การให้ข้อมูลเกี่ยวกับข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคล ใครสามารถเป็นผู้ดำเนินการข้อมูลส่วนบุคคลได้? หลักการพื้นฐานของการประมวลผล

เมื่อเร็ว ๆ นี้ เราได้รับการร้องขอให้ใส่ลายเซ็นของเรามากขึ้นภายใต้วลี "ในการยินยอมให้ใช้และประมวลผลข้อมูลส่วนบุคคล": ในสถาบันทางสังคมและการเงิน สาธารณูปโภคต่างๆ เมื่อสมัครงาน พวกเขาต้องการ "ความยินยอมโดยสมัครใจ" ของเราในมหาวิทยาลัย โรงเรียน โรงเรียนอนุบาล คลินิก และแม้แต่ห้องสมุด! ร้านค้า โรงแรม และร้านอาหารต่างๆ จะไม่ล้าหลัง - ในการรับบัตรส่วนลด คุณต้องกรอกและลงนามในแบบสอบถาม โดยระบุความยินยอมของคุณในการประมวลผลข้อมูลส่วนบุคคลไว้ในตัวพิมพ์ขนาดเล็กที่ด้านล่าง เหตุใดจึงจำเป็น: ​​เพื่อวัตถุประสงค์ในการบัญชีที่ไม่เป็นอันตรายหรือเพื่อเปลี่ยนบุคคลให้กลายเป็นแอพพลิเคชั่นที่ไร้อำนาจสู่ระบบอิเล็กทรอนิกส์ของโลก? ลองคิดออก

ข้อมูลส่วนบุคคลของบุคคลคืออะไรและใครต้องการ

ดังนั้น แนวคิดของ "ข้อมูลส่วนบุคคลของบุคคล" ไม่เพียงแต่รวมถึงชื่อจริง นามสกุล นามสกุล และที่อยู่ลงทะเบียนเท่านั้น ตามที่เราเคยเข้าใจ นี่คือข้อมูลทั้งหมดที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลใดบุคคลหนึ่งโดยเฉพาะ: ข้อมูลไบโอเมตริก ข้อมูลเกี่ยวกับสถานะสุขภาพและลักษณะทางสรีรวิทยา สัญชาติ ศาสนา องค์ประกอบในครอบครัว ประวัติอาชญากรรม ข้อมูลการจ้างงาน รายได้ทางการเงิน และอื่นๆ

ในปี 2548 รัสเซียได้อนุมัติอนุสัญญาของสภายุโรปว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติ หลังจากนั้นได้มีการนำกฎหมายของรัฐบาลกลาง (FZ-No. 152) "เกี่ยวกับข้อมูลส่วนบุคคล" มาใช้ซึ่งเป็นบทบัญญัติหลักที่ทำซ้ำโดยพระราชบัญญัติระหว่างประเทศข้างต้น คนส่วนใหญ่คิดว่ากฎหมายกำหนดให้มีการปกป้องข้อมูลส่วนบุคคลของบุคคล แต่มันเป็นเช่นนั้นจริงหรือ?

สิ่งที่น่าตกใจเป็นพิเศษในเอกสารคือแนวคิดเช่น "การประมวลผลข้อมูลอัตโนมัติ" ซึ่งให้ทั้งการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล และการถ่ายโอนไปยังบุคคลที่สามและใช้เพื่อวัตถุประสงค์ต่างๆ สิทธิในการดำเนินการเหล่านี้เป็นของผู้ดำเนินการที่เรียกว่าซึ่งสามารถเป็นนิติบุคคลหรือบุคคลธรรมดาหน่วยงานราชการองค์กรการค้า

แต่ผู้ดำเนินการหลักของเราคือโครงสร้างการค้าของ OJSC "Universal Electronic Card" เธอคือผู้มีสิทธิในการกำหนดองค์ประกอบของข้อมูลส่วนบุคคล วัตถุประสงค์ในการประมวลผล และดำเนินการใดๆ กับพวกเขา

อะไรที่ซ่อนอยู่เบื้องหลังแนวคิดของ "การใช้" และ "การประมวลผล" ของข้อมูลส่วนบุคคล?

ดูเหมือนว่าเหตุใดโรงพยาบาล สถาบันการศึกษา แผนกการเคหะ นายจ้างจึงจำเป็นต้องให้ข้อมูลที่สมบูรณ์เกี่ยวกับตนเอง ครอบครัว สถานการณ์ทางการเงิน หากไม่นานมานี้ไม่มีความต้องการเช่นนั้น การรวบรวมข้อมูลส่วนบุคคลทั้งหมดอย่างเข้มงวดดังกล่าวเริ่มต้นด้วยการนำกฎหมายของรัฐบาลกลางฉบับที่ 210 "ในองค์กรของการให้บริการของรัฐและเทศบาล" หลังจากนั้นกฎหมายที่นำมาใช้ก่อนหน้านี้ "เกี่ยวกับข้อมูลส่วนบุคคล" มีผลบังคับใช้อย่างสมบูรณ์

ใครต้องการมัน? แน่นอนว่าไม่ใช่โครงสร้างทางสังคมและการค้า แต่เป็นเพียงเครื่องมือในการรวบรวมข้อมูลเท่านั้น ข้อมูลทั้งหมดจะถูกบันทึกโดยตรงจากผู้ดำเนินการหลัก - JSC "UEC" ซึ่งมีแผนจะมอบเอกสารอิเล็กทรอนิกส์ให้กับประชาชนทุกคนในไม่ช้าและเริ่มต้นการประมวลผลอย่างละเอียดของแต่ละคน

และคำว่า "การประมวลผล" และ "การใช้งาน" มีความหมายอย่างไร? พลเมืองเข้าใจแนวคิดนี้ว่าเป็นการรวบรวมและจัดเก็บข้อมูลซ้ำซาก จริงๆ แล้วคนๆ นั้นตกลงไปเพื่ออะไรกันแน่?

ในวรรค 3 ของส่วนที่ 1 ของศิลปะ 3 ของกฎหมายของรัฐบาลกลางฉบับที่ 152 ระบุไว้ดังนี้:

"การประมวลผล" รวมถึงการดำเนินการใดๆ (การดำเนินการ) หรือชุดของการดำเนินการ (การดำเนินการ) ที่ดำเนินการโดยมีหรือไม่มีการใช้เครื่องมืออัตโนมัติกับข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวม การบันทึก การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การดึงข้อมูล ใช้, โอน (แจกจ่าย, จัดเตรียม, เข้าถึง), การระบุ, การบล็อก, การลบ, การทำลายข้อมูลส่วนบุคคล

ดังนั้นผู้คนจึงสมัครใจโอนไปอยู่ในมือที่ไม่ถูกต้องเพื่ออนุญาตให้จัดการชีวิตส่วนตัวของพวกเขา ตอนนี้ผู้ดำเนินการหลักซึ่งให้เอกสารไบโอเมตริกซ์อิเล็กทรอนิกส์แก่คุณในอนาคต จะมีข้อมูลทั้งหมดเกี่ยวกับสุขภาพของคุณ การปรากฏตัวของญาติ ผลประโยชน์ทางสังคม การทำธุรกรรมที่เสร็จสมบูรณ์ ภาษี การซื้อของและแม้แต่การเคลื่อนไหว! และหากคุณในฐานะเจ้าของบัตรอิเล็กทรอนิกส์สากลไม่เห็นด้วยกับการกระทำบางอย่างของผู้ปฏิบัติงาน เขาก็สามารถบล็อกข้อมูลทั้งหมดของคุณหรือทำลายข้อมูลทั้งหมดได้ในฐานะเจ้าของโดยชอบธรรมของข้อมูลส่วนบุคคลของคุณ ท้ายที่สุดคุณตกลงล่วงหน้าถึงความเป็นไปได้ที่จะใช้มาตรการดังกล่าวกับตัวคุณเอง!

วันนี้มันทำงานอย่างไร?

กระบวนการประมวลผลข้อมูลส่วนบุคคลที่กำลังดำเนินอยู่นั้นเพิ่งเริ่มหยั่งรากในชีวิตประจำวันของเรา แต่พลเมืองบางคนก็รู้สึกได้ถึงผลที่ตามมาของการดำเนินการทางกฎหมายดังกล่าวแล้ว

ดังนั้นสถาบันการศึกษาบางแห่งของประเทศจึงจำเป็นต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตามความคิดเห็นของนักเรียนหากพวกเขาปฏิเสธที่จะให้ความยินยอมพวกเขาก็จะไม่ได้รับอนุญาตให้สอบและจะไม่ได้รับประกาศนียบัตร

สถานการณ์ยังเป็นส่วนหนึ่งของสถาบันการแพทย์ของรัฐซึ่งพลเมืองจำเป็นต้องให้ข้อมูลเกี่ยวกับสุขภาพและหมายเลขกรมธรรม์ทางการแพทย์แก่โรงพยาบาลไม่เพียงเท่านั้น แต่ยังมีหมายเลขประกันของบัญชีส่วนบุคคลในกองทุนบำเหน็จบำนาญ (SNILS) ) - คีย์การเข้าถึงหลักของฐานข้อมูลของ UEK OJSC ในรูปแบบ "ความยินยอมของผู้ป่วยในการประมวลผลข้อมูลส่วนบุคคล" มีข้อความว่าในกรณีที่ปฏิเสธความยินยอม คลินิกมีสิทธิ์ที่จะปฏิเสธบริการทางการแพทย์แก่ผู้ป่วย

เช่นเดียวกับสถาบันสาธารณะและการค้าอื่นๆ ที่กำหนดให้ลูกค้าต้องยินยอมให้มีการประมวลผลและใช้ข้อมูลส่วนบุคคล โดยโต้แย้งว่าจำเป็นสำหรับการบัญชี บุคลากร หรือบันทึกทางการทหาร วิธีปฏิบัติตนในสถานการณ์เช่นนี้ - อ่านต่อ

จะเกิดอะไรขึ้นหากนายจ้างยืนยันที่จะลงนามเพื่ออนุญาตให้ใช้ข้อมูลส่วนบุคคลของคุณและเขามีสิทธิ์ทำเช่นนั้นหรือไม่?

