Hem > kraftverk

Ge information om personuppgifter. Skydd av personuppgifter Vem kan vara operatör för personuppgifter? Grundläggande principer för bearbetning

Nyligen har vi blivit alltmer ombedda att sätta vår signatur under frasen "Om samtycke till användning och behandling av personuppgifter": i alla sociala och finansiella institutioner, verktyg, när de ansöker om ett jobb. De kräver vårt "frivilliga samtycke" idag på universitet, skolor, dagis, kliniker och till och med bibliotek! Butiker, hotell- och restaurangkomplex släpar inte efter – för att få ett rabattkort måste du fylla i och underteckna ett frågeformulär, där ditt samtycke till behandling av personuppgifter anges med finstilt längst ner. Varför är detta nödvändigt: för ofarlig redovisning eller för att förvandla en person till en maktlös applikation till världens elektroniska system? Låt oss ta reda på det.

Vad är en persons personuppgifter och vem behöver dem?

Så, begreppet "personuppgifter om en person" inkluderar inte bara hans förnamn, patronym, efternamn och registreringsadress, som vi brukade förstå. Detta är helt och hållet all information som direkt eller indirekt relaterar till en specifik individ: biometriska data, information om hälsotillstånd och fysiologiska egenskaper, nationalitet, religion, familjesammansättning, kriminalregister, anställningsuppgifter, ekonomisk inkomst, och så vidare.

2005 godkände Ryssland Europarådets konvention för skydd av individer med avseende på automatisk behandling av personuppgifter. Därefter antogs den federala lagen (FZ-nr 152) "Om personuppgifter", vars huvudbestämmelser upprepas av ovanstående internationella akt. De flesta tror att lagen ger skydd för en persons personuppgifter. Men är det verkligen så?

Särskilt alarmerande i dokumentet är ett sådant koncept som "automatisk databehandling", som ger både ackumulering och lagring av personuppgifter, och deras överföring till tredje part och användning för olika ändamål. Rätten att utföra dessa åtgärder tillhör den så kallade operatören, som kan vara juridiska eller fysiska personer, statliga myndigheter, kommersiella organisationer.

Men vår huvudoperatör är den kommersiella strukturen för OJSC "Universal Electronic Card". Det är hon som har rätt att bestämma sammansättningen av personuppgifter, syftena med deras behandling och att utföra eventuella åtgärder på dem.

Vad döljer sig bakom begreppen "användning" och "behandling" av personuppgifter?

Det verkar, varför behövde sjukhus, utbildningsinstitutioner, bostadsavdelningar, arbetsgivare tillhandahålla så fullständig information om sig själva, sin familj, ekonomiska situation, om det helt nyligen inte fanns något sådant behov? En sådan strikt insamling av alla personuppgifter började med antagandet av federal lag nr 210 "Om organisationen av tillhandahållande av statliga och kommunala tjänster", varefter den tidigare antagna lagen "Om personuppgifter" trädde i full kraft.

Vem behöver det? Naturligtvis inte till sociala och kommersiella strukturer - de är bara ett verktyg för att samla in information. All data kommer att registreras direkt från huvudoperatören - JSC "UEC", som planerar att snart förse alla medborgare med elektroniska dokument och starta en aktiv grundlig bearbetning av varje person.

Och vad menas med orden "bearbetning" och "användning"? Medborgarna förstår detta koncept som en banal insamling och lagring av information. Vad går personen med på egentligen?

I punkt 3 i del 1 i art. 3 i den federala lagen nr. 152, anges detta enligt följande:

"Bearbetning" omfattar varje åtgärd (operation) eller en uppsättning åtgärder (operationer) som utförs med eller utan användning av automatiseringsverktyg med personuppgifter, inklusive insamling, inspelning, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), extrahering, användning, överföring (distribution, tillhandahållande, åtkomst), DEINDIKERING, BLOCKERING, RADERING, FÖRSTÖRELSE AV PERSONUPPGIFTER.

Sålunda överför människor frivilligt tillstånd att hantera sina personliga liv i fel händer. Nu kommer huvudoperatören, efter att ha försett dig med ett elektroniskt biometriskt dokument i framtiden, ha all fullständig information om din hälsa, närvaron av släktingar, sociala betalningar, genomförda transaktioner, skatter, hushållsinköp och till och med rörelse! Och om du, som ägare av ett universellt elektroniskt kort, inte håller med om några av operatörens åtgärder, kan han helt enkelt blockera alla dina uppgifter eller helt förstöra dem, som den rättmätige ägaren till din personliga information. När allt kommer omkring gick du i förväg med på möjligheten att tillämpa sådana åtgärder på dig själv!

Hur fungerar det idag?

Den aktiva processen att behandla personuppgifter har precis börjat slå rot i vårt dagliga liv, men vissa medborgare har redan upplevt konsekvenserna av sådana rättsliga åtgärder.

Således kräver vissa utbildningsinstitutioner i landet obligatoriskt samtycke till behandling av personuppgifter. Enligt kommentarer från studenter, om de vägrar att ge sitt samtycke, kommer de helt enkelt inte att tillåtas att ta prov och kommer inte att utfärdas diplom.

Situationen är också med en del av statliga medicinska institutioner, där en medborgare är skyldig att förse sjukhuset inte bara med information om hälsa och numret på den medicinska policyn, utan också med försäkringsnumret för det individuella personliga kontot i pensionsfonden (SNILS) - huvudnyckeln för åtkomst till informationsbaserna för JSC "UEC". I formuläret "Patientens samtycke till behandling av personuppgifter" finns en notering om att kliniken har rätt att vägra läkarvård till patienten vid avslag på samtycke.

Detsamma gäller alla andra offentliga och kommersiella institutioner som kräver att deras klienter samtycker till behandling och användning av personlig information, med argumentet att det är nödvändigt för bokföring, personal eller militära register. Hur man beter sig i sådana situationer – läs vidare.

Vad händer om arbetsgivaren insisterar på att skriva på tillstånd att använda dina personuppgifter och har han rätt att göra det?

Enligt lagen kan alla åtgärder som rör en anställds personuppgifter endast utföras med hans skriftliga samtycke. Arbetsgivaren är skyldig att informera den blivande arbetstagaren mot underskrift, i vilket syfte och i vilken ordning de uppgifter som lämnats till honom kommer att lagras och användas, samt möjligheten att vägra eller i framtiden skriva ett återkallande av sitt samtycke till behandlingen av personuppgifter.

Enligt art. 5.27 och art. 5.39 i Rysslands kod för administrativa brott föreskriver administrativt ansvar för brott mot reglerna för lagring och behandling av personuppgifter om anställda. Vid brott mot lagen är företagets ledning skyldig att ersätta den materiella skadan för den anställde för olaglig användning av dennes personuppgifter.

Om du omedvetet har skrivit på ett tillstånd att använda dina personuppgifter, vet du nu att du har rätt att återkalla det. Granskningen kan göras i fri form, men med obligatorisk hänvisning till gällande lagar. Här är ett exempel på ett sådant uttalande:

Generaldirektör för LLC ___________
Från ________________
Registrerad på:
___________________________
Passdata: ________

Återkallande av samtycke
för behandling av personuppgifter

I, fullständigt namn, i enlighet med del 1 i art. 9 i den federala lagen av den 27 juli 2006 nr. Nr 152-FZ "Om personuppgifter", jag återkallar mitt samtycke till behandlingen av mina personuppgifter från aktiebolaget "_________".
Jag ber dig att sluta behandla mina personuppgifter inom trettio arbetsdagar från dagen för mottagandet av denna recension.

Datumet. Signatur.

Vissa advokater tror att ett svar på behandlingen av personuppgifter inte löser någonting, för när det är skrivet har all information om en person redan lagts in i de nödvändiga elektroniska databaserna för vidare användning. Men du kommer åtminstone att göra din plikt som ortodox kristen, och kanske sakta ner processen med att ytterligare uppdatera dina personuppgifter.

Hur vägrar man lagligt att samla in personuppgifter i förskolor och skolor?

