Nel codice del lavoro della Federazione Russa esiste un termine come "informazioni personali di una persona che lavora". I dati sul contingente operativo devono essere forniti al datore di lavoro.
Dopo aver esaminato le informazioni personali, il datore di lavoro emette un verdetto sull'assunzione di una persona nella società.
Le informazioni che una persona presenta su se stesso devono essere protette. La distribuzione è proibita.
Cari lettori! I nostri articoli parlano dei metodi tipici per risolvere i problemi legali, ma ogni caso è unico.
Se vuoi sapere come risolvere esattamente il tuo problema - chiama, è veloce e gratuito!
Le informazioni personali sui dipendenti dovrebbero essere soggette allo sviluppo.
Il datore di lavoro applica i seguenti requisiti ai dati personali dei lavoratori:
Quando si comunicano informazioni sui dipendenti, il direttore dell'impresa deve attenersi alle seguenti regole:
Un contingente funzionante ha il diritto di:
Si distinguono i seguenti tipi di trattamento dei dati personali:
Questa elaborazione viene eseguita utilizzando una speciale tecnologia informatica. Le macchine informatiche più comuni possono essere:
La descrizione più dettagliata dell'elaborazione non automatizzata è contenuta nel decreto governativo numero 687.
La distribuzione, lo studio e la rimozione delle informazioni relative al contingente operativo devono essere eseguite con una parte di una persona, non con la tecnologia informatica.
Grazie al sistema informativo, vengono elaborate categorie speciali di informazioni personali sul contingente operativo. Questo sistema elabora i dati che riguardano l'appartenenza a una particolare razza e genere, nazionalità, opinioni politiche, prospettive filosofiche.
Grazie al sistema di informazione può essere elaborato:
Pertanto, le informazioni personali su ciascun dipendente sono contenute in tutti i datori di lavoro. L'amministratore in nessun caso ha il diritto di divulgare i dati disponibili sulla persona.
Le informazioni ottenute sul contingente operativo possono essere elaborate in diversi modi: con l'aiuto della tecnologia informatica, con l'aiuto di forze personali, grazie al sistema di valutazione delle informazioni.
In tutti i casi, i dati personali di ciascun dipendente vengono accuratamente esaminati.
Con ordinanza del codice civile della regione di Amur
del 26 dicembre 2012, n. 626
in relazione al trattamento dei dati personali
1. DISPOSIZIONI GENERALI
1.1. Questo documento (in seguito denominato la Politica) è una dichiarazione sistematica degli obiettivi, dei principi, dei metodi e delle condizioni per il trattamento dei dati personali, informazioni sui requisiti implementati per il trattamento e la protezione dei dati personali nella GKU della Regione Amur dell'Ospedale Centrale della Libera (di seguito il Centro per l'impiego).
1.2. La politica si basa sui requisiti della legge federale della Federazione russa "Su dati personali", altri atti normativi della Federazione Russa che stabiliscono la procedura per il trattamento e la protezione dei dati personali. La politica è un documento pubblico.
1.3. In conformità con la legge federale del 27 luglio 2006 n. 152-ФЗ "Dati personali", il Centro per l'impiego è l'operatore di dati personali (di seguito "PD").
2. DATI PERSONALI TRASFORMATI
2.1. Termini principali utilizzati nella politica:
· Dati personali: qualsiasi informazione relativa a una persona fisica (oggetto di dati personali) determinata o determinata sulla base di tali informazioni, compreso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, sociale, proprietà posizione, istruzione, professione, reddito, altre informazioni;
· Elaborazione dati personali - azioni (operazioni) con dati personali, compresi raccolta, sistematizzazione, accumulo, conservazione, perfezionamento (aggiornamento, modifica), uso, distribuzione (incluso trasferimento), spersonalizzazione, blocco, distruzione di dati personali;
2.2. Nel quadro di questa politica, i dati personali trattati indicano:
· Dati personali forniti dai destinatari dei servizi pubblici che si applicano al centro per l'impiego;
· Dati personali dei dipendenti del Centro per l'impiego o candidati per posti vacanti;
3. FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI
3.1. Gli obiettivi del trattamento del PD nel Centro per l'impiego sono:
· Assicurare l'attuazione dei diritti costituzionali dei cittadini della Federazione Russa al lavoro e alla protezione sociale contro la disoccupazione attraverso la fornitura di servizi pubblici nel campo della promozione dell'occupazione;
· Assicurare l'attuazione dei diritti costituzionali dei cittadini di presentare ricorso;
· Ottenere una valutazione oggettiva dello stato del mercato del lavoro nell'entità costituente della Federazione Russa (in relazione ai destinatari dei servizi pubblici per l'impiego, i cittadini disoccupati, i cittadini che si rivolgono al Centro per l'impiego con proposte, dichiarazioni, reclami);
· Garantire il rispetto della Costituzione della Federazione Russa, leggi e altri atti normativi, assistere i dipendenti nella ricerca di impiego, formazione e promozione del lavoro, crescita del lavoro, garantire la sicurezza personale dei dipendenti, controllare la quantità e la qualità del lavoro svolto, garantire la sicurezza dei beni ad esso appartenenti e registrare i risultati delle loro prestazioni doveri e sicurezza della proprietà del Centro di lavoro.
· Esecuzione delle funzioni di agente fiscale nella fornitura di detrazioni fiscali standard (per i familiari di dipendenti del Centro per l'impiego);
· Adempimento degli obblighi previsti dai contratti di diritto civile (in relazione a persone che svolgono lavori, fornendo servizi in base a contratti di diritto civile con il Centro per l'impiego).
4. PRINCIPI DI TRATTAMENTO DEI DATI PERSONALI
4.1. Implementazione dell'elaborazione PD su base legale ed equa.
4.2. Limitare l'elaborazione PD al raggiungimento degli obiettivi specifici, predeterminati e legittimi indicati nella Sezione 2 di questo documento. Non è consentito trattare dati personali incompatibili con lo scopo di raccolta di dati personali.
4.3. Prevenire la combinazione di database contenenti PD, che vengono elaborati per scopi incompatibili tra loro.
4.4. Elaborando solo quei PDS che soddisfano gli scopi del loro trattamento.
4.5. Conformità con il contenuto e il volume di PD elaborati dagli scopi di elaborazione indicati.
4.6. L'irricevibilità del licenziamento ha trasformato la PD in relazione agli obiettivi dichiarati del loro trattamento.
4.7. Garantire l'accuratezza della PD, la loro sufficienza e, se necessario, la pertinenza in relazione agli scopi dell'elaborazione PD.
4.8. Garantire che vengano prese le misure necessarie per rimuovere o perfezionare i dati incompleti o imprecisi.
4.9. Effettuare lo stoccaggio del PD in una forma che consenta di determinare un soggetto PD non è più lungo dello scopo del trattamento PD richiede, se il periodo di conservazione del PD non è stabilito dalla legge federale, il contratto al quale il soggetto PD è un beneficiario o garante. Le PD da trattare sono soggette a distruzione o spersonalizzazione al raggiungimento degli obiettivi di elaborazione o in caso di perdita della necessità di raggiungere questi obiettivi, salvo diversamente previsto dalla legge federale.
5. MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI
5.1. Il centro per l'impiego processa il PD nei seguenti modi:
· Elaborazione PD non automatica (su carta);
· Elaborazione automatizzata (in ISPDn con l'uso e senza l'uso di apparecchiature di automazione), tra cui: con e senza trasmissione attraverso la rete locale del Centro per l'impiego; con e senza trasmissione su Internet;
· Elaborazione PD mista.
5.2. Il centro per l'impiego può scegliere autonomamente i metodi di elaborazione PD in base agli scopi di tale elaborazione e alle proprie capacità materiali e tecniche.
6. CONDIZIONI DI TRATTAMENTO DEI DATI PERSONALI
6.1. L'elaborazione PD viene effettuata in conformità con i principi e le regole previsti dalla legge federale "Su dati personali".
