Quali sono i modi per elaborare i dati personali?

Nel codice del lavoro della Federazione Russa esiste un termine come "informazioni personali di una persona che lavora". I dati sul contingente operativo devono essere forniti al datore di lavoro.

Dopo aver esaminato le informazioni personali, il datore di lavoro emette un verdetto sull'assunzione di una persona nella società.

Le informazioni che una persona presenta su se stesso devono essere protette. La distribuzione è proibita.

Cari lettori! I nostri articoli parlano dei metodi tipici per risolvere i problemi legali, ma ogni caso è unico.

Se vuoi sapere come risolvere esattamente il tuo problema - chiama, è veloce e gratuito!

sistema

Le informazioni personali sui dipendenti dovrebbero essere soggette allo sviluppo.

Il datore di lavoro applica i seguenti requisiti ai dati personali dei lavoratori:

1. Il processo di elaborazione delle informazioni personali relative a un lavoratore si svolge al fine di garantire la conformità con le leggi e gli atti legali. Grazie all'elaborazione dei dati, puoi assumere una persona, fornirgli sicurezza personale, monitorare il lavoro che svolge.
2. Il datore di lavoro tiene conto dell'ambito e del contenuto delle informazioni personali sul contingente operativo che viene elaborato. Tutti i datori di lavoro studiano e seguono gli aspetti della Costituzione, altre leggi federali.
3. Le informazioni sul gruppo di lavoro dovrebbero essere ottenute direttamente dai dipendenti stessi. È possibile ottenere informazioni sulla persona che lavora da una terza bocca, ma solo con il consenso scritto della persona. Il datore di lavoro informa i dipendenti in merito ai loro obiettivi e alle loro fonti, da cui verranno fornite informazioni personali. Il datore di lavoro avverte delle conseguenze in caso di rifiuto di fornire informazioni personali alla persona che lavora.
4. Una persona che fornisce lavoro ai suoi dipendenti non ha diritto a informazioni su tutti i tipi di convinzioni politiche, religiose o di altro tipo, nonché sulla vita familiare di un lavoratore. La vita personale di un dipendente può essere dichiarata solo con il suo consenso. L'accordo deve essere redatto per iscritto.
5. Il datore di lavoro non dovrebbe utilizzare nel trattamento di informazioni sulla presenza di lavoratori dipendenti in associazioni di appartenenza, sindacati. Ma ci sono situazioni che sono previste dalla legge federale.
6. Tutte le informazioni personali devono essere protette e nascoste al controllo pubblico e all'uso. La protezione dei dati è soggetta alle condizioni della legge federale.
7. I lavoratori studiano i documenti che appartengono all'istituzione. Devono divulgare il significato e l'ordine relativi ai processi per il trattamento dei dati personali dei dipendenti.
8. I lavoratori devono accettare la protezione delle loro informazioni personali.
9. I datori di lavoro stessi, così come i dipendenti, possono collaborare per sviluppare modi per proteggere le informazioni personali dei dipendenti.

Quando si comunicano informazioni sui dipendenti, il direttore dell'impresa deve attenersi alle seguenti regole:

• Una terza parte non ha bisogno di conoscere i dati personali di ciascun dipendente. I dati possono essere forniti solo nei casi in cui gli impiegati abbiano dato il loro consenso scritto all'uso delle loro informazioni personali. Ma se c'è una minaccia alla vita, la salute del gruppo di lavoro, allora i dati personali possono essere forniti ad altre persone senza alcun consenso scritto scritto;
• il datore di lavoro non deve pubblicare dati sulla squadra che vi lavora per scopi commerciali;
• le persone che ricevono informazioni sui dipendenti devono elaborarle nel quadro di riservatezza;
• il trasferimento di informazioni su una persona viene effettuato solo in una organizzazione attraverso speciali atti interni dell'istituzione;
• le informazioni sul dipendente hanno accesso solo a persone autorizzate speciali;
• non è necessario richiedere informazioni sulla salute dei lavoratori. Una richiesta può essere presentata solo nei casi in cui sorge la domanda se i lavoratori possano esercitare le loro funzioni lavorative;
• i dati personali sul contingente operativo possono essere raccolti tenendo conto dei dati del Codice.

Un contingente funzionante ha il diritto di:

• conoscenza dei tuoi dati personali e della loro elaborazione;
• accesso illimitato alle informazioni personali. A una persona che lavora possono essere rilasciate copie di dati di informazione. Ma ci sono situazioni in cui le informazioni personali non vengono divulgate. Queste situazioni sono descritte nella legge federale;
• un medico può visualizzare i dati personali dei dipendenti;
• la possibilità di correggere o integrare soggetti di dati personali.

Si distinguono i seguenti tipi di trattamento dei dati personali:

1. Elaborazione delle informazioni utilizzando la tecnologia informatica.
2. Elaborazione non automatizzata.
3. Sistema di informazione che elabora i dati forniti.

automatizzato

Questa elaborazione viene eseguita utilizzando una speciale tecnologia informatica. Le macchine informatiche più comuni possono essere:

• computer elettronico;
• dispositivi ausiliari;
• dispositivi periferici;
• software installato necessariamente.

Non automatizzato

La descrizione più dettagliata dell'elaborazione non automatizzata è contenuta nel decreto governativo numero 687.

La distribuzione, lo studio e la rimozione delle informazioni relative al contingente operativo devono essere eseguite con una parte di una persona, non con la tecnologia informatica.

informazioni

Grazie al sistema informativo, vengono elaborate categorie speciali di informazioni personali sul contingente operativo. Questo sistema elabora i dati che riguardano l'appartenenza a una particolare razza e genere, nazionalità, opinioni politiche, prospettive filosofiche.

Grazie al sistema di informazione può essere elaborato:

• dati personali biometrici. Soprattutto se c'è una caratteristica di dati fisiologici e biologici. Grazie alle caratteristiche ottenute, è possibile valutare la personalità dei lavoratori;
• dati personali condivisi;
• altri dati informativi. Un esempio potrebbe essere religioso, idee nazionali, prospettive filosofiche, momenti della natura intima del contingente operativo e molte altre importanti caratteristiche personali fino allo stato di salute.

Pertanto, le informazioni personali su ciascun dipendente sono contenute in tutti i datori di lavoro. L'amministratore in nessun caso ha il diritto di divulgare i dati disponibili sulla persona.

Le informazioni ottenute sul contingente operativo possono essere elaborate in diversi modi: con l'aiuto della tecnologia informatica, con l'aiuto di forze personali, grazie al sistema di valutazione delle informazioni.

In tutti i casi, i dati personali di ciascun dipendente vengono accuratamente esaminati.

Modalità di trattamento dei dati personali

Con ordinanza del codice civile della regione di Amur

del 26 dicembre 2012, n. 626

in relazione al trattamento dei dati personali

1. DISPOSIZIONI GENERALI

1.1. Questo documento (in seguito denominato la Politica) è una dichiarazione sistematica degli obiettivi, dei principi, dei metodi e delle condizioni per il trattamento dei dati personali, informazioni sui requisiti implementati per il trattamento e la protezione dei dati personali nella GKU della Regione Amur dell'Ospedale Centrale della Libera (di seguito il Centro per l'impiego).

1.2. La politica si basa sui requisiti della legge federale della Federazione russa "Su dati personali", altri atti normativi della Federazione Russa che stabiliscono la procedura per il trattamento e la protezione dei dati personali. La politica è un documento pubblico.

1.3. In conformità con la legge federale del 27 luglio 2006 n. 152-ФЗ "Dati personali", il Centro per l'impiego è l'operatore di dati personali (di seguito "PD").

2. DATI PERSONALI TRASFORMATI

2.1. Termini principali utilizzati nella politica:

· Dati personali: qualsiasi informazione relativa a una persona fisica (oggetto di dati personali) determinata o determinata sulla base di tali informazioni, compreso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, sociale, proprietà posizione, istruzione, professione, reddito, altre informazioni;

· Elaborazione dati personali - azioni (operazioni) con dati personali, compresi raccolta, sistematizzazione, accumulo, conservazione, perfezionamento (aggiornamento, modifica), uso, distribuzione (incluso trasferimento), spersonalizzazione, blocco, distruzione di dati personali;

2.2. Nel quadro di questa politica, i dati personali trattati indicano:

· Dati personali forniti dai destinatari dei servizi pubblici che si applicano al centro per l'impiego;

· Dati personali dei dipendenti del Centro per l'impiego o candidati per posti vacanti;

3. FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI

3.1. Gli obiettivi del trattamento del PD nel Centro per l'impiego sono:

· Assicurare l'attuazione dei diritti costituzionali dei cittadini della Federazione Russa al lavoro e alla protezione sociale contro la disoccupazione attraverso la fornitura di servizi pubblici nel campo della promozione dell'occupazione;

· Assicurare l'attuazione dei diritti costituzionali dei cittadini di presentare ricorso;

· Ottenere una valutazione oggettiva dello stato del mercato del lavoro nell'entità costituente della Federazione Russa (in relazione ai destinatari dei servizi pubblici per l'impiego, i cittadini disoccupati, i cittadini che si rivolgono al Centro per l'impiego con proposte, dichiarazioni, reclami);

· Garantire il rispetto della Costituzione della Federazione Russa, leggi e altri atti normativi, assistere i dipendenti nella ricerca di impiego, formazione e promozione del lavoro, crescita del lavoro, garantire la sicurezza personale dei dipendenti, controllare la quantità e la qualità del lavoro svolto, garantire la sicurezza dei beni ad esso appartenenti e registrare i risultati delle loro prestazioni doveri e sicurezza della proprietà del Centro di lavoro.

· Esecuzione delle funzioni di agente fiscale nella fornitura di detrazioni fiscali standard (per i familiari di dipendenti del Centro per l'impiego);

· Adempimento degli obblighi previsti dai contratti di diritto civile (in relazione a persone che svolgono lavori, fornendo servizi in base a contratti di diritto civile con il Centro per l'impiego).

4. PRINCIPI DI TRATTAMENTO DEI DATI PERSONALI

4.1. Implementazione dell'elaborazione PD su base legale ed equa.

4.2. Limitare l'elaborazione PD al raggiungimento degli obiettivi specifici, predeterminati e legittimi indicati nella Sezione 2 di questo documento. Non è consentito trattare dati personali incompatibili con lo scopo di raccolta di dati personali.

4.3. Prevenire la combinazione di database contenenti PD, che vengono elaborati per scopi incompatibili tra loro.

4.4. Elaborando solo quei PDS che soddisfano gli scopi del loro trattamento.

4.5. Conformità con il contenuto e il volume di PD elaborati dagli scopi di elaborazione indicati.

4.6. L'irricevibilità del licenziamento ha trasformato la PD in relazione agli obiettivi dichiarati del loro trattamento.

