Mitä tapoja käsitellä henkilötietoja?

Venäjän federaation työkoodissa on sellainen termi, että "henkilökohtaiset tiedot työskentelevästä henkilöstä". Toimintaedellytyksiä koskevat tiedot on annettava työnantajalle.

Henkilötietojen tarkastelun jälkeen työnantaja tekee tuomion henkilön ottamisesta yhtiöön.

Tiedot, jotka henkilö esittelee itsestään, on suojattava. Levitä se on kielletty.

Hyvä lukijat! Artikkelimme kertovat tyypillisistä tavoista ratkaista oikeudellisia kysymyksiä, mutta kussakin tapauksessa on ainutlaatuinen.

Jos haluat tietää, miten ratkaista tarkasti ongelmaasi, vain soita, se on nopea ja ilmainen!

järjestelmä

Henkilötietoja työntekijöistä olisi kehitettävä.

Työnantaja soveltaa työssäkäyvien henkilöiden tietoihin seuraavia vaatimuksia:

1. Työntekijän henkilötietojen käsittelyprosessi tapahtuu lakien ja säädösten noudattamisen varmistamiseksi. Tietojenkäsittelyn ansiosta voit palkata henkilön, antaa hänelle henkilökohtaisen turvallisuuden, seurata hänen suorittamiaan töitä.
2. Työnantaja ottaa huomioon käsiteltävän työyhteisön henkilötietojen laajuuden ja sisällön. Kaikki työnantajat tutkivat ja noudattavat perustuslain, muiden liittovaltion lakien näkökohtia.
3. Tietoa työryhmästä tulisi hankkia suoraan työntekijöiltä. Työntekijästä saat tietoa kolmannesta suusta, mutta vain henkilön kirjallisella suostumuksella. Työnantaja ilmoittaa työntekijöille tavoitteistaan ​​ja lähteistään, joista henkilötietoja tuodaan. Työnantaja varoittaa seurauksista, jos henkilö kieltäytyy antamasta henkilötietoja.
4. Henkilöllä, joka toimittaa työntekijöilleen, ei ole oikeutta saada tietoa kaikenlaisista poliittisista, uskonnollisista tai muista syytteistä sekä työntekijän perhe-elämästä. Työntekijän henkilökohtainen elämä voidaan todeta vain hänen suostumuksellaan. Sopimus on tehtävä kirjallisesti.
5. Työnantajan ei pitäisi käyttää tietojen käsittelyssä työntekijöiden läsnäolosta jäsenyhdistyksissä, ammattiliitoissa. Mutta on olemassa tilanteita, joita liittovaltion laki säätää.
6. Kaikki henkilötiedot on suojattava ja piilotettava yleisön valvonnasta ja käytöstä. Tietosuoja koskee liittovaltion lain edellytyksiä.
7. Työntekijät tutkivat toimielimelle kuuluvia asiakirjoja. Niiden tulisi paljastaa työntekijöiden henkilötietojen käsittelyprosessien merkitys ja järjestys.
8. Työntekijöiden on hyväksyttävä henkilötietojensa suoja.
9. Työnantajat itse ja työntekijät voivat työskennellä yhdessä kehittääkseen tapoja suojella työntekijöiden henkilötietoja.

Kun työntekijää koskevia tietoja annetaan, yrityksen johtajan on noudatettava seuraavia sääntöjä:

• Kolmannen osapuolen ei tarvitse tietää kunkin työntekijän henkilötietoja. Tietoja voidaan antaa vain, jos työntekijät ovat antaneet kirjallisen suostumuksensa henkilötietojensa käyttämiseen. Mutta jos on olemassa uhka toimeentulolle, työryhmän terveydelle, henkilötiedot voidaan antaa muille henkilöille ilman kirjallista kirjallista suostumusta;
• työnantajan ei pidä lähettää tietoja työryhmän palveluksessa kaupankäyntiä varten;
• henkilöitä, jotka saavat tietoa työntekijöistä, on käsiteltävä sitä luottamuksellisuuden puitteissa;
• henkilötietojen siirto tapahtuu vain yhdessä organisaatiossa laitoksen sisäisten sisäisten toimien kautta;
• tietoa työntekijästä on vain valtuutetuille henkilöille;
• ei tarvitse pyytää tietoja työskentelevien terveydestä. Pyyntö voidaan tehdä vain tapauksissa, joissa on kysymys siitä, voivatko työläiset harjoittaa työtehtäviään;
• työolosuhteissa olevat henkilötiedot voidaan kerätä koodin tietojen perusteella.

Toimivalla kontingentilla on oikeus:

• tutustuminen henkilökohtaisiin tietoihin ja niiden käsittelyyn;
• rajoittamaton pääsy henkilökohtaisiin tietoihin. Työntekijälle voidaan antaa kopioita tietotiedoista. On kuitenkin tilanteita, joissa henkilötietoja ei paljasteta. Nämä tilanteet kuvataan liittovaltion lainsäädännössä;
• lääkäri voi tarkastella työntekijän henkilötietoja;
• mahdollisuus korjata tai täydentää henkilötietojen aiheita.

Seuraavat henkilötietojen käsittelyn tyypit erotellaan:

1. Tietojen käsittely tietotekniikan avulla.
2. Ei automaattista käsittelyä.
3. Tietojärjestelmä, joka käsittelee toimitettuja tietoja.

automatisoitu

Tämä käsittely suoritetaan käyttämällä tietokonetekniikkaa. Yleisimmät tietokonelaitteet voivat olla:

• elektroninen tietokone;
• apulaitteet;
• oheislaitteet;
• välttämättä asennettu ohjelmisto.

Ei-automatisoitu

Yksityiskohtaisempi kuvaus ei-automatisoidusta käsittelystä on kirjoitettu hallituksen asetuksella nro 687.

Operatiivista kontingenttia koskevien tietojen jakelu, tutkimus ja poisto tulisi suorittaa osalla henkilöä, ei tietotekniikkaa.

tiedotus

Tietojärjestelmän ansiosta käsitellään operatiivista kontingenttia koskevia henkilökohtaisia ​​tietoja. Tämä järjestelmä käsittelee tietyn rodun ja sukupuolen, kansallisuuden, poliittisten näkemysten, filosofisten näkymien jäsenyyttä koskevia tietoja.

Tietojärjestelmän ansiosta voidaan käsitellä:

• henkilötietoja. Erityisesti jos on olemassa fysiologisia, biologisia tietoja. Saatujen ominaisuuksien ansiosta työntekijöiden persoonallisuutta voidaan arvioida;
• yhteiset henkilötiedot;
• muut tiedot. Esimerkkinä voidaan mainita uskonnolliset, kansalliset ajatukset, filosofiset näkymät, työolosuhteiden intiimi luonne ja monet muut tärkeät henkilökohtaiset ominaisuudet terveydentilaan asti.

Näin ollen jokainen työntekijä sisältää henkilökohtaisia ​​tietoja kaikista työnantajista. Johtajalla ei missään tapauksessa ole oikeutta levittää saatavilla olevia tietoja henkilöstä.

Saatuja tietoja operatiivisesta kontingentista voidaan käsitellä useilla tavoilla: tietotekniikan avulla, henkilökohtaisten voimien avulla, tiedon arviointijärjestelmän avulla.

Kaikissa tapauksissa jokaisen työntekijän henkilötietoja tutkitaan perusteellisesti.

Henkilötietojen käsittelytavat

Amurin alueen siviililain määräyksellä

26. joulukuuta 2012, nro 626

henkilötietojen käsittelyssä

1. YLEISET SÄÄNNÖKSET

1.1. Tämä asiakirja (jäljempänä 'Politiikka') on systemaattinen selvitys henkilötietojen käsittelyn tavoitteista, periaatteista, menetelmistä ja ehdoista, henkilötietojen käsittelyä ja suojaamista koskevista vaatimuksista vapaan keskussairaalan Amurin alueen GKU: ssa (jäljempänä työllisyyskeskus).

1.2. Politiikka perustuu Venäjän federaation liittovaltion lakiin, joka koskee henkilötietoja, muita Venäjän federaation säädöksiä, joissa säädetään henkilötietojen käsittelyä ja suojaamista koskevasta menettelystä. Politiikka on julkinen asiakirja.

1.3. Työvoimakeskus on henkilötietojen hallinnoija 27 päivänä heinäkuuta 2006 tehdyn liittovaltion lain nro 152-ФЗ (henkilötietoja koskeva laki) mukaisesti (jäljempänä 'PD').

2. KÄYTETTÄVÄT HENKILÖTIEDOT

2.1. Tärkeimmät käytännössä käytetyt termit:

· Henkilötiedot - kaikki fyysistä henkilöä (henkilötietoja) koskevat tiedot, jotka on määritelty tai määritetty tällaisten tietojen perusteella, mukaan lukien hänen sukunimi, etunimi, isäntänsä, vuosi, kuukausi, syntymäaika ja -paikka, osoite, perhe, sosiaalinen, omaisuus asema, koulutus, ammatti, tulot, muut tiedot;

· Henkilötietojen käsittely - henkilötietoja koskevat toimet (toiminnot), mukaan lukien henkilötietojen kerääminen, järjestäminen, kerääminen, tallentaminen, parantaminen (päivittäminen, muuttaminen), käyttö, jakelu (mukaan lukien siirto), henkilökohtaistaminen, estäminen ja hävittäminen;

2.2. Tämän käytännön mukaisesti käsitellyt henkilötiedot:

· Työllisyyskeskukseen sovellettavien julkisten palvelujen vastaanottajien toimittamat henkilötiedot;

· Työllisyyskeskuksen työntekijöiden henkilötietoja tai avoimia työpaikkoja koskevat ehdokkaat;

3. HENKILÖKOHTAISTEN TIETOJEN KÄSITTELYN TAVOITTEET

3.1. Työllisyyskeskuksen PD-käsittelyn tavoitteet ovat:

· Varmistaa Venäjän federaation kansalaisten perustuslaillisten oikeuksien täytäntöönpano työssä ja sosiaaliturvassa työttömyyttä vastaan ​​tarjoamalla julkisia palveluja työllisyyden edistämisen alalla;

· Varmistetaan kansalaisten perustuslaillisten oikeuksien täytäntöönpano;

· Saada objektiivinen arviointi työmarkkinoiden tilanteesta Venäjän federaation muodostamassa yksikössä (suhteessa julkisten työvoimapalvelujen vastaanottajiin, työttömiin kansalaisiin, työllisyyskeskukseen hakeviin kansalaisiin, ehdotuksiin, lausuntoihin, valituksiin);

· Venäjän federaation perustuslain, lakien ja muiden säädösten noudattamisen varmistaminen, työntekijöiden auttaminen työn löytämisessä, koulutuksen ja työn edistämisessä, työpaikkojen kasvussa, työntekijöiden henkilökohtaisen turvallisuuden varmistamisessa, suoritettavan työn määrän ja laadun valvomisessa, sille kuuluvan omaisuuden turvallisuuden varmistamisessa ja niiden suorituskyvyn varmistamisessa ja niiden tuloksista työkeskuksen omaisuuden velvollisuudet ja turvallisuus.

· Verotoimiston tehtävien suorittaminen vakiomaksujen vähentämisessä (työllisyyskeskuksen työntekijöiden perheenjäsenten osalta);

· Siviilioikeudellisista sopimuksista johtuvien velvoitteiden täyttäminen (työsuhteessa olevien henkilöiden osalta, jotka tarjoavat siviilioikeudellisia sopimuksia Työllisyyskeskuksen kanssa).

4. HENKILÖTIETOJEN KÄSITTELYYN PERIAATTEET

4.1. PD-käsittelyn toteuttaminen oikeudellisesti ja oikeudenmukaisesti.

4.2. PD-käsittelyn rajoittaminen tämän asiakirjan kohdassa 2 esitettyjen erityisten, ennalta määrättyjen ja oikeutettujen tavoitteiden saavuttamiseen. Ei ole sallittua käsitellä henkilötietoja, jotka eivät ole yhteensopivia henkilötietojen keräämiseen.

4.3. PD: tä sisältävien tietokantojen yhdistämisen estäminen, joita käsitellään keskenään yhteensopimattomiin tarkoituksiin.

4.4. Käsittele vain ne PDS-tiedostot, jotka vastaavat niiden käsittelyn tarkoituksia.

4.5. Ilmoitetun käsittelyn avulla käsiteltävän PD: n sisällön ja määrän noudattaminen.

4.6. Työntekijöiden irtisanomisen hyväksyttävyys käsitellään PD: ssä suhteessa niiden käsittelyn tavoitteisiin.

4.7. Varmistetaan PD: n tarkkuus, niiden riittävyys ja tarvittaessa ja merkityksellisyys PD-käsittelyn tarkoituksiin.

4.8. Varmista, että toteutetaan tarvittavat toimenpiteet epätäydellisten tai virheellisten tietojen poistamiseksi tai parantamiseksi.

