Vene Föderatsiooni tööseadustikus on selline mõiste nagu "töötava isiku isikuandmed". Tööandjale tuleb esitada andmed operatiivse kontingendi kohta.
Pärast isikuandmete läbivaatamist teeb tööandja otsuse ettevõtte ülevõtmise kohta.
Teavet, mida isik enda kohta esitab, tuleb kaitsta. Jaota see on keelatud.
Kallid lugejad! Meie artiklid räägivad tüüpilistest õiguslike probleemide lahendamise viisidest, kuid iga juhtum on ainulaadne.
Kui soovite teada, kuidas täpselt oma probleemi lahendada - helistage, see on kiire ja tasuta!
Töötajate isikuandmeid tuleks arendada.
Tööandja rakendab töötavate inimeste isikuandmete suhtes järgmisi nõudeid:
Töötajate kohta teabe edastamisel peab ettevõtte direktor järgima järgmisi reegleid:
Töötaval kontingendil on õigus:
Eristatakse järgmisi isikuandmete töötlemise liike:
See töötlemine toimub spetsiaalse arvutitehnoloogia abil. Kõige tavalisemad arvutiseadmed võivad olla:
Mitteautomaatse töötlemise kõige üksikasjalikum kirjeldus on kirjutatud valitsuse dekreediga nr 687.
Käitatava kontingendi kohta teabe levitamine, uurimine ja eemaldamine peaks toimuma isiku osaga, mitte arvutitehnoloogiaga.
Tänu infosüsteemile töödeldakse operatiivse kontingendi kohta spetsiaalseid isikuandmeid. See süsteem töötleb andmeid, mis mõjutavad konkreetse rassi ja soo liikmelisust, rahvust, poliitilisi vaateid, filosoofilisi väljavaateid.
Tänu infosüsteemile saab töödelda:
Seega sisaldub iga tööandja kohta isiklik teave iga töötaja kohta. Direktoril ei ole mingil juhul õigust levitada isiku kohta kättesaadavaid andmeid.
Saadud teavet operatsioonikontrolli kohta saab töödelda mitmel viisil: infotehnoloogia abil, personaalsete jõudude abil, tänu infohindamise süsteemile.
Igal juhul uuritakse põhjalikult iga töötaja isikuandmeid.
Amuri maakonna tsiviilkoodeksi järgi
26. detsember 2012, nr 626
isikuandmete töötlemisel
1. ÜLDSÄTTED
1.1. Käesolev dokument (edaspidi "Poliitika") on isikuandmete töötlemise eesmärkide, põhimõtete, meetodite ja tingimuste süstemaatiline avaldus, teave isikuandmete töötlemise ja kaitse rakendatud nõuete kohta vabakaubanduse Keskosakonna Amuri piirkonna GKUs (edaspidi "Tööhõivekeskus").
1.2. Poliitika põhineb Vene Föderatsiooni föderaalseaduses „Isikuandmetele”, muudele Vene Föderatsiooni õigusaktidele, millega kehtestatakse isikuandmete töötlemise ja kaitse kord. Poliitika on avalik dokument.
1.3. Vastavalt 27. juuli 2006. aasta föderaalseadusele nr 152-ФЗ „Isikuandmetest” on tööhõivekeskus isikuandmete käitaja (edaspidi “PD”).
2. TÖÖTLEMATA ISIKUANDMED
2.1. Poliitikas kasutatud peamised terminid:
· Isikuandmed - igasugune teave füüsilise isiku (isikuandmete objekt) kohta, mis on kindlaks määratud või kindlaks määratud sellise teabe alusel, sealhulgas tema perekonnanimi, eesnimi, isanimi, aasta, kuu, sünniaeg ja -koht, aadress, perekond, sotsiaalne, vara. ametikoht, haridus, elukutse, sissetulek, muu teave;
· Isikuandmete töötlemine - isikuandmetega seotud toimingud (toimingud), sealhulgas isikuandmete kogumine, süstematiseerimine, kogumine, säilitamine, täiustamine (muutmine), kasutamine, levitamine (sh ülekandmine), depersonaliseerimine, blokeerimine ja hävitamine;
2.2. Käesoleva poliitika raames on töödeldud isikuandmed järgmised:
· Tööhõivekeskusele avalike teenuste saajate esitatud isikuandmed;
· Tööhõivekeskuse töötajate või vabade töökohtade kandidaatide isikuandmed;
3. ISIKUANDMETE TÖÖTLEMISE EESMÄRGID
3.1. PD töötlemise eesmärgid tööhõivekeskuses on:
· Tagada Venemaa Föderatsiooni kodanike põhiseaduslike õiguste rakendamine töö ja sotsiaalse kaitse vastu töötuse kaudu avalike teenuste osutamise kaudu tööhõive edendamise valdkonnas;
· Kodanike põhiseaduslike õiguste edasikaebamise tagamine;
· Objektiivse hinnangu saamine tööturu olukorrast Vene Föderatsiooni koosseisus (seoses riiklike tööturuasutuste saajatega; töötud, kodanikud, kes esitavad tööhõivekeskusele ettepanekuid, avaldusi, kaebusi);
· Vene Föderatsiooni põhiseaduse järgimise tagamine, seadused ja muud õigusaktid, töötajate abistamine töö leidmisel, koolituse ja töö edendamisel, töökohtade kasvu tagamine, töötajate isikliku turvalisuse tagamine, teostatava töö kvaliteedi ja kvaliteedi kontrollimine, talle kuuluva vara ohutuse tagamine ja nende tulemuste salvestamine tööhõivekeskuse varaliste kohustuste ja ohutuse kohta.
· Maksuhalduri ülesannete täitmine standardsete maksusoodustuste andmisel (tööhõivekeskuse töötajate pereliikmete puhul);
· Tsiviilõiguslikest lepingutest tulenevate kohustuste täitmine (seoses tööga tegelevate isikutega, kes osutavad tsiviilõiguse lepinguid tööhõivekeskusega).
4. ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED
4.1. PD töötlemise rakendamine õiguslikult ja õiglaselt.
4.2. PD töötlemise piiramine käesoleva dokumendi 2. jaos esitatud konkreetsete, eelnevalt kindlaksmääratud ja õiguspäraste eesmärkide saavutamiseks. Isikuandmete kogumise eesmärkidega kokkusobimatute isikuandmete töötlemine ei ole lubatud.
4.3. PD-d sisaldavate andmebaaside kombinatsiooni vältimine, mida töödeldakse üksteisega kokkusobimatuks otstarbeks.
4.4. Töötlevad ainult need PDS-d, mis vastavad nende töötlemise eesmärkidele.
4.5. Vastavus töötlemise eesmärgil töödeldud PD-le ja mahule.
4.6. Töötajate koondamise vastuvõetamatust käsitleti PD-ga seoses nende töötlemise eesmärkidega.
4.7. Tagada PD täpsus, nende piisavus ja vajaduse korral asjakohasus seoses PD töötlemise eesmärkidega.
4.8. Tagada vajalike meetmete võtmine puudulike või ebatäpsete andmete eemaldamiseks või täpsustamiseks.
4.9. PD ladustamine sellisel kujul, mis võimaldab kindlaks määrata PD objekti, ei ole pikem kui PD töötlemise eesmärk, eeldab, et kui PD hoiuperioodi ei ole föderaalseadusega kehtestatud, siis leping, mille suhtes PD subjekt on soodustatud isik või käendaja. Töötlevad PDd hävitatakse või depersonaliseeritakse töötlemiseesmärkide saavutamise või nende eesmärkide saavutamise vajaduse kadumise korral, kui föderaalseaduses ei ole sätestatud teisiti.
5. ISIKUANDMETE TÖÖTLEMISE MEETODID
5.1. Tööhõivekeskus töötleb PD-d järgmistel viisidel:
· Mitteautomaatne PD töötlemine (paberil);
· Automatiseeritud töötlemine (ISPDnis koos automatiseerimisseadmete kasutamisega ja ilma), sealhulgas: edastamise kaudu ja ilma tööhõivekeskuse kohaliku võrgu kaudu; Interneti kaudu edastamise ja ilma;
· Kombineeritud PD töötlemine.
5.2. Tööhõivekeskus saab sõltumatult valida PD töötlemise meetodid sõltuvalt töötlemise eesmärkidest ja oma materiaalsetest ja tehnilistest võimalustest.
