Személyes adatokkal kapcsolatos tájékoztatás. Személyes adatok védelme Ki lehet a személyes adatok kezelője? A feldolgozás alapelvei

Az utóbbi időben egyre gyakrabban kérik tőlünk, hogy a „Személyes adatok felhasználásához és kezeléséhez való hozzájárulásról” kifejezés alá tegyük aláírásunkat: bármilyen szociális és pénzügyi intézményben, közszolgáltatónál, munkaerő-felvételkor. „Önkéntes beleegyezésünket” követelik ma az egyetemeken, iskolákban, óvodákban, klinikákon, sőt könyvtárakban is! Az üzletek, szálloda- és étteremkomplexumok sem maradnak le - a kedvezménykártya átvételéhez ki kell töltenie és alá kell írnia egy kérdőívet, ahol a személyes adatok kezeléséhez való hozzájárulása az alján apró betűkkel szerepel. Miért van erre szükség: ártalmatlan könyvelés céljából, vagy ahhoz, hogy egy személyt a világ elektronikus rendszerének tehetetlen alkalmazásává alakítsanak? Találjuk ki.

Mik egy személy személyes adatai, és kinek van rá szüksége?

Tehát az „egy személy személyes adatai” fogalma nemcsak a keresztnevét, a családnevét, a vezetéknevét és a regisztrációs címét foglalja magában, ahogyan azt korábban megértettük. Ez teljesen minden olyan információ, amely közvetlenül vagy közvetve egy adott egyénre vonatkozik: biometrikus adatok, egészségi állapotra és fiziológiai jellemzőkre vonatkozó információk, nemzetiség, vallás, család összetétele, büntetett előélet, foglalkoztatási adatok, pénzügyi bevételek stb.

2005-ben Oroszország jóváhagyta az Európa Tanács egyezményét az egyének védelméről a személyes adatok automatikus feldolgozása során. Ezt követően elfogadták a „Személyes adatokról” szóló szövetségi törvényt (FZ-No. 152), amelynek főbb rendelkezéseit a fenti nemzetközi törvény is megismétli. A legtöbben úgy gondolják, hogy a törvény előírja az egyén személyes adatainak védelmét. De tényleg így van?

Különösen riasztó a dokumentumban egy olyan fogalom, mint az „automatikus adatfeldolgozás”, amely mind a személyes adatok felhalmozódásáról és tárolásáról, mind harmadik félnek történő továbbításáról és különféle célú felhasználásáról rendelkezik. Ezen műveletek végrehajtásának joga az úgynevezett üzemeltetőt illeti meg, amely lehet jogi vagy természetes személy, kormányzati szerv, kereskedelmi szervezet.

De fő üzemeltetőnk az OJSC "Universal Electronic Card" kereskedelmi struktúrája. Ő jogosult meghatározni a személyes adatok összetételét, kezelésük céljait, és azokkal kapcsolatos műveleteket végrehajtani.

Mi rejtőzik a személyes adatok „felhasználása” és „feldolgozása” fogalma mögött?

Úgy tűnik, miért kellett a kórházaknak, oktatási intézményeknek, lakásügyi osztályoknak, munkaadóknak ilyen teljes körű tájékoztatást adniuk magukról, családjukról, anyagi helyzetükről, ha a közelmúltban erre nem volt szükség? Az összes személyes adat ilyen szigorú gyűjtése az „Állami és önkormányzati szolgáltatások nyújtásának megszervezéséről” szóló 210. számú szövetségi törvény elfogadásával kezdődött, amely után a korábban elfogadott „A személyes adatokról” szóló törvény teljes körűen hatályba lépett.

Kinek van rá szüksége? Természetesen nem a társadalmi és kereskedelmi struktúrákra – ezek csak az információgyűjtés eszközei. Minden adatot közvetlenül a fő üzemeltetőtől – az UEC OJSC-től – rögzítenek, amely azt tervezi, hogy hamarosan minden állampolgárt elektronikus dokumentumokkal lát el, és minden egyes személy aktív, alapos feldolgozását kezdeményezi.

És mit jelent a "feldolgozás" és a "használat"? A polgárok ezt a koncepciót az információk banális gyűjtése és tárolásaként értelmezik. Mi az, amibe az illető tulajdonképpen beleegyezik?

1. részének 3. bekezdésében A 152. szövetségi törvény 3. §-a szerint ez a következőképpen jelenik meg:

„Feldolgozás” magában foglal minden olyan műveletet (műveletet) vagy műveletek (műveletek) összességét, amelyeket automatizálási eszközökkel vagy anélkül hajtanak végre személyes adatokkal, beleértve a gyűjtést, rögzítést, rendszerezést, felhalmozást, tárolást, pontosítást (frissítést, módosítást), Kimásolást, SZEMÉLYES ADATOK felhasználása, átadása (terjesztése, rendelkezésre bocsátása, hozzáférése), MEGJELENÍTÉSE, LETILTÁSA, TÖRLÉSE, MEGSEMMISÍTÉSE.

Így az emberek önként adják át rossz kezekbe a személyes életük irányításának engedélyét. Mostantól a fő üzemeltető, aki a jövőben elektronikus biometrikus dokumentummal látja el Önt, minden teljes körű információval rendelkezik az Ön egészségi állapotáról, hozzátartozói jelenlétéről, szociális kifizetésekről, teljesített tranzakciókról, adókról, háztartási vásárlásokról és még a mozgásról is! És ha Ön, mint egy univerzális elektronikus kártya tulajdonosa, nem ért egyet az üzemeltető egyes lépéseivel, akkor egyszerűen blokkolhatja az összes adatát vagy teljesen megsemmisítheti azokat, mint személyes adatainak jogos tulajdonosa. Hiszen Ön előre beleegyezett abba a lehetőségbe, hogy ilyen intézkedéseket alkalmazzon önmagán!

Hogyan működik ma?

A személyes adatok feldolgozásának aktív folyamata még csak most kezd gyökeret ereszteni mindennapi életünkben, de néhány állampolgár már megtapasztalta az ilyen jogi lépések következményeit.

Így az ország egyes oktatási intézményei kötelező hozzájárulást kérnek a személyes adatok kezeléséhez, a hallgatók észrevételei szerint, ha megtagadják a hozzájárulást, egyszerűen nem engedik le őket vizsgázni, és nem adnak ki oklevelet.

A helyzet az állami egészségügyi intézmények egy részével is, ahol az állampolgárnak nemcsak egészségügyi adatait és az orvosi kötvény számát, hanem a Nyugdíjpénztárban vezetett egyéni személyes számla biztosítási számát is köteles megadni a kórháznak. (SNILS) - a fő kulcs a JSC "UEC" információs bázisaihoz való hozzáféréshez. A „Páciens hozzájárulása a személyes adatok feldolgozásához” űrlapon van egy megjegyzés, hogy a hozzájárulás megtagadása esetén a klinikának jogában áll megtagadni a beteg egészségügyi szolgáltatását.

Ugyanez vonatkozik minden más állami és kereskedelmi intézményre, amely megköveteli ügyfeleitől, hogy hozzájáruljanak személyes adatok feldolgozásához és felhasználásához, arra hivatkozva, hogy ez szükséges a számviteli, személyi vagy katonai nyilvántartásokhoz. Hogyan viselkedjünk ilyen helyzetekben - olvassa el.

Mi van akkor, ha a munkáltató ragaszkodik ahhoz, hogy aláírja az Ön személyes adatainak felhasználására vonatkozó engedélyt, és van-e ehhez joga?

A törvény szerint a munkavállaló személyes adataival kapcsolatos bármilyen cselekmény csak a munkavállaló írásbeli hozzájárulásával hajtható végre. A munkáltató köteles a leendő munkavállalót aláírás ellenében tájékoztatni arról, hogy a részére átadott információkat milyen célból és milyen sorrendben tárolják és használják fel, valamint lehetőség van az adatkezeléshez való hozzájárulásának megtagadására vagy a jövőben annak visszavonására. személyes adatokról.

Az Art. 5.27 és Art. Az oroszországi közigazgatási szabálysértési törvénykönyv 5.39. cikke adminisztratív felelősséget ír elő az alkalmazottak személyes adatainak tárolására és feldolgozására vonatkozó szabályok megsértéséért. Jogszabálysértés esetén a cég vezetése köteles megtéríteni a munkavállalót személyes adatainak jogellenes felhasználása miatt okozott anyagi kárt.

Ha tudtán kívül engedélyt írt alá személyes adatai felhasználására, akkor most már tudja, hogy joga van visszavonni azt. A felülvizsgálat szabad formában, de a hatályos jogszabályokra való kötelező hivatkozással történhet. Íme egy példa egy ilyen kijelentésre:

LLC vezérigazgatója ___________
Tól től ________________
Regisztrálva:
___________________________
Útlevéladatok: ________

A beleegyezés visszavonása
személyes adatok kezeléséhez

Én, teljes név, az Art. 1. részével összhangban. A 2006. július 27-i szövetségi törvény 9. cikke. 152-FZ „A személyes adatokról” sz., visszavonom a személyes adataim kezeléséhez adott hozzájárulásomat a „_________” Korlátolt Felelősségű Társaságtól.
Kérem, hogy a jelen felülvizsgálat kézhezvételétől számított harminc munkanapon belül hagyja abba személyes adataim kezelését.

Dátum. Aláírás.