Den senaste tiden har föräldrar slagit stort larm, eftersom förvaltningen av förskola och utbildningsanstalter faktiskt tvingar dem att skriva på samtycke till behandling och användning av personuppgifter om barnet och dess familjemedlemmar. Innebär det att du frivilligt måste avsäga dig din rätt till okränkbarheten i ditt privatliv och familjeliv? När allt kommer omkring ger den automatiska behandlingen av personuppgifter överföring av den insamlade informationen till tredje part utan begränsningar.

Kom ihåg att att ge eller inte ge ditt samtycke är din rättighet, inte en skyldighet. Nedan ger vi ett exempel på ett meddelande om vägran att lämna personuppgifter om ett barn för vidare behandling:

Till skol-/dagisförvaltningen Nr.
från__________________________________

PÅSTÅENDE

Jag, ____________________________________, som är det juridiska ombudet för mitt barn _________________________________, förklarar min kategoriska vägran att tillhandahålla någon information om mitt barns eller min familjs privatliv i enlighet med punkt 1 i artikel 23 i Ryska federationens konstitution ("Alla har rätten till privatliv, personlig hemlighet och familjehemlighet, skydd för sin heder och goda namn").
Jag förbjuder också användningen av psykologiska tester och undersökningar i relation till mitt barn, jag förbjuder att tvinga mitt barn att delta i dessa tester och undersökningar, jag förbjuder all insamling av information om olika aspekter av livet för mitt barn och min familj. Jag anser att det är nödvändigt att informera dig om att din överträdelse av mitt förbud faller under punkt 2 i artikel 137 i den ryska federationens strafflag ("Kränkning av privatlivet genom att använda ens officiella ställning"), med beaktande av artikel 63 i strafflagen för ryska federationen ("Omständigheter som försvårar straff").
Med detta tillfälle anser jag att det är min plikt att förklara min övertygelse att alla åtgärder för att samla in information om barn, föräldrar och deras familjer ytterst syftar till att förstöra familjens institution i vårt land, vilket är en antistatlig handling.

"____" "____________________" 20___ _____________________
(Personlig signatur)

Naturligtvis ska det förstås att skolan behöver ha grundläggande personuppgifter om varje elev för att kunna organisera utbildningsprocessen. Enligt lag, när barn går i skolan, är administrationen av denna utbildningsinstitution ansvarig för dem. Därför, om det finns ett behov av att överföra specifik information om barnet, ordna den här processen korrekt, med hjälp av följande exempel på ett uttalande:

Provsamtycke för skolans behandling av personuppgifter, vilket inte skapar risk för att familjens rättigheter kränks.

SAMTYCKE AV JURIDISK REPRESSENTANT
FÖR BEHANDLING AV PERSONUPPGIFTER OM EN OMYNDIG

Jag, ______________________________________________________________________ (fullständigt namn),
bosatt på ____________________________________________________________, passnummer _____________________________ utfärdat (av vem och när) ___________________________
______________________________________________________________________________
Jag är juridiskt ombud för en minderårig ____________________________________ (fullständigt namn) på grundval av art. 64 s. 1 i Ryska federationens familjekod.
Jag ger härmed mitt samtycke till behandling i Statens läroanstalt Gymnasieskola nr ________ av personuppgifter om mitt minderåriga barn _____________________________, som uteslutande hänför sig till de kategorier av personuppgifter som anges nedan:

  • information om födelsebevis;
  • medicinska kortuppgifter;
  • barnets adress;
  • utvärdering av barnets framsteg;
  • barns pedagogiska arbete.

Jag samtycker till användningen av mitt barns personliga information endast för följande ändamål:

  • säkerställa organisationen av utbildningsprocessen för barnet;
  • upprätthålla statistik.

Detta samtycke ges för de anställda vid Statens utbildningsinstitution gymnasieskola nr ____ att utföra följande åtgärder i förhållande till barnets personuppgifter: insamling, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), användning (endast för syften som anges ovan), depersonalisering, blockering (inkluderar inte möjligheten att begränsa min tillgång till barnets personuppgifter), förstörelse. Jag samtycker inte till någon distribution av barnets personuppgifter, inklusive överföring av barnets personuppgifter till tredje part, inklusive individer och juridiska personer, institutioner, inklusive externa organisationer och personer involverade av Statens utbildningsinstitution Gymnasieskola nr ______ för genomförande av behandling av personuppgifter, statliga organ och lokala myndigheter. Jag samtycker till behandling av barnets personuppgifter endast på ett icke-automatiskt sätt och samtycker inte till deras behandling på ett automatiserat sätt.
Jag förbjuder behandling av barnets personuppgifter för något annat ändamål och på något annat sätt, inklusive distribution och överföring till tredje part. Det kanske bara är möjligt med mitt uttryckliga skriftliga medgivande i varje enskilt fall.
Detta Samtycke gäller till dess att målen för behandling av personuppgifter i Statens Läroanstalt Gymnasieskola nr ______ uppnås eller tills detta Samtycke återkallas. Detta samtycke kan återkallas när som helst på min skriftliga begäran.
Jag bekräftar att jag, genom att ge detta samtycke, agerar av egen fri vilja och för barnets intresse för vilket jag är juridiskt ombud.

Datum: __.__._____
Signatur: ____________________ (_____________________)

Hur skriver man en vägran att behandla personuppgifter?

Som vi redan har tagit reda på är syftet med automatiserad registrering av personlig information om medborgarna inte en garanti för människors rättigheter, utan exklusiv makt över dem. Detta är nästa steg i konstruktionen av ett mänskligt ledningssystem.

I februari 2014 publicerade webbplatsen för Moskva-patriarkatet information om överklagandet av patriarken Kirill av Moskva och hela Ryssland till Rysslands president Vladimir Putin med en begäran om att vidta lagstiftningsåtgärder som skulle säkerställa rätten för en person att använda traditionella identitetskort och sätt att registrera dem på papper, och ger även rättsliga garantier för existens, teknisk utrustning och finansiering av det traditionella redovisningssystemet.

Administrationen av Rysslands president skickade ett svar på patriarkens överklagande med följande innehåll:

"... Jag delar din oro över vissa ryska medborgares ovilja att skaffa en annan typ av pass - en ny generations dokument som innehåller elektroniska informationsbärare, jag tror att det är möjligt att notera att varje form av att tvinga människor att använda elektroniska personliga identifierare, automatiserade sätt att samla in, behandla och redovisa personuppgifter, personlig konfidentiell information är oacceptabla...”.

För länge sedan varnade ortodoxa äldste och präster för att människor skulle bli lurade med hjälp av "uppenbara lögner och monstruöst bedrägeri".

Om du vill sköta ditt liv på egen hand, och inte ge denna rätt till främlingar, rekommenderar vi dig istället för att underteckna samtycke till behandlingen av dina personuppgifter att fylla i en ansökan, varav ett exempel presenteras nedan:

PÅSTÅENDE

om vägran att skriva under "Samtycke till behandling av personuppgifter"
(baserat på artiklarna i Ryska federationens konstitution 2, 3, 15, 18, 23, 24, artikel 12 i Ryska federationens civillag)

................................................ . ................ Jag blev ombedd att underteckna ett samtycke till bearbetning
(datumet)
personuppgifter" för ................................................... ................................................................ ............................................................... ............................................
(ange vad "samtycke" är för)
Jag samtycker inte till behandlingen av mina personuppgifter av följande skäl:
1. Obligatorisk inhämtning av samtycke till behandling av personuppgifter när ...........................