6. ISIKUANDMETE TÖÖTLEMISE TINGIMUSED
6.1. PD töötlemine toimub kooskõlas föderaalseaduses „Isikuandmetega” sätestatud põhimõtete ja eeskirjadega.
6.2. PD töötlemine on lubatud föderaalseaduses „Isikuandmete kohta” sätestatud juhtudel.
6.3. Töökeskusel on õigus usaldada PD töötlemine teisele isikule PD isiku nõusolekul, kui föderaalseaduses ei ole sätestatud teisiti, selle isikuga sõlmitud lepingu, sealhulgas riigi- või munitsipaallepingu alusel, või riigi või munitsipaalorgani asjakohase akti (edaspidi "asutus") alusel. ).
6.4. Kui tööhõivekeskus määrab PD töötlemise teisele isikule, kannab vastutuse PD eest nimetatud isiku tegevuse eest tööhõivekeskus. Isik, kes töötleb Töökeskuse nimel isikuandmeid, vastutab tööhõivekeskuse ees.
7. ISIKUANDMETE KONFIDENTSIAALSUS
7.1. Tööhõivekeskus ja teised isikud, kes on saanud juurdepääsu PD-le, on kohustatud mitte avaldama kolmandatele isikutele ja mitte levitama PD-d ilma PD teema nõusolekuta, kui föderaalseaduses ei ole sätestatud teisiti.
8. ISIKUANDMETE TÖÖTLEMISE NÕUKOGU ISIKUANDMETE TÖÖTLEMISEKS
8.1. PD subjekt teeb otsuse oma isikuandmete esitamise kohta ja nõustub nende töötlemisega oma tahte ja huvide huvides.
8.2. PD töötlemise nõusolek peaks olema konkreetne, informeeritud ja teadlik.
8.2. PD-subjekti või tema esindaja võib anda nõusoleku PD töötlemiseks mis tahes vormis, mis võimaldab kinnitada selle kättesaamise fakti, kui föderaalseaduses ei ole sätestatud teisiti.
8.3. Isikuandmete esitaja esindaja isikuandmete töötlemiseks nõusoleku saamisel kontrollib tööhõivekeskus selle esindaja volitusi isikuandmete subjekti nimel nõusoleku andmiseks.
8.4. PD-subjekt võib PD-töötlemise nõusoleku tühistada. PDN-i subjekti poolt PD-i töötlemise nõusoleku tagasivõtmise korral on tööhõivekeskusel õigus jätkata isikuandmete töötlemist ilma PD-teema nõusolekuta, kui on põhjendatud föderaalseaduse „Isikuandmete kohta” artikli 6 lõike 1 punktides 2–11, 2. jaos ja artikli 11 teises osas. ".
8.5. Föderaalseaduses sätestatud juhtudel toimub PD-töötlemine ainult PD-subjekti kirjaliku nõusolekuga. Kirjalik nõusolek tunnistatakse võrdseks föderaalseadusega allkirjastatud elektroonilise seadusega allkirjastatud elektroonilise dokumendiga.
8.6. Töökeskus võib saada isikuandmeid isikult, kes ei ole isikuandmete objektiks, tingimusel et tööhõivekeskus kinnitab föderaalseaduse „Isikuandmete kohta” artikli 6 lõike 1 punktides 2–11, 2. osa ja artikli 2 punktides 2–11 nimetatud aluste olemasolu. ".
9. ISIKUANDMETE ÕIGUSTE RAKENDAMINE
9.1. PD töötlemisel annab tööhõivekeskus vajalikud tingimused, et PD saaks oma õigusi vabalt kasutada.
9.2. PD subjektil on õigus tutvuda oma isikuandmetega.
9.3. PD-objektil on õigus saada teavet oma isikuandmete töötlemise kohta, mis sisaldab: tööhõivekeskuse poolt PD-töötlemise faktide kinnitamist; PD töötlemise õiguslikud alused ja eesmärgid; tööhõivekeskuse kohaldatavad PD töötlemise eesmärgid ja meetodid; tööhõivekeskuse nimi ja asukoht, teave üksikisikute kohta (välja arvatud tööhõivekeskuse töötajad), kellel on juurdepääs isikuandmetele või kes võivad avaldada isikuandmeid tööhõivekeskusega sõlmitud lepingu või föderaalseaduse alusel; PD, mida töötleb asjaomane PD teema, nende vastuvõtmise allikas, välja arvatud juhul, kui föderaalseadus näeb ette erineva sellise andmete esitamise korra; PD töötlemise aeg, sealhulgas salvestusaeg; föderaalseaduses „Isikuandmetest” tulenevate õiguste PDN-i teostamise kord; teave lõpetatud või kavandatud piiriülese andmeedastuse kohta; PDN-i töötlemisega tegeleva isiku nimel töötava isiku nimi või perekonnanimi, nimi, patronüüm ja aadress, kui töötlemine on usaldatud sellisele isikule või usaldatakse sellele; muud föderaalseadustega ettenähtud andmed.
9.4. Isikuandmetele juurdepääsuga seotud PD õigust võib piirata föderaalseadustega selgesõnaliselt sätestatud juhtudel.
9.5. PD subjektil on õigus kaitsta oma õigusi ja õigustatud huve, sealhulgas kahju hüvitamist ja (või) moraalse kahju hüvitamist kohtus.
9.6. Kui PD-subjekt leiab, et tööhõivekeskus töötleb oma PD-d, rikkudes föderaalseaduse nõudeid „Isikuandmete kohta” või muul viisil rikkudes tema õigusi ja vabadusi, on PD-subjektil õigus pöörduda tööhõivekeskuse tegevuse või tegevusetuse vastu volitatud asutusele, et kaitsta PD-subjektide õigusi või kohtumäärus.
10. TEAVE TÖÖKESKUSE RAKENDATUD MEETMETE KOHTA
EESMÄRGID ON VÄLJAKUTSE ISIKUANDMETE TÖÖTLEMISEGA SEOTUD VASTUTUSTE RAKENDAMIST
10.1. Töötuskeskus PD töötlemisel täidab oma kohustusi PD-operaatorina, mis on sätestatud föderaalseaduses „Isikuandmetest”.
10.2. Tööhõivekeskus võtab vajalikud ja piisavad meetmed, et tagada käesolevas föderaalseaduses ja selle kohaselt vastuvõetud õigusaktides sätestatud ülesannete täitmine.
10.3. Tööhõivekeskus määrab iseseisvalt kindlaks käesoleva liidumaa seaduse ja selle alusel vastu võetud õigusaktidega ettenähtud kohustuste täitmise tagamiseks vajalike ja piisavate meetmete koosseisu ja nimekirja, kui föderaalseadustes ei ole sätestatud teisiti.
11. TEAVE ISIKUANDMETE KAITSMISE MEETMETE TÖÖHÕIVEKESKUSE RAKENDAMISE KOHTA nende töötlemisel
11.1. PD-töötlusega tegelev tööhõivekeskus tagab vajalike õiguslike, organisatsiooniliste ja tehniliste meetmete võtmise, et kaitsta PD-d ebaseadusliku või juhusliku juurdepääsu eest nendele, hävitada, muuta, blokeerida, kopeerida, pakkuda, levitada PD-d, samuti muud PDN-i puudutavad ebaseaduslikud tegevused.
11.2. Isikuandmete kaitseks rakendab tööhõivekeskus isikuandmete kaitse nõudeid, kui neid töödeldakse Vene Föderatsiooni valitsuse kehtestatud isikuandmete infosüsteemides.
11.3. PD-turvalisuse tagamine saavutab tööhõivekeskus, eelkõige:
· Isikuandmete ohutuse ohtude tuvastamine, kui neid töödeldakse tööhõivekeskuse ISPDN-is;
· Organisatsiooniliste ja tehniliste meetmete kasutamine isikuandmete turvalisuse tagamiseks, kui neid töödeldakse tööhõivekeskuse ISPDN-is, mis on vajalik isikuandmete kaitse nõuete täitmiseks, mille täitmist tagavad Vene Föderatsiooni valitsuse kehtestatud isikuandmete kaitse tase;
· Ettenähtud turvameetmete kasutamine;
· Tööhõivekeskuse poolt isikuandmete ohutuse tagamiseks võetud meetmete tõhususe hindamine enne tööhõivekeskuse ISPDNi kasutuselevõttu;
· Tööhõivekeskuse masinate kandjate PD arvestamine;
· Volitamata juurdepääsu tuvastamine PDN-ile ja tegevuste tuvastamine;
· Volitamata ligipääsu tagajärjel muudetud või hävitatud PDN-i taastamine;
· Tööhõivekeskuse SPDN-is töödeldud PDN-i kasutamise reeglite kehtestamine, samuti kõigi PDN-is tehtud töö registreerimine ja registreerimine tööhõivekeskuses ISPDN-is;
· Kontrollida isikuandmete ohutuse ja tööhõivekeskuse ISPDN-i turvalisuse taset.