ตามกฎหมาย การดำเนินการใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงานสามารถทำได้โดยได้รับความยินยอมเป็นลายลักษณ์อักษรเท่านั้น นายจ้างมีหน้าที่ต้องแจ้งให้ลูกจ้างในอนาคตทราบถึงการลงลายมือชื่อเพื่อวัตถุประสงค์ใดและในลำดับใดที่ข้อมูลที่ให้แก่เขาจะถูกจัดเก็บและใช้งานตลอดจนความเป็นไปได้ที่จะปฏิเสธหรือเขียนการเพิกถอนความยินยอมในการดำเนินการในอนาคต ของข้อมูลส่วนบุคคล

ตามอาร์ท. 5.27 และศิลปะ 5.39 แห่งประมวลกฎหมายความผิดทางปกครองของรัสเซียให้ความรับผิดทางปกครองสำหรับการละเมิดกฎในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพนักงาน ในกรณีที่ละเมิดกฎหมาย ฝ่ายบริหารของบริษัทมีหน้าที่ชดใช้ความเสียหายทางวัตถุแก่พนักงานสำหรับการใช้ข้อมูลส่วนบุคคลของเขาอย่างผิดกฎหมาย

หากคุณลงนามในการอนุญาตให้ใช้ข้อมูลส่วนบุคคลของคุณโดยไม่รู้ตัว ตอนนี้คุณทราบแล้วว่าคุณมีสิทธิ์ที่จะเพิกถอนได้ การตรวจสอบสามารถทำได้ในรูปแบบอิสระ แต่มีการอ้างอิงบังคับกับกฎหมายปัจจุบัน นี่คือตัวอย่างของข้อความดังกล่าว:

ผู้อำนวยการทั่วไปของ LLC ___________
จาก ________________
ลงทะเบียนที่:
___________________________
รายละเอียดหนังสือเดินทาง: ________

เพิกถอนความยินยอม
สำหรับการประมวลผลข้อมูลส่วนบุคคล

ฉันชื่อเต็มตามส่วนที่ 1 ของศิลปะ 9 แห่งกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 กรกฎาคม 2549 ฉบับที่ หมายเลข 152-FZ "ในข้อมูลส่วนบุคคล" ฉันเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของฉันจากบริษัทจำกัด "_________"
ฉันขอให้คุณหยุดการประมวลผลข้อมูลส่วนบุคคลของฉันภายในสามสิบวันทำการนับจากวันที่ได้รับการตรวจสอบนี้

วันที่. ลายเซ็น.

นักกฎหมายบางคนเชื่อว่าการตอบสนองต่อการประมวลผลข้อมูลส่วนบุคคลไม่ได้แก้ไขอะไรเลย เพราะเมื่อถึงเวลาเขียน ข้อมูลทั้งหมดเกี่ยวกับบุคคลหนึ่งๆ ได้ถูกป้อนลงในฐานข้อมูลอิเล็กทรอนิกส์ที่จำเป็นสำหรับการใช้งานต่อไปแล้ว แต่อย่างน้อยคุณจะทำหน้าที่ของคุณในฐานะคริสเตียนออร์โธดอกซ์ และอาจทำให้กระบวนการอัปเดตข้อมูลส่วนบุคคลของคุณช้าลง

จะปฏิเสธการเก็บข้อมูลส่วนบุคคลในโรงเรียนอนุบาลและโรงเรียนได้อย่างไร?

เมื่อเร็ว ๆ นี้ผู้ปกครองส่งเสียงเตือนครั้งใหญ่เพราะการบริหารงานของโรงเรียนอนุบาลและสถาบันการศึกษาบังคับให้พวกเขาลงนามยินยอมให้ดำเนินการและใช้ข้อมูลส่วนบุคคลเกี่ยวกับเด็กและสมาชิกในครอบครัวของเขา นี่หมายความว่าคุณต้องสละสิทธิ์โดยสมัครใจในการขัดขืนชีวิตส่วนตัวและชีวิตครอบครัวของคุณหรือไม่? ท้ายที่สุด การประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติทำให้สามารถถ่ายโอนข้อมูลที่รวบรวมไปยังบุคคลที่สามได้โดยไม่มีข้อจำกัด

จำไว้ว่าการให้หรือไม่ให้ความยินยอมเป็นสิทธิ์ของคุณ ไม่ใช่ภาระผูกพัน ด้านล่างนี้ เราให้ตัวอย่างคำแถลงการปฏิเสธที่จะให้ข้อมูลส่วนบุคคลเกี่ยวกับเด็กเพื่อดำเนินการต่อไป:

ถึงผู้บริหารโรงเรียน/อนุบาล เลขที่
จาก__________________________________

คำแถลง

ฉัน ____________________________________ ในฐานะตัวแทนทางกฎหมายของลูกของฉัน _________________________________ ประกาศการปฏิเสธหมวดหมู่ของฉันในการให้ข้อมูลใด ๆ เกี่ยวกับชีวิตส่วนตัวของลูกของฉันหรือครอบครัวของฉันตามวรรค 1 ของมาตรา 23 ของรัฐธรรมนูญของสหพันธรัฐรัสเซีย (“ทุกคนมี สิทธิในความเป็นส่วนตัว ความลับส่วนตัว และครอบครัว การปกป้องเกียรติและชื่อเสียง")
ฉันยังห้ามไม่ให้ใช้การทดสอบทางจิตวิทยาและการสำรวจที่เกี่ยวข้องกับลูกของฉัน ฉันห้ามไม่ให้ลูกของฉันเข้าร่วมในการทดสอบและการสำรวจเหล่านี้ ฉันห้ามไม่ให้รวบรวมข้อมูลเกี่ยวกับแง่มุมต่าง ๆ ของชีวิตลูกและครอบครัวของฉัน ฉันคิดว่าจำเป็นต้องแจ้งให้คุณทราบว่าการละเมิดข้อห้ามของฉันอยู่ภายใต้วรรค 2 ของมาตรา 137 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย ("การละเมิดความเป็นส่วนตัวโดยใช้ตำแหน่งอย่างเป็นทางการ") โดยคำนึงถึงมาตรา 63 แห่งประมวลกฎหมายอาญาของ สหพันธรัฐรัสเซีย (“สถานการณ์การลงโทษที่รุนแรงขึ้น”)
ด้วยโอกาสนี้ ฉันคิดว่าเป็นหน้าที่ของฉันที่จะประกาศความเชื่อมั่นว่าการกระทำทั้งหมดในการรวบรวมข้อมูลเกี่ยวกับเด็ก ผู้ปกครอง และครอบครัวของพวกเขา มีเป้าหมายเพื่อทำลายสถาบันครอบครัวในประเทศของเรา ซึ่งเป็นการกระทำที่ต่อต้านรัฐในที่สุด

"____" "_____________" 20___ _____________________
(ลายเซ็นส่วนตัว)

แน่นอนว่าควรเข้าใจว่าโรงเรียนต้องมีข้อมูลส่วนบุคคลพื้นฐานเกี่ยวกับนักเรียนแต่ละคนเพื่อจัดกระบวนการศึกษา ตามกฎหมายแล้ว เมื่อเด็กอยู่ในโรงเรียน ฝ่ายบริหารของสถาบันการศึกษาแห่งนี้ต้องรับผิดชอบ ดังนั้น หากจำเป็นต้องถ่ายโอนข้อมูลเฉพาะเกี่ยวกับเด็ก ให้จัดการกระบวนการนี้ให้ถูกต้อง โดยใช้ตัวอย่างข้อความต่อไปนี้:

ตัวอย่างความยินยอมในการประมวลผลข้อมูลส่วนบุคคลโดยโรงเรียน ซึ่งไม่ก่อให้เกิดความเสี่ยงที่จะละเมิดสิทธิ์ของครอบครัว

ความยินยอมของผู้แทนทางกฎหมาย
สำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์

ฉัน ______________________________________________________________ (ชื่อเต็ม)
อาศัยอยู่ที่ ____________________________________________ เลขที่หนังสือเดินทาง _____________________________ ออกให้ (โดยใครและเมื่อใด) _______________________________
______________________________________________________________________________
ฉันเป็นตัวแทนทางกฎหมายของผู้เยาว์ ____________________________________ (ชื่อเต็ม) บนพื้นฐานของศิลปะ 64 หน้า 1 แห่งรหัสครอบครัวของสหพันธรัฐรัสเซีย
ข้าพเจ้ายินยอมให้มีการประมวลผลในโรงเรียนมัธยมศึกษาตอนปลายของสถาบันการศึกษาแห่งรัฐหมายเลข ________ ของข้อมูลส่วนบุคคลของบุตรหลานที่ยังไม่บรรลุนิติภาวะ _______________________________ ที่เกี่ยวข้องกับหมวดหมู่ข้อมูลส่วนบุคคลที่ระบุไว้ด้านล่างเท่านั้น:

  • ข้อมูลสูติบัตร
  • รายละเอียดบัตรแพทย์
  • ที่อยู่ของเด็ก
  • การประเมินความก้าวหน้าของเด็ก
  • งานการศึกษาของเด็ก

ฉันยินยอมให้ใช้ข้อมูลส่วนบุคคลของบุตรหลานเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:

  • สร้างความมั่นใจในการจัดระเบียบกระบวนการศึกษาสำหรับเด็ก
  • การรักษาสถิติ

ความยินยอมนี้มีให้สำหรับพนักงานของโรงเรียนมัธยมศึกษาตอนต้นของสถาบันการศึกษาแห่งรัฐหมายเลข ____ เพื่อดำเนินการดังต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของเด็ก: การรวบรวม การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การใช้งาน (เฉพาะสำหรับ วัตถุประสงค์ที่ระบุไว้ข้างต้น) การทำให้ไม่มีตัวตน การบล็อก (ไม่รวมถึงความเป็นไปได้ในการจำกัดการเข้าถึงข้อมูลส่วนบุคคลของเด็ก) การทำลาย ฉันไม่ยินยอมให้แจกจ่ายข้อมูลส่วนบุคคลของเด็ก รวมถึงการถ่ายโอนข้อมูลส่วนบุคคลของเด็กไปยังบุคคลที่สาม รวมถึงบุคคลและนิติบุคคล สถาบัน รวมถึงองค์กรภายนอกและบุคคลที่เข้าร่วมโดยโรงเรียนมัธยมศึกษาตอนต้นของรัฐหมายเลข ______ เพื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล หน่วยงานของรัฐ และรัฐบาลท้องถิ่น ฉันยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของเด็กในลักษณะที่ไม่เป็นอัตโนมัติเท่านั้น และไม่ยินยอมให้มีการประมวลผลโดยอัตโนมัติ
ฉันห้ามไม่ให้มีการประมวลผลข้อมูลส่วนบุคคลของเด็กเพื่อวัตถุประสงค์อื่นใดและด้วยวิธีอื่นใด รวมถึงการแจกจ่ายและถ่ายโอนไปยังบุคคลที่สาม เป็นไปได้ก็ต่อเมื่อได้รับความยินยอมเป็นลายลักษณ์อักษรจากฉันในแต่ละกรณีเท่านั้น
ความยินยอมนี้มีผลจนกว่าจะบรรลุเป้าหมายในการประมวลผลข้อมูลส่วนบุคคลในโรงเรียนมัธยมศึกษาตอนต้นของสถาบันการศึกษาแห่งรัฐหมายเลข ______ หรือจนกว่าจะเพิกถอนความยินยอมนี้ ความยินยอมนี้อาจถูกเพิกถอนได้ตลอดเวลาตามคำขอเป็นลายลักษณ์อักษรของฉัน
ข้าพเจ้ายืนยันว่าโดยการให้ความยินยอมนี้ ข้าพเจ้าได้กระทำตามเจตจำนงเสรีของตนเองและเพื่อผลประโยชน์สูงสุดของบุตรซึ่งข้าพเจ้าเป็นตัวแทนทางกฎหมาย

วันที่: __.__._____
ลายเซ็น: ________________________ (______________________)

จะเขียนปฏิเสธที่จะประมวลผลข้อมูลส่วนบุคคลได้อย่างไร?

