Millised on isikuandmete töötlemise viisid?

Vene Föderatsiooni tööseadustikus on selline mõiste nagu "töötava isiku isikuandmed". Tööandjale tuleb esitada andmed operatiivse kontingendi kohta.

Pärast isikuandmete läbivaatamist teeb tööandja otsuse ettevõtte ülevõtmise kohta.

Teavet, mida isik enda kohta esitab, tuleb kaitsta. Jaota see on keelatud.

Kallid lugejad! Meie artiklid räägivad tüüpilistest õiguslike probleemide lahendamise viisidest, kuid iga juhtum on ainulaadne.

Kui soovite teada, kuidas täpselt oma probleemi lahendada - helistage, see on kiire ja tasuta!

Süsteem

Töötajate isikuandmeid tuleks arendada.

Tööandja rakendab töötavate inimeste isikuandmete suhtes järgmisi nõudeid:

1. Töötaja isikuandmete töötlemise protsess toimub seaduste ja õigusaktide järgimise tagamiseks. Tänu andmetöötlusele saate tööle võtta isikut, anda talle isiklikku turvalisust, jälgida tema tehtud tööd.
2. Tööandja arvestab töödeldava kontingendi kohta käiva isikuandmete ulatust ja sisu. Kõik tööandjad uurivad ja järgivad põhiseaduse, teiste föderaalseaduste aspekte.
3. Teave töörühma kohta tuleks saada otse töötajatelt. Töötaja kohta saate teavet kolmandast suust, kuid ainult isiku kirjalikul nõusolekul. Tööandja teavitab töötajaid oma eesmärkidest ja allikatest, millest isiklik teave esitatakse. Tööandja hoiatab tagajärgede eest, kui töövõtjalt isikliku teabe andmisest keeldutakse.
4. Isikul, kes annab oma töötajatele tööd, ei ole õigust saada teavet igasuguste poliitiliste, usuliste või muude veendumuste, samuti töötaja perekonnaelu kohta. Töötaja isiklikku elu saab tõendada ainult tema nõusolekul. Kokkulepe tuleb sõlmida kirjalikult.
5. Tööandja ei tohiks kasutada töötavate isikute töötlemisel liikmesorganisatsioonides, ametiühingutes. Kuid on ka föderaalseaduses sätestatud olukordi.
6. Kõik isiklikud andmed peavad olema avalikkuse kontrolli ja kasutamise eest kaitstud ja varjatud. Andmekaitse suhtes kohaldatakse föderaalseaduse tingimusi.
7. Töötajad õpivad institutsiooni kuuluvaid dokumente. Nad peaksid avalikustama töötajate isikuandmete töötlemise protsesside tähenduse ja korra.
8. Töötajad peavad aktsepteerima oma isikuandmete kaitset.
9. Nii tööandjad kui ka töötajad saavad töötada koos, et arendada võimalusi töötajate isikliku teabe kaitsmiseks.

Töötajate kohta teabe edastamisel peab ettevõtte direktor järgima järgmisi reegleid:

• Kolmas isik ei pea teadma iga töötaja isikuandmeid. Andmeid võib esitada ainult juhul, kui töötajad on andnud oma isikliku teabe kasutamiseks kirjaliku nõusoleku. Kui aga on olemas elatiseoht, töögrupi tervis, siis saab isikuandmeid anda teistele inimestele ilma kirjaliku kirjaliku nõusolekuta;
• tööandja ei tohiks postitada andmeid selle nimel töötava meeskonna jaoks kaubanduse eesmärgil;
• töötajad, kes saavad teavet töötajate kohta, peavad seda töötlema konfidentsiaalsuse raamistikus;
• isiku isikuandmete edastamine toimub ainult ühes organisatsioonis institutsiooni sisemiste eriaktide kaudu;
• teave töötaja kohta on juurdepääs ainult spetsiaalsetele volitatud isikutele;
• ei ole vaja küsida teavet töötavate inimeste tervise kohta. Taotluse võib esitada ainult juhul, kui tekib küsimus, kas töötavad inimesed saavad oma tööülesandeid teostada;
• töötava kontingendi isikuandmeid võib koguda koodeksi andmeid arvesse võttes.

Töötaval kontingendil on õigus:

• tutvumine oma isikuandmetega ja nende töötlemisega;
• piiramatu juurdepääs isikuandmetele. Töötaval isikul võidakse väljastada teabeandmete koopiaid. Kuid on olukordi, kus isikuandmeid ei avaldata. Neid olukordi kirjeldatakse föderaalseaduses;
• arst võib töötaja isikuandmeid vaadata;
• isikuandmete subjektide parandamise või täiendamise võimalus.

Eristatakse järgmisi isikuandmete töötlemise liike:

1. Teabe töötlemine arvutitehnoloogia abil.
2. Mitte automatiseeritud töötlemine.
3. Infosüsteem, mis töötleb esitatud andmeid.

Automatiseeritud

See töötlemine toimub spetsiaalse arvutitehnoloogia abil. Kõige tavalisemad arvutiseadmed võivad olla:

• elektrooniline arvuti;
• abiseadmed;
• välisseadmed;
• tingimata installitud tarkvara.

Mitteautomaatne

Mitteautomaatse töötlemise kõige üksikasjalikum kirjeldus on kirjutatud valitsuse dekreediga nr 687.

Käitatava kontingendi kohta teabe levitamine, uurimine ja eemaldamine peaks toimuma isiku osaga, mitte arvutitehnoloogiaga.

Informatiivne

Tänu infosüsteemile töödeldakse operatiivse kontingendi kohta spetsiaalseid isikuandmeid. See süsteem töötleb andmeid, mis mõjutavad konkreetse rassi ja soo liikmelisust, rahvust, poliitilisi vaateid, filosoofilisi väljavaateid.

Tänu infosüsteemile saab töödelda:

• isikuandmeid. Eriti kui on olemas füsioloogiliste, bioloogiliste andmete tunnus. Tänu saadud omadustele on võimalik hinnata töötajate isiksust;
• jagatud isikuandmed;
• muud informatiivsed andmed. Näiteks võiksid olla usulised, rahvuslikud ideed, filosoofilised väljavaated, töötava kontingendi intiimsuse hetked ja paljud muud olulised isiklikud omadused kuni tervisliku seisundini.

Seega sisaldub iga tööandja kohta isiklik teave iga töötaja kohta. Direktoril ei ole mingil juhul õigust levitada isiku kohta kättesaadavaid andmeid.

Saadud teavet operatsioonikontrolli kohta saab töödelda mitmel viisil: infotehnoloogia abil, personaalsete jõudude abil, tänu infohindamise süsteemile.

Igal juhul uuritakse põhjalikult iga töötaja isikuandmeid.

Isikuandmete töötlemise viisid

Amuri maakonna tsiviilkoodeksi järgi

26. detsember 2012, nr 626

isikuandmete töötlemisel

1. ÜLDSÄTTED

1.1. Käesolev dokument (edaspidi "Poliitika") on isikuandmete töötlemise eesmärkide, põhimõtete, meetodite ja tingimuste süstemaatiline avaldus, teave isikuandmete töötlemise ja kaitse rakendatud nõuete kohta vabakaubanduse Keskosakonna Amuri piirkonna GKUs (edaspidi "Tööhõivekeskus").

1.2. Poliitika põhineb Vene Föderatsiooni föderaalseaduses „Isikuandmetele”, muudele Vene Föderatsiooni õigusaktidele, millega kehtestatakse isikuandmete töötlemise ja kaitse kord. Poliitika on avalik dokument.

1.3. Vastavalt 27. juuli 2006. aasta föderaalseadusele nr 152-ФЗ „Isikuandmetest” on tööhõivekeskus isikuandmete käitaja (edaspidi “PD”).

2. TÖÖTLEMATA ISIKUANDMED

2.1. Poliitikas kasutatud peamised terminid:

· Isikuandmed - igasugune teave füüsilise isiku (isikuandmete objekt) kohta, mis on kindlaks määratud või kindlaks määratud sellise teabe alusel, sealhulgas tema perekonnanimi, eesnimi, isanimi, aasta, kuu, sünniaeg ja -koht, aadress, perekond, sotsiaalne, vara. ametikoht, haridus, elukutse, sissetulek, muu teave;

· Isikuandmete töötlemine - isikuandmetega seotud toimingud (toimingud), sealhulgas isikuandmete kogumine, süstematiseerimine, kogumine, säilitamine, täiustamine (muutmine), kasutamine, levitamine (sh ülekandmine), depersonaliseerimine, blokeerimine ja hävitamine;

2.2. Käesoleva poliitika raames on töödeldud isikuandmed järgmised:

· Tööhõivekeskusele avalike teenuste saajate esitatud isikuandmed;

· Tööhõivekeskuse töötajate või vabade töökohtade kandidaatide isikuandmed;

3. ISIKUANDMETE TÖÖTLEMISE EESMÄRGID

3.1. PD töötlemise eesmärgid tööhõivekeskuses on:

· Tagada Venemaa Föderatsiooni kodanike põhiseaduslike õiguste rakendamine töö ja sotsiaalse kaitse vastu töötuse kaudu avalike teenuste osutamise kaudu tööhõive edendamise valdkonnas;

· Kodanike põhiseaduslike õiguste edasikaebamise tagamine;

· Objektiivse hinnangu saamine tööturu olukorrast Vene Föderatsiooni koosseisus (seoses riiklike tööturuasutuste saajatega; töötud, kodanikud, kes esitavad tööhõivekeskusele ettepanekuid, avaldusi, kaebusi);

· Vene Föderatsiooni põhiseaduse järgimise tagamine, seadused ja muud õigusaktid, töötajate abistamine töö leidmisel, koolituse ja töö edendamisel, töökohtade kasvu tagamine, töötajate isikliku turvalisuse tagamine, teostatava töö kvaliteedi ja kvaliteedi kontrollimine, talle kuuluva vara ohutuse tagamine ja nende tulemuste salvestamine tööhõivekeskuse varaliste kohustuste ja ohutuse kohta.

· Maksuhalduri ülesannete täitmine standardsete maksusoodustuste andmisel (tööhõivekeskuse töötajate pereliikmete puhul);

· Tsiviilõiguslikest lepingutest tulenevate kohustuste täitmine (seoses tööga tegelevate isikutega, kes osutavad tsiviilõiguse lepinguid tööhõivekeskusega).

4. ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED

4.1. PD töötlemise rakendamine õiguslikult ja õiglaselt.

4.2. PD töötlemise piiramine käesoleva dokumendi 2. jaos esitatud konkreetsete, eelnevalt kindlaksmääratud ja õiguspäraste eesmärkide saavutamiseks. Isikuandmete kogumise eesmärkidega kokkusobimatute isikuandmete töötlemine ei ole lubatud.