11.4. Teave tööhõivekeskuse poolt isikuandmete kaitseks võetud meetmete kohta on piiratud teave.
12. Poliitika muutmine. Kohaldatav õigus
12.1. Tööhõivekeskusel on õigus käesolevat poliitikat muuta.
12.2. Poliitika rubriigis muudatuste tegemisel näidatakse viimase versiooni uuendamise kuupäeva.
12.3. Poliitika uus versioon jõustub selle avaldamise hetkest Amurskaya oblasti tööhõiveministeeriumi veebilehel, kui poliitika uus versioon ei sätesta teisiti.
Mis on seotud isikuandmete töötlemise meetoditega ja mis on seotud isikuandmetega seotud toimingutega?
Roskomnadzor'i 19. augusti 2011. aasta määruse nr 706 punkti 9 kohaselt hõlmavad meetodid * järgmist:
- isikuandmete automatiseerimata töötlemine;
- üksnes isikuandmete automatiseeritud töötlemine koos saadud teabe edastamisega võrgus või ilma;
- isikuandmete segane töötlemine (märkus N 4).
Ja tegevustele vastavalt artiklile. 27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikkel 3. Isikuandmete hulka kuuluvad: *
- selgitus (ajakohastamine, muutmine);
- levitamine (sealhulgas edastamine);
- isikuandmete hävitamine.
Selle positsiooni põhjendus on toodud allpool “System Lawyer” materjalides.
„Isikuandmete töötlemine on mis tahes toiming (toiming) või toimingute kogum (operatsioonid), * mida tehakse automatiseerimisvahendite abil või ilma selliseid vahendeid kasutamata isikuandmetega, sealhulgas kogumine, salvestamine, süstematiseerimine, kogumine, säilitamine, täiustamine (uuendus, muutmine), isikuandmete väljavõtmine, kasutamine, ülekandmine (levitamine, pakkumine, juurdepääs), personaliseerimine, blokeerimine, kustutamine,
„Välja“ toimingute nimekiri koos isikuandmetega, operaatori poolt isikuandmete töötlemiseks kasutatavate meetodite üldine kirjeldus ”* näitab operaatori poolt isikuandmetega teostatud toiminguid, samuti nende meetodite kirjeldust, mida operaator kasutab isikuandmete töötlemiseks:
- isikuandmete automatiseerimata töötlemine;
- üksnes isikuandmete automatiseeritud töötlemine koos saadud teabe edastamisega võrgus või ilma;
- isikuandmete segane töötlemine (märkus N 4) Märkus N 4. Isikuandmete automatiseeritud töötlemisel või segatöötlemisel tuleb märkida, kas isikuandmete töötlemise käigus saadud teave edastatakse juriidilise isiku sisevõrgus (teave on kättesaadav ainult juriidilise isiku täpselt määratletud töötajatele) ) või kui teave edastatakse avaliku Interneti kaudu või ilma saadud informatsiooni edastamata. ”
* Nii esile tõstetud osa materjalist, mis aitab teil õiget otsust teha.
Terminid, nüansid ja sagedased pettused - ettevõtte "Onlanta" turvateenistuse ekspertide materjalis (mis kuulub ettevõtete gruppi LANIT).
Me mõistame õiguslikku terminoloogiat ja väga nüansse, mille jaoks võite olla kohtus.
Peamine seadusandlus, mis reguleerib isikuandmete töötlemisega seotud suhteid, on 27. juuli 2006. aasta föderaalseadus nr 152-ФЗ „Isikuandmetest”.
Esimene mõistetav termin on isikuandmed.
See on mis tahes teave, mida saab kasutada isiku tuvastamiseks: näiteks täielik nimi, sünniaeg, haridus, sissetulek ja isegi perekonnaseis. Te küsite: "Ja mis, minu perekonnanimi, trükitud visiitkaardile, on ka isikuandmed?"
Vastus: "Jah." Seaduse järgi ei ole oluline, kas visiitkaardile või kombinatsioonile, näiteks telefoninumbrile ja aadressile, trükitakse ainult teie perekonnanimi. Nii esimene kui teine ja kolmas - isikuandmed. Tõsi on, et tüdrukute visiitkaartide või telefoninumbrite salvestamist telefoniraamatusse ei pea seadusega vastama, vaid rohkem sellest allpool.
Mine edasi. Meedia kirjutab pidevalt "isikuandmete säilitamist". Nõuetekohaselt ei ole tegemist isikuandmete säilitamisega, vaid töötlemisega. Mis vahe on? Ladustamine on vaid osa sellest, mida nimetatakse isikuandmete töötlemiseks. Kõik toimingud, mida te teostate isikuandmetega (koguda, koguda, salvestada, edastada, muuta) on seadusega määratletud isikuandmete töötlemisega.
On oluline mõista, et seaduses eristatakse kahte isikuandmeid: operaatorit ja töötlejat. Käitaja teostab isikuandmete töötlemist ning määrab ka nende töötlemise eesmärgi, töödeldavate isikuandmete koosseisu, isikuandmetega teostatud tegevused (toimingud).
Käsitleja on keegi, kes teostab isikuandmetega seotud toiminguid: kogumine, säilitamine, korraldamine, kogumine, ajakohastamine, ajakohastamine, kustutamine, depersonaliseerimine ja nii edasi.
Tegelikult ei ole käitleja mitte ainult lõppkasutaja, kes vajab tööks isikuandmeid, vaid ka mis tahes vahepealset kasutajat, kelle käes on need isikuandmed möödunud. Näita praktikas.
E-poes on kliendiandmebaas, mis asub kolmanda osapoole ettevõtte "pilves". Selle baasiga töötab turundusagentuur. Küsimus: kui palju meil on isikuandmeid?
Õige vastus on üks. See on veebipood, mis määrab isikuandmete töötlemise eesmärgid. Teine küsimus: kui palju isikuandmete töötlejaid meil on? Õige vastus on kaks.
Isikuandmeid töödeldakse paljudes erinevates asutustes: näiteks pankades, koolides, kliinikutes, viisakeskustes. Rääkimata veebilehtedest, kus me registreerime, jättes meie e-posti aadressid ja telefoninumbrid. Aga kuidas ja kus täpselt?
Seaduses on niivõrd varjatud mõiste kui „isikuandmete infosüsteem”. Kui püüate lihtsate sõnadega selgitada - see on terve kompleks, mis koosneb andmebaasiserveritest, tehnilistest vahenditest nende töötlemise tagamiseks ja infotehnoloogiast. Seaduse kohaselt tuleb kaitsta isikuandmete infosüsteemi.
Teabe kaitsmise meetodid on erinevad.
Üks teabe kaitsmise vahenditest on isikuandmete personaliseerimine. Mis see on? Viisakeskuses määratakse igale viisat taotleval isikul eraldi identifitseerimisnumber. See number ise ei viita isikuandmetele, kuna see muudab isiku isikupärastamata: on võimatu tuvastada viisataotlejat.
Niisiis, koos terminoloogiaga. Nüüd peaksid kõik ettevõtete esindajad, eriti üksikettevõtjad, kellel võib olla vaid mõned töötajad, vastama ausalt küsimusele: „Kas ma töötan isikuandmeid?"
Jah, kui olete saidi omanik, kellel on nädalas viis inimest, kuid tal on tagasisidevorm, kus on väljad "nimi, e-posti aadress, telefoninumber". Teave selle kohta, millistel eesmärkidel te isikuandmeid kogute, kuidas seda kasutate, tuleks esitada teie veebisaidil.
Jah, kui töötate oma töötajate või kolmandate isikute spetsialistide isikuandmeid, kes on tööle võetud.
Jah, kui te töötate eraklientidega ja vajate lepingute sõlmimiseks oma passiandmeid - see kehtib reisibüroode, spordikeskuste, erinevate teenindusettevõtete, veebipoodide ja teiste kohta.
Ja jällegi, jah, kui olete eelarveorganisatsioon, erakond või lasteaed. Viimasel ei ole mitte ainult teavet lapse kohta, vaid ka vanemate kohta, sealhulgas töökoht ja ametikoht. Rääkimata meditsiiniasutustest - on olemas isiklik tundlik teave, mida tuleb turvaliselt säilitada.
Kui aga kasutate isiklikku suhtlemist ilma kaubandusliku kasu saamiseta, siis ei kohaldata teie õigusaktide nõudeid teie suhtes ning ei ole mingit kriminaalvastutust.
Näiteks teie kolleegilt saadud visiitkaardile trükitud kontaktide kasutamine või nutitelefoni sülearvuti telefoninumbrid, teave sotsiaalsete võrgustike kohta ei sea teile vastutust seaduse ees.