Egyes jogászok úgy vélik, hogy a személyes adatok feldolgozására adott válasz nem old meg semmit, mert mire megírják, az adott személyről már minden információ bekerült a további felhasználáshoz szükséges elektronikus adatbázisokba. De legalább meg fogja tenni a kötelességét, mint ortodox keresztény, és talán lelassítja személyes adatainak további frissítésének folyamatát.

Hogyan lehet jogszerűen megtagadni a személyes adatok gyűjtését az óvodákban és iskolákban?

Az utóbbi időben nagy vészharangot fújtak a szülők, ugyanis az óvodai és nevelési-oktatási intézmények adminisztrációja tulajdonképpen beleegyezését kényszeríti a gyermekre és családtagjaira vonatkozó személyes adatok kezeléséhez és felhasználásához. Ez azt jelenti, hogy önként le kell mondania magán- és családi élete sérthetetlenségéhez való jogáról? Hiszen a személyes adatok automatikus feldolgozása biztosítja az összegyűjtött információk korlátozások nélküli továbbítását harmadik fél számára.

Ne feledje, hogy a hozzájárulás megadása vagy megtagadása joga, nem kötelessége. Az alábbiakban példát mutatunk be a gyermek személyes adatainak további feldolgozás céljából történő megadásának megtagadásáról szóló nyilatkozatra:

számú iskola/óvoda adminisztrációjához.
tól től__________________________________

NYILATKOZAT

Én, _____________________________________________ gyermekem törvényes képviselőjeként ______________________________________, az Orosz Föderáció Alkotmánya 23. cikkének (1) bekezdésével összhangban határozottan megtagadom gyermekem vagy családom magánéletére vonatkozó információk megadását („Mindenki a magánélethez, a személyes és családi titokhoz, a becsület és a jó hírnév védelméhez való jog."
Megtiltom továbbá a gyermekemmel kapcsolatos pszichológiai tesztek és felmérések alkalmazását, megtiltom gyermekemet ezeken a teszteken, felméréseken való részvételre kényszeríteni, megtiltom a gyermekem és a családom életének különböző területeire vonatkozó információgyűjtést. Szükségesnek tartom tájékoztatni, hogy a tilalom megsértése az Orosz Föderáció Büntetőtörvénykönyve 137. cikkének (2) bekezdése ("A magánélet megsértése hivatali helyzet felhasználásával") hatálya alá tartozik, figyelembe véve a Büntető Törvénykönyv 63. cikkét. az Orosz Föderáció („Büntetést súlyosító körülmények”).
Megragadva az alkalmat, kötelességemnek tartom kinyilvánítani azt a meggyőződésemet, hogy a gyermekekről, szülőkről és családjaikról szóló információgyűjtés minden intézkedése végső soron a család intézményének lerombolására irányul hazánkban, ami államellenes cselekedet.

"____" "_______________________" 20___ ______________________
(Személyes aláírás)

Természetesen meg kell érteni, hogy az iskolának alapvető személyes adatokkal kell rendelkeznie minden tanulóról az oktatási folyamat megszervezéséhez. A törvény szerint, amikor a gyerekek iskolába járnak, az oktatási intézmény adminisztrációja felelős értük. Ezért, ha konkrét információkat kell átadni a gyermekről, akkor rendezze el ezt a folyamatot helyesen, a következő állítási példa segítségével:

Hozzájárulás minta a személyes adatok iskola általi kezeléséhez, amely nem jár a család jogainak megsértésének kockázatával.

A JOGI KÉPVISELŐ EGYEZMÉRÉSE
KISKORÚ SZEMÉLYES ADATOK FELDOLGOZÁSÁHOZ

Én, ____________________________________________________________________________ (teljes név),
lakóhelye: _________________________________________________________________, útlevélszáma: __________________________________ (ki és mikor) ______________________________________
______________________________________________________________________________
alapján kiskorú _____________________________________________ (teljes név) törvényes képviselője vagyok. Az Orosz Föderáció Családi Törvénykönyve 64. 1. o.
Ezúton hozzájárulok ahhoz, hogy a ____________ számú Állami Oktatási Intézményi Gimnáziumban _______________________________________ kiskorú gyermekem személyes adatait kizárólag az alábbiakban felsorolt ​​személyes adatok kategóriáira vonatkozóan kezeljék:

  • születési anyakönyvi kivonat adatai;
  • egészségügyi kártya adatai;
  • a gyermek címe;
  • a gyermek fejlődésének értékelése;
  • a gyermek nevelőmunkája.

Hozzájárulok, hogy gyermekem személyes adatait kizárólag az alábbi célokra használjuk fel:

  • a nevelési folyamat megszervezésének biztosítása a gyermek számára;
  • statisztikák vezetése.

Jelen hozzájárulás a ____. számú Állami Oktatási Intézményi Középiskola dolgozói számára biztosított a gyermek személyes adataival kapcsolatban az alábbi tevékenységek elvégzésére: gyűjtés, rendszerezés, felhalmozás, tárolás, pontosítás (frissítés, módosítás), felhasználás (csak a fenti célokra), személytelenítés, letiltás (nem tartalmazza a gyermek személyes adataihoz való hozzáférésem korlátozásának lehetőségét), megsemmisítés. Nem járulok hozzá a gyermek személyes adatainak bármilyen terjesztéséhez, ideértve a gyermek személyes adatainak harmadik félnek, ideértve a magánszemélyeket és jogi személyeket, intézményeket, ideértve a külső szervezeteket és a ______ számú Állami Oktatási Intézményi Középiskola által érintett személyeknek történő továbbítását sem. a személyes adatok kezelésének végrehajtására, az állami szervek és az önkormányzatok. A gyermek személyes adatainak csak nem automatizált módon történő kezeléséhez járulok hozzá, azok automatizált kezeléséhez nem.
Megtiltom a gyermek személyes adatainak bármilyen más célból és módon történő feldolgozását, beleértve a terjesztést és harmadik félnek történő továbbítást. Ez minden esetben csak kifejezett írásbeli hozzájárulásommal lehetséges.
Jelen Hozzájárulás a __________ számú Állami Oktatási Intézményi Gimnáziumban a személyes adatok kezelésének céljainak megvalósulásáig vagy a jelen Hozzájárulás visszavonásáig érvényes. Ez a Hozzájárulás írásbeli kérésemre bármikor visszavonható.
Kijelentem, hogy e hozzájárulás megadásával szabad akaratomból cselekszem, és annak a gyermeknek a legjobb érdekeit szem előtt tartva, akinek törvényes képviselője vagyok.

Dátum: __.__._____
Aláírás: ____________________________ (__________________________)

Hogyan írható meg a személyes adatok kezelésének elutasítása?

Amint azt már megtudtuk, az állampolgárok személyes adatainak automatizált nyilvántartásának célja nem az emberek jogainak garantálása, hanem kizárólagos hatalom a felettük. Ez az emberi irányítási rendszer felépítésének következő szakasza.

2014 februárjában a Moszkvai Patriarchátus honlapján információkat tettek közzé Kirill moszkvai és egész oroszországi pátriárkának az Orosz Föderáció elnökéhez, Vlagyimir Putyinhoz intézett fellebbezéséről, azzal a kéréssel, hogy tegyenek olyan jogalkotási intézkedéseket, amelyek biztosítják egy személynek a hagyományos eszközök használatához való jogát. személyazonossági igazolványok és azok papíron történő rögzítésének módjai, valamint jogi garanciát adnak a hagyományos számviteli rendszer meglétére, technikai felszereltségére és finanszírozására.

Az Orosz Föderáció elnökének adminisztrációja a következő tartalommal válaszolt a pátriárka fellebbezésére:

„... Osztva aggodalmát amiatt, hogy egyes orosz állampolgárok vonakodnak egy másik típusú útlevél – egy elektronikus információhordozókat tartalmazó új generációs dokumentum – megszerzésétől, úgy vélem, meg lehet jegyezni, hogy az emberek elektronikus személyi azonosítók használatára kényszerítésének bármely formája automatizált. a személyes adatok, személyes bizalmas információk gyűjtésének, feldolgozásának és elszámolásának módjai elfogadhatatlanok...”.

Réges-régen az ortodox vének és a papok figyelmeztettek, hogy az embereket „nyilvánvaló hazugság és szörnyű csalás” segítségével megtévesztik.

Ha önmaga szeretné kezelni életét, és ezt a jogot nem adja át idegeneknek, akkor a személyes adatai kezeléséhez való hozzájárulás aláírása helyett azt tanácsoljuk, hogy töltsön ki egy kérvényt, amelynek mintáját az alábbiakban mutatjuk be:

NYILATKOZAT

a "Hozzájárulás a személyes adatok kezeléséhez" aláírásának megtagadásáról
(az Orosz Föderáció alkotmányának 2., 3., 15., 18., 23., 24. cikke, valamint az Orosz Föderáció Polgári Törvénykönyvének 12. cikke alapján)

.................................................. ................ Felkértek, hogy írjak alá egy Hozzájárulást a feldolgozáshoz
(dátum)
személyes adatok" a ................................... ................................................................ ............................................................ ..............................
(Adja meg, mire való a "beleegyezés")
Nem járulok hozzá személyes adataim kezeléséhez az alábbi okok miatt:
1. A személyes adatok feldolgozásához való hozzájárulás kötelező megszerzése, ha ...................................