4.3. PD-d sisaldavate andmebaaside kombinatsiooni vältimine, mida töödeldakse üksteisega kokkusobimatuks otstarbeks.

4.4. Töötlevad ainult need PDS-d, mis vastavad nende töötlemise eesmärkidele.

4.5. Vastavus töötlemise eesmärgil töödeldud PD-le ja mahule.

4.6. Töötajate koondamise vastuvõetamatust käsitleti PD-ga seoses nende töötlemise eesmärkidega.

4.7. Tagada PD täpsus, nende piisavus ja vajaduse korral asjakohasus seoses PD töötlemise eesmärkidega.

4.8. Tagada vajalike meetmete võtmine puudulike või ebatäpsete andmete eemaldamiseks või täpsustamiseks.

4.9. PD ladustamine sellisel kujul, mis võimaldab kindlaks määrata PD objekti, ei ole pikem kui PD töötlemise eesmärk, eeldab, et kui PD hoiuperioodi ei ole föderaalseadusega kehtestatud, siis leping, mille suhtes PD subjekt on soodustatud isik või käendaja. Töötlevad PDd hävitatakse või depersonaliseeritakse töötlemiseesmärkide saavutamise või nende eesmärkide saavutamise vajaduse kadumise korral, kui föderaalseaduses ei ole sätestatud teisiti.

5. ISIKUANDMETE TÖÖTLEMISE MEETODID

5.1. Tööhõivekeskus töötleb PD-d järgmistel viisidel:

· Mitteautomaatne PD töötlemine (paberil);

· Automatiseeritud töötlemine (ISPDnis koos automatiseerimisseadmete kasutamisega ja ilma), sealhulgas: edastamise kaudu ja ilma tööhõivekeskuse kohaliku võrgu kaudu; Interneti kaudu edastamise ja ilma;

· Kombineeritud PD töötlemine.

5.2. Tööhõivekeskus saab sõltumatult valida PD töötlemise meetodid sõltuvalt töötlemise eesmärkidest ja oma materiaalsetest ja tehnilistest võimalustest.

6. ISIKUANDMETE TÖÖTLEMISE TINGIMUSED

6.1. PD töötlemine toimub kooskõlas föderaalseaduses „Isikuandmetega” sätestatud põhimõtete ja eeskirjadega.

6.2. PD töötlemine on lubatud föderaalseaduses „Isikuandmete kohta” sätestatud juhtudel.

6.3. Töökeskusel on õigus usaldada PD töötlemine teisele isikule PD isiku nõusolekul, kui föderaalseaduses ei ole sätestatud teisiti, selle isikuga sõlmitud lepingu, sealhulgas riigi- või munitsipaallepingu alusel, või riigi või munitsipaalorgani asjakohase akti (edaspidi "asutus") alusel. ).

6.4. Kui tööhõivekeskus määrab PD töötlemise teisele isikule, kannab vastutuse PD eest nimetatud isiku tegevuse eest tööhõivekeskus. Isik, kes töötleb Töökeskuse nimel isikuandmeid, vastutab tööhõivekeskuse ees.

7. ISIKUANDMETE KONFIDENTSIAALSUS

7.1. Tööhõivekeskus ja teised isikud, kes on saanud juurdepääsu PD-le, on kohustatud mitte avaldama kolmandatele isikutele ja mitte levitama PD-d ilma PD teema nõusolekuta, kui föderaalseaduses ei ole sätestatud teisiti.

8. ISIKUANDMETE TÖÖTLEMISE NÕUKOGU ISIKUANDMETE TÖÖTLEMISEKS

8.1. PD subjekt teeb otsuse oma isikuandmete esitamise kohta ja nõustub nende töötlemisega oma tahte ja huvide huvides.

8.2. PD töötlemise nõusolek peaks olema konkreetne, informeeritud ja teadlik.

8.2. PD-subjekti või tema esindaja võib anda nõusoleku PD töötlemiseks mis tahes vormis, mis võimaldab kinnitada selle kättesaamise fakti, kui föderaalseaduses ei ole sätestatud teisiti.

8.3. Isikuandmete esitaja esindaja isikuandmete töötlemiseks nõusoleku saamisel kontrollib tööhõivekeskus selle esindaja volitusi isikuandmete subjekti nimel nõusoleku andmiseks.

8.4. PD-subjekt võib PD-töötlemise nõusoleku tühistada. PDN-i subjekti poolt PD-i töötlemise nõusoleku tagasivõtmise korral on tööhõivekeskusel õigus jätkata isikuandmete töötlemist ilma PD-teema nõusolekuta, kui on põhjendatud föderaalseaduse „Isikuandmete kohta” artikli 6 lõike 1 punktides 2–11, 2. jaos ja artikli 11 teises osas. ".

8.5. Föderaalseaduses sätestatud juhtudel toimub PD-töötlemine ainult PD-subjekti kirjaliku nõusolekuga. Kirjalik nõusolek tunnistatakse võrdseks föderaalseadusega allkirjastatud elektroonilise seadusega allkirjastatud elektroonilise dokumendiga.

8.6. Töökeskus võib saada isikuandmeid isikult, kes ei ole isikuandmete objektiks, tingimusel et tööhõivekeskus kinnitab föderaalseaduse „Isikuandmete kohta” artikli 6 lõike 1 punktides 2–11, 2. osa ja artikli 2 punktides 2–11 nimetatud aluste olemasolu. ".

9. ISIKUANDMETE ÕIGUSTE RAKENDAMINE

9.1. PD töötlemisel annab tööhõivekeskus vajalikud tingimused, et PD saaks oma õigusi vabalt kasutada.

9.2. PD subjektil on õigus tutvuda oma isikuandmetega.

9.3. PD-objektil on õigus saada teavet oma isikuandmete töötlemise kohta, mis sisaldab: tööhõivekeskuse poolt PD-töötlemise faktide kinnitamist; PD töötlemise õiguslikud alused ja eesmärgid; tööhõivekeskuse kohaldatavad PD töötlemise eesmärgid ja meetodid; tööhõivekeskuse nimi ja asukoht, teave üksikisikute kohta (välja arvatud tööhõivekeskuse töötajad), kellel on juurdepääs isikuandmetele või kes võivad avaldada isikuandmeid tööhõivekeskusega sõlmitud lepingu või föderaalseaduse alusel; PD, mida töötleb asjaomane PD teema, nende vastuvõtmise allikas, välja arvatud juhul, kui föderaalseadus näeb ette erineva sellise andmete esitamise korra; PD töötlemise aeg, sealhulgas salvestusaeg; föderaalseaduses „Isikuandmetest” tulenevate õiguste PDN-i teostamise kord; teave lõpetatud või kavandatud piiriülese andmeedastuse kohta; PDN-i töötlemisega tegeleva isiku nimel töötava isiku nimi või perekonnanimi, nimi, patronüüm ja aadress, kui töötlemine on usaldatud sellisele isikule või usaldatakse sellele; muud föderaalseadustega ettenähtud andmed.

9.4. Isikuandmetele juurdepääsuga seotud PD õigust võib piirata föderaalseadustega selgesõnaliselt sätestatud juhtudel.

9.5. PD subjektil on õigus kaitsta oma õigusi ja õigustatud huve, sealhulgas kahju hüvitamist ja (või) moraalse kahju hüvitamist kohtus.

9.6. Kui PD-subjekt leiab, et tööhõivekeskus töötleb oma PD-d, rikkudes föderaalseaduse nõudeid „Isikuandmete kohta” või muul viisil rikkudes tema õigusi ja vabadusi, on PD-subjektil õigus pöörduda tööhõivekeskuse tegevuse või tegevusetuse vastu volitatud asutusele, et kaitsta PD-subjektide õigusi või kohtumäärus.

10. TEAVE TÖÖKESKUSE RAKENDATUD MEETMETE KOHTA

EESMÄRGID ON VÄLJAKUTSE ISIKUANDMETE TÖÖTLEMISEGA SEOTUD VASTUTUSTE RAKENDAMIST

10.1. Töötuskeskus PD töötlemisel täidab oma kohustusi PD-operaatorina, mis on sätestatud föderaalseaduses „Isikuandmetest”.

10.2. Tööhõivekeskus võtab vajalikud ja piisavad meetmed, et tagada käesolevas föderaalseaduses ja selle kohaselt vastuvõetud õigusaktides sätestatud ülesannete täitmine.

10.3. Tööhõivekeskus määrab iseseisvalt kindlaks käesoleva liidumaa seaduse ja selle alusel vastu võetud õigusaktidega ettenähtud kohustuste täitmise tagamiseks vajalike ja piisavate meetmete koosseisu ja nimekirja, kui föderaalseadustes ei ole sätestatud teisiti.

10.4. Tööhõivekeskus pakub piiranguteta juurdepääsu sellele dokumendile (Poliitika), teabele, millised on tegelikud nõuded PD-kaitsele, postitades Amuri regiooni tööhõiveosakonna ametlikule veebisaidile http: // zanamur. ru, Svobodny linna keskhaigla Amuri piirkonna GKU aadressil http://svobzan.amur.ru.

11. TEAVE ISIKUANDMETE KAITSMISE MEETMETE TÖÖHÕIVEKESKUSE RAKENDAMISE KOHTA nende töötlemisel

11.1. PD-töötlusega tegelev tööhõivekeskus tagab vajalike õiguslike, organisatsiooniliste ja tehniliste meetmete võtmise, et kaitsta PD-d ebaseadusliku või juhusliku juurdepääsu eest nendele, hävitada, muuta, blokeerida, kopeerida, pakkuda, levitada PD-d, samuti muud PDN-i puudutavad ebaseaduslikud tegevused.

11.2. Isikuandmete kaitseks rakendab tööhõivekeskus isikuandmete kaitse nõudeid, kui neid töödeldakse Vene Föderatsiooni valitsuse kehtestatud isikuandmete infosüsteemides.

11.3. PD-turvalisuse tagamine saavutab tööhõivekeskus, eelkõige:

· Isikuandmete ohutuse ohtude tuvastamine, kui neid töödeldakse tööhõivekeskuse ISPDN-is;

· Organisatsiooniliste ja tehniliste meetmete kasutamine isikuandmete turvalisuse tagamiseks, kui neid töödeldakse tööhõivekeskuse ISPDN-is, mis on vajalik isikuandmete kaitse nõuete täitmiseks, mille täitmist tagavad Vene Föderatsiooni valitsuse kehtestatud isikuandmete kaitse tase;

· Ettenähtud turvameetmete kasutamine;

· Tööhõivekeskuse poolt isikuandmete ohutuse tagamiseks võetud meetmete tõhususe hindamine enne tööhõivekeskuse ISPDNi kasutuselevõttu;

· Tööhõivekeskuse masinate kandjate PD arvestamine;

· Volitamata juurdepääsu tuvastamine PDN-ile ja tegevuste tuvastamine;

· Volitamata ligipääsu tagajärjel muudetud või hävitatud PDN-i taastamine;

· Tööhõivekeskuse SPDN-is töödeldud PDN-i kasutamise reeglite kehtestamine, samuti kõigi PDN-is tehtud töö registreerimine ja registreerimine tööhõivekeskuses ISPDN-is;

· Kontrollida isikuandmete ohutuse ja tööhõivekeskuse ISPDN-i turvalisuse taset.

11.4. Teave tööhõivekeskuse poolt isikuandmete kaitseks võetud meetmete kohta on piiratud teave.

12. Poliitika muutmine. Kohaldatav õigus

12.1. Tööhõivekeskusel on õigus käesolevat poliitikat muuta.

12.2. Poliitika rubriigis muudatuste tegemisel näidatakse viimase versiooni uuendamise kuupäeva.

12.3. Poliitika uus versioon jõustub selle avaldamise hetkest Amurskaya oblasti tööhõiveministeeriumi veebilehel, kui poliitika uus versioon ei sätesta teisiti.

