Какви са начините за обработка на лични данни?

В Кодекса на труда на Руската федерация има такъв термин като "лична информация на работещ човек". Данните за оперативния контингент трябва да бъдат предоставени на работодателя.

След разглеждане на личната информация работодателят взема решение за взимането на лице в компанията.

Информацията, която човек представя за себе си, трябва да бъде защитена. Разпространявайте го е забранено.

Уважаеми читатели! Нашите статии разказват за типичните начини за решаване на правни въпроси, но всеки случай е уникален.

Ако искате да знаете как да решите точно вашия проблем - просто се обадете, това е бързо и безплатно!

система

Личната информация за служителите трябва да бъде предмет на развитие.

Работодателят прилага следните изисквания към личните данни на работещите:

1. Процесът на обработване на лична информация за работещо лице се осъществява, за да се гарантира спазването на законите и нормативните актове. Благодарение на обработката на данни, можете да наемете човек, да му осигурите лична сигурност, да следите работата, която изпълнява.
2. Работодателят взема предвид обхвата, както и съдържанието на личната информация за работния контингент, който се обработва. Всички работодатели изучават и следват аспекти на Конституцията, други федерални закони.
3. Информацията за работния екип трябва да бъде получена директно от самите служители. Можете да получите информация за работещия човек от трета уста, но само с писменото съгласие на лицето. Работодателят информира служителите за своите цели и източници, от които ще се предоставя лична информация. Работодателят предупреждава за последствията в случай на отказ за предоставяне на лична информация от работещото лице.
4. Лице, което осигурява работа на своите служители, няма право на информация за всякакви видове убеждения от политическо, религиозно естество, както и за семейния живот на работника. Личният живот на служителя може да бъде посочен само с неговото съгласие. Споразумението трябва да бъде направено в писмена форма.
5. Работодателят не трябва да използва при обработването на информация за присъствието на заети лица в сдружения на членове, професионални съюзи. Но има ситуации, които са предвидени от Федералния закон.
6. Цялата лична информация трябва да бъде защитена и скрита от обществения контрол и употреба. Защитата на данните е предмет на условията на Федералния закон.
7. Работниците изучават документи, които принадлежат на институцията. Те трябва да разкрият смисъла и реда на процесите за обработка на лични данни на служителите.
8. Работните хора трябва да приемат защитата на личната си информация.
9. Самите работодатели, както и служителите, могат да работят заедно за разработване на начини за защита на личната информация на служителите.

Когато съобщава информация за служителите, директорът на предприятието трябва да спазва следните правила:

• Трета страна не трябва да знае за личните данни на всеки служител. Данните могат да се предоставят само в случаите, когато наетите лица са дали писменото си съгласие за използването на личната им информация. Но ако има някаква заплаха за препитанието, здравето на работния екип, личните данни могат да бъдат предоставени на други хора без писмено писмено съгласие;
• работодателят не трябва да публикува данни за екипа, който работи с него за целите на търговията;
• хората, които получават информация за служителите, трябва да я обработват в рамките на поверителността;
• прехвърлянето на информация за дадено лице се извършва само в една организация чрез специални вътрешни актове на институцията;
• информация за служителя има достъп само до специални упълномощени лица;
• няма нужда да се изисква информация за здравето на работещите лица. Искане може да бъде направено само в случаите, когато възниква въпросът дали трудещите се могат да упражняват трудовите си функции;
• личните данни на работния контингент могат да се събират, като се вземат предвид данните от Кодекса.

Работният контингент има право:

• запознаване с вашите лични данни и тяхната обработка;
• неограничен достъп до лична информация. На работещо лице могат да бъдат издавани копия от информационни данни. Но има ситуации, в които личната информация не се разкрива. Тези ситуации са описани във Федералния закон;
• медицински специалист може да види личните данни на служителите;
• възможността за коригиране или допълване на темите на личните данни.

Разграничават се следните видове обработка на лични данни:

1. Обработка на информация с помощта на компютърни технологии.
2. Не е автоматизирана обработка.
3. Информационна система, обработваща предоставените данни.

автоматизирано

Тази обработка се извършва с помощта на специална компютърна технология. Най-често срещаните изчислителни машини могат да бъдат:

• Електронен компютър;
• спомагателни устройства;
• периферни устройства;
• задължително инсталиран софтуер.

Non-автоматизирана

Най-подробното описание на неавтоматизираната обработка е записано в правителствен указ № 687.

Разпространението, изучаването и премахването на информация за действащия контингент трябва да се извършва с част от лице, а не с компютърна технология.

информация

Благодарение на информационната система се обработват специални категории лична информация за действащия контингент. Тази система обработва данни, засягащи членството на определена раса и пол, националност, политически възгледи, философски възгледи.

Благодарение на информационната система могат да се обработват:

• биометрични лични данни. Особено ако има характеристика на физиологични, биологични данни. Благодарение на получените характеристики е възможно да се оцени личността на работниците;
• споделени лични данни;
• други информационни данни. Пример за това са религиозни, национални идеи, философски възгледи, моменти от интимния характер на работния контингент и много други важни лични характеристики до здравословното състояние.

Така личната информация за всеки служител се съдържа във всички работодатели. Директорът в никакъв случай няма право да разпространява наличните данни за лицето.

Получената информация за действащия контингент може да се обработва по няколко начина: с помощта на компютърна техника, с помощта на лични сили, благодарение на информационната система за оценка.

Във всички случаи личните данни на всеки служител се разглеждат внимателно.

Начини за обработка на лични данни

По нареждане на Гражданския кодекс на Амурския регион

от 26 декември 2012 г., № 626

във връзка с обработката на лични данни

1. ОБЩИ РАЗПОРЕДБИ

1.1. Този документ (наричан по-долу "Политика") е систематично изложение на целите, принципите, методите и условията за обработка на лични данни, информация за изпълнените изисквания за обработка и защита на личните данни в ГКУ на Амурския край на Централната болница на свободата (наричан по-долу "Център по заетостта").

1.2. Политиката се основава на изискванията на Федералния закон на Руската федерация “За личните данни”, други нормативни актове на Руската федерация, установяващи процедурата за обработка и защита на личните данни. Политиката е публичен документ.

1.3. Съгласно Федералния закон от 27 юли 2006 г. № 152-ФЗ “За личните данни”, Центърът по заетостта е оператор на лични данни (наричан по-нататък “ДП”).

2. ОБРАБОТЕНИ ЛИЧНИ ДАННИ

2.1. Основни термини, използвани в Политиката:

· Лични данни - всяка информация, свързана с физическо лице (предмет на лични данни), определена или определена въз основа на такава информация, включително неговото фамилно име, собствено име, бащино име, година, месец, дата и място на раждане, адрес, семейство, социално, имущество длъжност, образование, професия, доход, друга информация;

· Обработка на лични данни - действия (операции) с лични данни, включително събиране, систематизиране, натрупване, съхранение, усъвършенстване (актуализиране, промяна), използване, разпространение (включително прехвърляне), обезличаване, блокиране, унищожаване на лични данни;

2.2. В рамките на тази политика обработените лични данни означава:

· Лични данни, предоставени от получатели на обществени услуги, кандидатстващи в Центъра по заетостта;

· Лични данни на служителите на Центъра по заетостта или кандидатите за свободни работни места;

3. ЦЕЛИ НА ОБРАБОТКА НА ЛИЧНИ ДАННИ

3.1. Целите на обработката на ДП в Центъра по заетостта са:

· Осигуряване на изпълнението на конституционните права на гражданите на Руската федерация за труд и социална защита срещу безработица чрез предоставяне на обществени услуги в областта на насърчаване на заетостта;

· Осигуряване на прилагането на конституционните права на гражданите за обжалване;

· Получаване на обективна оценка на състоянието на пазара на труда в състава на Руската федерация (по отношение на получателите на публични услуги по заетостта; безработни граждани; граждани, кандидатстващи в Центъра по заетостта с предложения, становища, жалби);

· Осигуряване на спазване на Конституцията на Руската федерация, закони и други нормативни актове, подпомагане на работниците при намиране на работа, обучение и повишаване за работа, повишаване на заетостта, осигуряване на лична безопасност на служителите, контрол на количеството и качеството на извършената работа, осигуряване на безопасността на собствеността и записване на резултатите от работата им задължения и безопасност на имуществото на Центъра по заетостта.

· Изпълнение на функциите на данъчен агент при предоставянето на стандартни данъчни облекчения (по отношение на членовете на семейството на служителите на Центъра по заетостта);

· Изпълнение на задължения по гражданскоправни договори (по отношение на лицата, извършващи работа, предоставяне на услуги по гражданскоправни договори с Центъра по заетостта).

4. ПРИНЦИПИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

4.1. Прилагане на обработката на ДП на законова и справедлива основа.

4.2. Ограничаване на обработката на ДП за постигане на специфичните, предварително определени и легитимни цели, посочени в раздел 2 на този документ. Не е позволено обработването на лични данни да е несъвместимо с целите на събиране на лични данни.

4.3. Предотвратяване на комбинацията от бази данни, съдържащи PD, които се обработват за цели, които са несъвместими помежду си.

4.4. Обработва само онези PDS, които отговарят на целите на тяхната обработка.

4.5. Съответствие със съдържанието и обема на ПД, обработени с посочените преработвателни цели.