Peamine on mitte avalikustada andmeid reklaamijatele ja mitte avaldada neid ilma üldkasutatavate isikuandmete omanike loata.
Õnnitleme Teid pealkirja „Isikuandmete operaator” uhke omanikuna. Kõige tähtsam on nüüd täpselt mõista, milliseid isikuandmeid töödeldakse. Kuna see sõltub isikuandmete kategooriast, kuidas kaitsta andmeid ja milliseid nõudeid tuleb täita. Kategooriaid kirjeldatakse üksikasjalikult föderaalseaduses nr 152 ja valitsuse 1. novembri 2012. aasta resolutsioonis N 1119.
Üldiselt kättesaadavad isikuandmed: andmed avatud ressurssidest, mille avaldab isikuandmete subjekt või mille on heaks kiitnud. Avalikult kättesaadavad andmed on meedia või Interneti andmed.
Näide: teave, mis on avaldatud avatud juurdepääsu kaudu sotsiaalsetes võrgustikes või ettevõtete veebisaidil. Telefoninumber ja perekonnaseis avaldatakse Facebookis avalikkusele ligipääsuga. Töötaja nimi ja ametikoht tööandja veebilehel.
Biomeetrilised isikuandmed: see kategooria sisaldab kõiki andmeid inimeste füsioloogiliste ja bioloogiliste omaduste kohta.
Näide: kaal, kõrgus, silmade või juuste värv, juuste pikkus, veregrupp, foto.
Erikategooria isiklikud andmed: see hõlmab teavet kuulumise kohta mis tahes rassi ja rahva, poliitiliste vaadete, usuliste ja filosoofiliste veendumuste, tervisliku seisundi või intiimse eluga.
Näide: meditsiiniline diagnoos (teave selle kohta, mida sa olid haige, millal, mida arst ravis).
Muud liiki isikuandmed - see hõlmab isikuandmeid, mis ei kuulu eespool nimetatud kategooriatesse.
Näide: ettevõtte teave. Töötajate raamatupidamiskaardid, mis sisaldavad teavet, milline personalijuhtimise ja raamatupidamise töö: palk, puhkeperioodid, töötamise kuupäevad.
Kui olete otsustanud isikuandmete kategooria kohta, peate aru saama täpselt töödeldavate andmete hulgast: kuni 100 tuhat või üle 100 tuhande.
Uuriti kategooria ja kogus, määrake ohu liik:
Ohu number 1. "Aukud" ja operatsioonisüsteemi nõrgad kohad. Näide: haavatavused, mida häkkerid kasutavad operatsioonisüsteemi infiltreerimiseks, et varastada teavet.
Ohu number 2. "Aukud" ja rakendustarkvara nõrgad kohad, st teie igapäevatöös kasutatav tarkvara. Näide: Word, Excel.
Ohu number 3. Kõik muud ohud, mida esimesed kaks tüüpi ei ole loetletud. Esiteks inimtegur. Töötaja võib dokumendi avada lukustamata arvutis, saata dokumendi kellegi teise printerile printimiseks või e-posti teel.
Isikuandmete, kategooriate, ohutüüpide hulk - kõik koos võimaldab teil kindlaks määrata, milline on teie infosüsteemi kaitse tase. Praegu on kaitse nelja taset.
Esimest ja kõrgetasemelist kaitset kasutatakse kõige sagedamini isikuandmete töötlemisel valitsusasutustes ja meditsiiniasutustes. Neljas kaitse tase on kõige lihtsam pakkuda, mõnikord piisab organisatsiooniliselt reguleerivate meetmete rakendamisest, peamiselt puudutab see avalikult kättesaadavate andmete kaitset.
Selle tabeli abil saate määrata kaitse taseme.
Haigla töötleb oma patsientide isikuandmeid - see on erikategooria isikuandmed. Samuti töötleb see töötajate isikuandmeid - see on teise kategooria isikuandmed. Tõenäoliselt on haiglas kaks andmebaasi. Kui lisate mõlemad andmebaasid, saate selle haigla infosüsteemis ketruvate isikuandmete koguarvu.
Näiteks kõik need - kuni 100 tuhat. Järgmisena vaatame, kuidas andmeid töödeldakse: automatiseeritakse (arvutis) või ei automatiseerita (käsitsi salvestatavas kapis). Kui kõik on automatiseeritud, vaatame, millist tarkvara kasutab haigla, milliseid haavatavusi ta omab.
Selle põhjal tuvastatakse ohud ja nende tase. Me lisame kõik tegurid ja saame teise taseme kaitseklassi. Me vaatame, millised on seaduses sätestatud nõuded teisele turvalisuse tasemele. Nende nõuete alusel on vaja luua föderaalseaduse nõuetele vastav infosüsteemi kaitse.
Miks üldse vaevate isikuandmete kaitset? Isikuandmed on mustal turul kulukas toode. Petturid on valmis maksma muljetavaldavaid summasid profiilis, mis sisaldab isiku tervisekontrolli üksikasju. Eraldi turg - pangakaardi andmete müük; kontod sotsiaalsetes võrgustikes.
Isikuandmete lekke tagajärjed on erinevad. Andmed võivad olla avalikult kättesaadavad Internetis: näiteks saate hõlpsasti leida varastatud andmebaase, millel on ettevõtte klientide klientide aadressid ja telefoninumbrid. Teades nime ja perekonnanime, võib igaüks teada saada isiku koduse aadressi, saada sotsiaalsesse võrgustikku, vaadata profiili või kirjutada SMS-i mobiiltelefonile.
Isiklikud andmed võivad sattuda mõne kaubandusorganisatsiooni häirivate postituste andmebaasi, siis nende omanikule tekib soovimatuid teenuseid. Neid saab kasutada ka online-kasiinode online-petturid või elektroonilise rahakoti avamiseks.
Halvimal juhul võib ründaja kehastada teist inimest ja võtta krediiti kellegi teise nime eest. Isikuandmete lekke kõige tõsisemad tagajärjed on: ebaseaduslikud tegevused kinnisvaraga, raha pangakaartidelt vargamine, sugulaste väljapressimine ja ettevõtte registreerimine.
Kas sa mõistad küsimuse tähtsust ja olete valmis vastutama? See on õige. Kuna vastutus isikuandmete ohutuse eest lasub täielikult operaatoril.
See tähendab, et käitaja peab hoolitsema selle eest, et teave ei siseneks üldsusele ega kuulu kolmandate isikute kätte, kellel ei ole sellele õigust. Selleks on vaja pidevalt jälgida ja ennetada andmete turvalisuse ohtusid, kontrollida infoturbe taset ja selle taastamist kahju korral.
Meie riigis jälgib Roskomnadzor isikuandmete töötlemise alaste õigusaktide järgimist. See asutus vastab kaebustele, reguleerib subjektide ja operaatorite vahelisi suhteid.
Teabe kaitsmise tehnilised nõuded on FSTEC ja FSB: nad arendavad nõudeid ja kontrollivad nende täitmist.
Ja nüüd on aeg tabeleid uurida isikuandmete tehnilise kaitse nõuetega. Üksikasjad leiate 18. veebruari 2013. aasta föderaalse tehnilise ja ekspordikontrolli talituse korraldusest.
Aga vähemalt alustage sellest:
Paljud saidiomanikud arvavad, et kui külastaja klõpsab nupule „Nõustun isikuandmete töötlemisega”, siis puuduvad õiguslikud probleemid ja andmetöötlus langeb automaatselt õigusvaldkonda. See ei ole.
Õiguslikust seisukohast on isikuandmete töötlemisel nõusoleku kinnitamiseks vaid kaks võimalust: allkirjastamine paberil või elektrooniline digitaalallkiri.
Kõigil muudel juhtudel, kui asi läheb kohtusse, ei saa saidi omanik kinnitada, kes täpselt vajutas nuppu "Nõustun". Võib ainult loota, et teie saidile tulnud isik edastab oma andmed vabatahtlikult ja ei esita kaebust.
Jah, kontrolli saab teha Roskomnadzorilt.
Roskomnadzor avaldab igal aastal registreeritud ettevõtjate nimekirjast valikukontrolli, kui ettevõte on kontrollide nimekirjas, seejärel on järgmine planeeritud kontroll võimalik mitte varem kui kolme aasta pärast. Siin näete, kas teie ettevõte on käesoleval aastal nimekirjas.
Planeerimata kontrollid on tavaliselt põhjustatud kaebustest. Kui tšekk on planeerimata, tuleks sellest 24 tunni jooksul kirjalikult hoiatada.