4.7. Garantire l'accuratezza della PD, la loro sufficienza e, se necessario, la pertinenza in relazione agli scopi dell'elaborazione PD.

4.8. Garantire che vengano prese le misure necessarie per rimuovere o perfezionare i dati incompleti o imprecisi.

4.9. Effettuare lo stoccaggio del PD in una forma che consenta di determinare un soggetto PD non è più lungo dello scopo del trattamento PD richiede, se il periodo di conservazione del PD non è stabilito dalla legge federale, il contratto al quale il soggetto PD è un beneficiario o garante. Le PD da trattare sono soggette a distruzione o spersonalizzazione al raggiungimento degli obiettivi di elaborazione o in caso di perdita della necessità di raggiungere questi obiettivi, salvo diversamente previsto dalla legge federale.

5. MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI

5.1. Il centro per l'impiego processa il PD nei seguenti modi:

· Elaborazione PD non automatica (su carta);

· Elaborazione automatizzata (in ISPDn con l'uso e senza l'uso di apparecchiature di automazione), tra cui: con e senza trasmissione attraverso la rete locale del Centro per l'impiego; con e senza trasmissione su Internet;

· Elaborazione PD mista.

5.2. Il centro per l'impiego può scegliere autonomamente i metodi di elaborazione PD in base agli scopi di tale elaborazione e alle proprie capacità materiali e tecniche.

6. CONDIZIONI DI TRATTAMENTO DEI DATI PERSONALI

6.1. L'elaborazione PD viene effettuata in conformità con i principi e le regole previsti dalla legge federale "Su dati personali".

6.2. L'elaborazione PD è consentita nei casi previsti dalla legge federale "Su dati personali".

6.3. Il centro per l'impiego ha il diritto di affidare il trattamento del PD a un'altra persona con il consenso del soggetto del PD, salvo diversa disposizione della legge federale, sulla base di un contratto stipulato con questa persona, compreso uno stato o un contratto municipale, o adottando un atto rilevante da parte dello stato o dell'ente municipale (di seguito indicato come ).

6.4. Se il Centro per l'impiego assegna l'elaborazione di una PD a un'altra persona, la responsabilità per la PD oggetto delle azioni di tale persona è a carico del Centro per l'impiego. La persona che elabora i dati personali per conto del Centro per l'impiego è responsabile verso il Centro per l'impiego.

7. RISERVATEZZA DEI DATI PERSONALI

7.1. Il centro per l'impiego e altre persone che hanno ottenuto l'accesso al PD sono obbligati a non divulgare a terzi e non a distribuire il PD senza il consenso del soggetto PD, salvo diversamente previsto dalla legge federale.

8. CONSENSO AL SOGGETTO DEI DATI PERSONALI PER IL TRATTAMENTO DEI SUOI ​​DATI PERSONALI

8.1. Il soggetto PD prende una decisione sulla fornitura dei suoi dati personali e accetta il loro trattamento liberamente, per sua volontà e nel suo interesse.

8.2. Il consenso al trattamento PD dovrebbe essere specifico, informato e consapevole.

8.2. Il consenso al trattamento PD può essere dato dal soggetto PD o dal suo rappresentante in qualsiasi forma che consenta di confermare il fatto della sua ricezione, se non diversamente stabilito dalla legge federale.

8.3. Nel caso in cui si ottenga il consenso per il trattamento di dati personali da parte di un rappresentante del soggetto dei dati personali, l'autorità di questo rappresentante per dare il consenso a nome dell'oggetto dei dati personali è verificata dal Centro per l'impiego.

8.4. Il consenso al trattamento PD può essere revocato dal soggetto PD. In caso di ritiro dal PDN del consenso al trattamento della PD, il Centro per l'impiego è autorizzato a continuare il trattamento dei dati personali senza il consenso del soggetto PD se vi sono motivi specificati nelle clausole 2-11 della parte 1 dell'articolo 6, parte 2 dell'articolo 10 e parte 2 dell'articolo 11 della legge federale "Su Dati personali ".

8.5. Nei casi previsti dalla legge federale, l'elaborazione del PD viene effettuata solo con il consenso scritto del soggetto PD. Il consenso in forma scritta è riconosciuto come equivalente a un documento elettronico firmato dalla legge elettronica firmata in conformità con la legge federale.

8.6. I dati personali possono essere ottenuti dal Centro per l'impiego da una persona che non è un soggetto di dati personali, a condizione che il Centro per l'impiego confermi l'esistenza dei motivi specificati nelle clausole da 2 a 11 della parte 1 dell'articolo 6, parte 2 dell'articolo 10 e parte 2 dell'articolo 11 della legge federale "Su Dati personali ".

9. ATTUAZIONE DEI DIRITTI DEI SOGGETTI DEI DATI PERSONALI

9.1. Durante l'elaborazione di una PD, il Centro per l'impiego fornisce le condizioni necessarie affinché il PD eserciti liberamente i propri diritti.

9.2. Il soggetto PD ha il diritto di accedere ai propri dati personali.

9.3. Un oggetto PD ha il diritto di ricevere informazioni relative al trattamento dei propri dati personali, contenenti: conferma del fatto dell'elaborazione PD da parte del Centro per l'impiego; motivi legali e finalità del trattamento PD; gli obiettivi e i metodi del trattamento PD applicati dal Centro per l'impiego; il nome e l'ubicazione del Centro per l'impiego, le informazioni sugli individui (ad eccezione dei dipendenti del Centro per l'impiego) che hanno accesso ai dati personali o che possono divulgare dati personali sulla base di un accordo con il Centro per l'impiego o sulla base della legge federale; PD elaborate dal soggetto PD interessato, la fonte della loro ricezione, a meno che una diversa procedura per la presentazione di tali dati sia prevista dalla legge federale; Tempo di elaborazione PD, incluso il tempo di archiviazione; la procedura per l'esercizio da parte del PDN dei diritti previsti dalla legge federale "Su dati personali"; informazioni sul trasferimento di dati transfrontaliero completato o previsto; il nome o il cognome, il nome, il patronimico e l'indirizzo della persona che effettua il trattamento del PDN per conto del Centro per l'impiego, se il trattamento è affidato a o sarà affidato a tale persona; altre informazioni previste dalle leggi federali.

9.4. Il diritto di un PD soggetto ad accedere ai suoi dati personali può essere limitato nei casi espressamente previsti dalle leggi federali.

9.5. Un soggetto PD ha il diritto di difendere i suoi diritti e interessi legittimi, compreso il risarcimento dei danni e (o) il risarcimento per il danno morale in un tribunale.

9.6. Se un soggetto del PD ritiene che il Centro per l'impiego stia elaborando il suo PD in violazione dei requisiti della Legge Federale "Su Dati Personali" o violi in altro modo i suoi diritti e le sue libertà, il soggetto PD ha il diritto di appellarsi contro le azioni o l'inazione del Centro per l'impiego all'organismo autorizzato per proteggere i diritti dei soggetti PD o ordine del tribunale.

10. INFORMAZIONI SULLE MISURE ESEGUITE DAL CENTRO DI LAVORO

VOLTO A GARANTIRE L'ATTUAZIONE DELLE RESPONSABILITÀ RELATIVE AL TRATTAMENTO DEI DATI PERSONALI

10.1. Il centro per l'impiego durante l'elaborazione di PD svolge le sue funzioni di operatore PD previsto dalla legge federale "Su dati personali".

10.2. Il Centro per l'impiego prende le misure necessarie e sufficienti per garantire l'adempimento degli obblighi previsti dalla presente legge federale e gli atti normativi adottati in conformità con essa.

10.3. Il Centro per l'impiego determina autonomamente la composizione e l'elenco delle misure necessarie e sufficienti a garantire l'adempimento degli obblighi previsti dalla presente legge federale e gli atti normativi adottati in conformità con esso, salvo diversa disposizione delle leggi federali.

10.4. Il Centro per l'impiego fornisce accesso illimitato a questo documento (Politica), alle informazioni sui requisiti effettivi per la protezione della PD pubblicando sul sito web ufficiale del Dipartimento di occupazione della Regione di Amur all'indirizzo http: // zanamur. ru, GKU della regione di Amur dell'ospedale centrale della città di Svobodny a http://svobzan.amur.ru.

11. INFORMAZIONI SULL'ATTUAZIONE DEI CENTRI DELL'OCCUPAZIONE DI MISURE PER LA PROTEZIONE DEI DATI PERSONALI NELLA LORO TRASFORMAZIONE

11.1. Il Centro per l'impiego nell'elaborazione del PD garantisce l'adozione di misure legali, organizzative e tecniche necessarie per proteggere il PD dall'accesso illegale o accidentale a questi, dalla distruzione, modifica, blocco, copia, fornitura, distribuzione di PD e da altre azioni illegali riguardanti PDN.

11.2. Al fine di proteggere i dati personali, il Centro per l'impiego attua i requisiti per la protezione dei dati personali quando vengono elaborati in sistemi di dati personali stabiliti dal governo della Federazione russa.

11.3. Garantire la sicurezza del PD è raggiunto dal Centro per l'impiego, in particolare:

· Identificazione delle minacce alla sicurezza dei dati personali quando vengono elaborati nell'ISPDN del Centro per l'impiego;

· L'uso di misure organizzative e tecniche per garantire la sicurezza dei dati personali quando sono elaborati nell'ISPDN del Centro per l'impiego, necessari per soddisfare i requisiti per la protezione dei dati personali, il cui rispetto è garantito dai livelli di protezione dei dati personali stabiliti dal governo della Federazione Russa;

· L'uso delle misure di sicurezza delle informazioni trasmesse nel modo prescritto;

· Valutazione dell'efficacia delle misure adottate dal Centro per l'impiego per garantire la sicurezza dei dati personali prima della messa in servizio dell'ISPDN del Centro per l'impiego;

· Prendendo in considerazione i portabacchette PD del Centro per l'impiego

· Rilevazione di fatti di accesso non autorizzato al PDN e azione;

· Ripristino del PDN modificato o distrutto a causa dell'accesso non autorizzato ad essi;

· L'istituzione di regole per l'accesso ai PDN elaborati nella SPDN del Centro per l'impiego, nonché per garantire la registrazione e la registrazione di tutte le azioni eseguite sul PDN nell'ISPDN nel Centro per l'impiego;

· Controllo delle misure adottate per garantire la sicurezza dei dati personali e il livello di sicurezza dell'ISPDN del Centro per l'impiego.