4.6. Недопустимост на съкращенията, обработвани от ДП във връзка с посочените цели на тяхната обработка.

4.7. Гарантиране на точността на PD, тяхната достатъчност и, ако е необходимо, и уместност във връзка с целите на обработката на PD.

4.8. Уверете се, че са взети необходимите мерки за премахване или усъвършенстване на непълни или неточни данни.

4.9. Извършването на съхраняване на ДП във форма, която позволява да се определи субект на ДП, не е по-дълго от целта на обработката на ДП изисква, ако срокът за съхранение на ДП не е определен от федералния закон, договорът, към който субектът на ДП е бенефициент или гарант. Подлежащите на обработка ДП подлежат на унищожаване или обезличаване при постигане на целите на обработката или в случай на загуба на необходимостта от постигане на тези цели, освен ако федералният закон не предвижда друго.

5. МЕТОДИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

5.1. Центърът по заетостта обработва ПД по следните начини:

· Неавтоматизирана обработка на PD (на хартия);

· Автоматизирана обработка (в ISPDn с използване и без използване на автоматизирано оборудване), включително: с и без пренос през локалната мрежа на Центъра по заетостта; с и без предаване по интернет;

· Смесена обработка на PD.

5.2. Центърът по заетостта може самостоятелно да избере методите за обработка на ДП в зависимост от целите на тази обработка и собствените си материални и технически възможности.

6. УСЛОВИЯ ЗА ОБРАБОТКА НА ЛИЧНИТЕ ДАННИ

6.1. Обработването на ПД се извършва в съответствие с принципите и правилата, предвидени от Федералния закон “За личните данни”.

6.2. Обработката на ПД е разрешена в случаите, предвидени от Федералния закон “За личните данни”.

6.3. Центърът по заетостта има право да възложи обработването на ДП на друго лице със съгласието на субекта на ДП, освен ако не е предвидено друго от федералния закон, въз основа на договор, сключен с това лице, включително държавен или общински договор, или чрез приемане на съответния акт от държавния или общинския орган (наричан по-нататък ).

6.4. Ако Центърът по заетостта възложи обработването на ДП на друго лице, отговорността пред субекта на ДП за действията на това лице се поема от Центъра по заетостта. Лицето, което обработва личните данни от името на Центъра по заетостта, отговаря пред Центъра по заетостта.

7. ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ

7.1. Центърът по заетостта и други лица, получили достъп до ДП, са длъжни да не разкриват на трети лица и да не разпространяват ДП без съгласието на субекта на ДП, освен ако федералният закон не предвижда друго.

8. СЪГЛАСИЕ ЗА ПРЕДМЕТ НА ЛИЧНИ ДАННИ ЗА ОБРАБОТКАТА НА ЛИЧНИТЕ ДАННИ

8.1. Субектът на ДП взема решение за предоставянето на личните си данни и се съгласява да ги обработва свободно, по собствено желание и в своя интерес.

8.2. Съгласието за обработка на ДП трябва да бъде конкретно, информирано и съзнателно.

8.2. Съгласието за обработка на ДП може да бъде дадено от субекта на ДП или негов представител във всякаква форма, която позволява да се потвърди фактът на получаването му, освен ако не е предвидено друго от федералния закон.

8.3. В случай на получаване на съгласие за обработване на лични данни от представител на субекта на лични данни, правомощието на този представител да дава съгласие от името на субекта на лични данни се проверява от Центъра по заетостта.

8.4. Съгласието за обработка на ДП може да бъде отменено от субекта на ДП. В случай на оттегляне от субекта на ДПН на съгласие за обработване на ДП, Центърът по заетостта има право да продължи обработването на лични данни без съгласието на субекта на ДП, ако има основания, посочени в точки 2—11 от част 1 на чл. 6, част 2 на чл. 10 и чл. ".

8.5. В случаите, предвидени от федералния закон, обработката на ДП се извършва само с писмено съгласие на субекта на ДП. Писменото съгласие се признава за еквивалентно на електронен документ, подписан от електронния закон, подписан в съответствие с федералния закон.

8.6. Личните данни могат да бъдат получени от Центъра по заетостта от лице, което не е обект на лични данни, при условие, че Центърът по заетостта потвърди наличието на основанията, посочени в точки 2—11 от част 1 на чл. 6, част 2 на чл. 10 и чл. ".

9. ИЗПЪЛНЕНИЕ НА ПРАВАТА НА СУБЕКТИТЕ НА ЛИЧНИТЕ ДАННИ

9.1. При обработката на ДП Центърът по заетостта осигурява необходимите условия, за да може ДП свободно да упражнява правата си.

9.2. Субектът на ДП има право на достъп до личните си данни.

9.3. Обект на ДП има право да получава информация относно обработването на личните му данни, съдържаща: потвърждение на факта за обработка на ПД от Центъра по заетостта; правни основания и цели на обработката на ДП; целите и методите за обработка на ДП, прилагани от Центъра по заетостта; името и местонахождението на Центъра по заетостта, информация за лица (с изключение на служителите на Центъра по заетостта), които имат достъп до лични данни или които могат да разкриват лични данни въз основа на споразумение с Центъра по заетостта или на основание федерален закон; ДП, обработени от съответния субект на ДП, източник на тяхното получаване, освен ако не е предвидена друга процедура за подаване на такива данни от федералния закон; Време за обработка на PD, включително време за съхранение; процедурата за упражняване от субекта на ДПН на правата, предвидени от Федералния закон “За личните данни”; информация за завършен или планиран трансграничен трансфер на данни; името или фамилията, името, името и адреса на лицето, което извършва обработката на PDN от името на Центъра по заетостта, ако обработката е поверена или ще бъде поверена на такова лице друга информация, предвидена от федералните закони.

9.4. Правото на PD, подлежащо на достъп до неговите лични данни, може да бъде ограничено в случаите, изрично предвидени от федералните закони.

9.5. Субектът на ДП има право да защитава своите права и законни интереси, включително обезщетение за вреди и (или) обезщетение за морални щети в съда.

9.6. Ако субект на ДП смята, че Центърът по заетостта обработва неговото ПД в нарушение на изискванията на Федералния закон “За личните данни” или по друг начин нарушава неговите права и свободи, субектът на ДП има право да обжалва действията или бездействието на Центъра по заетостта към упълномощения орган за защита на правата на лицата от ДП или съдебна заповед.

10. ИНФОРМАЦИЯ ЗА МЕРКИТЕ, ИЗПЪЛНЕНИ от Центъра по заетостта

ЦЕЛ ЗА ОСИГУРЯВАНЕ НА ИЗПЪЛНЕНИЕТО НА ОТГОВОРНОСТИТЕ, СВЪРЗАНИ С ОБРАБОТКАТА НА ЛИЧНИ ДАННИ

10.1. Центърът по заетостта, когато обработва ДП, изпълнява задълженията си като оператор на ДП, предвиден от Федералния закон “За личните данни”.

10.2. Центърът по заетостта предприема необходимите и достатъчни мерки, за да осигури изпълнението на задълженията, предвидени в този Федерален закон и нормативните актове, приети в съответствие с него.

10.3. Центърът по заетостта самостоятелно определя състава и списъка на мерките, необходими и достатъчни, за да осигури изпълнението на задълженията, предвидени в този Федерален закон и нормативните актове, приети в съответствие с него, освен ако федералните закони не предвиждат друго.

10.4. Центърът по заетостта предоставя неограничен достъп до този документ (Политика), до информацията за действителните изисквания за защита на ПД чрез публикуване на официалния уебсайт на Областна дирекция за заетост в област Амур на http: // zanamur. ru, GKU на Амурския край на Централната болница на гр. Свободния на адрес http://svobzan.amur.ru.

11. ИНФОРМАЦИЯ ЗА ИЗПЪЛНЕНИЕТО НА ЦЕНТРОВЕ ЗА ЗАЕТОСТ НА МЕРКИТЕ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРИ ТЕХНИЧЕСКАТА ОБРАБОТКА

11.1. Центърът по заетостта при обработката на ДП осигурява приемането на необходимите правни, организационни и технически мерки за защита на ДП от незаконен или инцидентен достъп до тях, унищожаване, модифициране, блокиране, копиране, предоставяне, разпространение на ПД, както и от други незаконни действия по отношение на ПДН.

11.2. С цел защита на личните данни Центърът по заетостта прилага изискванията за защита на личните данни, когато те се обработват в информационни системи за лични данни, установени от правителството на Руската федерация.

11.3. Осигуряването на сигурност на ДП се постига от Центъра по заетостта, по-специално:

· Идентифициране на заплахи за безопасността на личните данни, когато те се обработват в ISPDN на Центъра по заетостта;

· Използване на организационни и технически мерки за осигуряване на безопасността на личните данни, когато те се обработват в ISPDN на Центъра по заетостта, необходими за спазване на изискванията за защита на личните данни, изпълнението на които се осигурява от нивата на защита на личните данни, установени от правителството на Руската федерация;

· Използването на мерките за информационна сигурност, които се изпълняват по предписания начин;

· Оценка на ефективността на мерките, предприети от Центъра по заетостта за осигуряване на безопасността на личните данни преди въвеждането в експлоатация на СДПН;

· Отчитане на машинните носители на ПП на Центъра по заетостта;

· Откриване на факти за неразрешен достъп до PDN и предприемане на действия;

· Възстановяване на PDN, модифицирано или унищожено в резултат на неоторизиран достъп до тях;

· Създаване на правила за достъп до PDN, обработени в SPDN на Центъра по заетостта, както и осигуряване на регистрация и записване на всички действия, извършени по PDN в SPDN в Центъра по заетостта

· Контрол на предприетите мерки за осигуряване на безопасността на личните данни и нивото на сигурност на ИСПНД на Центъра по заетостта.