ดังที่เราได้ทราบแล้ว วัตถุประสงค์ของการลงทะเบียนข้อมูลส่วนบุคคลของพลเมืองโดยอัตโนมัติไม่ใช่การรับประกันสิทธิของผู้คน แต่เป็นอำนาจพิเศษเหนือพวกเขา นี่คือขั้นตอนต่อไปของการสร้างระบบการจัดการมนุษย์

ในเดือนกุมภาพันธ์ 2014 เว็บไซต์ของ Patriarchy แห่งมอสโกได้เผยแพร่ข้อมูลเกี่ยวกับการอุทธรณ์ของสังฆราชคิริลล์แห่งมอสโกและรัสเซียทั้งหมดต่อประธานาธิบดีแห่งสหพันธรัฐรัสเซียวลาดิมีร์ปูตินโดยขอให้ใช้มาตรการทางกฎหมายที่จะรับรองสิทธิของบุคคลที่จะใช้แบบดั้งเดิม บัตรประจำตัวและวิธีการบันทึกลงบนกระดาษ และยังให้การรับประกันทางกฎหมายสำหรับการมีอยู่ อุปกรณ์ทางเทคนิค และการเงินของระบบบัญชีแบบเดิม

ฝ่ายบริหารของประธานาธิบดีแห่งสหพันธรัฐรัสเซียส่งคำตอบต่อการอุทธรณ์ของสังฆราชด้วยเนื้อหาต่อไปนี้:

“ ... แบ่งปันความกังวลของคุณเกี่ยวกับการไม่เต็มใจของพลเมืองรัสเซียบางคนที่จะได้รับหนังสือเดินทางประเภทอื่น - เอกสารรุ่นใหม่ที่มีผู้ให้บริการข้อมูลอิเล็กทรอนิกส์ ฉันเชื่อว่ามันเป็นไปได้ที่จะสังเกตว่ารูปแบบใด ๆ ของการบังคับให้ผู้คนใช้ตัวระบุส่วนตัวอิเล็กทรอนิกส์โดยอัตโนมัติ วิธีการรวบรวม ประมวลผล และจัดทำบัญชีข้อมูลส่วนบุคคล ข้อมูลที่เป็นความลับส่วนบุคคลเป็นสิ่งที่ยอมรับไม่ได้...”

นานมาแล้ว ผู้เฒ่าและนักบวชออร์โธดอกซ์เตือนว่าผู้คนจะถูกหลอกด้วยความช่วยเหลือของ

หากคุณต้องการจัดการชีวิตของคุณเองและไม่ให้สิทธิ์นี้แก่คนแปลกหน้า แทนที่จะลงนามยินยอมในการประมวลผลข้อมูลส่วนบุคคลของคุณ เราขอแนะนำให้คุณกรอกใบสมัคร ซึ่งมีตัวอย่างดังต่อไปนี้:

คำแถลง

เกี่ยวกับการปฏิเสธที่จะลงนาม "ยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคล"
(ตามมาตรา 2, 3, 15, 18, 23, 24 ของรัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย, มาตรา 12 แห่งประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย)

................................................. . ................ ฉันถูกขอให้ลงนามยินยอมให้ดำเนินการ
(วันที่)
ข้อมูลส่วนบุคคล" สำหรับ ............................................. ................ .................................. ............ .................................. .............. ................
(ระบุว่า "ยินยอม" มีไว้เพื่ออะไร)
ฉันไม่ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของฉันด้วยเหตุผลดังต่อไปนี้:
1. บังคับต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเมื่อ ..................................

(ระบุ: ค่ารักษาพยาบาล การจ่ายผลประโยชน์ การทำธุรกรรม ฯลฯ)
...................................................................................................................................................
ขัดต่อรัฐธรรมนูญของสหพันธรัฐรัสเซียซึ่งรับรองสิทธินี้ของประชาชนโดยไม่มีเงื่อนไขใด ๆ ตามมาตรา 2, 15, 18 สิทธิมนุษยชนและเสรีภาพมีค่าสูงสุด รัฐธรรมนูญแห่งสหพันธรัฐรัสเซียมีอำนาจทางกฎหมายสูงสุดและมีผลโดยตรง
2. ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของฉัน (ข้อมูลส่วนบุคคลของบุตรหลานของฉัน
..........................................................................................................................................................................
(ระบุถ้ามี)
..........................................................................................................................................................................
ขัดกับความสนใจของฉันและผลประโยชน์ของครอบครัวของฉัน
ตามมาตรา 9 ของกฎหมายของรัฐบาลกลางหมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล" เรื่องของข้อมูลส่วนบุคคลตัดสินใจที่จะให้ข้อมูลส่วนบุคคลของเขาและยินยอมให้ดำเนินการตามความประสงค์ของเขาเองและเพื่อประโยชน์ของตนเอง
ตามกฎหมายหมายเลข 152-FZ ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคล แนวคิดของ "การประมวลผล" รวมถึงการกระทำใดๆ ของผู้ปฏิบัติงานกับข้อมูลส่วนบุคคล: การรวบรวม การบันทึก การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การดึงข้อมูล การใช้ การถ่ายโอน (การกระจาย การจัดหา การเข้าถึง รวมถึงการถ่ายโอนไปยังบุคคลที่สาม และการถ่ายโอนข้ามพรมแดน) การทำให้เป็นส่วนตัว การบล็อก การลบ การทำลายข้อมูลส่วนบุคคล
ในปี 2552 มีการแก้ไขหมายเลข 152-FZ "ในข้อมูลส่วนบุคคล" ซึ่งยกเลิกภาระหน้าที่ของผู้ปฏิบัติงานในการปกป้องข้อมูลส่วนบุคคลด้วยการเข้ารหัส (เข้ารหัส)
เมื่อใช้ข้อมูลส่วนบุคคล ผู้ดำเนินการมีสิทธิ์ในการตัดสินใจหรือดำเนินการอื่น ๆ ที่ก่อให้เกิดผลทางกฎหมายที่เกี่ยวข้องกับฉันหรือบุคคลอื่นในฐานะเจ้าของข้อมูลส่วนบุคคล
โดยได้รับความยินยอมจากบุคคลในการประมวลผลข้อมูลส่วนบุคคล - ข้อมูลใด ๆ เกี่ยวกับฉันและครอบครัวของฉัน - ผู้ดำเนินการจะกลายเป็นเจ้าของเต็มรูปแบบ
วลีที่เป็นทางการของแบบฟอร์มเกี่ยวกับสิทธิ์ในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลไม่ได้แก้ไขอะไรเลย เนื่องจากผู้ดำเนินการ เมื่อถึงเวลาที่คำยินยอมถูกเพิกถอน มีโอกาสที่จะใช้อำนาจของเขาอย่างเต็มที่แล้ว
ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลทำให้บุคคลเป็นเป้าหมายของการจัดการทางอาญา เนื่องจากไม่มีใครรับผิดชอบต่อสภาวะทางศีลธรรมของผู้ปฏิบัติงาน
3. การได้รับความยินยอม "ในการประมวลผลข้อมูลส่วนบุคคล - ข้อมูลใด ๆ เกี่ยวกับบุคคล" ละเมิดบทบัญญัติของมาตรา 23, 24 ของรัฐธรรมนูญของสหพันธรัฐรัสเซียซึ่งรับประกันสิทธิของประชาชนในความเป็นส่วนตัวความเป็นส่วนตัวและความลับของครอบครัวการปกป้องของพวกเขา เกียรติและชื่อที่ดี
4. แบบฟอร์ม "ความยินยอม" ที่เสนอให้ฉันละเมิดหลักการของมาตรา 5 "หลักการของการประมวลผลข้อมูลส่วนบุคคล" หมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล": เกี่ยวกับการไม่สามารถรวมฐานข้อมูลที่มีข้อมูลส่วนบุคคลซึ่งมีการดำเนินการ ออกไปเพื่อจุดประสงค์ที่เข้ากันไม่ได้ เกี่ยวกับการประมวลผลเฉพาะข้อมูลส่วนบุคคลที่ตรงตามวัตถุประสงค์ของการประมวลผล เกี่ยวกับการปฏิบัติตามเนื้อหาและขอบเขตของข้อมูลส่วนบุคคลที่ประมวลผลตามวัตถุประสงค์ที่ระบุไว้ในการประมวลผล เกี่ยวกับความไม่สามารถยอมรับได้ของความซ้ำซ้อนของข้อมูลส่วนบุคคลที่ประมวลผลซึ่งสัมพันธ์กับวัตถุประสงค์ที่ระบุไว้ในการประมวลผล
จากข้อโต้แย้งข้างต้น ฉันปฏิเสธที่จะให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของฉัน (ข้อมูลส่วนบุคคลของบุตรหลานของฉัน) และขอให้เคารพสิทธิและเสรีภาพตามรัฐธรรมนูญของฉัน ข้อมูลส่วนตัวของฉันที่จำเป็นสำหรับการใช้งานภายในนั้นพร้อมให้คุณใช้งานแล้ว
ข้าพเจ้าถูก (ก) เตือน (ก) ว่ากรณีปฏิเสธที่จะลงนามใน “ความยินยอม” ข้าพเจ้าจะ .......................... ................................ .................................. ................. ................................. ................................ ..................................
(ผลที่ตามมาของการปฏิเสธที่จะลงนามในความยินยอม)
หากภัยคุกคามนี้เกิดขึ้นได้ ฉันขอให้คุณตอบกลับอย่างมีเหตุผลเป็นลายลักษณ์อักษร ซึ่งฉันจะต้องอุทธรณ์การกระทำที่ผิดกฎหมายของเจ้าหน้าที่ (พนักงาน) และชดเชยความเสียหายทางวัตถุและศีลธรรม

ขอแสดงความนับถือ,
"____" _____________ 20___

24 กุมภาพันธ์ 2559 เวลา 17:35 น.