Samuti võib olla dokumentaalseid kontrolle. Dokumenteerimisel saadate nimekirja dokumentidest, mille koopiad tuleb saata Roskomnadzorile.
Mõnikord teeb Roskomnadzor kohapealseid kontrolle: inspektorid külastavad isiklikult ettevõtte kohapealset kontrolli.
Nende kontrollide ettevalmistamine on aeganõudev ülesanne. Kas lahendate inspekteerimise ettevalmistamise ülesande ise või kaasate väliseksperte, peate kõigepealt kindlaks tegema, kes ettevõttes vastutab FZ-152 järgimise eest.
152-FZ rikkumise eest on ette nähtud tsiviil-, kriminaal-, haldus- ja distsiplinaarvastutus.
Niisiis, Roskomnadzor viis läbi kontrolli, kui ta leidis seadusega vastuolusid, annab ta uurimiskomisjonile korralduse korraldada kohtuprotsess seaduse „Isikuandmete” rikkumise kohta.
Pärast seda alustab prokuratuur kontrolli, mille käigus ta võib peatada ettevõtte tegevuse: võtta tagasi ettevõtte andmebaas, eelkõige arvutid, kus isikuandmeid töödeldi.
Seaduse rikkujad ootavad peamiselt trahve. Trahvide suurus varieerub sõltuvalt süüteost. Seega peavad juriidilised isikud isikuandmete töötlemiseks ilma üksuste kirjaliku loata kandma haldusvastutust.
Isegi kui operaator on valmis trahvi maksma, kuid suurettevõtete standardite järgi ei tundu see olevat tohutu, peab kurjategija ikka veel kõrvaldama seaduse vastuolu (näiteks kustutama salvestatud andmed) ja teatama sellest Roskomnadzorile.
Halvim stsenaarium on, kui Roskomnadzor otsustab ettevõtte tegevusloa tühistada, keelata ettevõtetel isikuandmete töötlemist ja avaldada ebaseaduslikult kodanike isikuandmeid.
Viimastel aastatel oli Venemaal kõige karmim skandaal seotud LinkedIn blokeerimisega, kelle omanikke süüdistati kodanike isikuandmete töötlemisel ilma nende nõusolekuta Vene Föderatsiooni väljaspool asuvates serverites. Ka autonum.info teenuse blokeerimine oli „tehtud müra”.
Isikuandmete töötlemise saate korraldada iseseisvalt või sellise teenust osutava ettevõtte abiga.
Kui otsustate töödelda isikuandmeid ise, on teil vaja:
Parimal juhul kulub kolm kuni neli kuud sellise rakenduse maksumuses, see võib olla 200-300 tuhat rubla - see on seadmete ja litsentside ostmise maksumus. Tööjõukulud ja infosüsteemi edasine toetamine on eraldi kuluartikkel. Teil on vaja ka administraatorit, kes jälgib süsteemi toimimist.
Objektiivselt rääkides ei täida väga väikesed ettevõtted lihtsalt kõiki seaduse nõudeid lootuses, et kontrollimine ei toimu. Võib-olla see tegelikult ei ole. Teised ettevõtted loovad „Potemkini külad” vaid teeseldes isikuandmete töötlemist vastavalt seaduse nõuetele, teisisõnu, nad „ostavad” vajalikud dokumendid.
Järgmises artiklis näitame, kuidas arvutada isikuandmete töötlemise kulud ettevõttes ja öelda, millal on kasumlikum teha isikuandmete töötlemine ja millal on parem see pilve panna.
Materjali avaldab kasutaja. Klõpsake nupul "Kirjutage", et jagada oma arvamust või rääkida oma projektist.
Venemaa Föderatsiooni seadus nr 152-ФЗ „Isikuandmete kohta” võeti vastu 27. juulil 2006 ja möödunud aasta teiste silmapaistvate sündmuste taustal läks peaaegu märkamatuks. Selle vastuvõtmise ametlik põhjus oli arvukad faktid isikuandmete andmebaasi vargusest riigi- ja kaubandusstruktuurides ning nende laialdane müük. Selle seaduse vastuvõtmise peamine eesmärk oli vajadus kõrvaldada teatavad kaubandustõkked Euroopa Liidu riikidega.
Prantsusmaa keelas eraelu puutumatust puudutavate faktide avaldamise ja määras 1858.
Norra karistusseadustik keelas "isiklike või eraasjade" teabe avaldamise 1889. Aastal.
27. juulil 2006. a. Nr-152-FZ algatatud kodumaine seadus „Isikuandmete kohta” alustas oma tegevust 26. jaanuaril (vastavalt artikli 25 1. osale jõustub seadus 180 päeva pärast 29. juulil 2006 toimunud ametlikku avaldamist). "Rossiyskaya Gazeta").
Vastavalt ELi direktiivile 95/46 / EÜ võib isikuandmeid edastada ainult riikidele, mis pakuvad samasugust kaitset kui Euroopas. See takistas märkimisväärselt teabevahetust Euroopa valitsusasutustelt ja äriühingutelt oma välispartneritega, mistõttu paljude majanduslikult paljulubavate projektide puhul oli see võimatu. Selliseid piiranguid ei kogenud mitte ainult Venemaa ja kolmanda maailma riigid, vaid ka majanduslik koletis nagu Ameerika Ühendriigid. Niisiis otsustas meie valitsus selle takistuse ületada. Vaatame, kuidas ta seda tegi ja mis meile kõigile maksab.
Venemaa isikuandmete seaduse vastuvõtmine tulenes Venemaa Föderatsiooni ühinemisest 1981. aasta Euroopa konventsiooniga „Isiku kaitse kohta isikuandmete automaatsel töötlemisel”, milles määratletakse isikuandmete kaitse põhiprintsiibid Euroopa riikides. Käesolev konventsioon ja sellele järgnevad Euroopa Liidu direktiivid kirjeldasid ülesandeid, mida siseriiklikud õigusaktid peaksid isikuandmete reguleerimisel käsitlema:
Meie seadus kordab suures osas Euroopa Liidu peamisi sätteid selles valdkonnas, mida peetakse üheks kõige raskemaks 2 maailmas. Kuigi 2006. aastal räägiti seadusest üsna sageli, aga vähesed inimesed lugesid selle sätete sisu hoolikalt läbi. Kuid selleks, et tagada oma nõuete täitmine, on vaja tööd oluliselt muuta isikuandmeid sisaldava teabe ja dokumentatsiooniga. Proovime välja selgitada, mis on organisatsioonis dokumentide ja teabe haldamise valdkonnas uus?
Olgem nüüd põhjalikumalt seaduse kõige olulisemate sätete kohta ja hindame, millised organisatsioonid ja institutsioonid peavad selle rakendamiseks kohustuma. Lisaks püüame analüüsida mõningaid õigusnorme nende sõnastuse õigsuse ja selguse osas.
Esimene küsimus: kellele see seadus kehtib? Sellele reageerides võime kindlalt öelda, et see kehtib kõigile eranditult (riigiasutustele, juriidilistele isikutele ja üksikisikutele). Siin on artikli 1 loend:
Teine oluline küsimus on seaduse ulatus.
Venemaa Föderatsiooni föderaalseaduse „Isikuandmetele” artikkel 152, 27. juuli 2006
See föderaalseadus reguleerib isikuandmete töötlemisega seotud suhteid automatiseerimisvahendite abil või ilma selliseid vahendeid kasutamata, kui isikuandmete töötlemine selliseid vahendeid kasutamata vastab isikuandmetega automatiseerimisvahenditega teostatud tegevuste (toimingute) olemusele.
Selle artikli sõnastus on näide sellest, kuidas seadusi mitte kirjutada. See osutus midagi arusaamatuks, võimaldades erinevaid tõlgendusi. Kuidas saaks sellise teksti alusel vastata näiteks küsimusele, kas ettevõtte sülearvuti vabas vormis käsitletud andmed kuuluvad seaduse kohaldamisalasse? Kui sellist sülearvutit säilitatakse arvutis või mobiiltelefonis, siis kas see on automatiseerimisseadmete kasutamine?
Euroopa õigusaktid selles osas on selgemad:
EL direktiiv 95/46 / EÜ 1995
Artikkel 2 "Mõisted":
(c) „isikuandmete säilitamise süsteem” 4 („säilitamissüsteem”) on mis tahes struktureeritud isikuandmete kogum, millele on juurdepääs teatud kriteeriumide alusel - olenemata sellest, kuidas andmekogu on korraldatud, kas tsentraliseeritud, detsentraliseeritud või jaotatud funktsionaalsel või geograafilisel alusel...