Isikuandmete töötlemise viisid

Küsimuse vastus teemal

Küsimus

Mis on seotud isikuandmete töötlemise meetoditega ja mis on seotud isikuandmetega seotud toimingutega?

Vastus

Roskomnadzor'i 19. augusti 2011. aasta määruse nr 706 punkti 9 kohaselt hõlmavad meetodid * järgmist:

- isikuandmete automatiseerimata töötlemine;

- üksnes isikuandmete automatiseeritud töötlemine koos saadud teabe edastamisega võrgus või ilma;

- isikuandmete segane töötlemine (märkus N 4).

Ja tegevustele vastavalt artiklile. 27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikkel 3. Isikuandmete hulka kuuluvad: *

- selgitus (ajakohastamine, muutmine);

- levitamine (sealhulgas edastamine);

- isikuandmete hävitamine.

Selle positsiooni põhjendus on toodud allpool “System Lawyer” materjalides.

• 27.07.2002 nr 152-ФЗ „ISIKUANDMETE KOHTA” FEDERATSIOONIÕIGUS

„Isikuandmete töötlemine on mis tahes toiming (toiming) või toimingute kogum (operatsioonid), * mida tehakse automatiseerimisvahendite abil või ilma selliseid vahendeid kasutamata isikuandmetega, sealhulgas kogumine, salvestamine, süstematiseerimine, kogumine, säilitamine, täiustamine (uuendus, muutmine), isikuandmete väljavõtmine, kasutamine, ülekandmine (levitamine, pakkumine, juurdepääs), personaliseerimine, blokeerimine, kustutamine,

• ROSKOMNADZORI KORRALDUS 19. augustist 2011 Nr 706

„Välja“ toimingute nimekiri koos isikuandmetega, operaatori poolt isikuandmete töötlemiseks kasutatavate meetodite üldine kirjeldus ”* näitab operaatori poolt isikuandmetega teostatud toiminguid, samuti nende meetodite kirjeldust, mida operaator kasutab isikuandmete töötlemiseks:

- isikuandmete automatiseerimata töötlemine;
- üksnes isikuandmete automatiseeritud töötlemine koos saadud teabe edastamisega võrgus või ilma;

- isikuandmete segane töötlemine (märkus N 4) Märkus N 4. Isikuandmete automatiseeritud töötlemisel või segatöötlemisel tuleb märkida, kas isikuandmete töötlemise käigus saadud teave edastatakse juriidilise isiku sisevõrgus (teave on kättesaadav ainult juriidilise isiku täpselt määratletud töötajatele) ) või kui teave edastatakse avaliku Interneti kaudu või ilma saadud informatsiooni edastamata. ”

* Nii esile tõstetud osa materjalist, mis aitab teil õiget otsust teha.

Nende töötlevate ettevõtete isikuandmete kohta

Terminid, nüansid ja sagedased pettused - ettevõtte "Onlanta" turvateenistuse ekspertide materjalis (mis kuulub ettevõtete gruppi LANIT).

Me mõistame õiguslikku terminoloogiat ja väga nüansse, mille jaoks võite olla kohtus.

Selgitage termineid inimkeeles

Peamine seadusandlus, mis reguleerib isikuandmete töötlemisega seotud suhteid, on 27. juuli 2006. aasta föderaalseadus nr 152-ФЗ „Isikuandmetest”.

Esimene mõistetav termin on isikuandmed.

Mis on isikuandmed

See on mis tahes teave, mida saab kasutada isiku tuvastamiseks: näiteks täielik nimi, sünniaeg, haridus, sissetulek ja isegi perekonnaseis. Te küsite: "Ja mis, minu perekonnanimi, trükitud visiitkaardile, on ka isikuandmed?"

Vastus: "Jah." Seaduse järgi ei ole oluline, kas visiitkaardile või kombinatsioonile, näiteks telefoninumbrile ja aadressile, trükitakse ainult teie perekonnanimi. Nii esimene kui teine ​​ja kolmas - isikuandmed. Tõsi on, et tüdrukute visiitkaartide või telefoninumbrite salvestamist telefoniraamatusse ei pea seadusega vastama, vaid rohkem sellest allpool.

Mine edasi. Meedia kirjutab pidevalt "isikuandmete säilitamist". Nõuetekohaselt ei ole tegemist isikuandmete säilitamisega, vaid töötlemisega. Mis vahe on? Ladustamine on vaid osa sellest, mida nimetatakse isikuandmete töötlemiseks. Kõik toimingud, mida te teostate isikuandmetega (koguda, koguda, salvestada, edastada, muuta) on seadusega määratletud isikuandmete töötlemisega.

On oluline mõista, et seaduses eristatakse kahte isikuandmeid: operaatorit ja töötlejat. Käitaja teostab isikuandmete töötlemist ning määrab ka nende töötlemise eesmärgi, töödeldavate isikuandmete koosseisu, isikuandmetega teostatud tegevused (toimingud).

Käsitleja on keegi, kes teostab isikuandmetega seotud toiminguid: kogumine, säilitamine, korraldamine, kogumine, ajakohastamine, ajakohastamine, kustutamine, depersonaliseerimine ja nii edasi.

Tegelikult ei ole käitleja mitte ainult lõppkasutaja, kes vajab tööks isikuandmeid, vaid ka mis tahes vahepealset kasutajat, kelle käes on need isikuandmed möödunud. Näita praktikas.

Probleem

E-poes on kliendiandmebaas, mis asub kolmanda osapoole ettevõtte "pilves". Selle baasiga töötab turundusagentuur. Küsimus: kui palju meil on isikuandmeid?

Õige vastus on üks. See on veebipood, mis määrab isikuandmete töötlemise eesmärgid. Teine küsimus: kui palju isikuandmete töötlejaid meil on? Õige vastus on kaks.

1. Ettevõte, millel on pilves veebipoe andmebaas.
2. Turundusagentuur, kes otsib andmeid ja võib nende andmete põhjal koostada klientidele reklaami pakkumise.

Isikuandmeid töödeldakse paljudes erinevates asutustes: näiteks pankades, koolides, kliinikutes, viisakeskustes. Rääkimata veebilehtedest, kus me registreerime, jättes meie e-posti aadressid ja telefoninumbrid. Aga kuidas ja kus täpselt?

Nuance

Seaduses on niivõrd varjatud mõiste kui „isikuandmete infosüsteem”. Kui püüate lihtsate sõnadega selgitada - see on terve kompleks, mis koosneb andmebaasiserveritest, tehnilistest vahenditest nende töötlemise tagamiseks ja infotehnoloogiast. Seaduse kohaselt tuleb kaitsta isikuandmete infosüsteemi.

Teabe kaitsmise meetodid on erinevad.

• Füüsiline: näiteks ruumis, kus asuvad arvutid, saab paigaldada kaameraid, kasutada juurdepääsu kontrolli, kasutada häiresüsteeme.
• Tehniline - kasutades spetsiaalseid teabekaitsevahendeid.
• Administratiivne: igasugused eeskirjad ja eeskirjad, mis reguleerivad isikuandmete töötlemist ettevõttes.

Näide

Üks teabe kaitsmise vahenditest on isikuandmete personaliseerimine. Mis see on? Viisakeskuses määratakse igale viisat taotleval isikul eraldi identifitseerimisnumber. See number ise ei viita isikuandmetele, kuna see muudab isiku isikupärastamata: on võimatu tuvastada viisataotlejat.

Tundub, et töötlen isikuandmeid.

Niisiis, koos terminoloogiaga. Nüüd peaksid kõik ettevõtete esindajad, eriti üksikettevõtjad, kellel võib olla vaid mõned töötajad, vastama ausalt küsimusele: „Kas ma töötan isikuandmeid?"

Jah, kui olete saidi omanik, kellel on nädalas viis inimest, kuid tal on tagasisidevorm, kus on väljad "nimi, e-posti aadress, telefoninumber". Teave selle kohta, millistel eesmärkidel te isikuandmeid kogute, kuidas seda kasutate, tuleks esitada teie veebisaidil.

Jah, kui töötate oma töötajate või kolmandate isikute spetsialistide isikuandmeid, kes on tööle võetud.

Jah, kui te töötate eraklientidega ja vajate lepingute sõlmimiseks oma passiandmeid - see kehtib reisibüroode, spordikeskuste, erinevate teenindusettevõtete, veebipoodide ja teiste kohta.

Ja jällegi, jah, kui olete eelarveorganisatsioon, erakond või lasteaed. Viimasel ei ole mitte ainult teavet lapse kohta, vaid ka vanemate kohta, sealhulgas töökoht ja ametikoht. Rääkimata meditsiiniasutustest - on olemas isiklik tundlik teave, mida tuleb turvaliselt säilitada.

Kui aga kasutate isiklikku suhtlemist ilma kaubandusliku kasu saamiseta, siis ei kohaldata teie õigusaktide nõudeid teie suhtes ning ei ole mingit kriminaalvastutust.

Näiteks teie kolleegilt saadud visiitkaardile trükitud kontaktide kasutamine või nutitelefoni sülearvuti telefoninumbrid, teave sotsiaalsete võrgustike kohta ei sea teile vastutust seaduse ees.

Peamine on mitte avalikustada andmeid reklaamijatele ja mitte avaldada neid ilma üldkasutatavate isikuandmete omanike loata.

Määrake isikuandmete kategooria

Õnnitleme Teid pealkirja „Isikuandmete operaator” uhke omanikuna. Kõige tähtsam on nüüd täpselt mõista, milliseid isikuandmeid töödeldakse. Kuna see sõltub isikuandmete kategooriast, kuidas kaitsta andmeid ja milliseid nõudeid tuleb täita. Kategooriaid kirjeldatakse üksikasjalikult föderaalseaduses nr 152 ja valitsuse 1. novembri 2012. aasta resolutsioonis N 1119.

Isikuandmete kategooriad lihtsate sõnadega:

Üldiselt kättesaadavad isikuandmed: andmed avatud ressurssidest, mille avaldab isikuandmete subjekt või mille on heaks kiitnud. Avalikult kättesaadavad andmed on meedia või Interneti andmed.

Näide: teave, mis on avaldatud avatud juurdepääsu kaudu sotsiaalsetes võrgustikes või ettevõtete veebisaidil. Telefoninumber ja perekonnaseis avaldatakse Facebookis avalikkusele ligipääsuga. Töötaja nimi ja ametikoht tööandja veebilehel.

Biomeetrilised isikuandmed: see kategooria sisaldab kõiki andmeid inimeste füsioloogiliste ja bioloogiliste omaduste kohta.

Näide: kaal, kõrgus, silmade või juuste värv, juuste pikkus, veregrupp, foto.

Erikategooria isiklikud andmed: see hõlmab teavet kuulumise kohta mis tahes rassi ja rahva, poliitiliste vaadete, usuliste ja filosoofiliste veendumuste, tervisliku seisundi või intiimse eluga.

Näide: meditsiiniline diagnoos (teave selle kohta, mida sa olid haige, millal, mida arst ravis).

Muud liiki isikuandmed - see hõlmab isikuandmeid, mis ei kuulu eespool nimetatud kategooriatesse.

