Ostatnio coraz częściej jesteśmy proszeni o złożenie naszego podpisu pod hasłem „O zgodzie na wykorzystanie i przetwarzanie danych osobowych”: we wszelkich instytucjach społecznych, finansowych, użyteczności publicznej, przy zatrudnianiu. Żądają naszej „dobrowolnej zgody” dziś na uniwersytetach, w szkołach, przedszkolach, przychodniach, a nawet w bibliotekach! Sklepy, kompleksy hotelowe i restauracyjne nie pozostają w tyle – aby otrzymać kartę rabatową należy wypełnić i podpisać ankietę, w której na dole drobnym drukiem jest wyrażona zgoda na przetwarzanie danych osobowych. Dlaczego jest to konieczne: w celu nieszkodliwej księgowości lub przekształcenia osoby w bezsilną aplikację w światowym systemie elektronicznym? Rozwiążmy to.

Co to są dane osobowe osoby i kto ich potrzebuje?

Tak więc pojęcie „danych osobowych osoby” obejmuje nie tylko jego imię, nazwisko, nazwisko i adres rejestracyjny, jak zwykliśmy to rozumieć. To całkowicie wszystkie informacje, które bezpośrednio lub pośrednio odnoszą się do konkretnej osoby: dane biometryczne, informacje o stanie zdrowia i cechach fizjologicznych, narodowości, religii, składzie rodziny, przeszłości kryminalnej, informacji o zatrudnieniu, dochodach finansowych i tak dalej.

W 2005 roku Rosja zatwierdziła Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Następnie przyjęto ustawę federalną (FZ-nr 152) „O danych osobowych”, której główne przepisy są powtórzone w powyższym akcie międzynarodowym. Większość ludzi uważa, że ​​prawo zapewnia ochronę danych osobowych. Ale czy tak jest naprawdę?

Szczególnie niepokojące w dokumencie jest takie pojęcie, jak „automatyczne przetwarzanie danych”, które przewiduje zarówno gromadzenie, jak i przechowywanie danych osobowych oraz ich przekazywanie osobom trzecim i wykorzystywanie do różnych celów. Prawo do wykonywania tych czynności przysługuje tzw. operatorowi, którym mogą być osoby prawne lub fizyczne, agencje rządowe, organizacje komercyjne.

Ale naszym głównym operatorem jest struktura handlowa OJSC „Universal Electronic Card”. To ona ma prawo do ustalania składu danych osobowych, celów ich przetwarzania oraz dokonywania na nich wszelkich działań.

Co kryje się za pojęciami „wykorzystywania” i „przetwarzania” danych osobowych?

Wydawałoby się, dlaczego szpitale, placówki oświatowe, wydziały mieszkaniowe, pracodawcy muszą udzielać tak pełnej informacji o sobie, swoich rodzinach, sytuacji finansowej, skoro całkiem niedawno nie było takiej potrzeby? Tak ścisłe zbieranie wszystkich danych osobowych rozpoczęło się wraz z przyjęciem ustawy federalnej nr 210 „O organizacji świadczenia usług państwowych i komunalnych”, po której w pełni weszła w życie wcześniej przyjęta ustawa „O danych osobowych”.

Kto tego potrzebuje? Oczywiście nie do struktur społecznych i komercyjnych – są tylko narzędziem do zbierania informacji. Wszystkie dane będą rejestrowane bezpośrednio od głównego operatora - UEC OJSC, który planuje wkrótce dostarczyć wszystkim obywatelom dokumenty elektroniczne i rozpocząć aktywne, dokładne przetwarzanie każdej osoby.

A co oznaczają słowa „przetwarzanie” i „używanie”? Obywatele rozumieją tę koncepcję jako banalne gromadzenie i przechowywanie informacji. Na co tak naprawdę zgadza się osoba?

W ust. 3 części 1 art. 3 ustawy federalnej nr 152 jest to wskazane w następujący sposób:

„Przetwarzanie” obejmuje każdą czynność (operację) lub zestaw czynności (operacji) wykonywanych z użyciem lub bez użycia narzędzi automatyzacji z danymi osobowymi, w tym gromadzenie, rejestrowanie, systematyzację, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), wyodrębnianie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie, dostęp), DEWSKAZANIE, BLOKOWANIE, USUWANIE, NISZCZENIE DANYCH OSOBOWYCH.

W ten sposób ludzie dobrowolnie przekazują w niepowołane ręce pozwolenie na zarządzanie swoim życiem osobistym. Teraz główny operator, dostarczając Ci w przyszłości elektroniczny dokument biometryczny, będzie miał wszystkie pełne informacje dotyczące Twojego zdrowia, obecności krewnych, płatności socjalnych, zrealizowanych transakcji, podatków, zakupów domowych, a nawet ruchu! A jeśli jako właściciel uniwersalnej karty elektronicznej nie zgadzasz się z niektórymi działaniami operatora, może on po prostu zablokować wszystkie twoje dane lub całkowicie je zniszczyć, jako prawowity właściciel twoich danych osobowych. W końcu z góry zgodziłeś się na możliwość zastosowania takich środków dla siebie!

Jak to działa dzisiaj?

Aktywny proces przetwarzania danych osobowych dopiero zaczyna zakorzeniać się w naszym codziennym życiu, ale niektórzy obywatele już doświadczyli konsekwencji takich działań prawnych.

W związku z tym niektóre placówki edukacyjne w kraju wymagają obowiązkowej zgody na przetwarzanie danych osobowych.Według komentarzy studentów, jeśli odmówią wyrażenia zgody, po prostu nie będą mogli zdawać egzaminów i nie otrzymają dyplomów.

Sytuacja dotyczy również części państwowych placówek medycznych, gdzie obywatel jest zobowiązany do przekazania szpitalowi nie tylko informacji o stanie zdrowia i numeru polisy medycznej, ale także numeru ubezpieczenia indywidualnego konta osobistego w Funduszu Emerytalnym (SNILS) - główny klucz dostępu do baz informacyjnych JSC "UEC". W formularzu „Zgoda Pacjenta na Przetwarzanie Danych Osobowych” znajduje się wzmianka, że ​​w przypadku odmowy wyrażenia zgody, przychodnia ma prawo odmówić świadczenia usług medycznych na rzecz pacjenta.

To samo dotyczy wszelkich innych instytucji publicznych i komercyjnych, które wymagają od swoich klientów zgody na przetwarzanie i wykorzystywanie danych osobowych, argumentując, że jest to niezbędne do dokumentacji księgowej, kadrowej lub wojskowej. Jak zachować się w takich sytuacjach – czytaj dalej.

Co jeśli pracodawca nalega na podpisanie zgody na wykorzystanie Twoich danych osobowych i czy ma do tego prawo?

Zgodnie z prawem wszelkie czynności związane z danymi osobowymi pracownika mogą być dokonywane wyłącznie za jego pisemną zgodą. Pracodawca ma obowiązek poinformować przyszłego pracownika przed podpisem, w jakim celu i w jakiej kolejności przekazane mu informacje będą przechowywane i wykorzystywane, a także o możliwości odmowy lub w przyszłości cofnięcia zgody na przetwarzanie danych osobowych.

Zgodnie z art. 5.27 i art. 5.39 rosyjskiego kodeksu wykroczeń administracyjnych przewiduje odpowiedzialność administracyjną za naruszenie zasad przechowywania i przetwarzania danych osobowych pracowników. W przypadku naruszenia prawa kierownictwo firmy jest zobowiązane do naprawienia szkody materialnej wyrządzonej pracownikowi z powodu nielegalnego wykorzystania jego danych osobowych.

Jeżeli nieświadomie podpisałeś zgodę na wykorzystanie Twoich danych osobowych, teraz wiesz, że masz prawo do jej cofnięcia. Recenzja może być dokonana w dowolnej formie, ale z obowiązkowym powołaniem się na obowiązujące przepisy prawa. Oto przykład takiego stwierdzenia:

Dyrektor Generalny LLC ___________
Od ________________
Zarejestrowany pod adresem:
___________________________
Dane paszportowe: ________

Wycofanie zgody
do przetwarzania danych osobowych

I, imię i nazwisko, zgodnie z częścią 1 art. 9 ustawy federalnej z dnia 27 lipca 2006 r. Nr. nr 152-FZ „O danych osobowych”, cofam zgodę na przetwarzanie moich danych osobowych przez spółkę z ograniczoną odpowiedzialnością „__________”.
Proszę o zaprzestanie przetwarzania moich danych osobowych w ciągu trzydziestu dni roboczych od daty otrzymania niniejszej opinii.

Data. Podpis.

Niektórzy prawnicy uważają, że odpowiedź na przetwarzanie danych osobowych niczego nie rozwiązuje, ponieważ do czasu jej napisania wszystkie informacje o osobie zostały już wprowadzone do niezbędnych elektronicznych baz danych w celu dalszego wykorzystania. Ale przynajmniej wypełnisz swój obowiązek jako prawosławny chrześcijanin i być może spowolnisz proces dalszej aktualizacji swoich danych osobowych.