4.9. PD-tallennuksen suorittaminen sellaisessa muodossa, joka sallii PD-kohteen määrittämisen, ei ole pidempi kuin PD-käsittelyn tarkoitus, jos PD-tallennusaika ei ole vahvistettu liittovaltion lainsäädännössä, sopimus, johon PD-kohde on edunsaaja tai takaaja. Käsiteltävät PD: t ovat hävitettävissä tai henkilökohtaisemmissa tapauksissa, kun käsittelyn tavoitteet saavutetaan tai jos näiden tavoitteiden saavuttamisen tarve menetetään, ellei liittovaltion lainsäädännössä toisin säädetä.

5. HENKILÖTIETOJEN KÄSITTELYMENETELMÄT

5.1. Työvoimakeskus käsittelee PD: tä seuraavilla tavoilla:

· Ei-automatisoitu PD-käsittely (paperilla);

· Automatisoitu käsittely (ISPDn: ssä, jossa käytetään ja ilman automaatiolaitteita), mukaan lukien: ilman lähetystä työvoimakeskuksen paikallisen verkon kautta; Internetin välityksellä ja ilman lähetystä;

· Sekoitettu PD-käsittely.

5.2. Työvoimakeskus voi itsenäisesti valita PD-käsittelyn menetelmät tällaisen käsittelyn tarkoitusten ja omien materiaalisten ja teknisten valmiuksien mukaan.

6. HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄT EHDOT

6.1. PD-käsittely suoritetaan noudattaen liittovaltion lain "henkilötietoja" sisältämiä periaatteita ja sääntöjä.

6.2. PD-käsittely on sallittua liittovaltion lain "henkilötietoja" koskevissa säännöissä.

6.3. Työvoimakeskuksella on oikeus uskoa PD: n käsittely toiselle henkilölle PD: n aiheen suostumuksella, jollei liittovaltion lainsäädännössä toisin säädetä, tämän henkilön kanssa tehdyn sopimuksen, mukaan lukien valtion tai kunnan sopimus, tai valtion tai kunnan elimen tekemän asiaankuuluvan säädöksen (jäljempänä 'sopimus') perusteella. ).

6.4. Jos työvoimakeskus määrittelee PD: n käsittelyn toiselle henkilölle, työllisyyskeskus vastaa vastuusta PD: lle kyseisen henkilön toiminnasta. Henkilötietoja käsittelevä henkilö työvoimakeskuksen puolesta vastaa työvoimakeskuksesta.

7. HENKILÖTIETOJEN VASTAAVUUS

7.1. Työvoimakeskus ja muut henkilöt, jotka ovat saaneet pääsyn PD: hen, eivät ole velvollisia luovuttamaan kolmansille osapuolille eikä jakamaan PD: tä ilman PD-aiheen suostumusta, ellei liittovaltion lainsäädännössä toisin säädetä.

8. HENKILÖTIETOJEN KÄYTTÖÖNOTTO HENKILÖIDEN TIETOJEN KÄSITTELYYN

8.1. PD-aiheinen henkilö tekee päätöksen henkilötietojensa toimittamisesta ja suostuu niiden käsittelyyn vapaasti omasta tahdostaan ​​ja hänen etunsa mukaisesti.

8.2. Suostumus PD-käsittelyyn on oltava erityinen, tietoinen ja tietoinen.

8.2. PD-henkilö tai hänen edustajansa voivat antaa suostumuksen PD-käsittelyyn missä tahansa muodossa, joka sallii sen vastaanottamisen tosiasian, ellei liittovaltion lainsäädännössä toisin määrätä.

8.3. Jos henkilötietojen edustajalta saadaan suostumus henkilötietojen käsittelyyn, työvoimakeskus tarkastaa tämän edustajan valtuudet antaa suostumus henkilötietojen aiheen puolesta.

8.4. PD-aiheinen henkilö voi peruuttaa PD-käsittelyn suostumuksen. Jos PDN: n henkilö peruuttaa PD: n käsittelyn suostumuksen, työvoimakeskuksella on oikeus jatkaa henkilötietojen käsittelyä ilman PD-aineen suostumusta, jos on olemassa perustelut, jotka on määritelty liittovaltion lain 6 §: n 1 momentin 2 §: ssä, 10 §: n 2 momentissa ja 11 §: n 2 momentissa. ".

8.5. Liittovaltion lainsäädännössä säädetyissä tapauksissa PD-käsittely suoritetaan vain PD-aiheen kirjallisella suostumuksella. Kirjallinen suostumus tunnustetaan vastaavaksi liittovaltion lain mukaisesti allekirjoitetun sähköisen lain allekirjoittamaan sähköiseen asiakirjaan.

8.6. Työllisyyskeskus voi saada henkilötietoja henkilöstä, joka ei ole henkilötietojen kohde, edellyttäen että työvoimakeskus vahvistaa liittovaltion lain 6 §: n 1 momentin 2–11 kohdassa, 10 §: n 2 momentissa ja 11 §: n 2 momentissa mainitut perusteet. ".

9. HENKILÖTIETOJEN OIKEUKSIEN TÄYTÄNTÖÖNPANO

9.1. PD: tä käsiteltäessä työvoimakeskus tarjoaa tarvittavat edellytykset, joilla PD voi käyttää vapaasti oikeuksiaan.

9.2. PD-aiheella on oikeus tutustua henkilökohtaisiin tietoihinsa.

9.3. PD-esineellä on oikeus saada tietoja henkilötietojensa käsittelystä, joka sisältää: työllisyyskeskuksen PD-käsittelyn tosiasian vahvistamisen; PD-käsittelyn oikeudelliset perusteet ja tavoitteet; työllisyyskeskuksen soveltamat PD-käsittelyn tavoitteet ja menetelmät; työvoimakeskuksen nimi ja sijainti, tiedot henkilöistä (lukuun ottamatta työvoimakeskuksen työntekijöitä), joilla on pääsy henkilötietoihin tai jotka voivat paljastaa henkilötietoja työsuhdekeskuksen kanssa tehdyn sopimuksen tai liittovaltion lainsäädännön perusteella; PD: n käsittelemät asianomaiset PD-aiheet, niiden vastaanottamisen lähde, jollei liittovaltion lainsäädännössä säädetä toisesta menettelystä tällaisten tietojen toimittamiseksi; PD-käsittelyaika, mukaan lukien tallennusaika; menettely, joka koskee liittovaltion laissa "Henkilötietoja" sisältyvien oikeuksien PDN: n käyttämistä; tiedot valmiista tai aiotusta rajatylittävästä tiedonsiirrosta; PDN: n käsittelyn suorittavan henkilön nimi tai sukunimi, nimi, isäntä ja osoite työvoimakeskuksen puolesta, jos käsittely on uskottu tai annetaan kyseiselle henkilölle muut liittovaltion lainsäädännössä säädetyt tiedot.

9.4. Oikeus PD-henkilöihin, joilla on oikeus käyttää hänen henkilötietojaan, voidaan rajoittaa liittovaltion lainsäädännössä nimenomaisesti säädetyissä tapauksissa.

9.5. PD-aiheella on oikeus puolustaa oikeuksiaan ja oikeutettuja etujaan, mukaan lukien vahingonkorvaus ja (tai) moraalisen vahingon korvaaminen tuomioistuimessa.

9.6. Jos PD-aiheinen katsoo, että työvoimakeskus käsittelee PD: tä vastoin liittovaltion lakisääteisiä vaatimuksia henkilötietoja vastaan ​​tai muutoin loukkaa sen oikeuksia ja vapauksia, PD-henkilöllä on oikeus hakea muutosta työvoimakeskuksen toimista tai toimimattomuudesta valtuutetulle elimelle PD-kohteiden oikeuksien suojaamiseksi tuomioistuimen määräys.

10. TIETOJA työvoimakeskuksen toteuttamista toimenpiteistä

SUUNNITTELUA HENKILÖSTÖN TIETOJEN KÄSITTELYYN LIITTYVÄT VELVOITTEIDEN TOTEUTTAMISEKSI

10.1. Työllisyyskeskus PD: n käsittelyn yhteydessä suorittaa velvollisuutensa PD-operaattorina, joka on säädetty liittovaltion laissa "Henkilötiedot".

10.2. Työvoimakeskus toteuttaa tarvittavat ja riittävät toimenpiteet sen varmistamiseksi, että tässä liittovaltion lainsäädännössä ja sen mukaisesti annetuissa säädöksissä säädetyt tehtävät täyttyvät.

10.3. Työvoimakeskus määrittelee itsenäisesti tarvittavien ja riittävien toimenpiteiden kokoonpanon ja luettelon, jotta varmistetaan tässä liittovaltion lainsäädännössä ja sen mukaisesti annetuissa säädöksissä säädettyjen velvoitteiden täyttäminen, ellei liittovaltion lainsäädännössä toisin säädetä.

10.4. Työllisyyskeskus tarjoaa rajoittamattoman pääsyn tähän asiakirjaan (Politiikka), tietoihin PD-suojauksen todellisista vaatimuksista lähettämällä Amurin alueen työllisyysosaston viralliselle verkkosivustolle http: // zanamur. ru, GKU Amobin alueen Svobodnyn kaupungin keskussairaalassa osoitteessa http://svobzan.amur.ru.

11. TIEDOT HENKILÖSTÖN TOIMENPITEIDEN TÄYTÄNTÖÖNPANOJEN TÄYTÄNTÖÖNPANOSTA TARKASTUKSESSA

11.1. PD-käsittelyn työvoimakeskus varmistaa tarvittavien oikeudellisten, organisatoristen ja teknisten toimenpiteiden toteuttamisen suojaamaan PD: tä laittomalta tai tahattomalta pääsyltä niihin, tuhoamaan, muokkaamaan, estämään, kopioimaan, tarjoamaan, jakamaan PD: tä sekä muita PDN: ää koskevia laittomia toimia.

11.2. Henkilötietojen suojaamiseksi työvoimakeskus toteuttaa henkilötietojen suojaamista koskevat vaatimukset, kun niitä käsitellään Venäjän federaation hallituksen perustamissa henkilötietojen tietojärjestelmissä.

11.3. PD-turvallisuuden varmistaminen työllisyyskeskuksessa, erityisesti:

· Henkilötietojen turvallisuuteen kohdistuvien uhkien tunnistaminen, kun niitä käsitellään työvoimakeskuksen ISPDN: ssä;

· Organisatoristen ja teknisten toimenpiteiden käyttö henkilötietojen turvallisuuden varmistamiseksi, kun niitä käsitellään työvoimakeskuksen ISPDN: ssä, mikä on tarpeen henkilötietojen suojaamista koskevien vaatimusten täyttämiseksi, jonka täyttäminen on Venäjän federaation hallituksen asettamien henkilötietojen suojan tasojen mukainen;

· Tietoturvatoimenpiteiden käyttö määrätyllä tavalla;

· Työllisyyskeskuksen toimenpiteiden tehokkuuden arviointi henkilötietojen turvallisuuden varmistamiseksi ennen työvoimakeskuksen ISPDN: n käyttöönottoa;

· Työllisyyskeskuksen konekannattimien PD huomioon ottaminen;

· Luvattomasta pääsystä PDN-tietoihin ja toimien havaitseminen;

· PDN: n palauttaminen, joka on muutettu tai tuhoutunut luvattomalta pääsyltä niihin;

· Työllisyyskeskuksen SPDN: ssä käsiteltävien PDN: n käyttöoikeussääntöjen laatiminen sekä kaikkien PDN: ssä ISPDN: ssä suoritettujen toimien rekisteröinnin ja tallentamisen varmistaminen työvoimakeskuksessa;

· Henkilötietojen turvallisuuden ja työllisyyskeskuksen ISPDN: n turvallisuuden varmistamiseksi toteutettujen toimenpiteiden valvonta.

11.4. Tietoa työvoimakeskuksen henkilötietojen suojaamiseksi toteuttamista toimenpiteistä on rajoitettu.

12. Politiikan muutos. Sovellettava laki

12.1. Työvoimakeskuksella on oikeus tehdä muutoksia tähän sääntöön.

12.2. Kun muutat politiikan otsikkoa, päivityksen viimeinen päivitys on ilmoitettu.

12.3. Politiikan uusi versio tulee voimaan siitä lähtien, kun se lähetetään Amurskajan alueen työllisyysministeriön verkkosivuille, ellei politiikan uudessa versiossa toisin säädetä.