11.4. Le informazioni sulle misure adottate dal Centro per l'impiego per proteggere i dati personali sono informazioni riservate.

12. Cambiamento delle politiche. Legge applicabile

12.1. Il Centro per l'impiego ha il diritto di apportare modifiche a questa politica.

12.2. Quando si apportano modifiche nell'intestazione della politica, viene indicata la data dell'ultimo aggiornamento della revisione.

12.3. La nuova versione della Politica entra in vigore dal momento della pubblicazione sul sito web del Ministero del Lavoro di Amurskaya Oblast, salvo diversa disposizione della nuova versione della Politica.

Modalità di trattamento dei dati personali

Domanda-risposta sull'argomento

la questione

Che cosa è legato ai metodi di elaborazione dei dati personali e cosa è correlato alle azioni con i dati personali?

La risposta

Secondo la clausola 9 dell'Ordine di Roskomnadzor datata 19 agosto 2011 n. 706, i metodi * includono:

- trattamento non automatizzato di dati personali;

- trattamento esclusivamente automatizzato di dati personali con o senza trasferimento di informazioni ricevute attraverso la rete;

- trattamento misto di dati personali (nota N 4).

E alle azioni in conformità con l'art. 3 della legge federale del 27.07.2006 n. 152-FZ. I dati personali comprendono: *

- chiarimenti (aggiornamento, modifica);

- distribuzione (compresa la trasmissione);

- la distruzione di dati personali.

Il fondamento logico di questa posizione è riportato di seguito nei materiali di "System Lawyer".

• LEGGE FEDERALE 27.07.200 N. 152-ФЗ "SUI DATI PERSONALI"

"L'elaborazione dei dati personali è qualsiasi azione (operazione) o insieme di azioni (operazioni), * eseguita con l'uso di strumenti di automazione o senza l'uso di tali mezzi con dati personali, inclusi raccolta, registrazione, sistematizzazione, accumulo, archiviazione, perfezionamento (aggiornamento, modifica), estrazione, uso, trasferimento (distribuzione, fornitura, accesso), spersonalizzazione, blocco, cancellazione, distruzione di dati personali "

• ORDINE DI ROSKOMNADZOR DAL 19 agosto 2011 n. 706

"Il campo" elenco di azioni con dati personali, una descrizione generale dei metodi utilizzati dal Gestore per il trattamento dei dati personali "* indica le azioni eseguite dall'Operatore con i dati personali, nonché una descrizione dei metodi utilizzati dall'Operatore per il trattamento dei dati personali:

- trattamento non automatizzato di dati personali;
- trattamento esclusivamente automatizzato di dati personali con o senza trasferimento di informazioni ricevute attraverso la rete;

- trattamento misto di dati personali (nota N 4) Nota N 4. Nel trattamento automatizzato di dati personali o trattamento misto, è necessario indicare se le informazioni ottenute durante il trattamento di dati personali sono trasmesse sulla rete interna della persona giuridica (l'informazione è disponibile solo per dipendenti ben definiti della persona giuridica ) o l'informazione viene trasmessa utilizzando l'Internet pubblica o senza trasmettere le informazioni ricevute. "

* Parte così evidenziata del materiale che ti aiuterà a prendere la decisione giusta.

Likbez sui dati personali per le aziende che li elaborano

Termini, sfumature e frequenti delusioni - nel materiale dagli esperti del servizio di sicurezza della compagnia "Onlanta" (incluso nel gruppo di aziende LANIT).

Comprendiamo la terminologia legale e le sfumature per le quali puoi essere in tribunale.

Spiega i termini nella lingua umana

La legge principale che regola i rapporti connessi al trattamento dei dati personali è la legge federale del 27 luglio 2006 n. 152-ФЗ "Dati personali".

Il primo termine da comprendere sono i dati personali.

Che cosa sono i dati personali

Questa è un'informazione che può essere utilizzata per identificare una persona: ad esempio, nome completo, data di nascita, istruzione, reddito e persino stato civile. Tu chiedi: "E quale, il mio cognome, stampato sul biglietto da visita, sono anche dati personali?"

Risposta: "Sì". Per legge, non importa se solo il tuo cognome è stampato sul biglietto da visita o in combinazione, ad esempio, con un numero di telefono e un indirizzo. Sia il primo, sia il secondo e il terzo - dati personali. È vero, l'archiviazione dei biglietti da visita o dei numeri di telefono della ragazza nella rubrica non dovrà essere risolta secondo la legge, ma di più su questo di seguito.

Vai avanti I media scrivono costantemente "archiviazione dei dati personali". Correttamente parlando, non è l'archiviazione, ma il trattamento dei dati personali. Qual è la differenza? Lo storage è solo una parte di ciò che viene chiamato elaborazione dei dati personali. Qualsiasi azione eseguita con dati personali (raccolta, accumulo, archiviazione, trasferimento, modifica) è indicata dalla legge come "trattamento dei dati personali".

È importante capire che la legge distingue due soggetti dei dati personali: l'operatore e il processore. L'operatore esegue il trattamento dei dati personali e determina anche lo scopo del loro trattamento, la composizione dei dati personali da elaborare, le azioni (operazioni) eseguite con i dati personali.

Un gestore è qualcuno che esegue qualsiasi azione con dati personali: raccolta, archiviazione, organizzazione, accumulo, aggiornamento, aggiornamento, cancellazione, depersonalizzazione e così via.

Infatti, il processore non è solo l'utente finale, che ha bisogno di dati personali per il lavoro, ma anche qualsiasi utente intermedio, attraverso le cui mani passano questi dati personali. Mostra in pratica.

compito

Il negozio online ha un database clienti, che si trova nel "cloud" di un'azienda di terze parti. Un'agenzia di marketing lavora con questa base. Domanda: quanti operatori di dati personali abbiamo?

La risposta corretta è una. Questo è un negozio online che fissa gli obiettivi dell'elaborazione dei dati personali. La seconda domanda è: quanti processori di dati personali abbiamo? La risposta corretta è due.

1. Una società che ha un database di negozio online nel suo cloud.
2. Un'agenzia di marketing che recupera i dati e, sulla base di questi dati, può preparare un'offerta promozionale ai clienti.

I dati personali vengono elaborati in molte diverse istituzioni: per esempio, in banche, scuole, cliniche, centri per i visti. Per non parlare delle pagine Web in cui ci registriamo, lasciando i nostri indirizzi e-mail e numeri di telefono. Ma come e dove esattamente?

sfumatura

C'è un termine così oscuro nella legge come "sistema di informazione sui dati personali". Se si tenta di spiegare in termini semplici - questo è un intero complesso, costituito da server di database, mezzi tecnici per garantire il loro trattamento e la tecnologia dell'informazione. In conformità con la legge, qualsiasi sistema di informazione sui dati personali deve essere protetto.

I metodi di protezione delle informazioni sono diversi.

• Fisico: ad esempio, nella stanza in cui si trovano i computer, è possibile installare telecamere, controllare gli accessi, utilizzare sistemi di allarme.
• Tecnico - utilizzando mezzi specializzati di protezione delle informazioni.
• Amministrativo: tutti i tipi di regolamenti e regole che disciplinano il trattamento dei dati personali all'interno dell'azienda.

esempio

Uno dei mezzi per proteggere le informazioni è la depersonalizzazione dei dati personali. Cos'è? Nel centro visti, a ogni persona che richiede un visto viene assegnato un numero di identificazione separato. Il numero stesso non si riferisce ai dati personali, dal momento che depersonalizza una persona: è impossibile identificare la persona che ha fatto domanda per un visto.

Mi sembra di elaborare dati personali.

Quindi, con la terminologia risolta. Ora tutti i rappresentanti delle imprese, in particolare i singoli imprenditori, che possono avere solo pochi impiegati nello staff, dovrebbero onestamente rispondere alla domanda: "Elaborare i dati personali?"

Sì, se sei il proprietario di un sito con una partecipazione di cinque persone alla settimana, ma ha un modulo di feedback con i campi "nome, indirizzo email, numero di telefono". Le informazioni relative alle finalità per le quali raccolgono i dati personali, come le utilizzi, devono essere presentate sul tuo sito web.

Sì, se stai elaborando i dati personali dei tuoi dipendenti o di specialisti di terze parti assunti per svolgere un lavoro.

Sì, se lavori con clienti privati ​​e hai bisogno dei loro dati sul passaporto per stipulare contratti, questo vale per agenzie di viaggio, centri fitness, varie società di servizi, negozi online e altri.

E ancora, sì, se sei un'organizzazione di bilancio, un partito politico o un asilo. Questi ultimi non hanno solo informazioni sul bambino, ma anche sui suoi genitori, incluso il posto di lavoro e la posizione. Per non parlare delle istituzioni mediche - c'è un mare di informazioni personali sensibili che devono essere archiviate in modo sicuro.

Tuttavia, se si utilizzano i dati per la comunicazione personale senza un vantaggio commerciale, i requisiti della legislazione non si applicano a voi e non vi è alcuna responsabilità penale.

Ad esempio, l'uso di contatti stampati su un biglietto da visita che hai ricevuto da un collega, o numeri di telefono in un notebook su uno smartphone, le informazioni sui social network non ti impongono la responsabilità di fronte alla legge.

L'importante è non divulgare i dati agli inserzionisti e non pubblicarli senza il permesso dei proprietari di dati personali di pubblico dominio.

Determina la categoria dei dati personali

Congratulazioni, sei l'orgoglioso proprietario del titolo "personal data operator". La cosa più importante ora è capire esattamente quali dati personali elaborate. Perché dipende dalla categoria di dati personali, come proteggere i dati e quali requisiti devono essere soddisfatti. Le categorie sono descritte in dettaglio nella legge federale 152 e nella risoluzione governativa del 1 ° novembre 2012 N 1119.

Categorie di dati personali in parole semplici:

Dati personali generalmente disponibili: dati da risorse aperte, che sono pubblicati dall'oggetto dei dati personali o con la sua approvazione. I dati disponibili al pubblico sono dati dal media o da Internet.

Esempio: informazioni pubblicate in accesso aperto sui social network o sul sito Web delle società. Numero di telefono e stato della famiglia pubblicati nell'accesso pubblico a Facebook. Il nome del dipendente e la sua posizione sul sito web del datore di lavoro.

Dati personali biometrici: questa categoria comprende tutti i dati sulle caratteristiche fisiologiche e biologiche delle persone.

Esempio: peso, altezza, colore degli occhi o dei capelli, lunghezza dei capelli, gruppo sanguigno, foto.