Näide: ettevõtte teave. Töötajate raamatupidamiskaardid, mis sisaldavad teavet, milline personalijuhtimise ja raamatupidamise töö: palk, puhkeperioodid, töötamise kuupäevad.

Ohtude kategooria, arv ja liik - kaitse tase

Kui olete otsustanud isikuandmete kategooria kohta, peate aru saama täpselt töödeldavate andmete hulgast: kuni 100 tuhat või üle 100 tuhande.

Uuriti kategooria ja kogus, määrake ohu liik:

Ohu number 1. "Aukud" ja operatsioonisüsteemi nõrgad kohad. Näide: haavatavused, mida häkkerid kasutavad operatsioonisüsteemi infiltreerimiseks, et varastada teavet.

Ohu number 2. "Aukud" ja rakendustarkvara nõrgad kohad, st teie igapäevatöös kasutatav tarkvara. Näide: Word, Excel.

Ohu number 3. Kõik muud ohud, mida esimesed kaks tüüpi ei ole loetletud. Esiteks inimtegur. Töötaja võib dokumendi avada lukustamata arvutis, saata dokumendi kellegi teise printerile printimiseks või e-posti teel.

Isikuandmete, kategooriate, ohutüüpide hulk - kõik koos võimaldab teil kindlaks määrata, milline on teie infosüsteemi kaitse tase. Praegu on kaitse nelja taset.

Esimest ja kõrgetasemelist kaitset kasutatakse kõige sagedamini isikuandmete töötlemisel valitsusasutustes ja meditsiiniasutustes. Neljas kaitse tase on kõige lihtsam pakkuda, mõnikord piisab organisatsiooniliselt reguleerivate meetmete rakendamisest, peamiselt puudutab see avalikult kättesaadavate andmete kaitset.

Selle tabeli abil saate määrata kaitse taseme.

Näide

Haigla töötleb oma patsientide isikuandmeid - see on erikategooria isikuandmed. Samuti töötleb see töötajate isikuandmeid - see on teise kategooria isikuandmed. Tõenäoliselt on haiglas kaks andmebaasi. Kui lisate mõlemad andmebaasid, saate selle haigla infosüsteemis ketruvate isikuandmete koguarvu.

Näiteks kõik need - kuni 100 tuhat. Järgmisena vaatame, kuidas andmeid töödeldakse: automatiseeritakse (arvutis) või ei automatiseerita (käsitsi salvestatavas kapis). Kui kõik on automatiseeritud, vaatame, millist tarkvara kasutab haigla, milliseid haavatavusi ta omab.

Selle põhjal tuvastatakse ohud ja nende tase. Me lisame kõik tegurid ja saame teise taseme kaitseklassi. Me vaatame, millised on seaduses sätestatud nõuded teisele turvalisuse tasemele. Nende nõuete alusel on vaja luua föderaalseaduse nõuetele vastav infosüsteemi kaitse.

Vähe isikuandmete lekke ohust

Miks üldse vaevate isikuandmete kaitset? Isikuandmed on mustal turul kulukas toode. Petturid on valmis maksma muljetavaldavaid summasid profiilis, mis sisaldab isiku tervisekontrolli üksikasju. Eraldi turg - pangakaardi andmete müük; kontod sotsiaalsetes võrgustikes.

Isikuandmete lekke tagajärjed on erinevad. Andmed võivad olla avalikult kättesaadavad Internetis: näiteks saate hõlpsasti leida varastatud andmebaase, millel on ettevõtte klientide klientide aadressid ja telefoninumbrid. Teades nime ja perekonnanime, võib igaüks teada saada isiku koduse aadressi, saada sotsiaalsesse võrgustikku, vaadata profiili või kirjutada SMS-i mobiiltelefonile.

Isiklikud andmed võivad sattuda mõne kaubandusorganisatsiooni häirivate postituste andmebaasi, siis nende omanikule tekib soovimatuid teenuseid. Neid saab kasutada ka online-kasiinode online-petturid või elektroonilise rahakoti avamiseks.

Halvimal juhul võib ründaja kehastada teist inimest ja võtta krediiti kellegi teise nime eest. Isikuandmete lekke kõige tõsisemad tagajärjed on: ebaseaduslikud tegevused kinnisvaraga, raha pangakaartidelt vargamine, sugulaste väljapressimine ja ettevõtte registreerimine.

Vastutuskoormus

Kas sa mõistad küsimuse tähtsust ja olete valmis vastutama? See on õige. Kuna vastutus isikuandmete ohutuse eest lasub täielikult operaatoril.

See tähendab, et käitaja peab hoolitsema selle eest, et teave ei siseneks üldsusele ega kuulu kolmandate isikute kätte, kellel ei ole sellele õigust. Selleks on vaja pidevalt jälgida ja ennetada andmete turvalisuse ohtusid, kontrollida infoturbe taset ja selle taastamist kahju korral.

Meie riigis jälgib Roskomnadzor isikuandmete töötlemise alaste õigusaktide järgimist. See asutus vastab kaebustele, reguleerib subjektide ja operaatorite vahelisi suhteid.

Teabe kaitsmise tehnilised nõuded on FSTEC ja FSB: nad arendavad nõudeid ja kontrollivad nende täitmist.

Isikuandmete töötlemise nõuded

Ja nüüd on aeg tabeleid uurida isikuandmete tehnilise kaitse nõuetega. Üksikasjad leiate 18. veebruari 2013. aasta föderaalse tehnilise ja ekspordikontrolli talituse korraldusest.

Aga vähemalt alustage sellest:

1. Registreeri Roskomnadzoriga isikuandmete käitajana. Nõutav Roskomnadzorile paberkandjal või elektroonilisel kujul. Teave lingi kohta.
2. Hankige kirjalik nõusolek kõikidest üksustest, kelle isikuandmeid töödeldakse. Isikuandmete töötlemise nõusolek on peamine juriidiline dokument, mis kinnitab isikuandmete töötlemise seaduslikkust.
3. Töötada välja sisedokumentatsioon. Käivitamine organisatsiooni juhi korraldusega "Isikuandmete töötlemise eeskirjad". Selles dokumendis selgitab käitaja, kuidas ta kavatseb isikuandmeid kasutada, milleks ja kuhu need üle antakse. See on põhidokument, mida nõuab iga isikuandmete operaator. Selle põhjal töötatakse välja kõik muud haldusdokumendid.

Paljud saidiomanikud arvavad, et kui külastaja klõpsab nupule „Nõustun isikuandmete töötlemisega”, siis puuduvad õiguslikud probleemid ja andmetöötlus langeb automaatselt õigusvaldkonda. See ei ole.

Õiguslikust seisukohast on isikuandmete töötlemisel nõusoleku kinnitamiseks vaid kaks võimalust: allkirjastamine paberil või elektrooniline digitaalallkiri.

Kõigil muudel juhtudel, kui asi läheb kohtusse, ei saa saidi omanik kinnitada, kes täpselt vajutas nuppu "Nõustun". Võib ainult loota, et teie saidile tulnud isik edastab oma andmed vabatahtlikult ja ei esita kaebust.

Kas on tõesti kontroll?

Jah, kontrolli saab teha Roskomnadzorilt.

Roskomnadzor avaldab igal aastal registreeritud ettevõtjate nimekirjast valikukontrolli, kui ettevõte on kontrollide nimekirjas, seejärel on järgmine planeeritud kontroll võimalik mitte varem kui kolme aasta pärast. Siin näete, kas teie ettevõte on käesoleval aastal nimekirjas.

Planeerimata kontrollid on tavaliselt põhjustatud kaebustest. Kui tšekk on planeerimata, tuleks sellest 24 tunni jooksul kirjalikult hoiatada.

Samuti võib olla dokumentaalseid kontrolle. Dokumenteerimisel saadate nimekirja dokumentidest, mille koopiad tuleb saata Roskomnadzorile.

Mõnikord teeb Roskomnadzor kohapealseid kontrolle: inspektorid külastavad isiklikult ettevõtte kohapealset kontrolli.

Nende kontrollide ettevalmistamine on aeganõudev ülesanne. Kas lahendate inspekteerimise ettevalmistamise ülesande ise või kaasate väliseksperte, peate kõigepealt kindlaks tegema, kes ettevõttes vastutab FZ-152 järgimise eest.

Trahvid, kohtud ja muud õudused

152-FZ rikkumise eest on ette nähtud tsiviil-, kriminaal-, haldus- ja distsiplinaarvastutus.

Niisiis, Roskomnadzor viis läbi kontrolli, kui ta leidis seadusega vastuolusid, annab ta uurimiskomisjonile korralduse korraldada kohtuprotsess seaduse „Isikuandmete” rikkumise kohta.

Pärast seda alustab prokuratuur kontrolli, mille käigus ta võib peatada ettevõtte tegevuse: võtta tagasi ettevõtte andmebaas, eelkõige arvutid, kus isikuandmeid töödeldi.

Seaduse rikkujad ootavad peamiselt trahve. Trahvide suurus varieerub sõltuvalt süüteost. Seega peavad juriidilised isikud isikuandmete töötlemiseks ilma üksuste kirjaliku loata kandma haldusvastutust.

Isegi kui operaator on valmis trahvi maksma, kuid suurettevõtete standardite järgi ei tundu see olevat tohutu, peab kurjategija ikka veel kõrvaldama seaduse vastuolu (näiteks kustutama salvestatud andmed) ja teatama sellest Roskomnadzorile.

Halvim stsenaarium on, kui Roskomnadzor otsustab ettevõtte tegevusloa tühistada, keelata ettevõtetel isikuandmete töötlemist ja avaldada ebaseaduslikult kodanike isikuandmeid.

Viimastel aastatel oli Venemaal kõige karmim skandaal seotud LinkedIn blokeerimisega, kelle omanikke süüdistati kodanike isikuandmete töötlemisel ilma nende nõusolekuta Vene Föderatsiooni väljaspool asuvates serverites. Ka autonum.info teenuse blokeerimine oli „tehtud müra”.

Kui palju see maksab mulle raha ja jõudu

Isikuandmete töötlemise saate korraldada iseseisvalt või sellise teenust osutava ettevõtte abiga.

Kui otsustate töödelda isikuandmeid ise, on teil vaja:

1. Mõista, millist liiki isikuandmeid töödeldakse ja millised on nende kaitse tehnilised nõuded.
2. Töötada välja tehnilised lahendused, valmistada ette vajalikud seadmed ja tarkvara, paigaldada see ise ja IT-ettevõtte abiga, paigaldada ja rakendada.
3. Esitage kõik juriidilised dokumendid. Töötada välja sisedokumendid: juhised ja eeskirjad.

Parimal juhul kulub kolm kuni neli kuud sellise rakenduse maksumuses, see võib olla 200-300 tuhat rubla - see on seadmete ja litsentside ostmise maksumus. Tööjõukulud ja infosüsteemi edasine toetamine on eraldi kuluartikkel. Teil on vaja ka administraatorit, kes jälgib süsteemi toimimist.

Objektiivselt rääkides ei täida väga väikesed ettevõtted lihtsalt kõiki seaduse nõudeid lootuses, et kontrollimine ei toimu. Võib-olla see tegelikult ei ole. Teised ettevõtted loovad „Potemkini külad” vaid teeseldes isikuandmete töötlemist vastavalt seaduse nõuetele, teisisõnu, nad „ostavad” vajalikud dokumendid.