Henkilötietojen käsittelytavat

Kysymys-vastaus aiheesta

kysymys

Mitä henkilötietojen käsittelymenetelmiin liittyy ja mikä liittyy henkilötietojen käsittelyyn?

Vastaus

Roskomnadzorin 19.8.2011 päivätyn määräyksen 9 kohdan mukaan menetelmät * sisältävät:

- henkilötietojen automaattinen käsittely;

- henkilötietojen yksinomainen automatisoitu käsittely vastaanotettujen tietojen siirron kautta tai ilman verkkoa;

- henkilötietojen yhdistetty käsittely (huomautus N 4).

Ja toimiin Art. N: o 152-FZ: n liittovaltion lain 3 §: ssä.

- selvennys (päivitys, muutos);

- jakelu (mukaan lukien lähetys);

- henkilötietojen tuhoaminen.

Tämän kannan perustelut on esitetty jäljempänä kohdassa ”System Lawyer”.

• FEDERAL LAW 27.07.2002 nro 152-ФЗ "HENKILÖTIEDOT"

”Henkilötietojen käsittely on toimia (toimintaa) tai toimia (toimintoja) *, jotka suoritetaan automatisointityökalujen avulla tai joilla ei ole tällaisia ​​keinoja henkilötietojen avulla, mukaan lukien kerääminen, tallennus, järjestelmällisyys, kerääminen, tallentaminen, parantaminen (päivitys, muutos), henkilötietojen kerääminen, käyttö, siirto (jakelu, tarjonta, käyttö), henkilökohtaistaminen, estäminen, poistaminen, hävittäminen ”

• ROSKOMNADZORIN MÄÄRÄ 19.8.2011 alkaen

”Kenttä” -toimintoluettelo henkilötietojen kanssa, yleinen kuvaus operaattorin käyttämistä henkilötietojen käsittelyyn liittyvistä menetelmistä ”* ilmaisee operaattorin suorittamat toimet henkilötietojen kanssa sekä kuvaus niistä menetelmistä, joita operaattori käyttää henkilötietojen käsittelyyn:

- henkilötietojen automaattinen käsittely;
- henkilötietojen yksinomainen automatisoitu käsittely vastaanotettujen tietojen siirron kautta tai ilman verkkoa;

- henkilötietojen sekakäsittely (huomautus N 4) Huomautus N 4. Henkilötietojen automaattisessa käsittelyssä tai sekakäsittelyssä on ilmoitettava, toimitetaanko henkilötietojen käsittelyn aikana saadut tiedot oikeushenkilön sisäisessä verkossa (tiedot ovat saatavilla vain oikeushenkilön tarkoin määritellyille työntekijöille) ) tai tiedot välitetään julkisella Internetillä tai lähettämättä vastaanotettuja tietoja. ”

* Niin korosti osa materiaalia, joka auttaa sinua tekemään oikean päätöksen.

Henkilötietoja käsitellään niitä käsittelevien yritysten osalta

Termejä, vivahteita ja usein esiintyviä harhaluuloja - yrityksen "Onlanta" -turvapalvelun asiantuntijoiden aineistossa (sisältyy yrityksen ryhmään LANIT).

Ymmärrämme oikeudellisen terminologian ja ne vivahteet, joita voi olla tuomioistuimessa.

Selitä termit ihmisten kielellä

Pääasiallinen laki, jolla säännellään henkilötietojen käsittelyyn liittyviä suhteita, on liittovaltion laki 27.7.2006 nro 152-ФЗ ”Tietoja henkilötiedoista”.

Ensimmäinen ymmärrettävä termi on henkilötietoja.

Mikä on henkilötietoja

Tämä on tieto, jota voidaan käyttää henkilön tunnistamiseen: esimerkiksi täydellinen nimi, syntymäaika, koulutus, tulot ja jopa siviilisääty. Kysytte: "Ja mitä, sukunimeni on painettu käyntikortille, on myös henkilökohtaisia ​​tietoja?"

Vastaus: "Kyllä." Lain mukaan ei ole väliä, onko vain sukunimesi tulostettu käyntikorttiin tai yhdistettynä esimerkiksi puhelinnumeroon ja osoitteeseen. Sekä ensimmäinen että toinen ja kolmas - henkilötiedot. Totta, että käyntikorttien tai puhelinnumeroiden tallentamista tytöille puhelinluettelossa ei tarvitse vastata laillisesti, vaan enemmän siitä.

Mene eteenpäin. Tiedotusvälineet kirjoittavat jatkuvasti "henkilötietojen tallennusta". Oikeasti ottaen ei ole henkilötietojen varastointi, vaan käsittely. Mikä ero on? Varastointi on vain osa henkilötietojen käsittelyä. Kaikki toimet, joita suoritat henkilötietojen avulla (kerätä, kerätä, tallentaa, siirtää, muuttaa), ovat lain mukaan "henkilötietojen käsittely".

On tärkeää ymmärtää, että laki erottaa kaksi henkilötietoa: operaattoria ja prosessoria. Operaattori suorittaa henkilötietojen käsittelyn ja määrittelee myös niiden käsittelyn tarkoituksen, käsiteltävien henkilötietojen koostumuksen, henkilötietojen avulla toteutettavat toimet (toiminnot).

Hoitaja on joku, joka suorittaa mitään henkilötietoja: kerääminen, tallentaminen, järjestäminen, kerääminen, päivittäminen, päivittäminen, poistaminen, henkilökohtaistaminen ja niin edelleen.

Itse asiassa käsittelijä ei ole vain loppukäyttäjä, joka tarvitsee henkilökohtaisia ​​tietoja työhön, vaan myös kaikki välikäyttäjät, joiden käden kautta nämä henkilötiedot ovat kuluneet. Näytä käytännössä.

tehtävä

Verkkokaupassa on asiakastietokanta, joka sijaitsee kolmannen osapuolen yrityksen "pilvessä". Markkinointitoimisto toimii tämän pohjan kanssa. Kysymys: Kuinka monta henkilötietojen operaattoria meillä on?

Oikea vastaus on yksi. Tämä on verkkokauppa, joka asettaa henkilötietojen käsittelyn tavoitteet. Toinen kysymys: kuinka monta henkilötietojenkäsittelylaitetta meillä on? Oikea vastaus on kaksi.

1. Yhtiö, jolla on pilvissäan verkkokaupan tietokanta.
2. Markkinointitoimisto, joka hakee tietoja ja voi näiden tietojen perusteella valmistaa myynninedistämistarjouksen asiakkaille.

Henkilötietoja käsitellään monissa eri laitoksissa: esimerkiksi pankeissa, kouluissa, klinikoissa, viisumikeskuksissa. Puhumattakaan web-sivuista, joissa rekisteröimme, jättämällä sähköpostiosoitteemme ja puhelinnumeromme. Mutta miten ja missä tarkalleen?

vivahde

Lailla on niin hämärä termi kuin "henkilötietojen tietojärjestelmä". Jos yrität selittää yksinkertaisesti - tämä on koko monimutkainen, joka koostuu tietokantapalvelimista, teknisistä keinoista niiden käsittelyn varmistamiseksi ja tietotekniikasta. Lain mukaisesti henkilötietojen tietojärjestelmä on suojattava.

Tietojen suojausmenetelmät ovat erilaisia.

• Fyysinen: esimerkiksi huoneissa, joissa tietokoneet sijaitsevat, voidaan asentaa kameroita, käyttää pääsynvalvontaa, hälytysjärjestelmiä.
• Tekninen - käyttämällä erityisiä tietosuojakeinoja.
• Hallinnollinen: kaikenlaisia ​​määräyksiä ja sääntöjä, jotka koskevat henkilötietojen käsittelyä yhtiössä.

esimerkki

Yksi keino suojata tietoja on henkilötietojen henkilökohtainen poistaminen. Mikä se on? Viisumikeskuksessa jokaiselle viisuminhakijalle annetaan erillinen tunnistenumero. Itse numero ei viittaa henkilötietoihin, koska se poistaa henkilöstä henkilökohtaisen: viisumin hakijaa ei voida tunnistaa.

Näyttää siltä, ​​että käsittelen henkilötietoja.

Niinpä terminologia on selvitetty. Nyt kaikkien liike-elämän edustajien, erityisesti yksittäisten yrittäjien, joilla voi olla vain muutamia työntekijöitä, olisi rehellisesti vastattava kysymykseen: "Käsittelen henkilötietoja?"

Kyllä, jos olet sivuston omistaja, jolla on viiden henkilön viikko, mutta sillä on palautelomake, jossa on kentät "nimi, sähköpostiosoite, puhelinnumero". Sivustolla on esitettävä tiedot henkilötietojen keräämiseen liittyvistä tarkoituksista.

Kyllä, jos käsittelet työntekijöiden henkilötietoja tai kolmannen osapuolen asiantuntijoita, jotka on palkattu tekemään töitä.

Kyllä, jos työskentelet yksityisten asiakkaiden kanssa ja tarvitset niiden passi-tietoja sopimusten tekemiseksi - tämä koskee matkatoimistoja, kuntokeskuksia, erilaisia ​​palveluyrityksiä, verkkokauppoja ja muita.

Ja jälleen, kyllä, jos olet budjettijärjestö, poliittinen puolue tai päiväkoti. Jälkimmäisellä ei ole tietoa lapsesta vaan myös vanhemmistaan, mukaan lukien työpaikka ja asema. Puhumattakaan lääketieteellisistä laitoksista - on olemassa henkilökohtaisia ​​arkaluonteisia tietoja, jotka on tallennettava turvallisesti.

Jos kuitenkin käytät henkilökohtaiseen tiedonsiirtoon ilman kaupallista hyötyä, lainsäädännön vaatimukset eivät koske sinua, eikä rikosoikeudellista vastuuta ole.

Esimerkiksi yhteystietosi, jotka on tulostettu käyntikortille, jonka sait kollegalta, tai puhelinnumerot älypuhelimessa, tiedot sosiaalisista verkostoista eivät aiheuta teitä vastuulle lain edessä.

Tärkeintä ei ole paljastaa tietoja mainostajille eikä julkaista niitä ilman julkisten henkilötietojen omistajien lupaa.

Määritä henkilötietojen luokka

Onnittelut, olette ylpeä omistaja ”henkilötietojen käyttäjä”. Tärkeintä on nyt ymmärtää, mitkä henkilötiedot käsittelevät. Koska se riippuu henkilötietojen ryhmästä, miten suojata tietoja ja mitkä vaatimukset on täytettävä. Luokat kuvataan yksityiskohtaisesti liittovaltion lain nro 152 ja valtioneuvoston 1. marraskuuta 2012 antamassa päätöslauselmassa N 1119.

Henkilötietojen luokat yksinkertaisilla sanoilla:

Yleisesti saatavilla olevat henkilötiedot: avoimista resursseista saadut tiedot, jotka julkaistaan ​​henkilötietojen aiheena tai jotka hyväksytään. Julkisesti saatavilla olevat tiedot ovat median tai Internetin tietoja.

Esimerkki: tiedot, jotka on julkaistu avoimessa käyttöoikeudessa sosiaalisissa verkostoissa tai yritysten verkkosivuilla. Puhelinnumero ja perhetilanne julkaistaan ​​Facebookin julkisessa käytössä. Työntekijän nimi ja asema työnantajan verkkosivuilla.

Biometriset henkilötiedot: tähän luokkaan kuuluvat kaikki tiedot ihmisten fysiologisista ja biologisista ominaisuuksista.

Esimerkki: paino, korkeus, silmä tai hiusten väri, hiusten pituus, veriryhmä, valokuva.

Erityisluokan henkilökohtaiset tiedot: tämä sisältää tietoa kaikista rodusta ja kansakunnasta, poliittisista näkemyksistä, uskonnollisista ja filosofisista vakaumuksista, terveydentilasta tai läheisestä elämästä.

Esimerkki: lääketieteellinen diagnoosi (tiedot siitä, mitä olit sairas, milloin lääkäri hoiti sinua).

Muiden tyyppiset henkilötiedot - tämä sisältää henkilötietoja, joita ei ole mainittu edellä mainituissa luokissa.

Esimerkki: yritystiedot. Työntekijöiden kirjanpitokortit, jotka sisältävät tietoja, joihin henkilöstö- ja kirjanpitotyöt: palkka, lomapäivät, työsuhteen päivämäärät.