(specificera: tillhandahållande av sjukvård, betalning av förmåner, genomförande av en transaktion, etc.)
...................................................................................................................................................
strider mot Ryska federationens konstitution, som garanterar medborgarna denna rätt utan några villkor. I enlighet med artiklarna 2, 15, 18 är mänskliga rättigheter och friheter det högsta värdet, Ryska federationens konstitution har högsta rättsliga kraft och direkt effekt.
2. Samtycke till behandlingen av mina personuppgifter (personuppgifter om mina barn
..........................................................................................................................................................................
(ange om någon)
..........................................................................................................................................................................
strider mot mina intressen och min familjs intressen.
I enlighet med artikel 9 i den federala lagen nr 152-FZ "Om personuppgifter" beslutar föremålet för personuppgifter att tillhandahålla sina personuppgifter och samtycker till deras behandling av sin egen vilja och i sitt eget intresse.
I enlighet med lag nr 152-FZ är personuppgifter all information som rör en individ. Begreppet "behandling" inkluderar alla handlingar från operatören med personuppgifter: insamling, registrering, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), hämtning, användning, överföring (distribution, tillhandahållande, åtkomst, inklusive överföring till tredje part och gränsöverskridande överföring), avpersonalisering, blockering, radering, förstörelse av personuppgifter.
Under 2009 gjordes ändringar i nr 152-FZ "Om personuppgifter", som avskaffade operatörernas skyldighet att skydda personuppgifter med kryptografiskt (kryptering).
Vid användning av personuppgifter har operatören rätt att fatta beslut eller vidta andra åtgärder som ger upphov till rättsliga konsekvenser i förhållande till mig eller andra personer som föremål för personuppgifter.
Genom att inhämta samtycke från en person till behandling av personuppgifter – all information om mig och min familj – blir operatören deras fulla ägare.
Den formella frasen i formuläret om rätten att återkalla samtycke till behandling av personuppgifter löser ingenting, eftersom operatören, när samtycket återkallas, redan har möjlighet att använda sina befogenheter fullt ut.
Samtycke till behandling av personuppgifter gör en person till ett potentiellt föremål för all kriminell manipulation, eftersom ingen är ansvarig för operatörernas moraliska tillstånd.
3. Att erhålla samtycke "till behandling av personuppgifter - all information om en person" bryter mot bestämmelserna i artiklarna 23, 24 i Ryska federationens konstitution, som garanterar medborgarna rätten till integritet, personliga hemligheter och familjehemligheter, skydd av deras heder och gott namn.
4. Formuläret för "samtycke" som erbjuds mig bryter mot principerna i artikel 5 "Principer för behandling av personuppgifter" nr 152-FZ "Om personuppgifter": om otillåtligheten av att kombinera databaser som innehåller personuppgifter, vars behandling utförs ut för ändamål som är oförenliga med varandra; om behandling av endast de personuppgifter som uppfyller ändamålen med deras behandling; om överensstämmelsen av innehållet och omfattningen av de behandlade personuppgifterna med de angivna ändamålen för behandlingen; om otillåtligheten av redundansen av de behandlade personuppgifterna i förhållande till de angivna ändamålen med deras behandling.
På grund av ovanstående skäl vägrar jag att ge samtycke till sådan behandling av mina personuppgifter (personuppgifter om mina barn) och ber att mina konstitutionella rättigheter och friheter respekteras. Mina personuppgifter som krävs för internt bruk finns redan till ditt förfogande.
Jag blev (a) varnad (a) att om jag vägrade att underteckna "Samtycket" skulle jag bli ........................ ........................................................... ........................................................... ........................................................
(konsekvenser av vägran att underteckna samtycke)
Om detta hot förverkligas ber jag dig att ge mig ett motiverat skriftligt svar, som jag kommer att behöva för att överklaga en tjänstemans (anställdas) olagliga handlingar och kompensera för materiell och moralisk skada.

Vänliga hälsningar,
"____" _____________ 20___

24 februari 2016 kl. 17.35

Grunderna för behandling av personuppgifter

  • Företagsblogg Zartsyn och partners,
  • Lagstiftning inom IT,
  • Patentering

Vi har redan börjat prata om personuppgifter, insamling och behandling av dem. Men vi kan prata om det här i det oändliga och vi kommer att fortsätta. Förra gången pratade vi om lagändringar, men tog inte hänsyn till det viktigaste - DU LÄSTE INTE LAGEN SJÄLV!.. Och av feedbacken att döma kräver informationen mer ingående studier.
Därför läser vi om alla lagar och tillägg till dem flera gånger. De gjorde någon form av squeeze av det. Beskriv tydligt punkt för punkt dess viktigaste normer och krav.

Grunderna i grunderna

"Behandlingen av personuppgifter bygger på principerna om laglighet och rättvisa"- säger FZ-152 "Om personuppgifter". Från dessa begrepp är resten av principerna baserade, vilket återspeglar kärnan i behandlingen av personuppgifter som en process. Och här är vad du behöver komma ihåg:

1. Behandlingen av personuppgifter måste vara förenlig med syftet med att samla in personuppgifter.
Detta innebär att föremålet för PD-behandling (köpare, kund, anställd, etc.) måste meddelas om syftet med behandlingen. Därför måste syftena återspeglas i form av skriftligt samtycke till behandling av personuppgifter.

2. Databaser som innehåller personuppgifter, vars behandling sker för oförenliga ändamål, bör inte kombineras.
Allt är självklart här: persondatabaser som innehåller till exempel skatteinformation om företagets anställda och persondatabaser för företagets kunder ska inte kombineras.

3. Mängden personuppgifter som behandlas bör inte vara överdriven i förhållande till syftet med behandlingen.
Det visar sig att en onlinebutik som säljer strumpor kan behandla personliga uppgifter om köpare, som kan innehålla information om preferenser, marknadsföringsaktivitet, men köparens personuppgifter, som indikerar att han till exempel har sjukdomar, kommer att vara klart överflödiga.

4. Vid behandling av personuppgifter måste deras riktighet, tillräcklighet och relevans i förhållande till ändamålen med behandlingen säkerställas.
Detta är först och främst nödvändigt för ett högkvalitativt och snabbt genomförande av alla juridiskt viktiga åtgärder där personuppgifter används. Till exempel för direktköp av varor.

5. Lagring av personuppgifter bör inte ske längre än vad som krävs för ändamålen med behandling av personuppgifter.
De behandlade personuppgifterna är föremål för förstörelse eller depersonalisering vid uppnående av ändamålen med behandlingen eller vid förlust av behovet av att uppnå dessa ändamål. Det vill säga, om en onlinebutik är stängd, kan databasen med personliga data om dess kunder inte lämnas till "fiender", den måste åtminstone avpersonaliseras.

Stadier av att arbeta med personuppgifter

1. Samling
När vi samlar in personuppgifter från webbplatsbesökare rekommenderar vi i alla fall att ange:
  • operatörens namn;
  • syftet med att behandla personuppgifter och dess rättsliga grund;
  • avsedda användare av personuppgifter;
  • lagstadgade rättigheter för föremålet för personuppgifter;
  • källa till personuppgifter.
Dessutom, på begäran av en medborgare, måste operatören för personlig behandling tillhandahålla:
  • Bekräftelse av att operatören behandlar personuppgifter;
  • Operatörens namn och plats, information om personer som har tillgång till personuppgifter eller till vilka personuppgifter kan lämnas ut på grundval av ett avtal med operatören eller på grundval av federal lag;
  • Villkor för behandling av personuppgifter;
  • Information om den utförda eller föreslagna gränsöverskridande dataöverföringen;
2. Förvaring
Lagring och inspelning, systematisering, ackumulering, förtydligande bör utföras på Ryska federationens territorium - alla vet redan detta. Lagring av personuppgifter kan utföras i vilken form som helst, inklusive papper.
Behandlingen av personuppgifter kan utföras utomlands om databasen i Ryska federationen innehåller en lika stor eller större mängd personuppgifter.

3. Användning
Kom ihåg! Åtgärder som utförs med de insamlade personuppgifterna måste utföras strikt i enlighet med de syften för vilka de lämnades.
Det vill säga, om uppgifterna samlades in när du köpte strumpor i onlinebutiken "A", bör de endast användas för försäljning av butiken "A", till vilken dessa uppgifter lämnades. Om dessa uppgifter används för att sälja lägenheter på en annan resurs, kommer detta redan att betraktas som olaglig användning av personuppgifter.