พื้นฐานของการประมวลผลข้อมูลส่วนบุคคล

  • บล็อกของ บริษัท Zartsyn และพันธมิตร
  • กฎหมายในไอที
  • สิทธิบัตร

เราได้เริ่มพูดถึงข้อมูลส่วนบุคคล การรวบรวมและการประมวลผลแล้ว แต่เราสามารถพูดคุยเกี่ยวกับเรื่องนี้ได้ไม่รู้จบและเราจะดำเนินการต่อ คราวที่แล้วเราพูดถึงการเปลี่ยนแปลงกฎหมาย แต่ไม่ได้คำนึงถึงสิ่งที่สำคัญที่สุด - คุณไม่ได้อ่านกฎหมายเอง!.. และจากการตัดสินจากความคิดเห็น ข้อมูลดังกล่าวจำเป็นต้องศึกษารายละเอียดเพิ่มเติม
ดังนั้นเราจึงอ่านกฎหมายทั้งหมดและเพิ่มเติมใหม่หลายครั้ง พวกเขาบีบมันออกมา อธิบายบรรทัดฐานและข้อกำหนดหลักอย่างชัดเจนทีละจุด

พื้นฐานของพื้นฐาน

"การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานของความถูกต้องตามกฎหมายและเป็นธรรม"- FZ-152 พูดว่า "ในข้อมูลส่วนบุคคล" จากแนวคิดเหล่านี้ หลักการที่เหลือเป็นพื้นฐาน ซึ่งสะท้อนถึงแก่นแท้ของการประมวลผลข้อมูลส่วนบุคคลเป็นกระบวนการ และนี่คือสิ่งที่คุณต้องจำไว้:

1. การประมวลผลข้อมูลส่วนบุคคลต้องสอดคล้องกับวัตถุประสงค์ในการรวบรวมข้อมูลส่วนบุคคล
ซึ่งหมายความว่าเรื่องของการประมวลผล PD (ผู้ซื้อ ลูกค้า พนักงาน ฯลฯ) จะต้องได้รับแจ้งถึงวัตถุประสงค์ของการประมวลผล ดังนั้น วัตถุประสงค์จะต้องสะท้อนให้เห็นในรูปแบบของความยินยอมเป็นลายลักษณ์อักษรในการประมวลผลข้อมูลส่วนบุคคล

2. ไม่ควรรวมฐานข้อมูลที่มีข้อมูลส่วนบุคคลซึ่งมีการดำเนินการเพื่อวัตถุประสงค์ที่เข้ากันไม่ได้
ทุกอย่างชัดเจนที่นี่: ไม่ควรรวมฐานข้อมูลส่วนบุคคลที่มีข้อมูลทางการเงินเกี่ยวกับพนักงานของบริษัท และฐานข้อมูลส่วนบุคคลของลูกค้าของบริษัท

3. ปริมาณของข้อมูลส่วนบุคคลที่กำลังประมวลผลไม่ควรมากเกินไปเมื่อเทียบกับวัตถุประสงค์ในการประมวลผล
ปรากฎว่าร้านค้าออนไลน์ที่ขายถุงเท้าสามารถประมวลผลข้อมูลส่วนบุคคลของผู้ซื้อ ซึ่งอาจมีข้อมูลเกี่ยวกับความชอบ กิจกรรมทางการตลาด แต่ข้อมูลส่วนบุคคลของผู้ซื้อที่ระบุว่าเขามีโรคภัยไข้เจ็บจะซ้ำซ้อนอย่างชัดเจน

4. เมื่อประมวลผลข้อมูลส่วนบุคคล จะต้องรับรองความถูกต้อง ความเพียงพอ และความเกี่ยวข้องที่เกี่ยวข้องกับวัตถุประสงค์ของการประมวลผล
ประการแรก นี่เป็นสิ่งจำเป็นสำหรับการดำเนินการที่มีนัยสำคัญทางกฎหมายอย่างมีคุณภาพและทันเวลาซึ่งใช้ข้อมูลส่วนบุคคล ตัวอย่างเช่น สำหรับการซื้อสินค้าโดยตรง

5. การจัดเก็บข้อมูลส่วนบุคคลควรดำเนินการไม่เกินที่กำหนดโดยวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ประมวลผลอาจถูกทำลายหรือทำให้ไม่มีตัวตนเมื่อบรรลุวัตถุประสงค์ในการประมวลผลหรือในกรณีที่สูญเสียความจำเป็นในการบรรลุวัตถุประสงค์เหล่านี้ นั่นคือถ้าร้านค้าออนไลน์ถูกปิด ฐานข้อมูลของข้อมูลส่วนบุคคลของลูกค้าจะไม่ถูกปล่อยให้เป็น "ศัตรู" อย่างน้อยก็ต้องถูกทำให้เป็นส่วนตัว

ขั้นตอนการทำงานกับข้อมูลส่วนบุคคล

1. ของสะสม
เมื่อรวบรวมข้อมูลส่วนบุคคลจากผู้เยี่ยมชมเว็บไซต์ เราแนะนำในทุกกรณีเพื่อระบุว่า:
  • ชื่อของโอเปอเรเตอร์;
  • วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลและพื้นฐานทางกฎหมาย
  • ผู้ใช้ที่ตั้งใจไว้ของข้อมูลส่วนบุคคล
  • สิทธิตามกฎหมายของข้อมูลส่วนบุคคล
  • แหล่งที่มาของข้อมูลส่วนบุคคล
นอกจากนี้ ตามคำร้องขอของพลเมือง ผู้ดำเนินการประมวลผลส่วนบุคคลต้องจัดเตรียม:
  • การยืนยันข้อเท็จจริงในการประมวลผลข้อมูลส่วนบุคคลโดยผู้ดำเนินการ
  • ชื่อและที่ตั้งของผู้ดำเนินการ ข้อมูลเกี่ยวกับบุคคลที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคล หรือผู้ที่อาจเปิดเผยข้อมูลส่วนบุคคลตามข้อตกลงกับผู้ให้บริการหรือตามกฎหมายของรัฐบาลกลาง
  • เงื่อนไขการประมวลผลข้อมูลส่วนบุคคล
  • ข้อมูลเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดนที่ดำเนินการหรือเสนอ
2. การจัดเก็บ
การจัดเก็บและการบันทึกการจัดระบบการสะสมการชี้แจงควรดำเนินการในอาณาเขตของสหพันธรัฐรัสเซีย - ทุกคนรู้เรื่องนี้แล้ว การจัดเก็บข้อมูลส่วนบุคคลสามารถทำได้ในรูปแบบใด ๆ รวมทั้งกระดาษ
การประมวลผลข้อมูลส่วนบุคคลอาจดำเนินการในต่างประเทศหากฐานข้อมูลในสหพันธรัฐรัสเซียมีข้อมูลส่วนบุคคลในปริมาณที่เท่ากันหรือมากกว่า

3. การใช้งาน
จดจำ! การดำเนินการกับข้อมูลส่วนบุคคลที่รวบรวมจะต้องดำเนินการอย่างเคร่งครัดตามวัตถุประสงค์ที่ได้รับ
นั่นคือหากข้อมูลถูกเก็บรวบรวมเมื่อซื้อถุงเท้าในร้านค้าออนไลน์ "A" ควรใช้สำหรับการขายของร้านค้า "A" เท่านั้นซึ่งข้อมูลนี้เหลืออยู่ หากข้อมูลนี้ใช้เพื่อขายอพาร์ทเมนท์ในแหล่งข้อมูลอื่น จะถือเป็นการใช้ข้อมูลส่วนบุคคลอย่างผิดกฎหมาย

4. การปิดกั้น
หากบุคคลนั้นพบว่ามีการใช้ข้อมูลของเขาอย่างผิดกฎหมายและหันไปหาคุณด้วยการเรียกร้อง (หรือตัวแทน / ผู้มีอำนาจที่เกี่ยวข้อง) คุณต้องบล็อกข้อมูลส่วนบุคคลของเขาและตรวจสอบความถูกต้องตามกฎหมายของการใช้งาน หากข้อมูลนี้ได้รับการประมวลผลโดยผู้รับเหมา คุณต้องทำทุกอย่างเพื่อบล็อกและตรวจสอบข้อมูลของผู้สมัคร
คุณต้องทำเช่นเดียวกันในกรณีที่พบว่าข้อมูลของเขาไม่ถูกต้อง
การบล็อกควรดำเนินการตั้งแต่ช่วงเวลาที่อุทธรณ์หรือได้รับคำขอให้ตรวจสอบ หากการบล็อกข้อมูลส่วนบุคคลไม่ละเมิดสิทธิ์และผลประโยชน์โดยชอบด้วยกฎหมายของข้อมูลส่วนบุคคลหรือบุคคลที่สาม

5. การทำลายล้าง
แต่เป็นความรับผิดชอบของคุณที่จะทำลายข้อมูลหรือรับประกันการยุติการใช้งานในกรณีที่มีการเพิกถอนความยินยอม นอกจากนี้ หากไม่ต้องการจัดเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลอีกต่อไป
ทั้งหมดนี้จะต้องดำเนินการให้เสร็จสิ้นภายในระยะเวลาไม่เกินสามสิบวันนับแต่วันที่ได้รับการเรียกคืน เว้นแต่สัญญาจะกำหนดไว้เป็นอย่างอื่น

โปรดจำไว้ว่าการละเมิดขั้นตอนที่กฎหมายกำหนดในการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูลเกี่ยวกับพลเมือง ถือเป็นคำเตือนหรือการปรับโทษทางปกครอง:

  • สำหรับพลเมืองจำนวนสามร้อยถึงห้าร้อยรูเบิล
  • สำหรับเจ้าหน้าที่ - จากห้าร้อยถึงหนึ่งพันรูเบิล
  • สำหรับนิติบุคคล - จากห้าพันถึงหนึ่งหมื่นรูเบิล
จำนวนเงินนั้นมีน้อย แต่การดึงดูดความสนใจของหน่วยงานกำกับดูแลอาจนำไปสู่ปัญหาร้ายแรงมากขึ้น

โบนัส

การถ่ายโอนข้อมูลข้ามพรมแดนเป็นไปได้ ไม่มีใครห้าม
แต่คุณต้อง
  • จัดเก็บและอัปเดตข้อมูลทั้งหมดบนเซิร์ฟเวอร์ในสหพันธรัฐรัสเซีย (ฐานข้อมูลหลัก)
  • ระบุไว้ใน "ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล" ที่คุณวางแผนที่จะถ่ายโอนข้อมูลนี้ไปยังประเทศอื่นและเพื่อวัตถุประสงค์เฉพาะใด (ไม่ว่าประเทศใดประเทศหนึ่งจะไม่ได้ระบุไว้ในกฎหมาย)
ตัวดำเนินการที่ฐานข้อมูลเหล่านี้ถูกถ่ายโอนมีหน้าที่รับผิดชอบในการใช้ข้อมูลที่ส่ง

ไม่อนุญาตให้เข้าถึงฐานข้อมูลจากระยะไกลในอาณาเขตของสหพันธรัฐรัสเซียจากอาณาเขตของรัฐอื่น FZ-242

นั่นคือทั้งหมดที่เพื่อนร่วมงาน ขอให้ความเมตตาของ Eru อยู่กับคุณ!

การประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากบุคคลนั้นเป็นไปได้เฉพาะในกรณีที่กฎหมายกำหนด การใช้ข้อมูลดังกล่าวโดยละเมิดขั้นตอนหรือโดยไม่มีเหตุผลที่เหมาะสมนำมาซึ่งความรับผิดทางแพ่ง แรงงาน การบริหารและทางอาญา

ในกรณีใดบ้างที่ได้รับอนุญาตให้ถ่ายโอนไปยังบุคคลที่สามและการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ เกี่ยวกับเรื่องนี้?

กฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" ลงวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ ได้กำหนด 2 ตัวเลือกซึ่งการประมวลผลข้อมูลส่วนบุคคลของพลเมือง (เรื่อง) ถูกกฎหมาย:

  1. เมื่อได้รับความยินยอมจากเขาแล้ว
  2. โดยไม่ได้รับความยินยอมในกรณีต่อไปนี้
    • การใช้ข้อมูลโดยบุคคลอื่นเพื่อความต้องการส่วนบุคคลและครอบครัว หากไม่ละเมิดสิทธิของพลเมือง
    • การป้อนข้อมูลส่วนบุคคลลงในฐานข้อมูลของ Archival Fund of Russia
    • การตัดสินใจจัดประเภทข้อมูลเป็นความลับของรัฐ (ในกรณีนี้ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลในการจัดประเภทข้อมูลเกี่ยวกับเขา)
    • ความจำเป็นในการใช้ข้อมูลเพื่อดำเนินการตามข้อกำหนดของสนธิสัญญาและกฎหมายระหว่างประเทศของรัสเซีย
    • การมีส่วนร่วมของบุคคลในกระบวนการพิจารณาคดีและเกี่ยวข้องกับการมีส่วนร่วมดังกล่าว
    • ใช้สำหรับการดำเนินการตามกระบวนการยุติธรรมหรือบทบัญญัติของเอกสารรับรองโดยหน่วยงานของกระบวนการบังคับใช้;
    • ใบเสร็จรับเงินโดยบุคคลของเทศบาลหรือบริการของรัฐ
    • การรับรู้โดยบุคคลเกี่ยวกับตัวเขาเองที่เปิดเผยต่อสาธารณะ
    • ข้อสรุปและการดำเนินการตามข้อตกลงที่บุคคลนั้นทำหน้าที่เป็นคู่สัญญาหรือผู้รับผลประโยชน์
    • ความเป็นไปไม่ได้ที่จะได้รับความยินยอมในกรณีที่เป็นอันตรายต่อชีวิตสุขภาพผลประโยชน์ที่สำคัญของบุคคล
    • การใช้สิทธิ การประกันผลประโยชน์ของผู้ดำเนินการ (การประมวลผลข้อมูล) หรือบุคคลที่สาม การบรรลุเป้าหมายที่สำคัญทางสังคม
    • ดำเนินกิจกรรมทางวิชาชีพของนักข่าวและสื่อ กิจกรรมสร้างสรรค์ โดยไม่เป็นการละเมิดสิทธิมนุษยชน
    • การใช้ข้อมูลที่ไม่ระบุตัวตนเกี่ยวกับบุคคลเพื่อการวิจัยและวัตถุประสงค์ทางสถิติ ยกเว้นการรณรงค์ทางการเมือง การส่งเสริมสินค้า บริการ และผลงานในตลาด
    • ความจำเป็นในการเปิดเผยข้อมูลที่จำเป็น การเผยแพร่ข้อมูลตามคำแนะนำของกฎหมาย (เช่น ข้าราชการจะต้องเปิดเผยข้อมูลเกี่ยวกับรายได้ของตน)

ขั้นตอนการประมวลผล (การจัดเก็บ การกระจาย ฯลฯ) ข้อมูลโดยไม่ได้รับอนุมัติจากเรื่อง

ขั้นตอนทั่วไปสำหรับการประมวลผลโดยผู้ดำเนินการข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองโดยไม่ได้รับอนุญาตพิเศษมีดังนี้:

  1. ผู้ดำเนินการหากมีเหตุทางกฎหมายจะได้รับข้อมูล ไม่จำเป็นต้องแจ้งให้บุคคลทราบเกี่ยวกับการเริ่มต้นการประมวลผลข้อมูลของเขา แต่ในบางกรณี การแจ้งเตือนจะถูกส่งไปยัง Roskomnadzor
  2. ตัวดำเนินการดำเนินการที่จำเป็น (รวบรวม บันทึก โอน ชี้แจง ฯลฯ) ตามที่ระบุไว้ในอาร์ท 5 ของกฎหมายหมายเลข 152-FZ การกระทำของผู้ใช้ถูกจำกัดเพื่อวัตถุประสงค์ในการประมวลผล
  3. หลังจากที่บรรลุเป้าหมายหรือหลังจากความต้องการใช้สิ้นสุดลง ข้อมูลจะถูกทำลายหรือทำให้ไม่มีความเป็นส่วนตัว

ขั้นตอนเพิ่มเติมอาจเป็นความท้าทายโดยบุคคลที่ชอบใช้ข้อมูลเกี่ยวกับตัวเขา หน่วยงานระงับข้อพิพาทคือ (ทางเลือกของพลเมือง) ศาลหรือ Roskomnadzor ในการแก้ไขข้อขัดแย้ง ผู้ดำเนินการแสดงหลักฐานการมีอยู่ของสถานการณ์ที่อนุญาตให้เขาใช้ข้อมูลโดยไม่ได้รับการอนุมัติหรือขัดต่อข้อห้ามของพลเมือง

ความรับผิดชอบของผู้ประกอบการ

ในกรณีที่ผู้ดำเนินการละเมิดขั้นตอนและเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล เขาอาจต้องรับผิดในความรับผิดประเภทต่างๆ:

ประเภทความรับผิดชอบ

ตัวอย่างการละเมิด

การลงโทษ

พื้นฐานทางกฎหมาย

พลเรือน

เกิดโทษทางศีลธรรม

การจ่ายเงินชดเชย

ศิลปะ. 24 แห่งกฎหมายหมายเลข 152-FZ, ศิลปะ. 1099 GK

วินัย

การเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับคนงานคนอื่น

เลิกจ้าง

การละเมิดกฎหมายในการประมวลผลข้อมูล

นำมาสู่ความรับผิดชอบทางวินัยและการเงิน

ธุรการ

การประมวลผลข้อมูลที่ขัดต่อวัตถุประสงค์ของการรวบรวมข้อมูล

  • พลเมือง - 1,000-3,000 รูเบิล;
  • เจ้าหน้าที่ - 5,000-10,000 รูเบิล;
  • องค์กร - 30,000-50,000 รูเบิล

ส่วนที่ 1 ศิลปะ 13.11 รหัสปกครอง

อาชญากร

ละเมิดความเป็นส่วนตัว

การลงโทษทางเลือก:

  • ปรับมากถึง 200,000 รูเบิล
  • งานบังคับสูงสุด 360 ชั่วโมง
  • ราชทัณฑ์ - ไม่เกิน 1 ปี
  • ภาคบังคับ - ไม่เกิน 2 ปี
  • จำคุกไม่เกิน 2 ปี เป็นต้น

ส่วนที่ 1 ศิลปะ 137 UK

การปฏิเสธหรือการหลอกลวงในส่วนของเจ้าหน้าที่เมื่อให้ข้อมูลเกี่ยวกับเขาแก่พลเมือง

ค่าปรับ (200,000 รูเบิลหรือรายได้ไม่เกินหนึ่งปีครึ่ง) หรือถูกลิดรอนสิทธิในการทำกิจกรรมบางอย่างเป็นเวลา 2-5 ปี

การเข้าถึงข้อมูลคอมพิวเตอร์โดยไม่มีสิทธิ์ทำเช่นนั้น

ปรับ (200,000 รูเบิลหรือรายได้สูงสุดหนึ่งปีครึ่ง) แรงงานราชทัณฑ์สูงสุดหนึ่งปีหรือแรงงานบังคับ จำกัด หรือจำคุกไม่เกิน 2 ปี

ส่วนที่ 1 ศิลปะ 272 สหราชอาณาจักร

ดังนั้นการประมวลผลข้อมูลโดยไม่ได้รับอนุญาตจากเรื่องจึงเป็นไปได้หากผู้ดำเนินการได้รับสิทธิ์ดังกล่าวตามกฎหมาย การใช้ข้อมูลในกรณีนี้ควรดำเนินการในขอบเขตที่จำเป็นเพื่อให้บรรลุเป้าหมายของผู้ปฏิบัติงาน หลังจากนั้นข้อมูลจะถูกทำลายหรือถูกทำให้ไม่มีความเป็นส่วนตัว บุคคลที่เชื่อว่ามีการใช้ข้อมูลส่วนบุคคลของเขาอย่างผิดกฎหมายมีสิทธิที่จะยื่นคำร้องต่อศาลหรือ Roskomnadzor

ไม่ทราบสิทธิของคุณ?

กระบวนการประมวลผลข้อมูลส่วนบุคคลของพลเมืองใด ๆ กำหนดไว้ในกฎหมายของรัฐบาลกลางหมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล" ในขั้นต้น กฎหมายฉบับนี้ได้รับการรับรองเมื่อวันที่ 27 กรกฎาคม พ.ศ. 2549 และต่อมามีการเปลี่ยนแปลงและเพิ่มเติมในภายหลัง

กฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" กำหนดความสัมพันธ์ระหว่างรัฐ หน่วยงานเทศบาล บุคคลและนิติบุคคลในด้านการประมวลผลและปกป้องข้อมูลส่วนบุคคล ซึ่งดำเนินการโดยใช้เครื่องมืออัตโนมัติหรือไม่มีเครื่องมือดังกล่าว

วัตถุประสงค์ของกฎหมายนี้คือเพื่อให้มั่นใจในการคุ้มครองเสรีภาพและสิทธิของพลเมืองด้วยวิธีการทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล รวมถึงความเป็นส่วนตัว ครอบครัว และความลับส่วนบุคคล

องค์กรใดที่อยู่ภายใต้ข้อกำหนดของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"?

องค์กรใด ๆ มีโอกาสที่จะไม่ควบคุมการกระทำของตนตามบทที่ 1 ของข้อ 2 ของกฎหมายของรัฐบาลกลางหมายเลข 152-FZ "ในข้อมูลส่วนบุคคล" เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในกรณีเช่น:

1. การประมวลผลข้อมูลส่วนบุคคลโดยบุคคลเพียงเพื่อความต้องการส่วนบุคคลและครอบครัวเท่านั้น หากไม่ละเมิดสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
2. องค์กรสำหรับการจัดเก็บ การได้มา การบัญชี และการใช้เอกสารที่มีข้อมูลส่วนบุคคลของ Archival Fund ของสหพันธรัฐรัสเซียและเอกสารสำคัญอื่น ๆ ตามกฎหมายว่าด้วยการเก็บถาวรในสหพันธรัฐรัสเซีย
3. การประมวลผลข้อมูลส่วนบุคคลที่จำแนกตามขั้นตอนที่กำหนดไว้เป็นข้อมูลที่เป็นความลับของรัฐ
4. บทบัญญัติของข้อมูลที่ได้รับอนุญาตเกี่ยวกับกิจกรรมของศาลในสหพันธรัฐรัสเซียตามกฎหมายของรัฐบาลกลางเมื่อวันที่ 22 ธันวาคม 2551 N 262-FZ "ในการรับรองการเข้าถึงข้อมูลเกี่ยวกับกิจกรรมของศาลในสหพันธรัฐรัสเซีย" .