6.2. L'elaborazione PD è consentita nei casi previsti dalla legge federale "Su dati personali".
6.3. Il centro per l'impiego ha il diritto di affidare il trattamento del PD a un'altra persona con il consenso del soggetto del PD, salvo diversa disposizione della legge federale, sulla base di un contratto stipulato con questa persona, compreso uno stato o un contratto municipale, o adottando un atto rilevante da parte dello stato o dell'ente municipale (di seguito indicato come ).
6.4. Se il Centro per l'impiego assegna l'elaborazione di una PD a un'altra persona, la responsabilità per la PD oggetto delle azioni di tale persona è a carico del Centro per l'impiego. La persona che elabora i dati personali per conto del Centro per l'impiego è responsabile verso il Centro per l'impiego.
7. RISERVATEZZA DEI DATI PERSONALI
7.1. Il centro per l'impiego e altre persone che hanno ottenuto l'accesso al PD sono obbligati a non divulgare a terzi e non a distribuire il PD senza il consenso del soggetto PD, salvo diversamente previsto dalla legge federale.
8. CONSENSO AL SOGGETTO DEI DATI PERSONALI PER IL TRATTAMENTO DEI SUOI DATI PERSONALI
8.1. Il soggetto PD prende una decisione sulla fornitura dei suoi dati personali e accetta il loro trattamento liberamente, per sua volontà e nel suo interesse.
8.2. Il consenso al trattamento PD dovrebbe essere specifico, informato e consapevole.
8.2. Il consenso al trattamento PD può essere dato dal soggetto PD o dal suo rappresentante in qualsiasi forma che consenta di confermare il fatto della sua ricezione, se non diversamente stabilito dalla legge federale.
8.3. Nel caso in cui si ottenga il consenso per il trattamento di dati personali da parte di un rappresentante del soggetto dei dati personali, l'autorità di questo rappresentante per dare il consenso a nome dell'oggetto dei dati personali è verificata dal Centro per l'impiego.
8.4. Il consenso al trattamento PD può essere revocato dal soggetto PD. In caso di ritiro dal PDN del consenso al trattamento della PD, il Centro per l'impiego è autorizzato a continuare il trattamento dei dati personali senza il consenso del soggetto PD se vi sono motivi specificati nelle clausole 2-11 della parte 1 dell'articolo 6, parte 2 dell'articolo 10 e parte 2 dell'articolo 11 della legge federale "Su Dati personali ".
8.5. Nei casi previsti dalla legge federale, l'elaborazione del PD viene effettuata solo con il consenso scritto del soggetto PD. Il consenso in forma scritta è riconosciuto come equivalente a un documento elettronico firmato dalla legge elettronica firmata in conformità con la legge federale.
8.6. I dati personali possono essere ottenuti dal Centro per l'impiego da una persona che non è un soggetto di dati personali, a condizione che il Centro per l'impiego confermi l'esistenza dei motivi specificati nelle clausole da 2 a 11 della parte 1 dell'articolo 6, parte 2 dell'articolo 10 e parte 2 dell'articolo 11 della legge federale "Su Dati personali ".
9. ATTUAZIONE DEI DIRITTI DEI SOGGETTI DEI DATI PERSONALI
9.1. Durante l'elaborazione di una PD, il Centro per l'impiego fornisce le condizioni necessarie affinché il PD eserciti liberamente i propri diritti.
9.2. Il soggetto PD ha il diritto di accedere ai propri dati personali.
9.3. Un oggetto PD ha il diritto di ricevere informazioni relative al trattamento dei propri dati personali, contenenti: conferma del fatto dell'elaborazione PD da parte del Centro per l'impiego; motivi legali e finalità del trattamento PD; gli obiettivi e i metodi del trattamento PD applicati dal Centro per l'impiego; il nome e l'ubicazione del Centro per l'impiego, le informazioni sugli individui (ad eccezione dei dipendenti del Centro per l'impiego) che hanno accesso ai dati personali o che possono divulgare dati personali sulla base di un accordo con il Centro per l'impiego o sulla base della legge federale; PD elaborate dal soggetto PD interessato, la fonte della loro ricezione, a meno che una diversa procedura per la presentazione di tali dati sia prevista dalla legge federale; Tempo di elaborazione PD, incluso il tempo di archiviazione; la procedura per l'esercizio da parte del PDN dei diritti previsti dalla legge federale "Su dati personali"; informazioni sul trasferimento di dati transfrontaliero completato o previsto; il nome o il cognome, il nome, il patronimico e l'indirizzo della persona che effettua il trattamento del PDN per conto del Centro per l'impiego, se il trattamento è affidato a o sarà affidato a tale persona; altre informazioni previste dalle leggi federali.
9.4. Il diritto di un PD soggetto ad accedere ai suoi dati personali può essere limitato nei casi espressamente previsti dalle leggi federali.
9.5. Un soggetto PD ha il diritto di difendere i suoi diritti e interessi legittimi, compreso il risarcimento dei danni e (o) il risarcimento per il danno morale in un tribunale.
9.6. Se un soggetto del PD ritiene che il Centro per l'impiego stia elaborando il suo PD in violazione dei requisiti della Legge Federale "Su Dati Personali" o violi in altro modo i suoi diritti e le sue libertà, il soggetto PD ha il diritto di appellarsi contro le azioni o l'inazione del Centro per l'impiego all'organismo autorizzato per proteggere i diritti dei soggetti PD o ordine del tribunale.
10. INFORMAZIONI SULLE MISURE ESEGUITE DAL CENTRO DI LAVORO
VOLTO A GARANTIRE L'ATTUAZIONE DELLE RESPONSABILITÀ RELATIVE AL TRATTAMENTO DEI DATI PERSONALI
10.1. Il centro per l'impiego durante l'elaborazione di PD svolge le sue funzioni di operatore PD previsto dalla legge federale "Su dati personali".
10.2. Il Centro per l'impiego prende le misure necessarie e sufficienti per garantire l'adempimento degli obblighi previsti dalla presente legge federale e gli atti normativi adottati in conformità con essa.
10.3. Il Centro per l'impiego determina autonomamente la composizione e l'elenco delle misure necessarie e sufficienti a garantire l'adempimento degli obblighi previsti dalla presente legge federale e gli atti normativi adottati in conformità con esso, salvo diversa disposizione delle leggi federali.
11. INFORMAZIONI SULL'ATTUAZIONE DEI CENTRI DELL'OCCUPAZIONE DI MISURE PER LA PROTEZIONE DEI DATI PERSONALI NELLA LORO TRASFORMAZIONE
11.1. Il Centro per l'impiego nell'elaborazione del PD garantisce l'adozione di misure legali, organizzative e tecniche necessarie per proteggere il PD dall'accesso illegale o accidentale a questi, dalla distruzione, modifica, blocco, copia, fornitura, distribuzione di PD e da altre azioni illegali riguardanti PDN.
11.2. Al fine di proteggere i dati personali, il Centro per l'impiego attua i requisiti per la protezione dei dati personali quando vengono elaborati in sistemi di dati personali stabiliti dal governo della Federazione russa.
11.3. Garantire la sicurezza del PD è raggiunto dal Centro per l'impiego, in particolare:
· Identificazione delle minacce alla sicurezza dei dati personali quando vengono elaborati nell'ISPDN del Centro per l'impiego;
· L'uso di misure organizzative e tecniche per garantire la sicurezza dei dati personali quando sono elaborati nell'ISPDN del Centro per l'impiego, necessari per soddisfare i requisiti per la protezione dei dati personali, il cui rispetto è garantito dai livelli di protezione dei dati personali stabiliti dal governo della Federazione Russa;
· L'uso delle misure di sicurezza delle informazioni trasmesse nel modo prescritto;
· Valutazione dell'efficacia delle misure adottate dal Centro per l'impiego per garantire la sicurezza dei dati personali prima della messa in servizio dell'ISPDN del Centro per l'impiego;
· Prendendo in considerazione i portabacchette PD del Centro per l'impiego
· Rilevazione di fatti di accesso non autorizzato al PDN e azione;
· Ripristino del PDN modificato o distrutto a causa dell'accesso non autorizzato ad essi;
· L'istituzione di regole per l'accesso ai PDN elaborati nella SPDN del Centro per l'impiego, nonché per garantire la registrazione e la registrazione di tutte le azioni eseguite sul PDN nell'ISPDN nel Centro per l'impiego;
· Controllo delle misure adottate per garantire la sicurezza dei dati personali e il livello di sicurezza dell'ISPDN del Centro per l'impiego.