Jak zgodnie z prawem odmówić zbierania danych osobowych w przedszkolach i szkołach?

W ostatnim czasie rodzice zaalarmowali, bo administracja placówek przedszkolnych i wychowawczych faktycznie wymusza na nich podpisanie zgody na przetwarzanie i wykorzystywanie danych osobowych dziecka i członków jego rodziny. Czy to oznacza, że ​​musisz dobrowolnie zrzec się prawa do nienaruszalności życia prywatnego i rodzinnego? W końcu automatyczne przetwarzanie danych osobowych umożliwia przekazywanie zebranych informacji podmiotom trzecim bez ograniczeń.

Pamiętaj, że wyrażenie lub nie wyrażenie zgody jest Twoim prawem, a nie obowiązkiem. Poniżej podajemy przykładowe oświadczenie o odmowie przekazania danych osobowych dziecka do dalszego przetwarzania:

Do administracji szkoły/przedszkola nr
od__________________________________

OŚWIADCZENIE

Ja, ____________________________________, będąc prawnym przedstawicielem mojego dziecka _________________________________, oświadczam kategoryczną odmowę udzielenia jakichkolwiek informacji o życiu prywatnym mojego dziecka lub mojej rodziny zgodnie z art. 23 ust. 1 Konstytucji Federacji Rosyjskiej („Każdy ma prawo do prywatności, tajemnicy osobistej i rodzinnej, ochrony honoru i dobrego imienia”).
Zabraniam również stosowania jakichkolwiek testów i ankiet psychologicznych w stosunku do mojego dziecka, zabraniam zmuszania mojego dziecka do udziału w tych testach i ankietach, zabraniam zbierania informacji o różnych aspektach życia mojego dziecka i mojej rodziny. Uważam za konieczne poinformować, że złamanie przez Ciebie mojego zakazu podlega art. 137 ust. 2 Kodeksu karnego Federacji Rosyjskiej („Naruszenie prywatności przy użyciu swojego oficjalnego stanowiska”), biorąc pod uwagę art. Federacji Rosyjskiej („Okoliczności zaostrzające karę”).
Korzystając z okazji, uważam za swój obowiązek zadeklarowanie przekonania, że ​​wszelkie działania mające na celu zbieranie informacji o dzieciach, rodzicach i ich rodzinach mają ostatecznie na celu zniszczenie instytucji rodziny w naszym kraju, co jest aktem antypaństwowym.

„____” „________________________” 20___ _____________________
(osobisty podpis)

Oczywiście należy rozumieć, że szkoła musi posiadać podstawowe dane osobowe o każdym uczniu w celu zorganizowania procesu edukacyjnego. Zgodnie z prawem, gdy dzieci uczęszczają do szkoły, odpowiada za nie administracja tej placówki oświatowej. Dlatego jeśli zajdzie potrzeba przekazania określonych informacji o dziecku, zorganizuj ten proces poprawnie, posługując się następującym przykładem oświadczenia:

Przykładowa zgoda na przetwarzanie danych osobowych przez szkołę, co nie stwarza ryzyka naruszenia praw rodziny.

ZGODA PRZEDSTAWICIELA
W CELU PRZETWARZANIA DANYCH OSOBOWYCH MAŁOLETNICH

Ja, ______________________________________________________________ (pełne imię i nazwisko),
zamieszkały w ____________________________________________________________, Paszport nr _____________________________ wystawiony (przez kogo i kiedy) _____________________________
______________________________________________________________________________
Jestem przedstawicielem ustawowym małoletniego ____________________________________ (imię i nazwisko) na podstawie art. 64 s. 1 Kodeksu rodzinnego Federacji Rosyjskiej.
Wyrażam zgodę na przetwarzanie w Państwowej Placówce Oświatowej Liceum Nr ________ danych osobowych mojego małoletniego dziecka _______________, odnoszących się wyłącznie do poniższych kategorii danych osobowych:

• informacje dotyczące aktu urodzenia;
• dane karty medycznej;
• adres dziecka;
• ocena postępów dziecka;
• praca wychowawcza dziecka.

Wyrażam zgodę na wykorzystanie danych osobowych mojego dziecka wyłącznie w następujących celach:

• zapewnienie organizacji procesu edukacyjnego dla dziecka;
• prowadzenie statystyk.

Zgoda ta jest udzielana pracownikom Państwowej Placówki Wychowawczej Liceum nr ____ na wykonywanie następujących czynności w stosunku do danych osobowych dziecka: zbieranie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie (wyłącznie w celu w powyższych celach), depersonalizacja, zablokowanie (nie obejmuje możliwości ograniczenia dostępu do danych osobowych dziecka), niszczenie. Nie wyrażam zgody na jakiekolwiek rozpowszechnianie danych osobowych dziecka, w tym przekazywanie danych osobowych dziecka jakimkolwiek podmiotom trzecim, w tym osobom fizycznym i prawnym, instytucjom, w tym organizacjom zewnętrznym oraz osobom zaangażowanym przez Państwową Placówkę Wychowawczą Liceum Ogólnokształcące nr ______ w celu realizacji przetwarzania danych osobowych, organów państwowych i samorządowych. Wyrażam zgodę na przetwarzanie danych osobowych dziecka wyłącznie w sposób niezautomatyzowany i nie wyrażam zgody na ich przetwarzanie w sposób zautomatyzowany.
Zabraniam przetwarzania danych osobowych dziecka w jakimkolwiek innym celu i w jakikolwiek inny sposób, w tym rozpowszechniania i przekazywania osobom trzecim. W każdym indywidualnym przypadku jest to możliwe tylko za moją wyraźną pisemną zgodą.
Niniejsza Zgoda jest ważna do czasu realizacji celów przetwarzania danych osobowych w Państwowej Placówce Oświatowej Liceum Nr ______ lub do odwołania niniejszej Zgody. Niniejsza zgoda może zostać cofnięta w dowolnym momencie na moją pisemną prośbę.
Potwierdzam, że wyrażając tę ​​zgodę, działam z własnej woli i w najlepszym interesie dziecka, którego jestem prawnym przedstawicielem.

Data: __.__._____
Podpis: ________________________ (______________________)

Jak napisać odmowę przetwarzania danych osobowych?

Jak już dowiedzieliśmy się, celem zautomatyzowanej rejestracji danych osobowych obywateli nie jest gwarancja praw ludzi, ale wyłączna władza nad nimi. To kolejny etap budowy systemu zarządzania ludźmi.

W lutym 2014 r. na stronie Patriarchatu Moskiewskiego pojawiła się informacja o apelu patriarchy Moskwy i Wszechrusi Cyryla do Prezydenta Federacji Rosyjskiej Władimira Putina z prośbą o podjęcie działań legislacyjnych, które zapewniłyby prawo do korzystania z tradycyjnych dowody osobiste i sposoby ich zapisywania na papierze, a także zapewniają prawne gwarancje istnienia, wyposażenia technicznego i finansowania tradycyjnego systemu księgowego.

Administracja Prezydenta Federacji Rosyjskiej wysłała odpowiedź na apel Patriarchy o następującej treści:

„... Dzieląc się swoim zaniepokojeniem niechęcią niektórych obywateli Rosji do uzyskania innego rodzaju paszportu - dokumentu nowej generacji zawierającego elektroniczne nośniki informacji, uważam, że można zauważyć, że każda forma zmuszania ludzi do używania elektronicznych identyfikatorów osobistych jest zautomatyzowana niedopuszczalne są sposoby zbierania, przetwarzania i księgowania danych osobowych, informacji o charakterze poufnym...”.

Dawno temu ortodoksyjni starsi i duchowni ostrzegali, że ludzie zostaną oszukani przy pomocy „oczywistych kłamstw i potwornego oszustwa”.

Jeżeli chcesz samodzielnie zarządzać swoim życiem, a nie dawać tego prawa obcym, to zamiast podpisywania zgody na przetwarzanie Twoich danych osobowych, radzimy wypełnić wniosek, którego wzór prezentujemy poniżej:

OŚWIADCZENIE

w sprawie odmowy podpisania „Zgody na przetwarzanie danych osobowych”
(na podstawie artykułów Konstytucji Federacji Rosyjskiej 2, 3, 15, 18, 23, 24, art. 12 Kodeksu cywilnego Federacji Rosyjskiej)

................................................. . ............... Poproszono mnie o podpisanie Zgody na Przetwarzanie
(data)
dane osobowe” dla ............................................. ............... .................................. ................................................... .............. ................
(określ, do czego służy „Zgoda”)
Nie wyrażam zgody na przetwarzanie moich danych osobowych z następujących powodów:
1. Obowiązkowe uzyskanie zgody na przetwarzanie danych osobowych, gdy ..............................