4. Blockering
Om försökspersonen upptäcker att hans data används olagligt och appliceras på dig med ett krav (eller hans representant / relevant myndighet), då är du skyldig att blockera hans personuppgifter och kontrollera lagligheten av deras användning. Om dessa uppgifter behandlas av entreprenören är du skyldig att göra allt för att blockera och verifiera sökandens uppgifter.
Du är skyldig att göra detsamma i händelse av att försökspersonen har hittat felaktigheter i sina uppgifter.
Blockering bör utföras från ögonblicket för ett sådant överklagande eller mottagandet av en begäran om tidpunkten för verifiering, om blockeringen av personuppgifter inte kränker rättigheterna och legitima intressen hos föremålet för personuppgifter eller tredje part.

5. Förstörelse
Men det är ditt ansvar att förstöra uppgifterna eller se till att användningen avslutas i händelse av återkallande av samtycke. Även om lagring av personuppgifter inte längre krävs för att behandla personuppgifter.
Allt detta måste göras inom en period av högst trettio dagar från dagen för mottagandet av återkallelsen, om inte annat anges i avtalet.

Kom ihåg att överträdelse av det förfarande som fastställts i lag för insamling, lagring, användning eller spridning av information om medborgare innebär en varning eller utförande av administrativa böter:

  • för medborgare i mängden trehundra till femhundra rubel;
  • på tjänstemän - från femhundra till tusen rubel;
  • för juridiska personer - från fem tusen till tio tusen rubel.
Beloppen i sig är små, men enbart det faktum att få tillsynsmyndigheternas uppmärksamhet kan leda till mycket allvarligare problem.

BONUS

Dataöverföring över gränserna är möjlig, ingen har förbjudit det.
Men du måste
  • lagra och uppdatera all data på servrar i Ryska federationen (primär databas)
  • ange i "avtalet för behandling av personuppgifter" att du planerar att överföra dessa uppgifter till ett annat land och för vilka specifika ändamål (om ett specifikt land inte anges i lagen)
Operatören till vilken dessa databaser överförs är ansvarig för användningen av de överförda uppgifterna.

Det är inte förbjudet att tillhandahålla fjärråtkomst till databaser som finns på Ryska federationens territorium från en annan stat FZ-242.

Det är allt, kollegor. Må Erus nåd vara med dig!

Behandling av personuppgifter utan ämnets samtycke är endast möjlig i fall som fastställs i lag. Användning av sådan information i strid med förfarandet eller utan lämpliga skäl innebär att förövarna utsätts för civilrättsligt, arbetsrättsligt, administrativt och straffrättsligt ansvar.

I vilka fall är det tillåtet att överföra till tredje part och annan behandling av personuppgifter om ämnet?

Lagen "om personuppgifter" daterad den 27 juli 2006 nr 152-FZ fastställde 2 alternativ där behandlingen av personlig information om en medborgare (subjekt) är laglig:

  1. Efter mottagandet av hans samtycke till detta.
  2. Utan att inhämta samtycke i följande fall:
    • användning av information av andra människor för personliga behov och familjebehov, om detta inte kränker en medborgares rättigheter;
    • inmatning av personlig information i databasen för Rysslands arkivfond;
    • fatta ett beslut om att klassificera information som en statshemlighet (i detta fall krävs inte ämnets samtycke för att klassificera information om honom);
    • behovet av att använda informationen för att implementera villkoren i internationella fördrag och lagar från Ryssland;
    • deltagande av en person i processen för rättsliga förfaranden och i samband med sådant deltagande;
    • användning för att verkställa en rättslig handling eller bestämmelserna i en handling som antagits av organen för verkställighetsförfaranden;
    • mottagande av en person av kommunala eller statliga tjänster;
    • en persons erkännande av information om sig själv som allmänt tillgänglig;
    • ingående och verkställande av ett avtal där subjektet agerar som part eller förmånstagare;
    • omöjligheten att erhålla samtycke i händelse av ett hot mot liv, hälsa, viktiga intressen för en person;
    • utöva rättigheter, säkerställa operatörens intressen (bearbeta information) eller tredje part, uppnå socialt betydelsefulla mål;
    • utöva professionell verksamhet av journalister och media, kreativ verksamhet, när detta inte kränker mänskliga rättigheter;
    • användning av avpersonifierad information om en person för forsknings- och statistiska ändamål, med undantag för politisk kampanj, marknadsföring av varor, tjänster och verk på marknaden;
    • behovet av obligatoriskt utlämnande, publicering av uppgifter utifrån lagens anvisningar (till exempel är tjänstemän skyldiga att lämna ut uppgifter om sin inkomst).

Förfarandet för att behandla (lagring, distribution, etc.) information utan att inhämta godkännande av ämnet

Det allmänna förfarandet för operatörers behandling av personuppgifter om medborgare utan deras särskilda tillstånd är följande:

  1. Operatören får, om det finns lagliga skäl, information. Det krävs inte att en person meddelas om påbörjad behandling av dennes uppgifter, men i vissa fall skickas anmälan till Roskomnadzor.
  2. Operatören utför de nödvändiga åtgärderna (insamlar, registrerar, överför, förtydligar, etc.). Som anges i art. 5 i lag nr 152-FZ är användarens handlingar begränsade till syftet med behandlingen.
  3. Efter att målen uppnåtts eller efter att användningsbehovet upphört, förstörs eller avpersonaliseras uppgifterna.

Ett ytterligare steg kan vara en individs utmaning av lagligheten av att använda information om honom. Tvistlösningsorganet är (efter val av medborgare) en domstol eller Roskomnadzor. I samband med att lösa konflikten presenterar operatören bevis på att det finns omständigheter som tillåter honom att använda uppgifterna utan godkännande eller i strid med medborgarens förbud.

Operatörens ansvar

Vid överträdelse av operatören av förfarandet och villkoren för behandling av personuppgifter kan han hållas ansvarig för olika typer av ansvar:

Typ av ansvar

Exempel på överträdelse

Bestraffning

Rättslig grund

civil

Tillfoga moralisk skada

Utbetalning av ersättning

Konst. 24 i lag nr 152-FZ, art. 1099 GK

Disciplinär

Utlämnande av personlig information om en annan arbetstagare

Uppsägning

Brott mot lagen vid behandling av information

Att ta disciplinärt och ekonomiskt ansvar

Administrativ

Databehandling i strid med syftet med datainsamling
  • medborgare - 1000-3000 rubel;
  • tjänstemän - 5 000-10 000 rubel;
  • organisationer - 30 000-50 000 rubel.

Del 1 Art. 13.11 Förvaltningsbalken

Kriminell

Integritetsintrång

Alternativ sanktion:

  • böter upp till 200 000 rubel,
  • obligatoriskt arbete upp till 360 timmar,
  • kriminalvård - upp till 1 år,
  • obligatorisk - upp till 2 år,
  • fängelse upp till 2 år osv.

Del 1 Art. 137 Storbritannien

Vägran eller bedrägeri från en tjänstemans sida när han ger en medborgare information om honom

Böter (200 000 rubel eller inkomst i upp till ett och ett halvt år) eller fråntagande av rätten att delta i vissa aktiviteter i 2-5 år

Tillgång till datorinformation utan rätt att göra det

Böter (200 000 rubel eller inkomst i upp till ett och ett halvt år), kriminalvårdsarbete upp till ett år eller tvångsarbete, restriktion eller fängelse i upp till 2 år

Del 1 Art. 272 Storbritannien

Behandling av uppgifter utan tillstånd från försökspersonen är således möjlig om verksamhetsutövaren beviljas sådan rätt enligt lag. Användningen av information i detta fall bör utföras i den utsträckning som är nödvändig för att uppnå operatörens mål, varefter uppgifterna förstörs eller avpersonaliseras. En person som anser att hans personuppgifter har använts olagligt har rätt att vända sig till domstolen eller Roskomnadzor.

Vet du inte dina rättigheter?

Processen för att behandla personuppgifter för alla medborgare är föreskriven i den federala lagen nr 152-FZ "Om personuppgifter". Till en början antogs denna lag den 27 juli 2006, och senare utsattes den för olika ändringar och tillägg.