Luokka, lukumäärä, uhkien tyyppi - suojelun taso

Kun olet päättänyt henkilötietojen luokasta, sinun on ymmärrettävä prosessoitavien tietojen tarkka määrä: enintään 100 tuhatta tai yli 100 tuhatta.

Selvitetty luokka ja määrä, määrittele uhkan tyyppi:

Uhkien numero 1. "Reikät" ja käyttöjärjestelmän haavoittuvuudet. Esimerkki: haavoittuvuudet, joita hakkerit käyttävät infiltraatioon käyttöjärjestelmään tietojen varastamiseksi.

Uhkien numero 2. "Holes" ja haavoittuvuudet sovellusohjelmistossa, eli päivittäisessä työssä käytetyssä ohjelmistossa. Esimerkki: Word, Excel.

Uhkien numero 3. Kaikki muut uhat, joita ei ole lueteltu kahdessa ensimmäisessä tyypissä. Ensinnäkin ihmisen tekijä. Työntekijä voi jättää asiakirjan auki lukitsemattomaan tietokoneeseen, lähettää asiakirjan tulostamaan jonkun toisen tulostimelle tai sähköpostitse.

Henkilötietojen määrä, luokka, uhkatyyppi - kaikki yhdessä mahdollistavat, että voit määrittää, mikä tietojärjestelmää tarvitaan. Nyt on neljä suojaustasoa.

Ensimmäistä ja korkeinta suojelun tasoa käytetään useimmiten henkilötietojen käsittelyssä valtion virastoissa ja lääketieteellisissä laitoksissa. Neljäs suojelun taso on helpoin tarjota, joskus riittää organisatorisesti sääntelytoimenpiteiden toteuttaminen, lähinnä se koskee julkisesti saatavilla olevien tietojen suojaamista.

Voit määrittää suojaustason tämän taulukon avulla.

esimerkki

Sairaala käsittelee potilaidensa henkilötietoja - tämä on erityisluokan henkilötietoja. Se käsittelee myös työntekijöiden henkilötietoja - tämä on toisen luokan henkilötietoja. Sairaalassa on todennäköisesti kaksi tietokantaa. Jos lisäät molemmat tietokannat, saat tämän sairaalan tietojärjestelmässä pyörivien henkilötietojen kokonaismäärän.

Esimerkiksi ne kaikki - jopa 100 tuhatta. Seuraavaksi tarkastellaan, miten tietoja käsitellään: automatisoidaan (tietokoneessa) tai ei automatisoitu (manuaalisen tiedoston kaapissa). Jos kaikki on automatisoitu, katsomme, mitä ohjelmistoa sairaala käyttää, mitä haavoittuvuuksia sillä on.

Tämän perusteella tunnistetaan uhkat ja niiden taso. Lisäämme kaikki tekijät ja saamme toisen tason suojausluokan. Katsomme, mitä lain vaatimuksia täsmennetään toiselle turvallisuustasolle. Näiden vaatimusten perusteella on tarpeen rakentaa tietojärjestelmän suoja, jotta se täyttäisi liittovaltion lain vaatimukset.

Hieman henkilötietojen vuodon vaarasta

Miksi huolehdit henkilötietojen suojasta lainkaan? Henkilötiedot ovat kallis tuote mustalla markkinoilla. Huijarit ovat valmiita maksamaan vaikuttavia määriä profiilista, joka sisältää täydelliset tiedot henkilön terveystietueesta. Erilliset markkinat - pankkikorttitietojen myynti; tilit sosiaalisissa verkoissa.

Henkilötietojen vuodon seuraukset ovat erilaiset. Tiedot voivat olla julkisesti saatavilla Internetissä: esimerkiksi löydät helposti varastettuja tietokantoja, joissa on yritysten asiakkaiden osoitteita ja puhelinnumeroita verkossa. Kun tiedät nimen ja sukunimen, kuka tahansa voi selvittää henkilön kotiosoitteen, saada sosiaalisen verkoston, katsella profiilia tai kirjoittaa vain tekstiviestin matkapuhelimeen.

Henkilötiedot voivat päästä tietyn kaupallisen organisaation ärsyttävien postitusten tietokantaan, sitten heidän omistajansa hukkua ei-toivotut palvelutarjoukset. Niitä voivat käyttää myös online-kasinoiden verkko-huijarit tai avata sähköinen lompakko.

Pahimmassa tapauksessa hyökkääjä voi ilmaista toisen henkilön ja ottaa luoton jonkun toisen nimestä. Henkilötietojen vuotojen vakavimmat seuraukset ovat: laittomat toimet kiinteistöjen kanssa, rahan varastaminen pankkikortilta, sukulaisten kiristys ja yrityksen rekisteröinti.

Vastuuvelvollisuus

Ymmärrätkö kysymyksen tärkeyden ja olet valmis kantamaan vastuun? Se on oikein. Koska vastuu henkilötietojen turvallisuudesta kuuluu yksinomaan operaattorille.

Tämä tarkoittaa sitä, että toiminnanharjoittajan on huolehdittava siitä, että tiedot eivät pääse yleisön saataville tai eivät kuulu kolmansien osapuolten käsiin, joilla ei ole oikeuksia siihen. Tämä edellyttää tietoturvauhkien jatkuvaa seurantaa ja ennaltaehkäisyä, tietoturvan tason valvontaa ja sen palauttamista vahingon sattuessa.

Kotimaassamme Roskomnadzor seuraa henkilötietojen käsittelyä koskevan lainsäädännön noudattamista. Tämä elin vastaa valituksiin, säätää aiheiden ja toimijoiden välisiä suhteita.

Tietojen suojaamista koskevat tekniset vaatimukset ovat FSTEC: n ja FSB: n vastuulla: ne kehittävät vaatimuksia ja valvovat niiden toteuttamista.

Henkilötietojen käsittelyä koskevat vaatimukset

Nyt on aika tutkia taulukoita henkilötietojen teknistä suojaa koskevien vaatimusten mukaisesti. Yksityiskohtaiset tiedot löytyvät liittovaltion teknisen ja viennin valvontaviraston 18.2.2013 tilauksesta. N 21.

Mutta ainakin aloita tästä:

1. Rekisteröidy Roskomnadzoriin henkilötietojen ylläpitäjänä. Pakollinen hakemus Roskomnadzorille paperilla tai sähköisessä muodossa. Tiedot linkistä.
2. Hanki kirjallinen suostumus kaikista yksiköistä, joiden henkilötietoja käsitellään. Suostumus henkilötietojen käsittelyyn on tärkein oikeudellinen asiakirja, joka vahvistaa henkilötietojen käsittelyn laillisuuden.
3. Kehitetään sisäistä dokumentaatiota. Käyttöönotto organisaation päällikön määräyksellä "Henkilötietojen käsittelyä koskevat määräykset". Tässä asiakirjassa operaattori selittää, miten hän aikoo käyttää henkilötietojaan, mitä ja missä ne siirretään. Tämä on perusasiakirja, jota henkilötietojen haltija vaatii. Sen pohjalta kehitetään kaikki muut hallinnolliset asiakirjat.

Monet sivustojen omistajat ajattelevat, että jos kävijä napsauttaa "Hyväksyn henkilötietojen käsittelyyn" -painiketta, ei ole oikeudellisia ongelmia, ja tietojenkäsittely kuuluu automaattisesti oikeudelliseen kenttään. Se ei ole.

Oikeudellisesta näkökulmasta on olemassa vain kaksi tapaa vahvistaa suostumus henkilötietojen käsittelyyn: laita allekirjoitus paperilla tai käyttämällä sähköistä digitaalista allekirjoitusta.

Kaikissa muissa tapauksissa, jos asia on saatettu tuomioistuimen käsiteltäväksi, sivuston omistaja ei voi vahvistaa, kuka on painanut "Hyväksyn" -painiketta. Voidaan vain toivoa, että sivustoosi tullut aihe lähettää vapaaehtoisesti tietojaan eikä jätä kantelua.

Onko todella tarkistaa?

Kyllä, tarkastukset voivat olla Roskomnadzorilta.

Roskomnadzor julkaisee vuosittain luettelon tarkastuksista valikoivasti rekisteröityjen toimijoiden luettelosta, jos yritys on mukana tarkastuslistassa, ja seuraava ajoitettu tarkistus on mahdollista aikaisintaan kolmen vuoden kuluttua. Voit nähdä, onko yrityksesi listalla tänä vuonna.

Suunnitelman ulkopuoliset tarkastukset johtuvat yleensä valituksista. Jos tarkistus ei ole aikataulun mukainen, sinun tulee varoittaa siitä 24 tunnin kuluessa kirjallisesti.

Asiakirjoja voidaan myös tarkastaa. Dokumentoinnissa lähetät luettelon asiakirjoista, joiden kopiot on lähetettävä Roskomnadzorille.

Joskus Roskomnadzor tekee paikan päällä tehtäviä tarkastuksia: tarkastajat vierailevat henkilökohtaisesti tarkastamaan yrityksen paikan päällä.

Näiden tarkastusten valmistelu on aikaa vievä tehtävä. Haluatko ratkaista itse tehtävän valmistelutyön tai ottaa mukaan ulkopuolisia asiantuntijoita, sinun täytyy ensin selvittää, kuka yritys vastaa FZ-152: n noudattamisesta.

Sakot, tuomioistuimet ja muut kauhut

152-FZ: n rikkomisesta annetaan siviili-, rikos-, hallinto- ja kurinpitovastuu.

Niinpä Roskomnadzor suoritti tarkastuksen, jos se löysi epäjohdonmukaisuutta lain kanssa, hän antaa tutkintavaliokunnalle käskyn suorittaa oikeudenkäynti siitä, että on rikottu "henkilötietoja".

Tämän jälkeen syyttäjänvirasto aloittaa tarkastuksen, jonka aikana se voi keskeyttää yrityksen toiminnan: peruuttaa yhtiön tietokannan, erityisesti tietokoneet, joissa henkilötietoja käsiteltiin.

Lain rikkojat odottavat ensisijaisesti sakkoja. Sakkojen määrä vaihtelee rikoksen mukaan. Näin ollen henkilötietojen käsittelyyn ilman yksiköiden kirjallista lupaa oikeushenkilöillä on oltava hallinnollinen vastuu.

Vaikka operaattori on halukas maksamaan sakon, mutta suuryritysten standardien mukaan se ei näytä olevan valtava, rikoksentekijän on vielä poistettava epäjohdonmukaisuus lain edessä (esimerkiksi poistettava tallennetut tiedot) ja ilmoitettava Roskomnadzorille.

Pahin skenaario on, jos Roskomnadzor päättää peruuttaa yhtiön lisenssin, kieltää liiketoiminnan henkilötietojen käsittelyssä ja julkaista laittomasti henkilötietoja kansalaisilta.

Viime vuosina Venäjän äänekkäin skandaali liittyi LinkedInin estämiseen, jonka omistajia syytettiin kansalaisten henkilötietojen käsittelystä ilman heidän suostumustaan ​​Venäjän federaation ulkopuolisiin palvelimiin. Myös autonum.info-palvelun estäminen oli "tehty ääniä".

Kuinka paljon se maksaa minulle rahaa ja voimaa

Voit järjestää henkilötietojen käsittelyn itsenäisesti tai sellaisen yrityksen avulla, joka tarjoaa tällaista palvelua.

Jos päätät käsitellä henkilötietoja itse, tarvitset:

1. Ymmärrä, millaista henkilötietoja käsitellään ja mitkä ovat niiden suojaamisen tekniset vaatimukset.
2. Laaditaan itsenäisesti tai tietotekniikkayrityksen avulla teknisiä ratkaisuja, valmistellaan tarvittavien laitteiden ja ohjelmistojen hankintoja, asennetaan ja toteutetaan se.
3. Anna kaikki oikeudelliset asiakirjat. Laaditaan joukko sisäisiä asiakirjoja: ohjeet ja määräykset.

Parhaimmillaan se kestää kolme tai neljä kuukautta, tällaisen toteutuksen kustannuksella, se voi olla 200-300 tuhatta ruplaa - tämä on laitteiden ja lisenssien ostokustannukset. Työvoimakustannukset ja tietojärjestelmän tukeminen on erillinen menoerä. Tarvitset myös järjestelmänvalvojan, joka valvoo järjestelmän toimintaa.

Objektiivisesti puhuminen hyvin pienet yritykset eivät yksinkertaisesti täytä kaikkia lain vaatimuksia siinä toivossa, ettei todentamista ole. Ehkä se todella ei. Muut yritykset luovat Potemkinin kyliä vain teeskentelemällä, että he käsittelevät henkilötietoja lain vaatimusten mukaisesti, toisin sanoen he ostavat tarvittavat asiakirjat.