Dati personali di una categoria speciale: questo include informazioni sull'appartenenza a qualsiasi razza e nazione, opinioni politiche, convinzioni religiose e filosofiche, stato di salute o vita intima.

Esempio: diagnosi medica (informazioni su cosa eri malato, quando, quale medico ti ha trattato).

Dati personali di altri tipi - questo include dati personali non inclusi nelle categorie sopra.

Esempio: informazioni aziendali. Carte di contabilità per i dipendenti che contengono informazioni con le quali lavorano le risorse umane e la contabilità: stipendio, periodi di ferie, date di assunzione.

Categoria, numero, tipo di minacce - livello di protezione

Dopo aver deciso sulla categoria di dati personali, è necessario comprendere l'esatta quantità di dati che elaborate: fino a 100 mila o oltre 100 mila.

Scopri la categoria e la quantità, determina il tipo di minaccia:

Minacce numero 1. "Fori" e vulnerabilità nel sistema operativo. Esempio: vulnerabilità che gli hacker utilizzano per infiltrarsi nel sistema operativo per rubare informazioni.

Minacce numero 2. "Fori" e vulnerabilità nel software applicativo, ovvero nel software utilizzato nel lavoro quotidiano. Esempio: Word, Excel.

Minacce numero 3. Tutte le altre minacce non elencate nei primi due tipi. Prima di tutto, il fattore umano. Un dipendente può lasciare un documento aperto su un computer sbloccato, inviare un documento da stampare alla stampante di qualcun altro o via e-mail.

La quantità di dati personali, categoria, tipo di minacce - tutti insieme consentono di determinare il livello di protezione richiesto per il proprio sistema informativo. Ora ci sono quattro livelli di protezione.

Il primo e più alto livello di protezione è più spesso utilizzato per il trattamento di dati personali in agenzie governative e istituzioni mediche. Il quarto livello di protezione è il più facile da fornire, a volte è sufficiente eseguire misure di regolamentazione a livello organizzativo, principalmente per quanto riguarda la protezione dei dati disponibili al pubblico.

È possibile determinare il livello di protezione utilizzando questa tabella.

esempio

L'ospedale elabora i dati personali dei suoi pazienti: si tratta dei dati personali di una categoria speciale. Elabora anche i dati personali dei dipendenti: si tratta di dati personali di un'altra categoria. Molto probabilmente, l'ospedale ha due database. Se si sommano entrambi i database, si otterrà la quantità totale di dati personali che ruotano nel sistema informativo di questo ospedale.

Ad esempio, tutti loro - fino a 100 mila. Successivamente, esaminiamo come vengono elaborati i dati: automatizzati (in un computer) o non automatizzati (in un file cabinet manuale). Se tutto è automatizzato, guardiamo a quale software l'ospedale usa, quali vulnerabilità ha.

Sulla base di ciò, vengono identificate le minacce e il loro livello. Sommiamo tutti i fattori e otteniamo la classe di protezione di secondo livello. Analizziamo quali sono i requisiti della legge indicati al secondo livello di sicurezza. Sulla base di questi requisiti, sarà necessario costruire una protezione del sistema di informazione per soddisfare i requisiti della legge federale.

Un po 'sul pericolo di perdita di dati personali

Perché preoccuparsi della protezione dei dati personali? I dati personali sono un articolo costoso sul mercato nero. I truffatori sono disposti a pagare importi impressionanti per un profilo contenente tutti i dettagli della cartella clinica di una persona. Mercato separato - vendita di dettagli di carte bancarie; account nei social network.

Le conseguenze della perdita di dati personali sono diverse. I dati possono essere pubblicamente disponibili su Internet: ad esempio, è possibile trovare facilmente i database rubati con indirizzi e numeri di telefono dei clienti delle aziende sulla rete. Conoscendo il nome e il cognome, chiunque può trovare l'indirizzo di casa di una persona, accedere al social network, visualizzare un profilo o semplicemente scrivere un SMS su un telefono cellulare.

I dati personali possono entrare nel database di mailing fastidioso di alcune organizzazioni commerciali, quindi il loro proprietario sarà sopraffatto da offerte di servizi non richieste. Possono anche essere usati dai truffatori online per i casinò online o per aprire un portafoglio elettronico.

Nei casi peggiori, un utente malintenzionato può impersonare un'altra persona e prendersi il merito del nome di qualcun altro. Le conseguenze più gravi delle fughe di dati personali includono: azioni illegali con beni immobili, furto di denaro da carte bancarie, ricatto di parenti e registrazione di una società.

Onere della responsabilità

Capisci l'importanza della domanda e sei pronto ad assumerti la responsabilità? È giusto Perché la responsabilità per la sicurezza dei dati personali ricade interamente sull'operatore.

Ciò significa che l'operatore deve assicurarsi che le informazioni non siano accessibili al pubblico o che non cadano nelle mani di terzi che non hanno alcun diritto su di esso. Ciò richiede un costante monitoraggio e prevenzione delle minacce alla sicurezza dei dati, il controllo del livello di sicurezza delle informazioni e il loro ripristino in caso di perdita.

Nel nostro paese, Roskomnadzor controlla il rispetto della legislazione in materia di elaborazione dei dati personali. Questo corpo risponde ai reclami, regola le relazioni tra soggetti e operatori.

I requisiti tecnici per la protezione delle informazioni sono di competenza della FSTEC e dell'FSB: sviluppano i requisiti e controllano la loro esecuzione.

Requisiti per il trattamento dei dati personali

E ora è il momento di studiare le tabelle con i requisiti per la protezione tecnica dei dati personali. I dettagli possono essere trovati nell'ordine del Servizio federale per il controllo tecnico e delle esportazioni del 18 febbraio 2013 N 21.

Ma almeno inizia con questo:

1. Registrati con Roskomnadzor come operatore di dati personali. Richiesto per applicare a Roskomnadzor in formato cartaceo o elettronico. Informazioni sul link.
2. Ottieni il consenso scritto da tutte le entità i cui dati personali sono trattati. Il consenso al trattamento dei dati personali è il principale documento legale che conferma la legalità del trattamento dei dati personali.
3. Sviluppare la documentazione interna. Messa in servizio per ordine del capo dell'organizzazione "Regolamento sul trattamento dei dati personali". In questo documento, l'operatore spiega come intende utilizzare i dati personali, per cosa e dove verranno trasferiti. Questo è un documento fondamentale richiesto da qualsiasi operatore di dati personali. Sulla base di questo, vengono sviluppati tutti gli altri documenti amministrativi.

Molti proprietari di siti pensano che se un visitatore fa clic sul pulsante "Accetto il trattamento dei dati personali", non ci saranno problemi legali e l'elaborazione dei dati ricadrà automaticamente nel campo legale. Non lo è.

Da un punto di vista legale, ci sono solo due modi per confermare il consenso al trattamento dei dati personali: mettere una firma su carta o utilizzare una firma digitale elettronica.

In tutti gli altri casi, se il caso va in tribunale, il proprietario del sito non sarà in grado di confermare chi ha premuto esattamente il pulsante "Accetto". Si può solo sperare che il soggetto che è venuto sul tuo sito trasmetta volontariamente i suoi dati e non presenti un reclamo.

C'è davvero un assegno?

Sì, gli assegni possono essere da Roskomnadzor.

Roskomnadzor pubblica annualmente un elenco di assegni in modo selettivo dall'elenco degli operatori registrati, se una società è inclusa nell'elenco dei controlli, quindi il successivo controllo programmato è possibile non prima che dopo tre anni. Puoi vedere se la tua azienda è sulla lista quest'anno qui.

I controlli fuori piano sono solitamente causati da reclami. Se il controllo non è programmato, dovresti essere avvisato a riguardo in 24 ore per iscritto.

Ci possono essere anche controlli documentari. Durante la documentazione, invierai un elenco di documenti, copie delle quali dovranno essere inviate a Roskomnadzor.

A volte Roskomnadzor effettua ispezioni sul posto: gli ispettori effettuano personalmente visite per controllare la società sul posto.

Prepararsi a uno di questi controlli è un'attività che richiede tempo. Risolverai tu stesso il compito di prepararti per l'ispezione, o coinvolgerai specialisti esterni, in primo luogo dovrai determinare chi in azienda sarà responsabile del rispetto di FZ-152.

Multe, tribunali e altri orrori

Per violazione della 152-FZ, viene fornita la responsabilità civile, penale, amministrativa e disciplinare.

Quindi, Roskomnadzor ha condotto un'ispezione, se ha riscontrato incongruenze con la legge, emetterà un ordine al comitato investigativo per condurre un processo sul fatto di violazione della legge "Su Dati Personali".

Successivamente, l'ufficio del pubblico ministero inizierà un'ispezione, durante la quale può sospendere le attività della società: ritirare il database della società, in particolare, i computer su cui sono stati elaborati i dati personali.

I trasgressori della legge stanno aspettando in primo luogo le multe. L'ammontare delle multe varia a seconda del reato. Pertanto, per il trattamento di dati personali senza il permesso scritto delle entità, le persone giuridiche dovranno sostenere la responsabilità amministrativa.

Anche se l'operatore è disposto a pagare una multa, ma secondo gli standard della grande impresa, non sembra enorme, l'autore del reato dovrà comunque eliminare l'incoerenza davanti alla legge (ad esempio, eliminare i dati memorizzati) e informare Roskomnadzor.

Lo scenario peggiore è se Roskomnadzor decida di revocare la licenza dell'azienda, proibire l'elaborazione di dati personali da parte delle imprese e pubblicare illegalmente dati personali sui cittadini.

Negli ultimi anni, lo scandalo più rumoroso in Russia è stato associato al blocco di LinkedIn, i cui proprietari sono stati accusati di elaborare dati personali di cittadini senza il loro consenso sui server al di fuori della Federazione Russa. Anche il blocco del servizio autonum.info è stato "fatto rumori".

Quanto mi costerà denaro e forza

È possibile organizzare il trattamento dei dati personali in modo indipendente o con l'aiuto di una società che fornisce tale servizio.

Se si decide di elaborare personalmente i dati personali, è necessario:

1. Comprendere quale categoria di dati personali si sta elaborando e quali sono i requisiti tecnici per la loro protezione.
2. Da soli o con l'aiuto di un'azienda IT, sviluppare soluzioni tecniche, preparare gli acquisti delle attrezzature e del software necessari, installarlo e implementarlo.
3. Emettere tutti i documenti legali. Sviluppa una serie di documenti interni: istruzioni e regolamenti.