(określić: świadczenie opieki medycznej, wypłata świadczeń, realizacja transakcji itp.)
...................................................................................................................................................
sprzeczne z Konstytucją Federacji Rosyjskiej, która gwarantuje obywatelom to prawo bez żadnych warunków. Zgodnie z art. 2, 15, 18 prawa i wolności człowieka są najwyższą wartością, Konstytucja Federacji Rosyjskiej ma najwyższą moc prawną i bezpośredni skutek.
2. Zgoda na przetwarzanie moich danych osobowych (dane osobowe moich dzieci)
..........................................................................................................................................................................
(określ, jeśli w ogóle)
..........................................................................................................................................................................
wbrew moim interesom i interesom mojej rodziny.
Zgodnie z art. 9 ustawy federalnej nr 152-FZ „O danych osobowych”, podmiot danych osobowych postanawia przekazać swoje dane osobowe i wyraża zgodę na ich przetwarzanie z własnej woli i we własnym interesie.
Zgodnie z ustawą nr 152-FZ dane osobowe to wszelkie informacje dotyczące osoby. Pojęcie „przetwarzania” obejmuje wszelkie działania operatora na danych osobowych: zbieranie, rejestrowanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), odzyskiwanie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie, dostęp, w tym przekazywanie osobom trzecim i transgraniczny), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.
W 2009 roku dokonano zmian w nr 152-FZ „O danych osobowych”, które zniosły obowiązek operatorów ochrony kryptograficznej (szyfrowania) danych osobowych.
W przypadku korzystania z danych osobowych Operator ma prawo do podejmowania decyzji lub podejmowania innych działań wywołujących skutki prawne w stosunku do mnie lub innych osób jako podmiotów danych osobowych.
Poprzez uzyskanie zgody osoby na przetwarzanie danych osobowych – wszelkich informacji o mnie i mojej rodzinie – operator staje się ich pełnym właścicielem.
Formalne zdanie formularza o prawie do cofnięcia zgody na przetwarzanie danych osobowych niczego nie rozwiązuje, gdyż operator do czasu cofnięcia Zgody ma już możliwość skorzystania w pełni ze swoich uprawnień.
Zgoda na przetwarzanie danych osobowych czyni osobę potencjalnym obiektem jakiejkolwiek manipulacji przestępczej, ponieważ nikt nie ponosi odpowiedzialności za stan moralny operatorów.
3. Uzyskanie zgody „na przetwarzanie danych osobowych – wszelkie informacje o osobie” narusza przepisy art. 23, 24 Konstytucji Federacji Rosyjskiej, które gwarantują obywatelom prawo do prywatności, tajemnicy osobistej i rodzinnej, ochronę ich honor i dobre imię.
4. Zaoferowany mi formularz „Zgody” narusza zasady art. 5 „Zasady przetwarzania danych osobowych” nr 152-FZ „O danych osobowych”: o niedopuszczalności łączenia baz danych zawierających dane osobowe, których przetwarzanie jest prowadzone w celach, które są ze sobą niezgodne; w sprawie przetwarzania tylko tych danych osobowych, które spełniają cele ich przetwarzania; zgodności treści i zakresu przetwarzanych danych osobowych z deklarowanymi celami przetwarzania; o niedopuszczalności redundancji przetwarzanych danych osobowych w stosunku do wskazanych celów ich przetwarzania.
Z powyższych powodów odmawiam wyrażenia zgody na takie przetwarzanie moich danych osobowych (danych osobowych moich dzieci) i proszę o poszanowanie moich konstytucyjnych praw i wolności. Moje dane osobowe wymagane do użytku wewnętrznego są już do Twojej dyspozycji.
Zostałem (a) ostrzeżony (a) że w przypadku odmowy podpisania „Zgody” będę .......................... .................... .............................. ................... .............................. .............................. ..............................
(konsekwencje odmowy podpisania Zgody)
Jeśli ta groźba zostanie zrealizowana, proszę o umotywowaną pisemną odpowiedź, w której będę musiał odwołać się od nielegalnych działań urzędnika (pracownika) i zrekompensować szkody materialne i moralne.

Z poważaniem,
„____” _____________ 20___

24 lutego 2016 o 17:35

Podstawy przetwarzania danych osobowych

• Blog firmowy Zartsyn i partnerzy,
• Prawodawstwo w IT,
• Patentowanie

Zaczęliśmy już rozmawiać o danych osobowych, ich gromadzeniu i przetwarzaniu. Ale możemy o tym mówić bez końca i będziemy kontynuować. Ostatnim razem rozmawialiśmy o zmianach w prawie, ale nie wzięliśmy pod uwagę najważniejszego – NIE PRZECZYTAŁEŚ SAMO PRAWA!.. A sądząc po opiniach, informacja ta wymaga dokładniejszego przestudiowania.
Dlatego kilkakrotnie ponownie czytamy wszystkie prawa i uzupełnienia do nich. Zrobili z tego coś w rodzaju wyciśnięcia. Jasno punkt po punkcie opisując główne normy i wymagania.

Podstawy podstaw

„Przetwarzanie danych osobowych opiera się na zasadach legalności i rzetelności”- mówi FZ-152 „O danych osobowych”. Z tych pojęć opierają się pozostałe zasady, odzwierciedlające istotę przetwarzania danych osobowych jako procesu. A oto, o czym musisz pamiętać:

1. Przetwarzanie danych osobowych musi być zgodne z celami zbierania danych osobowych;
Oznacza to, że Podmiot przetwarzania PD (kupujący, klient, pracownik itp.) musi zostać powiadomiony o celach przetwarzania. Dlatego cele muszą znaleźć odzwierciedlenie w formie pisemnej zgody na przetwarzanie danych osobowych.

2. Nie należy łączyć baz danych zawierających dane osobowe, których przetwarzanie odbywa się w niezgodnych celach;
Tutaj wszystko jest oczywiste: nie należy łączyć baz danych osobowych zawierających np. informacje fiskalne o pracownikach firmy oraz baz danych osobowych klientów firmy.

3. Ilość przetwarzanych danych osobowych nie powinna być nadmierna w stosunku do celów ich przetwarzania;
Okazuje się, że sklep internetowy sprzedający skarpetki może przetwarzać dane osobowe kupujących, które mogą zawierać informacje o preferencjach, działaniach marketingowych, ale dane osobowe kupującego, wskazujące, że ma np. choroby, będą ewidentnie zbędne.

4. Podczas przetwarzania danych osobowych należy zapewnić ich dokładność, wystarczalność i istotność w odniesieniu do celów przetwarzania;
Jest to konieczne przede wszystkim dla wysokiej jakości i terminowego wykonania wszelkich prawnie istotnych czynności, w których wykorzystywane są dane osobowe. Na przykład do bezpośredniego zakupu towarów.

5. Przechowywanie danych osobowych powinno odbywać się nie dłużej niż wymagają tego cele przetwarzania danych osobowych.
Przetwarzane dane osobowe podlegają zniszczeniu lub depersonalizacji po osiągnięciu celów przetwarzania lub w przypadku utraty konieczności realizacji tych celów. Oznacza to, że jeśli sklep internetowy jest zamknięty, to bazy danych osobowych jego klientów nie można pozostawić „wrogom”, należy ją przynajmniej zdepersonalizować.

Etapy pracy z danymi osobowymi

1. Kolekcja
Przy zbieraniu danych osobowych od odwiedzających witrynę zalecamy w każdym przypadku wskazanie:

• nazwa operatora;
• cel przetwarzania danych osobowych i jego podstawa prawna;
• przewidywani użytkownicy danych osobowych;
• ustawowe prawa podmiotu danych osobowych;
• źródło danych osobowych.

Ponadto na żądanie obywatela operator przetwarzania danych osobowych musi dostarczyć:

• Potwierdzenie faktu przetwarzania danych osobowych przez operatora;
• nazwę i lokalizację operatora, informacje o osobach, które mają dostęp do danych osobowych lub którym dane osobowe mogą zostać ujawnione na podstawie umowy z operatorem lub na podstawie prawa federalnego;
• Warunki przetwarzania danych osobowych;
• Informacje o dokonanym lub proponowanym transgranicznym przekazywaniu danych;

2. Przechowywanie
Przechowywanie i nagrywanie, systematyzacja, gromadzenie, wyjaśnianie powinny odbywać się na terytorium Federacji Rosyjskiej - wszyscy już o tym wiedzą. Przechowywanie danych osobowych może odbywać się w dowolnej formie, w tym papierowej.
Przetwarzanie danych osobowych może odbywać się za granicą, jeżeli baza danych w Federacji Rosyjskiej zawiera taką samą lub większą ilość danych osobowych.