เมื่อองค์กรไม่อยู่ภายใต้ประเด็นข้างต้น ก็จำเป็นต้องปฏิบัติตามข้อกำหนดของกฎหมาย กรณีอื่นๆ ทั้งหมดที่เกี่ยวข้องกับการรวบรวม การประมวลผล และการจัดเก็บข้อมูลส่วนบุคคลจะได้รับการควบคุมตามกฎหมายของรัฐบาลกลางฉบับที่ 152 "เกี่ยวกับข้อมูลส่วนบุคคล" เกือบทุกองค์กรอยู่ภายใต้ข้อกำหนดเหล่านี้ เนื่องจากบริษัทเกือบทั้งหมดดำเนินการไม่ทางใดก็ทางหนึ่งกับข้อมูลส่วนบุคคลของพนักงานหรือบุคคลอื่น ข้อมูลส่วนบุคคลทั้งหมดจะต้องถูกเก็บเป็นความลับอย่างเคร่งครัด

เพื่อลดความเสี่ยงของการเรียกร้องจากเจ้าของข้อมูลส่วนบุคคลและหน่วยงานของรัฐ จำเป็นต้องดำเนินการชุดงานที่แสดงให้เห็นถึงความจำเป็นในการประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ยังจำเป็นต้องปฏิบัติตามข้อกำหนดสำหรับการรักษาความลับทั้งในการประมวลผลที่ไม่ใช่อัตโนมัติและในกรณีของการประมวลผลข้อมูลส่วนบุคคลในระบบข้อมูล

ข้อมูลส่วนบุคคล - มันคืออะไร?

ในบทที่ 1 มาตรา 3 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" มีคำจำกัดความของข้อมูลส่วนบุคคล:

- ข้อมูลส่วนบุคคล - ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้โดยตรงหรือโดยอ้อม (เรื่องของข้อมูลส่วนบุคคล)

ซึ่งอาจเป็นนามสกุล ชื่อ นามสกุล ที่อยู่และอีเมล หมายเลขติดต่อ ที่อยู่ ศาสนา สถานภาพการสมรส รูปถ่าย ข้อมูลเกี่ยวกับญาติ และอื่นๆ อีกมากมาย แต่ละองค์กรที่เป็นเจ้าของข้อมูลดังกล่าวจำเป็นต้องปกป้องระบบข้อมูลที่จะจัดเก็บข้อมูลดังกล่าว

การรวบรวม การจัดเก็บ และการประมวลผลข้อมูลส่วนบุคคล

หากจำเป็นต้องได้รับข้อมูลส่วนบุคคลของพนักงานหรือบุคคลอื่น องค์กรมีสิทธิ์ที่จะรวบรวมโดยตรงจากตัวเรื่องเอง หากสามารถรับข้อมูลจากบุคคลที่สามเท่านั้น บุคคลนั้นจะต้องได้รับแจ้งและต้องให้ความยินยอมเป็นลายลักษณ์อักษรสำหรับขั้นตอนนี้ ในทางกลับกัน ผู้ดำเนินการจำเป็นต้องแจ้งพลเมืองเกี่ยวกับเป้าหมายที่เขาดำเนินการเมื่อได้รับและประมวลผลข้อมูลส่วนบุคคลของเขา

ทุกอย่างที่เกี่ยวข้องกับเหตุผลทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลนั้นระบุไว้ในบทที่ 2 บทความ 6 ข้อ 1 ฉบับที่ 152 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล":

1) การประมวลผลข้อมูลส่วนบุคคลดำเนินการโดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของเขา
2) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นเพื่อให้บรรลุเป้าหมายที่กำหนดไว้โดยสนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซียหรือกฎหมายสำหรับการดำเนินการและปฏิบัติตามหน้าที่อำนาจและหน้าที่ที่ได้รับมอบหมายจากกฎหมายของสหพันธรัฐรัสเซียให้กับผู้ดำเนินการ ;
3) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการบริหารกระบวนการยุติธรรม การดำเนินการตามกระบวนการยุติธรรม การกระทำของหน่วยงานอื่น หรือเจ้าหน้าที่ที่อยู่ภายใต้การดำเนินการตามกฎหมายของสหพันธรัฐรัสเซียในการดำเนินการบังคับใช้ (ต่อไปนี้จะเรียกว่า การดำเนินการตามพระราชบัญญัติตุลาการ);
4) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการให้บริการของรัฐหรือเทศบาลตามกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 กรกฎาคม 2010 N 210-FZ "ในองค์กรของการให้บริการของรัฐและเทศบาล" เพื่อให้แน่ใจว่าบทบัญญัติ ของบริการดังกล่าวเพื่อลงทะเบียนเรื่องของข้อมูลส่วนบุคคลในพอร์ทัลเดียวของรัฐและบริการเทศบาล
5) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามข้อตกลงที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือผู้รับผลประโยชน์หรือผู้ค้ำประกัน ตลอดจนการสรุปข้อตกลงเกี่ยวกับความคิดริเริ่มของหัวข้อข้อมูลส่วนบุคคลหรือข้อตกลงภายใต้ ซึ่งเรื่องของข้อมูลส่วนบุคคลจะเป็นผู้รับผลประโยชน์หรือผู้ค้ำประกัน
6) การประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นในการปกป้องชีวิต สุขภาพ หรือผลประโยชน์ที่สำคัญอื่น ๆ ของข้อมูลส่วนบุคคล หากได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้นเป็นไปไม่ได้
7) การประมวลผลข้อมูลส่วนบุคคลจำเป็นต่อการใช้สิทธิ์และผลประโยชน์โดยชอบด้วยกฎหมายของผู้ปฏิบัติงานหรือบุคคลที่สาม หรือเพื่อให้บรรลุเป้าหมายที่สำคัญทางสังคม โดยต้องไม่ละเมิดสิทธิ์และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
8) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับกิจกรรมระดับมืออาชีพของนักข่าวและ (หรือ) กิจกรรมที่ถูกต้องตามกฎหมายของสื่อหรือกิจกรรมทางวิทยาศาสตร์ วรรณกรรมหรือสร้างสรรค์อื่น ๆ โดยมีเงื่อนไขว่าสิทธิ์และผลประโยชน์โดยชอบด้วยกฎหมายของหัวข้อข้อมูลส่วนบุคคลนั้นไม่ ละเมิด;
9) การประมวลผลข้อมูลส่วนบุคคลดำเนินการเพื่อวัตถุประสงค์ทางสถิติหรือการวิจัยอื่น ๆ ยกเว้นวัตถุประสงค์ที่ระบุไว้ในมาตรา 15 ของกฎหมายของรัฐบาลกลางนี้ โดยอยู่ภายใต้บังคับของข้อมูลส่วนบุคคล
10) ดำเนินการประมวลผลข้อมูลส่วนบุคคล เข้าถึงบุคคลได้ไม่จำกัดจำนวนโดยหัวข้อข้อมูลส่วนบุคคลหรือตามคำขอของเขา (ต่อไปนี้จะเรียกว่าข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะโดยเจ้าของข้อมูลส่วนบุคคล)
11) การประมวลผลข้อมูลส่วนบุคคลขึ้นอยู่กับการตีพิมพ์หรือการเปิดเผยข้อมูลบังคับตามกฎหมายของรัฐบาลกลาง

หากองค์กรประมวลผลข้อมูลส่วนบุคคลที่ขัดต่อวรรคข้างต้น แสดงว่าเป็นการละเมิดกฎหมายของรัฐบาลกลาง

องค์กรมีหน้าที่ต้องรับรองการรักษาความลับของข้อมูลส่วนบุคคลที่มีอยู่ตามมาตรา 7 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ข้อยกเว้นคือกรณีเหล่านั้นเมื่อข้อมูลส่วนบุคคลไม่เปิดเผยชื่อหรือเมื่อเปิดเผยต่อสาธารณะ
มาตรา 8 ระบุว่าอาจมีแหล่งข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ อาจมีนามสกุล ชื่อ นามสกุล ประเทศและปีเกิด ที่อยู่ หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับอาชีพหรือข้อมูลส่วนบุคคลอื่น ๆ ของอาสาสมัคร ซึ่งเขาให้ความยินยอมเป็นลายลักษณ์อักษร ซึ่งรวมถึง ตัวอย่างเช่น ไดเร็กทอรีหรือสมุดที่อยู่ ข้อมูลนี้อาจถูกกีดกันจากความพร้อมโดยการตัดสินใจของหัวเรื่องหรือหน่วยงานที่ได้รับอนุญาตของรัฐ

หลักการและเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล

ในกระบวนการประมวลผลข้อมูลส่วนบุคคล แต่ละองค์กรต้องปฏิบัติตามหลักการที่กำหนดไว้ในบทที่ 2 ของข้อ 5 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล":

1. การประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการอย่างถูกต้องตามกฎหมายและยุติธรรม
2. การประมวลผลข้อมูลส่วนบุคคลควรจำกัดให้บรรลุวัตถุประสงค์เฉพาะ ที่กำหนดไว้ล่วงหน้า และชอบด้วยกฎหมายเท่านั้น ไม่อนุญาตให้ประมวลผลข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ในการรวบรวมข้อมูลส่วนบุคคล
3. ไม่อนุญาตให้รวมฐานข้อมูลที่มีข้อมูลส่วนบุคคลซึ่งดำเนินการเพื่อวัตถุประสงค์ที่ไม่เข้ากัน
4. เฉพาะข้อมูลส่วนบุคคลที่ตรงตามวัตถุประสงค์ของการประมวลผลเท่านั้นที่จะถูกประมวลผล
5. เนื้อหาและขอบเขตของข้อมูลส่วนบุคคลที่ประมวลผลต้องสอดคล้องกับวัตถุประสงค์ที่ระบุไว้ในการประมวลผล ข้อมูลส่วนบุคคลที่ประมวลผลไม่ควรมากเกินไปเมื่อเทียบกับวัตถุประสงค์ที่ระบุไว้ในการประมวลผล
6. เมื่อประมวลผลข้อมูลส่วนบุคคล จะต้องรับรองความถูกต้องของข้อมูลส่วนบุคคล ความเพียงพอ และความเกี่ยวข้องที่เกี่ยวข้องกับวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล หากจำเป็น ผู้ปฏิบัติงานต้องใช้มาตรการที่จำเป็นหรือตรวจสอบให้แน่ใจว่าได้ดำเนินการลบหรือชี้แจงข้อมูลที่ไม่สมบูรณ์หรือไม่ถูกต้อง
7. การจัดเก็บข้อมูลส่วนบุคคลควรดำเนินการในรูปแบบที่อนุญาตให้กำหนดหัวข้อของข้อมูลส่วนบุคคล ไม่เกินที่กำหนดโดยวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล หากระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลไม่ได้กำหนดไว้โดยกฎหมายของรัฐบาลกลาง ข้อตกลงที่ผู้รับผลประโยชน์หรือผู้ค้ำประกันเป็นคู่สัญญา โดยที่บุคคลนั้นเป็นข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่ประมวลผลอาจถูกทำลายหรือทำให้ไม่มีความเป็นส่วนตัวเมื่อบรรลุวัตถุประสงค์ในการประมวลผลหรือในกรณีที่สูญเสียความจำเป็นในการบรรลุวัตถุประสงค์เหล่านี้ เว้นแต่กฎหมายของรัฐบาลกลางจะกำหนดไว้เป็นอย่างอื่น