11.4. Le informazioni sulle misure adottate dal Centro per l'impiego per proteggere i dati personali sono informazioni riservate.
12. Cambiamento delle politiche. Legge applicabile
12.1. Il Centro per l'impiego ha il diritto di apportare modifiche a questa politica.
12.2. Quando si apportano modifiche nell'intestazione della politica, viene indicata la data dell'ultimo aggiornamento della revisione.
12.3. La nuova versione della Politica entra in vigore dal momento della pubblicazione sul sito web del Ministero del Lavoro di Amurskaya Oblast, salvo diversa disposizione della nuova versione della Politica.
Che cosa è legato ai metodi di elaborazione dei dati personali e cosa è correlato alle azioni con i dati personali?
Secondo la clausola 9 dell'Ordine di Roskomnadzor datata 19 agosto 2011 n. 706, i metodi * includono:
- trattamento non automatizzato di dati personali;
- trattamento esclusivamente automatizzato di dati personali con o senza trasferimento di informazioni ricevute attraverso la rete;
- trattamento misto di dati personali (nota N 4).
E alle azioni in conformità con l'art. 3 della legge federale del 27.07.2006 n. 152-FZ. I dati personali comprendono: *
- chiarimenti (aggiornamento, modifica);
- distribuzione (compresa la trasmissione);
- la distruzione di dati personali.
Il fondamento logico di questa posizione è riportato di seguito nei materiali di "System Lawyer".
"L'elaborazione dei dati personali è qualsiasi azione (operazione) o insieme di azioni (operazioni), * eseguita con l'uso di strumenti di automazione o senza l'uso di tali mezzi con dati personali, inclusi raccolta, registrazione, sistematizzazione, accumulo, archiviazione, perfezionamento (aggiornamento, modifica), estrazione, uso, trasferimento (distribuzione, fornitura, accesso), spersonalizzazione, blocco, cancellazione, distruzione di dati personali "
"Il campo" elenco di azioni con dati personali, una descrizione generale dei metodi utilizzati dal Gestore per il trattamento dei dati personali "* indica le azioni eseguite dall'Operatore con i dati personali, nonché una descrizione dei metodi utilizzati dall'Operatore per il trattamento dei dati personali:
- trattamento non automatizzato di dati personali;
- trattamento esclusivamente automatizzato di dati personali con o senza trasferimento di informazioni ricevute attraverso la rete;
- trattamento misto di dati personali (nota N 4) Nota N 4. Nel trattamento automatizzato di dati personali o trattamento misto, è necessario indicare se le informazioni ottenute durante il trattamento di dati personali sono trasmesse sulla rete interna della persona giuridica (l'informazione è disponibile solo per dipendenti ben definiti della persona giuridica ) o l'informazione viene trasmessa utilizzando l'Internet pubblica o senza trasmettere le informazioni ricevute. "
* Parte così evidenziata del materiale che ti aiuterà a prendere la decisione giusta.
Termini, sfumature e frequenti delusioni - nel materiale dagli esperti del servizio di sicurezza della compagnia "Onlanta" (incluso nel gruppo di aziende LANIT).
Comprendiamo la terminologia legale e le sfumature per le quali puoi essere in tribunale.
La legge principale che regola i rapporti connessi al trattamento dei dati personali è la legge federale del 27 luglio 2006 n. 152-ФЗ "Dati personali".
Il primo termine da comprendere sono i dati personali.
Questa è un'informazione che può essere utilizzata per identificare una persona: ad esempio, nome completo, data di nascita, istruzione, reddito e persino stato civile. Tu chiedi: "E quale, il mio cognome, stampato sul biglietto da visita, sono anche dati personali?"
Risposta: "Sì". Per legge, non importa se solo il tuo cognome è stampato sul biglietto da visita o in combinazione, ad esempio, con un numero di telefono e un indirizzo. Sia il primo, sia il secondo e il terzo - dati personali. È vero, l'archiviazione dei biglietti da visita o dei numeri di telefono della ragazza nella rubrica non dovrà essere risolta secondo la legge, ma di più su questo di seguito.
Vai avanti I media scrivono costantemente "archiviazione dei dati personali". Correttamente parlando, non è l'archiviazione, ma il trattamento dei dati personali. Qual è la differenza? Lo storage è solo una parte di ciò che viene chiamato elaborazione dei dati personali. Qualsiasi azione eseguita con dati personali (raccolta, accumulo, archiviazione, trasferimento, modifica) è indicata dalla legge come "trattamento dei dati personali".
È importante capire che la legge distingue due soggetti dei dati personali: l'operatore e il processore. L'operatore esegue il trattamento dei dati personali e determina anche lo scopo del loro trattamento, la composizione dei dati personali da elaborare, le azioni (operazioni) eseguite con i dati personali.
Un gestore è qualcuno che esegue qualsiasi azione con dati personali: raccolta, archiviazione, organizzazione, accumulo, aggiornamento, aggiornamento, cancellazione, depersonalizzazione e così via.
Infatti, il processore non è solo l'utente finale, che ha bisogno di dati personali per il lavoro, ma anche qualsiasi utente intermedio, attraverso le cui mani passano questi dati personali. Mostra in pratica.
Il negozio online ha un database clienti, che si trova nel "cloud" di un'azienda di terze parti. Un'agenzia di marketing lavora con questa base. Domanda: quanti operatori di dati personali abbiamo?
La risposta corretta è una. Questo è un negozio online che fissa gli obiettivi dell'elaborazione dei dati personali. La seconda domanda è: quanti processori di dati personali abbiamo? La risposta corretta è due.
I dati personali vengono elaborati in molte diverse istituzioni: per esempio, in banche, scuole, cliniche, centri per i visti. Per non parlare delle pagine Web in cui ci registriamo, lasciando i nostri indirizzi e-mail e numeri di telefono. Ma come e dove esattamente?
C'è un termine così oscuro nella legge come "sistema di informazione sui dati personali". Se si tenta di spiegare in termini semplici - questo è un intero complesso, costituito da server di database, mezzi tecnici per garantire il loro trattamento e la tecnologia dell'informazione. In conformità con la legge, qualsiasi sistema di informazione sui dati personali deve essere protetto.
I metodi di protezione delle informazioni sono diversi.
Uno dei mezzi per proteggere le informazioni è la depersonalizzazione dei dati personali. Cos'è? Nel centro visti, a ogni persona che richiede un visto viene assegnato un numero di identificazione separato. Il numero stesso non si riferisce ai dati personali, dal momento che depersonalizza una persona: è impossibile identificare la persona che ha fatto domanda per un visto.
Quindi, con la terminologia risolta. Ora tutti i rappresentanti delle imprese, in particolare i singoli imprenditori, che possono avere solo pochi impiegati nello staff, dovrebbero onestamente rispondere alla domanda: "Elaborare i dati personali?"
Sì, se sei il proprietario di un sito con una partecipazione di cinque persone alla settimana, ma ha un modulo di feedback con i campi "nome, indirizzo email, numero di telefono". Le informazioni relative alle finalità per le quali raccolgono i dati personali, come le utilizzi, devono essere presentate sul tuo sito web.
Sì, se stai elaborando i dati personali dei tuoi dipendenti o di specialisti di terze parti assunti per svolgere un lavoro.
Sì, se lavori con clienti privati e hai bisogno dei loro dati sul passaporto per stipulare contratti, questo vale per agenzie di viaggio, centri fitness, varie società di servizi, negozi online e altri.
E ancora, sì, se sei un'organizzazione di bilancio, un partito politico o un asilo. Questi ultimi non hanno solo informazioni sul bambino, ma anche sui suoi genitori, incluso il posto di lavoro e la posizione. Per non parlare delle istituzioni mediche - c'è un mare di informazioni personali sensibili che devono essere archiviate in modo sicuro.
Tuttavia, se si utilizzano i dati per la comunicazione personale senza un vantaggio commerciale, i requisiti della legislazione non si applicano a voi e non vi è alcuna responsabilità penale.