(részletezze: orvosi ellátás biztosítása, ellátások kifizetése, ügylet lebonyolítása stb.)
...................................................................................................................................................
ellentétes az Orosz Föderáció alkotmányával, amely feltétel nélkül biztosítja az állampolgároknak ezt a jogot. A 2., 15., 18. cikkekkel összhangban az emberi jogok és szabadságjogok a legmagasabb érték, az Orosz Föderáció Alkotmányának van a legmagasabb jogi ereje és közvetlen hatálya.
2. Hozzájárulok személyes adataim (gyermekeim személyes adatai) kezeléséhez
..........................................................................................................................................................................
(ha van, adja meg)
..........................................................................................................................................................................
az én érdekeimmel és a családom érdekeivel ellentétes.
A „Személyes adatokról” szóló 152-FZ szövetségi törvény 9. cikkével összhangban a személyes adatok alanya úgy dönt, hogy megadja személyes adatait, és beleegyezik azok akarata szerinti és saját érdekében történő feldolgozásához.
A 152-FZ törvény értelmében a személyes adat az egyénre vonatkozó bármely információ. A „feldolgozás” fogalmába beletartozik az üzemeltető személyes adatokkal végzett minden tevékenysége: gyűjtés, rögzítés, rendszerezés, felhalmozás, tárolás, pontosítás (frissítés, módosítás), visszakeresés, felhasználás, továbbítás (terjesztés, rendelkezésre bocsátás, hozzáférés, beleértve a harmadik félnek történő továbbítást is). és határokon átnyúló továbbítás), a személyes adatok személytelenítése, zárolása, törlése, megsemmisítése.
2009-ben módosították a 152-FZ „A személyes adatokról” szóló törvényt, amely eltörölte az üzemeltetőknek a személyes adatok kriptográfiai (titkosítási) védelmére vonatkozó kötelezettségét.
A személyes adatok felhasználása során az Üzemeltetőnek jogában áll olyan döntéseket hozni vagy egyéb cselekményeket hozni, amelyek jogi következményekkel járnak velem vagy más személyekkel, mint személyes adatok alanyával kapcsolatban.
Az üzemeltető a személyes adatok kezeléséhez – a rám és a családomra vonatkozó bármilyen információ – való hozzájárulásának megszerzésével teljes jogú tulajdonossá válik.
Az adatlap formális megfogalmazása a személyes adatok kezeléséhez való hozzájárulás visszavonásának jogáról nem old meg semmit, hiszen az üzemeltetőnek a Hozzájárulás visszavonásakor már lehetősége van a jogosítványainak maradéktalan érvényesítésére.
A személyes adatok kezeléséhez való hozzájárulás az adott személyt bármilyen bûnügyi manipuláció potenciális tárgyává teszi, mivel senki sem felel az üzemeltetõk erkölcsi állapotáért.
3. A "személyes adatok feldolgozásához – egy személyre vonatkozó bármely információ" hozzájárulásának megszerzése sérti az Orosz Föderáció Alkotmánya 23. és 24. cikkének rendelkezéseit, amelyek garantálják az állampolgárok magánéletéhez, személyes és családi titkaihoz, valamint személyes adataik védelméhez való jogot. becsület és jó név.
4. A számomra felajánlott „Hozzájárulás” űrlap sérti a „Személyes adatokról” szóló 152-FZ. sz. „Személyes adatok kezelésének elvei” 5. cikkének alapelveit: a személyes adatokat tartalmazó adatbázisok kombinálásának megengedhetetlenségéről, amelyek feldolgozását végzik. egymással összeegyeztethetetlen célokra; csak azon személyes adatok kezeléséről, amelyek megfelelnek az adatkezelés céljának; a kezelt személyes adatok tartalma és köre az adatkezelés megjelölt céljainak való megfeleléséről; a kezelt személyes adatok redundanciájának megengedhetetlenségéről az adatkezelés megjelölt céljaira tekintettel.
A fenti indokok alapján megtagadom személyes adataim (gyermekeim személyes adatai) ilyen jellegű kezeléséhez való hozzájárulást, és kérem alkotmányos jogaim és szabadságaim tiszteletben tartását. A belső használatra szükséges személyes adataim már az Ön rendelkezésére állnak.
(a) figyelmeztetést kaptam (a) arra, hogy a „Hozzájárulás” aláírásának megtagadása esetén ........................ .............................................................. ................................................................ ..................................................
(a Hozzájárulás aláírásának megtagadásának következményei)
Ha ez a fenyegetés megvalósul, kérem, hogy adjon megindokolt írásbeli választ, amelyre a tisztségviselő (munkavállaló) jogsértő cselekménye ellen fellebbezéssel és az anyagi és erkölcsi kár megtérítésével kell szembenéznem.

Tisztelettel,
"____" _____________ 20___

2016. február 24-én 17:35-kor

A személyes adatok kezelésének alapjai

  • Céges blog Zartsyn és partnerei,
  • IT jogszabályok,
  • Szabadalmaztatás

A személyes adatokról, azok gyűjtéséről és kezeléséről már elkezdtünk beszélni. De erről a végtelenségig beszélhetünk, és folytatjuk. Múltkor a törvényi változásokról beszéltünk, de a legfontosabbat nem vettük figyelembe - NEM OLVASSA MEG A TÖRVÉNYT!.. És a visszajelzésekből ítélve az információk részletesebb tanulmányozást igényelnek.
Ezért az összes törvényt és azok kiegészítését többször is átolvastuk. Valamiféle préselést csináltak belőle. Világosan, pontról pontra leírva főbb normáit és követelményeit.

Az alapok alapjai

"A személyes adatok kezelése a jogszerűség és a méltányosság elvén alapul"- mondja az FZ-152 "A személyes adatokról". A többi alapelv ezeken a fogalmakon alapul, tükrözve a személyes adatok feldolgozásának, mint folyamatnak a lényegét. És itt van, amit emlékezned kell:

1. A személyes adatok feldolgozásának összhangban kell lennie a személyes adatok gyűjtésének céljaival;
Ez azt jelenti, hogy a PD-feldolgozás alanyát (vevő, ügyfél, alkalmazott stb.) értesíteni kell a feldolgozás céljairól. Ezért a célokat a személyes adatok feldolgozásához adott írásbeli hozzájárulás formájában kell tükrözni.

2. A személyes adatokat tartalmazó adatbázisok, amelyek feldolgozása összeférhetetlen célból történik, nem vonhatók össze;
Itt minden nyilvánvaló: nem szabad összevonni azokat a személyes adatbázisokat, amelyek például a cég alkalmazottaira vonatkozó pénzügyi információkat tartalmaznak, és a vállalat ügyfeleinek személyes adatbázisait.

3. A feldolgozott személyes adatok mennyisége nem lehet túlzott az adatkezelés céljaihoz képest;
Kiderül, hogy egy zoknit árusító webáruház kezelheti a vásárlók személyes adatait, amelyek tartalmazhatnak információkat a preferenciákról, marketingtevékenységről, de a vásárló személyes adatai, amelyek azt jelzik, hogy mondjuk betegségei vannak, egyértelműen feleslegesek lesznek.

4. A személyes adatok kezelése során biztosítani kell azok pontosságát, elégségességét és relevanciáját az adatkezelés céljaihoz képest;
Ez mindenekelőtt minden olyan jogilag jelentős tevékenység magas színvonalú és időben történő elvégzéséhez szükséges, amelyben személyes adatokat használnak fel. Például közvetlen áruvásárláshoz.

5. A személyes adatok tárolását nem szabad tovább tárolni, mint amennyit a személyes adatok feldolgozásának célja megkövetel.
A kezelt személyes adatok megsemmisítésének vagy személytelenítésének vannak kitéve az adatkezelés céljainak megvalósulásakor, vagy e célok megvalósításának szükségességének elvesztése esetén. Vagyis ha bezárnak egy webáruházat, akkor a vásárlók személyes adatainak adatbázisát nem lehet „ellenségekre” bízni, azt legalább személyteleníteni kell.

A személyes adatokkal való munka szakaszai

1. Gyűjtemény
A weboldal látogatóitól származó személyes adatok gyűjtése során minden esetben javasoljuk, hogy tüntesse fel:
  • az üzemeltető neve;
  • a személyes adatok kezelésének célja és jogalapja;
  • a személyes adatok tervezett felhasználói;
  • a személyes adatok alanyának törvényes jogai;
  • személyes adatok forrása.
Ezen túlmenően az állampolgár kérésére a személyes adatfeldolgozó szolgáltatónak biztosítania kell:
  • A személyes adatok üzemeltető általi feldolgozásának tényének megerősítése;
  • Az üzemeltető neve és tartózkodási helye, információk azokról a személyekről, akik személyes adatokhoz férhetnek hozzá, vagy akikkel a személyes adatok az üzemeltetővel kötött megállapodás vagy a szövetségi törvény alapján kiadhatók;
  • A személyes adatok kezelésének feltételei;
  • Tájékoztatás a végrehajtott vagy tervezett határon átnyúló adattovábbításról;
2. Tárolás
A tárolást és a rögzítést, a rendszerezést, a felhalmozást, a tisztázást az Orosz Föderáció területén kell elvégezni - ezt már mindenki tudja. A személyes adatok tárolása bármilyen formában történhet, beleértve a papírt is.
A személyes adatok feldolgozása külföldön is elvégezhető, ha az Orosz Föderációban lévő adatbázis azonos vagy nagyobb mennyiségű személyes adatot tartalmaz.