Järgmises artiklis näitame, kuidas arvutada isikuandmete töötlemise kulud ettevõttes ja öelda, millal on kasumlikum teha isikuandmete töötlemine ja millal on parem see pilve panna.

Materjali avaldab kasutaja. Klõpsake nupul "Kirjutage", et jagada oma arvamust või rääkida oma projektist.

Isikuandmete seadus: mõju kontoritööle

• Khramtsovskaya Natalia | Ajalooliste teaduste kandidaat, juhtivekspert EOS Company dokumentide haldamisel, ISO Expert, Rahvusvahelise Arhiivinõukogu liige

Otsid algpõhjust

Venemaa Föderatsiooni seadus nr 152-ФЗ „Isikuandmete kohta” võeti vastu 27. juulil 2006 ja möödunud aasta teiste silmapaistvate sündmuste taustal läks peaaegu märkamatuks. Selle vastuvõtmise ametlik põhjus oli arvukad faktid isikuandmete andmebaasi vargusest riigi- ja kaubandusstruktuurides ning nende laialdane müük. Selle seaduse vastuvõtmise peamine eesmärk oli vajadus kõrvaldada teatavad kaubandustõkked Euroopa Liidu riikidega.

Prantsusmaa keelas eraelu puutumatust puudutavate faktide avaldamise ja määras 1858.

Norra karistusseadustik keelas "isiklike või eraasjade" teabe avaldamise 1889. Aastal.

27. juulil 2006. a. Nr-152-FZ algatatud kodumaine seadus „Isikuandmete kohta” alustas oma tegevust 26. jaanuaril (vastavalt artikli 25 1. osale jõustub seadus 180 päeva pärast 29. juulil 2006 toimunud ametlikku avaldamist). "Rossiyskaya Gazeta").

Vastavalt ELi direktiivile 95/46 / EÜ võib isikuandmeid edastada ainult riikidele, mis pakuvad samasugust kaitset kui Euroopas. See takistas märkimisväärselt teabevahetust Euroopa valitsusasutustelt ja äriühingutelt oma välispartneritega, mistõttu paljude majanduslikult paljulubavate projektide puhul oli see võimatu. Selliseid piiranguid ei kogenud mitte ainult Venemaa ja kolmanda maailma riigid, vaid ka majanduslik koletis nagu Ameerika Ühendriigid. Niisiis otsustas meie valitsus selle takistuse ületada. Vaatame, kuidas ta seda tegi ja mis meile kõigile maksab.

Venemaa isikuandmete seaduse vastuvõtmine tulenes Venemaa Föderatsiooni ühinemisest 1981. aasta Euroopa konventsiooniga „Isiku kaitse kohta isikuandmete automaatsel töötlemisel”, milles määratletakse isikuandmete kaitse põhiprintsiibid Euroopa riikides. Käesolev konventsioon ja sellele järgnevad Euroopa Liidu direktiivid kirjeldasid ülesandeid, mida siseriiklikud õigusaktid peaksid isikuandmete reguleerimisel käsitlema:

• isikuandmete kaitse muude isikute, sealhulgas valitsusasutuste ja -teenistuste, kellel ei ole vajalikku volitust, loata juurdepääsu eest neile;
• nende töötamise käigus andmete turvalisuse, terviklikkuse ja usaldusväärsuse tagamine, sealhulgas edastamine sidekanalite kaudu;
• tagada nende andmete nõuetekohane õiguslik kord, kui nad töötavad koos nendega erinevate isikuandmete kategooriate puhul;
• tagada isikuandmete kasutamise kontroll kodaniku poolt;
• spetsiaalse sõltumatu struktuuri loomine, mis tagab tõhusa kontrolli kodaniku õiguste järgimise üle oma isikuandmete kaitsmisel (näiteks isikuandmete kaitse voliniku ametikoha loomine).

Meie seadus kordab suures osas Euroopa Liidu peamisi sätteid selles valdkonnas, mida peetakse üheks kõige raskemaks 2 maailmas. Kuigi 2006. aastal räägiti seadusest üsna sageli, aga vähesed inimesed lugesid selle sätete sisu hoolikalt läbi. Kuid selleks, et tagada oma nõuete täitmine, on vaja tööd oluliselt muuta isikuandmeid sisaldava teabe ja dokumentatsiooniga. Proovime välja selgitada, mis on organisatsioonis dokumentide ja teabe haldamise valdkonnas uus?

• Kõigis organisatsioonides on olemas uus, üsna mahukas dokumentatsioonikiht. Need on dokumendid, mis on seotud üksikisikute nõusoleku saamisega nende isikuandmete töötlemiseks, andmebaaside registreerimisega volitatud asutusega, dokumenteerides kõik tehingud isikuandmetega jne.
• On vaja esile tuua isikuandmeid sisaldavaid dokumente ja teavet; nende erimärgistus paberil ja elektroonilisel meedial; eraldi raamatupidamine ja juurdepääsu jälgimine. Teil on võimalik rääkida ka teist tüüpi kaela juurdepääsust dokumentidele.
• Põhimõtteliselt muutuv lähenemisviis dokumentide ja teabe säilitamisele. Esmakordselt siseriiklikus praktikas on kehtestatud maksimaalne ladustamisaeg ja tingimuslik periood, mida on üsna raske jälgida ja jälgida.
• Isikuandmetega töötamisel on vaja eelnevalt selgelt välja mõelda ja registreerida see nende töötlemisega seotud regulatiivsetes dokumentides. Vastasel korral võib organisatsiooni vastutusele võtta ja isegi ebameeldivamalt võib isiklikest andmesubjektidest olla palju kohtuasju 3.
• Seadus kehtestab väga ranged tähtajad kõigi isikuandmete töötlemisega seotud kodanike kaebuste täitmiseks.

Olgem nüüd põhjalikumalt seaduse kõige olulisemate sätete kohta ja hindame, millised organisatsioonid ja institutsioonid peavad selle rakendamiseks kohustuma. Lisaks püüame analüüsida mõningaid õigusnorme nende sõnastuse õigsuse ja selguse osas.

Seaduse reguleerimisala

Esimene küsimus: kellele see seadus kehtib? Sellele reageerides võime kindlalt öelda, et see kehtib kõigile eranditult (riigiasutustele, juriidilistele isikutele ja üksikisikutele). Siin on artikli 1 loend:

• föderaalvalitsusasutused
• Venemaa Föderatsiooni subjektide riigiasutused, t
• muud riigiasutused
• kohalikud omavalitsused,
• kohalike omavalitsusorganite süsteemi mittekuuluvad omavalitsusorganid, t
• juriidilised isikud
• üksikisikutele.

Teine oluline küsimus on seaduse ulatus.

Venemaa Föderatsiooni föderaalseaduse „Isikuandmetele” artikkel 152, 27. juuli 2006

See föderaalseadus reguleerib isikuandmete töötlemisega seotud suhteid automatiseerimisvahendite abil või ilma selliseid vahendeid kasutamata, kui isikuandmete töötlemine selliseid vahendeid kasutamata vastab isikuandmetega automatiseerimisvahenditega teostatud tegevuste (toimingute) olemusele.

Selle artikli sõnastus on näide sellest, kuidas seadusi mitte kirjutada. See osutus midagi arusaamatuks, võimaldades erinevaid tõlgendusi. Kuidas saaks sellise teksti alusel vastata näiteks küsimusele, kas ettevõtte sülearvuti vabas vormis käsitletud andmed kuuluvad seaduse kohaldamisalasse? Kui sellist sülearvutit säilitatakse arvutis või mobiiltelefonis, siis kas see on automatiseerimisseadmete kasutamine?

Euroopa õigusaktid selles osas on selgemad:

EL direktiiv 95/46 / EÜ 1995

Artikkel 2 "Mõisted":

(c) „isikuandmete säilitamise süsteem” 4 („säilitamissüsteem”) on mis tahes struktureeritud isikuandmete kogum, millele on juurdepääs teatud kriteeriumide alusel - olenemata sellest, kuidas andmekogu on korraldatud, kas tsentraliseeritud, detsentraliseeritud või jaotatud funktsionaalsel või geograafilisel alusel...

Artikkel 3 "Reguleerimisala":

1. Käesolev direktiiv käsitleb isikuandmete töötlemist automaatsete vahendite abil (tervikuna või osaliselt), samuti töötlemist muude kui automaatsete, isikuandmete, komponentide või salvestussüsteemide osaks olevate vahendite abil.

Kaasaegses arvutiterminoloogias tähendab "struktureeritud andmed" esiteks andmebaase. Paberitööde hulka kuuluvad kaardifailid ja isiklike failide arhiivid. Seetõttu hõlmavad Euroopa nõuded järgmist:

• isikuandmete automaatseks töötlemiseks ja. t
• kasutamiseks (kas automaatse või muu režiimi puhul), mis sisaldab paberi- ja elektrooniliste andmebaaside, kaardifailide jms isikuandmeid, millel on otsingumehhanism, mis muudab konkreetse isiku kohta teabe hankimise lihtsaks.

Miks ei olnud võimalik vene keeles kirjutada ja meie seaduses on arusaamatu?

Tähelepanu tuleb pöörata terminoloogia erinevusele: „automaatne töötlemine” on üks asi, ja “automatiseerimisseadmete kasutamine” on täiesti erinev mõiste, palju laiem ja ebamäärane.

Seadus näeb ette ainult neli erandit, nimelt ei kohaldata seadust seoses tekkivate suhetega:

• isikuandmete töötlemisel isiklike ja perekondlike vajaduste rahuldamiseks;
• isikuandmete töötlemisel Vene Föderatsiooni Arhiivifondi dokumentides;
• isikuandmete töötlemisel üksikute ettevõtjate ühisesse riiklikku registrisse (EGRIP);
• riigisaladuseks peetavate isikuandmete töötlemisel.

Üks neist punktidest nõuab üksikasjalikumat uuringut. Kõigepealt tsiteerime seadust:

Venemaa Föderatsiooni föderaalseaduse „Isikuandmetele” artikkel 152, 27. juuli 2006

2. Käesolevat föderaalseadust ei kohaldata suhetele, mis tulenevad:

2) Vene Föderatsiooni Arhiivifondi dokumentide ja muude arhiividokumentide säilitamise, omandamise, raamatupidamise ja kasutamise korraldamine vastavalt Venemaa Föderatsiooni arhiiviseadustele.

Me tuletame teile meelde kahte mõistet, mis on sätestatud Vene Föderatsiooni arhiiviasjade seaduses nr 1025-26, 10.22.2005:

• arhiivdokument - materiaalne andmekandja, mille kohta on salvestatud teave, millel on üksikasjad, mis võimaldavad seda identifitseerida ja mis on hoiustatud, arvestades märgitud lennuettevõtja tähtsust ja teavet kodanikele, ühiskonnale ja riigile;
• Vene Föderatsiooni Arhiivifondi dokument on arhiividokument, mis on läbinud dokumentide väärtuse kontrolli, pannakse riigi raamatupidamisarvestusse ja on alaliselt ladustatud.
  Tuleb välja, et kui dokumendi või andmebaasi jaoks on kehtestatud püsiv säilitusaeg ja need on kantud Vene Föderatsiooni Arhiivifondi, siis ei kohaldata seda seadust. See viga võimaldab valitsusasutustel tõsiseid andmebaase, et vältida uue isikuandmete seaduse rakendamist.