Nella migliore delle ipotesi, ci vorranno dai tre ai quattro mesi, al costo di una tale implementazione, che può essere di 200-300 mila rubli - questo è il costo di acquisto di attrezzature e licenze. Il costo del lavoro e l'ulteriore supporto del sistema di informazione costituiscono una voce di spesa separata. Avrai anche bisogno di un amministratore che monitorerà il funzionamento del sistema.

Parlando obiettivamente, le aziende molto piccole semplicemente non soddisfano tutti i requisiti della legge nella speranza che non ci sarà alcuna verifica. Forse non lo farà davvero. Altre società creano "villaggi Potemkin" solo fingendo di elaborare dati personali in conformità con i requisiti della legge, in altre parole, "acquistano" i documenti necessari.

Nel prossimo articolo, mostreremo come calcolare il costo del trattamento dei dati personali all'interno di un'azienda e dirti quando è più proficuo fare l'elaborazione dei dati personali e quando è meglio depositarli nel cloud.

Il materiale è pubblicato dall'utente. Fai clic sul pulsante "Scrivi" per condividere la tua opinione o parlare del tuo progetto.

Legge sui dati personali: implicazioni per il lavoro d'ufficio

• Khramtsovskaya Natalia | Candidato di scienze storiche, esperto leader in gestione documentale di EOS Company, ISO Expert, membro del Consiglio internazionale degli archivi

Alla ricerca della causa principale

La legge federale della Federazione russa n. 152-ФЗ "Su dati personali" è stata adottata il 27 luglio 2006 e, sullo sfondo di altri eventi eccezionali dello scorso anno, è passata quasi inosservata. La ragione formale per la sua adozione fu i numerosi fatti di furto di basi di dati personali in strutture statali e commerciali e la loro vendita diffusa. In effetti, lo scopo principale dell'adozione di questa legge era la necessità di rimuovere alcuni ostacoli agli scambi con i paesi dell'Unione europea.

La Francia ha vietato la pubblicazione di fatti sulla privacy e ha imposto multe per i trasgressori nel 1858.

Il Codice penale norvegese vietò la pubblicazione di informazioni relative a "affari personali o privati" nel 1889.

La legge nazionale "Su dati personali" del 27 luglio 2006 n. 152-FZ ha iniziato la sua attività il 26 gennaio di quest'anno (conformemente alla parte 1 dell'articolo 25, la legge entra in vigore 180 giorni dopo la pubblicazione ufficiale, avvenuta il 29 luglio 2006 nella "Rossiyskaya Gazeta").

Secondo la Direttiva UE 95/46 / CE, i dati personali possono essere trasferiti solo in paesi che offrono lo stesso livello di protezione che in Europa. Ciò ha notevolmente ostacolato lo scambio di informazioni da parte di agenzie governative e società europee con i loro partner stranieri, rendendo impossibile per molti progetti commercialmente promettenti. Tali restrizioni furono sperimentate non solo dalla Russia e dai paesi del terzo mondo, ma anche da un mostro economico come gli Stati Uniti. Quindi, il nostro governo ha deciso di superare questa barriera. Vediamo come ha fatto e cosa ci costerà tutti.

L'adozione della legge russa sui dati personali è il risultato dell'adesione della Federazione russa alla Convenzione europea del 1981 "Sulla protezione della persona in relazione al trattamento automatizzato di dati personali", che definisce i principi di base per la protezione dei dati personali nei paesi europei. La presente Convenzione e le successive Direttive dell'Unione Europea hanno delineato i compiti che la legislazione nazionale deve affrontare nel disciplinare i dati personali:

• protezione dei dati personali dall'accesso non autorizzato ad essi da parte di altre persone, compresi i rappresentanti di enti e servizi governativi che non dispongono dell'autorità necessaria;
• garantire la sicurezza, l'integrità e l'affidabilità dei dati nel processo di lavoro con loro, compresa la trasmissione attraverso i canali di comunicazione;
• assicurare il corretto regime legale di questi dati quando lavorano con loro per varie categorie di dati personali;
• garantire il controllo sull'uso dei dati personali da parte dei cittadini;
• la creazione di una speciale struttura indipendente che assicuri un controllo effettivo sul rispetto dei diritti di un cittadino per proteggere i suoi dati personali (ad esempio, la creazione del posto di commissario per la protezione dei dati personali).

La nostra legge ripete in gran parte le principali disposizioni della legislazione europea in questo settore, che è considerata una delle 2 più difficili al mondo. Anche se nel 2006, la legge è stata discussa abbastanza spesso, ma poche persone leggono attentamente il contenuto delle sue disposizioni. Ma al fine di garantire la conformità con i suoi requisiti, è necessario modificare in modo significativo il lavoro con le informazioni e la documentazione contenente i dati personali. Proviamo a capire cosa c'è di nuovo nel campo della gestione dei documenti e delle informazioni nell'organizzazione?

• In tutte le organizzazioni, c'è un nuovo, piuttosto voluminoso strato di documentazione. Si tratta di documenti relativi al consenso delle persone per il trattamento dei loro dati personali, con la registrazione di database con l'organismo autorizzato, con la documentazione di tutte le transazioni con dati personali, ecc.
• È necessario evidenziare documenti e informazioni contenenti dati personali; la loro etichettatura speciale sia su supporto cartaceo che elettronico; contabilità separata e tracciamento degli accessi. Puoi parlare dell'aspetto di un altro tipo di accesso al collo ai documenti.
• Approccio fondamentalmente mutevole all'istituzione della conservazione di documenti e informazioni. Per la prima volta nella pratica domestica, viene stabilito il periodo massimo di conservazione e il periodo condizionale, che sarà piuttosto difficile da osservare e tracciare.
• Quando si lavora con dati personali, è necessario pensare chiaramente in anticipo e registrarlo nei documenti normativi, che sono collegati con il loro trattamento. In caso contrario, l'organizzazione potrebbe essere ritenuta responsabile e, ancor più spiacevolmente, potrebbero esserci numerose cause da parte degli stessi dati personali 3.
• La legge introduce termini molto rigidi per l'esecuzione di tutti i ricorsi dei cittadini relativi al trattamento dei dati personali.

Cerchiamo ora di approfondire le disposizioni più importanti della legge e valutare quali organizzazioni e istituzioni dovranno impegnarsi per attuarla. Inoltre, cercheremo di analizzare alcune disposizioni della legge in termini di correttezza e chiarezza della loro formulazione.

Campo di applicazione della legge

La prima domanda: a chi si applica questa legge? Rispondendo ad esso, possiamo tranquillamente affermare che si applica a tutti senza eccezioni (alle istituzioni statali, alle persone giuridiche e agli individui). Ecco una lista dell'articolo 1:

• enti governativi federali
• autorità statali delle entità costituenti della Federazione russa,
• altri corpi di stato
• governi locali,
• enti non municipali,
• persone giuridiche
• individui.

La seconda questione importante è lo scopo della legge.

Articolo 1 della legge federale della Federazione russa "Su dati personali" n. 152-FZ del 27 luglio 2006

La presente legge federale disciplina i rapporti connessi al trattamento dei dati personali... con l'uso di strumenti di automazione o senza l'utilizzo di tali strumenti, se il trattamento dei dati personali senza utilizzare tali mezzi corrisponde alla natura delle azioni (operazioni) eseguite con dati personali utilizzando mezzi di automazione.

La formulazione di questo articolo è un esempio di come non scrivere leggi. Risultò qualcosa di incomprensibile, permettendo una varietà di interpretazioni. In che modo, sulla base di tale testo, rispondere, ad esempio, alla domanda se i dati trattati in forma libera in un blocco appunti aziendale rientrino nell'ambito di applicazione della legge? Se un notebook è memorizzato in un computer o in un telefono cellulare, si considera "l'uso di apparecchiature di automazione"?

La legislazione europea a questo riguardo è più chiara:

Direttiva UE 95/46 / CE 1995

Articolo 2 "Definizioni":

(c) "sistema di archiviazione dati personali" 4 ("sistema di archiviazione") è un insieme strutturato di dati personali a cui è possibile accedere in base a determinati criteri, indipendentemente dal modo in cui è organizzato il set di dati, centralizzato, decentralizzato o distribuito su base funzionale o geografica...

Articolo 3 "Campo di applicazione":

1. La presente direttiva si riferisce al trattamento di dati personali che utilizzano mezzi automatici (in tutto o in parte), nonché al trattamento con mezzi diversi da dati, dati, componenti automatici o destinati a far parte dei sistemi di archiviazione.

Nella terminologia informatica moderna, per "dati strutturati" si intendono, in primo luogo, i database. Nelle pratiche burocratiche, includono file di schede e archivi di file personali. Pertanto, i requisiti europei includono:

• al trattamento automatico di dati personali e
• per l'uso (in modalità automatica o di altro tipo) contenente dati personali di banche dati cartacee ed elettroniche, file di schede, ecc., dotati di un meccanismo di ricerca che facilita l'estrazione di informazioni su una determinata persona.

Perché era impossibile scrivere in russo e nella nostra legge rimane incomprensibile?

Bisogna fare attenzione alla differenza di terminologia: "l'elaborazione automatica" è una cosa, e l'elaborazione "usando apparecchiature di automazione" è un concetto completamente diverso, molto più ampio e più vago.

La legge prevede solo quattro eccezioni, vale a dire che la legge non si applica alle relazioni derivanti:

• durante il trattamento di dati personali per esigenze personali e familiari;
• durante il trattamento di dati personali in documenti del Fondo di archiviazione della Federazione russa;
• durante l'elaborazione di dati personali da includere nel Registro dello Stato unificato di singoli imprenditori (EGRIP);
• durante l'elaborazione di dati personali classificati come segreti di stato.

Uno di questi punti richiede uno studio più dettagliato. Per iniziare, citiamo la legge:

Articolo 1 della legge federale della Federazione russa "Su dati personali" n. 152-FZ del 27 luglio 2006

2. La presente legge federale non si applica ai rapporti derivanti da:

2) l'organizzazione della conservazione, dell'acquisizione, della contabilità e dell'uso, contenente i dati personali dei documenti del Fondo di archiviazione della Federazione Russa e altri documenti d'archivio in conformità con la legislazione sugli archivi nella Federazione Russa.

Vi ricordiamo due definizioni contenute nella legge "Sugli affari archivistici nella Federazione russa" n. 125-ФЗ del 10.22.2005:

• documento d'archivio - un mezzo tangibile con informazioni registrate su di esso, che ha dettagli, che consente di essere identificato, ed è soggetto alla conservazione a causa del significato del vettore indicato e delle informazioni per i cittadini, la società e lo stato;
• Il documento del Fondo per l'archiviazione della Federazione Russa è un documento d'archivio che ha superato l'esame del valore dei documenti, è stato messo in contabilità statale ed è soggetto a conservazione permanente.
  Si scopre che se un periodo di archiviazione permanente è stabilito per un documento o database e sono inclusi nel Fondo di archiviazione della Federazione Russa, allora questa legge non si applica a loro. Questo difetto consente alle agenzie governative con qualsiasi database serio di evitare l'implementazione della nuova legge sui dati personali.