11.4. Информация за предприетите от Центъра по заетостта мерки за защита на личните данни е ограничена информация.

12. Промяна на политиката. Приложимо право

12.1. Центърът по заетостта има право да прави промени в тази политика.

12.2. Когато се правят промени в заглавието на Политиката, се посочва датата на последната актуализация на ревизията.

12.3. Новата версия на Политиката влиза в сила от момента на публикуването й на уебсайта на Амурската областна дирекция по заетостта, освен ако не е предвидено друго в новата версия на Политиката.

Начини за обработка на лични данни

Въпрос-отговор по темата

въпросът

Какво е свързано с методите за обработка на лични данни и какво е свързано с действия с лични данни?

Отговорът

Съгласно клауза 9 от Наредбата на Роскомнадзор от 19 август 2011 г. № 706, методите * включват:

- неавтоматизирана обработка на лични данни;

- изключително автоматизирана обработка на лични данни с или без прехвърляне на получената информация по мрежата;

- смесена обработка на лични данни (бележка N 4).

И към действията в съответствие с чл. 3 от Федералния закон от 27.07.2006 г. № 152-ФЗ.

- изясняване (актуализиране, промяна);

- разпространение (включително предаване);

- унищожаването на лични данни.

Обосновката за тази позиция е дадена по-долу в материалите на „Системен адвокат“.

• ФЕДЕРАЛЕН ЗАКОН от 27.07.2001г. № 152-ФЗ "ЗА ЛИЧНИ ДАННИ"

„Обработката на лични данни е всяко действие (операция) или набор от действия (операции), извършвани с използване на средства за автоматизация или без използването на такива средства с лични данни, включително събиране, записване, систематизиране, натрупване, съхранение, усъвършенстване (актуализиране, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп), обезличаване, блокиране, заличаване, унищожаване на лични данни “

• ПОРЪЧКА НА РОСКОМНАДЗОР ОТ 19 август 2011 г. № 706

"Полето" списък с действия с лични данни, общо описание на използваните от Оператора методи за обработка на лични данни "* посочва действията, извършени от Оператора с лични данни, както и описание на използваните от Оператора методи за обработка на лични данни:

- неавтоматизирана обработка на лични данни;
- изключително автоматизирана обработка на лични данни с или без прехвърляне на получената информация по мрежата;

- смесена обработка на лични данни (Приложение № 4) Бележка Н 4. При автоматизирана обработка на лични данни или смесена обработка е необходимо да се посочи дали информацията, получена при обработването на лични данни, се предава по вътрешната мрежа на юридическото лице (информацията е достъпна само за точно определени служители на юридическото лице) ) или информацията се предава чрез публичния интернет или без да се предава получената информация. "

* Така подчертана част от материала, която ще ви помогне да вземете правилното решение.

Likbez относно личните данни на компаниите, които ги обработват

Условия, нюанси и чести заблуди - в материала от експертите на службите за сигурност на компанията "Onlanta" (включени в групата на компаниите LANIT).

Ние разбираме правната терминология и самите нюанси, за които можете да бъдете в съда.

Обяснете термините в човешкия език

Основен закон, който регламентира отношенията, свързани с обработването на лични данни, е Федералният закон от 27 юли 2006 г. № 152-ФЗ “За личните данни”.

Първият термин, който трябва да се разбира, са личните данни.

Какво представляват личните данни

Това е всяка информация, която може да се използва за идентифициране на лице: например, пълно име, дата на раждане, образование, доход и дори семейно положение. Вие питате: "А какво, моето фамилно име, отпечатано на визитната картичка, също са лични данни?"

Отговор: "Да." По закон, няма значение дали името ви е отпечатано на визитната картичка или в комбинация, например с телефонен номер и адрес. И първата, и втората, и третата - личните данни. Вярно е, че съхранението на визитни картички или телефонни номера на момичетата в телефонния указател няма да трябва да се отговаря от закона, а повече от това по-долу.

Давай. Медиите постоянно пишат "съхранение на лични данни". Правилно казано, не съхранението, а обработката на лични данни. Каква е разликата? Съхранението е само част от това, което се нарича обработка на лични данни. Всички действия, които извършвате с лични данни (събиране, натрупване, съхраняване, прехвърляне, промяна), се определят от закона като „обработка на лични данни“.

Важно е да се разбере, че законът разграничава два субекта на лични данни: оператора и обработващия. Операторът извършва обработката на лични данни, както и определя целта на обработването им, състава на личните данни, които ще се обработват, действията (операциите), извършени с лични данни.

Ръководителят е човек, който извършва действия с лични данни: събиране, съхраняване, организиране, акумулиране, актуализиране, актуализиране, изтриване, обезличаване и т.н.

Всъщност, един манипулатор е не само краен потребител, който се нуждае от лични данни за работа, но и всеки междинен потребител, чрез чиито ръце е преминал този личен документ. Покажете на практика.

задача

Онлайн магазинът има база данни на клиентите, която се намира в "облака" на трета компания. С тази база работи маркетингова агенция. Въпрос: Колко оператори на лични данни имаме?

Правилният отговор е един. Това е онлайн магазин, който определя целите на обработката на лични данни. Вторият въпрос е: колко процесори за лични данни имаме? Правилният отговор е два.

1. Фирма, която има онлайн база данни в своя облак.
2. Маркетингова агенция, която извлича данни и въз основа на тези данни може да подготви промоционална оферта за клиентите.

Личните данни се обработват в много различни институции: например в банки, училища, клиники, визови центрове. Да не говорим за уеб страниците, където се регистрираме, оставяйки нашите имейл адреси и телефонни номера. Но как и къде точно?

нюанс

В закона има такъв неясен термин като „информационна система за личните данни“. Ако се опитате да обясните с прости думи - това е цял комплекс, състоящ се от сървъри за бази данни, технически средства за осигуряване на тяхната обработка и информационни технологии. В съответствие със закона всяка информационна система за лични данни трябва да бъде защитена.

Методите за защита на информацията са различни.

• Физически: например в помещението, където са разположени компютрите, могат да бъдат инсталирани камери, контрол на достъпа, алармени системи.
• Технически - използване на специализирани средства за защита на информацията.
• Административен: всички видове правила и правила, регулиращи обработката на лични данни в компанията.

пример

Едно от средствата за защита на информацията е обезличаване на личните данни. Какво е това? В визовия център на всяко лице, което кандидатства за виза, се дава отделен идентификационен номер. Самият номер не се отнася за лични данни, тъй като той лишава от личността: не е възможно да се идентифицира лицето, което е кандидатствало за виза.

Изглежда, че обработвам лични данни.

Така че, с терминологията подредени. Сега всички представители на бизнеса, особено индивидуалните предприемачи, които могат да имат само няколко служители в персонала, трябва да отговорят честно на въпроса: „Обработвам ли лични данни?“

Да, ако сте собственик на сайт с посещаемост от пет души седмично, но той има формуляр за обратна връзка с полетата "име, имейл адрес, телефонен номер". Информацията за целите, за които събирате лични данни, как я използвате, трябва да бъде представена на уебсайта Ви.

Да, ако обработвате личните данни на вашите служители или специалисти от трети страни, наети да извършват някаква работа.

Да, ако работите с частни клиенти и имате нужда от паспортни данни за сключване на договори - това се отнася за туристически агенции, фитнес центрове, различни сервизни компании, онлайн магазини и др.

И отново, да, ако сте бюджетна организация, политическа партия или детска градина. Последните имат не само информация за детето, но и за неговите родители, включително мястото на работа и длъжността. Да не говорим за медицинските институции - има море от лична чувствителна информация, която трябва да се съхранява на сигурно място.

Въпреки това, ако използвате данни за лично общуване без търговска изгода, изискванията на законодателството не се отнасят за вас и не става въпрос за никаква наказателна отговорност.

Например, използването на контакти, отпечатани на визитна картичка, която сте получили от колега, или телефонни номера в тетрадка на смартфон, информацията в социалните мрежи не ви налага отговорността пред закона.

Основното е да не се разкриват данни на рекламодателите и да не се публикуват без разрешение на собствениците на лични данни в публичното пространство.

Определете категорията на личните данни

Поздравления, вие сте гордият собственик на титлата „оператор на лични данни“. Най-важното сега е да разберем точно кои лични данни обработвате. Защото това зависи от категорията на личните данни, как да се защитят данните и какви изисквания трябва да бъдат изпълнени. Категориите са подробно описани във Федералния закон-152 и в постановлението на правителството от 1 ноември 2012 г. N 1119

Категории лични данни с прости думи:

Общо достъпни лични данни: данни от отворени ресурси, които се публикуват от субекта на личните данни или с неговото одобрение. Публично достъпни данни са данни от медиите или интернет.

Пример: информация, публикувана в отворен достъп в социалните мрежи или на уебсайта на фирмите. Телефонният номер и семейното състояние са публикувани в публичния достъп до Facebook. Името на служителя и неговата позиция на интернет страницата на работодателя.