Ad esempio, l'uso di contatti stampati su un biglietto da visita che hai ricevuto da un collega, o numeri di telefono in un notebook su uno smartphone, le informazioni sui social network non ti impongono la responsabilità di fronte alla legge.
L'importante è non divulgare i dati agli inserzionisti e non pubblicarli senza il permesso dei proprietari di dati personali di pubblico dominio.
Congratulazioni, sei l'orgoglioso proprietario del titolo "personal data operator". La cosa più importante ora è capire esattamente quali dati personali elaborate. Perché dipende dalla categoria di dati personali, come proteggere i dati e quali requisiti devono essere soddisfatti. Le categorie sono descritte in dettaglio nella legge federale 152 e nella risoluzione governativa del 1 ° novembre 2012 N 1119.
Dati personali generalmente disponibili: dati da risorse aperte, che sono pubblicati dall'oggetto dei dati personali o con la sua approvazione. I dati disponibili al pubblico sono dati dal media o da Internet.
Esempio: informazioni pubblicate in accesso aperto sui social network o sul sito Web delle società. Numero di telefono e stato della famiglia pubblicati nell'accesso pubblico a Facebook. Il nome del dipendente e la sua posizione sul sito web del datore di lavoro.
Dati personali biometrici: questa categoria comprende tutti i dati sulle caratteristiche fisiologiche e biologiche delle persone.
Esempio: peso, altezza, colore degli occhi o dei capelli, lunghezza dei capelli, gruppo sanguigno, foto.
Dati personali di una categoria speciale: questo include informazioni sull'appartenenza a qualsiasi razza e nazione, opinioni politiche, convinzioni religiose e filosofiche, stato di salute o vita intima.
Esempio: diagnosi medica (informazioni su cosa eri malato, quando, quale medico ti ha trattato).
Dati personali di altri tipi - questo include dati personali non inclusi nelle categorie sopra.
Esempio: informazioni aziendali. Carte di contabilità per i dipendenti che contengono informazioni con le quali lavorano le risorse umane e la contabilità: stipendio, periodi di ferie, date di assunzione.
Dopo aver deciso sulla categoria di dati personali, è necessario comprendere l'esatta quantità di dati che elaborate: fino a 100 mila o oltre 100 mila.
Scopri la categoria e la quantità, determina il tipo di minaccia:
Minacce numero 1. "Fori" e vulnerabilità nel sistema operativo. Esempio: vulnerabilità che gli hacker utilizzano per infiltrarsi nel sistema operativo per rubare informazioni.
Minacce numero 2. "Fori" e vulnerabilità nel software applicativo, ovvero nel software utilizzato nel lavoro quotidiano. Esempio: Word, Excel.
Minacce numero 3. Tutte le altre minacce non elencate nei primi due tipi. Prima di tutto, il fattore umano. Un dipendente può lasciare un documento aperto su un computer sbloccato, inviare un documento da stampare alla stampante di qualcun altro o via e-mail.
La quantità di dati personali, categoria, tipo di minacce - tutti insieme consentono di determinare il livello di protezione richiesto per il proprio sistema informativo. Ora ci sono quattro livelli di protezione.
Il primo e più alto livello di protezione è più spesso utilizzato per il trattamento di dati personali in agenzie governative e istituzioni mediche. Il quarto livello di protezione è il più facile da fornire, a volte è sufficiente eseguire misure di regolamentazione a livello organizzativo, principalmente per quanto riguarda la protezione dei dati disponibili al pubblico.
È possibile determinare il livello di protezione utilizzando questa tabella.
L'ospedale elabora i dati personali dei suoi pazienti: si tratta dei dati personali di una categoria speciale. Elabora anche i dati personali dei dipendenti: si tratta di dati personali di un'altra categoria. Molto probabilmente, l'ospedale ha due database. Se si sommano entrambi i database, si otterrà la quantità totale di dati personali che ruotano nel sistema informativo di questo ospedale.
Ad esempio, tutti loro - fino a 100 mila. Successivamente, esaminiamo come vengono elaborati i dati: automatizzati (in un computer) o non automatizzati (in un file cabinet manuale). Se tutto è automatizzato, guardiamo a quale software l'ospedale usa, quali vulnerabilità ha.
Sulla base di ciò, vengono identificate le minacce e il loro livello. Sommiamo tutti i fattori e otteniamo la classe di protezione di secondo livello. Analizziamo quali sono i requisiti della legge indicati al secondo livello di sicurezza. Sulla base di questi requisiti, sarà necessario costruire una protezione del sistema di informazione per soddisfare i requisiti della legge federale.
Perché preoccuparsi della protezione dei dati personali? I dati personali sono un articolo costoso sul mercato nero. I truffatori sono disposti a pagare importi impressionanti per un profilo contenente tutti i dettagli della cartella clinica di una persona. Mercato separato - vendita di dettagli di carte bancarie; account nei social network.
Le conseguenze della perdita di dati personali sono diverse. I dati possono essere pubblicamente disponibili su Internet: ad esempio, è possibile trovare facilmente i database rubati con indirizzi e numeri di telefono dei clienti delle aziende sulla rete. Conoscendo il nome e il cognome, chiunque può trovare l'indirizzo di casa di una persona, accedere al social network, visualizzare un profilo o semplicemente scrivere un SMS su un telefono cellulare.
I dati personali possono entrare nel database di mailing fastidioso di alcune organizzazioni commerciali, quindi il loro proprietario sarà sopraffatto da offerte di servizi non richieste. Possono anche essere usati dai truffatori online per i casinò online o per aprire un portafoglio elettronico.
Nei casi peggiori, un utente malintenzionato può impersonare un'altra persona e prendersi il merito del nome di qualcun altro. Le conseguenze più gravi delle fughe di dati personali includono: azioni illegali con beni immobili, furto di denaro da carte bancarie, ricatto di parenti e registrazione di una società.
Capisci l'importanza della domanda e sei pronto ad assumerti la responsabilità? È giusto Perché la responsabilità per la sicurezza dei dati personali ricade interamente sull'operatore.
Ciò significa che l'operatore deve assicurarsi che le informazioni non siano accessibili al pubblico o che non cadano nelle mani di terzi che non hanno alcun diritto su di esso. Ciò richiede un costante monitoraggio e prevenzione delle minacce alla sicurezza dei dati, il controllo del livello di sicurezza delle informazioni e il loro ripristino in caso di perdita.
Nel nostro paese, Roskomnadzor controlla il rispetto della legislazione in materia di elaborazione dei dati personali. Questo corpo risponde ai reclami, regola le relazioni tra soggetti e operatori.
I requisiti tecnici per la protezione delle informazioni sono di competenza della FSTEC e dell'FSB: sviluppano i requisiti e controllano la loro esecuzione.
E ora è il momento di studiare le tabelle con i requisiti per la protezione tecnica dei dati personali. I dettagli possono essere trovati nell'ordine del Servizio federale per il controllo tecnico e delle esportazioni del 18 febbraio 2013 N 21.
Ma almeno inizia con questo:
Molti proprietari di siti pensano che se un visitatore fa clic sul pulsante "Accetto il trattamento dei dati personali", non ci saranno problemi legali e l'elaborazione dei dati ricadrà automaticamente nel campo legale. Non lo è.
Da un punto di vista legale, ci sono solo due modi per confermare il consenso al trattamento dei dati personali: mettere una firma su carta o utilizzare una firma digitale elettronica.
In tutti gli altri casi, se il caso va in tribunale, il proprietario del sito non sarà in grado di confermare chi ha premuto esattamente il pulsante "Accetto". Si può solo sperare che il soggetto che è venuto sul tuo sito trasmetta volontariamente i suoi dati e non presenti un reclamo.
Sì, gli assegni possono essere da Roskomnadzor.
Roskomnadzor pubblica annualmente un elenco di assegni in modo selettivo dall'elenco degli operatori registrati, se una società è inclusa nell'elenco dei controlli, quindi il successivo controllo programmato è possibile non prima che dopo tre anni. Puoi vedere se la tua azienda è sulla lista quest'anno qui.