Lagen "Om personuppgifter" reglerar relationer mellan statliga, kommunala myndigheter, enskilda och juridiska personer inom området för behandling och skydd av personuppgifter, som utförs med hjälp av automationsverktyg eller utan det.

Syftet med denna lag är att säkerställa skyddet av medborgarnas friheter och rättigheter genom lagliga metoder vid behandlingen av deras personuppgifter, inklusive integritet, familjehemligheter och personliga hemligheter.

Vilken organisation är föremål för kraven i den federala lagen "Om personuppgifter"?

Varje organisation har möjlighet att inte reglera sina handlingar i enlighet med kapitel 1 i artikel 2 i den federala lagen nr 152-FZ "Om personuppgifter" angående behandling av personuppgifter, i sådana fall som:

1. Behandling av personuppgifter av individer enbart för personliga behov och familjebehov, om de personliga uppgifternas rättigheter inte kränks;
2. Organisationer för lagring, förvärv, redovisning och användning av dokument från Ryska federationens arkivfond och andra arkivdokument som innehåller personuppgifter i enlighet med lagstiftningen om arkivering i Ryska federationen;
3. Behandling av personuppgifter som klassificeras i enlighet med det fastställda förfarandet som information som utgör en statshemlighet;
4. Tillhandahållande av auktoriserade organ av information om domstolarnas verksamhet i Ryska federationen i enlighet med den federala lagen av den 22 december 2008 N 262-FZ "Om att säkerställa tillgång till information om verksamheten vid domstolarna i Ryska federationen" .

När en organisation inte faller under ovanstående punkter måste den nödvändigtvis följa lagens krav. Alla andra fall relaterade till insamling, bearbetning och lagring av personuppgifter regleras i enlighet med federal lag nr 152 "Om personuppgifter". Nästan alla organisationer faller under dessa krav, eftersom nästan alla företag på ett eller annat sätt behandlar sina anställdas eller andra individers personuppgifter. Alla personuppgifter måste hållas strikt konfidentiella.

För att minimera risken för anspråk från personuppgiftsägare och statliga myndigheter är det nödvändigt att utföra en uppsättning arbeten som motiverar behovet av att behandla personuppgifter. Det är också nödvändigt att följa kraven för att säkerställa sekretess både vid icke-automatiserad behandling och vid behandling av personuppgifter i informationssystem.

Personuppgifter – vad är det?

I kapitel 1, artikel 3 i den federala lagen "om personuppgifter" finns en definition av personuppgifter:

- personuppgifter - all information som rör en direkt eller indirekt identifierad eller identifierbar fysisk person (föremål för personuppgifter).

Det kan vara efternamn, förnamn, patronym, bostadsadress och e-post, kontaktnummer, bostadsort, religion, civilstånd, fotografier, information om anhöriga och mycket mer. Varje organisation som äger sådan information är skyldig att skydda informationssystemen där sådan information ska lagras.

Insamling, lagring och behandling av personuppgifter

Om det är nödvändigt att erhålla personuppgifter om en anställd eller annan individ, har organisationen rätt att själv samla in dem direkt från försökspersonen. Om information endast kan erhållas från tredje part, måste försökspersonen underrättas, och måste också ge sitt skriftliga samtycke till detta förfarande. Operatören är i sin tur skyldig att meddela medborgaren vilka mål han eftersträvar när han tar emot och behandlar hans personuppgifter.

Allt relaterat till de rättsliga grunderna för behandlingen av personlig information anges i kapitel 2, artikel 6, klausul 1 nr 152 i den federala lagen "Om personuppgifter":

1) behandlingen av personuppgifter utförs med samtycke från föremålet för personuppgifter till behandlingen av hans personuppgifter;
2) behandlingen av personuppgifter är nödvändig för att uppnå de mål som anges i ett internationellt fördrag i Ryska federationen eller lagen, för genomförandet och fullgörandet av de funktioner, befogenheter och skyldigheter som tilldelats operatören enligt Ryska federationens lagstiftning ;
3) behandlingen av personuppgifter är nödvändig för rättskipningen, verkställandet av en rättslig handling, en handling från ett annat organ eller tjänsteman som är föremål för verkställighet i enlighet med Ryska federationens lagstiftning om verkställighetsförfaranden (nedan kallad verkställighet av en rättshandling);
4) behandlingen av personuppgifter är nödvändig för tillhandahållande av statliga eller kommunala tjänster i enlighet med den federala lagen av den 27 juli 2010 N 210-FZ "Om organisationen av tillhandahållandet av statliga och kommunala tjänster", för att säkerställa tillhandahållandet av en sådan tjänst, att registrera föremålet för personuppgifter på en enda portal statliga och kommunala tjänster;
5) behandlingen av personuppgifter är nödvändig för fullgörandet av ett avtal till vilket personuppgiftssubjektet är part eller förmånstagare eller garant, samt för att ingå ett avtal på initiativ av personuppgiftssubjektet eller ett avtal enligt vem föremålet för personuppgifter kommer att vara förmånstagaren eller garanten;
6) behandlingen av personuppgifter är nödvändig för att skydda liv, hälsa eller andra vitala intressen hos föremålet för personuppgifter, om det är omöjligt att erhålla samtycke från föremålet för personuppgifter;
7) behandlingen av personuppgifter är nödvändig för att utöva operatörens eller tredje parts rättigheter och legitima intressen eller för att uppnå socialt betydelsefulla mål, förutsatt att rättigheterna och friheterna för den person som behandlar personuppgifter inte kränks;
8) behandlingen av personuppgifter är nödvändig för en journalists yrkesverksamhet och (eller) den legitima verksamheten inom media eller vetenskapliga, litterära eller andra kreativa aktiviteter, förutsatt att rättigheterna och legitima intressen för personen som behandlar personuppgifter inte är kränkt;
9) behandlingen av personuppgifter utförs för statistiska eller andra forskningsändamål, med undantag för de ändamål som anges i artikel 15 i denna federala lag, med förbehåll för den obligatoriska depersonaliseringen av personuppgifter;
10) behandling av personuppgifter utförs, tillgång till ett obegränsat antal personer som tillhandahålls av föremålet för personuppgifter eller på dennes begäran (hädanefter kallad personuppgifter som offentliggörs av föremålet för personuppgifter);
11) behandling av personuppgifter som är föremål för publicering eller obligatoriskt utlämnande i enlighet med federal lag utförs.

Om en organisation behandlar personuppgifter som strider mot ovanstående stycken, är detta ett brott mot federal lag.

Organisationen är skyldig att säkerställa sekretessen för tillgängliga personuppgifter i enlighet med artikel 7 i den federala lagen "Om personuppgifter". Undantag är de fall då personuppgifter är anonymiserade eller när de är offentligt tillgängliga.
I artikel 8 anges att det kan finnas allmänt tillgängliga källor för personuppgifter. De kan innehålla efternamn, förnamn, patronym, födelseland och födelseår, bostadsadress, telefonnummer, information om yrket eller andra personuppgifter om försökspersonen, som han tillhandahåller med sitt skriftliga samtycke. Dessa inkluderar till exempel kataloger eller adressböcker. Denna information kan berövas tillgängligheten genom beslut av ämnet eller statligt auktoriserade organ.