3. Használat
Emlékezik! Az összegyűjtött személyes adatokkal végzett műveleteket szigorúan az adatszolgáltatás céljainak megfelelően kell végrehajtani.
Vagyis ha az adatokat az "A" online áruházban zokni vásárlásakor gyűjtötték, akkor azokat csak az "A" üzlet értékesítésére szabad felhasználni, amelyre ezeket az adatokat hagyták. Ha ezeket az adatokat lakások eladására használják fel más forrásból, akkor ez már a személyes adatok jogellenes felhasználásának minősül.

4. Blokkolás
Ha az érintett megállapította, hogy adatait jogellenesen használják fel, és keresettel fordult Önhöz (vagy képviselőjéhez / illetékes hatóságához), akkor köteles személyes adatait zárolni, és ellenőrizni azok felhasználásának jogszerűségét. Ha ezeket az adatokat a vállalkozó kezeli, akkor Ön köteles mindent megtenni a kérelmező adatainak blokkolása és ellenőrzése érdekében.
Ugyanezt köteles megtenni abban az esetben, ha az alany pontatlanságot talál az adataiban.
A zárolást a fellebbezés vagy az ellenőrzésre irányuló kérelem kézhezvételének pillanatától kell végrehajtani, ha a személyes adatok zárolása nem sérti a személyes adatok alanya vagy harmadik fél jogait és jogos érdekeit.

5. Megsemmisítés
Az Ön felelőssége azonban az adatok megsemmisítése vagy a felhasználás megszüntetése a hozzájárulás visszavonása esetén. Abban az esetben is, ha a személyes adatok tárolása a személyes adatok kezeléséhez már nem szükséges.
Mindezt a visszahívás kézhezvételétől számított legfeljebb harminc napon belül kell megtenni, ha a szerződés eltérően nem rendelkezik.

Emlékezzünk arra, hogy a polgárokkal kapcsolatos információk gyűjtésére, tárolására, felhasználására vagy terjesztésére vonatkozó, törvényben meghatározott eljárás megsértése figyelmeztetést vagy közigazgatási bírság kiszabását vonja maga után:

  • állampolgárok számára háromszáz-ötszáz rubel összegben;
  • tisztviselőkre - ötszáztól ezer rubelig;
  • jogi személyek számára - ötezertől tízezer rubelig.
Maguk az összegek kicsik, de a felügyeleti hatóságok figyelmének felkeltése önmagában sokkal komolyabb problémákhoz vezethet.

BÓNUSZ

Határon átnyúló adattovábbítás lehetséges, senki nem tiltotta meg.
De neked kell
  • minden adat tárolása és frissítése az Orosz Föderáció szerverein (elsődleges adatbázis)
  • a „Személyes adatkezelési szerződésben” jelezze, hogy ezeket az adatokat egy másik országba kívánja továbbítani, és milyen konkrét célból (ha egy adott országot a törvény nem jelöl meg)
A továbbított adatok felhasználásáért az az Üzemeltető felelős, akinek ezeket az adatbázisokat átadják.

Nem tilos távoli hozzáférést biztosítani az Orosz Föderáció területén található adatbázisokhoz egy másik FZ-242 állam területéről.

Ez minden, kollégák. Eru irgalma legyen veled!

Személyes adatok kezelése az érintett hozzájárulása nélkül csak a törvényben meghatározott esetekben lehetséges. Az ilyen információk eljárást megsértő vagy megfelelő indok nélküli felhasználása az elkövetők polgári, munkaügyi, közigazgatási és büntetőjogi felelősségre vonását vonja maga után.

Milyen esetekben megengedett az alanyra vonatkozó személyes adatok harmadik félnek történő továbbítása és egyéb feldolgozása?

A személyes adatokról szóló, 2006. július 27-i 152-FZ törvény két lehetőséget határozott meg, amelyekben az állampolgárok (alanyok) személyes adatainak feldolgozása jogszerű:

  1. Az ehhez való hozzájárulását követően.
  2. Beleegyezés nélkül az alábbi esetekben:
    • információ más személyek által személyes és családi szükségletekre történő felhasználása, ha ez nem sérti az állampolgár jogait;
    • személyes adatok bevitele az Oroszországi Levéltári Alap adatbázisába;
    • az információ államtitokká minősítéséről szóló döntés meghozatala (ebben az esetben nem szükséges az alany hozzájárulása a rá vonatkozó információ minősítéséhez);
    • az információ felhasználásának szükségessége a nemzetközi szerződések és törvények feltételeinek Oroszország általi végrehajtása érdekében;
    • egy személy részvétele a bírósági eljárásban és az ilyen részvétellel összefüggésben;
    • bírósági cselekmény vagy a végrehajtási eljárás szervei által elfogadott okirat rendelkezéseinek felhasználása;
    • önkormányzati vagy állami szolgáltatások személy általi átvétele;
    • a személyről szóló információk nyilvánosan elérhetőként való felismerése;
    • olyan megállapodás megkötése és végrehajtása, amelyben az alany félként vagy kedvezményezettként jár el;
    • a beleegyezés megszerzésének lehetetlensége egy személy életének, egészségének vagy fontos érdekeinek veszélyeztetése esetén;
    • jogok gyakorlása, az üzemeltető (információ feldolgozása) vagy harmadik fél érdekeinek biztosítása, társadalmilag jelentős célok elérése;
    • újságírók és a média által végzett szakmai tevékenység, kreatív tevékenység, ha ez nem sérti az emberi jogokat;
    • személyre szabott információk felhasználása kutatási és statisztikai célokra, kivéve a politikai kampányt, az áruk, szolgáltatások és alkotások piaci promócióját;
    • a kötelező nyilvánosságra hozatal, az adatok közzétételének szükségessége a jogszabályi utasítások alapján (például a közalkalmazottak kötelesek tájékoztatást adni a jövedelmükről).

Az információk feldolgozásának (tárolása, terjesztése stb.) eljárása az alany jóváhagyása nélkül

Az állampolgárokra vonatkozó személyes adatok üzemeltetők általi, külön engedélyük nélküli feldolgozására vonatkozó általános eljárás a következő:

  1. Az üzemeltető, ha van jogalap, tájékoztatást kap. Nem köteles értesíteni egy személyt az adatai feldolgozásának megkezdéséről, de bizonyos esetekben az értesítést elküldik a Roskomnadzornak.
  2. Az üzemeltető elvégzi a szükséges műveleteket (gyűjti, rögzíti, átadja, tisztázza stb.). Amint azt az Art. A 152-FZ törvény 5. cikke értelmében a felhasználó tevékenysége a feldolgozás céljára korlátozódik.
  3. A célok elérése, illetve a felhasználási igény megszűnése után az adatok megsemmisülnek, illetve személytelenné válnak.

További lépés lehet az egyén általi megkérdőjelezés a rá vonatkozó információk felhasználásának jogszerűségével szemben. A vitarendezési szerv (az állampolgár választása szerint) a bíróság vagy a Roskomnadzor. A konfliktus megoldása során az üzemeltető bizonyítékot szolgáltat olyan körülmények fennállására, amelyek lehetővé teszik számára, hogy az adatokat az állampolgár engedélye nélkül vagy tiltásával ellentétes módon felhasználja.

Az üzemeltető felelőssége

Amennyiben az üzemeltető megsérti a személyes adatok kezelésének eljárását és feltételeit, többféle felelősségre vonható:

A felelősség típusa

Szabálysértési példa

Büntetés

Jogi alap

civil

Erkölcsi károkozás

Kártérítés kifizetése

Művészet. A 152-FZ törvény 24. cikke 1099 GK

Fegyelmi

Személyes adatok közzététele egy másik munkavállalóról

Elbocsátás

Jogszabálysértés az információfeldolgozás során

Fegyelmi és anyagi felelősségre vonás

Közigazgatási

Az adatgyűjtés céljával ellentétes adatkezelés

  • állampolgárok - 1000-3000 rubel;
  • tisztviselők - 5000-10 000 rubel;
  • szervezetek - 30 000-50 000 rubel.

1. rész Art. 13.11 Közigazgatási kódex

Bűnügyi

A magánélet megsértése

Alternatív szankció:

  • 200 000 rubelig terjedő bírság,
  • kötelező munkavégzés 360 óráig,
  • korrekciós - legfeljebb 1 év,
  • kötelező - 2 évig,
  • 2 évig terjedő szabadságvesztés stb.

1. rész Art. 137 Egyesült Királyság

A tisztviselő megtagadása vagy megtévesztése, amikor egy állampolgár tájékoztatást ad róla

Pénzbírság (200 000 rubel vagy jövedelem legfeljebb másfél évre) vagy bizonyos tevékenységek végzésének jogától való elvonás 2-5 évre

Számítógépes információkhoz való hozzáférés joga nélkül

Pénzbüntetés (200 000 rubel vagy legfeljebb másfél évig tartó jövedelem), javítói munka legfeljebb egy évig vagy kényszermunka, korlátozás vagy szabadságvesztés legfeljebb 2 évig

1. rész Art. 272 Egyesült Királyság

Így az alany engedélye nélküli információfeldolgozás akkor lehetséges, ha az üzemeltetőt jogszabály biztosítja. Az információ felhasználását ebben az esetben az üzemeltető céljainak eléréséhez szükséges mértékben kell végrehajtani, majd ezt követően az adatok megsemmisülnek vagy személytelenné válnak. Az a személy, aki úgy véli, hogy személyes adatait jogellenesen használták fel, jogosult a bírósághoz vagy a Roskomnadzorhoz fordulni.