Ecco un esempio di come questo può essere fatto. Secondo la legge federale "sugli affari archivistici nella Federazione russa" (parte 2 dell'articolo 18), il governo della Federazione russa approva l'elenco degli organismi e delle organizzazioni federali che effettuano la custodia dei documenti del Fondo di archiviazione della Federazione russa di proprietà federale. Alla fine del 2006 è stato approvato un nuovo elenco di 5 di questi dipartimenti e organizzazioni. Allo stesso tempo, a queste organizzazioni è stato ordinato di concludere un accordo sulle condizioni di conservazione dei documenti con Rosarkhiv. Se alla conclusione del contratto è specificatamente stipulato che tutti i documenti, ad eccezione di quelli operativi, sono considerati come documenti trasferiti per la custodia, allora la maggior parte dei documenti può essere inserita in questa eccezione.

Per altre organizzazioni statali, una delle opzioni potrebbe essere la pronta approvazione dei registri dei casi con archivi statali, che in realtà significherebbe l'inclusione di documenti nel Fondo di archiviazione della Federazione russa e di nuovo lasciando la "zona di azione" della legge sui dati personali.

Le direttive dell'Unione europea non contengono tale eccezione, tuttavia esiste, ad esempio, nel codice statunitense 6, che contiene una formulazione più corretta che non ammette ambiguità: la legislazione sui dati personali in genere non si applica ai documenti già depositati negli archivi di stato, ma si applica ai documenti trasferiti negli archivi di stato da qualsiasi agenzia per la custodia.

Inoltre, non è chiaro il motivo per cui, dalle nostre numerose banche dati statali, la nostra legge ha fatto un'eccezione per il registro unificato statale dei singoli imprenditori (EGRIP). Sarebbe logico quindi estendere l'eccezione ad altri registri di stato che contengono anche dati personali (ad esempio, l'incorporazione include informazioni sui fondatori e le prime persone di tutte le entità legali del paese).

Dati personali e metodi di elaborazione

Dati personali - qualsiasi informazione relativa a una persona fisica (oggetto di dati personali) determinata o determinata sulla base di tali informazioni, incluso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, stato sociale, proprietà, istruzione, professione, reddito, altre informazioni (secondo l'articolo 3 della legge sui dati personali).

La legge prevede i seguenti metodi di trattamento dei dati personali (per alcune di esse sono fornite spiegazioni dettagliate all'articolo 3):

• raccolta;
• sistematizzazione;
• accumulo;
• stoccaggio;
• chiarimento (aggiornamento, modifica);
• utilizzare - "azioni (operazioni) con dati personali eseguite dall'operatore 7 allo scopo di prendere decisioni o compiere altre azioni che comportino conseguenze giuridiche in relazione al soggetto di dati personali o di altre persone, o in qualsiasi altro modo che pregiudichi i diritti e le libertà dei dati personali o di altre persone";
• distribuzione (compreso il trasferimento) - "azioni volte al trasferimento di dati personali a una determinata cerchia di persone (trasferimento di dati personali) o conoscenza di dati personali di un numero illimitato di persone, compresa la divulgazione pubblica di dati personali nei media, collocazione in informazioni e telecomunicazioni reti o fornendo accesso ai dati personali in qualsiasi altro modo ";
• Depersonalizzazione - "azioni, a seguito delle quali è impossibile determinare l'identità dei dati personali a un determinato soggetto di dati personali";
• blocco - "sospensione temporanea della raccolta, sistematizzazione, accumulazione, uso, diffusione di dati personali, compreso il loro trasferimento";
• distruzione di dati personali - "azioni che non potrebbero ripristinare il contenuto di dati personali nel sistema di informazione di dati personali o comportare la distruzione dei supporti materiali di dati personali".

Occorre prestare particolare attenzione a tali metodi di trattamento come il blocco e la distruzione dei dati personali. La legge dice abbastanza bene sulla distruzione: questo è l'approccio che è ora raccomandato dagli standard nazionali ed esteri. Per quanto riguarda il blocco dei dati personali, questo metodo di elaborazione nella pratica domestica è stato introdotto per la prima volta e la sua esecuzione può complicare significativamente la vita delle organizzazioni che utilizzano sistemi informativi e database precedentemente sviluppati in cui tale operazione non è fornita.

Principi e condizioni per il trattamento dei dati personali

Le disposizioni di legge mirano principalmente a prevenire la raccolta e l'uso illegali di dati personali. Questo desiderio del legislatore ha portato all'emergere di una nuova posizione per la pratica di registrazione:

Clausola 2 dell'articolo 5 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ

I dati personali devono essere archiviati in una forma che consenta di determinare l'oggetto, non più di quanto richiedano gli obiettivi di elaborazione, e devono essere distrutti al raggiungimento degli obiettivi dell'elaborazione dei dati personali o alla perdita della necessità di raggiungerli.

In questo caso, la legge, per la prima volta, forse imposta per informazioni e documenti il ​​periodo di archiviazione massimo e, per giunta, condizionale - "sul raggiungimento degli obiettivi di elaborazione". Le organizzazioni dovranno stabilire periodi di conservazione per i documenti contenenti dati personali, e sarà necessario pensare in anticipo sulla logica dei periodi di conservazione selezionati. Questa è una domanda piuttosto complicata che può causare molte polemiche e problemi.

Inoltre, gli specialisti DOE devono prestare attenzione a quanto segue: poiché gli obiettivi per la raccolta e il trattamento dei dati personali, come richiesto dalla legge, devono essere determinati prima di iniziare il lavoro, è necessario considerare attentamente la loro formulazione. Altrimenti, l'organizzazione stessa può "sostituirsi": gli obiettivi saranno soddisfatti ei dati personali non saranno distrutti.

Uno dei più spiacevoli per le organizzazioni che raccolgono ed elaborano dati personali è il requisito dell'articolo 6 sulla necessità di ottenere il consenso del soggetto per il loro trattamento. Nessun consenso è richiesto solo nei seguenti casi:

• sulla base della legislazione federale;
• per adempiere al contratto con l'oggetto dei dati personali;
• per scopi statistici o scientifici;
• proteggere la vita e la salute del soggetto dei dati personali;
• per la consegna di articoli postali da parte di organizzazioni postali;
• nel corso delle attività professionali di un giornalista, studioso, ecc.;
• dati da pubblicare in conformità con le leggi federali;
• al fine di proteggere le basi dell'ordine costituzionale, la moralità, la salute, i diritti e gli interessi legittimi degli altri, per garantire la difesa del paese e la sicurezza dello stato.

Abbiamo già un certo numero di leggi federali che descrivono il trattamento dei dati personali, ad esempio, quando si gestiscono i Registri unificati dello Stato dei contribuenti (EGRN) e le persone giuridiche (USR). L'unica condizione per utilizzare l'eccezione dal requisito del consenso generale è di presentare le seguenti domande nella legislazione pertinente:

• obiettivo,
• condizioni per l'ottenimento di dati personali
• cerchia dei soggetti i cui dati personali sono soggetti a trattamento,
• poteri dell'operatore che raccoglie i dati.

Non è ancora chiaro cosa accadrà a quelle leggi che contengono norme relative alla raccolta e al trattamento dei dati personali, ma non soddisfano le condizioni specificate.

Il primo ai problemi connessi con il rispetto della nuova legge, ha attirato l'attenzione delle compagnie di assicurazione. A loro avviso, la legge sui dati personali può seriamente ostacolare l'attuazione della legge sull'assicurazione obbligatoria della responsabilità civile auto (MTPL) a causa del divieto di trasferire a terzi i dati personali del cliente ottenuti al momento della conclusione del contratto MTPL senza il suo consenso. Di conseguenza, la compagnia di assicurazioni non sarà in grado di ottenere informazioni complete sui propri clienti da un singolo database (e il mantenimento di tale database è anche discutibile), in questa situazione, i rischi degli assicuratori stanno aumentando.

Le compagnie di assicurazione stanno già cercando di risolvere questo importante problema considerando le seguenti opzioni:

• Modifiche alla legge su OSAGO e obbligo per gli assicuratori di scambiare dati su eventi assicurati.
• Definizione di una parte di dati personali come pubblica. L'informazione che un individuo indica quando si effettua un contratto OSAGO è, secondo gli assicuratori, pubblica. Tuttavia, la legge "sui dati personali" richiede il consenso per la raccolta di dati pubblici.
• Il Comitato dell'Associazione Russa degli Assicuratori (ARIA) per combattere le frodi assicurative ha già preparato due progetti di legge, che dovrebbero essere presentati alla Duma di Stato all'inizio del 2007. Secondo il capo del comitato, Yevgeny Potapov, una di queste leggi modificherà la legge "Sull'organizzazione delle attività assicurative nella Federazione Russa". Permetterà agli assicuratori di creare sistemi informativi automatizzati basati sulle loro associazioni e associazioni, che conterranno dati relativi a richieste di indennizzo e pagamenti 8.

Il paragrafo 6 dell'articolo 6 sulla concessione del diritto di trattare dati personali a giornalisti, studiosi e rappresentanti di altre professioni creative senza il consenso del soggetto è in dubbio. È abbastanza realistico (soprattutto nelle strutture commerciali) introdurre una posizione a tempo pieno di "un rappresentante della professione creativa" e "scrivere su di essa" tutti i database contenenti informazioni personali.

Ad esempio, in Inghilterra, in una disposizione analoga della legge, è inoltre previsto che in questo caso lo scopo del trattamento dei dati debba essere la pubblicazione del materiale pertinente; che tale pubblicazione deve essere di interesse pubblico (incluso nell'esercizio del diritto di autoespressione di un rappresentante della professione creativa) 9.

Inoltre, è interessante come determineremo chi è un giornalista o uno scrittore e chi no. Non è un segreto che molti dei fratelli scriventi non abbiano i diplomi o gli ID ufficiali appropriati. Qui, l'approccio utilizzato negli Stati Uniti può essere utile a noi: i giornalisti riconoscono tutti coloro che scrivono articoli per la distribuzione pubblica, anche se sono pubblicati solo su Internet.

Negli Stati Uniti, nel gennaio 2007, è iniziato il processo contro l'ex amministrazione di George Bush Lewis "Scooter". Cento seggi sono stati accantonati per la stampa in aula e due di loro sono stati ufficialmente ricevuti dagli autori dei diari online.