Биометрични лични данни: тази категория включва всички данни за физиологичните и биологичните характеристики на хората.

Пример: тегло, височина, цвят на очите или косата, дължина на косата, кръвна група, снимка.

Лични данни от специална категория: това включва информация за принадлежност към всяка раса и нация, политически възгледи, религиозни и философски убеждения, здравословно състояние или интимен живот.

Пример: медицинска диагноза (информация за това, с което сте се разболявали, кога, кой лекар е лекувал).

Лични данни от други видове - това включва лични данни, които не са включени в горните категории.

Пример: корпоративна информация. Счетоводни карти за служители, които съдържат информация, с която HR и счетоводна работа: заплата, ваканционни периоди, дати на заетост.

Категория, брой, вид заплахи - ниво на защита

След като вземете решение за категорията на личните данни, трябва да разберете точното количество данни, които обработвате: до 100 хиляди или над 100 хиляди.

Открихме категорията и количеството, определихме вида на заплахата:

Заплахи номер 1. "Дупки" и уязвимости в операционната система. Пример: уязвимости, които хакерите използват, за да проникнат в операционната система, за да крадат информация.

Заплахи номер 2. "Дупки" и уязвимости в приложния софтуер, т.е. в софтуера, който се използва в ежедневната ви работа. Пример: Word, Excel.

Заплахи номер 3. Всички други заплахи, които не са изброени в първите два вида. На първо място, човешкият фактор. Служител може да остави документ отворен на отключен компютър, да изпрати документ за печат на някой друг принтер или по електронна поща.

Размерът на личните данни, категорията, вида на заплахите - всички заедно ви позволяват да определите какво ниво на защита се изисква за вашата информационна система. Сега има четири нива на защита.

Първото и най-високо ниво на защита най-често се използва за обработка на лични данни в държавни агенции и медицински институции. Четвъртото ниво на защита е най-лесно да се осигури, понякога е достатъчно да се проведат организационно регулаторни мерки, главно по отношение на защитата на публично достъпни данни.

Можете да определите нивото на защита, като използвате тази таблица.

пример

Болницата обработва личните данни на своите пациенти - това са личните данни на специална категория. Също така обработва лични данни на служителите - това са лични данни от друга категория. Най-вероятно болницата разполага с две бази данни. Ако добавите и двете бази данни, ще получите общия брой лични данни, които се въртят в информационната система на тази болница.

Например, всички от тях - до 100 хиляди. След това разглеждаме как се обработват данните: автоматизирани (в компютър) или неавтоматизирани (в ръчен шкаф за файлове). Ако всичко е автоматизирано, ние разглеждаме какъв софтуер използва болницата, какви уязвимости има.

Въз основа на това се идентифицират заплахите и тяхното ниво. Събираме всички фактори и получаваме клас за защита от второ ниво. Разглеждаме какви са изискванията на закона към второто ниво на сигурност. Въз основа на тези изисквания ще е необходимо да се изгради защита на информационната система, която да отговаря на изискванията на Федералния закон.

Малко за опасността от изтичане на лични данни

Защо изобщо се занимаваме със защитата на личните данни? Личните данни са скъп продукт на черния пазар. Измамниците са готови да платят впечатляващи суми за профил, съдържащ пълните подробности за медицинското досие на дадено лице. Отделен пазар - продажба на данни за банкови карти; сметки в социалните мрежи.

Последиците от изтичането на лични данни са различни. Данните могат да бъдат публично достъпни в Интернет: например лесно можете да намерите откраднати бази данни с адреси и телефонни номера на клиенти на компаниите в мрежата. Познавайки името и фамилията, всеки може да открие домашния адрес на дадено лице, да влезе в социалната мрежа, да прегледа профил или просто да напише SMS на мобилен телефон.

Личните данни могат да попаднат в базата данни с досадни съобщения на някаква търговска организация, след което техният собственик ще бъде претоварен с нежелани оферти за услуги. Те могат да се използват и от онлайн измамници за онлайн казина или за отваряне на електронен портфейл.

В най-лошия случай нападателят може да се представя за друго лице и да вземе кредит за името на някой друг. Най-сериозните последици от изтичането на лични данни са: незаконни действия с недвижими имоти, кражба на пари от банкови карти, изнудване на роднини и регистрация на фирма.

Тежест на отговорността

Разбирате ли значението на въпроса и сте готови да носите отговорност? Точно така. Защото отговорността за безопасността на личните данни е изцяло за оператора.

Това означава, че операторът трябва да се погрижи информацията да не попадне в публичен достъп или да не попада в ръцете на трети страни, които нямат никакви права върху нея. Това изисква непрекъснато наблюдение и предотвратяване на заплахите за сигурността на данните, контрол върху нивото на информационната сигурност и нейното възстановяване в случай на загуба.

В нашата страна Роскомнадзор следи за спазването на законодателството в областта на обработката на лични данни. Този орган отговаря на жалби, регулира отношенията между субектите и операторите.

Техническите изисквания за защита на информацията са отговорност на FSTEC и на FSB: те разработват изисквания и контролират тяхното изпълнение.

Изисквания за обработка на лични данни

И сега е време да проучим таблиците с изискванията за техническа защита на личните данни. Подробности могат да бъдат намерени в заповед на Федералната служба за технически и експортен контрол от 18 февруари 2013 г. N 21.

Но поне започнете с това:

1. Регистрирайте се с Роскомнадзор като оператор на лични данни. Изисква се да се прилага към Роскомнадзор на хартиен или електронен носител. Информация за връзката.
2. Получете писмено съгласие от всички лица, чиито лични данни се обработват. Съгласието за обработка на лични данни е основният правен документ, който потвърждава законността на обработката на лични данни.
3. Разработване на вътрешна документация. Въвеждане в експлоатация със заповед на ръководителя на организацията "Правилник за обработка на лични данни". В този документ операторът обяснява как планира да използва лични данни, за какво и къде ще бъдат прехвърлени. Това е основен документ, който се изисква от всеки оператор на лични данни. Въз основа на това се разработват всички други административни документи.

Много собственици на сайтове смятат, че ако посетител натисне бутона „Съгласен съм с обработката на лични данни“, няма да има никакви правни проблеми и обработката на данни автоматично ще попадне в правната област. Не е така.

От правна гледна точка има само два начина да потвърдите съгласието си за обработка на лични данни: да поставите подпис на хартия или да използвате електронен цифров подпис.

Във всички останали случаи, ако делото се обърне към съда, собственикът на сайта няма да може да потвърди кой точно е натиснал бутона "Съгласен съм". Човек може само да се надяваме, че субектът, който е дошъл на сайта ви, доброволно предава данните си и не подава жалба.

Наистина ли има чек?

Да, проверките могат да бъдат от Роскомнадзор.

Roskomnadzor ежегодно публикува списък на проверките избирателно от списъка на регистрираните оператори, ако една компания е включена в списъка на проверките, тогава следващата планова проверка е възможна не по-рано от три години. Можете да видите дали вашата компания е в списъка тази година тук.

Проверките извън плана обикновено се причиняват от оплаквания. Ако проверката не е планирана, трябва да бъдете предупредени в рамките на 24 часа в писмена форма.

Може да има и документални проверки. При документирането ще изпратите списък с документи, копия от които ще трябва да бъдат изпратени на Роскомнадзор.

Понякога Роскомнадзор извършва проверки на място: инспекторите лично правят посещения, за да проверят компанията на място.

Подготовката за някоя от тези проверки е трудна задача. Ще решите лично задачата да се подготвите за инспекцията или ще включите външни специалисти, първо трябва да определите кой в ​​компанията ще отговаря за спазването на FZ-152.

Глоби, съдилища и други ужаси

За нарушение на 152-ФЗ се предвижда гражданска, наказателна, административна и дисциплинарна отговорност.

Така Роскомнадзор е извършил проверка, ако установи несъответствия със закона, ще издаде заповед пред разследващата комисия за провеждане на процес по факта на нарушение на закона „За личните данни“.

След това прокуратурата ще започне проверка, по време на която ще може да преустанови дейността на компанията: да изтегли базата данни на компанията, по-специално компютрите, на които са обработени личните данни.

Нарушителите на закона чакат главно глоби. Размерът на глобите варира в зависимост от престъплението. Така за обработването на лични данни без писменото разрешение на юридическите лица ще трябва да понесе административна отговорност.

Дори ако операторът е готов да плати глоба, но по стандартите на големия бизнес, това не изглежда огромно, нарушителят все още ще трябва да елиминира несъответствието пред закона (например да изтрие съхранените данни) и да уведоми Роскомнадзор.

Най-лошият сценарий е, ако Роскомнадзор реши да отмени лиценза на компанията, да забрани на бизнеса да обработва лични данни и незаконно да публикува лични данни на гражданите.

През последните няколко години най-силният скандал в Русия беше свързан с блокирането на LinkedIn, чиито собственици бяха обвинени в обработване на лични данни на граждани без тяхното съгласие на сървъри извън Руската федерация. Блокирането на услугата autonum.info също „направи шумове“.

Колко ще ми струва пари и сила

Можете да организирате обработката на лични данни самостоятелно или с помощта на компания, която предоставя такава услуга.