Seuraavassa artikkelissa näytämme, miten henkilötietojen käsittelystä aiheutuvat kustannukset voidaan laskea yrityksen sisällä ja kertoa, milloin henkilötietojen käsittely on kannattavampaa ja milloin se on parempi tallentaa pilviin.

Käyttäjä julkaisee materiaalin. Klikkaa "Kirjoita" -painiketta, jos haluat jakaa mielipiteesi tai puhua projektistasi.

Henkilötietolaki: vaikutukset toimistotyöhön

• Khramtsovskaya Natalia | Historiallisten tieteiden kandidaatti, johtava asiantuntija asiakirjojen hallinnoinnissa EOS-yhtiössä, ISO-asiantuntija, kansainvälisen arkistoneuvoston jäsen

Etsitkö syytä

Venäjän federaation laki nro 152-ФЗ henkilökohtaisista tiedoista hyväksyttiin 27. heinäkuuta 2006, ja viime vuoden muiden merkittävien tapahtumien taustalla meni lähes huomaamatta. Muodollinen syy sen hyväksymiseen oli lukuisia tosiseikkoja, jotka koskivat henkilötietokantojen varastamista valtiollisissa ja kaupallisissa rakenteissa ja niiden laajaa myyntiä. Itse asiassa tämän lain hyväksymisen päätarkoituksena oli poistaa tietyt kaupan esteet Euroopan unionin maiden kanssa.

Ranska kieltäytyi julkaisemasta tietoja yksityisyydestä ja määräämään sakkoja rikkojille vuonna 1858.

Norjan rikoslaissa kiellettiin "henkilökohtaisia ​​tai yksityisiä asioita" koskevien tietojen julkaiseminen vuonna 1889.

Kotimaan laki ”Henkilötietoja” 27. heinäkuuta 2006 nro 152-FZ aloitti toimintansa tämän vuoden tammikuun 26. päivänä (lain 25 §: n 1 momentin mukaisesti laki tulee voimaan 180 päivää virallisen julkaisun jälkeen, joka pidettiin 29. heinäkuuta 2006 "Rossiyskaya Gazetassa").

EU: n direktiivin 95/46 / EY mukaan henkilötietoja voidaan siirtää vain sellaisiin maihin, joissa on sama suojaustaso kuin Euroopassa. Tämä vaikeutti merkittävästi tiedonvaihtoa Euroopan valtion virastoilta ja yrityksiltä ulkomaisten kumppaneidensa kanssa, minkä vuoksi monien kaupallisesti lupaavien hankkeiden toteuttaminen oli mahdotonta. Tällaisia ​​rajoituksia eivät kokeneet vain Venäjä ja kolmannen maailman maat, vaan myös Yhdysvaltain kaltainen taloudellinen hirviö. Niinpä hallitus päätti voittaa tämän esteen. Katsotaanpa, miten hän teki sen ja mitä se maksaa meille kaikille.

Venäjän henkilötietoja koskevan lain hyväksyminen oli seurausta Venäjän federaation liittymisestä vuoden 1981 eurooppalaiseen yleissopimukseen "Henkilön suojelusta henkilötietojen automaattisessa käsittelyssä", jossa määritellään henkilötietojen suojan perusperiaatteet Euroopan maissa. Tässä yleissopimuksessa ja sitä seuraavissa Euroopan unionin direktiiveissä määritellään tehtävät, joita kansallisen lainsäädännön olisi käsiteltävä henkilötietojen sääntelyssä:

• henkilötietojen suojaaminen muiden henkilöiden luvattomalta käytöltä, mukaan lukien sellaisten julkisyhteisöjen elinten ja palvelujen edustajat, joilla ei ole tarvittavaa toimivaltaa;
• tietojen turvallisuuden, eheyden ja luotettavuuden varmistaminen heidän kanssaan työskentelyn aikana, mukaan lukien tiedonsiirto viestintäkanavien kautta;
• varmistaa näiden tietojen asianmukainen oikeudellinen järjestelmä työskennellessään heidän kanssaan erilaisia ​​henkilötietojen luokkia;
• varmistetaan, että kansalaiset käyttävät henkilötietoja;
• sellaisen erityisen riippumattoman rakenteen luominen, jolla varmistetaan kansalaisten oikeuksien kunnioittamisen tehokas valvonta henkilötietojensa suojelemiseksi (esimerkiksi henkilötietojen suojaamista koskevan komission jäsenen perustaminen).

Lainsäädäntömme toistavat suurelta osin Euroopan unionin tärkeimmät säännökset tällä alalla, jota pidetään yhtenä maailman kovimmista 2. Vaikka vuonna 2006 lakia puhuttiin melko usein, mutta harvat lukivat huolellisesti sen säännösten sisältöä. Mutta sen vaatimusten noudattamisen varmistamiseksi on tarpeen muuttaa merkittävästi työtä henkilötietoja sisältävillä tiedoilla ja asiakirjoilla. Yritetään selvittää, mitä uutta organisaation asiakirjojen ja tietojen hallinnan alalla?

• Kaikissa organisaatioissa on uusi, melko runsaasti dokumentointikerros. Nämä ovat asiakirjoja, jotka liittyvät henkilöiden suostumukseen henkilötietojensa käsittelyyn, tietokantojen rekisteröiminen valtuutetun elimen kanssa ja kaikkien henkilötietoja koskevien tapahtumien dokumentointi jne.
• On tarpeen korostaa henkilötietoja sisältäviä asiakirjoja ja tietoja; niiden erityiset merkinnät sekä paperille että sähköisille välineille; erillinen kirjanpito ja pääsyn seuranta. Voit puhua toisen tyyppisen kaulan saatavuudesta asiakirjoihin.
• Periaatteessa muuttuva lähestymistapa asiakirjojen ja tietojen säilyttämiseen. Ensimmäistä kertaa kotimaisessa käytännössä enimmäistalletusaika on vahvistettu ja ehdollinen ajanjakso on melko vaikea havaita ja seurata.
• Henkilötietojen käsittelyssä on välttämätöntä selvittää etukäteen ja tallentaa se sääntelyasiakirjoihin, jotka liittyvät niiden käsittelyyn. Muuten organisaatiota voidaan pitää vastuullisena, ja jopa epämiellyttävämmin henkilökohtaisilta henkilöiltä voi olla useita oikeusjuttuja 3.
• Laissa asetetaan erittäin tiukat määräajat kaikkien henkilötietojen käsittelyyn liittyvien valituksen tekemiseksi.

Tarkastakaamme nyt tarkemmin lain tärkeimpiä säännöksiä ja arvioimme, mitä organisaatioita ja instituutioita on ryhdyttävä toteuttamaan sen täytäntöönpanemiseksi. Lisäksi pyrimme analysoimaan joitakin lain säännöksiä sanamuodon oikeellisuuden ja selkeyden suhteen.

Lain soveltamisala

Ensimmäinen kysymys: kenelle tätä lakia sovelletaan? Vastauksena siihen voimme varmasti sanoa, että se koskee kaikkia poikkeuksetta (valtion laitoksiin, oikeushenkilöihin ja yksityishenkilöihin). Tässä on luettelo 1 artiklasta:

• liittovaltion viranomaiset
• Venäjän federaation aiheiden valtion viranomaiset, t
• muut valtion elimet
• paikallishallinnot,
• muiden kuin kunnallisten elinten t
• oikeushenkilöt
• yksilöitä.

Toinen tärkeä kysymys on lain soveltamisala.

Venäjän federaation liittovaltion lain ”Henkilötiedot” nro 152-FZ, 1. heinäkuuta 2006, 1 artikla

Tämä liittovaltion laki säätelee henkilötietojen käsittelyyn liittyviä suhteita... käyttämällä automaatiotyökaluja tai ilman tällaisia ​​keinoja, jos henkilötietojen käsittely ilman tällaisia ​​välineitä vastaa henkilötietojen avulla toteutettujen toimien luonnetta automatisointivälineillä.

Tämän artikkelin sanamuoto on esimerkki siitä, miten lakia ei kirjoiteta. Se osoittautui jotain käsittämätöntä, mikä mahdollisti erilaiset tulkinnat. Miten tällaisen tekstin perusteella vastataan esimerkiksi kysymykseen siitä, kuuluvatko yrityskannettavan vapaaseen muotoon sisältyvät tiedot lain soveltamisalaan? Jos tällaista muistikirjaa tallennetaan tietokoneeseen tai matkapuhelimeen, katsotaanko sitä "automaatiolaitteiden käytölle"?

Eurooppalainen lainsäädäntö on tältä osin selkeämpi:

EU-direktiivi 95/46 / EY 1995

2 artikla "Määritelmät":

c) ”henkilötietojen tallennusjärjestelmä” 4 (”tallennusjärjestelmä”) on mikä tahansa jäsennelty joukko henkilötietoja, joita voidaan käyttää tiettyjen kriteerien mukaisesti - riippumatta siitä, miten tietokokonaisuus on järjestetty, keskitetty, hajautettu tai jaettu toiminnallisella tai maantieteellisellä tasolla...

3 artikla "Soveltamisala":

1. Tämä direktiivi koskee henkilötietojen käsittelyä automaattisin keinoin (kokonaan tai osittain) sekä käsittelyä muilla kuin automaattisilla, henkilötiedoilla, osilla tai aiotulla osana tallennusjärjestelmiä.

Nykyaikaisessa tietotekniikassa "strukturoidut tiedot" tarkoittaa ensinnäkin tietokantoja. Paperityössä ne sisältävät korttitiedostoja ja henkilötietojen arkistoja. Siksi eurooppalaiset vaatimukset ovat seuraavat:

• henkilötietojen automaattiseen käsittelyyn ja. t
• käytettäväksi (joko automaattisessa tai muussa tilassa), joka sisältää paperi- ja elektronisten tietokantojen henkilötietoja, korttitiedostoja jne., joilla on hakumekanismi, joka helpottaa tietyn henkilön tietoja.

Miksi venäjällä oli mahdotonta kirjoittaa ja lakissamme on käsittämätöntä?

Huomiota on kiinnitettävä terminologian eroon: "automaattinen käsittely" on yksi asia, ja "automaatiolaitteiden käyttäminen" on täysin erilainen käsite, paljon laajempi ja epämääräisempi.

Laissa säädetään vain neljä poikkeusta, eli lakia ei sovelleta suhteisiin, jotka syntyvät:

• henkilötietojen käsittelyssä henkilökohtaisten ja perheen tarpeiden kannalta;
• käsiteltäessä henkilötietoja Venäjän federaation arkistofondin asiakirjoissa;
• henkilötietoja käsiteltäessä sisällytettäväksi yksittäisten yrittäjien yhtenäiseen valtion rekisteriin (EGRIP);
• käsiteltäessä salaisiksi luokiteltuja henkilötietoja.

Yksi näistä seikoista edellyttää yksityiskohtaisempaa tutkimusta. Aluksi mainitsemme lain:

Venäjän federaation liittovaltion lain ”Henkilötiedot” nro 152-FZ, 1. heinäkuuta 2006, 1 artikla

2. Tätä liittovaltion lakia ei sovelleta suhteisiin, jotka johtuvat:

2) Venäjän federaation arkistointirahaston asiakirjojen säilytys-, hankinta-, kirjanpito- ja käyttötiedot, jotka sisältävät Venäjän federaation arkistointirahaston asiakirjoja, sekä Venäjän federaation arkistoja koskevan lainsäädännön mukaisesti.

Muistutamme teille kahdesta määritelmästä, jotka sisältyvät Venäjän federaation arkistoa koskevaan lakiin, nro 10-ФЗ, 10.22.2005:

• arkistoasiakirja - aineellinen tallennusväline, johon on tallennettu tiedot, joiden tiedot voidaan tunnistaa ja jotka voidaan varastoida ilmoitetun operaattorin merkityksen ja kansalaisten, yhteiskunnan ja valtion kannalta;
• Venäjän federaation arkiston rahaston asiakirja on arkistoasiakirja, joka on läpäissyt asiakirjojen arvon tarkastelun, asetettu valtion kirjanpitoon ja jota säilytetään pysyvästi.
  On käynyt ilmi, että jos asiakirjaan tai tietokantaan on luotu pysyvä säilytysaika ja että ne sisältyvät Venäjän federaation arkistoon, tämä laki ei koske heitä. Tämä virhe antaa valtion virastoille mahdollisen vakavan tietokannan, jolla vältetään uuden henkilötietolain täytäntöönpano.