I controlli fuori piano sono solitamente causati da reclami. Se il controllo non è programmato, dovresti essere avvisato a riguardo in 24 ore per iscritto.
Ci possono essere anche controlli documentari. Durante la documentazione, invierai un elenco di documenti, copie delle quali dovranno essere inviate a Roskomnadzor.
A volte Roskomnadzor effettua ispezioni sul posto: gli ispettori effettuano personalmente visite per controllare la società sul posto.
Prepararsi a uno di questi controlli è un'attività che richiede tempo. Risolverai tu stesso il compito di prepararti per l'ispezione, o coinvolgerai specialisti esterni, in primo luogo dovrai determinare chi in azienda sarà responsabile del rispetto di FZ-152.
Per violazione della 152-FZ, viene fornita la responsabilità civile, penale, amministrativa e disciplinare.
Quindi, Roskomnadzor ha condotto un'ispezione, se ha riscontrato incongruenze con la legge, emetterà un ordine al comitato investigativo per condurre un processo sul fatto di violazione della legge "Su Dati Personali".
Successivamente, l'ufficio del pubblico ministero inizierà un'ispezione, durante la quale può sospendere le attività della società: ritirare il database della società, in particolare, i computer su cui sono stati elaborati i dati personali.
I trasgressori della legge stanno aspettando in primo luogo le multe. L'ammontare delle multe varia a seconda del reato. Pertanto, per il trattamento di dati personali senza il permesso scritto delle entità, le persone giuridiche dovranno sostenere la responsabilità amministrativa.
Anche se l'operatore è disposto a pagare una multa, ma secondo gli standard della grande impresa, non sembra enorme, l'autore del reato dovrà comunque eliminare l'incoerenza davanti alla legge (ad esempio, eliminare i dati memorizzati) e informare Roskomnadzor.
Lo scenario peggiore è se Roskomnadzor decida di revocare la licenza dell'azienda, proibire l'elaborazione di dati personali da parte delle imprese e pubblicare illegalmente dati personali sui cittadini.
Negli ultimi anni, lo scandalo più rumoroso in Russia è stato associato al blocco di LinkedIn, i cui proprietari sono stati accusati di elaborare dati personali di cittadini senza il loro consenso sui server al di fuori della Federazione Russa. Anche il blocco del servizio autonum.info è stato "fatto rumori".
È possibile organizzare il trattamento dei dati personali in modo indipendente o con l'aiuto di una società che fornisce tale servizio.
Se si decide di elaborare personalmente i dati personali, è necessario:
Nella migliore delle ipotesi, ci vorranno dai tre ai quattro mesi, al costo di una tale implementazione, che può essere di 200-300 mila rubli - questo è il costo di acquisto di attrezzature e licenze. Il costo del lavoro e l'ulteriore supporto del sistema di informazione costituiscono una voce di spesa separata. Avrai anche bisogno di un amministratore che monitorerà il funzionamento del sistema.
Parlando obiettivamente, le aziende molto piccole semplicemente non soddisfano tutti i requisiti della legge nella speranza che non ci sarà alcuna verifica. Forse non lo farà davvero. Altre società creano "villaggi Potemkin" solo fingendo di elaborare dati personali in conformità con i requisiti della legge, in altre parole, "acquistano" i documenti necessari.
Nel prossimo articolo, mostreremo come calcolare il costo del trattamento dei dati personali all'interno di un'azienda e dirti quando è più proficuo fare l'elaborazione dei dati personali e quando è meglio depositarli nel cloud.
Il materiale è pubblicato dall'utente. Fai clic sul pulsante "Scrivi" per condividere la tua opinione o parlare del tuo progetto.
La legge federale della Federazione russa n. 152-ФЗ "Su dati personali" è stata adottata il 27 luglio 2006 e, sullo sfondo di altri eventi eccezionali dello scorso anno, è passata quasi inosservata. La ragione formale per la sua adozione fu i numerosi fatti di furto di basi di dati personali in strutture statali e commerciali e la loro vendita diffusa. In effetti, lo scopo principale dell'adozione di questa legge era la necessità di rimuovere alcuni ostacoli agli scambi con i paesi dell'Unione europea.
La Francia ha vietato la pubblicazione di fatti sulla privacy e ha imposto multe per i trasgressori nel 1858.
Il Codice penale norvegese vietò la pubblicazione di informazioni relative a "affari personali o privati" nel 1889.
La legge nazionale "Su dati personali" del 27 luglio 2006 n. 152-FZ ha iniziato la sua attività il 26 gennaio di quest'anno (conformemente alla parte 1 dell'articolo 25, la legge entra in vigore 180 giorni dopo la pubblicazione ufficiale, avvenuta il 29 luglio 2006 nella "Rossiyskaya Gazeta").
Secondo la Direttiva UE 95/46 / CE, i dati personali possono essere trasferiti solo in paesi che offrono lo stesso livello di protezione che in Europa. Ciò ha notevolmente ostacolato lo scambio di informazioni da parte di agenzie governative e società europee con i loro partner stranieri, rendendo impossibile per molti progetti commercialmente promettenti. Tali restrizioni furono sperimentate non solo dalla Russia e dai paesi del terzo mondo, ma anche da un mostro economico come gli Stati Uniti. Quindi, il nostro governo ha deciso di superare questa barriera. Vediamo come ha fatto e cosa ci costerà tutti.
L'adozione della legge russa sui dati personali è il risultato dell'adesione della Federazione russa alla Convenzione europea del 1981 "Sulla protezione della persona in relazione al trattamento automatizzato di dati personali", che definisce i principi di base per la protezione dei dati personali nei paesi europei. La presente Convenzione e le successive Direttive dell'Unione Europea hanno delineato i compiti che la legislazione nazionale deve affrontare nel disciplinare i dati personali:
La nostra legge ripete in gran parte le principali disposizioni della legislazione europea in questo settore, che è considerata una delle 2 più difficili al mondo. Anche se nel 2006, la legge è stata discussa abbastanza spesso, ma poche persone leggono attentamente il contenuto delle sue disposizioni. Ma al fine di garantire la conformità con i suoi requisiti, è necessario modificare in modo significativo il lavoro con le informazioni e la documentazione contenente i dati personali. Proviamo a capire cosa c'è di nuovo nel campo della gestione dei documenti e delle informazioni nell'organizzazione?
Cerchiamo ora di approfondire le disposizioni più importanti della legge e valutare quali organizzazioni e istituzioni dovranno impegnarsi per attuarla. Inoltre, cercheremo di analizzare alcune disposizioni della legge in termini di correttezza e chiarezza della loro formulazione.
La prima domanda: a chi si applica questa legge? Rispondendo ad esso, possiamo tranquillamente affermare che si applica a tutti senza eccezioni (alle istituzioni statali, alle persone giuridiche e agli individui). Ecco una lista dell'articolo 1:
La seconda questione importante è lo scopo della legge.
Articolo 1 della legge federale della Federazione russa "Su dati personali" n. 152-FZ del 27 luglio 2006
La presente legge federale disciplina i rapporti connessi al trattamento dei dati personali... con l'uso di strumenti di automazione o senza l'utilizzo di tali strumenti, se il trattamento dei dati personali senza utilizzare tali mezzi corrisponde alla natura delle azioni (operazioni) eseguite con dati personali utilizzando mezzi di automazione.
La formulazione di questo articolo è un esempio di come non scrivere leggi. Risultò qualcosa di incomprensibile, permettendo una varietà di interpretazioni. In che modo, sulla base di tale testo, rispondere, ad esempio, alla domanda se i dati trattati in forma libera in un blocco appunti aziendale rientrino nell'ambito di applicazione della legge? Se un notebook è memorizzato in un computer o in un telefono cellulare, si considera "l'uso di apparecchiature di automazione"?
La legislazione europea a questo riguardo è più chiara:
Direttiva UE 95/46 / CE 1995
Articolo 2 "Definizioni":
(c) "sistema di archiviazione dati personali" 4 ("sistema di archiviazione") è un insieme strutturato di dati personali a cui è possibile accedere in base a determinati criteri, indipendentemente dal modo in cui è organizzato il set di dati, centralizzato, decentralizzato o distribuito su base funzionale o geografica...
