program Radio", Persatuan Pengeluaran Saintifik Kesatuan Negara Persekutuan "Dana Geologi Persekutuan Rusia", Persatuan Negara Persekutuan Persekutuan "Pusat Sains-Sains Rusia maklumat mengenai standardisasi, metrologi dan penilaian pematuhan ".

6 5 A A.S. C. § 552a (k) (1) "Dokumen kepada individu - pengecualian khas - Dokumen arkib".

7 Operator - badan negara, badan perbandaran, orang yang sah atau asli, menganjurkan dan (atau) menjalankan pemprosesan data peribadi, serta menentukan tujuan dan kandungan pemprosesan data peribadi.

9 Akta Perlindungan Data 1998, pasal 32.

11 Durant vs Lembaga Perkhidmatan Kewangan (FSA).

12 Lampiran No. 1 kepada Arahan mengenai prosedur untuk memproses dan mengeluarkan pasport seorang warganegara Persekutuan Rusia, pasport diplomatik dan pasport perkhidmatan, yang merupakan dokumen utama yang mengesahkan identiti warganegara Persekutuan Rusia di luar wilayah Persekutuan Rusia yang mengandungi pembawa data elektronik dan Perkhidmatan Keselamatan Persekutuan Persekutuan Rusia bertarikh 6 Oktober 2006 No. 785/14133/461).