Tässä on esimerkki siitä, miten tämä voidaan tehdä. Venäjän federaation arkistoja koskevan lain (18 §: n 2 osa) mukaan Venäjän federaation hallitus hyväksyy liittovaltion omistukseen kuuluvien Venäjän federaation arkistorahaston asiakirjojen tallettajayhteisöjen ja -järjestöjen luettelon. Vuoden 2006 lopussa hyväksyttiin uusi luettelo viidestä näistä yksiköistä ja organisaatioista. Samalla nämä organisaatiot velvoitettiin tekemään sopimus Rosarkhivin kanssa asiakirjojen säilytysolosuhteista. Jos sopimuksen tekemisen yhteydessä on nimenomaisesti säädetty, että kaikkia asiakirjoja, lukuun ottamatta operatiivisia, pidetään säilöönottoon siirretyinä asiakirjoina, suurin osa asiakirjoista voidaan asettaa tämän poikkeuksen piiriin.

Muille valtion organisaatioille yksi vaihtoehdoista voisi olla tapaustietueiden nopea hyväksyminen valtionarkistoilla, mikä itse asiassa merkitsisi sitä, että asiakirjat sisällytettäisiin Venäjän federaation arkisto-rahastoon ja jätettäisiin jälleen henkilötietoja koskevan lain "toiminta-alueelta".

Euroopan unionin direktiiveissä ei kuitenkaan ole tällaista poikkeusta, mutta se on olemassa esimerkiksi US-koodissa 6, jossa on oikeampi sanamuoto, joka ei salli epäselvyyttä: henkilötietolainsäädäntöä ei yleensä sovelleta asiakirjoihin, jotka on jo talletettu valtion arkistoon, mutta koskee asiakirjoja, jotka jokainen virasto huolehtii valtion arkistoille.

On myös epäselvää, miksi monista valtion tietokannoista lakimme teki poikkeuksen yksittäisten yrittäjien yhdysvaltalaisesta rekisteristä (EGRIP). Olisi siis loogista ulottaa poikkeus koskemaan myös muita valtion henkilötietoja sisältäviä valtionrekistereitä (esimerkiksi Sisältö sisältää tietoa maan kaikkien oikeussubjektien perustajista ja ensimmäisistä henkilöistä).

Henkilötiedot ja käsittelymenetelmät

Henkilötiedot - kaikki fyysiseen henkilöön (henkilötietojen kohde) liittyvät tiedot, jotka on määritetty tai määritetty näiden tietojen perusteella, mukaan lukien hänen sukunimi, etunimi, isäntänsä, vuosi, kuukausi, syntymäaika ja -paikka, osoite, perhe, sosiaalinen ja omaisuuden asema, koulutus, ammatti, tulot, muut tiedot (henkilötietolain 3 §: n mukaisesti).

Laissa säädetään seuraavista henkilötietojen käsittelymenetelmistä (useat niistä ovat yksityiskohtaisia ​​selityksiä 3 artiklassa):

• keruu;
• systematization;
• kertymistä;
• varastointi;
• selvennys (päivitys, muutos);
• - - - ”toimijoiden 7 suorittamien henkilötietojen (toimien) toteuttaminen päätösten tekemiseksi tai muiden sellaisten toimien suorittamiseksi, jotka aiheuttavat oikeudellisia seurauksia henkilötietojen tai muiden henkilöiden kohteeseen tai muulla tavalla, joka vaikuttaa henkilötietojen tai muiden henkilöiden oikeuksiin ja vapauksiin”;
• jakelu (mukaan lukien siirto) - ”toimet, joiden tarkoituksena on henkilötietojen siirtäminen tietylle henkilöryhmälle (henkilötietojen siirto) tai rajoittamattoman määrän henkilötietojen tunteminen, mukaan lukien henkilötietojen julkistaminen tiedotusvälineissä, tiedotus ja tietoliikenne verkkoihin tai tarjoamalla henkilötietoja millään muulla tavalla ";
• Depersonalisointi - ”toimet, joiden seurauksena henkilötietojen henkilöllisyyttä ei ole mahdollista määrittää tietylle henkilötietojen aiheelle”;
• estäminen - henkilötietojen keräämisen, systematisoinnin, keräämisen, käytön, levittämisen ja niiden siirron väliaikainen keskeyttäminen;
• henkilötietojen tuhoaminen - ”toimet, joiden seurauksena henkilötietojen sisällön palauttaminen henkilötietojen tietojärjestelmässä on mahdotonta tai joiden seurauksena henkilötietojen aineelliset kantajat tuhoutuvat”.

Erityistä huomiota olisi kiinnitettävä sellaisiin käsittelymenetelmiin kuin henkilötietojen estäminen ja tuhoaminen. Laki sanoo melko hyvin tuhoamisesta - tämä on lähestymistapa, jota suositellaan nyt kotimaisilla ja ulkomaisilla standardeilla. Henkilötietojen estämisen osalta tämä kotimaisen käytännön käsittelymenetelmä otettiin käyttöön ensimmäistä kertaa, ja sen toteuttaminen voi merkittävästi vaikeuttaa sellaisten organisaatioiden elämää, jotka käyttävät aiemmin kehitettyjä tietojärjestelmiä ja tietokantoja, joissa tällaista toimintaa ei ole.

Henkilötietojen käsittelyn periaatteet ja edellytykset

Lain säännöksillä pyritään ensisijaisesti estämään henkilötietojen laiton keruu ja käyttö. Tämä lainsäätäjän halu on johtanut uuden kannan syntymiseen kirjanpitokäytäntöä varten:

Venäjän federaation liittovaltion lain "Henkilötiedot" 5 artiklan 2 kohta, päivätty 27. heinäkuuta. 2006 nro 152-FZ

Henkilötiedot on säilytettävä muodossa, joka mahdollistaa kohteen määrittämisen, ei enää kuin käsittelyn tavoitteet, ja se on hävitettävä henkilötietojen käsittelyn tavoitteiden saavuttamisen tai niiden saavuttamisen tarpeen menettämisen vuoksi.

Tässä tapauksessa laki asettaa ensimmäistä kertaa tietoa ja dokumentoi enimmäis- ja lisäksi ehdollisen varastointijakson - "käsittelyn tavoitteiden saavuttamisen" jälkeen. Organisaatioiden on laadittava henkilötietoja sisältävien asiakirjojen säilytysajat, ja on tarpeen harkita etukäteen valittujen varastointijaksojen perusteluja. Tämä on melko monimutkainen kysymys, joka voi aiheuttaa paljon kiistoja ja ongelmia.

Lisäksi DOE-asiantuntijoiden on kiinnitettävä huomiota seuraaviin seikkoihin: koska henkilötietojen keräämisen ja käsittelyn tavoitteet, kuten lain edellyttämät, on määritettävä ennen työn aloittamista, on tarpeen harkita huolellisesti niiden sanamuotoa. Muuten organisaatio voi itse korvata itsensä: tavoitteet täyttyvät, eikä henkilötietoja tuhota.

Yksi epämiellyttävimmistä henkilötietoja keräävistä ja käsittelevistä organisaatioista on 6 artiklan vaatimus, jonka mukaan on tarpeen hankkia suostumus asian käsittelyyn. Mitään suostumusta ei tarvita vain seuraavissa tapauksissa:

• liittovaltion lainsäädännön perusteella;
• täyttääkseen sopimuksen henkilötietojen aiheen kanssa;
• tilastollisiin tai tieteellisiin tarkoituksiin;
• suojella henkilötietojen kohteen elämää ja terveyttä;
• postilaitosten postilähetysten toimittamiseen;
• toimittajan, tutkijan jne. ammatillisen toiminnan aikana;
• tiedot, jotka julkaistaan ​​liittovaltion lainsäädännön mukaisesti;
• suojelemaan perustuslaillisen järjestyksen, moraalin, terveyden, oikeuksien ja muiden oikeutettujen etujen perustaa maan puolustuksen ja valtion turvallisuuden varmistamiseksi.

Meillä on jo useita liittovaltion lakeja, jotka kuvaavat henkilötietojen käsittelyä, esimerkiksi ylläpitämällä veronmaksajien yhtenäisiä valtionrekistereitä (EGRN) ja oikeushenkilöitä (USR). Ainoa ehto yleisen suostumusvaatimuksen poikkeuksen käyttämiseksi on esittää seuraavat kysymykset asiaankuuluvassa lainsäädännössä:

• tavoite,
• henkilötietojen saamisen edellytykset
• niiden henkilöiden joukko, joiden henkilötietoja käsitellään,
• tietoja keräävän toimijan valtuudet.

Ei ole vielä selvää, mitä tapahtuu sellaisten lakien kanssa, jotka sisältävät henkilötietojen keräämiseen ja käsittelyyn liittyviä normeja, mutta jotka eivät täytä määritettyä ehtoa.

Ensimmäinen, joka liittyy uuden lain noudattamiseen, kiinnitti vakuutusyhtiöiden huomion. Heidän mielestään henkilötietoja koskeva laki voi vakavasti haitata pakollista liikennevakuutusta koskevan lain (MTPL) täytäntöönpanoa, koska kielletään siirtää kolmannelle osapuolelle liikenteenharjoittajan liikenteenharjoittajan sopimuksen perusteella tehdyt henkilötiedot ilman hänen suostumusta. Tämän seurauksena vakuutusyhtiö ei voi saada täydellistä tietoa asiakkaistaan ​​yhdestä tietokannasta (ja tällaisen tietokannan ylläpito on kyseenalainen), tässä tilanteessa vakuutusyhtiöiden riskit kasvavat.

Vakuutusyhtiöt yrittävät jo ratkaista tämän tärkeän ongelman ottamalla huomioon seuraavat vaihtoehdot:

• OSAGO-lain muutokset ja vakuutuksenantajien velvollisuus vaihtaa tietoja vakuutustapahtumista.
• Henkilötietojen osan määrittäminen julkiseksi. Tiedot, jotka yksilö ilmoittaa tehdessään OSAGO-sopimuksen, on vakuutuksenantajien mukaan julkinen. Henkilötietoja koskeva laki edellyttää kuitenkin suostumuksen saamista julkisten tietojen keräämiseksi.
• Vakuutuspetosten torjumiseksi All-Russian Insurance Insurance -yhdistyksen komitea (ARIA) on jo laatinut kaksi laskua, jotka on tarkoitus antaa valtion duumalle vuoden 2007 alussa. Komitean johtajan mukaan Jevgeni Potapov, yksi näistä laskuista muuttaa lakia "Vakuutustoiminnan organisoinnista Venäjän federaatiossa". Se antaa vakuutuksenantajille mahdollisuuden luoda niiden yhdistyksiin ja yhdistyksiin perustuvia automaattisia tietojärjestelmiä, jotka sisältävät tietoja vakuutusvaatimuksista ja maksuista 8.

6 artiklan 6 kohdassa, jolla annetaan oikeus käsitellä henkilötietoja toimittajille, tutkijoille ja muiden luovien ammattien edustajille ilman aiheen suostumusta, on epäilystä. On varsin realistista (etenkin kaupallisissa rakenteissa) ottaa käyttöön "luovan ammatin edustajan" kokopäiväinen asema ja "kirjoittaa sille" kaikki tietokannat, jotka sisältävät henkilökohtaisia ​​tietoja.

Esimerkiksi Englannissa on samanlaisen lain säännöksen mukaan lisäksi säädetty, että tässä tapauksessa tietojenkäsittelyn tarkoituksen tulisi olla asianomaisen aineiston julkaiseminen; että tällaisen julkaisun on oltava yleisen edun mukaista (myös luovaa ammattia edustavan henkilön itsemääräämisoikeutta käytettäessä) 9.

Lisäksi on mielenkiintoista, miten me päätämme, kuka on toimittaja tai kirjailija ja kuka ei ole. Ei ole mikään salaisuus, että monilla kirjoittavista veljistä ei ole asianmukaisia ​​tutkintotodistuksia tai virallisia tunnuksia. Täällä USA: ssa käytetty lähestymistapa voi olla meille hyödyllinen: toimittajat tunnustavat kaikki ne, jotka kirjoittavat artikkeleita julkiseen jakeluun, vaikka ne julkaistaan ​​vain Internetissä.

Yhdysvalloissa tammikuussa 2007 aloitettiin entisen vanhempi George Bush Lewisin "Scooter" Libby -hallinnon oikeudenkäynti. Sata paikkaa varattiin lehdistölle oikeussalissa, ja kaksi niistä oli virallisesti vastaanottanut Internet-päiväkirjojen tekijät.