3. Użycie
Pamiętać! Czynności wykonywane na zebranych danych osobowych muszą być realizowane ściśle zgodnie z celami, dla których zostały przekazane.
To znaczy, jeśli dane zostały zebrane podczas kupowania skarpet w sklepie internetowym „A”, to należy je wykorzystać wyłącznie do sprzedaży sklepu „A”, któremu dane te zostały pozostawione. Jeśli dane te zostaną wykorzystane do sprzedaży mieszkań na innym zasobie, zostanie to już uznane za nielegalne wykorzystanie danych osobowych.

4. Blokowanie
Jeżeli podmiot stwierdził, że jego dane są wykorzystywane niezgodnie z prawem i wystąpił do Ciebie z roszczeniem (lub jego przedstawicielem/odpowiednim organem), to jesteś zobowiązany do zablokowania jego danych osobowych i sprawdzenia legalności ich wykorzystania. Jeżeli dane te są przetwarzane przez kontrahenta, to jesteś zobowiązany zrobić wszystko, aby zablokować i zweryfikować dane wnioskodawcy.
Jesteś zobowiązany zrobić to samo w przypadku, gdy podmiot stwierdził nieścisłości w swoich danych.
Blokowanie powinno być dokonywane od momentu wniesienia takiego odwołania lub otrzymania wniosku o czas weryfikacji, o ile zablokowanie danych osobowych nie narusza praw i uzasadnionych interesów podmiotu danych osobowych lub osób trzecich.

5. Zniszczenie
Jednak Twoim obowiązkiem jest zniszczenie danych lub zapewnienie zakończenia korzystania w przypadku wycofania zgody. Również, jeśli przechowywanie danych osobowych nie jest już wymagane do celów przetwarzania danych osobowych.
Wszystko to musi nastąpić w terminie nie dłuższym niż trzydzieści dni od daty otrzymania wycofania, chyba że umowa stanowi inaczej.

Przypomnijmy, że naruszenie ustanowionej prawem procedury gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania informacji o obywatelach pociąga za sobą ostrzeżenie lub nałożenie grzywny administracyjnej:

• dla obywateli w wysokości od trzystu do pięciuset rubli;
• na urzędników - od pięciuset do tysiąca rubli;
• dla osób prawnych - od pięciu tysięcy do dziesięciu tysięcy rubli.

Same kwoty są niewielkie, ale sam fakt zwrócenia uwagi organów nadzoru może prowadzić do znacznie poważniejszych problemów.

PREMIA

Transgraniczny transfer danych jest możliwy, nikt tego nie zakazał.
Ale musisz

• przechowywać i aktualizować wszystkie dane na serwerach w Federacji Rosyjskiej (baza podstawowa)
• wskazać w „Umowie powierzenia przetwarzania danych osobowych”, że planujesz przekazać te dane do innego kraju i w jakich konkretnie celach (czy konkretny kraj nie jest wskazany w prawie)

Operator, któremu przekazywane są te bazy danych, odpowiada za wykorzystanie przekazanych danych.

Zapewnienie zdalnego dostępu do baz danych znajdujących się na terytorium Federacji Rosyjskiej z terytorium innego państwa FZ-242 nie jest zabronione.

To wszystko, koledzy. Niech miłosierdzie Eru będzie z tobą!

Przetwarzanie danych osobowych bez zgody podmiotu jest możliwe tylko w przypadkach określonych przepisami prawa. Wykorzystanie takich informacji z naruszeniem procedury lub bez uzasadnionych podstaw pociąga za sobą pociągnięcie sprawców do odpowiedzialności cywilnej, pracowniczej, administracyjnej i karnej.

W jakich przypadkach dozwolone jest przekazywanie osobom trzecim i inne przetwarzanie danych osobowych na temat podmiotu?

Ustawa „O danych osobowych” z dnia 27 lipca 2006 r. nr 152-FZ ustanowiła 2 opcje, w których przetwarzanie danych osobowych obywatela (podmiotu) jest legalne:

1. Po otrzymaniu jego zgody na to.
2. Bez uzyskania zgody w następujących przypadkach:
   • wykorzystywanie informacji przez inne osoby dla potrzeb osobistych i rodzinnych, o ile nie narusza to praw obywatela;
   • wprowadzanie danych osobowych do bazy danych Funduszu Archiwalnego Rosji;
   • podjęcie decyzji o utajnieniu informacji jako tajemnicy państwowej (w tym przypadku zgoda podmiotu nie jest wymagana do utajnienia informacji o nim);
   • konieczność wykorzystania informacji w celu realizacji przez Rosję warunków międzynarodowych traktatów i praw;
   • udział osoby w procesie postępowania sądowego i w związku z takim udziałem;
   • wykorzystanie do wykonania czynności sądowej lub postanowienia dokumentu przyjętego przez organy postępowania egzekucyjnego;
   • odbiór przez osobę służb miejskich lub państwowych;
   • uznanie przez osobę informacji o sobie jako publicznie dostępnych;
   • zawarcie i wykonanie umowy, w której podmiot występuje jako strona lub beneficjent;
   • niemożność uzyskania zgody w przypadku zagrożenia życia, zdrowia, ważnych interesów osoby;
   • realizacja praw, zapewnienie interesów operatora (przetwarzającego informacje) lub osób trzecich, osiąganie celów istotnych społecznie;
   • prowadzenie działalności zawodowej przez dziennikarzy i media, działalność twórczą, gdy nie narusza to praw człowieka;
   • wykorzystywania zdepersonalizowanych informacji o osobie do celów badawczych i statystycznych, z wyjątkiem kampanii politycznych, promocji towarów, usług i dzieł na rynku;
   • konieczność obowiązkowego ujawnienia, publikacja danych na podstawie instrukcji prawa (np. urzędnicy mają obowiązek ujawnienia informacji o swoich dochodach).

Procedura przetwarzania (przechowywania, dystrybucji itp.) informacji bez uzyskania zgody podmiotu

Ogólna procedura przetwarzania przez operatorów danych osobowych obywateli bez ich specjalnego zezwolenia jest następująca:

1. Operator, o ile istnieją podstawy prawne, otrzymuje informację. Nie jest wymagane powiadamianie osoby o rozpoczęciu przetwarzania jego informacji, ale w niektórych przypadkach powiadomienie jest wysyłane do Roskomnadzor.
2. Operator wykonuje niezbędne czynności (zbiera, ewidencjonuje, przekazuje, wyjaśnia itp.). Jak stwierdzono w art. 5 ustawy nr 152-FZ, działania użytkownika są ograniczone do celu przetwarzania.
3. Po osiągnięciu celów lub po ustaniu potrzeby użytkowania dane są niszczone lub depersonalizowane.

Dodatkowym etapem może być zakwestionowanie przez jednostkę legalności wykorzystania informacji o niej. Organem rozstrzygającym spory jest (do wyboru obywatela) sąd lub Roskomnadzor. W toku rozwiązywania konfliktu operator przedstawia dowody na istnienie okoliczności, które pozwalają mu na wykorzystanie danych bez zgody lub wbrew zakazowi obywatela.

Odpowiedzialność operatora

W przypadku naruszenia przez operatora procedury i warunków przetwarzania danych osobowych może on zostać pociągnięty do odpowiedzialności za różnego rodzaju odpowiedzialność:

Rodzaj odpowiedzialności	Przykład naruszenia	Kara	Podstawa prawna
cywilny	Wyrządzanie krzywdy moralnej	Wypłata odszkodowania	Sztuka. 24 ustawy nr 152-FZ, art. 1099 GK
Dyscyplinarny	Ujawnienie danych osobowych innego pracownika	Zwolnienie
	Naruszenie prawa przy przetwarzaniu informacji	Pociągnięcie do odpowiedzialności dyscyplinarnej i finansowej
Administracyjny	Przetwarzanie danych niezgodnie z celem gromadzenia danych	obywatele - 1000-3000 rubli; urzędnicy - 5 000-10 000 rubli; organizacje - 30 000-50 000 rubli.	Część 1 art. 13.11 Kodeks Administracyjny
Kryminalista	Naruszenie prywatności	Sankcja alternatywna: grzywna do 200 000 rubli, obowiązkowa praca do 360 godzin, poprawcze - do 1 roku, obowiązkowy - do 2 lat, kara pozbawienia wolności do 2 lat itp.	Część 1 art. 137 Wielka Brytania
	Odmowa lub oszustwo ze strony urzędnika przy przekazywaniu obywatelowi informacji o nim	Grzywna (200 000 rubli lub dochód do półtora roku) lub pozbawienie prawa do wykonywania niektórych czynności przez 2-5 lat
	Dostęp do informacji komputerowych bez prawa do tego	grzywna (200 000 rubli lub dochód do półtora roku), praca poprawcza do roku lub praca przymusowa, ograniczenie lub kara pozbawienia wolności do 2 lat	Część 1 art. 272 Wielka Brytania

Zatem przetwarzanie informacji bez zgody podmiotu jest możliwe, jeśli operatorowi przyznano takie prawo z mocy prawa. Wykorzystywanie informacji w tym przypadku powinno odbywać się w zakresie niezbędnym do realizacji celów operatora, po czym dane są niszczone lub depersonalizowane. Osoba, która uważa, że ​​jej dane osobowe zostały wykorzystane niezgodnie z prawem, ma prawo wystąpić do sądu lub Roskomnadzoru.