Articolo 3 "Campo di applicazione":
1. La presente direttiva si riferisce al trattamento di dati personali che utilizzano mezzi automatici (in tutto o in parte), nonché al trattamento con mezzi diversi da dati, dati, componenti automatici o destinati a far parte dei sistemi di archiviazione.
Nella terminologia informatica moderna, per "dati strutturati" si intendono, in primo luogo, i database. Nelle pratiche burocratiche, includono file di schede e archivi di file personali. Pertanto, i requisiti europei includono:
Perché era impossibile scrivere in russo e nella nostra legge rimane incomprensibile?
Bisogna fare attenzione alla differenza di terminologia: "l'elaborazione automatica" è una cosa, e l'elaborazione "usando apparecchiature di automazione" è un concetto completamente diverso, molto più ampio e più vago.
La legge prevede solo quattro eccezioni, vale a dire che la legge non si applica alle relazioni derivanti:
Uno di questi punti richiede uno studio più dettagliato. Per iniziare, citiamo la legge:
Articolo 1 della legge federale della Federazione russa "Su dati personali" n. 152-FZ del 27 luglio 2006
2. La presente legge federale non si applica ai rapporti derivanti da:
2) l'organizzazione della conservazione, dell'acquisizione, della contabilità e dell'uso, contenente i dati personali dei documenti del Fondo di archiviazione della Federazione Russa e altri documenti d'archivio in conformità con la legislazione sugli archivi nella Federazione Russa.
Vi ricordiamo due definizioni contenute nella legge "Sugli affari archivistici nella Federazione russa" n. 125-ФЗ del 10.22.2005:
Ecco un esempio di come questo può essere fatto. Secondo la legge federale "sugli affari archivistici nella Federazione russa" (parte 2 dell'articolo 18), il governo della Federazione russa approva l'elenco degli organismi e delle organizzazioni federali che effettuano la custodia dei documenti del Fondo di archiviazione della Federazione russa di proprietà federale. Alla fine del 2006 è stato approvato un nuovo elenco di 5 di questi dipartimenti e organizzazioni. Allo stesso tempo, a queste organizzazioni è stato ordinato di concludere un accordo sulle condizioni di conservazione dei documenti con Rosarkhiv. Se alla conclusione del contratto è specificatamente stipulato che tutti i documenti, ad eccezione di quelli operativi, sono considerati come documenti trasferiti per la custodia, allora la maggior parte dei documenti può essere inserita in questa eccezione.
Per altre organizzazioni statali, una delle opzioni potrebbe essere la pronta approvazione dei registri dei casi con archivi statali, che in realtà significherebbe l'inclusione di documenti nel Fondo di archiviazione della Federazione russa e di nuovo lasciando la "zona di azione" della legge sui dati personali.
Le direttive dell'Unione europea non contengono tale eccezione, tuttavia esiste, ad esempio, nel codice statunitense 6, che contiene una formulazione più corretta che non ammette ambiguità: la legislazione sui dati personali in genere non si applica ai documenti già depositati negli archivi di stato, ma si applica ai documenti trasferiti negli archivi di stato da qualsiasi agenzia per la custodia.
Inoltre, non è chiaro il motivo per cui, dalle nostre numerose banche dati statali, la nostra legge ha fatto un'eccezione per il registro unificato statale dei singoli imprenditori (EGRIP). Sarebbe logico quindi estendere l'eccezione ad altri registri di stato che contengono anche dati personali (ad esempio, l'incorporazione include informazioni sui fondatori e le prime persone di tutte le entità legali del paese).
Dati personali - qualsiasi informazione relativa a una persona fisica (oggetto di dati personali) determinata o determinata sulla base di tali informazioni, incluso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, stato sociale, proprietà, istruzione, professione, reddito, altre informazioni (secondo l'articolo 3 della legge sui dati personali).
La legge prevede i seguenti metodi di trattamento dei dati personali (per alcune di esse sono fornite spiegazioni dettagliate all'articolo 3):
Occorre prestare particolare attenzione a tali metodi di trattamento come il blocco e la distruzione dei dati personali. La legge dice abbastanza bene sulla distruzione: questo è l'approccio che è ora raccomandato dagli standard nazionali ed esteri. Per quanto riguarda il blocco dei dati personali, questo metodo di elaborazione nella pratica domestica è stato introdotto per la prima volta e la sua esecuzione può complicare significativamente la vita delle organizzazioni che utilizzano sistemi informativi e database precedentemente sviluppati in cui tale operazione non è fornita.
Le disposizioni di legge mirano principalmente a prevenire la raccolta e l'uso illegali di dati personali. Questo desiderio del legislatore ha portato all'emergere di una nuova posizione per la pratica di registrazione:
Clausola 2 dell'articolo 5 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ
I dati personali devono essere archiviati in una forma che consenta di determinare l'oggetto, non più di quanto richiedano gli obiettivi di elaborazione, e devono essere distrutti al raggiungimento degli obiettivi dell'elaborazione dei dati personali o alla perdita della necessità di raggiungerli.
In questo caso, la legge, per la prima volta, forse imposta per informazioni e documenti il periodo di archiviazione massimo e, per giunta, condizionale - "sul raggiungimento degli obiettivi di elaborazione". Le organizzazioni dovranno stabilire periodi di conservazione per i documenti contenenti dati personali, e sarà necessario pensare in anticipo sulla logica dei periodi di conservazione selezionati. Questa è una domanda piuttosto complicata che può causare molte polemiche e problemi.
Inoltre, gli specialisti DOE devono prestare attenzione a quanto segue: poiché gli obiettivi per la raccolta e il trattamento dei dati personali, come richiesto dalla legge, devono essere determinati prima di iniziare il lavoro, è necessario considerare attentamente la loro formulazione. Altrimenti, l'organizzazione stessa può "sostituirsi": gli obiettivi saranno soddisfatti ei dati personali non saranno distrutti.
Uno dei più spiacevoli per le organizzazioni che raccolgono ed elaborano dati personali è il requisito dell'articolo 6 sulla necessità di ottenere il consenso del soggetto per il loro trattamento. Nessun consenso è richiesto solo nei seguenti casi:
Abbiamo già un certo numero di leggi federali che descrivono il trattamento dei dati personali, ad esempio, quando si gestiscono i Registri unificati dello Stato dei contribuenti (EGRN) e le persone giuridiche (USR). L'unica condizione per utilizzare l'eccezione dal requisito del consenso generale è di presentare le seguenti domande nella legislazione pertinente:
Non è ancora chiaro cosa accadrà a quelle leggi che contengono norme relative alla raccolta e al trattamento dei dati personali, ma non soddisfano le condizioni specificate.
Il primo ai problemi connessi con il rispetto della nuova legge, ha attirato l'attenzione delle compagnie di assicurazione. A loro avviso, la legge sui dati personali può seriamente ostacolare l'attuazione della legge sull'assicurazione obbligatoria della responsabilità civile auto (MTPL) a causa del divieto di trasferire a terzi i dati personali del cliente ottenuti al momento della conclusione del contratto MTPL senza il suo consenso. Di conseguenza, la compagnia di assicurazioni non sarà in grado di ottenere informazioni complete sui propri clienti da un singolo database (e il mantenimento di tale database è anche discutibile), in questa situazione, i rischi degli assicuratori stanno aumentando.
Le compagnie di assicurazione stanno già cercando di risolvere questo importante problema considerando le seguenti opzioni:
Il paragrafo 6 dell'articolo 6 sulla concessione del diritto di trattare dati personali a giornalisti, studiosi e rappresentanti di altre professioni creative senza il consenso del soggetto è in dubbio. È abbastanza realistico (soprattutto nelle strutture commerciali) introdurre una posizione a tempo pieno di "un rappresentante della professione creativa" e "scrivere su di essa" tutti i database contenenti informazioni personali.
Ad esempio, in Inghilterra, in una disposizione analoga della legge, è inoltre previsto che in questo caso lo scopo del trattamento dei dati debba essere la pubblicazione del materiale pertinente; che tale pubblicazione deve essere di interesse pubblico (incluso nell'esercizio del diritto di autoespressione di un rappresentante della professione creativa) 9.