Nem ismeri a jogait?

A polgárok személyes adatainak feldolgozásának folyamatát a „Személyes adatokról” szóló 152-FZ szövetségi törvény írja elő. Eredetileg 2006. július 27-én fogadták el ezt a törvényt, majd a későbbiekben különféle változtatásokon, kiegészítéseken esett át.

A személyes adatokról szóló törvény szabályozza az állami, önkormányzati hatóságok, magánszemélyek és jogi személyek közötti kapcsolatokat a személyes adatok feldolgozása és védelme terén, amelyeket automatizálási eszközök segítségével vagy anélkül hajtanak végre.

E törvény célja, hogy törvényes módszerekkel biztosítsa az állampolgárok szabadságainak és jogainak védelmét személyes adataik kezelése során, ideértve a személyiségi, családi és személyes titkokat is.

Melyik szervezetre vonatkoznak a személyes adatokról szóló szövetségi törvény követelményei?

Bármely szervezetnek lehetősége van arra, hogy ne szabályozza tevékenységét a „Személyes adatokról” szóló 152-FZ szövetségi törvény 2. cikkének 1. fejezetével összhangban a személyes adatok feldolgozásával kapcsolatban, például:

1. Személyes adatok magánszemélyek általi kezelése kizárólag személyes és családi szükségletekből, ha az érintettek jogai nem sérülnek;
2. Az Orosz Föderáció Levéltári Alapjának dokumentumainak és egyéb, személyes adatokat tartalmazó archív dokumentumok tárolására, beszerzésére, könyvelésére és felhasználására szolgáló szervezetek az Orosz Föderáció archiválására vonatkozó jogszabályokkal összhangban;
3. Államtitkot képező információnak minősített személyes adatok meghatározott eljárás szerint történő kezelése;
4. A felhatalmazott szervek tájékoztatása az Orosz Föderáció bíróságainak tevékenységéről a 2008. december 22-i N 262-FZ „Az Orosz Föderáció bíróságainak tevékenységére vonatkozó információkhoz való hozzáférés biztosításáról” szóló szövetségi törvénnyel összhangban. .

Ha egy szervezet nem tartozik a fenti pontok hatálya alá, akkor feltétlenül meg kell felelnie a törvényi előírásoknak. A személyes adatok gyűjtésével, feldolgozásával és tárolásával kapcsolatos összes többi esetet a „Személyes adatokról” szóló 152. számú szövetségi törvény szabályozza. Szinte minden szervezetre vonatkoznak ezek a követelmények, hiszen szinte minden vállalat ilyen vagy olyan módon kezeli alkalmazottai vagy más magánszemélyek személyes adatait. Minden személyes adatot szigorúan bizalmasan kell kezelni.

A személyes adatok tulajdonosaitól és kormányzati szervektől származó követelések kockázatának minimalizálása érdekében olyan munkák elvégzésére van szükség, amelyek indokolják a személyes adatok feldolgozásának szükségességét. Szükséges továbbá a titoktartási követelmények betartása mind a nem automatizált adatkezelés, mind a személyes adatok információs rendszerekben történő feldolgozása esetén.

Személyes adatok – mik azok?

A személyes adatokról szóló szövetségi törvény 1. fejezetének 3. cikke a személyes adatok meghatározását tartalmazza:

- személyes adat - bármely olyan információ, amely közvetlenül vagy közvetve azonosított vagy azonosítható természetes személyre (a személyes adat alanyára) vonatkozik.

Ez lehet vezetéknév, utónév, családnév, lakcím és e-mail cím, elérhetőségek, lakóhely, vallás, családi állapot, fényképek, rokonokkal kapcsolatos információk és még sok más. Minden ilyen információ birtokában lévő szervezet köteles megvédeni azokat az információs rendszereket, amelyekben ezeket az adatokat tárolni kívánják.

Személyes adatok gyűjtése, tárolása és feldolgozása

Ha szükséges egy munkavállaló vagy más magánszemély személyes adatainak beszerzése, a szervezetnek joga van azokat közvetlenül magától az alanytól begyűjteni. Ha csak harmadik féltől szerezhető be információ, akkor az érintettet értesíteni kell, és ehhez írásban is hozzájárulását kell adnia. Az üzemeltető viszont köteles értesíteni az állampolgárt a személyes adatainak átvételével és feldolgozásával kapcsolatos célokról.

A személyes adatok feldolgozásának jogalapjával kapcsolatos mindent a „Személyes adatokról” szóló szövetségi törvény 2. fejezete, 6. cikkének 1. szakasza, 152. pontja rögzít:

1) a személyes adatok feldolgozása a személyes adatok érintettjének személyes adatainak kezeléséhez való hozzájárulásával történik;
2) a személyes adatok feldolgozása szükséges az Orosz Föderáció nemzetközi szerződésében vagy törvényében meghatározott célok eléréséhez, az Orosz Föderáció jogszabályai által az üzemeltetőre ruházott funkciók, hatáskörök és kötelezettségek végrehajtásához és teljesítéséhez. ;
3) a személyes adatok feldolgozása az igazságszolgáltatáshoz, bírósági cselekmény végrehajtásához, más szerv vagy tisztviselő olyan cselekményéhez szükséges, amely az Orosz Föderáció végrehajtási eljárásokról szóló jogszabályai szerint (a továbbiakban: bírói cselekmény végrehajtása);
4) a személyes adatok feldolgozása az állami vagy önkormányzati szolgáltatások nyújtásához szükséges az N 210-FZ „Az állami és önkormányzati szolgáltatások nyújtásának megszervezéséről” szóló, 2010. július 27-i szövetségi törvénnyel összhangban, az ellátás biztosítása érdekében. egy ilyen szolgáltatás esetében a személyes adatok alanya egyetlen állami és önkormányzati szolgáltatások portálon történő regisztrálása;
5) a személyes adatok kezelése olyan megállapodás teljesítéséhez szükséges, amelynek a személyes adatok alanya szerződő fél vagy kedvezményezettje vagy kezese, valamint a személyes adat alanya kezdeményezésére megállapodás megkötéséhez, vagy a személyes adatok alanya. mely személyes adatok alanya lesz a kedvezményezett vagy a kezes;
6) a személyes adatok kezelése a személyes adat alanyának életének, egészségének vagy egyéb létfontosságú érdekeinek védelme érdekében szükséges, ha a személyes adatok alanyának hozzájárulása nem lehetséges;
7) a személyes adatok kezelése az üzemeltető vagy harmadik személyek jogainak és jogos érdekeinek gyakorlásához vagy társadalmilag jelentős célok eléréséhez szükséges, feltéve, hogy a személyes adatok alanya jogai és szabadságai nem sérülnek;
8) a személyes adatok kezelése az újságíró szakmai tevékenységéhez és (vagy) a média jogszerű tevékenységéhez vagy tudományos, irodalmi vagy egyéb alkotói tevékenységéhez szükséges, feltéve, hogy a személyes adatok alanya jogai és jogos érdekei nem sértik megsértették;
9) a személyes adatok feldolgozását statisztikai vagy egyéb kutatási célból végzik, az e szövetségi törvény 15. cikkében meghatározott célok kivételével, a személyes adatok kötelező személytelenítésének függvényében;
10) személyes adatkezelésre kerül sor, amelyhez a személyes adatok alanya vagy kérésére korlátlan számú hozzáférést biztosít (a továbbiakban: az érintett által nyilvánosságra hozott személyes adat);
11) a közzétételhez vagy kötelező közzétételhez kötött személyes adatok szövetségi törvény szerinti feldolgozása megtörténik.

Ha egy szervezet a fenti bekezdésekkel ellentétes személyes adatokat dolgoz fel, akkor ez a szövetségi törvény megsértését jelenti.

A szervezet köteles biztosítani a rendelkezésre álló személyes adatok bizalmas kezelését a „Személyes adatokról” szóló szövetségi törvény 7. cikkével összhangban. Kivételt képeznek azok az esetek, amikor a személyes adatokat anonimizálják, vagy amikor azok nyilvánosan hozzáférhetőek.
A 8. cikk kimondja, hogy lehetnek nyilvánosan elérhető személyes adatok forrásai. Tartalmazhatják az alany vezetéknevét, utónevét, családnevét, születési országát és évét, lakcímét, telefonszámát, foglalkozására vonatkozó információkat vagy egyéb személyes adatokat, amelyeket írásbeli hozzájárulásával ad meg. Ilyenek például a címtárak vagy címjegyzékek. Az alany vagy az államilag felhatalmazott szervek döntése alapján ezek az információk nem elérhetők.