Ако решите сами да обработите лични данни, ще ви е необходимо:

1. Разберете каква категория лични данни обработвате и какви са техническите изисквания за тяхната защита.
2. Самостоятелно или с помощта на ИТ компания, разработват технически решения, подготвят покупки на необходимото оборудване и софтуер, инсталират и изпълняват.
3. Издайте всички правни документи. Разработване на набор от вътрешни документи: инструкции и регламенти.

В най-добрия, това ще отнеме три до четири месеца, на цената на такова изпълнение, тя може да бъде 200-300 хиляди рубли - това е цената на закупуване на оборудване и лицензи. Разходите за труд и допълнителната подкрепа на информационната система са отделни разходни пера. Вие също ще се нуждаете от администратор, който ще следи работата на системата.

Говорейки обективно, много малки компании просто не изпълняват всички изисквания на закона с надеждата, че няма да има проверка. Може би наистина няма. Други фирми създават „Потьомкински села“ само като се преструват, че обработват лични данни в съответствие с изискванията на закона, т.е. „купуват“ необходимите документи.

В следващата статия ще покажем как да изчислим разходите за обработка на лични данни в една компания и да ви кажем кога е по-изгодно да се обработва лична информация и кога е по-добре да я депозирате в облака.

Материалът се публикува от потребителя. Натиснете бутона "Напиши", за да споделите мнението си или да говорите за вашия проект.

Закон за личните данни: последици за работата в офиса

• Храмцовска Наталия | Кандидат по исторически науки, водещ експерт по управление на документи в EOS Company, ISO Expert, член на Международния съвет на архивите

Търсите основната причина

Федералният закон на Руската федерация № 152-ФЗ “За личните данни” е приет на 27 юли 2006 г. и на фона на други нерешени събития от миналата година почти незабелязано. Официалната причина за неговото приемане бяха многобройните факти за кражби на бази от лични данни в държавни и търговски структури и широкото им разпространение. Всъщност основната цел на приемането на този закон беше необходимостта от премахване на някои пречки пред търговията със страните от Европейския съюз.

Франция забрани публикуването на факти за неприкосновеността на личния живот и наложи глоби за нарушителите през 1858 г.

Норвежкият наказателен кодекс забрани публикуването на информация, свързана с "лични или лични дела" през 1889 г.

Вътрешното законодателство “За личните данни” от 27 юли 2006 г. № 152-ФЗ започна да функционира на 26 януари тази година (съгласно чл. 1, чл. 25, законът влиза в сила 180 дни след официалното публикуване, което се състоя на 29 юли 2006 г. в "Rossiyskaya Gazeta").

Съгласно Директива 95/46 / ЕО на ЕС личните данни могат да бъдат прехвърляни само в държави, които предоставят същото ниво на защита, както в Европа. Това значително възпрепятства обмена на информация от европейските правителствени агенции и компании с техните чуждестранни партньори, което прави невъзможно за многобройни търговски обещаващи проекти. Такива ограничения имаха не само Русия и страните от третия свят, но и икономическо чудовище като Съединените щати. Така нашето правителство реши да преодолее тази бариера. Нека да видим как го е направил и какво ще ни струва всички.

Приемането на руския закон за личните данни е резултат от присъединяването на Руската федерация към Европейската конвенция от 1981 г. за защита на личността във връзка с автоматичната обработка на лични данни, която определя основните принципи за защита на личните данни в европейските страни. Тази конвенция и последващите директиви на Европейския съюз очертаха задачите, които националното законодателство следва да разглежда при регулирането на личните данни:

• защита на личните данни от неоторизиран достъп до тях от други лица, включително представители на държавни органи и служби, които нямат необходимия орган;
• осигуряване на безопасността, целостта и надеждността на данните в процеса на работа с тях, включително предаване по комуникационни канали;
• осигуряване на подходящ правен режим на тези данни при работа с тях за различни категории лични данни;
• осигуряване на контрол върху използването на лични данни от гражданите;
• създаване на специална независима структура, която да осигурява ефективен контрол върху спазването на правата на гражданите за защита на личните му данни (например създаването на длъжността комисар за защита на личните данни).

Нашият закон в голяма степен повтаря основните разпоредби на европейското законодателство в тази област, което се счита за едно от най-трудните в света. Въпреки че през 2006 г. законът се говори доста често, малцина внимателно четат съдържанието на неговите разпоредби. Но за да се осигури съответствие с неговите изисквания, е необходимо значително да се промени работата с информация и документация, съдържаща лични данни. Нека се опитаме да разберем какво е новото в областта на управлението на документи и информация в организацията?

• Във всички организации има нов, доста обемен слой от документация. Това са документи, свързани с получаване на съгласие от физически лица за обработване на техните лични данни, с регистрация на бази данни в оторизирания орган, с документиране на всички транзакции с лични данни и др.
• Необходимо е да се подчертаят документи и информация, съдържащи лични данни; тяхното специално етикетиране на хартиен и електронен носител; отделно отчитане и проследяване на достъпа. Може да се говори за появата на друг вид достъп до документите.
• Основно променящ се подход към установяването на съхранението на документи и информация. За първи път във вътрешната практика е установен максималният период на съхранение и условният период, който ще бъде доста труден за наблюдение и проследяване.
• При работа с лични данни е необходимо предварително да се обмисли ясно и да се запише в нормативните документи, които са свързани с тяхната обработка. В противен случай организацията може да бъде подведена под отговорност, а още по-неприятно може да има многобройни съдебни дела от самите субекти на личните данни 3.
• Законът въвежда много строги срокове за изпълнение на всички жалби на граждани, свързани с обработката на лични данни.

Нека сега разгледаме по-подробно най-важните разпоредби на закона и да преценим какви организации и институции ще трябва да предприемат, за да го приложат. Освен това ще се опитаме да анализираме някои разпоредби на закона по отношение на тяхната коректност и яснота.

Обхват на закона

Първият въпрос: към кого се прилага този закон? В отговор на това можем спокойно да кажем, че то важи за всички без изключение (за държавни институции, юридически и физически лица). Ето списък на член 1:

• федерални държавни органи
• държавни органи на субектите на Руската федерация,
• други държавни органи
• местните власти,
• общинските органи, които не са част от системата на местното самоуправление,
• юридически лица
• физически лица.

Вторият важен въпрос е обхватът на закона.

Член 1 от Федералния закон на Руската федерация "За личните данни" № 152-ФЗ от 27 юли 2006 г. t

Този федерален закон регламентира отношенията, свързани с обработването на лични данни... с използването на средства за автоматизация или без използване на такива средства, ако обработката на лични данни без използване на такива средства съответства на естеството на действията (операциите), извършвани с лични данни чрез средства за автоматизация.

Формулировката на тази статия е пример за това как да не пишем закони. Оказа се, че е нещо неразбираемо, позволявайки различни интерпретации. Как, на базата на такъв текст, да отговори, например, на въпроса дали данните, включени в свободна форма в бизнес тетрадка, попадат в приложното поле на закона? Ако такъв бележник се съхранява в компютър или в мобилен телефон, счита ли се за „използване на оборудване за автоматизация“?

Европейското законодателство в това отношение е по-ясно: t

Директива на ЕС 95/46 / EC 1995

Член 2 "Определения": t

в) „система за съхранение на лични данни“ 4 („система за съхранение“) е всеки структуриран набор от лични данни, до който може да се осъществи достъп съгласно определени критерии - независимо от начина на организиране на набора от данни, независимо дали е централизиран, децентрализиран или разпределен; на функционална или географска основа...

Член 3 "Обхват": t

1. Настоящата директива се отнася до обработката на лични данни, използвайки автоматични средства (изцяло или частично), както и за обработване чрез средства, различни от автоматични, лични данни, компоненти или предназначени да бъдат част от системите за съхранение.

В съвременната компютърна терминология „структурирани данни“ означава преди всичко бази данни. В документацията те включват файлове с карти и архиви на лични файлове. Ето защо европейските изисквания включват:

• автоматично обработване на лични данни и. t
• за използване (независимо дали в автоматичен или друг режим), съдържащ лични данни на хартиени и електронни бази данни, картови файлове и т.н., които имат механизъм за търсене, който улеснява извличането на информация за дадено лице.

Защо е невъзможно да се пише на руски и в нашия закон остава неразбираемо?

Трябва да се обърне внимание на разликата в терминологията: „автоматична обработка“ е едно, а обработката „използване на автоматизирано оборудване“ е съвсем различна концепция, много по-широка и по-неясна.

Законът предвижда само четири изключения, а именно законът не се прилага за отношения, възникващи:

• при обработката на лични данни за лични и семейни нужди;
• при обработване на лични данни в документи на Архивния фонд на Руската федерация;
• при обработка на лични данни за включване в Единния държавен регистър на индивидуалните предприемачи (ЕГРИП);
• при обработка на лични данни, класифицирани като държавна тайна.

Една от тези точки изисква по-подробно проучване. Като начало цитираме закона:

Член 1 от Федералния закон на Руската федерация "За личните данни" № 152-ФЗ от 27 юли 2006 г. t

2. Този федерален закон не се прилага за отношения, произтичащи от: t

2) организирането на съхранението, придобиването, отчитането и използването на лични данни на документите на Архивния фонд на Руската федерация и други архивни документи в съответствие със законодателството за архивите в Руската федерация.