Nie znasz swoich praw?

Proces przetwarzania danych osobowych każdego obywatela jest określony w ustawie federalnej nr 152-FZ „O danych osobowych”. Początkowo ustawa ta została uchwalona 27 lipca 2006 r., a później została poddana różnym zmianom i uzupełnieniom.

Ustawa „O danych osobowych” reguluje stosunki między organami państwowymi, gminnymi, osobami fizycznymi i prawnymi w zakresie przetwarzania i ochrony danych osobowych, które odbywają się za pomocą narzędzi automatyzacji lub bez nich.

Celem tej ustawy jest zapewnienie ochrony wolności i praw obywateli za pomocą środków prawnych przy przetwarzaniu ich danych osobowych, w tym prywatności, tajemnicy rodzinnej i osobistej.

Która organizacja podlega wymogom ustawy federalnej „O danych osobowych”?

Każda organizacja ma możliwość nie regulowania swoich działań zgodnie z rozdziałem 1 art. 2 ustawy federalnej nr 152-FZ „O danych osobowych” dotyczącej przetwarzania danych osobowych, w takich przypadkach jak:

1. Przetwarzanie danych osobowych przez osoby fizyczne wyłącznie dla potrzeb osobistych i rodzinnych, o ile prawa osób, których dane dotyczą, nie są naruszane;
2. Organizacje przechowywania, pozyskiwania, księgowania i wykorzystywania dokumentów Funduszu Archiwalnego Federacji Rosyjskiej oraz innych dokumentów archiwalnych zawierających dane osobowe zgodnie z ustawodawstwem o archiwizacji w Federacji Rosyjskiej;
3. Przetwarzanie danych osobowych sklasyfikowanych zgodnie z ustaloną procedurą jako informacje stanowiące tajemnicę państwową;
4. Udzielanie przez uprawnione organy informacji o działalności sądów w Federacji Rosyjskiej zgodnie z ustawą federalną z dnia 22 grudnia 2008 r. N 262-FZ „O zapewnieniu dostępu do informacji o działalności sądów w Federacji Rosyjskiej” .

Gdy organizacja nie podlega powyższym punktom, musi koniecznie spełniać wymagania prawa. Wszystkie inne sprawy związane z gromadzeniem, przetwarzaniem i przechowywaniem danych osobowych są regulowane zgodnie z ustawą federalną nr 152 „O danych osobowych”. Prawie wszystkie organizacje podlegają tym wymogom, ponieważ prawie wszystkie firmy w taki czy inny sposób przetwarzają dane osobowe swoich pracowników lub innych osób. Wszystkie dane osobowe muszą być ściśle poufne.

W celu zminimalizowania ryzyka roszczeń ze strony właścicieli danych osobowych oraz organów rządowych konieczne jest wykonanie szeregu prac uzasadniających konieczność przetwarzania danych osobowych. Niezbędne jest również spełnienie wymagań dotyczących zapewnienia poufności zarówno przy przetwarzaniu niezautomatyzowanym, jak i w przypadku przetwarzania danych osobowych w systemach informatycznych.

Dane osobowe - co to jest?

W rozdziale 1, art. 3 ustawy federalnej „o danych osobowych” znajduje się definicja danych osobowych:

- dane osobowe – wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych).

Może to być nazwisko, imię, nazwisko, adres zamieszkania i e-mail, numery kontaktowe, miejsce zamieszkania, wyznanie, stan cywilny, zdjęcia, informacje o krewnych i wiele innych. Każda organizacja posiadająca takie informacje jest zobowiązana do ochrony systemów informatycznych, w których te dane mają być przechowywane.

Gromadzenie, przechowywanie i przetwarzanie danych osobowych

W przypadku konieczności uzyskania danych osobowych pracownika lub innej osoby, organizacja ma prawo zbierać je bezpośrednio od samego podmiotu. Jeżeli informacje można uzyskać tylko od osób trzecich, podmiot musi zostać powiadomiony, a także musi wyrazić pisemną zgodę na tę procedurę. Z kolei operator ma obowiązek powiadomić obywatela o celach, jakie realizuje przy otrzymywaniu i przetwarzaniu jego danych osobowych.

Wszystko, co dotyczy podstaw prawnych przetwarzania danych osobowych, zostało określone w rozdziale 2, art. 6, ust. 1 nr 152 ustawy federalnej „O danych osobowych”:

1) przetwarzanie danych osobowych odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych;
2) przetwarzanie danych osobowych jest niezbędne do osiągnięcia celów przewidzianych w umowie międzynarodowej Federacji Rosyjskiej lub w prawie, do realizacji i wypełniania funkcji, uprawnień i obowiązków nałożonych przez ustawodawstwo Federacji Rosyjskiej na operatora ;
3) przetwarzanie danych osobowych jest niezbędne do sprawowania wymiaru sprawiedliwości, wykonania aktu sądowego, aktu innego organu lub urzędnika podlegającego egzekucji zgodnie z ustawodawstwem Federacji Rosyjskiej o postępowaniu egzekucyjnym (zwanym dalej wykonanie czynności sądowej);
4) przetwarzanie danych osobowych jest niezbędne do świadczenia usług państwowych lub komunalnych zgodnie z ustawą federalną z dnia 27 lipca 2010 r. N 210-FZ „O organizacji świadczenia usług państwowych i komunalnych”, w celu zapewnienia świadczenia takiej usługi, w celu zarejestrowania podmiotu danych osobowych na jednym portalu usług państwowych i gminnych;
5) przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną lub beneficjentem lub poręczycielem jest podmiot danych osobowych, a także do zawarcia umowy z inicjatywy podmiotu danych osobowych lub umowy na podstawie którego przedmiotem danych osobowych będzie korzystający lub poręczyciel;
6) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;
7) przetwarzanie danych osobowych jest niezbędne do realizacji praw i prawnie uzasadnionych interesów operatora lub osób trzecich lub do realizacji istotnych społecznie celów, pod warunkiem nienaruszania praw i wolności osoby, której dane dotyczą;
8) przetwarzanie danych osobowych jest niezbędne do wykonywania działalności zawodowej dziennikarza i (lub) zgodnej z prawem działalności mediów lub działalności naukowej, literackiej lub innej twórczej, o ile prawa i prawnie uzasadnione interesy podmiotu danych osobowych nie są naruszone;
9) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach badawczych, z wyjątkiem celów określonych w art. 15 niniejszej Ustawy Federalnej, z zastrzeżeniem obowiązkowej depersonalizacji danych osobowych;
10) odbywa się przetwarzanie danych osobowych, dostęp nieograniczonej liczby osób, któremu udziela podmiot danych osobowych lub na jego żądanie (zwane dalej danymi osobowymi upublicznianymi przez podmiot danych osobowych);
11) przeprowadzane jest przetwarzanie danych osobowych podlegających publikacji lub obowiązkowemu ujawnieniu zgodnie z prawem federalnym.

Jeśli organizacja przetwarza dane osobowe, które są sprzeczne z powyższymi paragrafami, stanowi to naruszenie prawa federalnego.

Organizacja jest zobowiązana do zapewnienia poufności dostępnych danych osobowych zgodnie z art. 7 ustawy federalnej „O danych osobowych”. Wyjątkiem są przypadki, gdy dane osobowe są anonimizowane lub gdy są publicznie dostępne.
Artykuł 8 stanowi, że mogą istnieć publicznie dostępne źródła danych osobowych. Mogą zawierać nazwisko, imię, nazwisko, kraj i rok urodzenia, adres zamieszkania, numer telefonu, informacje o zawodzie lub inne dane osobowe podmiotu, które podaje za jego pisemną zgodą. Należą do nich na przykład książki telefoniczne lub książki adresowe. Informacje te mogą zostać pozbawione dostępności decyzją podmiotu lub uprawnionych organów państwowych.