Inoltre, è interessante come determineremo chi è un giornalista o uno scrittore e chi no. Non è un segreto che molti dei fratelli scriventi non abbiano i diplomi o gli ID ufficiali appropriati. Qui, l'approccio utilizzato negli Stati Uniti può essere utile a noi: i giornalisti riconoscono tutti coloro che scrivono articoli per la distribuzione pubblica, anche se sono pubblicati solo su Internet.
Negli Stati Uniti, nel gennaio 2007, è iniziato il processo contro l'ex amministrazione di George Bush Lewis "Scooter". Cento seggi sono stati accantonati per la stampa in aula e due di loro sono stati ufficialmente ricevuti dagli autori dei diari online.
L'American Society of Newspaper Editors, nel redigere una legge federale sulla concessione ai giornalisti del diritto di non divulgare informazioni riservate durante i procedimenti giudiziari, suggerisce che questa legge si applica a tutti senza eccezioni e copre coloro che raccolgono informazioni per un'ulteriore distribuzione. E anche gli autori dei diari di Internet, i "blogger", rientrano in questa definizione 10.
Ora vediamo come la nuova legge comporta l'ottenimento del consenso del soggetto al trattamento dei suoi dati personali.
Clausola 1 dell'articolo 9 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ
L'oggetto dei dati personali decide sulla fornitura dei suoi dati personali e si impegna al loro trattamento da parte sua propria volontà e nel proprio interesse... Il consenso al trattamento dei dati personali può essere ritirato dal soggetto dei dati personali.
Inoltre, la clausola 3 dell'articolo 9 contiene una condizione piuttosto spiacevole per gli operatori. Dovranno o accumulare prove del fatto che i dati da loro raccolti sono presi da fonti disponibili pubblicamente, o ottenere il consenso dall'oggetto dei dati personali e quindi archiviare questo documento nel caso in cui il "soggetto" decida di citare in giudizio l'operatore per violazione dei suoi diritti.
Anche i dati disponibili al pubblico non sono così semplici. L'articolo 8, che definisce cosa si intende per fonti di dati personali accessibili al pubblico (libri di riferimento, rubriche, ecc.), Sottolinea che le informazioni personali possono essere incluse solo con il consenso scritto del soggetto. Inoltre, "le informazioni relative all'oggetto dei dati personali possono essere in qualsiasi momento escluse dalle fonti di dati personali disponibili pubblicamente su richiesta del soggetto di dati personali o da un tribunale o da altri organismi governativi autorizzati".
D'altro canto, se un'organizzazione raccoglieva informazioni di fonte pubblica disponibili per raccogliere dati personali, doveva documentare dove ha ricevuto tali informazioni e assicurarsi che la "fonte" abbia il consenso scritto richiesto dalla legge.
Legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ
Clausola 12 dell'articolo 3. Termini di base utilizzati in questa legge federale
I dati personali generalmente accessibili sono dati personali a cui un numero illimitato di persone ha accesso con il consenso del soggetto dei dati personali o ai quali il requisito di riservatezza non si applica in conformità con le leggi federali.
Clausola 1 dell'articolo 8. Generalmente fonti accessibili di dati personali
Per fornire supporto informativo, è possibile creare fonti di dati personali accessibili al pubblico (compresi libri di riferimento, rubriche). Fonti pubblicamente disponibili di dati personali con il consenso scritto del soggetto dei dati personali possono includere il suo cognome, nome, secondo nome, anno e luogo di nascita, indirizzo, numero di abbonato, informazioni sulla professione e altri dati personali forniti dall'oggetto dei dati personali.
Clausola 3 dell'articolo 9. Consenso all'oggetto dei dati personali sul trattamento dei propri dati personali
L'obbligo di fornire la prova del consenso del soggetto dei dati personali al trattamento dei propri dati personali, e in caso di trattamento di dati personali disponibili al pubblico, l'operatore è tenuto a dimostrare che i dati personali oggetto di trattamento sono pubblicamente disponibili.
Si scopre che per proteggersi, le organizzazioni dovranno chiedere conferma ufficiale per ogni cittadino.
Come deve essere depositato il consenso scritto del soggetto? Risulta che la firma di un cittadino sotto la frase generale "Accetto la raccolta e il trattamento dei miei dati personali" non sarà sufficiente.
Clausola 4 dell'articolo 9 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ
... il consenso scritto del soggetto dei dati personali al trattamento dei propri dati personali dovrebbe includere:
Ciò significa che prima di "catturare" l'oggetto dei dati personali e cercare di ottenere il suo consenso, l'operatore deve sviluppare una forma speciale del documento che contenga tutte le informazioni necessarie.
Innanzitutto, l'oggetto dei dati personali ha diritto a ricevere le seguenti informazioni:
Dall'operatore, l'oggetto dei dati personali potrebbe richiedere:
Molte difficoltà per le organizzazioni di operatori creeranno la clausola 2 dell'articolo 14 della legge, che richiede che le informazioni sulla disponibilità dei dati personali siano fornite all'operatore dall'operatore in una forma accessibile e che non contengano informazioni relative ad altri soggetti di dati personali.
Il caso 11 "Durant vs. Financial Services Authority", trattato presso la Court of Appeal in Inghilterra nel dicembre 2003, ha ricevuto un'ampia risposta. La decisione della corte ha significativamente ridotto l'interpretazione del concetto di "dati personali". In particolare, la corte ha indicato che la semplice menzione di questa persona nel testo del documento non è sufficiente per considerare il documento contenente dati personali. Inoltre, il tribunale ha confermato che il diritto di accedere ai propri dati personali non deve violare i diritti di terzi e che, di conseguenza, i dati personali di terzi devono essere rimossi dalle copie dei documenti forniti su richiesta (salvo coincidenze particolari di circostanze).
Nel novembre 2004, il governo ha negato il diritto dei lavoratori nel Regno Unito di accedere ai propri dati personali, indipendentemente dal fatto che il loro datore di lavoro li tenga in forma cartacea o elettronica, se sono memorizzati in un sistema che non struttura chiaramente le informazioni su ciascuna persona. Pertanto, i sistemi di archiviazione per i file cartacei (ad eccezione dei file personali) sono stati di fatto rimossi dall'azione della legge sulla fornitura dell'accesso alle informazioni personali, poiché sono difficili da isolare le informazioni su una determinata persona.
Per accedere ai propri dati personali, i nostri connazionali devono:
Questa richiesta può essere inviata in forma elettronica e firmata con una firma digitale. Pertanto, la legge offre formalmente l'opportunità di richiedere i propri dati personali attraverso i canali di comunicazione elettronica. Non abbiamo ancora individui che abbiano il proprio EDS conforme alla legge sull'EDS (nella stragrande maggioranza dei casi, l'EDS è utilizzato nel nostro paese in conformità con l'articolo 160 del Codice Civile, che prevede un accordo preliminare delle parti).
La quantità di informazioni che un oggetto di dati personali può richiedere dimostra preoccupazione per i nostri cittadini. Le organizzazioni che guidano la banca dati contenente dati personali si raccomandano di prestare particolare attenzione al paragrafo 4 dell'articolo 14 della nuova legge al fine di riflettere e consolidare la procedura per fornire informazioni nei regolamenti interni:
Il problema dell'elaborazione dei dati personali "al fine di promuovere beni, opere, servizi sul mercato attraverso contatti diretti con un potenziale consumatore attraverso strumenti di comunicazione, nonché per campagne politiche" è dedicato a un articolo speciale (articolo 15). Ora, le organizzazioni commerciali e politiche, prima di inviare pubblicità, devono ottenere il consenso preliminare del cittadino, e il trattamento di PD "è riconosciuto effettuato senza il preventivo consenso del soggetto dei dati personali, se l'operatore non prova che tale consenso è stato ottenuto". Per alcune strutture commerciali, questo requisito potrebbe essere molto sconveniente!
D'ora in poi, "è vietato prendere decisioni sulla base del trattamento esclusivamente automatizzato di dati personali, che danno origine a conseguenze giuridiche in relazione al soggetto dei dati personali o comunque influenzano i suoi diritti e interessi legittimi" (Articolo 16).