Principer och villkor för behandling av personuppgifter

I processen att behandla personuppgifter måste varje organisation följa principerna som anges i kapitel 2 i artikel 5 i den federala lagen "Om personuppgifter":

1. Behandlingen av personuppgifter ska utföras på en laglig och rättvis grund.
2. Behandlingen av personuppgifter bör begränsas till att uppnå specifika, förutbestämda och legitima ändamål. Det är inte tillåtet att behandla personuppgifter som är oförenliga med syftet med att samla in personuppgifter.
3. Det är inte tillåtet att kombinera databaser som innehåller personuppgifter, vars behandling sker för ändamål som är oförenliga med varandra.
4. Endast personuppgifter som uppfyller ändamålen med deras behandling är föremål för behandling.
5. Innehållet och omfattningen av de behandlade personuppgifterna måste överensstämma med de angivna ändamålen för behandlingen. De behandlade personuppgifterna bör inte vara överdrivna i förhållande till de angivna ändamålen med behandlingen.
6. Vid behandling av personuppgifter måste personuppgifternas riktighet, deras tillräcklighet och vid behov deras relevans i förhållande till ändamålen med behandlingen av personuppgifter säkerställas. Operatören måste vidta nödvändiga åtgärder eller se till att de vidtas för att ta bort eller klargöra ofullständiga eller felaktiga uppgifter.
7. Lagring av personuppgifter bör utföras i en form som gör det möjligt att bestämma föremålet för personuppgifter, inte längre än vad som krävs av ändamålen med behandling av personuppgifter, om perioden för lagring av personuppgifter inte är fastställd av federal lag, ett avtal som förmånstagaren eller borgensmannen är part i, enligt vilket föremålet är personuppgifter. De behandlade personuppgifterna är föremål för förstörelse eller depersonalisering vid uppnående av målen för behandlingen eller vid förlust av behovet av att uppnå dessa mål, om inte annat föreskrivs av federal lag.

Villkoren som en organisation måste uppfylla i behandlingen av personuppgifter föreskrivs i artikel 6 i den federala lagen "Om personuppgifter" och består i det faktum att operatören, vid behandling av subjektets personuppgifter, har rätt att behandla dem endast med hans skriftliga samtycke.
I vissa fall krävs dock inget sådant samtycke. Så till exempel om behandlingen av personuppgifter utförs för olika vetenskapliga och statistiska ändamål med det obligatoriska villkoret om avpersonalisering av personuppgifter. Eller när behandlingen av personuppgifter är nödvändig för personens hälsa, liv eller andra vitala intressen.

Skyldigheter för personuppgiftsansvarig

Kapitel 4 i artikel 18 i den federala lagen nr 3 152 "Om personuppgifter" innehåller fullständig information om vad som är databehandlarens ansvar.
Med tanke på nyckelpunkterna i denna lagartikel kan flera av de viktigaste principerna urskiljas.

Operatören är skyldig:

– att behandla personuppgifter i enlighet med lagen,
— ha tillstånd från ägaren av personuppgifter i fall som föreskrivs i lag,
- säkerställa konfidentialitet,
– svara på alla frågor från ägaren angående hans personuppgifter, inom den tid som anges i lag,
– förstöra personuppgifter efter att tidsfristerna för deras behandling har nåtts,
- meddela Roskomnadzor-avdelningen om behandlingen av personuppgifter och om de åtgärder som den vidtar för att skydda dem.

Denna artikel anger också att om ägaren av personuppgifter vägrar att lämna ut personlig information som han är skyldig att tillhandahålla i enlighet med federal lag, måste operatören förklara för ägaren om konsekvenserna av en sådan vägran.

Oberoende verksamhet av organisationer för skydd av personuppgifter

Insamling, behandling och skydd av personuppgifter i Ryska federationen är en licensierad aktivitet. Utvecklingen av metoder för skydd av personlig information är ansvaret för Rysslands FSB och Rysslands FSTEC.
Organisationen kan i sin tur bara göra en del av detta arbete. Till exempel samla in information. Resten av arbetet kräver en licens för tekniskt skydd av konfidentiell information, samt för installation av kryptografiska skyddsverktyg.

Verifiering aveter

Organisationen som kontrollerar laglig behandling av personuppgifter kallas Federal Service for Supervision of Communications, Information Technology and Mass Communications (Roskomnadzor).
Roskomnadzor bedriver statlig kontroll och tillsyn över efterlevnaden av kraven i gällande lagstiftning inom området:
- Massmedia, TVR-sändningar och masskommunikation - kraven i lagen i Ryska federationen nr 2124-1 av den 27 december 1991 "Om masskommunikationsmedel", samt efterlevnad av licensvillkor,
- kommunikation - kraven i den federala lagen nr 126 av den 7 juli 2003 "Om kommunikation", såväl som stadgar, inklusive giltigheten av licensen och användningen av radiofrekvensspektrum,
- personuppgifter - Federal lag av den 27 juli 2006 nr 152 "Om personuppgifter".

Den rättsliga grunden för genomförandet av statlig kontroll och tillsyn är den federala lagen av den 26 december 2008 nr 294 "Om skydd av rättigheterna för juridiska personer och enskilda entreprenörer vid genomförandet av statlig kontroll (övervakning) och kommunal kontroll".

Roskomnadzor genomför flera typer av inspektioner:

ett). Schemalagd kontroll.
Denna kontroll kan utföras på grundval och inom den exakta tidsram som anges i den kontrollplan som utarbetats av Roskomnadzor och godkänd av åklagarmyndigheten. Enligt punkt 4 i artikel 27 i den federala lagen "Om kommunikation" har Roskomnadzor rätt att utföra denna typ av revision högst en gång vart tredje år.
Alla organisationer som är involverade i behandlingen av personuppgifter kan ingå i Roskomnadzors inspektionsplan.
Grunden för att genomföra en planerad kontroll är det faktum att den personuppgiftsansvarige har påbörjat behandlingen, inklusive förflyttningen av tre år från dagen för statens registrering som personuppgiftsansvarig eller slutförandet av en planerad kontroll i förhållande till verksamhetsutövaren efter tre år från den tidigare planerade inspektionen.

2). Oschemalagd kontroll.
Skälen till denna typ av granskning är:
– verifiering av verkställandet av ordern för att eliminera den identifierade överträdelsen, som utfärdades tidigare,
— upptäckt av överträdelser av obligatoriska krav som ett resultat av systematisk observation,
— åklagarens krav att genomföra en oplanerad inspektion baserat på det material som mottagits och överklaganden till åklagarmyndigheten från medborgare, enskilda företagare, juridiska personer, statliga och kommunala myndigheter.
— kränkning av de legitima rättigheterna och intressena för de ingående enheterna i Ryska federationen på grund av passivitet från operatörer som är involverade i behandlingen av personuppgifter,
- en order från chefen för tjänsten, som utfärdas i enlighet med instruktionerna från Ryska federationens president eller Ryska federationens regering.
Inspektionen genomförs inom en period av högst 20 arbetsdagar, men samtidigt kan den, vid allvarliga skäl, förlängas på grundval av en order från chefen för Roskomnadzor-avdelningen med ytterligare 20 ytterligare arbeten dagar.
Dessutom kan verifieringsaktiviteter utföras med någon av följande metoder:
a) fältet, det vill säga, kontrollen äger rum på platsen för den kontrollerade.
b) Dokumentär, skriftlig begäran från operatören att tillhandahålla nödvändiga handlingar och information. Om handlingarna inte har tillhandahållits, och deras tillhandahållande måste ske enligt lag utan underlåtenhet, innebär detta utdömande av vite. Om det administrativa vitet inte har betalats kan det fördubblas.
c) systematisk observation genomförs utan interaktion med den som kontrolleras och inga dokument och uppgifter krävs från den som kontrolleras. Statliga specialister-inspektörer från den territoriella avdelningen i Roskomnadzor drar slutsatser om de inspekterades aktiviteter, baserat på hans handlingar i förhållande till ett obestämt antal ämnen.

Ansvar för olaglig behandling av personuppgifter

Verksamhetsutövaren får inte tillåta insamling, lagring, användning och spridning av information som rör personligt liv och familjeliv, hemlig korrespondens, telegraf-, post- eller andra meddelanden, telefonsamtal, såvida det inte finns ett domstolsbeslut eller en rättslig grund för dessa handlingar.

Operatören har inte rätt att använda personuppgifter i syfte att orsaka moralisk skada och egendomsskada för medborgare, samt göra det svårt att utöva sina friheter och rättigheter. Dessutom har personuppgiftsoperatören inte rätt att begränsa rättigheterna för medborgare i Ryska federationen, samtidigt som de använder deras personliga information som rör nationell, ras, religiös, språklig eller partitillhörighet.
Individer och juridiska personer som, i enlighet med sina befogenheter, äger all privat information om medborgare, använder den, samtidigt som de bryter mot den federala lagen "Om personuppgifter", är ansvariga för denna handling i enlighet med den nuvarande lagstiftningen i Ryska federationen.