Припомняме ви две дефиниции, залегнали в Закон „За архивните въпроси в Руската федерация” № 125-ФЗ от 10.22.2005 г.:

• архивен документ - материална среда с информация, записана върху нея, която има детайли, позволяващи да бъде идентифицирана и подлежи на съхранение поради значимостта на посочения превозвач и информация за гражданите, обществото и държавата;
• Документът на Архивния фонд на Руската федерация е архивен документ, който е преминал проверката на стойността на документите, е поставен в държавно счетоводство и подлежи на постоянно съхранение.
  Оказва се, че ако за даден документ или база данни е установен период на постоянно съхранение и те са включени в архивния фонд на Руската федерация, то тогава този закон не се прилага за тях. Този недостатък позволява на държавните агенции да разполагат със сериозна база данни, за да се избегне прилагането на новия закон за личните данни.

Ето пример за това. Съгласно Федералния закон “За архивните въпроси в Руската федерация” (чл. 2, т. 2) правителството на Руската федерация одобрява списъка на федералните органи на изпълнителната власт и организациите, извършващи депозитарно съхранение на документите на Архивния фонд на Руската федерация, които са във федерална собственост. В края на 2006 г. беше одобрен нов списък от 5 от тези отдели и организации. В същото време на тези организации беше наредено да сключат споразумение с Росархив за условията за съхранение на документите. Ако при сключването на договора е изрично предвидено, че всички документи, с изключение на оперативни, се считат за документи, прехвърлени за съхранение, тогава по-голямата част от документите могат да бъдат поставени под това изключение.

За други държавни организации един от вариантите би могъл да бъде бързото одобряване на делата с държавни архиви, което всъщност би означавало включване на документи в Архивния фонд на Руската федерация и отново напускане на "зоната на действие" на закона за личните данни.

Директивите на Европейския съюз не съдържат такова изключение, но то съществува, например, в Американския кодекс 6, който съдържа по-коректни формулировки, които не позволяват неяснота: законодателството за личните данни обикновено не се прилага за документи, които вече са депозирани в държавните архиви, а се прилага за документи, прехвърлени в държавните архиви от всяка агенция за задържане.

Не е ясно и защо от многобройните ни държавни бази данни нашият закон прави изключение за Единния държавен регистър на индивидуалните предприемачи (ЕГРИП). Би било логично след това изключението да се разшири и в други държавни регистри, които съдържат и лични данни (например, включването на информация за учредителите и първите лица от всички юридически лица в страната).

Лични данни и методи за обработка

Лични данни - всяка информация, свързана с физическо лице (предмет на лични данни), определена или определена въз основа на такава информация, включително неговото фамилно име, име, бащино име, година, месец, дата и място на раждане, адрес, семейство, социално, имуществено състояние, образование, професия, доход, друга информация (съгласно чл. 3 от Закона за личните данни).

Законът предвижда следните методи за обработване на лични данни (за някои от тях подробни обяснения са дадени в член 3):

• събиране;
• систематизиране;
• натрупване;
• съхранение;
• изясняване (актуализиране, промяна);
• използване - „действия (операции) с лични данни, извършвани от оператора 7 с цел вземане на решения или извършване на други действия, пораждащи правни последици във връзка с предмета на лични данни или други лица, или по друг начин, засягащ правата и свободите на субекта на лични данни или други лица“;
• разпространение (включително трансфер) - „действия, насочени към прехвърляне на лични данни на определен кръг от лица (прехвърляне на лични данни) или запознаване с лични данни на неограничен брой лица, включително публично разкриване на лични данни в медиите, поставяне в информационни и телекомуникационни мрежи. мрежи или предоставяне на достъп до лични данни по друг начин “;
• Деперсонализация - „действия, в резултат на които е невъзможно да се определи самоличността на личните данни към конкретен предмет на лични данни“;
• блокиране - „временно спиране на събирането, систематизирането, натрупването, използването, разпространението на лични данни, включително прехвърлянето им“;
• унищожаване на лични данни - „действия, които не могат да възстановят съдържанието на личните данни в информационната система на личните данни или да доведат до унищожаване на материалните носители на лични данни“.

Специално внимание следва да се обърне на методите за обработка като блокиране и унищожаване на лични данни. Законът говори доста добре за унищожаването - това е подходът, който сега се препоръчва от вътрешни и чужди стандарти. Що се отнася до блокирането на лични данни, този метод на обработване във вътрешната практика беше въведен за първи път и неговото изпълнение може значително да усложни живота на организациите, използващи предварително разработени информационни системи и бази данни, в които такава операция не е осигурена.

Принципи и условия за обработка на лични данни

Разпоредбите на закона са насочени предимно към предотвратяване на незаконното събиране и използване на лични данни. Това желание на законодателя е довело до появата на нова позиция в практиката за водене на отчетност:

Клауза 2 от чл. 5 от Федералния закон на Руската федерация “За личните данни” от 27 юли. 2006 No. 152-FZ

Личните данни трябва да се съхраняват във форма, която позволява да се определи предметът, не по-дълго от целите на обработката, и трябва да бъдат унищожени при постигане на целите на обработката на лични данни или загуба на необходимостта от тяхното постигане.

В този случай законът за пръв път може би определя за информация и документи максималния и, освен това, условния период на съхранение - „при постигане на целите на обработката“. Организациите ще трябва да установят срокове за съхранение на документи, съдържащи лични данни, и ще бъде необходимо предварително да се мисли за обосновката за избраните периоди на съхранение. Това е доста сложен въпрос, който може да предизвика много спорове и проблеми.

Освен това, специалистите от Министерството на външните работи трябва да обърнат внимание на следното: тъй като целите за събиране и обработване на лични данни, както се изисква от закона, трябва да бъдат определени преди започване на работа, е необходимо внимателно да се разгледа тяхната формулировка. В противен случай самата организация може да “замести” себе си: целите ще бъдат изпълнени, а личните данни няма да бъдат унищожени.

Едно от най-неприятните за организациите, които събират и обработват лични данни, е изискването на чл. 6 за необходимостта от получаване на съгласието на субекта за тяхното обработване. Не се изисква съгласие само в следните случаи:

• въз основа на федерално законодателство;
• за изпълнение на договора с личните данни;
• за статистически или научни цели;
• защита на живота и здравето на субекта на личните данни;
• за доставка на пощенски пратки от пощенски организации;
• в хода на професионалната дейност на журналист, учен и др.;
• данни за публикуване в съответствие с федералните закони;
• с цел да се защитят основите на конституционния ред, морала, здравето, правата и законните интереси на другите, да се осигури отбраната на страната и сигурността на държавата.

Вече имаме редица федерални закони, които описват обработката на лични данни, например при поддържане на Единния държавен регистър на данъкоплатците (EGRN) и юридическите лица (USR). Единственото условие за използване на изключението от изискването за общо съгласие е да се изложат следните въпроси в съответното законодателство:

• цел,
• условия за получаване на лични данни
• кръг от субекти, чиито лични данни подлежат на обработка,
• правомощията на оператора, който събира данните.

Все още не е ясно какво ще се случи с тези закони, които съдържат норми, свързани със събирането и обработването на лични данни, но не отговарят на определеното условие.

Първият проблем, свързан със спазването на новия закон, привлече вниманието на застрахователните компании. Според тях законът за личните данни може сериозно да възпрепятства прилагането на Закона за задължителната застраховка "Гражданска отговорност" за моторни превозни средства поради забраната за предаване на трети лица на личните данни на клиента, получени при сключване на договора за МПС без негово съгласие. В резултат на това застрахователното дружество няма да може да получи пълна информация за своите клиенти от една единствена база данни (и поддържането на такава база данни също е под въпрос), като в тази ситуация рисковете на застрахователите нарастват.

Вече застрахователните компании се опитват да решат този важен проблем за тях, като разгледат следните възможности:

• Промени в закона за ОСАГО и задължението на застрахователите да обменят данни за застрахователни събития.
• Определяне на част от личните данни като публични. Информацията, която индивидът посочва при сключването на договор с OSAGO, е публична според застрахователите. Законът за личните данни обаче изисква получаване на съгласие за събиране на публични данни.
• Комитетът на All-руски съюз на застрахователите (ARIA) за борба с застрахователните измами вече са подготвили две сметки, които са планирани да бъдат представени в Държавната дума в началото на 2007 година. Според ръководителя на комисията, Евгений Потапов, един от тези законопроекти ще измени закона "За организацията на застрахователния бизнес в Руската федерация." Тя ще позволи на застрахователите да създадат автоматизирани информационни системи на базата на техните сдружения и сдружения, които ще съдържат данни за застрахователни искове и плащания 8.

В член 6, параграф 6 за предоставяне на право на обработване на лични данни на журналисти, учени и представители на други творчески професии без съгласието на субекта е поставен под съмнение. Съвсем реалистично (особено в търговските структури) е да се въведе пълно работно време „представител на творческата професия“ и „да му се напише“ всички бази данни, съдържащи лична информация.

Например в Англия, в подобна разпоредба на закона, допълнително е предвидено, че в този случай целта на обработката на данни трябва да бъде публикуването на съответния материал; такава публикация трябва да бъде в обществен интерес (включително при упражняването на правото на самоизява на представител на творческата професия) 9.

В допълнение, интересно е как ще определим кой е журналист или писател, а кой не. Не е тайна, че много от писателите не притежават съответните дипломи или официални документи за самоличност. Тук подходът, използван в САЩ, може да бъде полезен за нас: журналистите разпознават всички онези, които пишат статии за публично разпространение, дори ако са публикувани само в интернет.