A személyes adatok kezelésének elvei és feltételei

A személyes adatok feldolgozása során minden szervezetnek be kell tartania a „Személyes adatokról” szóló szövetségi törvény 5. cikkének 2. fejezetében meghatározott elveket:

1. A személyes adatok feldolgozását törvényes és tisztességes alapon kell végezni.
2. A személyes adatok feldolgozását meghatározott, előre meghatározott és jogszerű célok elérésére kell korlátozni. Nem kezelhető olyan személyes adat, amely összeegyeztethetetlen a személyes adatok gyűjtésének céljaival.
3. Nem szabad összevonni azokat a személyes adatokat tartalmazó adatbázisokat, amelyek feldolgozása egymással össze nem egyeztethető célból történik.
4. Csak olyan személyes adatok kezelhetők, amelyek megfelelnek az adatkezelés céljainak.
5. A kezelt személyes adatok tartalmának és körének meg kell felelnie a megadott adatkezelési céloknak. A kezelt személyes adatok nem lehetnek túlzott mértékűek az adatkezelés meghatározott céljaihoz képest.
6. A személyes adatok kezelése során biztosítani kell a személyes adatok pontosságát, elegendőségét, és szükség esetén a személyes adatok kezelésének céljaival kapcsolatos relevanciáját. Az üzemeltető köteles megtenni a szükséges intézkedéseket, vagy gondoskodni azok megtételéről a hiányos vagy pontatlan adatok eltávolítása vagy tisztázása érdekében.
7. A személyes adatok tárolását olyan formában kell végezni, amely lehetővé teszi a személyes adatok alanyának meghatározását, legfeljebb a személyes adatok feldolgozásának céljaihoz szükséges ideig, ha a személyes adatok tárolásának időtartamát a szövetségi törvény nem határozza meg, olyan megállapodás, amelynek a kedvezményezett vagy a kezes fél, és amelynek értelmében az alany személyes adat. A kezelt személyes adatok megsemmisítésének vagy személytelenítésének vannak kitéve az adatkezelés céljainak elérésekor, vagy e célok elérése iránti igény elvesztése esetén, hacsak a szövetségi törvény másként nem rendelkezik.

Azokat a feltételeket, amelyeket a szervezetnek meg kell felelnie a személyes adatok feldolgozásának folyamata során, a "Személyes adatokról szóló" szövetségi törvény 6. cikke írja elő, és abból áll, hogy az üzemeltetőnek az alany személyes adatainak feldolgozása során joga van feldolgozni. csak az ő írásos beleegyezésével.
Bizonyos esetekben azonban nincs szükség ilyen hozzájárulásra. Így például, ha a személyes adatok feldolgozását különféle tudományos és statisztikai célokra végzik, a személyes adatok személytelenítésének kötelező feltételével. Vagy ha a személyes adatok kezelése az érintett személy egészsége, élete vagy egyéb létfontosságú érdekei miatt szükséges.

A személyes adatok kezelőjének kötelezettségei

A „Személyes adatokról” szóló 3 152 sz. szövetségi törvény 18. cikkének 4. fejezete teljes körű tájékoztatást tartalmaz arról, hogy mi az adatfeldolgozó felelőssége.
E törvénycikk kulcspontjait figyelembe véve a legfontosabb elvek közül több különíthető el.

Az üzemeltető köteles:

- a személyes adatok törvénnyel összhangban történő kezelése,
- jogszabályban meghatározott esetekben a személyes adatok tulajdonosának engedélye van,
- biztosítja a titoktartást,
- válaszoljon a tulajdonosnak a személyes adataira vonatkozó minden kérdésére a jogszabályban meghatározott határidőn belül,
- a személyes adatokat a feldolgozási határidő lejárta után semmisítse meg,
- értesítse a Roskomnadzor Osztályt a személyes adatok kezeléséről és az azok védelmére hozott intézkedésekről.

Ez a cikk azt is kimondja, hogy ha a személyes adatok tulajdonosa megtagadja a személyes adatok megadását, amelyeket a szövetségi törvény értelmében köteles megadni, az üzemeltetőnek el kell magyaráznia a tulajdonosnak az ilyen visszautasítás következményeit.

Szervezetek önálló tevékenysége a személyes adatok védelmében

A személyes adatok gyűjtése, feldolgozása és védelme az Orosz Föderációban engedélyezett tevékenység. A személyes adatok védelmét szolgáló módszerek kidolgozása az orosz FSB és az orosz FSTEC feladata.
A szervezet viszont ennek a munkának csak egy részét tudja elvégezni. Például gyűjtsön információkat. A többi munkavégzéshez a bizalmas információk műszaki védelméhez, valamint a kriptográfiai védelmi eszközök telepítéséhez engedély szükséges.

Személyes adatkezelési tevékenységek ellenőrzése

A személyes adatok jogszerű feldolgozását ellenőrző szervezet a Kommunikációs, Információtechnológiai és Tömegkommunikációs Szövetségi Felügyeleti Szolgálat (Roskomnadzor).
A Roskomnadzor állami ellenőrzést és felügyeletet végez a hatályos jogszabályok követelményeinek betartása felett a következő területeken:
- Tömegmédia, TVR műsorszórás és tömegkommunikáció - az Orosz Föderáció 1991. december 27-i 2124-1 számú, „A tömegkommunikációs eszközökről” szóló törvényének követelményei, valamint az engedély feltételeinek való megfelelés,
- kommunikáció - a 2003. július 7-i "A kommunikációról" szóló 126. szövetségi törvény követelményei, valamint a szabályzatok, beleértve az engedély érvényességét és a rádiófrekvenciás spektrum használatát,
- személyes adatok - 2006. július 27-i szövetségi törvény, 152. sz. "A személyes adatokról".

Az állami ellenőrzés és felügyelet végrehajtásának jogalapja a 2008. december 26-i 294. számú szövetségi törvény „A jogi személyek és egyéni vállalkozók jogainak védelméről az állami ellenőrzés (felügyelet) és az önkormányzati ellenőrzés végrehajtása során”.

A Roskomnadzor többféle vizsgálatot végez:

egy). Ütemezett ellenőrzés.
Ezt az ellenőrzést a Roszkomnadzor által készített és az ügyészség által jóváhagyott ellenőrzési terv alapján és pontos határidőn belül lehet lefolytatni. A "Kommunikációról" szóló szövetségi törvény 27. cikkének (4) bekezdése szerint a Roskomnadzornak legfeljebb háromévente van joga ilyen típusú ellenőrzést végezni.
A személyes adatok kezelésében részt vevő bármely szervezet bekerülhet a Roskomnadzor ellenőrzési tervébe.
Az ütemezett ellenőrzés lefolytatásának alapja az a tény, hogy a személyes adatok feldolgozója az adatkezelést megkezdte, ideértve az állami személyes adatkezelőként történő nyilvántartásba vételtől számított három év elteltét, vagy az üzemeltetővel kapcsolatos tervezett ellenőrzés befejezését követő három év elteltével. három évvel az előző tervezett ellenőrzéstől számítva.

2). Nem tervezett ellenőrzés.
Az ilyen típusú felülvizsgálat okai a következők:
– az azonosított szabálysértés megszüntetésére korábban kiadott végzés végrehajtásának ellenőrzése,
— a kötelező követelmények megsértésének feltárása szisztematikus megfigyelés eredményeként,
— az ügyész azon kötelezettsége, hogy a polgároktól, egyéni vállalkozóktól, jogi személyektől, állami és önkormányzati hatóságoktól kapott anyagok és az ügyészséghez benyújtott fellebbezések alapján előre nem tervezett ellenőrzést folytasson le,
- az Orosz Föderációt alkotó jogalanyok törvényes jogainak és érdekeinek megsértése a személyes adatok kezelésében részt vevő üzemeltetők tétlensége miatt,
- a Szolgálat vezetőjének utasítása, amelyet az Orosz Föderáció elnökének vagy az Orosz Föderáció kormányának utasításai szerint adnak ki.
Az ellenőrzést legfeljebb 20 munkanapon belül lefolytatják, ugyanakkor súlyos okok esetén a Roszkomnadzor Osztály vezetőjének utasítása alapján további 20 további munkavégzéssel meghosszabbítható. napok.
Ezenkívül az ellenőrzési tevékenységek a következő módszerek egyikével is végrehajthatók:
a) mezőben, azaz az ellenőrzés az ellenőrzött helyén történik.
b) az üzemeltető okirati, írásbeli felhívása a szükséges dokumentumok és információk megadására. Ha a dokumentumokat nem nyújtották be, és azokat a törvénynek feltétlenül meg kell tennie, ez pénzbírságot von maga után. Ha az adminisztratív bírságot nem fizették meg, az megduplázható.
c) szisztematikus megfigyelés, amelyet az ellenőrzött személlyel való interakció nélkül hajtanak végre, és az ellenőrzött személytől semmilyen okmány és információ nem szükséges. A Roszkomnadzor Területi Osztályának állami szakértői-felügyelői következtetéseket vonnak le az ellenőrzöttek tevékenységéről, meghatározatlan számú témakörben tett intézkedései alapján.

Felelősség a személyes adatok jogellenes kezeléséért

Az üzemeltető nem engedélyezheti a személyes és családi életre, titkos levelezésre, távirati, postai vagy egyéb üzenetekre, telefonbeszélgetésekre vonatkozó információk gyűjtését, tárolását, felhasználását és terjesztését, kivéve, ha erre bírósági határozat vagy jogalap van.