L'American Society of Newspaper Editors, nel redigere una legge federale sulla concessione ai giornalisti del diritto di non divulgare informazioni riservate durante i procedimenti giudiziari, suggerisce che questa legge si applica a tutti senza eccezioni e copre coloro che raccolgono informazioni per un'ulteriore distribuzione. E anche gli autori dei diari di Internet, i "blogger", rientrano in questa definizione 10.

Ora vediamo come la nuova legge comporta l'ottenimento del consenso del soggetto al trattamento dei suoi dati personali.

Clausola 1 dell'articolo 9 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ

L'oggetto dei dati personali decide sulla fornitura dei suoi dati personali e si impegna al loro trattamento da parte sua propria volontà e nel proprio interesse... Il consenso al trattamento dei dati personali può essere ritirato dal soggetto dei dati personali.

Inoltre, la clausola 3 dell'articolo 9 contiene una condizione piuttosto spiacevole per gli operatori. Dovranno o accumulare prove del fatto che i dati da loro raccolti sono presi da fonti disponibili pubblicamente, o ottenere il consenso dall'oggetto dei dati personali e quindi archiviare questo documento nel caso in cui il "soggetto" decida di citare in giudizio l'operatore per violazione dei suoi diritti.

Anche i dati disponibili al pubblico non sono così semplici. L'articolo 8, che definisce cosa si intende per fonti di dati personali accessibili al pubblico (libri di riferimento, rubriche, ecc.), Sottolinea che le informazioni personali possono essere incluse solo con il consenso scritto del soggetto. Inoltre, "le informazioni relative all'oggetto dei dati personali possono essere in qualsiasi momento escluse dalle fonti di dati personali disponibili pubblicamente su richiesta del soggetto di dati personali o da un tribunale o da altri organismi governativi autorizzati".

D'altro canto, se un'organizzazione raccoglieva informazioni di fonte pubblica disponibili per raccogliere dati personali, doveva documentare dove ha ricevuto tali informazioni e assicurarsi che la "fonte" abbia il consenso scritto richiesto dalla legge.

Legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ

Clausola 12 dell'articolo 3. Termini di base utilizzati in questa legge federale

I dati personali generalmente accessibili sono dati personali a cui un numero illimitato di persone ha accesso con il consenso del soggetto dei dati personali o ai quali il requisito di riservatezza non si applica in conformità con le leggi federali.

Clausola 1 dell'articolo 8. Generalmente fonti accessibili di dati personali

Per fornire supporto informativo, è possibile creare fonti di dati personali accessibili al pubblico (compresi libri di riferimento, rubriche). Fonti pubblicamente disponibili di dati personali con il consenso scritto del soggetto dei dati personali possono includere il suo cognome, nome, secondo nome, anno e luogo di nascita, indirizzo, numero di abbonato, informazioni sulla professione e altri dati personali forniti dall'oggetto dei dati personali.

Clausola 3 dell'articolo 9. Consenso all'oggetto dei dati personali sul trattamento dei propri dati personali

L'obbligo di fornire la prova del consenso del soggetto dei dati personali al trattamento dei propri dati personali, e in caso di trattamento di dati personali disponibili al pubblico, l'operatore è tenuto a dimostrare che i dati personali oggetto di trattamento sono pubblicamente disponibili.

Si scopre che per proteggersi, le organizzazioni dovranno chiedere conferma ufficiale per ogni cittadino.

Come deve essere depositato il consenso scritto del soggetto? Risulta che la firma di un cittadino sotto la frase generale "Accetto la raccolta e il trattamento dei miei dati personali" non sarà sufficiente.

Clausola 4 dell'articolo 9 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ

... il consenso scritto del soggetto dei dati personali al trattamento dei propri dati personali dovrebbe includere:

1. cognome, nome, patronimico, indirizzo dell'oggetto dei dati personali, numero del documento principale comprovante la sua identità, informazioni sulla data di rilascio del documento specificato e autorità di rilascio;
2. il nome (cognome, nome, patronimico) e l'indirizzo dell'operatore che ottiene il consenso dall'oggetto dei dati personali;
3. scopo del trattamento dei dati personali;
4. un elenco di dati personali per il trattamento dei quali viene fornito il consenso all'oggetto dei dati personali;
5. l'elenco delle azioni con dati personali per i quali viene fornito il consenso, una descrizione generale dei metodi utilizzati dall'operatore per il trattamento dei dati personali;
6. il periodo durante il quale il consenso è valido, nonché la procedura per il suo ritiro.

Ciò significa che prima di "catturare" l'oggetto dei dati personali e cercare di ottenere il suo consenso, l'operatore deve sviluppare una forma speciale del documento che contenga tutte le informazioni necessarie.

Diritti dell'oggetto dei dati personali

Innanzitutto, l'oggetto dei dati personali ha diritto a ricevere le seguenti informazioni:

• informazioni sull'operatore,
• informazioni sulla posizione dell'operatore,
• informazioni sui dati personali dell'operatore relativi all'oggetto pertinente dei dati personali,
• l'interessato ha anche il diritto di familiarizzare con i propri dati personali detenuti dall'operatore.

Dall'operatore, l'oggetto dei dati personali potrebbe richiedere:

• chiarisci i tuoi dati personali
• il loro blocco o distruzione nel caso in cui i dati personali siano incompleti, obsoleti, inaccurati, ottenuti illegalmente o non necessari per lo scopo dichiarato di elaborazione.

Molte difficoltà per le organizzazioni di operatori creeranno la clausola 2 dell'articolo 14 della legge, che richiede che le informazioni sulla disponibilità dei dati personali siano fornite all'operatore dall'operatore in una forma accessibile e che non contengano informazioni relative ad altri soggetti di dati personali.

Il caso 11 "Durant vs. Financial Services Authority", trattato presso la Court of Appeal in Inghilterra nel dicembre 2003, ha ricevuto un'ampia risposta. La decisione della corte ha significativamente ridotto l'interpretazione del concetto di "dati personali". In particolare, la corte ha indicato che la semplice menzione di questa persona nel testo del documento non è sufficiente per considerare il documento contenente dati personali. Inoltre, il tribunale ha confermato che il diritto di accedere ai propri dati personali non deve violare i diritti di terzi e che, di conseguenza, i dati personali di terzi devono essere rimossi dalle copie dei documenti forniti su richiesta (salvo coincidenze particolari di circostanze).

Nel novembre 2004, il governo ha negato il diritto dei lavoratori nel Regno Unito di accedere ai propri dati personali, indipendentemente dal fatto che il loro datore di lavoro li tenga in forma cartacea o elettronica, se sono memorizzati in un sistema che non struttura chiaramente le informazioni su ciascuna persona. Pertanto, i sistemi di archiviazione per i file cartacei (ad eccezione dei file personali) sono stati di fatto rimossi dall'azione della legge sulla fornitura dell'accesso alle informazioni personali, poiché sono difficili da isolare le informazioni su una determinata persona.

Per accedere ai propri dati personali, i nostri connazionali devono:

• applicare personalmente o
• invia richiesta, che dovrebbe contenere:
  • il numero del documento principale che certifica l'identità dell'oggetto dei dati personali o il suo rappresentante legale,
  • informazioni sulla data di rilascio del documento specificato e dell'autorità emittente e
  • firma manoscritta dell'oggetto dei dati personali o del suo rappresentante legale.

Questa richiesta può essere inviata in forma elettronica e firmata con una firma digitale. Pertanto, la legge offre formalmente l'opportunità di richiedere i propri dati personali attraverso i canali di comunicazione elettronica. Non abbiamo ancora individui che abbiano il proprio EDS conforme alla legge sull'EDS (nella stragrande maggioranza dei casi, l'EDS è utilizzato nel nostro paese in conformità con l'articolo 160 del Codice Civile, che prevede un accordo preliminare delle parti).

La quantità di informazioni che un oggetto di dati personali può richiedere dimostra preoccupazione per i nostri cittadini. Le organizzazioni che guidano la banca dati contenente dati personali si raccomandano di prestare particolare attenzione al paragrafo 4 dell'articolo 14 della nuova legge al fine di riflettere e consolidare la procedura per fornire informazioni nei regolamenti interni:

1. il fatto del trattamento dei dati personali da parte dell'operatore, nonché le finalità di tale trattamento;
2. sulle modalità di trattamento dei dati personali utilizzati dall'operatore;
3. sulle persone che hanno accesso ai dati personali o ai quali può essere concesso tale accesso (per poter fornire informazioni su chi e quali dati personali sono stati forniti, è necessario organizzare il lavoro sulla registrazione dei dati personali e controllarne l'accesso, altrimenti l'organizzazione dell'operatore abbastanza difficile da soddisfare questo requisito);
4. elenco dei dati personali trattati e delle fonti di ricevimento;
5. i tempi di elaborazione dei dati personali, compreso il tempo di conservazione (particolare attenzione deve essere prestata a tale requisito, in quanto obbliga l'operatore a fissare i tempi di elaborazione e conservazione, che possono variare a seconda delle finalità del trattamento dei dati personali, da documenti normativi interni);
6. informazioni su quali conseguenze legali per l'oggetto dei dati personali possono comportare il trattamento dei suoi dati personali (per soddisfare tale requisito, le organizzazioni dovrebbero in anticipo istruire i propri legali a formulare giustificazioni per tutte le possibili conseguenze legali dell'elaborazione dei dati personali)

Il problema dell'elaborazione dei dati personali "al fine di promuovere beni, opere, servizi sul mercato attraverso contatti diretti con un potenziale consumatore attraverso strumenti di comunicazione, nonché per campagne politiche" è dedicato a un articolo speciale (articolo 15). Ora, le organizzazioni commerciali e politiche, prima di inviare pubblicità, devono ottenere il consenso preliminare del cittadino, e il trattamento di PD "è riconosciuto effettuato senza il preventivo consenso del soggetto dei dati personali, se l'operatore non prova che tale consenso è stato ottenuto". Per alcune strutture commerciali, questo requisito potrebbe essere molto sconveniente!

D'ora in poi, "è vietato prendere decisioni sulla base del trattamento esclusivamente automatizzato di dati personali, che danno origine a conseguenze giuridiche in relazione al soggetto dei dati personali o comunque influenzano i suoi diritti e interessi legittimi" (Articolo 16).