В Съединените щати през януари 2007 г. започна процесът срещу бившата администрация на либийския лидер на Джордж Буш Луис. Стотина места бяха заделени за пресата в съдебната зала, а две от тях бяха официално получени от авторите на интернет дневниците.

При съставянето на федерален закон за издаване на правото на журналистите да не разкриват поверителна информация по време на съдебни производства, Американското дружество на вестниците предлага, че този закон се прилага за всички без изключение и обхваща тези, които събират информация за по-нататъшно разпространение. А авторите на интернет дневници, „блогъри“, също попадат под тази дефиниция 10.

Сега да видим как новият закон включва получаването на съгласие от субекта за обработката на неговите лични данни.

Точка 1 от чл. 9 от Федералния закон на Руската федерация “За личните данни” от 27 юли. 2006 No. 152-FZ

Предметът на личните данни взема решение за предоставянето на неговите лични данни и се съгласява да ги обработва по собствено желание и в своя интерес... Съгласието за обработване на лични данни може да бъде оттеглено от субекта на личните данни.

Освен това клауза 3 от член 9 съдържа доста неприятно условие за операторите. Те ще трябва или да натрупат доказателства, че събраните от тях данни са взети от публично достъпни източници, или да получат съгласие от субекта на личните данни и след това да съхранят този документ в случай, че „субектът” реши да съди оператора за нарушаване на неговите права.

С публично достъпни данни също не е толкова просто. Член 8, определящ какво се разбира под публично достъпни източници на лични данни (справочници, адресни книги и др.), Подчертава, че личната информация може да бъде включена само с писменото съгласие на субекта. Освен това, „информация за предмета на личните данни може по всяко време да бъде изключена от публично достъпни източници на лични данни по искане на субекта на лични данни или от съд или други упълномощени държавни органи“.

От друга страна, ако дадена организация използва публично достъпни източници на лични данни при събирането на информация, тя трябва да документира къде е получила тази информация и да се увери, че „източникът“ има писмено съгласие, изисквано от закона.

Федерален закон на Руската федерация “За личните данни” от 27 юли. 2006 No. 152-FZ

Клауза 12 от член 3. Основни термини, използвани в този федерален закон

Общо достъпни лични данни са лични данни, до които има неограничен брой лица, до които имат достъп със съгласието на субекта на личните данни или на които изискването за поверителност не се прилага в съответствие с федералните закони.

Клауза 1 от член 8. Общодостъпни източници на лични данни

За да се осигури информационна подкрепа, могат да се създават обществено достъпни източници на лични данни (включително справочници, адресни книги). Публично достъпни източници на лични данни с писмено съгласие на субекта на лични данни могат да включват неговото фамилно име, име, бащино име, година и място на раждане, адрес, абонатен номер, информация за професията и други лични данни, предоставени от субекта на личните данни.

Клауза 3 на чл. 9. Съгласие на субекта с лични данни за обработването на личните им данни

Задължението за предоставяне на доказателство за съгласието на субекта на лични данни при обработването на личните му данни и в случай на обработване на публично достъпни лични данни, операторът е длъжен да докаже, че обработваните лични данни са публично достъпни.

Оказва се, че за да се защитят, организациите ще трябва да поискат официално потвърждение за всеки гражданин.

Как трябва да се подава писменото съгласие на субекта? Оказва се, че подписът на гражданина под общата фраза „Съгласен съм със събирането и обработката на личните ми данни“ няма да бъде достатъчен.

Чл. 4 от чл. 9 от Федералния закон на Руската федерация „За личните данни“ от 27 юли. 2006 No. 152-FZ

... писменото съгласие на субекта на лични данни при обработването на личните им данни следва да включва:

1. фамилия, име, бащино име, адрес на субекта на личните данни, номер на основния документ, удостоверяващ неговата самоличност, информация за датата на издаване на посочения документ и издаващия орган;
2. име (фамилия, име, отчество) и адрес на оператора, който получава съгласието на субекта на лични данни;
3. цел на обработването на лични данни;
4. списък на лични данни, за обработването на които е дадено съгласието на субекта на лични данни;
5. списък на действията с лични данни, за които е дадено съгласие, общо описание на използваните от оператора методи за обработка на лични данни;
6. периода, през който съгласието е валидно, както и процедурата за неговото оттегляне.

Това означава, че преди „улавяне” на субекта на лични данни и опит за получаване на неговото съгласие, операторът трябва да разработи специална форма на документа, която да съдържа цялата необходима информация.

Права на субекта на лични данни

Първо, предметът на личните данни има право да получи следната информация:

• информация за оператора,
• информация за местоположението на оператора,
• информация за личните данни на оператора, отнасящи се до съответния предмет на лични данни,
• субектът също така има право да се запознае с личните си данни, съхранявани от оператора.

От оператора предметът на личните данни може да изисква:

• изясняване на личните ви данни
• тяхното блокиране или унищожаване в случай, че личните данни са непълни, остарели, неточни, получени незаконно или не са необходими за заявената цел на обработване.

Много трудности за организациите на операторите ще създадат клауза 2 от член 14 от закона, която изисква информацията за наличието на лични данни да бъде предоставена на субекта от оператора в достъпна форма и да не съдържа информация, свързана с други субекти на лични данни.

Дело 11 на Дюран срещу Служба за финансови услуги, разгледано в Апелативния съд в Англия през декември 2003 г., получи широк отговор. Решението на съда значително стесни интерпретацията на понятието „лични данни“. По-специално, съдът посочва, че самото споменаване на това лице в текста на документа не е достатъчно, за да се разгледа документът, съдържащ лични данни. Освен това съдът потвърди, че правото на достъп до техните лични данни не трябва да нарушава правата на трети лица и че съответно личните данни на трети лица следва да бъдат извадени от копията на документите, предоставени при поискване (с изключение на специални обстоятелства).

През ноември 2004 г. правителството отрече правото на работниците във Великобритания да имат достъп до личните си данни, независимо дали техният работодател ги държи на хартиен или електронен носител, ако се съхраняват в система, която не структурира ясно информацията за всяко лице. По този начин системите за съхранение на хартиени файлове (с изключение на лични досиета) де факто бяха отстранени от действието на закона за предоставяне на достъп до лична информация, тъй като трудно е да се изолира информация за дадено лице.

За да получат достъп до личните си данни, нашите сънародници трябва да:

• прилагайте лично или
• изпрати искане, което трябва да съдържа:
  • номера на основния документ, удостоверяващ самоличността на предмета на личните данни, или негов законен представител,
  • информация за датата на издаване на посочения документ и на издаващия орган и. t
  • собственоръчен подпис на предмета на личните данни или негов законен представител.

Това искане може да бъде изпратено в електронен вид и подписано с електронен подпис. По този начин законът официално предоставя възможност за подаване на заявления за техните лични данни чрез електронни комуникационни канали. Все още не разполагаме с лица, които имат собствени EDS в съответствие със закона за EDS (в преобладаващата част от случаите EDS се използва в нашата страна в съответствие с чл. 160 от Гражданския кодекс, който предвижда предварително споразумение между страните).

Количеството информация, която даден субект на лични данни може да поиска, показва загриженост за нашите граждани. Препоръчва се организациите, които водят базата данни с лични данни, да обърнат специално внимание на параграф 4 от член 14 от новия закон, за да обмислят и консолидират процедурата за предоставяне на информация във вътрешните правила:

1. факта на обработката на лични данни от оператора, както и целите на тази обработка;
2. относно методите за обработка на лични данни, използвани от оператора;
3. за лица, които имат достъп до лични данни или които могат да получат такъв достъп (за да може да докладва кой и какви лични данни са предоставени, е необходимо да се организира работата по регистрацията на лични данни и да се контролира достъпът до тях, в противен случай организацията на оператора трудно изпълни това изискване);
4. списък на обработените лични данни и източници на тяхното получаване;
5. времето за обработка на личните данни, включително времето за съхранение (специално внимание трябва да се обърне на това изискване, тъй като всъщност той задължава оператора да определи сроковете за обработка и съхранение, които могат да варират в зависимост от целите на обработката на лични данни, от вътрешни нормативни документи);
6. информация относно какви правни последици за обекта на лични данни може да доведе до обработката на неговите лични данни (за да изпълни това изискване, организациите трябва предварително да инструктират своите адвокати да формулират обосновка за всички възможни правни последици от обработката на лични данни)

Въпросът за обработването на лични данни „с цел популяризиране на стоки, работи, услуги на пазара чрез директни контакти с потенциален потребител чрез средства за комуникация, както и за политическа кампания” е посветен на специален член (член 15). Сега търговските и политическите организации, преди да изпратят реклама, трябва да получат предварителното съгласие на гражданина, а обработването на ДП "се признава извършено без предварителното съгласие на субекта на личните данни, ако операторът не докаже, че е получено такова съгласие." За някои търговски структури това изискване може да е много неудобно!

Отсега нататък „е забранено вземането на решения въз основа изключително на автоматизирана обработка на лични данни, които пораждат правни последици по отношение на предмета на личните данни или по друг начин засягат неговите права и законни интереси“ (член 16).