Az Üzemeltetőnek nincs joga a személyes adatokat abból a célból felhasználni, hogy az állampolgároknak erkölcsi és vagyoni kárt okozzon, valamint nehezítse szabadságaik és jogaik gyakorlását. Ezenkívül a személyes adatok kezelőjének nincs joga korlátozni az Orosz Föderáció állampolgárainak jogait, miközben nemzeti, faji, vallási, nyelvi vagy pártbeli hovatartozásra vonatkozó személyes adataikat használja fel.
Azok a magánszemélyek és jogi személyek, akik hatáskörüknek megfelelően az állampolgárokkal kapcsolatos személyes adatok birtokában vannak, és felhasználják azokat, miközben megsértik a „Személyes adatokról” szóló szövetségi törvényt, az Orosz Föderáció hatályos jogszabályai szerint felelősek ezért a cselekményért.

Azok a személyek, akik cselekedeteikkel megsértették a „Személyes adatokról” szóló szövetségi törvényt, polgári, közigazgatási, fegyelmi, büntetőjogi vagy egyéb, az Orosz Föderáció hatályos jogszabályai által előírt felelősséggel tartoznak.

Közigazgatási szabálysértési kódex (CAO):

A) 13.11. cikk Az állampolgárokra vonatkozó információk (személyes adatok) gyűjtésére, tárolására, felhasználására vagy terjesztésére vonatkozó, törvényben meghatározott eljárás megsértése. Ez a cikk figyelmeztetést vagy közigazgatási bírság kiszabását vonja maga után:
- állampolgárok 300-500 rubel összegben,
- tisztviselők 500-1000 rubel összegben,
- jogi személyek 5000-10000 rubel összegben.

B) 13.12. cikk Információvédelmi szabályok megsértése.
E cikk szerint a törvény megsértőire 500-30 ezer rubel közigazgatási bírságot szabnak ki. Ezenkívül a jogi személyeket elkobozhatják vagy 3 hónapra felfüggeszthetik a tevékenységüket.
C) 13.14. cikk Korlátozott hozzáférésű információk nyilvánosságra hozatala.
E cikk értelmében közigazgatási bírság kiszabására van lehetőség:
- állampolgárok 4-5 ezer rubel összegben.

D) 19.5. cikk Az állami felügyeletet (ellenőrzést) gyakorló szerv (hivatalnok) jogszabályi előírásának (rendelet, előterjesztés, határozat) időbeni be nem tartása.
A cikk megsértői 300 rubeltől 500 ezer rubelig terjedő közigazgatási bírsággal, vagy akár 3 évre szóló eltiltatással sújthatók.

Btk.

137. cikk A magánélet megsértése.
Ez a cikk kimondja, hogy az alany magánéletére vonatkozó, családi vagy személyes titkát képező információk beleegyezése nélküli illegális gyűjtéséért vagy terjesztéséért, illetve az ilyen információk médián keresztül történő terjesztéséért az alábbi formában kell felelősséget vállalni.
- legfeljebb 200 ezer rubel vagy 18 havi bérrel megegyező összegű bírság,
- Kötelező munkavégzés 360 óráig
- korrekciós munka 1 évig,
- legfeljebb 2 évig tartó kényszermunka,
– bizonyos tevékenységek végzésének eltiltása legfeljebb 3 évig,
- Legfeljebb 2 évig terjedő letartóztatás.

Munka Törvénykönyve (TC).

90. cikk Felelősség a munkavállaló személyes adatainak kezelésére és védelmére irányadó szabályok megsértéséért.
Ez a cikk az Orosz Föderáció Büntetőtörvénykönyve értelmében elbocsátás vagy büntetés lehetőségét írja elő.

A személyes adatok védelmére vonatkozó követelmények

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban a személyes adatok védelmére vonatkozó követelmények kötelezőnek minősülnek. Az üzemeltető a személyes adatok kezelése során köteles megtenni a szükséges jogi, szervezési és technikai intézkedéseket, illetve gondoskodni azok meghozataláról, hogy megvédje a személyes adatokat az azokhoz való jogosulatlan vagy véletlenszerű hozzáféréstől, a megsemmisítéstől, módosítástól, zárolástól, másolástól, a személyes adatok rendelkezésre bocsátásától, terjesztésétől, valamint a személyes adatokkal kapcsolatos egyéb jogellenes cselekményekből.

A személyes adatok biztonságának biztosítása megvalósul, különösen:

1) a személyes adatok biztonságát fenyegető veszélyek meghatározása a személyes adatok információs rendszerekben történő feldolgozása során;
2) a személyes adatok védelmére vonatkozó követelmények teljesítéséhez szükséges, a személyes adatok biztonságát biztosító szervezési és technikai intézkedések alkalmazása a személyes adatok információs rendszerekben történő kezelése során, amelyek végrehajtása biztosítja a személyes adatok védelmének az általa megállapított szintjeit. az Orosz Föderáció kormánya;
3) a megfelelőségértékelési eljáráson a megállapított eljárásnak megfelelően átesett információbiztonsági eszközök használata;
4) a személyes adatok biztonsága érdekében tett intézkedések eredményességének értékelése a személyes adatok információs rendszerének üzembe helyezése előtt;
5) figyelembe véve a személyes adatok gépi hordozóit;
6) a személyes adatokhoz való jogosulatlan hozzáférés tényeinek feltárása és intézkedések megtétele;
7) a jogosulatlan hozzáférés miatt módosított vagy megsemmisült személyes adatok helyreállítása;
8) a személyes adatok információs rendszerében kezelt személyes adatokhoz való hozzáférés szabályainak megállapítása, valamint a személyes adatokkal végzett valamennyi tevékenység nyilvántartásának és elszámolásának biztosítása a személyes adatok információs rendszerében.

A fenti célok elérése érdekében minden személyes adatot feldolgozó szervezetnek be kell tartania az alábbi követelményeket:

— megfeleljen a „Személyes adatokról” szóló 152. számú szövetségi törvény követelményeinek, miközben minden szükséges bizonyítékot megad a személyes adatok gyűjtésének és feldolgozásának jogszerűségére vonatkozóan,
– védelmet nyújt a személyes adatok jogosulatlan terjesztésével szemben,
– helyi szabályozó jogszabályokat és műszaki szervezeti dokumentációt dolgoz ki a személyes adatok szabályozott kezelésének biztosítására,
— értesítse a Roszkomnadzor Osztályt.

Ezen követelmények teljesítéséhez a következőket kell tennie:

1. Végezzen tanulmányt a személyes adatok gyűjtésének és feldolgozásának folyamatairól a vállalaton belül. Nevezetesen, hogy ezeket milyen helyen és milyen formában kezelik, milyen helyen tárolják, ki a felelős ezért és férhet hozzájuk, mi a személyes adatok forrása és hasonló kérdések. A személyes adatokkal kapcsolatos összes folyamatról teljes körű tájékoztatást kell gyűjteni.

2. Szükséges egy olyan dokumentumcsomag kidolgozása, amely a személyes adatok feldolgozásának folyamatához kapcsolódik, nevezetesen
A. A kategorizálás aktusa,
B. Személyes adatvédelmi rendszer létrehozásának koncepciója,
B. Fenyegetés modell,
D. Betolakodó modell,
D. Személyes adatvédelmi rendszer kiépítésének feladatköre,
E. Személyes adatvédelmi rendszer kiépítésének műszaki projektje (a műszaki terv magyarázó megjegyzése),
G. Szervezeti és adminisztratív dokumentáció.

Általánosságban elmondható, hogy egy átlagos szervezetben az iratok száma körülbelül 80 darab, beleértve a nyilvántartásokat és a megbízásokat is.

3. Műszaki védelmi eszközök megvalósítása a szervezetben, a kidolgozott dokumentáció szerint.

4. Végezze el az információs rendszerek megfelelőségértékelését vagy tanúsítását.

A tanúsítás és az értékelés speciálisan megállapított dokumentumok, amelyeknek köszönhetően a szervezetnek lehetősége van megerősíteni, hogy megfelel az Orosz Föderáció hatályos jogszabályai összes követelményének.

A személyes adatok kezelői számára jóváhagyott dokumentumok kidolgozásának alapja az Orosz Föderáció Szövetségi Műszaki és Exportellenőrzési Szolgálata (FSTEC) és az Orosz Föderáció Szövetségi Biztonsági Szolgálata (FSB), amelyet szabályozási módszertani dokumentumaik, ill. parancsokat.

Az egyik ilyen dokumentum:

A Szövetségi Műszaki és Exportellenőrzési Szolgálat (Oroszország FSTEC) 2010. február 5-i, 58. sz. rendelete "A személyes adatok információs rendszereiben található információk védelmére vonatkozó módszerekről és módszerekről szóló rendelet jóváhagyásáról".

Ebben a sorrendben minden szervezet számára előírják a személyes adatok illetéktelen hozzáférés elleni védelmének olyan módszereit és módjait, mint:
- engedélyezési rendszer megvalósítása a felhasználók (karbantartó személyzet) információforrásokhoz, az információs rendszerhez és a kapcsolódó munkákhoz és dokumentumokhoz való hozzáférésére;
- a felhasználók hozzáférésének korlátozása azon helyiségekbe, ahol a személyes adatok feldolgozását lehetővé tevő technikai eszközök, valamint adathordozók találhatók;
- a felhasználók és a karbantartó személyzet hozzáférésének elhatárolása az információs forrásokhoz, az információ feldolgozását (átadását) és védelmét szolgáló szoftvereszközökhöz;
- a felhasználók és a karbantartó személyzet tevékenységeinek nyilvántartása, a jogosulatlan hozzáférés és a felhasználók, karbantartó személyzet és illetéktelen személyek tevékenységének ellenőrzése;
- cserélhető adathordozók könyvelése, tárolása, forgalmazása, ide nem értve a lopást, cserét és megsemmisítést;
- technikai eszközök redundanciája, tömbök és információhordozók sokszorosítása;
olyan információbiztonsági eszközök használata, amelyek az előírt módon megfeleltek a megfelelőségértékelési eljáráson;
— biztonságos kommunikációs csatornák használata;
- a személyes adatok kezelését lehetővé tevő technikai eszközök elhelyezése a védett területen belül;
- a helyiségek fizikai védelmének és a személyes adatok kezelését lehetővé tevő műszaki eszközök megfelelő megszervezése;
— rosszindulatú programok (vírusprogramok) és szoftverkönyvjelzők információs rendszerekbe való bekerülésének megakadályozása.