American Newspaper Editors -yhdistys ehdottaa, että liittovaltion laki, jolla annetaan toimittajille oikeus olla luovuttamatta luottamuksellisia tietoja oikeudenkäynnissä, viittaa siihen, että tätä lakia sovelletaan kaikkiin poikkeuksetta ja kattaa ne, jotka keräävät tietoja edelleen jakelua varten. Tämän määritelmän piiriin kuuluvat myös Internet-päiväkirjojen tekijät, ”bloggaajat”.

Katsotaanpa nyt, miten uusi laki edellyttää aiheen suostumusta hänen henkilötietojensa käsittelyyn.

Venäjän federaation liittovaltion lain 9 §: n "henkilötietoja" koskeva lauseke, päivätty 27. heinäkuuta. 2006 nro 152-FZ

Henkilötietojen kohde päättää hänen henkilötietojensa toimittamisesta ja suostuu niiden käsittelyyn omasta tahdostaan ​​ja omasta etunsa mukaisesti. Henkilötietojen henkilö voi peruuttaa henkilötietojen käsittelyn suostumuksen.

Lisäksi 9 artiklan 3 kohdassa on melko epämiellyttävä ehto toimijoille. Niiden on joko kerättävä todisteita siitä, että heidän keräämänsä tiedot otetaan julkisesti saatavilla olevista lähteistä, tai saada suostumus henkilötietojen aiheesta ja tallentavat tämän asiakirjan silloin, kun "aihe" päättää haastaa operaattorin hänen oikeuksiensa rikkomisesta.

Julkisesti saatavilla olevien tietojen kanssa ei myöskään ole niin yksinkertaista. Asetuksen 8 artiklassa, jossa määritellään, mitä tarkoitetaan julkisesti saatavilla olevilla henkilötietojen lähteillä (viitekirja, osoitekirja jne.), Korostetaan, että henkilökohtaisia ​​tietoja voidaan sisällyttää siihen vain kirjallisella suostumuksella. Lisäksi henkilötietojen aiheen tai tuomioistuimen tai muiden valtuutettujen julkisyhteisöjen pyynnöstä henkilötietojen aiheeseen voidaan milloin tahansa jättää tiedot henkilötietojen julkisista lähteistä.

Toisaalta, jos organisaatio käytti tiedonkeruun yhteydessä julkisesti saatavilla olevia henkilötietojen lähteitä, sen olisi dokumentoitava, missä se on saanut nämä tiedot, ja varmistettava, että ”lähteellä” on lain edellyttämä kirjallinen suostumus.

Venäjän federaation liittovaltion laki ”Henkilötietoja” 27. heinäkuuta. 2006 nro 152-FZ

3 §: n 3 momentti

Yleisesti saatavilla olevat henkilötiedot ovat henkilötietoja, joita rajoittamattoman määrän henkilöillä on pääsy henkilötietojen aiheen suostumuksella tai joille luottamuksellisuusvaatimusta ei sovelleta liittovaltion lakien mukaisesti.

8 artiklan 1 kohta. Yleisesti saatavilla olevat henkilötietojen lähteet

Tietopalvelujen tarjoamiseksi voidaan luoda yleisesti saatavilla olevia henkilötietojen lähteitä (mukaan lukien viitekirja, osoitekirja). Julkisesti saatavilla olevat henkilötietojen lähteet, joihin henkilötietojen aiheen kirjallinen suostumus on, voivat sisältää hänen sukunimen, etunimen, etunimen, syntymävuoden ja -paikan, osoitteen, tilaajan numeron, tiedot ammatista ja muita henkilötietoja, jotka henkilötiedot ovat antaneet.

9 artiklan 3 kohta. Henkilötietojen aiheen suostumus heidän henkilötietojensa käsittelyyn

Velvollisuus todistaa henkilötietojen aiheen suostumus hänen henkilötietojensa käsittelyyn ja yleisön saatavilla olevien henkilötietojen käsittelyn osalta toimijan on osoitettava, että käsiteltävät henkilötiedot ovat julkisesti saatavilla.

Osoittautuu, että suojellakseen itseään organisaatioiden on pyydettävä virallista vahvistusta jokaiselle kansalaiselle.

Miten aiheen kirjallinen suostumus on jätettävä? Osoittautuu, että kansalaisen allekirjoitus yleisen ilmauksen ”Hyväksyn henkilötietojen keräämisen ja käsittelyn” alla ei riitä.

Venäjän federaation liittovaltion lain 9 §: n 4 kohta (”Henkilötiedot”) on päivätty 27. heinäkuuta. 2006 nro 152-FZ

- henkilötietojen aiheen kirjalliseen suostumukseen heidän henkilötietojensa käsittelyyn olisi kuuluttava:

1. henkilötietojen sukunimi, nimi, isäntä, henkilötunnuksen osoite, henkilöllisyyttä osoittavan pääasiakirjan numero, tiedot määritetyn asiakirjan antamispäivämäärästä ja todistuksen myöntävä viranomainen;
2. sen henkilön nimi (sukunimi, nimi, isäntä) ja osoite, joka saa henkilötietojen aiheen suostumuksen;
3. henkilötietojen käsittelyyn;
4. luettelo henkilötiedoista, joiden käsittelyä varten henkilötietojen aiheen suostumus annetaan;
5. luettelo toimista, joissa on henkilötietoja, joille on annettu suostumus, yleinen kuvaus menetelmistä, joita lentotoiminnan harjoittaja käyttää henkilötietojen käsittelyyn;
6. määräaika, jona suostumus on voimassa, sekä menettely sen peruuttamiseksi.

Tämä tarkoittaa sitä, että ennen henkilötietojen aiheen "pyytämistä" ja yrittäessään saada hänen suostumuksensa, operaattorin on laadittava asiakirjan erityinen muoto, joka sisältää kaikki tarvittavat tiedot.

Henkilötietojen kohteen oikeudet

Ensinnäkin henkilötietojen aiheella on oikeus saada seuraavat tiedot:

• tietoa operaattorista,
• tiedot operaattorin sijainnista,
• tiedot käyttäjän henkilötietoja koskevista henkilötietoja koskevasta henkilötietosta, t
• aiheella on myös oikeus tutustua operaattorin hallussa oleviin henkilötietoihinsa.

Operaattorilta henkilötietojen aihe voi edellyttää:

• selkeyttää henkilötietojasi
• niiden estäminen tai tuhoaminen siinä tapauksessa, että henkilötiedot ovat puutteellisia, vanhentuneita, epätarkkoja, laittomasti hankittuja tai niitä ei tarvita mainittuun käsittelyn tarkoitukseen.

Monet operaattoriorganisaatioiden vaikeudet luovat lain 14 §: n 2 momentin, jossa edellytetään, että operaattori toimittaa henkilötietojen saatavuutta koskevat tiedot helposti saatavilla olevaan muotoon ja että ne eivät sisällä muita henkilötietoja koskevia tietoja.

”Durant vs. Financial Services Authority” -asiakirja 11, jota käsiteltiin Englannin muutoksenhakutuomioistuimessa joulukuussa 2003, sai laajan vastauksen. Tuomioistuimen päätös supisti merkittävästi "henkilötietojen" käsitteen tulkintaa. Erityisesti tuomioistuin totesi, että pelkästään tämän henkilön mainitseminen asiakirjan tekstissä ei riitä käsittelemään henkilötietoja sisältävää asiakirjaa. Lisäksi tuomioistuin vahvisti, että oikeus käyttää henkilötietojaan ei saisi loukata kolmansien osapuolten oikeuksia ja että näin ollen kolmansien osapuolten henkilötiedot olisi poistettava pyynnöstä toimitettujen asiakirjojen kopioista (lukuun ottamatta erityisiä tapauksia).

Marraskuussa 2004 hallitus kiisti Yhdistyneen kuningaskunnan työntekijöiden oikeutta tutustua henkilötietoihinsa riippumatta siitä, säilyttävätkö he työnantajansa paperilla tai sähköisessä muodossa, jos ne tallennetaan järjestelmään, jossa ei ole selkeästi jäsennelty tietoja kullekin henkilölle. Siten paperitiedostojen tallennusjärjestelmät (lukuun ottamatta henkilökohtaisia ​​tiedostoja) poistettiin tosiasiallisesti henkilötietojen saatavuutta koskevan lain toiminnasta, koska niitä on vaikea eristää tietystä henkilöstä.

Pääsemme heidän henkilötietoihinsa, maanmiehemme tarvitsevat:

• sovelletaan henkilökohtaisesti tai
• lähetä pyyntö, joka sisältää:
  • henkilötietojen henkilön tai hänen laillisen edustajansa tunnistavan pääasiakirjan numero,
  • tiedot määritetyn asiakirjan myöntämispäivästä ja myöntävän viranomaisen sekä
  • henkilötietojen tai hänen laillisen edustajansa käsin kirjoitettu allekirjoitus.

Tämä pyyntö voidaan lähettää sähköisessä muodossa ja allekirjoittaa digitaalisen allekirjoituksen avulla. Laki muodostaa siis muodollisen mahdollisuuden hakea henkilötietojaan sähköisten viestintäkanavien kautta. Meillä ei vielä ole henkilöitä, joilla on oma EDS, joka noudattaa EDS-lakia (useimmissa tapauksissa EDS: ää käytetään maassamme siviililain 160 §: n mukaisesti, jossa määrätään osapuolten alustavasta sopimuksesta).

Tietojen määrä, jota henkilötiedot voivat pyytää, osoittaa kansalaisten huolen. Henkilötietoja sisältävän tietokannan johtavia organisaatioita suositellaan kiinnittämään erityistä huomiota uuden lain 14 §: n 4 kohtaan, jotta voidaan harkita ja vahvistaa sisäisen sääntelyn tietojen toimittamismenettelyä:

1. henkilötietojen käsittely operaattorin toimesta sekä tällaisen käsittelyn tarkoitukset;
2. operaattorin käyttämien henkilötietojen käsittelymenetelmistä;
3. henkilöistä, joilla on pääsy henkilötietoihin tai joille voidaan myöntää tällainen pääsy (voidakseen raportoida, kuka ja mitä henkilötietoja on toimitettu, on tarpeen järjestää henkilötietojen rekisteröintiä ja valvoa niiden saatavuutta, muuten operaattorijärjestö täyttää tämän vaatimuksen);
4. luettelo käsitellyistä henkilötiedoista ja niiden vastaanottamisen lähteistä;
5. henkilötietojen käsittelyaika, mukaan lukien sen säilytysaika (tätä vaatimusta on kiinnitettävä erityistä huomiota, koska itse asiassa se velvoittaa operaattorin määrittämään käsittely- ja tallennusajat, jotka voivat vaihdella riippuen henkilötietojen käsittelyn tarkoituksista, sisäisillä säädöksillä);
6. tiedot siitä, mitä oikeudellisia seurauksia henkilötietojen aiheelle voi aiheutua hänen henkilötietojensa käsittelyssä (tämän vaatimuksen täyttämiseksi, järjestöjen olisi etukäteen kehotettava asianajajiaan laatimaan perustelut kaikkiin mahdollisiin henkilötietojen käsittelyn oikeudellisiin seurauksiin)

Henkilötietojen käsittelyssä ”tavaroiden, teosten, palvelujen tarjoamiseksi markkinoilla suorilla yhteyksillä potentiaalisen kuluttajan kanssa viestintävälineiden avulla sekä poliittisen kampanjan edistämiseksi” käsitellään erityistä artiklaa (15 artikla). Kaupallisten ja poliittisten järjestöjen on ennen mainoksen lähettämistä hankittava kansalaisen etukäteen antama suostumus ja PD: n käsittely on tunnustettava ilman henkilötietojen aiheen etukäteen antamaa suostumusta, jos toimija ei todista, että tällainen suostumus on saatu. Joidenkin kaupallisten rakenteiden osalta tämä vaatimus voi olla hyvin hankalaa!

Tästä lähtien ”on kiellettyä tehdä päätöksiä yksinomaan automaattisen henkilötietojen käsittelyn perusteella, mikä aiheuttaa oikeudellisia seurauksia henkilötietojen aiheelle tai muuten vaikuttaa hänen oikeuksiinsa ja oikeutettuihin etuihinsa” (16 artikla).