Zasady i warunki przetwarzania danych osobowych

W procesie przetwarzania danych osobowych każda organizacja musi przestrzegać zasad określonych w rozdziale 2 art. 5 ustawy federalnej „O danych osobowych”:

1. Przetwarzanie danych osobowych musi odbywać się w sposób zgodny z prawem i rzetelny.
2. Przetwarzanie danych osobowych powinno ograniczać się do osiągnięcia określonych, z góry określonych i prawnie uzasadnionych celów. Niedozwolone jest przetwarzanie danych osobowych niezgodnych z celami zbierania danych osobowych.
3. Niedozwolone jest łączenie baz danych zawierających dane osobowe, których przetwarzanie odbywa się w celach niezgodnych ze sobą.
4. Przetwarzaniu podlegają wyłącznie dane osobowe zgodne z celami ich przetwarzania.
5. Treść i zakres przetwarzanych danych osobowych musi być zgodny z podanymi celami przetwarzania. Przetwarzane dane osobowe nie powinny być nadmierne w stosunku do wskazanych celów ich przetwarzania.
6. Podczas przetwarzania danych osobowych należy zapewnić dokładność danych osobowych, ich wystarczalność oraz, w razie potrzeby, ich aktualność w odniesieniu do celów przetwarzania danych osobowych. Operator musi podjąć niezbędne środki lub zapewnić, że zostaną one podjęte w celu usunięcia lub wyjaśnienia niekompletnych lub niedokładnych danych.
7. Przechowywanie danych osobowych powinno odbywać się w formie umożliwiającej ustalenie przedmiotu danych osobowych, nie dłużej niż wymagają tego cele przetwarzania danych osobowych, jeżeli okres przechowywania danych osobowych nie jest określony przepisami prawa federalnego, umowy, której stroną jest korzystający lub poręczyciel, której przedmiotem są dane osobowe. Przetwarzane dane osobowe podlegają zniszczeniu lub depersonalizacji po osiągnięciu celów przetwarzania lub w przypadku utraty konieczności realizacji tych celów, chyba że prawo federalne stanowi inaczej.

Warunki, które organizacja musi spełnić w procesie przetwarzania danych osobowych, są określone w art. 6 ustawy federalnej „O danych osobowych” i polegają na tym, że operator, przetwarzając dane osobowe podmiotu, ma prawo do przetwarzania je tylko za jego pisemną zgodą.
Jednak w niektórych przypadkach taka zgoda nie jest wymagana. Na przykład, jeśli przetwarzanie danych osobowych odbywa się w różnych celach naukowych i statystycznych z obowiązkowym warunkiem depersonalizacji danych osobowych. Lub gdy przetwarzanie danych osobowych jest niezbędne ze względu na zdrowie, życie lub inne żywotne interesy podmiotu tych danych.

Obowiązki operatora danych osobowych

Rozdział 4 art. 18 ustawy federalnej nr 3152 „O danych osobowych” zawiera pełne informacje na temat odpowiedzialności podmiotu przetwarzającego dane.
Biorąc pod uwagę kluczowe punkty tego artykułu ustawy, można wyróżnić kilka najważniejszych zasad.

Operator jest zobowiązany:

– przetwarzania danych osobowych zgodnie z prawem,
— mieć zgodę właściciela danych osobowych w przypadkach przewidzianych prawem,
- zapewnić poufność,
– odpowiedzieć na wszystkie pytania właściciela dotyczące jego danych osobowych, w terminie określonym przepisami prawa,
– niszczyć dane osobowe po upływie terminów ich przetwarzania,
- powiadomić Departament Roskomnadzor o przetwarzaniu danych osobowych oraz o środkach, jakie podejmuje w celu ich ochrony.

Artykuł ten stanowi również, że jeśli właściciel danych osobowych odmówi podania danych osobowych, które ma obowiązek podać zgodnie z prawem federalnym, operator musi wyjaśnić właścicielowi konsekwencje takiej odmowy.

Samodzielne działania organizacji w zakresie ochrony danych osobowych

Gromadzenie, przetwarzanie i ochrona danych osobowych w Federacji Rosyjskiej jest działalnością licencjonowaną. Za opracowanie metod ochrony danych osobowych odpowiada FSB Rosji i FSTEC Rosji.
Z kolei organizacja może wykonać tylko część tej pracy. Na przykład zbieraj informacje. Pozostała część pracy wymaga licencji na techniczną ochronę poufnych informacji, a także na instalację narzędzi ochrony kryptograficznej.

Weryfikacja czynności przetwarzania danych osobowych

Organizacja, która sprawdza, czy przetwarzanie danych osobowych jest zgodne z prawem, nazywa się Federalna Służba Nadzoru Komunikacji, Informatyki i Komunikacji Masowej (Roskomnadzor).
Roskomnadzor prowadzi państwową kontrolę i nadzór nad przestrzeganiem wymagań obowiązujących przepisów w zakresie:
- Środki masowego przekazu, nadawanie TVR i środki masowego przekazu – wymagania ustawy Federacji Rosyjskiej nr 2124-1 z dnia 27 grudnia 1991 r. „O środkach masowego komunikowania”, a także przestrzeganie warunków koncesji,
- komunikacja - wymagania ustawy federalnej nr 126 z dnia 7 lipca 2003 r. „O komunikacji”, a także regulaminy, w tym ważność licencji i wykorzystanie widma częstotliwości radiowej,
- dane osobowe - Ustawa federalna z dnia 27 lipca 2006 r. nr 152 „O danych osobowych”.

Podstawą prawną realizacji kontroli i nadzoru państwowego jest ustawa federalna z dnia 26 grudnia 2008 r. nr 294 „O ochronie praw osób prawnych i przedsiębiorców indywidualnych w wykonywaniu kontroli państwowej (nadzoru) i kontroli gminnej”.

Roskomnadzor przeprowadza kilka rodzajów inspekcji:

jeden). Zaplanowana kontrola.
Kontrolę tę można przeprowadzić na podstawie iw dokładnym terminie określonym w planie kontroli przygotowanym przez Roskomnadzor i zatwierdzonym przez prokuraturę. Zgodnie z art. 27 ust. 4 ustawy federalnej „O komunikacji” Roskomnadzor ma prawo do przeprowadzania tego rodzaju audytu nie częściej niż raz na 3 lata.
Każda organizacja zajmująca się przetwarzaniem danych osobowych może zostać uwzględniona w Planie kontroli Roskomnadzor.
Podstawą przeprowadzenia planowej kontroli jest fakt, że operator przetwarzania danych osobowych rozpoczął przetwarzanie, w tym upływ trzech lat od dnia rejestracji państwowej jako operator danych osobowych lub zakończenia kontroli planowej w stosunku do operatora po trzy lata od poprzedniej zaplanowanej kontroli.

2). Nieplanowany czek.
Powody tego typu recenzji to:
– weryfikacja wykonania wydanego wcześniej nakazu usunięcia stwierdzonego naruszenia,
— wykrywanie naruszeń wymagań obowiązkowych w wyniku systematycznej obserwacji,
— wymóg przeprowadzenia przez prokuratora kontroli pozaplanowej na podstawie otrzymanych materiałów oraz odwołań do prokuratury od obywateli, przedsiębiorców indywidualnych, osób prawnych, władz państwowych i gminnych,
— naruszenie praw i interesów podmiotów Federacji Rosyjskiej z powodu bezczynności operatorów zajmujących się przetwarzaniem danych osobowych,
- zarządzenie szefa Służby, wydawane zgodnie z instrukcjami Prezydenta Federacji Rosyjskiej lub Rządu Federacji Rosyjskiej.
Kontrolę przeprowadza się w terminie nie dłuższym niż 20 dni roboczych, ale jednocześnie, w przypadku poważnych przyczyn, może zostać przedłużona na podstawie zarządzenia kierownika Departamentu Roskomnadzor o kolejne 20 dodatkowych prac dni.
Ponadto czynności weryfikacyjne można przeprowadzić jedną z następujących metod:
a) pole, tj. sprawdzenie odbywa się w miejscu sprawdzanego.
b) dokumentowy, pisemny wniosek operatora o dostarczenie niezbędnych dokumentów i informacji. Jeśli dokumenty nie zostały dostarczone, a ich dostarczenie musi być bezwzględnie przewidziane przez prawo, pociąga to za sobą grzywnę. Jeśli grzywna administracyjna nie została zapłacona, można ją podwoić.
c) systematyczna obserwacja, prowadzona bez interakcji z osobą sprawdzaną, a od osoby sprawdzanej nie są wymagane żadne dokumenty i informacje. Specjaliści państwowi-inspektorzy Departamentu Terytorialnego Roskomnadzor wyciągają wnioski z działalności kontrolowanego na podstawie jego działań w stosunku do nieokreślonego zakresu tematów.

Odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych

Operator nie może zezwalać na gromadzenie, przechowywanie, wykorzystywanie i rozpowszechnianie informacji dotyczących życia osobistego i rodzinnego, tajnej korespondencji, wiadomości telegraficznych, pocztowych lub innych, rozmów telefonicznych, chyba że istnieje orzeczenie sądu lub podstawa prawna do tych działań.

Operator nie ma prawa do wykorzystywania danych osobowych w celu wyrządzenia obywatelom szkód moralnych i majątkowych, a także utrudniania korzystania z ich wolności i praw. Ponadto administrator danych osobowych nie ma prawa ograniczać praw obywateli Federacji Rosyjskiej w zakresie wykorzystywania ich danych osobowych odnoszących się do przynależności narodowej, rasowej, religijnej, językowej lub partyjnej.
Osoby fizyczne i prawne, które zgodnie ze swoimi uprawnieniami posiadają jakiekolwiek prywatne informacje o obywatelach, wykorzystują je, naruszając ustawę federalną „O danych osobowych”, ponoszą odpowiedzialność za ten akt zgodnie z obowiązującym ustawodawstwem Federacji Rosyjskiej.