De personer som genom sina handlingar brutit mot den federala lagen "Om personuppgifter" bär civilrättsligt, administrativt, disciplinärt, straffrättsligt eller annat ansvar enligt den nuvarande lagstiftningen i Ryska federationen.

Code of Administrative Violations (CAO):

A) Artikel 13.11 Brott mot det förfarande som fastställts i lag för insamling, lagring, användning eller spridning av information om medborgare (personuppgifter). Denna artikel innebär en varning eller utdömande av böter för:
- medborgare i mängden 300-500 rubel,
- tjänstemän i mängden 500-1000 rubel,
- juridiska personer i mängden 5000-10000 rubel.

B) Artikel 13.12 Brott mot informationsskyddsregler.
Enligt denna artikel åläggs en administrativ böter för lagöverträdare i mängden 500 till 30 tusen rubel. Dessutom kan juridiska personer bli föremål för förverkande eller administrativt avbrytande av verksamheten under en period av 3 månader.
C) Artikel 13.14 Utlämnande av information med begränsad tillgång.
I enlighet med denna artikel är det möjligt att utdöma administrativa vite på:
- medborgare i mängden 4 till 5 tusen rubel.

D) Artikel 19.5 Underlåtenhet att i tid följa en rättsordning (dekret, presentation, beslut) från det organ (officiellt) som utövar statlig tillsyn (kontroll).
Överträdare av denna artikel riskerar administrativa böter från 300 rubel till 500 tusen rubel, eller diskvalificering i upp till 3 år.

brottsbalken (CC).

Artikel 137 Kränkning av privatlivet.
Denna artikel anger att för olaglig insamling eller spridning av information om personens privatliv, som är hans familje- eller personliga hemlighet, utan hans samtycke, eller spridning av sådan information via media, är ansvarig i form av
- böter på upp till 200 tusen rubel eller till ett belopp som motsvarar löner i 18 månader,
- Obligatoriskt arbete upp till 360 timmar
- kriminalvård i upp till 1 år,
- tvångsarbete i upp till 2 år,
– förbud att ägna sig åt viss verksamhet i upp till 3 år,
- Arrest i upp till 2 år.

arbetslagstiftning (TC).

Artikel 90 Ansvar för överträdelse av reglerna för behandling och skydd av personuppgifter om en anställd.
Denna artikel föreskriver straff i form av uppsägning eller möjlighet till straff i enlighet med den ryska federationens strafflag.

Krav för skydd av personuppgifter

I enlighet med artikel 19 i den federala lagen "Om personuppgifter" anses kraven för skydd av personlig information vara obligatoriska. Vid behandling av personuppgifter är operatören skyldig att vidta nödvändiga rättsliga, organisatoriska och tekniska åtgärder eller säkerställa att de antas för att skydda personuppgifter från obehörig eller oavsiktlig åtkomst till dem, förstörelse, ändring, blockering, kopiering, tillhandahållande, distribution av personuppgifter, samt från andra olagliga handlingar angående personuppgifter.

Säkerställande av säkerheten för personuppgifter uppnås, särskilt:

1) fastställande av hot mot säkerheten för personuppgifter under deras behandling i informationssystem av personuppgifter;
2) tillämpning av organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter under deras behandling i som är nödvändiga för att uppfylla kraven för skydd av personuppgifter, vars genomförande säkerställer de skyddsnivåer för personuppgifter som fastställts av Ryska federationens regering;
3) användning av informationssäkerhetsverktyg som har klarat förfarandet för bedömning av överensstämmelse i enlighet med det fastställda förfarandet;
4) bedöma effektiviteten av de åtgärder som vidtagits för att säkerställa säkerheten för personuppgifter innan idrifttagandet av informationssystemet för personuppgifter;
5) med hänsyn till maskinbärare av personuppgifter;
6) upptäckt av fakta om obehörig åtkomst till personuppgifter och vidta åtgärder;
7) återvinning av personuppgifter som ändrats eller förstörts på grund av obehörig åtkomst till dem;
8) fastställa regler för tillgång till personuppgifter som behandlas iet, samt säkerställa registrering och redovisning av alla handlingar som utförs med personuppgifter iet.

För att uppnå ovanstående mål måste alla organisationer som behandlar personuppgifter uppfylla följande krav:

— följa kraven i federal lag nr 152 "Om personuppgifter", samtidigt som de tillhandahåller alla nödvändiga bevis för lagligheten av insamling och behandling av personlig information,
— tillhandahålla skydd mot obehörig spridning av personuppgifter,
— utveckla lokala lagar och teknisk organisatorisk dokumentation för att säkerställa reglerad behandling av personuppgifter,
— meddela Roskomnadzor-avdelningen.

För att uppfylla dessa krav måste du göra följande:

1. Genomför en studie av processerna för att samla in och behandla personuppgifter i företaget. Nämligen på vilken plats och i vilken form de behandlas, på vilken plats de förvaras, vem som ansvarar för detta och har tillgång till dem, vad är källan till personuppgifter och liknande frågor. Det är nödvändigt att samla in fullständig information om alla processer relaterade till personuppgifter.

2. Det är nödvändigt att utveckla ett paket med dokument som hänför sig till processen för behandling av personuppgifter, nämligen
A. Kategoriseringshandlingen,
B. Konceptet att skapa ett system för skydd av personuppgifter,
B. Hotmodell,
D. Inkräktarmodell,
D. Mandat för att bygga ett system för skydd av personuppgifter,
E. Tekniskt projekt (förklarande anmärkning till det tekniska projektet) för konstruktion av ett system för skydd av personuppgifter,
G. Organisatorisk och administrativ dokumentation.

I allmänhet är antalet dokument i en genomsnittlig organisation cirka 80 stycken, inklusive register och beställningar.

3. Implementera tekniska skyddsmedel i organisationen, enligt den utvecklade dokumentationen.

4. Genomför en överensstämmelsebedömning eller certifiering av informationssystem.

Certifiering och bedömning är speciella etablerade dokument, tack vare vilka organisationen har möjlighet att bekräfta att den uppfyller alla krav i Ryska federationens nuvarande lagstiftning.

Grunden för utvecklingen av godkända dokument för personuppgiftsoperatörer är Ryska federationens federala tjänst för teknisk och exportkontroll (FSTEC) och Ryska federationens federala säkerhetstjänst (FSB), som föreskrivs i deras reglerande metoddokument och order.

Ett av dessa dokument är:

Order från Federal Service for Technical and Export Control (FSTEC of Russia) daterad 5 februari 2010 nr 58 "Om godkännande av förordningar om metoder och metoder för att skydda information i informationssystem för personuppgifter".

I denna ordning föreskrivs för alla organisationer sådana metoder och sätt att skydda personuppgifter från obehörig åtkomst som,
- Införande av ett tillståndssystem för att få åtkomst till användare (underhållspersonal) till informationsresurser, informationssystemet och relaterade arbeten och dokument;
- Begränsning av användarens tillträde till de lokaler där tekniska medel finns som tillåter behandling av personuppgifter, såväl som lagringsmedia;
- Avgränsning av åtkomst för användare och underhållspersonal till informationsresurser, mjukvaruverktyg för bearbetning (överföring) och skydd av information;
- registrering av användarnas och underhållspersonalens åtgärder, kontroll av obehörig åtkomst och åtgärder från användare, underhållspersonal och obehöriga personer;
- Redovisning och lagring av flyttbara medier och deras cirkulation, exklusive stöld, ersättning och förstörelse.
- Redundans av tekniska medel, dubblering av arrayer och informationsbärare.
användning av informationssäkerhetsverktyg som har klarat förfarandet för bedömning av överensstämmelse på föreskrivet sätt;
— Användning av säkra kommunikationskanaler.
- placering av tekniska medel som möjliggör behandling av personuppgifter inom det skyddade området;
- Organisering av fysiskt skydd av lokaler och lämpliga tekniska medel, som möjliggör behandling av personuppgifter;
— Förebyggande av införandet av skadliga program (virusprogram) och programvarubokmärken i informationssystem.