Tämä säännös on tarpeellinen ja oikea-aikainen. Lainsäätäjämme ovat kuitenkin muotoillessaan sekoittaneet kahta eri käsitettä: "automaattinen" (eli ilman ihmisten osallistumista) ja "automatisoitu" (eli ihmisten osallistuminen). Tämän seurauksena tämä artikkeli, sen sijaan, että asetettaisiin lisärajoituksia niille ja vain silloin, kun tietojärjestelmä tekee päätöksiä ilman ihmisten osallistumista (esimerkiksi sakon periminen, kieltämisen kieltäminen maan ulkopuolella jne.), Voi tulkitaan siten, että niillä rajoitetaan kaikenlaista henkilötietojen käsittelyä, koska jopa laskimen käyttö voidaan ymmärtää automaattisena käsittelynä!

Uuden lain samassa artikkelissa todetaan, että toiminnanharjoittaja voi tehdä päätöksiä, jotka perustuvat ainoastaan ​​"automaattiseen" käsittelyyn, jos:

• saada henkilökohtaisen rekisteröidyn tai kirjallisen suostumuksen
• jos nämä säännöt vahvistetaan liittovaltion lainsäädännössä.

Joissakin sääntelyasiakirjoissa nämä lain vaatimukset on jo otettu huomioon. Näin ollen uuden sukupolven passin myöntämishakemusten näytteissä on erityinen osio, jossa hakija suostuu hakemuksessa ilmoitettujen tietojen "automaattiseen" käsittelyyn. Kuulostaa seuraavasti: ”Olen samaa mieltä hakemuksessa määriteltyjen tietojen automatisoidusta käsittelystä, siirrosta ja tallentamisesta passin valmistusta, käsittelyä ja valvontaa varten sen voimassaoloaikana” 12.

Operaattorin on myös toimitettava kansalaisille etukäteen seuraavat tiedot:

• - päätöksentekojärjestys, joka perustuu hänen henkilötietojensa yksinomaan "automaattiseen" käsittelyyn ja -. t
• tällaisen päätöksen mahdolliset oikeudelliset seuraukset;
• menettely, jolla henkilö suojaa henkilötietojaan hänen oikeuksistaan ​​ja oikeutetuista eduistaan;
• mahdollisuus vastustaa tällaista päätöstä.

Riitatapauksessa operaattorin on osoitettava, että hän on noudattanut kaikkia lain vaatimuksia. Tämä tarkoittaa, että hänen on kerättävä ja säilytettävä huolellisesti tositteet.

Operaattorin velvollisuudet

Operaattorin velvollisuudet 18 artiklan mukaisesti sisältävät ensisijaisesti henkilötietojen toimittamisen kansalaisen pyynnöstä. Lisäksi toiminnanharjoittajan on "selvitettävä henkilötietojen aiheelle, millaisia ​​oikeudellisia seurauksia hän kieltäytyy antamasta henkilötietojaan", jos tämä velvollisuus on vahvistettu liittovaltion lainsäädännössä.

Asetuksen 20 artiklassa vahvistetaan erittäin tiukat määräajat, joiden mukaisesti toimijat voivat täyttää henkilötietojen aiheita koskevat pyynnöt (ne ovat paljon tiukempia, esimerkiksi ne, jotka on säädetty hiljattain annetussa laissa "Venäjän federaation kansalaisten valitusten käsittelyä koskevasta menettelystä"):

• tietojen toimittaminen - 10 työpäivän kuluessa pyynnön vastaanottamisesta;
• perusteltu hylkääminen - 7 työpäivän kuluessa.

Operaattorilla on vielä enemmän kysymyksiä, jos on tarpeen poistaa lain rikkomukset uuden lain 21 §: ssä säädetyssä määräajassa. Tietojen esto on tehtävä pyynnöstä tai pyynnön vastaanottamisesta ja rikkomusten poistamisesta 3 työpäivän kuluessa.

Joissakin tapauksissa toiminnanharjoittaja on velvollinen hävittämään henkilötietoja kolmen työpäivän kuluessa, eli:

• jos rikkomuksia ei poisteta,
• jos henkilötietojen käsittelyn tavoite saavutetaan, t
• jos henkilötietojen kohde peruuttaa suostumuksensa hänen henkilötietojensa käsittelyyn.

Sekä henkilötietojen estäminen että tuhoaminen voi olla vaikeaa (ja joskus mahdotonta) toteuttaa nykyisin käytössä olevissa tietojärjestelmissä ja tietokannoissa, jotka eivät aikaisemmin olleet antaneet tällaista mahdollisuutta.

Operaattorille on vielä vaikeampaa, jos hän ei saa henkilötietoja kansalaiselta, vaan kolmannelta osapuolelta.

Venäjän federaation liittovaltion lain "Henkilötiedot" 18 artiklan 3 kohta, päivätty 27. heinäkuuta. 2006 nro 152-FZ

Jos henkilötietoja ei ole vastaanotettu henkilöstä, jollei henkilötietoja toimiteta operaattorille liittovaltion lainsäädännön mukaisesti tai jos henkilötiedot ovat julkisesti saatavilla, toimijan on toimitettava henkilötietojaan koskevat seuraavat tiedot ennen tällaisten henkilötietojen käsittelyä:

1. toiminnanharjoittajan tai tämän edustajan nimi (sukunimi, etunimi, etunimi) ja osoite;
2. henkilötietojen käsittelyn tarkoitus ja oikeusperusta;
3. henkilötietojen käyttäjille;
4. tässä liittovaltion lainsäädännössä vahvistettujen henkilötietojen kohteen oikeudet.

Näiden sanojen takana on enemmän aikaa vievää työtä. Kysymys voi olla esimerkiksi siitä, miten tämä tieto tulisi antaa aiheelle? Onko mahdollista lähettää se postitse ja pidetäänkö tietoja annettuna, jos aihe ei ole saanut vastaavaa kirjettä?

Operaattorin velvollisuus 19 artiklan mukaisesti on myös varmistaa henkilötietojen turvallisuus niiden käsittelyn aikana. Häiriöiden välttämiseksi toiminnanharjoittajan organisaation olisi kehitettävä ja vakiinnutettava sääntelyasiakirjoihin kaikki organisatoriset ja tekniset tietoturvatoimet, jotka se on valmis toteuttamaan tietojärjestelmiensä sisältämien henkilötietojen suojaamiseksi.

Henkilötietojen käsittelyjärjestelmien valtion rekisteröinti

Laissa säädetään, että kaikkien henkilötietojen käsittelyä tekevien toimijoiden on ilmoitettava asiasta etukäteen valtuutetulle laitokselle (22 artikla), joka pitää kirjaa toimijoista erityisessä rekisterissä. Valtuutettu elin on 23 artiklan mukaisesti Venäjän federaation tietotekniikan ja viestinnän ministeriö, joka tällä hetkellä hoitaa "valvonnan ja valvonnan tehtäviä tietotekniikan ja viestinnän alalla". Ilmoituksessa on täsmennettävä yksityiskohtaisesti, mitä on tarkoitus tehdä henkilötietojen kanssa. Myös henkilötietojen käsittelyyn liittyvät muutokset on ilmoitettava valtuutetulle elimelle.

Henkilötietoja voidaan käsitellä ilmoittamatta siitä valtuutetulle elimelle seuraavissa tapauksissa:

• työsuhteiden läsnä ollessa;
• kun tehdään sopimus, johon henkilötietojen kohde kuuluu;
• jos henkilötiedot kuuluvat yleisen järjestön tai uskonnollisen järjestön jäsenille (osallistujille) ja niitä käsittelee asianomainen yleinen järjestö tai uskonnollinen järjestö;
• jos henkilötiedot ovat julkisesti saatavilla;
• jos henkilötietoihin sisältyy vain aiheiden nimet, sukunimet ja isäntä;
• rekisteröinnin yhteydessä;
• jos henkilötietoja on sisällytetty tietojärjestelmiin, joilla on liittovaltion lakien mukaan liittovaltion automaattisten tietojärjestelmien asema, sekä valtion tietoturvajärjestelmiä, jotka on luotu valtion ja yleisen järjestyksen turvallisuuden suojelemiseksi;

Lopuksi annamme toimijoille useita suosituksia. Henkilötietoja koskevan lainsäädännön vaatimusten täyttäminen ei ole kovin vaikeaa, jos tämä työ aloitetaan nyt odottamatta ensimmäisiä valituksia ja valituksia. Voit aloittaa seuraavista ilmeisistä toimenpiteistä:

• On suositeltavaa nimittää vastuuhenkilö, joka tarkastaa kaikki tämän lain täytäntöönpanoon liittyvät kysymykset organisaatiossa, ja suuryrityksille voidaan perustella erityiskomissiota.
• Kaikkia henkilötietoja sisältävän organisaation tietovaroja on:
  • määrittää heidän asemansa (jonka perusteella ne on luotu: lainsäädännön mukaisesti, sopimuksen toteuttamiseksi omasta aloitteestaan ​​jne.);
  • selkeyttää ja kirjata henkilötietojen ja niiden vastaanottolähteiden koostumus (kansalaiselta, julkisista lähteistä, kolmansilta osapuolilta jne.);
  • määritetään kunkin tietolähteen tietojen tallennusaika ja käsittelyaika;
  • määrittää käsittelymenetelmät;
  • tunnistaa henkilöt, joilla on pääsy tietoihin;
  • muotoilla oikeudellisia vaikutuksia;
  • määrittää pyyntöihin, mahdollisiin vastauksiin ja toimiin vastaamisen menettelyt, arvioida todettujen vastausten noudattamisen todellisuutta.

Tässä artikkelissa analysoidaan uutta henkilötietojen suojaa koskevaa lakia tietojenkäsittelyn alan asiantuntijoiden näkökulmasta, jota se pilaa paljon verta. Käytäntö osoittaa sen tehokkuuden, mutta nyt henkilökohtaisena tietosuojana arvioin luettelon viranomaisista, joille voin lähettää pyynnön antaa minulle lainmukaiset tiedot. Nyt minulla on oikeus!

1 Henkilöiden oikeuksien suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46 / EY IV luvun 25 artikla.

2 On mielenkiintoista, että jopa Yhdysvallat ei noudata tiukkoja eurooppalaisia ​​vaatimuksia, ja amerikkalaiset yritykset joutuvat käyttämään ns.

3 Henkilötietosuoja on henkilö, jonka henkilötietoja käsitellään.

4 "henkilötietojen arkistointijärjestelmä"

5 Luettelo liittovaltion omistukseen kuuluvien Venäjän federaation arkistorahaston asiakirjojen tallettamista koskevista liittovaltion toimeenpanoviranomaisista ja järjestöistä sisältää 18 organisaatiota: Venäjän sisäasiainministeriön, Venäjän ulkoministeriön, Venäjän puolustusministeriön, Venäjän SVR: n, Venäjän FSB: n, Venäjän liittovaltion huumeidenvalvontaviranomaisen, Venäjän FSIN: n, Venäjän FSIN: n, Venäjän FSIN: n, Rosatomin, Venäjän FSIN: n. Roskartografiya, Venäjän maataloustieteiden akatemia, Venäjän lääketieteen akatemia, Venäjän koulutusakatemia, Venäjän taideakatemia, Venäjän arkkitehtuurin ja rakennustieteiden akatemia, valtio Säätiö: All-Russian Research Institute of Hydrometeorologista tietoa - World Data Center, liittovaltion laitos "Televisio- ja radio-ohjelmien valtionrahasto", liittovaltion yhtenäinen tieteellinen tuotantoyritys "Venäjän liittovaltion geologinen rahasto", liittovaltion yhtenäinen yritys "Venäjän tieteellinen-tekninen keskus tiedot standardoinnista, metrologiasta ja vaatimustenmukaisuuden arvioinnista ”.

6 5 US C. § 552a (k) (1) ”Asiakirjat yksityisille - Erityiset poikkeukset - Arkistoasiakirjat”.

7 Operaattori - valtion elin, kunnallinen elin, oikeushenkilö tai luonnollinen henkilö, joka järjestää ja (tai) suorittaa henkilötietojen käsittelyä sekä määrittelee henkilötietojen käsittelyn tarkoituksen ja sisällön.

9 Data Protection Act 1998, 32 artikla.

11 Durant vs. Financial Services Authority (FSA).

12 Venäjän federaation kansalaisen passin käsittely- ja myöntämismenettelyä koskevien ohjeiden liite nro 1, diplomaattipassi ja palvelupassi, jotka ovat Venäjän federaation alueen ulkopuolelle Venäjän federaation ulkopuolella sijaitsevan kansalaisen henkilöllisyyttä osoittavat asiakirjat, jotka sisältävät sähköisen median (hyväksytty Venäjän federaation sisäasiainministeriön, Venäjän federaation ulkoministeriön määräyksellä) ja Venäjän federaation turvallisuuspalvelusta 6 päivänä lokakuuta 2006 nro 785/14133/461).