Artikkel 3 "Reguleerimisala":
1. Käesolev direktiiv käsitleb isikuandmete töötlemist automaatsete vahendite abil (tervikuna või osaliselt), samuti töötlemist muude kui automaatsete, isikuandmete, komponentide või salvestussüsteemide osaks olevate vahendite abil.
Kaasaegses arvutiterminoloogias tähendab "struktureeritud andmed" esiteks andmebaase. Paberitööde hulka kuuluvad kaardifailid ja isiklike failide arhiivid. Seetõttu hõlmavad Euroopa nõuded järgmist:
Miks ei olnud võimalik vene keeles kirjutada ja meie seaduses on arusaamatu?
Tähelepanu tuleb pöörata terminoloogia erinevusele: „automaatne töötlemine” on üks asi, ja “automatiseerimisseadmete kasutamine” on täiesti erinev mõiste, palju laiem ja ebamäärane.
Seadus näeb ette ainult neli erandit, nimelt ei kohaldata seadust seoses tekkivate suhetega:
Üks neist punktidest nõuab üksikasjalikumat uuringut. Kõigepealt tsiteerime seadust:
Venemaa Föderatsiooni föderaalseaduse „Isikuandmetele” artikkel 152, 27. juuli 2006
2. Käesolevat föderaalseadust ei kohaldata suhetele, mis tulenevad:
2) Vene Föderatsiooni Arhiivifondi dokumentide ja muude arhiividokumentide säilitamise, omandamise, raamatupidamise ja kasutamise korraldamine vastavalt Venemaa Föderatsiooni arhiiviseadustele.
Me tuletame teile meelde kahte mõistet, mis on sätestatud Vene Föderatsiooni arhiiviasjade seaduses nr 1025-26, 10.22.2005:
Siin on näide selle kohta, kuidas seda teha. Vastavalt föderaalseadusele „Vene Föderatsiooni arhiiviasjade kohta” (artikli 18 teine osa) kiidab Vene Föderatsiooni valitsus heaks föderaalsete täitevorganite ja organisatsioonide nimekirja, kes teostavad föderaalses omandis olevate Vene Föderatsiooni Arhiivifondi dokumentide hoiuleandmist. 2006. aasta lõpus kiideti heaks nende 5 osakonna ja organisatsiooni uus nimekiri. Samal ajal määrati nimetatud organisatsioonidele ülesandeks sõlmida kokkulepe dokumentide säilitamistingimuste kohta Rosarkhiviga. Kui lepingu sõlmimisel on konkreetselt ette nähtud, et kõiki dokumente, va operatiivseid, käsitatakse vahi all edastatavate dokumentidena, siis saab suurema osa dokumentidest paigutada selle erandi alla.
Teiste riigiorganisatsioonide jaoks võiks üks võimalus olla juhtumikirjete kiire heakskiitmine riigiarhiividega, mis tegelikult tähendaks dokumentide lisamist Vene Föderatsiooni Arhiivifondi ja isikuandmete seaduse „tegevuspiirkonnast”.
Euroopa Liidu direktiivid ei sisalda sellist erandit, kuid see eksisteerib näiteks USA koodeksis 6, mis sisaldab täpsemat sõnastust, mis ei võimalda ebaselgust: isikuandmete seadusandlus ei kehti üldiselt dokumentidele, mis on juba hoiustatud riiklikesse arhiividesse, kuid kehtib dokumentide kohta, mis on riigiametitele üle antud mis tahes eestkoste eest vastutava asutuse poolt.
Samuti on ebaselge, miks meie õigusaktidest on meie arvukate riigiandmebaaside puhul välja jäetud üksikettevõtjate riikliku registri (EGRIP) erand. Siis oleks loogiline laiendada erandit ka muudele riiklikele registritele, mis sisaldavad ka isikuandmeid (näiteks sisaldab inkorporeerimine teavet riigi kõigi juriidiliste isikute asutajate ja esimeste isikute kohta).
Isikuandmed - igasugune füüsilise isiku (isikuandmete objekt) teave, mis on kindlaks määratud või kindlaks määratud sellise teabe alusel, sealhulgas tema perekonnanimi, eesnimi, isanimi, aasta, kuu, sünniaeg ja -koht, aadress, perekond, sotsiaalne ja vara., haridus, elukutse, sissetulek, muu teave (vastavalt isikuandmete seaduse artiklile 3).
Seadus näeb ette järgmised isikuandmete töötlemise meetodid (mitme isiku kohta on üksikasjalikud selgitused esitatud artiklis 3):
Erilist tähelepanu tuleks pöörata sellistele töötlemismeetoditele nagu isikuandmete blokeerimine ja hävitamine. Seadus ütleb hävitamisest päris hästi - see on lähenemine, mida praegu soovitavad kodu- ja välismaised standardid. Mis puutub isikuandmete blokeerimisse, siis kasutati seda kodumaise praktika töötlemisviisi esmakordselt ja selle täitmine võib oluliselt raskendada varem väljatöötatud infosüsteeme ja andmebaase kasutavate organisatsioonide elu, kus sellist toimingut ei pakuta.
Seaduse sätted on suunatud eelkõige isikuandmete ebaseadusliku kogumise ja kasutamise vältimisele. Seadusandja selline soov on kaasa toonud uue seisukoha arvestuspraktika jaoks:
27. juulil vastu võetud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 5 lõige 2 2006 nr 152-FZ
Isikuandmeid tuleb säilitada vormis, mis võimaldab objekti kindlaks määrata, mitte kauem kui töötlemise eesmärgid, ning need tuleks hävitada isikuandmete töötlemise eesmärkide saavutamisel või nende saavutamise vajaduse kaotamisel.
Sellisel juhul seab seadus esimest korda teavet ja dokumenteerib maksimaalse ja ka tingimusliku säilitamisaja - „töötlemise eesmärkide saavutamisel”. Organisatsioonid peavad kehtestama isikuandmeid sisaldavate dokumentide säilitamisperioodid ning on vaja eelnevalt mõelda valitud ladustamisperioodide põhjuste kohta. See on üsna keeruline küsimus, mis võib põhjustada palju vastuolusid ja probleeme.
Lisaks peavad DOE spetsialistid pöörama tähelepanu järgmisele: kuna seadusega nõutud isikuandmete kogumise ja töötlemise eesmärgid tuleb kindlaks määrata enne töö alustamist, on vaja hoolikalt kaaluda nende sõnastust. Vastasel juhul võib organisatsioon ise asendada: eesmärgid on täidetud ja isikuandmeid ei hävitata.
Üks kõige ebameeldivamaid isikuandmeid koguvaid ja töötlevaid organisatsioone on artikli 6 nõue selle kohta, et nad peavad saama isiku nõusoleku nende töötlemiseks. Nõusolekut ei nõuta ainult järgmistel juhtudel:
Meil on juba mitu föderaalseadust, mis kirjeldavad isikuandmete töötlemist, näiteks maksumaksjate ühtse riikliku registri (EGRN) ja juriidiliste isikute (USR) haldamisel. Ainsaks tingimuseks, et erandit üldisest nõusolekust nõutakse, on asjakohastes õigusaktides esitada järgmised küsimused:
Ei ole veel selge, mis juhtub nende seadustega, mis sisaldavad isikuandmete kogumise ja töötlemisega seotud norme, kuid mis ei vasta määratud tingimusele.
Esimene probleem, mis on seotud uue seaduse järgimisega, juhtis kindlustusseltside tähelepanu. Nende arvates võib isikuandmete seadus tõsiselt takistada liikluskindlustuse kohustusliku seaduse rakendamist, kuna keelatakse edastada kolmandatele isikutele kliendi isikuandmeid, mis on saadud liiklusohutuse lepingu sõlmimisel, ilma tema nõusolekuta. Selle tulemusena ei ole kindlustusseltsil võimalik saada täielikku teavet oma klientide kohta ühest andmebaasist (ja sellise andmebaasi säilitamine on samuti küsitav). Sellises olukorras suurenevad kindlustusandjate riskid.
Juba praegu püüavad kindlustusseltsid neid olulisi probleeme lahendada, võttes arvesse järgmisi võimalusi:
Artikli 6 lõige 6 isikuandmete töötlemise õiguse andmise kohta ajakirjanikele, teadlastele ja teiste loominguliste kutsealade esindajatele ilma teema nõusolekuta kahtleb. On üsna realistlik (eriti kaubandusstruktuurides) tutvustada „loomingulise elukutse esindaja” täistööajaga ja „kirjutada talle“ kõiki isikuandmeid sisaldavaid andmebaase.