De viktigaste metoderna och medlen för att skydda data från obehörig åtkomst i händelse av interaktion mellan informations- och telekommunikationsnät för internationellt informationsutbyte och informationssystem inkluderar:

— Brandväggar för att kontrollera åtkomst, filtrera nätverkspaket och översätta nätverksadresser för att dölja informationssystemets struktur.
- upptäckt av intrång i informationssystemet som bryter mot eller skapar förutsättningar för brott mot fastställda krav för att säkerställa personuppgifternas säkerhet;
— Säkerhetsanalys av informationssystem, som inbegriper användning av specialiserade programvaruverktyg (säkerhetsskannrar).
- Skydd av information under dess överföring via kommunikationskanaler.
- Användning av smarta kort, elektroniska lås och andra informationsbärare för tillförlitlig identifiering och autentisering av användare;
- användning av antivirusskydd;
centraliserad hantering av informationssystemets system för skydd av personuppgifter;
— filtrering av inkommande (utgående) nätverkspaket enligt de regler som fastställts av operatören (behörig person).
— Periodisk analys av säkerheten för installerade brandväggar baserad på imitation av externa attacker på informationssystem.
— Aktiv säkerhetsrevision av informationssystemet för realtidsdetektering av obehörig nätverksaktivitet.
— Analys av information som tas emot via informations- och telekommunikationsnät för internationellt informationsutbyte (offentliga kommunikationsnät), inklusive för förekomst av datavirus.
— Användning av säkerhetsattribut.
- Skapande av en kommunikationskanal som säkerställer skyddet av överförd information.
- implementering av autentisering av interagerande informationssystem och verifiering av användarautentisering och integritet för överförda data.

Ytterligare krav för organisationer inkluderar:

- Skapande av en kommunikationskanal som säkerställer skyddet av överförd information.
- Autentisering av interagerande informationssystem och verifiering av användarautentisering och integritet för överförda data.
- se till att användaren inte kan förneka det faktum att han skickar personuppgifter till en annan användare;
- se till att användaren inte förnekar att han tar emot personuppgifter från en annan användare.

Taggar: PDN 152-FZ

1. Behandlingen av personuppgifter måste utföras i enlighet med principerna och reglerna i denna federala lag. Behandling av personuppgifter är tillåten i följande fall:

1) behandlingen av personuppgifter utförs med samtycke från föremålet för personuppgifter till behandlingen av hans personuppgifter;

2) behandlingen av personuppgifter är nödvändig för att uppnå de mål som anges i ett internationellt fördrag i Ryska federationen eller lagen, för att utöva och uppfylla de funktioner, befogenheter och skyldigheter som tilldelats operatören enligt Ryska federationens lagstiftning;

3) behandlingen av personuppgifter utförs i samband med en persons deltagande i konstitutionella, civila, administrativa, straffrättsliga förfaranden, förfaranden i skiljedomstolar;

3.1) behandlingen av personuppgifter är nödvändig för att verkställa en rättshandling, en handling från ett annat organ eller tjänsteman som är föremål för verkställighet i enlighet med Ryska federationens lagstiftning om verkställighetsförfaranden (nedan kallat utförande av en rättslig handling );

4) behandlingen av personuppgifter är nödvändig för att utöva befogenheterna för federala verkställande organ, organ för statliga fonder utanför budgeten, verkställande organ för statlig makt för de konstituerande enheterna i Ryska federationen, lokala myndigheter och funktionerna för organisationer som deltar vid tillhandahållande av statliga respektive kommunala tjänster enligt den federala lagen av den 27 juli 2010 av året N 210-FZ "Om organisationen av tillhandahållandet av statliga och kommunala tjänster", inklusive registrering av en personuppgift ämne på en enda portal för statliga och kommunala tjänster och (eller) regionala portaler för statliga och kommunala tjänster;

(se text i tidigare upplaga)

5) behandlingen av personuppgifter är nödvändig för fullgörandet av ett avtal till vilket personuppgiftssubjektet är part eller förmånstagare eller garant, samt för att ingå ett avtal på initiativ av personuppgiftssubjektet eller ett avtal enligt vem föremålet för personuppgifter kommer att vara förmånstagaren eller garanten;

(se text i tidigare upplaga)

6) behandlingen av personuppgifter är nödvändig för att skydda liv, hälsa eller andra vitala intressen hos föremålet för personuppgifter, om det är omöjligt att erhålla samtycke från föremålet för personuppgifter;

7) behandlingen av personuppgifter är nödvändig för att utöva operatörens eller tredje parts rättigheter och legitima intressen, inklusive i fall som föreskrivs i den federala lagen "Om skydd av individers rättigheter och legitima intressen vid genomförandet av aktiviteter för att återbetala förfallna skulder och om ändringar av den federala lagen "Om mikrofinansieringsverksamhet och", eller för att uppnå socialt betydelsefulla mål, förutsatt att rättigheterna och friheterna för föremålet för personuppgifter inte kränks;

(se text i tidigare upplaga)

8) behandlingen av personuppgifter är nödvändig för en journalists yrkesverksamhet och (eller) den legitima verksamheten inom media eller vetenskapliga, litterära eller andra kreativa aktiviteter, förutsatt att rättigheterna och legitima intressen för personen som behandlar personuppgifter inte är kränkt;

9) behandlingen av personuppgifter utförs för statistiska eller andra forskningsändamål, med undantag för de ändamål som anges i artikel 15 i denna federala lag, med förbehåll för den obligatoriska depersonaliseringen av personuppgifter;

10) behandling av personuppgifter utförs, åtkomst av ett obegränsat antal personer som tillhandahålls av föremålet för personuppgifter eller på dennes begäran (nedan - personuppgifter som offentliggörs av föremålet för personuppgifter);

11) behandling av personuppgifter som är föremål för publicering eller obligatoriskt utlämnande i enlighet med federal lag utförs.

1.1. Behandlingen av personuppgifter om föremål för statligt skydd och medlemmar av deras familjer utförs med hänsyn till de funktioner som föreskrivs i den federala lagen av den 27 maj 1996 N 57-ФЗ "Om statligt skydd".

2. Funktioner för behandlingen av särskilda kategorier av personuppgifter, såväl som biometriska personuppgifter, fastställs i enlighet med detta och denna federala lag.

3. Operatören har rätt att anförtro behandlingen av personuppgifter till en annan person med samtycke från föremålet för personuppgifter, om inte annat föreskrivs i federal lag, på grundval av ett avtal som ingåtts med denna person, inklusive en statlig eller kommunal kontrakt, eller genom att anta en relevant handling av ett statligt eller kommunalt organ (nedan - instruktioner från operatören). En person som behandlar personuppgifter på uppdrag av operatören är skyldig att följa principerna och reglerna för behandling av personuppgifter enligt denna federala lag. Operatörens instruktion måste definiera en lista över åtgärder (operationer) med personuppgifter som kommer att utföras av den person som behandlar personuppgifter och ändamålen med behandlingen, skyldigheten för en sådan person att upprätthålla sekretessen för personuppgifter och säkerställa säkerheten av personuppgifter under deras behandling, såväl som kraven för skydd av behandlade personuppgifter måste specificeras i enlighet med artikel 19 i denna federala lag.

4. Den person som behandlar personuppgifter för verksamhetsutövarens räkning behöver inte inhämta samtycke från föremålet för personuppgifter till behandlingen av hans personuppgifter.

5. Om verksamhetsutövaren anförtror behandlingen av personuppgifter till en annan person, ska verksamhetsutövaren vara ansvarig gentemot personuppgiftssubjektet för denna persons handlingar. Den som behandlar personuppgifter för verksamhetsutövarens räkning är ansvarig gentemot verksamhetsutövaren.

Vi rekommenderar också

Läser in...Läser in...