Questa disposizione è necessaria e tempestiva. Ma i nostri legislatori, nel formularlo, hanno confuso due concetti diversi: "automatico" (cioè, senza partecipazione umana) e "automatizzato" (cioè, andando con la partecipazione umana). Di conseguenza, questo articolo, invece di imporre restrizioni aggiuntive a quelle e solo quando il sistema di informazione prende decisioni senza la partecipazione umana (ad esempio, l'addebito di una multa, il divieto di viaggiare fuori dal paese, ecc.), Può essere interpretato come imposizione di restrizioni su tutti i tipi di trattamento dei dati personali, poiché anche l'uso di un calcolatore può essere inteso come elaborazione automatizzata!
Nello stesso articolo della nuova legge, si afferma che l'operatore sarà in grado di prendere decisioni basate solo sull'elaborazione "automatizzata", se:
In alcuni documenti normativi, questi requisiti di legge sono già stati presi in considerazione. Pertanto, nei campioni di domande per il rilascio di un passaporto di nuova generazione, esiste una sezione speciale in cui il richiedente acconsente al trattamento "automatizzato" dei dati indicati nella domanda. Sembra come segue: "Sono d'accordo con l'elaborazione, la trasmissione e l'archiviazione automatizzata dei dati specificati nell'applicazione ai fini della produzione, elaborazione e controllo di un passaporto durante il suo periodo di validità" 12.
L'operatore dovrà inoltre fornire le seguenti informazioni al cittadino in anticipo:
In caso di controversia, è l'operatore che dovrà dimostrare di aver rispettato tutti i requisiti della legge. Ciò significa che dovrà raccogliere e conservare con cura i documenti di supporto.
Gli obblighi dell'operatore, in conformità dell'articolo 18, includono principalmente la fornitura di informazioni personali su richiesta del cittadino. Inoltre, l'operatore deve "chiarire all'oggetto dei dati personali le conseguenze legali del rifiuto di fornire i propri dati personali", se tale obbligo è stabilito dalla legge federale.
L'articolo 20 stabilisce gli operatori sono scadenze molto rigorose richieste da parte dei soggetti di dati personali (sono molto più rigidi, come quelli forniti in una recente legge "Per ordine di esame delle domande di cittadini della Federazione Russa"):
L'operatore avrà ancora più domande se è necessario eliminare le violazioni della legge entro i termini previsti dall'articolo 21 della nuova legge. Il blocco dei dati deve essere effettuato dal momento della richiesta o dal momento della ricezione della richiesta e dall'eliminazione delle violazioni entro 3 giorni lavorativi.
In alcuni casi, l'operatore è tenuto a distruggere i dati personali entro 3 giorni lavorativi, vale a dire:
Sia il blocco che la distruzione dei dati personali possono essere difficili (e talvolta impossibili) da implementare nei sistemi informativi e nei database attualmente operativi che in precedenza non prevedevano tale possibilità.
Sarà ancora più difficile per l'operatore se riceve dati personali non da un cittadino, ma da una terza parte.
Articolo 3 dell'articolo 18 della legge federale della Federazione russa "Su dati personali" del 27 luglio. 2006 n. 152-FZ
Se i dati personali non sono stati ricevuti dall'interessato, se i dati personali non sono stati forniti all'operatore dalla legge federale o se i dati personali sono disponibili al pubblico, l'operatore deve fornire le seguenti informazioni al soggetto dei dati personali prima di elaborare tali dati personali:
Dietro queste parole c'è più lavoro che richiede tempo. Ad esempio, potrebbe sorgere la domanda: come dovrebbe essere fornita questa informazione al soggetto? È possibile inviarlo per posta e le informazioni saranno considerate fornite se il soggetto non ha ricevuto la lettera corrispondente?
L'obbligo dell'operatore, in conformità dell'articolo 19, è anche quello di garantire la sicurezza dei dati personali durante il loro trattamento. Al fine di evitare problemi, l'organizzazione dell'operatore dovrebbe sviluppare e consolidare nei documenti normativi tutte le misure di sicurezza delle informazioni organizzative e tecniche che è pronta a prendere per proteggere i dati personali contenuti nei suoi sistemi informativi.
La legge prevede che tutti gli operatori che effettuano il trattamento dei dati personali devono informare preventivamente l'organismo autorizzato (articolo 22), che manterrà le registrazioni degli operatori in un apposito registro. L'organismo autorizzato, ai sensi dell'articolo 23, è il Ministero delle tecnologie dell'informazione e delle comunicazioni della Federazione russa, che attualmente svolge "funzioni di controllo e supervisione nel settore delle tecnologie dell'informazione e delle comunicazioni". La notifica dovrà descrivere dettagliatamente cosa si intende fare con i dati personali. Eventuali modifiche al trattamento dei dati personali devono essere segnalate all'organismo autorizzato.
È consentito elaborare i dati personali senza informare l'organismo autorizzato nei seguenti casi:
In conclusione, daremo una serie di raccomandazioni agli operatori. Non sarà molto difficile soddisfare i requisiti della legge sui dati personali se questo lavoro è iniziato ora, senza attendere i primi reclami e reclami. Puoi iniziare con le seguenti ovvie misure:
In questo articolo, un'analisi della nuova legge sulla protezione dei dati personali viene effettuata dal punto di vista degli specialisti nel campo della gestione dei documenti, che rovinerà molto sangue. La sua efficacia verrà dimostrata dalla pratica, ma per ora, in quanto "soggetto dei dati personali", valuto l'elenco delle autorità pubbliche a cui potrei inviare una richiesta per fornirmi, nel rispetto dei requisiti di legge, le informazioni rilevanti. Ora ho il diritto!
1 Articolo 25 del capitolo IV della direttiva 95/46 / CE del Parlamento europeo e del Consiglio dell'Unione europea, del 24 ottobre 1995, relativo alla tutela dei diritti delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
2 È interessante notare che persino gli Stati Uniti non rispettano i severi requisiti europei e le società americane sono costrette a utilizzare i cosiddetti accordi "a ombrello".
3 L'interessato è una persona i cui dati personali sono trattati.
4 "sistema di archiviazione dati personali"
5 L'elenco degli organi esecutivi federali e organizzazioni che svolgono la custodia russi documenti d'archivio del Fondo sotto la proprietà federale, inclusi 18 aziende: il ministero russo dell'Interno, il Ministero degli Esteri russo, il Ministero della Difesa russo, russo degli Esteri Intelligence Service, il Servizio federale di sicurezza della Russia Federal Drug Control Service della Russia FSIN della Russia, Rosatom, Roskartografiya, Accademia russa delle scienze agrarie, Accademia russa delle scienze mediche, Accademia russa dell'educazione, Accademia russa delle arti, Accademia russa di architettura e scienze dell'edilizia, Stato chrezhdenie "All-Russian Research Institute di Idrometeorologico Informazioni - World Data Center" Istituto di Stato federale "Fondo statale di Televisione e Radio", Stato federale unitario scientifica e la produzione Enterprise "Russian Fund federale geologica", Stato federale unitario Enterprise "La scienza russa e Technology Center informazioni su standardizzazione, metrologia e valutazione della conformità ".
6 5 U.S. C. § 552a (k) (1) "Documenti alle persone - Eccezioni speciali - Documenti d'archivio".
7 Operatore - un ente statale, un ente municipale, una persona fisica o giuridica, che organizza e (o) esegue il trattamento di dati personali, nonché definisce lo scopo e il contenuto del trattamento dei dati personali.
9 Data Protection Act 1998, articolo 32.
11 Durant vs Financial Services Authority (FSA).
12 Appendice № 1 al Regolamento sulla procedura di registrazione e rilascio dei passaporti della Federazione Russa cittadini, passaporto diplomatico e il passaporto ufficiale è il documento principale attestante la Federazione Russa cittadini dei confini della Federazione Russa contenenti supporti di dati elettronici (app. L'ordine del Ministero degli Interni, Ministero degli Affari Esteri e il Servizio federale di sicurezza della Federazione russa del 6 ottobre 2006 n. 785/14133/461).