Siin on näide selle kohta, kuidas seda teha. Vastavalt föderaalseadusele „Vene Föderatsiooni arhiiviasjade kohta” (artikli 18 teine ​​osa) kiidab Vene Föderatsiooni valitsus heaks föderaalsete täitevorganite ja organisatsioonide nimekirja, kes teostavad föderaalses omandis olevate Vene Föderatsiooni Arhiivifondi dokumentide hoiuleandmist. 2006. aasta lõpus kiideti heaks nende 5 osakonna ja organisatsiooni uus nimekiri. Samal ajal määrati nimetatud organisatsioonidele ülesandeks sõlmida kokkulepe dokumentide säilitamistingimuste kohta Rosarkhiviga. Kui lepingu sõlmimisel on konkreetselt ette nähtud, et kõiki dokumente, va operatiivseid, käsitatakse vahi all edastatavate dokumentidena, siis saab suurema osa dokumentidest paigutada selle erandi alla.

Teiste riigiorganisatsioonide jaoks võiks üks võimalus olla juhtumikirjete kiire heakskiitmine riigiarhiividega, mis tegelikult tähendaks dokumentide lisamist Vene Föderatsiooni Arhiivifondi ja isikuandmete seaduse „tegevuspiirkonnast”.

Euroopa Liidu direktiivid ei sisalda sellist erandit, kuid see eksisteerib näiteks USA koodeksis 6, mis sisaldab täpsemat sõnastust, mis ei võimalda ebaselgust: isikuandmete seadusandlus ei kehti üldiselt dokumentidele, mis on juba hoiustatud riiklikesse arhiividesse, kuid kehtib dokumentide kohta, mis on riigiametitele üle antud mis tahes eestkoste eest vastutava asutuse poolt.

Samuti on ebaselge, miks meie õigusaktidest on meie arvukate riigiandmebaaside puhul välja jäetud üksikettevõtjate riikliku registri (EGRIP) erand. Siis oleks loogiline laiendada erandit ka muudele riiklikele registritele, mis sisaldavad ka isikuandmeid (näiteks sisaldab inkorporeerimine teavet riigi kõigi juriidiliste isikute asutajate ja esimeste isikute kohta).

Isikuandmed ja töötlemise meetodid

Isikuandmed - igasugune füüsilise isiku (isikuandmete objekt) teave, mis on kindlaks määratud või kindlaks määratud sellise teabe alusel, sealhulgas tema perekonnanimi, eesnimi, isanimi, aasta, kuu, sünniaeg ja -koht, aadress, perekond, sotsiaalne ja vara., haridus, elukutse, sissetulek, muu teave (vastavalt isikuandmete seaduse artiklile 3).

Seadus näeb ette järgmised isikuandmete töötlemise meetodid (mitme isiku kohta on üksikasjalikud selgitused esitatud artiklis 3):

• kogumine;
• süstematiseerimine;
• kogunemine;
• ladustamine;
• selgitus (ajakohastamine, muutmine);
• kasutamine - „tegevused (toimingud) isikuandmetega, mida käitaja 7 teostab otsuste tegemiseks või muude toimingute tegemiseks, mis tekitavad õiguslikke tagajärgi isikuandmete või muude isikute suhtes, või mis tahes muul viisil, mis mõjutab isikuandmete või muude isikute õigusi ja vabadusi”;
• levitamine (sh ülekandmine) - „meetmed, mille eesmärk on isikuandmete edastamine teatud isikute ringi (isikuandmete edastamine) või piiramatu arvu isikute isikuandmete tutvustamine, sealhulgas isikuandmete avalikustamine meedias, teabe ja telekommunikatsiooni levitamine võrkudega või juurdepääs muule viisil isikuandmetele ”;
• Depersonaliseerimine - „toimingud, mille tulemusena ei ole võimalik isikuandmete isikuandmeid isikuandmete suhtes kindlaks määrata”;
• blokeerimine - isikuandmete kogumise, süstematiseerimise, kogumise, kasutamise, levitamise, sealhulgas nende edastamise ajutine peatamine;
• isikuandmete hävitamine - „toimingud, mille tulemusena ei ole võimalik isikuandmete sisu taastada isikuandmete infosüsteemis või mille tagajärjel hävitatakse isikuandmete materiaalsed kandjad”.

Erilist tähelepanu tuleks pöörata sellistele töötlemismeetoditele nagu isikuandmete blokeerimine ja hävitamine. Seadus ütleb hävitamisest päris hästi - see on lähenemine, mida praegu soovitavad kodu- ja välismaised standardid. Mis puutub isikuandmete blokeerimisse, siis kasutati seda kodumaise praktika töötlemisviisi esmakordselt ja selle täitmine võib oluliselt raskendada varem väljatöötatud infosüsteeme ja andmebaase kasutavate organisatsioonide elu, kus sellist toimingut ei pakuta.

Isikuandmete töötlemise põhimõtted ja tingimused

Seaduse sätted on suunatud eelkõige isikuandmete ebaseadusliku kogumise ja kasutamise vältimisele. Seadusandja selline soov on kaasa toonud uue seisukoha arvestuspraktika jaoks:

27. juulil vastu võetud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 5 lõige 2 2006 nr 152-FZ

Isikuandmeid tuleb säilitada vormis, mis võimaldab objekti kindlaks määrata, mitte kauem kui töötlemise eesmärgid, ning need tuleks hävitada isikuandmete töötlemise eesmärkide saavutamisel või nende saavutamise vajaduse kaotamisel.

Sellisel juhul seab seadus esimest korda teavet ja dokumenteerib maksimaalse ja ka tingimusliku säilitamisaja - „töötlemise eesmärkide saavutamisel”. Organisatsioonid peavad kehtestama isikuandmeid sisaldavate dokumentide säilitamisperioodid ning on vaja eelnevalt mõelda valitud ladustamisperioodide põhjuste kohta. See on üsna keeruline küsimus, mis võib põhjustada palju vastuolusid ja probleeme.

Lisaks peavad DOE spetsialistid pöörama tähelepanu järgmisele: kuna seadusega nõutud isikuandmete kogumise ja töötlemise eesmärgid tuleb kindlaks määrata enne töö alustamist, on vaja hoolikalt kaaluda nende sõnastust. Vastasel juhul võib organisatsioon ise asendada: eesmärgid on täidetud ja isikuandmeid ei hävitata.

Üks kõige ebameeldivamaid isikuandmeid koguvaid ja töötlevaid organisatsioone on artikli 6 nõue selle kohta, et nad peavad saama isiku nõusoleku nende töötlemiseks. Nõusolekut ei nõuta ainult järgmistel juhtudel:

• föderaalseaduste alusel;
• isikuandmete subjektiga lepingu täitmiseks;
• statistilistel või teaduslikel eesmärkidel;
• kaitsta isikuandmete subjekti elu ja tervist;
• postisaadetiste postisaadetiste kättetoimetamiseks;
• ajakirjaniku, teadlase jne kutsetegevuse käigus;
• andmed, mis avaldatakse vastavalt föderaalseadustele;
• selleks, et kaitsta teiste põhiseadusliku korra, moraali, tervise, õiguste ja õigustatud huvide aluseid, tagada riigi kaitse ja riigi julgeolek.

Meil on juba mitu föderaalseadust, mis kirjeldavad isikuandmete töötlemist, näiteks maksumaksjate ühtse riikliku registri (EGRN) ja juriidiliste isikute (USR) haldamisel. Ainsaks tingimuseks, et erandit üldisest nõusolekust nõutakse, on asjakohastes õigusaktides esitada järgmised küsimused:

• eesmärgid
• isikuandmete saamise tingimused
• nende isikute ringi, kelle isikuandmeid töödeldakse, t
• andmeid koguva ettevõtja volitused.

Ei ole veel selge, mis juhtub nende seadustega, mis sisaldavad isikuandmete kogumise ja töötlemisega seotud norme, kuid mis ei vasta määratud tingimusele.

Esimene probleem, mis on seotud uue seaduse järgimisega, juhtis kindlustusseltside tähelepanu. Nende arvates võib isikuandmete seadus tõsiselt takistada liikluskindlustuse kohustusliku seaduse rakendamist, kuna keelatakse edastada kolmandatele isikutele kliendi isikuandmeid, mis on saadud liiklusohutuse lepingu sõlmimisel, ilma tema nõusolekuta. Selle tulemusena ei ole kindlustusseltsil võimalik saada täielikku teavet oma klientide kohta ühest andmebaasist (ja sellise andmebaasi säilitamine on samuti küsitav). Sellises olukorras suurenevad kindlustusandjate riskid.

Juba praegu püüavad kindlustusseltsid neid olulisi probleeme lahendada, võttes arvesse järgmisi võimalusi:

• OSAGO seaduse muudatused ja kindlustusandjate kohustus vahetada andmeid kindlustusjuhtumite kohta.
• Isikuandmete osa avalikustamine. Andmed, mida üksikisik OSAGO lepingu sõlmimisel näitab, on kindlustusandjate sõnul avalik. Isikuandmete seadus nõuab aga avalike andmete kogumiseks nõusoleku saamist.
• Kindlustuspettuste vastu võitlemiseks on Vene Kindlustusandjate Liidu (ARIA) komitee juba koostanud kaks arve, mis plaanitakse esitada Riigiduumale 2007. aasta alguses. Vastavalt komisjoni juhile Jevgeni Potapov, üks neist arveid muudab seadust "Kindlustustegevuse korraldamise kohta Vene Föderatsioonis". See võimaldab kindlustusandjatel luua nende ühendustel ja ühendustel põhinevaid automatiseeritud infosüsteeme, mis sisaldavad andmeid kindlustusnõuete ja maksete kohta 8.

Artikli 6 lõige 6 isikuandmete töötlemise õiguse andmise kohta ajakirjanikele, teadlastele ja teiste loominguliste kutsealade esindajatele ilma teema nõusolekuta kahtleb. On üsna realistlik (eriti kaubandusstruktuurides) tutvustada „loomingulise elukutse esindaja” täistööajaga ja „kirjutada talle“ kõiki isikuandmeid sisaldavaid andmebaase.

Näiteks Inglismaal on seaduses sarnases sättes lisaks sätestatud, et sellisel juhul peaks andmete töötlemise eesmärk olema asjaomase materjali avaldamine; selline avaldamine peab olema avalikkuse huvides (sealhulgas loometööde esindaja eneseväljendamise õiguse teostamisel) 9.

Lisaks on huvitav, kuidas me otsustame, kes on ajakirjanik või kirjanik ja kes ei ole. See ei ole saladus, et paljudel kirjutavatest vendadest ei ole asjakohaseid diplomeid ega ametlikke ID-sid. Siin võib USA-s kasutatav lähenemine olla meile kasulik: ajakirjanikud tunnustavad kõiki neid, kes kirjutavad artikleid avalikuks levitamiseks, isegi kui need avaldatakse ainult Internetis.

Ameerika Ühendriikides algas 2007. aasta jaanuaris endise vanem George Bush Lewise "Scooter" Libby administratsiooni kohtuprotsess. Kohtusaalis oli ajakirjanduses kõrvale pandud sada istekohta, millest kaks said ametlikult Interneti-päevikute autorid.