Osoby, które swoimi działaniami naruszyły ustawę federalną „O danych osobowych”, ponoszą odpowiedzialność cywilną, administracyjną, dyscyplinarną, karną lub inną przewidzianą w obowiązującym ustawodawstwie Federacji Rosyjskiej.

Kodeks naruszeń administracyjnych (CAO):

A) Artykuł 13.11 Naruszenie ustanowionej przez prawo procedury gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania informacji o obywatelach (dane osobowe). Artykuł ten dotyczy ostrzeżenia lub nałożenia kary administracyjnej na:
- obywatele w wysokości 300-500 rubli,
- urzędnicy w wysokości 500-1000 rubli,
- osoby prawne w wysokości 5000-10000 rubli.

B) art. 13.12 Naruszenie zasad ochrony informacji.
Zgodnie z tym artykułem na osoby naruszające prawo nakładana jest grzywna administracyjna w wysokości od 500 do 30 tysięcy rubli. Ponadto osoby prawne mogą podlegać konfiskacie lub administracyjnemu zawieszeniu działalności na okres 3 miesięcy.
C) artykuł 13.14 Ujawnianie informacji o ograniczonym dostępie.
Zgodnie z tym artykułem istnieje możliwość nałożenia kary administracyjnej na:
- obywatele w wysokości od 4 do 5 tysięcy rubli.

D) Art. 19.5 Niewykonanie w terminie nakazu prawnego (rozporządzenia, przedstawienia, decyzji) organu (urzędnika) sprawującego nadzór (kontrolę) państwa.
Osoby naruszające ten artykuł podlegają karze administracyjnej w wysokości od 300 rubli do 500 tysięcy rubli lub dyskwalifikacji na okres do 3 lat.

Kodeks karny (CC).

Artykuł 137 Naruszenie prywatności.
Artykuł ten stanowi, że za nielegalne zbieranie lub rozpowszechnianie informacji o życiu prywatnym podmiotu, stanowiących jego tajemnicę rodzinną lub osobistą, bez jego zgody, lub rozpowszechnianie takich informacji za pośrednictwem mediów, ponosi odpowiedzialność w postaci:
- grzywna do 200 tysięcy rubli lub w kwocie równej wynagrodzeniu przez 18 miesięcy,
- Praca obowiązkowa do 360 godzin
- poród korekcyjny do 1 roku,
- praca przymusowa do 2 lat,
– zakaz wykonywania niektórych czynności do 3 lat,
- Aresztowanie do 2 lat.

Kodeks pracy (KT).

Artykuł 90 Odpowiedzialność za naruszenie przepisów regulujących przetwarzanie i ochronę danych osobowych pracownika.
Artykuł ten przewiduje karę w postaci zwolnienia lub możliwości kary zgodnie z Kodeksem karnym Federacji Rosyjskiej.

Wymagania dotyczące ochrony danych osobowych

Zgodnie z art. 19 ustawy federalnej „O danych osobowych” wymagania dotyczące ochrony danych osobowych są uważane za obowiązkowe. Operator, przetwarzając dane osobowe, jest zobowiązany podjąć niezbędne środki prawne, organizacyjne i techniczne lub zapewnić ich podjęcie w celu ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem danych osobowych, a także z innych nielegalnych działań dotyczących danych osobowych.

Zapewnienie bezpieczeństwa danych osobowych osiąga się w szczególności:

1) określenie zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych;
2) stosowanie środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych niezbędnych do spełnienia wymagań ochrony danych osobowych, których wdrożenie zapewnia poziomy ochrony danych osobowych ustalone przez rząd Federacji Rosyjskiej;
3) stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą;
4) ocenę skuteczności środków podjętych w celu zapewnienia bezpieczeństwa danych osobowych przed uruchomieniem systemu informatycznego danych osobowych;
5) z uwzględnieniem maszynowych nośników danych osobowych;
6) wykrywanie faktów nieuprawnionego dostępu do danych osobowych i podejmowanie działań;
7) odzyskania danych osobowych zmodyfikowanych lub zniszczonych w wyniku nieuprawnionego dostępu do nich;
8) ustalenie zasad dostępu do danych osobowych przetwarzanych w systemie teleinformatycznym danych osobowych oraz zapewnienie rejestracji i rozliczania wszelkich czynności wykonywanych z danymi osobowymi w systemie teleinformatycznym danych osobowych.

Aby osiągnąć powyższe cele, wszystkie organizacje przetwarzające dane osobowe muszą spełniać następujące wymagania:

— przestrzegać wymogów ustawy federalnej nr 152 „O danych osobowych”, zapewniając jednocześnie wszelkie niezbędne dowody legalności gromadzenia i przetwarzania danych osobowych,
— zapewnić ochronę przed nieuprawnionym rozpowszechnianiem danych osobowych,
— opracowywać lokalne akty prawne i techniczną dokumentację organizacyjną w celu zapewnienia regulowanego przetwarzania danych osobowych,
— zawiadomić Departament Roskomnadzoru.

Aby spełnić te wymagania, musisz wykonać następujące czynności:

1. Przeprowadź badanie procesów gromadzenia i przetwarzania danych osobowych w firmie. Mianowicie, w jakim miejscu i w jakiej formie są przetwarzane, w jakim miejscu są przechowywane, kto jest za to odpowiedzialny i ma do nich dostęp, skąd pochodzą dane osobowe i tym podobne pytania. Niezbędne jest zebranie pełnych informacji o wszystkich procesach związanych z danymi osobowymi.

2. Niezbędne jest opracowanie pakietu dokumentów związanych z procesem przetwarzania danych osobowych, a mianowicie:
A. Akt kategoryzacji,
B. Koncepcja stworzenia systemu ochrony danych osobowych,
B. Model zagrożenia,
D. model intruza,
D. SIWZ budowy systemu ochrony danych osobowych,
E. Projekt techniczny (nota wyjaśniająca do projektu technicznego) budowy systemu ochrony danych osobowych,
G. Dokumentacja organizacyjno-administracyjna.

Ogólnie rzecz biorąc, liczba dokumentów w przeciętnej organizacji to około 80 sztuk, w tym rejestry i zamówienia.

3. Wdrożyć techniczne środki ochrony w organizacji, zgodnie z opracowaną dokumentacją.

4. Przeprowadzić ocenę zgodności lub certyfikację systemów informatycznych.

Certyfikacja i ocena to specjalnie ustalone dokumenty, dzięki którym organizacja ma możliwość potwierdzenia, że ​​spełnia wszystkie wymagania obowiązującego ustawodawstwa Federacji Rosyjskiej.

Podstawą opracowania zatwierdzonych dokumentów dla operatorów danych osobowych jest Federalna Służba Kontroli Technicznej i Eksportowej Federacji Rosyjskiej (FSTEC) oraz Federalna Służba Bezpieczeństwa Federacji Rosyjskiej (FSB), która jest określona w ich regulacyjnych dokumentach metodologicznych i Zamówienia.

Jednym z tych dokumentów jest:

Zarządzenie Federalnej Służby ds. Kontroli Technicznej i Eksportu (FSTEC Rosji) z dnia 5 lutego 2010 r. Nr 58 „W sprawie zatwierdzenia przepisów dotyczących metod i metod ochrony informacji w systemach informacyjnych danych osobowych”.

W tej kolejności dla wszystkich organizacji określone są takie metody i sposoby ochrony danych osobowych przed nieuprawnionym dostępem, jak:
- wdrożenie systemu pozwoleń na dostęp użytkowników (personelu obsługi) do zasobów informacyjnych, systemu informacyjnego oraz związanych z nimi prac i dokumentów;
- ograniczenie dostępu użytkowników do pomieszczeń, w których znajdują się środki techniczne umożliwiające przetwarzanie danych osobowych, a także nośniki pamięci;
- wyznaczenie dostępu dla użytkowników i personelu obsługi do zasobów informacyjnych, narzędzi programowych do przetwarzania (przesyłania) i ochrony informacji;
- rejestracja działań użytkowników i konserwatorów, kontrola dostępu osób nieuprawnionych oraz działań użytkowników, konserwatorów i osób nieuprawnionych;
- księgowanie i przechowywanie nośników wymiennych oraz ich obieg, z wyłączeniem kradzieży, podmiany i zniszczenia;
- redundancja środków technicznych, powielanie tablic i nośników informacji;
korzystanie z narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności w określony sposób;
— korzystanie z bezpiecznych kanałów komunikacji;
- umieszczenie na obszarze chronionym środków technicznych pozwalających na przetwarzanie danych osobowych;
- organizacji ochrony fizycznej pomieszczeń i właściwych środków technicznych, pozwalających na przetwarzanie danych osobowych;
- zapobieganie wprowadzaniu szkodliwych programów (programów wirusowych) i zakładek oprogramowania do systemów informatycznych.