Questa disposizione è necessaria e tempestiva. Ma i nostri legislatori, nel formularlo, hanno confuso due concetti diversi: "automatico" (cioè, senza partecipazione umana) e "automatizzato" (cioè, andando con la partecipazione umana). Di conseguenza, questo articolo, invece di imporre restrizioni aggiuntive a quelle e solo quando il sistema di informazione prende decisioni senza la partecipazione umana (ad esempio, l'addebito di una multa, il divieto di viaggiare fuori dal paese, ecc.), Può essere interpretato come imposizione di restrizioni su tutti i tipi di trattamento dei dati personali, poiché anche l'uso di un calcolatore può essere inteso come elaborazione automatizzata!

Nello stesso articolo della nuova legge, si afferma che l'operatore sarà in grado di prendere decisioni basate solo sull'elaborazione "automatizzata", se:

• ottenere il consenso scritto dall'interessato o
• se queste regole sono stabilite dalle leggi federali.

In alcuni documenti normativi, questi requisiti di legge sono già stati presi in considerazione. Pertanto, nei campioni di domande per il rilascio di un passaporto di nuova generazione, esiste una sezione speciale in cui il richiedente acconsente al trattamento "automatizzato" dei dati indicati nella domanda. Sembra come segue: "Sono d'accordo con l'elaborazione, la trasmissione e l'archiviazione automatizzata dei dati specificati nell'applicazione ai fini della produzione, elaborazione e controllo di un passaporto durante il suo periodo di validità" 12.

L'operatore dovrà inoltre fornire le seguenti informazioni al cittadino in anticipo:

• l'ordine del processo decisionale sulla base del trattamento esclusivamente "automatizzato" dei suoi dati personali e
• possibili conseguenze legali di tale decisione;
• la procedura per la protezione da parte dei dati personali dei propri diritti e interessi legittimi;
• opportunità di opporsi a tale decisione.

In caso di controversia, è l'operatore che dovrà dimostrare di aver rispettato tutti i requisiti della legge. Ciò significa che dovrà raccogliere e conservare con cura i documenti di supporto.

Responsabilità dell'operatore

Gli obblighi dell'operatore, in conformità dell'articolo 18, includono principalmente la fornitura di informazioni personali su richiesta del cittadino. Inoltre, l'operatore deve "chiarire all'oggetto dei dati personali le conseguenze legali del rifiuto di fornire i propri dati personali", se tale obbligo è stabilito dalla legge federale.

L'articolo 20 stabilisce gli operatori sono scadenze molto rigorose richieste da parte dei soggetti di dati personali (sono molto più rigidi, come quelli forniti in una recente legge "Per ordine di esame delle domande di cittadini della Federazione Russa"):

• fornitura di dati - entro 10 giorni lavorativi dalla data di ricevimento della richiesta;
• rifiuto motivato - entro 7 giorni lavorativi.

L'operatore avrà ancora più domande se è necessario eliminare le violazioni della legge entro i termini previsti dall'articolo 21 della nuova legge. Il blocco dei dati deve essere effettuato dal momento della richiesta o dal momento della ricezione della richiesta e dall'eliminazione delle violazioni entro 3 giorni lavorativi.

In alcuni casi, l'operatore è tenuto a distruggere i dati personali entro 3 giorni lavorativi, vale a dire:

• in caso di mancata eliminazione delle violazioni,
• in caso di raggiungimento dell'obiettivo del trattamento dei dati personali,
• nel caso in cui l'oggetto dei dati personali revochi il suo consenso al trattamento dei suoi dati personali.

Sia il blocco che la distruzione dei dati personali possono essere difficili (e talvolta impossibili) da implementare nei sistemi informativi e nei database attualmente operativi che in precedenza non prevedevano tale possibilità.

Sarà ancora più difficile per l'operatore se riceve dati personali non da un cittadino, ma da una terza parte.

Articolo 3 dell'articolo 18 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ

Se i dati personali non sono stati ricevuti dall'interessato, se i dati personali non sono stati forniti all'operatore dalla legge federale o se i dati personali sono disponibili al pubblico, l'operatore deve fornire le seguenti informazioni al soggetto dei dati personali prima di elaborare tali dati personali:

1. nome (cognome, nome, secondo nome) e indirizzo dell'operatore o del suo rappresentante;
2. lo scopo del trattamento dei dati personali e la sua base giuridica;
3. utenti previsti di dati personali;
4. i diritti sull'oggetto dei dati personali stabiliti dalla presente legge federale.

Dietro queste parole c'è più lavoro che richiede tempo. Ad esempio, potrebbe sorgere la domanda: come dovrebbe essere fornita questa informazione al soggetto? È possibile inviarlo per posta e le informazioni saranno considerate fornite se il soggetto non ha ricevuto la lettera corrispondente?

L'obbligo dell'operatore, in conformità dell'articolo 19, è anche quello di garantire la sicurezza dei dati personali durante il loro trattamento. Al fine di evitare problemi, l'organizzazione dell'operatore dovrebbe sviluppare e consolidare nei documenti normativi tutte le misure di sicurezza delle informazioni organizzative e tecniche che è pronta a prendere per proteggere i dati personali contenuti nei suoi sistemi informativi.

Registrazione statale dei sistemi di elaborazione dei dati personali

La legge prevede che tutti gli operatori che effettuano il trattamento dei dati personali devono informare preventivamente l'organismo autorizzato (articolo 22), che manterrà le registrazioni degli operatori in un apposito registro. L'organismo autorizzato, ai sensi dell'articolo 23, è il Ministero delle tecnologie dell'informazione e delle comunicazioni della Federazione russa, che attualmente svolge "funzioni di controllo e supervisione nel settore delle tecnologie dell'informazione e delle comunicazioni". La notifica dovrà descrivere dettagliatamente cosa si intende fare con i dati personali. Eventuali modifiche al trattamento dei dati personali devono essere segnalate all'organismo autorizzato.

È consentito elaborare i dati personali senza informare l'organismo autorizzato nei seguenti casi:

• in presenza di rapporti di lavoro;
• quando conclude un contratto a cui il soggetto dei dati personali è parte;
• se i dati personali appartengono a membri (partecipanti) di un'associazione pubblica o organizzazione religiosa e sono trattati dalla relativa associazione pubblica o organizzazione religiosa;
• se i dati personali sono pubblicamente disponibili;
• se i dati personali comprendono solo nomi, cognomi e patronimico dei soggetti;
• all'atto della registrazione delle ammissioni;
• se i dati personali sono inclusi in sistemi di informazione che, in conformità con le leggi federali, hanno lo status di sistemi informativi federali, così come i sistemi di informazione di stato per i dati personali creati per proteggere la sicurezza dello stato e l'ordine pubblico;

In conclusione, daremo una serie di raccomandazioni agli operatori. Non sarà molto difficile soddisfare i requisiti della legge sui dati personali se questo lavoro è iniziato ora, senza attendere i primi reclami e reclami. Puoi iniziare con le seguenti ovvie misure:

• È consigliabile nominare un funzionario responsabile per esaminare tutte le questioni relative all'attuazione di questa legge nell'organizzazione, e per le grandi aziende, la creazione di una commissione speciale può essere giustificata.
• Per tutte le risorse informative dell'organizzazione contenenti dati personali, è necessario:
  • determinare il loro status (sulla base del quale sono stati creati: in conformità con la legislazione, per l'esecuzione del contratto, di propria iniziativa, ecc.);
  • chiarire e registrare la composizione dei dati personali e le loro fonti di ricezione (da un cittadino, da fonti pubbliche, da terzi, ecc.);
  • stabilire il periodo di conservazione e il tempo di elaborazione dei dati in ciascuna risorsa di informazione;
  • determinare i metodi di elaborazione;
  • identificare le persone con accesso ai dati;
  • formulare implicazioni legali;
  • determinare la procedura per rispondere alle richieste, possibili risposte e azioni, valutare la realtà della conformità con i tempi di risposta stabiliti.

In questo articolo, un'analisi della nuova legge sulla protezione dei dati personali viene effettuata dal punto di vista degli specialisti nel campo della gestione dei documenti, che rovinerà molto sangue. La sua efficacia verrà dimostrata dalla pratica, ma per ora, in quanto "soggetto dei dati personali", valuto l'elenco delle autorità pubbliche a cui potrei inviare una richiesta per fornirmi, nel rispetto dei requisiti di legge, le informazioni rilevanti. Ora ho il diritto!

1 Articolo 25 del capitolo IV della direttiva 95/46 / CE del Parlamento europeo e del Consiglio dell'Unione europea, del 24 ottobre 1995, relativo alla tutela dei diritti delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.

2 È interessante notare che persino gli Stati Uniti non rispettano i severi requisiti europei e le società americane sono costrette a utilizzare i cosiddetti accordi "a ombrello".

3 L'interessato è una persona i cui dati personali sono trattati.

4 "sistema di archiviazione dati personali"

5 L'elenco degli organi esecutivi federali e organizzazioni che svolgono la custodia russi documenti d'archivio del Fondo sotto la proprietà federale, inclusi 18 aziende: il ministero russo dell'Interno, il Ministero degli Esteri russo, il Ministero della Difesa russo, russo degli Esteri Intelligence Service, il Servizio federale di sicurezza della Russia Federal Drug Control Service della Russia FSIN della Russia, Rosatom, Roskartografiya, Accademia russa delle scienze agrarie, Accademia russa delle scienze mediche, Accademia russa dell'educazione, Accademia russa delle arti, Accademia russa di architettura e scienze dell'edilizia, Stato chrezhdenie "All-Russian Research Institute di Idrometeorologico Informazioni - World Data Center" Istituto di Stato federale "Fondo statale di Televisione e Radio", Stato federale unitario scientifica e la produzione Enterprise "Russian Fund federale geologica", Stato federale unitario Enterprise "La scienza russa e Technology Center informazioni su standardizzazione, metrologia e valutazione della conformità ".

6 5 U.S. C. § 552a (k) (1) "Documenti alle persone - Eccezioni speciali - Documenti d'archivio".

7 Operatore - un ente statale, un ente municipale, una persona fisica o giuridica, che organizza e (o) esegue il trattamento di dati personali, nonché definisce lo scopo e il contenuto del trattamento dei dati personali.

9 Data Protection Act 1998, articolo 32.

11 Durant vs Financial Services Authority (FSA).

12 Appendice № 1 al Regolamento sulla procedura di registrazione e rilascio dei passaporti della Federazione Russa cittadini, passaporto diplomatico e il passaporto ufficiale è il documento principale attestante la Federazione Russa cittadini dei confini della Federazione Russa contenenti supporti di dati elettronici (app. L'ordine del Ministero degli Interni, Ministero degli Affari Esteri e il Servizio federale di sicurezza della Federazione russa del 6 ottobre 2006 n. 785/14133/461).