Ameerika Ajalehtede Toimetajate Ühing, koostades föderaalseadust, mis annab ajakirjanikele õiguse mitte avalikustada konfidentsiaalset teavet kohtumenetluse ajal, soovitab, et seda seadust kohaldatakse kõigile eranditult ja see hõlmab neid, kes koguvad teavet edasiseks levitamiseks. Selle määratluse alla kuuluvad ka internetipäevikute autorid, „blogijad” 10.

Vaatame nüüd, kuidas uus seadus hõlmab isiku nõusoleku saamist tema isikuandmete töötlemiseks.

27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 9 lõige 1. 2006 nr 152-FZ

Isikuandmete teema otsustab tema isikuandmete esitamise ja nõustub nende töötlemisega oma tahte ja enda huvides... Isikuandmete subjekt võib isikuandmete töötlemise nõusoleku tühistada.

Lisaks sisaldab artikli 9 punkt 3 ettevõtjatele üsna ebameeldivat tingimust. Nad peavad kas koguma tõendeid selle kohta, et nende kogutud andmed on võetud avalikult kättesaadavatest allikatest, või saada nõusolekut isikuandmete subjektilt ja seejärel salvestatakse see dokument juhul, kui „subjekt” otsustab käitaja tema õiguste rikkumise eest kohtusse kaevata.

Avalikult kättesaadavate andmetega ei ole ka nii lihtne. Artiklis 8, milles määratletakse, mida mõeldakse avalikkusele kättesaadavate isikuandmete allikate (viitedokumendid, aadressiraamatud jne) all, rõhutatakse, et isikuandmeid saab seal lisada ainult teema kirjaliku nõusolekuga. Lisaks võib isikuandmete subjekti või kohtu või muude volitatud valitsusasutuste taotlusel igal ajal välja jätta isikuandmete teema kohta avalik teave isikuandmete avalikust allikast.

Teisest küljest, kui organisatsioon kasutab teabe kogumisel avalikult kättesaadavaid isikuandmete allikaid, peaks ta dokumenteerima, kus see teave on saadud, ja veenduge, et allikal on seadusega nõutav kirjalik nõusolek.

Venemaa Föderatsiooni Föderaalseadus „Isikuandmetest” 27. juulil. 2006 nr 152-FZ

Artikli 3 punkt 12. Selles föderaalseaduses kasutatavad põhitingimused

Üldiselt kättesaadavad isikuandmed on isikuandmed, mida piiramatu arvul isikutel on juurdepääs isikuandmete subjekti nõusolekul või kellele konfidentsiaalsusnõue ei kehti kooskõlas föderaalseadustega.

Artikli 8 punkt 1. Üldiselt kättesaadavad isikuandmete allikad

Teabetoetuse andmiseks on võimalik luua avalikult kättesaadavaid isikuandmete allikaid (sh viited, aadressiraamatud). Isikuandmete subjekti kirjalikul nõusolekul avalikult kättesaadavad isikuandmete allikad võivad sisaldada tema perekonnanime, eesnime, kesknimetust, sünniaega ja -kohta, aadressi, abonendi numbrit, teavet elukutse kohta ja muid isikuandmete isikuandmeid.

Artikli 9 punkt 3. Isikuandmete subjekti nõusolek nende isikuandmete töötlemise kohta

Kohustus esitada tõendusmaterjal isikuandmete subjekti nõusoleku kohta tema isikuandmete töötlemisele ja üldkasutatavate isikuandmete töötlemise korral on käitaja kohustatud tõendama, et töödeldavad isikuandmed on avalikult kättesaadavad.

Selgub, et enda kaitsmiseks peavad organisatsioonid küsima iga kodaniku ametlikku kinnitust.

Kuidas esitada isiku kirjalik nõusolek? Selgub, et kodaniku allkiri üldise fraasi „Minu isikuandmete kogumine ja töötlemine” all ei ole piisav.

27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 9 lõige 4. 2006 nr 152-FZ

... isikuandmete subjekti kirjalik nõusolek nende isikuandmete töötlemisele peaks hõlmama järgmist:

1. isikuandmete perekonnanimi, nimi, perekonnanimi, aadressi aadress, tema isikut tõendava põhidokumendi number, kindlaksmääratud dokumendi väljaandmise kuupäev ja väljaandev asutus;
2. isikuandmete subjektilt nõusoleku saava ettevõtja nimi (perekonnanimi, nimi, isand) ja aadress;
3. isikuandmete töötlemise eesmärk;
4. loetelu isikuandmetest, mille töötlemiseks isikuandmete subjekt on andnud nõusoleku;
5. toimingute loetelu koos isikuandmetega, mille kohta on antud nõusolek, ettevõtja poolt isikuandmete töötlemiseks kasutatavate meetodite üldine kirjeldus;
6. ajavahemik, mille jooksul nõusolek on kehtiv, samuti selle tagasivõtmise kord.

See tähendab, et enne isikuandmete teema püüdmist ja tema nõusoleku saamist peab käitaja välja töötama dokumendi erivormi, mis sisaldaks kogu vajalikku teavet.

Isikuandmete subjekti õigused

Esiteks on isikuandmete subjektil õigus saada järgmist teavet:

• teave operaatori kohta,
• teave operaatori asukoha kohta, t
• teave isikuandmete kohta, mis on seotud isikuandmete asjakohase teemaga, t
• subjektil on ka õigus tutvuda tema isikuandmetega, mida käitaja hoiab.

Operaatorilt võib isikuandmete objektiks olla:

• täpsustage oma isikuandmeid
• nende blokeerimine või hävitamine juhul, kui isikuandmed on puudulikud, aegunud, ebatäpsed, ebaseaduslikult saadud või ei ole vajalikud töötlemise eesmärgi saavutamiseks.

Paljud operaatororganisatsioonide jaoks tekkinud raskused loovad seaduse artikli 14 punkti 2, mis nõuab, et käitaja edastaks isikuandmete kättesaadavuse kohta teabe kättesaadaval kujul ja et need ei sisaldaks teavet teiste isikuandmete subjektide kohta.

“Durant vs Financial Services Authority” juhtum 11, mida käsitleti Inglismaa apellatsioonikohtus 2003. aasta detsembris, sai laialdase vastuse. Kohtu otsus kitsendas oluliselt isikuandmete mõiste tõlgendamist. Eelkõige märkis kohus, et pelgalt selle isiku mainimine dokumendi tekstis ei ole piisav, et käsitleda isikuandmeid sisaldavat dokumenti. Lisaks kinnitas kohus, et õigus tutvuda oma isikuandmetega ei tohiks rikkuda kolmandate isikute õigusi ning seetõttu tuleks kolmandate isikute isikuandmed kustutada taotluse korral esitatud dokumentide koopiatest (välja arvatud asjaolude erisündmused).

2004. aasta novembris eitas valitsus Ühendkuningriigi töötajate õigust pääseda juurde oma isikuandmetele, sõltumata sellest, kas nende tööandja hoiab neid paberkandjal või elektroonilisel kujul, kui neid säilitatakse süsteemis, mis ei sisalda selgelt teavet iga isiku kohta. Seega eemaldati paberifailide salvestussüsteemid (välja arvatud isiklikud failid) de facto isikuandmetele juurdepääsu andmise seaduse tegevusest, sest neid on raske eristada konkreetse isiku kohta.

Oma isikuandmete kasutamiseks peavad meie kaasmaalased:

• kohaldatakse isiklikult või
• saatmise taotlus, mis peaks sisaldama järgmist:
  • isikuandmete subjektit tõendava põhidokumendi või tema seadusliku esindaja number;
  • teave kindlaksmääratud dokumendi väljaandmise kuupäeva ja väljaandva asutuse ning. t
  • isikuandmete subjekti käsitsi kirjutatud allkiri või tema seaduslik esindaja.

Taotluse võib saata elektrooniliselt ja allkirjastada digitaalallkirjaga. Seega annab seadus ametlikult võimaluse taotleda oma isikuandmeid elektrooniliste sidekanalite kaudu. Meil ei ole veel üksikisikuid, kellel on oma EDS, mis vastab EDS-i seadusele (valdav enamikel juhtudel kasutatakse EDS-i meie riigis vastavalt tsiviilseadustiku artiklile 160, mis näeb ette poolte esialgse kokkuleppe).

Teave, mida isikuandmete subjekt võib taotleda, näitab meie kodanike muret. Isikuandmeid sisaldavat andmebaasi juhtivatel organisatsioonidel soovitatakse pöörata erilist tähelepanu uue seaduse artikli 14 lõikele 4, et mõelda ja konsolideerida sisekorraeeskirjade esitamise kord:

1. isikuandmete töötlemist ettevõtja poolt ja sellise töötlemise eesmärke;
2. kasutaja poolt kasutatavate isikuandmete töötlemise meetodite kohta;
3. isikute kohta, kellel on juurdepääs isikuandmetele või kellele võib sellist juurdepääsu võimaldada (et saaks aru anda, kes ja millised isikuandmed on esitatud, on vaja korraldada tööd isikuandmete registreerimise ja neile juurdepääsu kontrollimise kohta; seda nõuet täita);
4. töödeldud isikuandmete loetelu ja nende allikad;
5. isikuandmete töötlemise aeg, sealhulgas selle säilitamisaeg (erilist tähelepanu tuleks pöörata sellele nõudele, sest tegelikult kohustab ta käitajat töötlemis- ja salvestusaega, mis võib erineda sõltuvalt isikuandmete töötlemise eesmärkidest, sisemiste regulatiivsete dokumentidega);
6. teave selle kohta, millised õiguslikud tagajärjed isikuandmete subjektile võivad kaasa tuua tema isikuandmete töötlemise (selle nõude täitmiseks peaksid organisatsioonid eelnevalt andma oma juristidele korralduse põhjendada isikuandmete töötlemise võimalikke õiguslikke tagajärgi).

Isikuandmete töötlemise küsimus „kaupade, ehitustööde, turul pakutavate teenuste edendamiseks otsekontaktidega potentsiaalse tarbijaga sidevahendite kaudu ja poliitilise kampaania korraldamine” on pühendatud spetsiaalsele artiklile (artikkel 15). Nüüd peavad äri- ja poliitilised organisatsioonid enne reklaami saatmist saama kodaniku eelneva nõusoleku ja PD-i töötlemine tunnustatakse ilma isikuandmete subjektide eelneva nõusolekuta, kui operaator ei tõenda, et selline nõusolek on saadud. Mõnede kaubandusstruktuuride puhul võib see nõue olla väga ebamugav!

Nüüdsest on „keelatud teha otsuseid isikuandmete ainuüksi automatiseeritud töötlemise alusel, mis tekitab õiguslikke tagajärgi isikuandmete suhtes või mõjutab muul viisil tema õigusi ja õigustatud huve” (artikkel 16).

See säte on vajalik ja õigeaegne. Kuid meie seadusandjad segasid selle sõnastamisel kahte erinevat mõistet: „automaatne“ (st ilma inimeste osaluseta) ja „automatiseeritud” (st inimene osaleb). Selle tulemusena võib selle artikli asemel kehtestada täiendavaid piiranguid neile ja ainult siis, kui infosüsteem teeb otsuseid ilma inimeste osaluseta (näiteks trahvi määramine, reisimise keelamine väljaspool riiki jne), võib tõlgendada nii, et see piirab igasuguseid isikuandmete töötlemist, sest isegi kalkulaatori kasutamist võib mõista automatiseeritud töötlemisena!