A nemzetközi információcsere és információs rendszerek információs és távközlési hálózatai közötti interakció esetén az adatok illetéktelen hozzáférés elleni védelmének fő módszerei és eszközei a következők:

— tűzfal a hozzáférés szabályozására, a hálózati csomagok szűrésére és a hálózati címek fordítására az információs rendszer szerkezetének elrejtése érdekében;
- az információs rendszerbe történő olyan behatolások észlelése, amelyek megsértik a személyes adatok biztonságának biztosítására megállapított követelményeket, vagy megsértik annak előfeltételeit;
— az információs rendszerek biztonsági elemzése speciális szoftvereszközök (biztonsági szkennerek) használatával;
- az információ védelme kommunikációs csatornákon történő továbbítása során;
- intelligens kártyák, elektronikus zárak és egyéb információhordozók használata a felhasználók megbízható azonosítása és hitelesítése érdekében;
- vírusvédelem alkalmazása;
az információs rendszer személyes adatvédelmi rendszerének központosított kezelése;
— a bejövő (kimenő) hálózati csomagok szűrése az üzemeltető (jogosult személy) által meghatározott szabályok szerint;
— a telepített tűzfalak biztonságának időszakos elemzése az információs rendszerek elleni külső támadások utánzása alapján;
— az információs rendszer aktív biztonsági auditja a jogosulatlan hálózati tevékenységek valós idejű észlelésére;
— a nemzetközi információcsere (nyilvános kommunikációs hálózatok) információs és távközlési hálózatán keresztül kapott információk elemzése, beleértve a számítógépes vírusok jelenlétét;
— biztonsági attribútumok használata;
- kommunikációs csatorna kialakítása, amely biztosítja a továbbított információk védelmét;
- interakciós információs rendszerek hitelesítésének megvalósítása, valamint a felhasználói hitelesítés és a továbbított adatok integritásának ellenőrzése.

A szervezetekkel szemben támasztott további követelmények a következők:

- kommunikációs csatorna kialakítása, amely biztosítja a továbbított információk védelmét;
- kölcsönhatásban lévő információs rendszerek hitelesítése, valamint a felhasználói hitelesítés és a továbbított adatok integritásának ellenőrzése;
— annak megakadályozása, hogy a felhasználó megtagadja a személyes adatok másik felhasználónak való megküldését;
- annak biztosítása, hogy a felhasználó ne tagadja meg, hogy más felhasználótól személyes adatokat kapott.

Címkék: PDN 152-FZ

1. A személyes adatok feldolgozását az e szövetségi törvényben meghatározott elveknek és szabályoknak megfelelően kell végrehajtani. A személyes adatok kezelése az alábbi esetekben megengedett:

1) a személyes adatok feldolgozása a személyes adatok érintettjének személyes adatainak kezeléséhez való hozzájárulásával történik;

2) a személyes adatok feldolgozása az Orosz Föderáció nemzetközi szerződésében vagy törvényében meghatározott célok eléréséhez, az Orosz Föderáció jogszabályai által az üzemeltetőre ruházott funkciók, jogkörök és kötelezettségek gyakorlásához és teljesítéséhez szükséges;

3) a személyes adatok kezelése egy személynek alkotmányos, polgári, közigazgatási, büntetőeljárásban, választottbírósági eljárásban való részvételével összefüggésben történik;

3.1) a személyes adatok feldolgozása olyan bírósági cselekmény, más szerv vagy tisztviselő cselekményének végrehajtásához szükséges, amely az Orosz Föderáció végrehajtási eljárásokról szóló jogszabályai szerint végrehajtásra kerül (a továbbiakban: bírósági cselekmény végrehajtása). );

4) a személyes adatok feldolgozása szükséges a szövetségi végrehajtó testületek, az állami költségvetésen kívüli alapok szervei, az Orosz Föderációt alkotó jogalanyok végrehajtó szervei, a helyi önkormányzatok és a részt vevő szervezetek feladatköreinek gyakorlásához. az állami és önkormányzati szolgáltatások nyújtásában, amelyeket az N 210-FZ „Az állami és önkormányzati szolgáltatások nyújtásának megszervezéséről” szóló, 2010. július 27-i szövetségi törvény ír elő, beleértve a személyes adatok nyilvántartását az állami és önkormányzati szolgáltatások egyetlen portálján és (vagy) az állami és önkormányzati szolgáltatások regionális portálján;

(lásd az előző kiadás szövegét)

5) a személyes adatok kezelése olyan megállapodás teljesítéséhez szükséges, amelynek a személyes adatok alanya szerződő fél vagy kedvezményezettje vagy kezese, valamint a személyes adat alanya kezdeményezésére megállapodás megkötéséhez, vagy a személyes adatok alanya. mely személyes adatok alanya lesz a kedvezményezett vagy a kezes;

(lásd az előző kiadás szövegét)

6) a személyes adatok kezelése a személyes adat alanyának életének, egészségének vagy egyéb létfontosságú érdekeinek védelme érdekében szükséges, ha a személyes adatok alanyának hozzájárulása nem lehetséges;

7) a személyes adatok feldolgozása szükséges az üzemeltető vagy harmadik felek jogainak és jogos érdekeinek gyakorlásához, ideértve az „Az egyének jogainak és jogos érdekeinek védelméről szóló szövetségi törvényben meghatározott eseteket is” a lejárt tartozások visszatérítésére és a mikrofinanszírozási tevékenységekről és mikrofinanszírozási szervezetekről szóló szövetségi törvény módosításaira irányuló tevékenységek, vagy társadalmilag jelentős célok elérése érdekében, feltéve, hogy a személyes adatok alanyának jogait és szabadságait nem sértik;

(lásd az előző kiadás szövegét)

8) a személyes adatok kezelése az újságíró szakmai tevékenységéhez és (vagy) a média jogszerű tevékenységéhez vagy tudományos, irodalmi vagy egyéb alkotói tevékenységéhez szükséges, feltéve, hogy a személyes adatok alanya jogai és jogos érdekei nem sértik megsértették;

9) a személyes adatok feldolgozását statisztikai vagy egyéb kutatási célból végzik, az e szövetségi törvény 15. cikkében meghatározott célok kivételével, a személyes adatok kötelező személytelenítésének függvényében;

10) személyes adatok feldolgozására kerül sor, amelyhez a személyes adatok alanya vagy kérésére korlátlan számú hozzáférést biztosít (a továbbiakban - a személyes adat alanya által nyilvánosságra hozott személyes adat);

11) a közzétételhez vagy kötelező közzétételhez kötött személyes adatok szövetségi törvény szerinti feldolgozása megtörténik.

1.1. Az állami védelem tárgyai és családtagjaik személyes adatainak feldolgozása az 1996. május 27-i N 57-ФЗ „Az állami védelemről” című szövetségi törvényben meghatározott jellemzők figyelembevételével történik.

2. A személyes adatok különleges kategóriáinak, valamint a biometrikus személyes adatok feldolgozásának jellemzőit ennek a szövetségi törvénynek megfelelően állapítják meg.

3. Az üzemeltetőnek jogában áll a személyes adatok feldolgozását más személyre bízni a személyes adatok alanyának hozzájárulásával, hacsak a szövetségi törvény másként nem rendelkezik, az ezzel a személlyel kötött megállapodás alapján, beleértve az állami vagy önkormányzati szerződéssel, vagy állami vagy önkormányzati szerv erre vonatkozó aktusával (a továbbiakban - üzemeltetői utasítás). Az a személy, aki az üzemeltető nevében személyes adatokat dolgoz fel, köteles betartani a személyes adatok kezelésére vonatkozó, a jelen szövetségi törvényben előírt elveket és szabályokat. Az üzemeltető utasításában meg kell határozni a személyes adatokkal a személyes adatokkal végrehajtandó műveletek (műveletek) listáját, valamint az adatkezelés céljait, az ilyen személy kötelezettségét a személyes adatok titkosságának megőrzésére és a biztonság biztosítására. E szövetségi törvény 19. cikkével összhangban meg kell határozni a feldolgozott személyes adatok védelmére vonatkozó követelményeket.

4. Az üzemeltető megbízásából személyes adatokat feldolgozó személynek nem kell beszereznie az érintett hozzájárulását személyes adatainak kezeléséhez.

5. Ha az üzemeltető a személyes adatok feldolgozásával mást bíz meg, az üzemeltető felel a személyes adatok alanyával szemben az említett személy cselekedeteiért. Az üzemeltetővel szemben az a személy tartozik felelősséggel, aki az üzemeltető nevében személyes adatokat kezel.

Betöltés...Betöltés...