Тази разпоредба е необходима и навременна. Но нашите законодатели, като го формулираха, объркаха два различни понятия: „автоматичен“ (тоест без човешко участие) и „автоматизиран“ (тоест, с човешко участие). В резултат на това тази статия, вместо да налага допълнителни ограничения на тези и само когато информационната система взема решения без участието на човека (например, налагане на глоба, забрана за пътуване извън страната и т.н.), може да се тълкува като налагане на ограничения за всички видове обработка на лични данни, тъй като дори използването на калкулатор може да се разбира като автоматизирана обработка!

В същия член на новия закон се посочва, че операторът ще може да взема решения, основани само на „автоматизирана“ обработка, ако:

• получават писмено съгласие от субекта на личните данни или
• ако тези правила са установени от федералните закони.

В някои нормативни документи тези изисквания на закона вече са взети под внимание. Така в образците на заявленията за издаване на паспорт от ново поколение има специален раздел, в който заявителят се съгласява с „автоматизираната“ обработка на данните, посочени в заявлението. Това звучи така: „Съгласен съм с автоматизираната обработка, предаване и съхранение на данните, посочени в заявлението, за целите на производството, обработката и контрола на паспорта по време на срока на валидност“ 12.

Операторът също така трябва предварително да предостави на гражданина следната информация:

• реда на вземане на решения въз основа изключително на "автоматизирана" обработка на неговите лични данни и
• възможни правни последици от такова решение;
• процедурата за защита на личните данни от субекта на неговите права и законни интереси;
• възможност да възрази срещу такова решение.

В случай на спор операторът трябва да докаже, че е спазил всички изисквания на закона. Това означава, че той ще трябва внимателно да събира и съхранява подкрепящи документи.

Отговорности на оператора

Задълженията на оператора, в съответствие с член 18, включват главно предоставянето на лична информация по искане на гражданина. В допълнение, операторът трябва да „изясни пред субекта на личните данни правните последици от отказ да предостави личните си данни“, ако това задължение е установено от федералния закон.

Член 20 установява много строги срокове за операторите да изпълняват искания от субекти на лични данни (те са много по-строги, например тези, предвидени в наскоро издадения Закон “За процедурата за обжалване на гражданите на Руската федерация”):

• предоставяне на данни - в рамките на 10 работни дни от датата на получаване на искането;
• мотивиран отказ - в рамките на 7 работни дни.

Операторът ще има още повече въпроси, ако е необходимо да се отстранят нарушенията на закона в сроковете, предвидени в чл. 21 от новия закон. Блокирането на данни трябва да се извършва от момента на заявката или от момента на получаване на искането и отстраняване на нарушенията - в рамките на 3 работни дни.

В някои случаи операторът е длъжен да унищожи личните данни в рамките на 3 работни дни, а именно:

• в случай на неотстраняване на нарушенията,
• в случай на постигане на целта за обработване на лични данни,
• в случай че субектът на личните данни отнеме съгласието си за обработка на личните му данни.

Блокирането и унищожаването на лични данни може да бъде трудно (а понякога и невъзможно) да се прилагат в действащите в момента информационни системи и бази данни, които преди това не са предвиждали такава възможност.

Ще бъде още по-трудно за оператора, ако получи лични данни не от гражданин, а от трета страна.

Чл. 3 от чл. 18 от Федералния закон на Руската федерация “За личните данни” от 27 юли. 2006 No. 152-FZ

Ако не са получени лични данни от субекта на личните данни, освен ако личните данни не са предоставени на оператора съгласно федералното законодателство или ако личните данни са публично достъпни, операторът трябва да предостави следната информация на субекта на личните данни, преди да обработи тези лични данни:

1. име (фамилия, име, бащино име) и адрес на оператора или неговия представител;
2. целта на обработката на лични данни и нейното правно основание;
3. потребители на лични данни;
4. правата на личните данни, установени от този федерален закон.

Зад тези думи е по-трудоемка работа. Например, може да възникне въпросът: как трябва да се предоставя тази информация на темата? Възможно ли е да се изпрати по пощата и дали информацията ще се счита за предоставена, ако субектът не е получил съответното писмо?

Задължението на оператора, в съответствие с член 19, също е да гарантира сигурността на личните данни по време на тяхната обработка. За да се избегнат проблеми, организацията на оператора трябва да разработи и консолидира в нормативните документи всички организационни и технически мерки за сигурност на информацията, които е готова да предприеме, за да защити личните данни, съдържащи се в нейните информационни системи.

Държавна регистрация на системи за обработка на лични данни

Законът предвижда всички оператори, които извършват обработката на лични данни, да уведомяват предварително упълномощения орган (чл. 22), който да води регистър на операторите в специален регистър. Упълномощеният орган, съгласно чл. 23, е Министерството на информационните технологии и съобщенията на Руската федерация, което понастоящем изпълнява „функции по контрол и надзор в областта на информационните технологии и съобщенията”. Нотификацията ще трябва да уточни подробно какво се прави с личните данни. Всички промени във връзка с обработването на лични данни трябва също да бъдат докладвани на упълномощения орган.

Разрешава се обработката на лични данни без уведомяване на упълномощения орган в следните случаи:

• при наличие на трудови отношения;
• при сключване на договор, по който субектът на личните данни е страна;
• ако личните данни принадлежат на членове (участници) на обществено сдружение или религиозна организация и се обработват от съответното обществено сдружение или религиозна организация;
• ако личните данни са публично достъпни;
• ако личните данни включват само имената, фамилиите и бащините имена на субектите;
• при регистрация на прием;
• ако личните данни са включени в информационните системи, които, в съответствие с федералните закони, имат статут на федерални автоматизирани информационни системи, както и държавни информационни системи за лични данни, създадени за защита на сигурността на държавата и обществения ред;

В заключение ще дадем редица препоръки на операторите. Няма да бъде много трудно да се изпълнят изискванията на закона за личните данни, ако тази работа започне сега, без да се чакат първите оплаквания и оплаквания. Можете да започнете със следните очевидни мерки:

• Препоръчително е да се назначи отговорен служител, който да преразгледа всички въпроси, свързани с прилагането на този закон в организацията, а за големите компании създаването на специална комисия може да бъде оправдано.
• За всички информационни ресурси на организацията, съдържащи лични данни, трябва:
  • определя техния статут (въз основа на който са създадени: в съответствие със законодателството, за изпълнение на договора, по собствена инициатива и др.);
  • изясняване и записване на състава на личните данни и техните източници на получаване (от гражданин, от публични източници, от трети страни и т.н.);
  • определят периода на съхранение и времето за обработка на данните във всеки информационен ресурс;
  • определят методите за обработка;
  • идентифициране на лица с достъп до данни;
  • формулиране на правни последици;
  • определят процедурата за отговор на исканията, възможните отговори и действия, оценяват реалността на спазването на установеното време за реакция.

В тази статия се прави анализ на новия закон за защита на личните данни от гледна точка на специалисти в областта на управлението на документите, които ще развалят много кръв. Неговата ефективност ще бъде показана от практиката, но засега, като „субект на лични данни“, оценявам списъка на публичните власти, на който бих могъл да изпратя искане за предоставяне на съответната информация, в съответствие с изискванията на закона. Сега имам право!

1 Член 25 от глава IV от Директива 95/46 / ЕО на Европейския парламент и на Съвета на Европейския съюз от 24 октомври 1995 г. относно защитата на правата на лицата по отношение на обработването на лични данни и за свободното движение на такива данни.

Интересно е, че дори Съединените щати не спазват строгите европейски изисквания, а американските компании са принудени да използват така наречените „чадър“ споразумения.

3 Субектът на личните данни е физическо лице, чиито лични данни се обработват.

4 "система за регистриране на лични данни"

5 Списъкът на федералните органи на изпълнителната власт и организациите, занимаващи се с депозитарно съхранение на документи на Архивния фонд на Руската федерация, които са във федерална собственост, включва 18 организации: Министерство на вътрешните работи на Русия, Министерство на външните работи на Русия, Министерство на отбраната на Русия, СВР на Русия, ФСБ на Русия, Росатом, Роскартография, Руска академия на аграрните науки, Руска академия на медицинските науки, Руска академия на образованието, Руска академия на изкуствата, Руска академия на архитектурата и строителните науки Фондация: Общоруски научноизследователски институт по хидрометеорологична информация - Световен център за данни, Федерална държавна институция “Държавен фонд за телевизионни и радиопрограми”, Федерално държавно унитарно научно-производствено предприятие “Руски федерален геоложки фонд”, Федерално държавно унитарно предприятие “Руски научно-технически център” информация за стандартизацията, метрологията и оценката на съответствието “.

6 5 САЩ В. § 552a (k) (1) „Документи за физически лица - специални изключения - архивни документи“.

7 Оператор - държавен орган, общински орган, юридическо или физическо лице, който организира и (или) извършва обработката на лични данни, както и определя целта и съдържанието на обработването на лични данни.

9 Закон за защита на данните от 1998 г., член 32.

11 Дюран срещу Управление за финансови услуги (FSA).

12 Приложение № 1 към Инструкцията за реда за обработване и издаване на паспорт на гражданин на Руската федерация, дипломатически паспорт и служебен паспорт, които са основните документи, удостоверяващи самоличността на гражданин на Руската федерация извън територията на Руската федерация, съдържащи електронни носители на данни. и Федералната служба за сигурност на Руската федерация от 6 октомври 2006 г. № 785/14133/461).