Uue seaduse samas artiklis on öeldud, et ettevõtja saab teha otsuseid, mis põhinevad ainult „automatiseeritud” töötlemisel, kui:

• saada isikuandmete subjektilt kirjalik nõusolek või. t
• kui need reeglid on kehtestatud föderaalseadustega.

Mõnes seadusandlikus dokumendis on need seaduse nõuded juba arvesse võetud. Seega on uue põlvkonna passi väljastamise taotluste näidistes olemas spetsiaalne sektsioon, milles taotleja nõustub taotluses märgitud andmete automatiseeritud töötlemisega. See kõlab järgmiselt: „Nõustun taotluses märgitud andmete automatiseeritud töötlemise, edastamise ja säilitamisega passi tootmise, töötlemise ja kontrollimise eesmärgil selle kehtivusaja jooksul” 12.

Käitaja peab ka kodanikule eelnevalt esitama järgmise teabe:

• otsuste tegemise järjekord, mis põhineb tema isikuandmete üksnes automatiseeritud töötlemisel ja. t
• sellise otsuse võimalikud õiguslikud tagajärjed;
• isikuandmete kaitsmise menetlus tema õiguste ja õigustatud huvide eest;
• võimalus sellisele otsusele vastuväiteid esitada.

Vaidluse korral peab käitaja tõendama, et ta on täitnud kõik seaduse nõuded. See tähendab, et ta peab hoolikalt koguma ja säilitama tõendavaid dokumente.

Operaatori kohustused

Ettevõtja kohustused vastavalt artiklile 18 hõlmavad eelkõige isikuandmete esitamist kodaniku taotlusel. Lisaks peab käitaja isikuandmete subjektile selgitama oma isikuandmete andmisest keeldumise õiguslikke tagajärgi, kui see on föderaalseadusega kehtestatud.

Artiklis 20 kehtestatakse ettevõtjatele väga ranged tähtajad isikuandmete subjektide taotluste täitmiseks (need on palju karmimad, näiteks need, mis on ette nähtud hiljuti välja antud seaduses „Vene Föderatsiooni kodanike kaebuste läbivaatamise korra kohta”):

• andmete esitamine - 10 tööpäeva jooksul alates taotluse saamisest;
• motiveeritud keeldumine - 7 tööpäeva jooksul.

Operaatoril on veel rohkem küsimusi, kui on vaja kõrvaldada seaduse rikkumised uue seaduse artiklis 21 sätestatud aja jooksul. Andmete blokeerimine peaks toimuma 3 tööpäeva jooksul alates taotluse esitamise hetkest või taotluse saamisest ja rikkumiste kõrvaldamisest.

Mõnel juhul on käitaja kohustatud isikuandmeid kolme tööpäeva jooksul hävitama, nimelt:

• rikkumiste kõrvaldamata jätmise korral,
• isikuandmete töötlemise eesmärgi saavutamisel, t
• kui isikuandmete subjekt tühistab oma nõusoleku tema isikuandmete töötlemiseks.

Nii isikuandmete blokeerimine kui ka hävitamine võib olla keeruline (ja mõnikord võimatu) rakendada praegu kasutatavates infosüsteemides ja andmebaasides, mis varem ei võimaldanud sellist võimalust.

Operaatori jaoks on veelgi raskem, kui ta saab isikuandmeid mitte kodanikult, vaid kolmandalt isikult.

27. juulil sõlmitud Vene Föderatsiooni föderaalseaduse „Isikuandmete kohta” artikli 18 lõige 3. 2006 nr 152-FZ

Kui isikuandmeid ei ole isikuandmetelt saadud, välja arvatud juhul, kui isikuandmeid edastati operaatorile föderaalseaduse alusel või kui isikuandmed on avalikult kättesaadavad, peab käitaja enne isikuandmete töötlemist andma isikuandmete subjektile järgmise teabe: t

1. käitaja või tema esindaja nimi (eesnimi, eesnimi, keskmine nimi) ja aadress;
2. isikuandmete töötlemise eesmärk ja selle õiguslik alus;
3. isikuandmete kavandatud kasutajad;
4. käesoleva föderaalseadusega kehtestatud isikuandmete subjekti õigused.

Nende sõnade taga on aeganõudvam töö. Näiteks võib tekkida küsimus: kuidas peaks see teave subjektile esitama? Kas seda on võimalik saata posti teel ja kas seda teavet käsitletakse juhul, kui teema ei ole saanud vastavat kirja?

Ettevõtja kohustus vastavalt artiklile 19 on ka isikuandmete turvalisuse tagamine nende töötlemise ajal. Probleemide vältimiseks peaks operaatororganisatsioon arendama ja konsolideerima regulatiivsetes dokumentides kõik organisatsioonilised ja tehnilised infoturbe meetmed, mida ta on valmis võtma oma infosüsteemides sisalduvate isikuandmete kaitseks.

Isikuandmete töötlemise süsteemide riiklik registreerimine

Seadus näeb ette, et kõik isikuandmete töötlemist teostavad ettevõtjad peavad sellest eelnevalt teavitama volitatud asutust (artikkel 22), mis hoiab ettevõtjate registrit eriregistris. Vastavalt artiklile 23 on volitatud asutus Vene Föderatsiooni infotehnoloogia- ja kommunikatsiooniministeerium, kes praegu täidab „infotehnoloogia ja side valdkonna kontrolli ja järelevalve ülesandeid”. Teatis peab täpselt välja selgitama, mida kavatsetakse teha isikuandmetega. Kõikidest muudatustest seoses isikuandmete töötlemisega tuleb samuti teavitada volitatud asutust.

Isikuandmeid on lubatud töödelda volitatud asutust teavitamata järgmistel juhtudel:

• töösuhete juuresolekul;
• lepingu sõlmimisel, mille osapooleks on isikuandmete subjekt;
• kui isikuandmed kuuluvad avalik-õigusliku või usulise organisatsiooni liikmetele (osalejatele) ja neid töötleb asjaomane avalik-õiguslik organisatsioon või usuline organisatsioon;
• kui isikuandmed on avalikult kättesaadavad;
• kui isikuandmetes on ainult subjektide nimed, perekonnanimed ja patroonid;
• vastuvõtu registreerimisel;
• kui isikuandmeid kasutatakse infosüsteemides, millel on föderaalsete seaduste kohaselt föderaalse automatiseeritud infosüsteemi staatus, samuti riigi ja avaliku korra kaitseks loodud isikuandmete infosüsteemid;

Kokkuvõttes anname ettevõtjatele mitmeid soovitusi. Isikuandmete seaduse nõuete täitmine ei ole väga raske, kui seda tööd alustatakse, oodamata esimesi kaebusi ja kaebusi. Võite alustada järgmistest ilmsetest meetmetest:

• Soovitatav on määrata vastutav ametnik, kes vaataks läbi kõik käesoleva seaduse rakendamisega seotud küsimused organisatsioonis ja suurettevõtete jaoks võib olla õigustatud spetsiaalse komisjoni loomine.
• Kõigi isikuandmeid sisaldavate organisatsioonide teabevarude puhul peate:
  • määrata kindlaks nende staatus (mille alusel nad loodi: vastavalt õigusaktidele, lepingu täitmiseks, omal algatusel jne);
  • selgitada ja registreerida isikuandmete ja nende allikate koosseisu (kodanikelt, avalikest allikatest, kolmandatelt isikutelt jne);
  • määrata kindlaks iga andmevaru andmete säilitamise aeg ja töötlemise aeg;
  • määrata töötlemismeetodid;
  • tuvastada isikuid, kellel on juurdepääs andmetele;
  • sõnastada õiguslikud tagajärjed;
  • määrata kindlaks päringutele, võimalikele vastustele ja tegevustele reageerimise kord, hinnata kindlaksmääratud reageerimisaegade järgimise tegelikkust.

Käesolevas artiklis tehakse isikuandmete kaitset käsitleva uue seaduse analüüs dokumendihalduse valdkonna spetsialistide vaatenurgast, mida ta rikub palju verd. Selle efektiivsust näitab praktika, kuid praegu „isikliku andmesubjektina” hindan ma nende riigiasutuste nimekirja, kellele ma saan esitada taotluse, et mulle anda, kooskõlas seaduse nõuetega, asjakohast teavet. Nüüd on mul õigus!

1 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46 / EÜ IV peatüki artikkel 25 üksikisikute õiguste kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.

2 On huvitav, et isegi Ameerika Ühendriigid ei järgi rangeid Euroopa nõudeid, ja Ameerika ettevõtted on sunnitud kasutama nn katuslepinguid.

3 Isiku andmesubjekt on isik, kelle isikuandmeid töödeldakse.

4 "isikuandmete registreerimise süsteem"

5 Föderaalses omandis olevate Vene Föderatsiooni Arhiivifondi dokumentide hoiuleandmisega tegelevate föderaalsete täitevasutuste ja organisatsioonide nimekiri sisaldab 18 organisatsiooni: Venemaa siseministeerium, Venemaa välisministeerium, Venemaa kaitseministeerium, Venemaa SVR, Venemaa FSB, Venemaa föderaalne narkootikumide kontrolli teenistus, Venemaa FSIN, Venemaa FSIN, Venemaa FSIN, Rosatom, Venemaa Roskartografiya, Vene Põllumajandusteaduste Akadeemia, Vene Meditsiiniakadeemia, Vene Akadeemia, Vene Kunstiakadeemia, Vene Arhitektuuri- ja Ehitusteaduste Akadeemia, Riik Sihtasutus: Vene-hüdrometeoroloogilise teabe koguinstituut - Maailma Andmekeskus, Riiklik Televisiooni- ja Raadiosaadete Riiklik Fond, Föderaalne Riiklik Teaduslik-Tootmisettevõte „Vene Föderaalne Geoloogiline Fond”, Föderaalne Riigi Ühtne Ettevõte “Vene teaduslik-tehniline keskus teave standardimise, metroloogia ja vastavushindamise kohta ”.

6 5 USA C. § 552a (k) (1) „Isikutele esitatavad dokumendid - erandid - arhiividokumendid”.

7 Operaator - riigiasutus, kohalik omavalitsusüksus, juriidiline või füüsiline isik, kes korraldab ja (või) teostab isikuandmete töötlemist ning määratleb isikuandmete töötlemise eesmärgi ja sisu.

9 Data Protection Act 1998, artikkel 32.

11 Durant vs finantsteenuste amet (FSA).

12 Vene Föderatsiooni kodaniku passi töötlemise ja väljastamise korra, diplomaatilise passi ja teenistuspassi juhend, mis on peamised dokumendid, mis tõendavad Vene Föderatsiooni kodaniku identiteeti väljaspool Vene Föderatsiooni territooriumi, mis sisaldavad elektroonilisi meediume (kinnitatud Vene Föderatsiooni siseministeeriumi, Venemaa Föderatsiooni välisministeeriumi korraldusega) ja Venemaa Föderatsiooni Föderaalse Julgeolekuteenistuse poolt 6. oktoobril 2006 nr 785/14133/461).