Näiteks Inglismaal on seaduses sarnases sättes lisaks sätestatud, et sellisel juhul peaks andmete töötlemise eesmärk olema asjaomase materjali avaldamine; selline avaldamine peab olema avalikkuse huvides (sealhulgas loometööde esindaja eneseväljendamise õiguse teostamisel) 9.
Lisaks on huvitav, kuidas me otsustame, kes on ajakirjanik või kirjanik ja kes ei ole. See ei ole saladus, et paljudel kirjutavatest vendadest ei ole asjakohaseid diplomeid ega ametlikke ID-sid. Siin võib USA-s kasutatav lähenemine olla meile kasulik: ajakirjanikud tunnustavad kõiki neid, kes kirjutavad artikleid avalikuks levitamiseks, isegi kui need avaldatakse ainult Internetis.
Ameerika Ühendriikides algas 2007. aasta jaanuaris endise vanem George Bush Lewise "Scooter" Libby administratsiooni kohtuprotsess. Kohtusaalis oli ajakirjanduses kõrvale pandud sada istekohta, millest kaks said ametlikult Interneti-päevikute autorid.
Ameerika Ajalehtede Toimetajate Ühing, koostades föderaalseadust, mis annab ajakirjanikele õiguse mitte avalikustada konfidentsiaalset teavet kohtumenetluse ajal, soovitab, et seda seadust kohaldatakse kõigile eranditult ja see hõlmab neid, kes koguvad teavet edasiseks levitamiseks. Selle määratluse alla kuuluvad ka internetipäevikute autorid, „blogijad” 10.
Vaatame nüüd, kuidas uus seadus hõlmab isiku nõusoleku saamist tema isikuandmete töötlemiseks.
27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 9 lõige 1. 2006 nr 152-FZ
Isikuandmete teema otsustab tema isikuandmete esitamise ja nõustub nende töötlemisega oma tahte ja enda huvides... Isikuandmete subjekt võib isikuandmete töötlemise nõusoleku tühistada.
Lisaks sisaldab artikli 9 punkt 3 ettevõtjatele üsna ebameeldivat tingimust. Nad peavad kas koguma tõendeid selle kohta, et nende kogutud andmed on võetud avalikult kättesaadavatest allikatest, või saada nõusolekut isikuandmete subjektilt ja seejärel salvestatakse see dokument juhul, kui „subjekt” otsustab käitaja tema õiguste rikkumise eest kohtusse kaevata.
Avalikult kättesaadavate andmetega ei ole ka nii lihtne. Artiklis 8, milles määratletakse, mida mõeldakse avalikkusele kättesaadavate isikuandmete allikate (viitedokumendid, aadressiraamatud jne) all, rõhutatakse, et isikuandmeid saab seal lisada ainult teema kirjaliku nõusolekuga. Lisaks võib isikuandmete subjekti või kohtu või muude volitatud valitsusasutuste taotlusel igal ajal välja jätta isikuandmete teema kohta avalik teave isikuandmete avalikust allikast.
Teisest küljest, kui organisatsioon kasutab teabe kogumisel avalikult kättesaadavaid isikuandmete allikaid, peaks ta dokumenteerima, kus see teave on saadud, ja veenduge, et allikal on seadusega nõutav kirjalik nõusolek.
Venemaa Föderatsiooni Föderaalseadus „Isikuandmetest” 27. juulil. 2006 nr 152-FZ
Artikli 3 punkt 12. Selles föderaalseaduses kasutatavad põhitingimused
Üldiselt kättesaadavad isikuandmed on isikuandmed, mida piiramatu arvul isikutel on juurdepääs isikuandmete subjekti nõusolekul või kellele konfidentsiaalsusnõue ei kehti kooskõlas föderaalseadustega.
Artikli 8 punkt 1. Üldiselt kättesaadavad isikuandmete allikad
Teabetoetuse andmiseks on võimalik luua avalikult kättesaadavaid isikuandmete allikaid (sh viited, aadressiraamatud). Isikuandmete subjekti kirjalikul nõusolekul avalikult kättesaadavad isikuandmete allikad võivad sisaldada tema perekonnanime, eesnime, kesknimetust, sünniaega ja -kohta, aadressi, abonendi numbrit, teavet elukutse kohta ja muid isikuandmete isikuandmeid.
Artikli 9 punkt 3. Isikuandmete subjekti nõusolek nende isikuandmete töötlemise kohta
Kohustus esitada tõendusmaterjal isikuandmete subjekti nõusoleku kohta tema isikuandmete töötlemisele ja üldkasutatavate isikuandmete töötlemise korral on käitaja kohustatud tõendama, et töödeldavad isikuandmed on avalikult kättesaadavad.
Selgub, et enda kaitsmiseks peavad organisatsioonid küsima iga kodaniku ametlikku kinnitust.
Kuidas esitada isiku kirjalik nõusolek? Selgub, et kodaniku allkiri üldise fraasi „Minu isikuandmete kogumine ja töötlemine” all ei ole piisav.
27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 9 lõige 4. 2006 nr 152-FZ
... isikuandmete subjekti kirjalik nõusolek nende isikuandmete töötlemisele peaks hõlmama järgmist:
See tähendab, et enne isikuandmete teema püüdmist ja tema nõusoleku saamist peab käitaja välja töötama dokumendi erivormi, mis sisaldaks kogu vajalikku teavet.
Esiteks on isikuandmete subjektil õigus saada järgmist teavet:
Operaatorilt võib isikuandmete objektiks olla:
Paljud operaatororganisatsioonide jaoks tekkinud raskused loovad seaduse artikli 14 punkti 2, mis nõuab, et käitaja edastaks isikuandmete kättesaadavuse kohta teabe kättesaadaval kujul ja et need ei sisaldaks teavet teiste isikuandmete subjektide kohta.
“Durant vs Financial Services Authority” juhtum 11, mida käsitleti Inglismaa apellatsioonikohtus 2003. aasta detsembris, sai laialdase vastuse. Kohtu otsus kitsendas oluliselt isikuandmete mõiste tõlgendamist. Eelkõige märkis kohus, et pelgalt selle isiku mainimine dokumendi tekstis ei ole piisav, et käsitleda isikuandmeid sisaldavat dokumenti. Lisaks kinnitas kohus, et õigus tutvuda oma isikuandmetega ei tohiks rikkuda kolmandate isikute õigusi ning seetõttu tuleks kolmandate isikute isikuandmed kustutada taotluse korral esitatud dokumentide koopiatest (välja arvatud asjaolude erisündmused).
2004. aasta novembris eitas valitsus Ühendkuningriigi töötajate õigust pääseda juurde oma isikuandmetele, sõltumata sellest, kas nende tööandja hoiab neid paberkandjal või elektroonilisel kujul, kui neid säilitatakse süsteemis, mis ei sisalda selgelt teavet iga isiku kohta. Seega eemaldati paberifailide salvestussüsteemid (välja arvatud isiklikud failid) de facto isikuandmetele juurdepääsu andmise seaduse tegevusest, sest neid on raske eristada konkreetse isiku kohta.
Oma isikuandmete kasutamiseks peavad meie kaasmaalased:
Taotluse võib saata elektrooniliselt ja allkirjastada digitaalallkirjaga. Seega annab seadus ametlikult võimaluse taotleda oma isikuandmeid elektrooniliste sidekanalite kaudu. Meil ei ole veel üksikisikuid, kellel on oma EDS, mis vastab EDS-i seadusele (valdav enamikel juhtudel kasutatakse EDS-i meie riigis vastavalt tsiviilseadustiku artiklile 160, mis näeb ette poolte esialgse kokkuleppe).
Teave, mida isikuandmete subjekt võib taotleda, näitab meie kodanike muret. Isikuandmeid sisaldavat andmebaasi juhtivatel organisatsioonidel soovitatakse pöörata erilist tähelepanu uue seaduse artikli 14 lõikele 4, et mõelda ja konsolideerida sisekorraeeskirjade esitamise kord:
Isikuandmete töötlemise küsimus „kaupade, ehitustööde, turul pakutavate teenuste edendamiseks otsekontaktidega potentsiaalse tarbijaga sidevahendite kaudu ja poliitilise kampaania korraldamine” on pühendatud spetsiaalsele artiklile (artikkel 15). Nüüd peavad äri- ja poliitilised organisatsioonid enne reklaami saatmist saama kodaniku eelneva nõusoleku ja PD-i töötlemine tunnustatakse ilma isikuandmete subjektide eelneva nõusolekuta, kui operaator ei tõenda, et selline nõusolek on saadud. Mõnede kaubandusstruktuuride puhul võib see nõue olla väga ebamugav!
Nüüdsest on „keelatud teha otsuseid isikuandmete ainuüksi automatiseeritud töötlemise alusel, mis tekitab õiguslikke tagajärgi isikuandmete suhtes või mõjutab muul viisil tema õigusi ja õigustatud huve” (artikkel 16).