Do głównych metod i środków ochrony danych przed nieuprawnionym dostępem w przypadku interakcji pomiędzy sieciami informacyjnymi i telekomunikacyjnymi międzynarodowej wymiany informacji i systemami informacyjnymi należą:

— firewall w celu kontroli dostępu, filtrowania pakietów sieciowych i tłumaczenia adresów sieciowych w celu ukrycia struktury systemu informacyjnego;
- wykrywanie włamań do systemu informatycznego, które naruszają lub stwarzają przesłanki do naruszenia ustalonych wymagań dla zapewnienia bezpieczeństwa danych osobowych;
— analiza bezpieczeństwa systemów informatycznych, polegająca na wykorzystaniu specjalistycznych narzędzi programowych (skanery bezpieczeństwa);
- ochrona informacji podczas jej przesyłania kanałami komunikacyjnymi;
- wykorzystanie kart inteligentnych, zamków elektronicznych i innych nośników informacji do niezawodnej identyfikacji i uwierzytelniania użytkowników;
- korzystanie z ochrony antywirusowej;
scentralizowane zarządzanie systemem ochrony danych osobowych systemu informatycznego;
— filtrowanie przychodzących (wychodzących) pakietów sieciowych według zasad ustalonych przez operatora (osobę upoważnioną);
— okresowa analiza bezpieczeństwa zainstalowanych zapór ogniowych oparta na imitacji ataków zewnętrznych na systemy informatyczne;
— aktywny audyt bezpieczeństwa systemu informatycznego w celu wykrywania w czasie rzeczywistym nieautoryzowanej aktywności sieciowej;
— analiza informacji otrzymywanych za pośrednictwem sieci informacyjnych i telekomunikacyjnych międzynarodowej wymiany informacji (publicznych sieci komunikacyjnych), w tym pod kątem obecności wirusów komputerowych;
— wykorzystanie atrybutów bezpieczeństwa;
- stworzenie kanału komunikacyjnego zapewniającego ochronę przesyłanych informacji;
- wdrożenie uwierzytelniania współpracujących systemów informatycznych oraz weryfikacja uwierzytelniania użytkowników i integralności przesyłanych danych.

Dodatkowe wymagania dla organizacji obejmują:

- stworzenie kanału komunikacyjnego zapewniającego ochronę przesyłanych informacji;
- uwierzytelnianie współpracujących systemów informatycznych oraz weryfikacja uwierzytelnienia użytkownika i integralności przesyłanych danych;
— zapewnienie zapobiegania możliwości zaprzeczenia przez użytkownika faktu przesłania danych osobowych innemu użytkownikowi;
- zapewnienie, że użytkownik nie zaprzecza faktowi otrzymania danych osobowych od innego użytkownika.

Tagi: PDN 152-FZ

1. Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami i przepisami przewidzianymi w niniejszej Ustawie Federalnej. Przetwarzanie danych osobowych jest dozwolone w następujących przypadkach:

1) przetwarzanie danych osobowych odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych;

2) przetwarzanie danych osobowych jest niezbędne do realizacji celów określonych w umowie międzynarodowej Federacji Rosyjskiej lub w prawie, do wykonywania i wypełniania funkcji, uprawnień i obowiązków przyznanych operatorowi przez ustawodawstwo Federacji Rosyjskiej;

3) przetwarzanie danych osobowych odbywa się w związku z udziałem osoby w postępowaniu konstytucyjnym, cywilnym, administracyjnym, karnym, postępowaniu przed sądami polubownymi;

3.1) przetwarzanie danych osobowych jest niezbędne do wykonania aktu sądowego, aktu innego organu lub urzędnika podlegającego egzekucji zgodnie z ustawodawstwem Federacji Rosyjskiej w sprawie postępowania egzekucyjnego (zwane dalej wykonaniem aktu sądowego );

4) przetwarzanie danych osobowych jest niezbędne do wykonywania uprawnień federalnych organów wykonawczych, organów państwowych funduszy pozabudżetowych, organów wykonawczych władzy państwowej podmiotów Federacji Rosyjskiej, samorządów lokalnych oraz funkcji organizacji uczestniczących w świadczeniu usług państwowych i komunalnych, przewidzianych odpowiednio w ustawie federalnej z dnia 27 lipca 2010 r. N 210-FZ „O organizacji świadczenia usług państwowych i komunalnych”, w tym rejestracji danych osobowych podmiot na jednym portalu usług państwowych i komunalnych oraz (lub) portalach regionalnych usług państwowych i komunalnych;

(patrz tekst w poprzednim wydaniu)

5) przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną lub beneficjentem lub poręczycielem jest podmiot danych osobowych, a także do zawarcia umowy z inicjatywy podmiotu danych osobowych lub umowy na podstawie którego przedmiotem danych osobowych będzie korzystający lub poręczyciel;

(patrz tekst w poprzednim wydaniu)

6) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

7) przetwarzanie danych osobowych jest niezbędne do wykonywania praw i uzasadnionych interesów operatora lub osób trzecich, w tym w przypadkach przewidzianych w ustawie federalnej „O ochronie praw i uzasadnionych interesów osób fizycznych w realizacji działania zmierzające do zwrotu przeterminowanych długów oraz zmiany ustawy federalnej „O działalności mikrofinansowej i organizacji mikrofinansowych” lub osiągnięcia społecznie istotnych celów, pod warunkiem nienaruszania praw i wolności podmiotu danych osobowych;

(patrz tekst w poprzednim wydaniu)

8) przetwarzanie danych osobowych jest niezbędne do wykonywania działalności zawodowej dziennikarza i (lub) zgodnej z prawem działalności mediów lub działalności naukowej, literackiej lub innej twórczej, o ile prawa i prawnie uzasadnione interesy podmiotu danych osobowych nie są naruszone;

9) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach badawczych, z wyjątkiem celów określonych w art. 15 niniejszej Ustawy Federalnej, z zastrzeżeniem obowiązkowej depersonalizacji danych osobowych;

10) odbywa się przetwarzanie danych osobowych, dostęp nieograniczonej liczby osób, któremu udziela podmiot danych osobowych lub na jego żądanie (dalej – dane osobowe upublicznione przez podmiot danych osobowych);

11) przeprowadzane jest przetwarzanie danych osobowych podlegających publikacji lub obowiązkowemu ujawnieniu zgodnie z prawem federalnym.

1.1. Przetwarzanie danych osobowych obiektów ochrony państwa i członków ich rodzin odbywa się z uwzględnieniem cech przewidzianych w ustawie federalnej z dnia 27 maja 1996 r. N 57-ФЗ „O ochronie państwa”.

2. Cechy przetwarzania szczególnych kategorii danych osobowych, a także biometrycznych danych osobowych, są ustalane zgodnie z niniejszą ustawą federalną.

3. Operator ma prawo powierzyć przetwarzanie danych osobowych innej osobie za zgodą podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej, na podstawie zawartej z tą osobą umowy, w tym państwowej lub komunalnej umowy lub poprzez przyjęcie odpowiedniej ustawy przez organ państwowy lub gminny (dalej - instrukcje operatora). Osoba przetwarzająca dane osobowe w imieniu operatora jest zobowiązana do przestrzegania zasad i zasad przetwarzania danych osobowych przewidzianych w niniejszej Ustawie Federalnej. Polecenie operatora musi określać listę czynności (operacji) z danymi osobowymi, które będzie wykonywała osoba przetwarzająca dane osobowe oraz cele przetwarzania, obowiązek takiej osoby do zachowania poufności danych osobowych i zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, a także wymogi ochrony przetwarzanych danych osobowych muszą być określone zgodnie z art. 19 niniejszej ustawy federalnej.

4. Osoba przetwarzająca dane osobowe w imieniu Operatora nie ma obowiązku uzyskania zgody podmiotu danych osobowych na przetwarzanie jej danych osobowych.

5. Jeżeli Operator powierzy przetwarzanie danych osobowych innej osobie, Operator ponosi odpowiedzialność wobec podmiotu danych osobowych za działania tej osoby. Osoba przetwarzająca dane osobowe w imieniu Operatora odpowiada wobec Operatora.

Polecamy również

• Zasilacz impulsowy: naprawa i udoskonalenie
• Zdalne sterowanie światłem
• Lekcje pływania dla dzieci w wieku przedszkolnym
• Uwagi dla mistrza - domowe alarmy domowe
• Śmigło zegarowe w Atmega8
• Przykłady zastosowania urządzenia i przekaźnika, jak prawidłowo dobrać i podłączyć przekaźnik Mikrokontroler i proste obwody przełączające przekaźnika