See säte on vajalik ja õigeaegne. Kuid meie seadusandjad segasid selle sõnastamisel kahte erinevat mõistet: „automaatne“ (st ilma inimeste osaluseta) ja „automatiseeritud” (st inimene osaleb). Selle tulemusena võib selle artikli asemel kehtestada täiendavaid piiranguid neile ja ainult siis, kui infosüsteem teeb otsuseid ilma inimeste osaluseta (näiteks trahvi määramine, reisimise keelamine väljaspool riiki jne), võib tõlgendada nii, et see piirab igasuguseid isikuandmete töötlemist, sest isegi kalkulaatori kasutamist võib mõista automatiseeritud töötlemisena!
Uue seaduse samas artiklis on öeldud, et ettevõtja saab teha otsuseid, mis põhinevad ainult „automatiseeritud” töötlemisel, kui:
Mõnes seadusandlikus dokumendis on need seaduse nõuded juba arvesse võetud. Seega on uue põlvkonna passi väljastamise taotluste näidistes olemas spetsiaalne sektsioon, milles taotleja nõustub taotluses märgitud andmete automatiseeritud töötlemisega. See kõlab järgmiselt: „Nõustun taotluses märgitud andmete automatiseeritud töötlemise, edastamise ja säilitamisega passi tootmise, töötlemise ja kontrollimise eesmärgil selle kehtivusaja jooksul” 12.
Käitaja peab ka kodanikule eelnevalt esitama järgmise teabe:
Vaidluse korral peab käitaja tõendama, et ta on täitnud kõik seaduse nõuded. See tähendab, et ta peab hoolikalt koguma ja säilitama tõendavaid dokumente.
Ettevõtja kohustused vastavalt artiklile 18 hõlmavad eelkõige isikuandmete esitamist kodaniku taotlusel. Lisaks peab käitaja isikuandmete subjektile selgitama oma isikuandmete andmisest keeldumise õiguslikke tagajärgi, kui see on föderaalseadusega kehtestatud.
Artiklis 20 kehtestatakse ettevõtjatele väga ranged tähtajad isikuandmete subjektide taotluste täitmiseks (need on palju karmimad, näiteks need, mis on ette nähtud hiljuti välja antud seaduses „Vene Föderatsiooni kodanike kaebuste läbivaatamise korra kohta”):
Operaatoril on veel rohkem küsimusi, kui on vaja kõrvaldada seaduse rikkumised uue seaduse artiklis 21 sätestatud aja jooksul. Andmete blokeerimine peaks toimuma 3 tööpäeva jooksul alates taotluse esitamise hetkest või taotluse saamisest ja rikkumiste kõrvaldamisest.
Mõnel juhul on käitaja kohustatud isikuandmeid kolme tööpäeva jooksul hävitama, nimelt:
Nii isikuandmete blokeerimine kui ka hävitamine võib olla keeruline (ja mõnikord võimatu) rakendada praegu kasutatavates infosüsteemides ja andmebaasides, mis varem ei võimaldanud sellist võimalust.
Operaatori jaoks on veelgi raskem, kui ta saab isikuandmeid mitte kodanikult, vaid kolmandalt isikult.
27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 18 lõige 3. 2006 nr 152-FZ
Kui isikuandmeid ei ole isikuandmetelt saadud, välja arvatud juhul, kui isikuandmeid edastati operaatorile föderaalseaduse alusel või kui isikuandmed on avalikult kättesaadavad, peab käitaja enne isikuandmete töötlemist andma isikuandmete subjektile järgmise teabe: t
Nende sõnade taga on aeganõudvam töö. Näiteks võib tekkida küsimus: kuidas peaks see teave subjektile esitama? Kas seda on võimalik saata posti teel ja kas seda teavet käsitletakse juhul, kui teema ei ole saanud vastavat kirja?
Ettevõtja kohustus vastavalt artiklile 19 on ka isikuandmete turvalisuse tagamine nende töötlemise ajal. Probleemide vältimiseks peaks operaatororganisatsioon arendama ja konsolideerima regulatiivsetes dokumentides kõik organisatsioonilised ja tehnilised infoturbe meetmed, mida ta on valmis võtma oma infosüsteemides sisalduvate isikuandmete kaitseks.
Seadus näeb ette, et kõik isikuandmete töötlemist teostavad ettevõtjad peavad sellest eelnevalt teavitama volitatud asutust (artikkel 22), mis hoiab ettevõtjate registrit eriregistris. Vastavalt artiklile 23 on volitatud asutus Vene Föderatsiooni infotehnoloogia- ja kommunikatsiooniministeerium, kes praegu täidab „infotehnoloogia ja side valdkonna kontrolli ja järelevalve ülesandeid”. Teatis peab täpselt välja selgitama, mida kavatsetakse teha isikuandmetega. Kõikidest muudatustest seoses isikuandmete töötlemisega tuleb samuti teavitada volitatud asutust.
Isikuandmeid on lubatud töödelda volitatud asutust teavitamata järgmistel juhtudel:
Kokkuvõttes anname ettevõtjatele mitmeid soovitusi. Isikuandmete seaduse nõuete täitmine ei ole väga raske, kui seda tööd alustatakse, oodamata esimesi kaebusi ja kaebusi. Võite alustada järgmistest ilmsetest meetmetest:
Käesolevas artiklis tehakse isikuandmete kaitset käsitleva uue seaduse analüüs dokumendihalduse valdkonna spetsialistide vaatenurgast, mida ta rikub palju verd. Selle efektiivsust näitab praktika, kuid praegu „isikliku andmesubjektina” hindan ma nende riigiasutuste nimekirja, kellele ma saan esitada taotluse, et mulle anda, kooskõlas seaduse nõuetega, asjakohast teavet. Nüüd on mul õigus!
1 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46 / EÜ IV peatüki artikkel 25 üksikisikute õiguste kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.
2 On huvitav, et isegi Ameerika Ühendriigid ei järgi rangeid Euroopa nõudeid, ja Ameerika ettevõtted on sunnitud kasutama nn katuslepinguid.
3 Isiku andmesubjekt on isik, kelle isikuandmeid töödeldakse.
4 "isikuandmete registreerimise süsteem"
5 Föderaalses omandis olevate Vene Föderatsiooni Arhiivifondi dokumentide hoiuleandmisega tegelevate föderaalsete täitevasutuste ja organisatsioonide nimekiri sisaldab 18 organisatsiooni: Venemaa siseministeerium, Venemaa välisministeerium, Venemaa kaitseministeerium, Venemaa SVR, Venemaa FSB, Venemaa föderaalne narkootikumide kontrolli teenistus, Venemaa FSIN, Venemaa FSIN, Venemaa FSIN, Rosatom, Venemaa Roskartografiya, Vene Põllumajandusteaduste Akadeemia, Vene Meditsiiniakadeemia, Vene Akadeemia, Vene Kunstiakadeemia, Vene Arhitektuuri- ja Ehitusteaduste Akadeemia, Riik Sihtasutus: Vene-hüdrometeoroloogilise teabe koguinstituut - Maailma Andmekeskus, Riiklik Televisiooni- ja Raadiosaadete Riiklik Fond, Föderaalne Riiklik Teaduslik-Tootmisettevõte „Vene Föderaalne Geoloogiline Fond”, Föderaalne Riigi Ühtne Ettevõte “Vene teaduslik-tehniline keskus teave standardimise, metroloogia ja vastavushindamise kohta ”.
6 5 USA C. § 552a (k) (1) „Isikutele esitatavad dokumendid - erandid - arhiividokumendid”.
7 Operaator - riigiasutus, kohalik omavalitsusüksus, juriidiline või füüsiline isik, kes korraldab ja (või) teostab isikuandmete töötlemist ning määratleb isikuandmete töötlemise eesmärgi ja sisu.
9 Data Protection Act 1998, artikkel 32.
11 Durant vs finantsteenuste amet (FSA).
12 Vene Föderatsiooni kodaniku passi töötlemise ja väljastamise korra, diplomaatilise passi ja teenistuspassi juhend, mis on peamised dokumendid, mis tõendavad Vene Föderatsiooni kodaniku identiteeti väljaspool Vene Föderatsiooni territooriumi, mis sisaldavad elektroonilisi meediume (kinnitatud Vene Föderatsiooni siseministeeriumi, Venemaa Föderatsiooni välisministeeriumi korraldusega) ja Venemaa Föderatsiooni Föderaalse Julgeolekuteenistuse poolt 6. oktoobril 2006 nr 785/14133/461).