เงื่อนไขที่องค์กรต้องปฏิบัติตามในกระบวนการประมวลผลข้อมูลส่วนบุคคลนั้นกำหนดไว้ในมาตรา 6 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" และประกอบด้วยข้อเท็จจริงที่ว่าผู้ดำเนินการเมื่อประมวลผลข้อมูลส่วนบุคคลของอาสาสมัครมีสิทธิ์ในการประมวลผล โดยได้รับความยินยอมเป็นลายลักษณ์อักษรจากพระองค์เท่านั้น
อย่างไรก็ตาม ในบางกรณีไม่จำเป็นต้องได้รับความยินยอมดังกล่าว ตัวอย่างเช่น หากการประมวลผลข้อมูลส่วนบุคคลดำเนินการเพื่อวัตถุประสงค์ทางวิทยาศาสตร์และสถิติต่างๆ โดยมีเงื่อนไขบังคับในการลดความเป็นส่วนตัวของข้อมูลส่วนบุคคล หรือเมื่อการประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต่อสุขภาพ ชีวิต หรือผลประโยชน์ที่สำคัญอื่นๆ ของเจ้าของข้อมูลดังกล่าว

ภาระหน้าที่ของผู้ดำเนินการข้อมูลส่วนบุคคล

บทที่ 4 ของข้อ 18 ของกฎหมายของรัฐบาลกลางหมายเลข 3,152 "ในข้อมูลส่วนบุคคล" มีข้อมูลที่สมบูรณ์เกี่ยวกับความรับผิดชอบของผู้ประมวลผลข้อมูล
เมื่อพิจารณาถึงประเด็นสำคัญของข้อกฎหมายนี้ หลักการที่สำคัญที่สุดหลายประการสามารถแยกแยะได้

ผู้ประกอบการมีหน้าที่:

– เพื่อประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย
— ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด
- รับรองการรักษาความลับ
– ตอบทุกคำถามของเจ้าของเกี่ยวกับข้อมูลส่วนบุคคลของเขาภายในระยะเวลาที่กฎหมายกำหนด
– ทำลายข้อมูลส่วนบุคคลหลังจากถึงกำหนดเส้นตายสำหรับการประมวลผลของพวกเขา
- แจ้งแผนก Roskomnadzor เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและมาตรการที่ใช้ในการปกป้องพวกเขา

บทความนี้ยังระบุด้วยว่าหากเจ้าของข้อมูลส่วนบุคคลปฏิเสธที่จะให้ข้อมูลส่วนบุคคลที่เขาจำเป็นต้องให้ตามกฎหมายของรัฐบาลกลาง ผู้ดำเนินการต้องอธิบายให้เจ้าของทราบเกี่ยวกับผลที่ตามมาของการปฏิเสธดังกล่าว

กิจกรรมอิสระขององค์กรในการปกป้องข้อมูลส่วนบุคคล

การรวบรวม การประมวลผล และการปกป้องข้อมูลส่วนบุคคลในสหพันธรัฐรัสเซียเป็นกิจกรรมที่ได้รับอนุญาต การพัฒนาวิธีการปกป้องข้อมูลส่วนบุคคลเป็นความรับผิดชอบของ FSB ของรัสเซียและ FSTEC ของรัสเซีย
ในทางกลับกัน องค์กรสามารถทำงานนี้ได้เพียงบางส่วนเท่านั้น ตัวอย่างเช่น รวบรวมข้อมูล งานที่เหลือต้องมีใบอนุญาตสำหรับการปกป้องข้อมูลทางเทคนิคที่เป็นความลับตลอดจนการติดตั้งเครื่องมือป้องกันการเข้ารหัส

การตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

องค์กรที่ตรวจสอบการประมวลผลข้อมูลส่วนบุคคลอย่างถูกกฎหมายเรียกว่า Federal Service for Supervision of Communications, Information Technology and Mass Communications (Roskomnadzor)
Roskomnadzor ดำเนินการควบคุมของรัฐและกำกับดูแลการปฏิบัติตามข้อกำหนดของกฎหมายปัจจุบันในด้าน:
- สื่อมวลชน การออกอากาศ TVR และการสื่อสารมวลชน - ข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียหมายเลข 2124-1 เมื่อวันที่ 27 ธันวาคม 2534 "เกี่ยวกับวิธีการสื่อสารมวลชน" รวมถึงการปฏิบัติตามเงื่อนไขใบอนุญาต
- การสื่อสาร - ข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 126 วันที่ 7 กรกฎาคม 2546 "ในการสื่อสาร" เช่นเดียวกับข้อบังคับรวมถึงความถูกต้องของใบอนุญาตและการใช้คลื่นความถี่วิทยุ
- ข้อมูลส่วนบุคคล - กฎหมายของรัฐบาลกลางเมื่อวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152 "เกี่ยวกับข้อมูลส่วนบุคคล"

พื้นฐานทางกฎหมายสำหรับการดำเนินการควบคุมและกำกับดูแลของรัฐคือกฎหมายของรัฐบาลกลางเมื่อวันที่ 26 ธันวาคม 2551 ฉบับที่ 294 "ในการคุ้มครองสิทธิของนิติบุคคลและผู้ประกอบการรายบุคคลในการดำเนินการตามการควบคุมของรัฐ (การกำกับดูแล) และการควบคุมของเทศบาล"

Roskomnadzor ดำเนินการตรวจสอบหลายประเภท:

หนึ่ง). เช็คตามกำหนด.
การตรวจสอบนี้สามารถดำเนินการได้บนพื้นฐานของและภายในกำหนดเวลาที่แน่นอนซึ่งระบุไว้ในแผนการตรวจสอบที่จัดทำโดย Roskomnadzor และได้รับการอนุมัติจากสำนักงานอัยการ ตามวรรค 4 ของข้อ 27 ของกฎหมายของรัฐบาลกลาง "ในการสื่อสาร" Roskomnadzor มีสิทธิ์ดำเนินการตรวจสอบประเภทนี้ไม่เกิน 3 ปี
องค์กรใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลสามารถรวมอยู่ในแผนการตรวจสอบ Roskomnadzor
พื้นฐานสำหรับการดำเนินการตรวจสอบตามกำหนดเวลาคือข้อเท็จจริงที่ว่าผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคลได้เริ่มดำเนินการแล้ว รวมถึงระยะเวลาสามปีนับจากวันที่ลงทะเบียนของรัฐในฐานะผู้ดำเนินการข้อมูลส่วนบุคคลหรือเสร็จสิ้นการตรวจสอบตามกำหนดเวลาที่เกี่ยวข้องกับ ผู้ประกอบการหลังจากสามปีจากการตรวจสอบตามกำหนดครั้งก่อน

2). เช็คที่ไม่ได้กำหนดไว้
เหตุผลสำหรับการตรวจสอบประเภทนี้คือ:
– การตรวจสอบการปฏิบัติตามคำสั่งเพื่อกำจัดการละเมิดที่ระบุซึ่งออกก่อนหน้านี้
— การตรวจจับการละเมิดข้อกำหนดบังคับอันเป็นผลมาจากการสังเกตอย่างเป็นระบบ
— ความต้องการของพนักงานอัยการในการดำเนินการตรวจสอบที่ไม่ได้กำหนดเวลาตามวัสดุที่ได้รับและอุทธรณ์ไปยังสำนักงานอัยการจากประชาชนผู้ประกอบการรายบุคคลนิติบุคคลหน่วยงานของรัฐและเทศบาล
— การละเมิดสิทธิ์ทางกฎหมายและผลประโยชน์ของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซียเนื่องจากการไม่ดำเนินการของผู้ประกอบการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
- คำสั่งของหัวหน้าบริการซึ่งออกตามคำแนะนำของประธานาธิบดีแห่งสหพันธรัฐรัสเซียหรือรัฐบาลสหพันธรัฐรัสเซีย
การตรวจสอบจะดำเนินการภายในระยะเวลาไม่เกิน 20 วันทำการ แต่ในขณะเดียวกันหากมีเหตุผลร้ายแรงก็สามารถขยายเวลาตามคำสั่งจากหัวหน้าแผนก Roskomnadzor ให้ทำงานเพิ่มเติมได้อีก 20 รายการ วัน
นอกจากนี้ กิจกรรมการตรวจสอบสามารถทำได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
ก) ฟิลด์ กล่าวคือ การตรวจสอบเกิดขึ้นที่ตำแหน่งของบุคคลที่ถูกตรวจสอบ
b) เอกสารคำขอเป็นลายลักษณ์อักษรของผู้ดำเนินการเพื่อให้เอกสารและข้อมูลที่จำเป็น หากไม่ได้จัดเตรียมเอกสารและข้อกำหนดของเอกสารนั้นต้องกระทำโดยกฎหมายโดยไม่ผิด ค่าปรับจะถูกปรับ หากยังไม่ได้ชำระค่าปรับทางปกครองก็สามารถเพิ่มเป็นสองเท่าได้
ค) การสังเกตอย่างเป็นระบบจะดำเนินการโดยไม่มีปฏิสัมพันธ์กับบุคคลที่ถูกตรวจสอบ และไม่มีเอกสารและข้อมูลที่จำเป็นจากบุคคลที่ถูกตรวจสอบ ผู้เชี่ยวชาญของรัฐ - ผู้ตรวจการของกรมดินแดน Roskomnadzor ได้ข้อสรุปเกี่ยวกับกิจกรรมของผู้ตรวจสอบตามการกระทำของเขาที่เกี่ยวข้องกับวิชาที่ไม่แน่นอน

ความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลอย่างผิดกฎหมาย

ผู้ดำเนินการต้องไม่อนุญาตให้มีการรวบรวม จัดเก็บ ใช้ และเผยแพร่ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัวและชีวิตครอบครัว การติดต่อลับ โทรเลข ไปรษณีย์หรือข้อความอื่น การสนทนาทางโทรศัพท์ เว้นแต่จะมีคำตัดสินของศาลหรือพื้นฐานทางกฎหมายสำหรับการกระทำเหล่านี้

ผู้ดำเนินการไม่มีสิทธิ์ใช้ข้อมูลส่วนบุคคลเพื่อจุดประสงค์ในการก่อให้เกิดความเสียหายต่อศีลธรรมและทรัพย์สินแก่ประชาชน รวมทั้งทำให้ยากต่อการใช้เสรีภาพและสิทธิของตน นอกจากนี้ ผู้ดำเนินการข้อมูลส่วนบุคคลไม่มีสิทธิ์ในการจำกัดสิทธิ์ของพลเมืองของสหพันธรัฐรัสเซีย ในขณะที่ใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับชาติ เชื้อชาติ ศาสนา ภาษา หรือสังกัดพรรค
บุคคลและนิติบุคคลตามอำนาจของตน เป็นเจ้าของข้อมูลส่วนบุคคลใด ๆ เกี่ยวกับพลเมือง ใช้ในขณะที่ละเมิดกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" จะต้องรับผิดชอบต่อการกระทำนี้ตามกฎหมายปัจจุบันของสหพันธรัฐรัสเซีย

บุคคลเหล่านั้นที่ละเมิดกฎหมายของรัฐบาลกลาง "ในข้อมูลส่วนบุคคล" จะต้องรับผิดทางแพ่ง ทางปกครอง ทางวินัย ทางอาญา หรืออื่นๆ ตามกฎหมายปัจจุบันของสหพันธรัฐรัสเซีย

ประมวลกฎหมายว่าด้วยการละเมิดทางปกครอง (CAO):

ก) ข้อ 13.11 การละเมิดขั้นตอนที่กฎหมายกำหนดสำหรับการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูลเกี่ยวกับพลเมือง (ข้อมูลส่วนบุคคล) บทความนี้กล่าวถึงคำเตือนหรือการปรับโทษทางปกครองเกี่ยวกับ:
- พลเมืองจำนวน 300-500 รูเบิล
– เจ้าหน้าที่ในจำนวน 500-1,000 รูเบิล
- นิติบุคคลในจำนวน 5,000-10,000 รูเบิล

ข) ข้อ 13.12 การละเมิดกฎการปกป้องข้อมูล
ตามบทความนี้ ค่าปรับทางปกครองสำหรับผู้ฝ่าฝืนกฎหมายเป็นจำนวนเงิน 500 ถึง 30,000 รูเบิล นอกจากนี้ นิติบุคคลอาจถูกริบหรือระงับกิจกรรมทางปกครองเป็นระยะเวลา 3 เดือน
C) ข้อ 13.14 การเปิดเผยข้อมูลที่มีการจำกัดการเข้าถึง
ตามบทความนี้ เป็นไปได้ที่จะกำหนดค่าปรับทางปกครองเมื่อ:
- พลเมืองจำนวน 4 ถึง 5 พันรูเบิล

ง) ข้อ 19.5 ความล้มเหลวในการปฏิบัติตามคำสั่งทางกฎหมาย (พระราชกฤษฎีกา การนำเสนอ การตัดสินใจ) ของร่างกาย (เจ้าหน้าที่) ที่ใช้การควบคุมของรัฐ (การควบคุม) ในเวลาที่เหมาะสม
ผู้ฝ่าฝืนบทความนี้ถูกปรับทางปกครองตั้งแต่ 300 rubles ถึง 500,000 rubles หรือการตัดสิทธิ์สูงสุด 3 ปี

ประมวลกฎหมายอาญา (CC).

มาตรา 137 การละเมิดความเป็นส่วนตัว
บทความนี้ระบุว่าสำหรับการรวบรวมหรือเผยแพร่ข้อมูลเกี่ยวกับชีวิตส่วนตัวของเรื่องอย่างผิดกฎหมายซึ่งเป็นครอบครัวหรือความลับส่วนตัวโดยไม่ได้รับความยินยอมจากเขาหรือการเผยแพร่ข้อมูลดังกล่าวผ่านสื่อต้องรับผิดในรูปแบบ
- ปรับไม่เกิน 200,000 รูเบิลหรือเท่ากับค่าจ้าง 18 เดือน
- งานบังคับสูงสุด 360 ชั่วโมง
- แรงงานราชทัณฑ์นานถึง 1 ปี
- แรงงานบังคับนานถึง 2 ปี
– ห้ามทำกิจกรรมบางอย่างนานถึง 3 ปี
- จับกุมนานถึง 2 ปี

รหัสแรงงาน (TC)

มาตรา 90 ความรับผิดชอบในการละเมิดกฎที่ควบคุมการประมวลผลและการปกป้องข้อมูลส่วนบุคคลของพนักงาน
บทความนี้จัดให้มีการลงโทษในรูปแบบของการเลิกจ้างหรือความเป็นไปได้ของการลงโทษตามประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย

ข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคล

ตามมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลถือเป็นข้อบังคับ เมื่อประมวลผลข้อมูลส่วนบุคคล ผู้ดำเนินการมีหน้าที่ต้องใช้มาตรการทางกฎหมาย องค์กร และทางเทคนิคที่จำเป็น หรือรับรองการนำข้อมูลไปใช้เพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือโดยไม่ได้ตั้งใจ การทำลาย การปรับเปลี่ยน การบล็อก การคัดลอก การจัดหา การกระจายข้อมูลส่วนบุคคล รวมทั้งจากการกระทำที่ผิดกฎหมายอื่น ๆ เกี่ยวกับข้อมูลส่วนบุคคล

การรับรองความปลอดภัยของข้อมูลส่วนบุคคลนั้นบรรลุผล โดยเฉพาะอย่างยิ่ง:

1) การพิจารณาภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลของข้อมูลส่วนบุคคล
2) การใช้มาตรการขององค์กรและทางเทคนิคเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคลที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคล การดำเนินการดังกล่าวทำให้มั่นใจถึงระดับการป้องกันข้อมูลส่วนบุคคลที่กำหนดโดย รัฐบาลสหพันธรัฐรัสเซีย;
3) การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินความสอดคล้องตามขั้นตอนที่กำหนดไว้
4) การประเมินประสิทธิผลของมาตรการที่ใช้เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลก่อนการว่าจ้างระบบข้อมูลส่วนบุคคล
5) คำนึงถึงผู้ให้บริการเครื่องของข้อมูลส่วนบุคคล
6) การตรวจสอบข้อเท็จจริงของการเข้าถึงข้อมูลส่วนบุคคลและการใช้มาตรการโดยไม่ได้รับอนุญาต
7) การกู้คืนข้อมูลส่วนบุคคลที่แก้ไขหรือทำลายเนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาต
8) กำหนดกฎสำหรับการเข้าถึงข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลส่วนบุคคลตลอดจนการตรวจสอบการลงทะเบียนและการบัญชีของการกระทำทั้งหมดที่ดำเนินการกับข้อมูลส่วนบุคคลในระบบข้อมูลส่วนบุคคล

เพื่อให้บรรลุเป้าหมายข้างต้น องค์กรทั้งหมดที่ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามข้อกำหนดต่อไปนี้:

— ปฏิบัติตามข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 152 "เกี่ยวกับข้อมูลส่วนบุคคล" ในขณะที่ให้หลักฐานที่จำเป็นทั้งหมดเกี่ยวกับความถูกต้องตามกฎหมายของการรวบรวมและการประมวลผลข้อมูลส่วนบุคคล
— ให้การป้องกันการแจกจ่ายข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
— พัฒนากฎหมายท้องถิ่นและเอกสารทางเทคนิคขององค์กรเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลที่มีการควบคุม
— แจ้งแผนก Roskomnadzor

เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ คุณต้องดำเนินการดังต่อไปนี้:

1. ดำเนินการศึกษากระบวนการรวบรวมและประมวลผลข้อมูลส่วนบุคคลในบริษัท กล่าวคือในที่ใดและในรูปแบบใดที่พวกเขาได้รับการประมวลผลในที่ที่พวกเขาถูกเก็บไว้ใครเป็นผู้รับผิดชอบในเรื่องนี้และเข้าถึงได้แหล่งที่มาของข้อมูลส่วนบุคคลและคำถามที่คล้ายกันคืออะไร จำเป็นต้องรวบรวมข้อมูลทั้งหมดเกี่ยวกับกระบวนการทั้งหมดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

2. จำเป็นต้องจัดทำชุดเอกสารที่เกี่ยวข้องกับกระบวนการประมวลผลข้อมูลส่วนบุคคล ได้แก่
ก. การจัดหมวดหมู่
ข. แนวความคิดในการสร้างระบบป้องกันข้อมูลส่วนบุคคล
ข. แบบจำลองภัยคุกคาม
ง. โมเดลผู้บุกรุก
ง. เงื่อนไขอ้างอิงสำหรับการสร้างระบบป้องกันข้อมูลส่วนบุคคล
E. โครงการด้านเทคนิค (คำอธิบายของโครงการทางเทคนิค) สำหรับการสร้างระบบป้องกันข้อมูลส่วนบุคคล
G. เอกสารเกี่ยวกับองค์กรและการบริหาร

โดยทั่วไปแล้ว จำนวนเอกสารในองค์กรโดยเฉลี่ยจะอยู่ที่ประมาณ 80 ชิ้น รวมทั้งทะเบียนและคำสั่งซื้อ

3. ใช้วิธีการป้องกันทางเทคนิคในองค์กรตามเอกสารที่พัฒนาขึ้น

4. ดำเนินการประเมินความสอดคล้องหรือรับรองระบบสารสนเทศ

การรับรองและการประเมินเป็นเอกสารที่จัดทำขึ้นเป็นพิเศษซึ่งองค์กรมีโอกาสที่จะยืนยันว่าเป็นไปตามข้อกำหนดทั้งหมดของกฎหมายปัจจุบันของสหพันธรัฐรัสเซีย

พื้นฐานสำหรับการพัฒนาเอกสารที่ได้รับการอนุมัติสำหรับผู้ให้บริการข้อมูลส่วนบุคคลคือ Federal Service for Technical and Export Control ของสหพันธรัฐรัสเซีย (FSTEC) และ Federal Security Service ของสหพันธรัฐรัสเซีย (FSB) ซึ่งกำหนดไว้ในเอกสารระเบียบวิธีปฏิบัติและ คำสั่งซื้อ

หนึ่งในเอกสารเหล่านี้คือ:

คำสั่งของ Federal Service for Technical and Export Control (FSTEC of Russia) ลงวันที่ 5 กุมภาพันธ์ 2010 ฉบับที่ 58 "ในการอนุมัติระเบียบเกี่ยวกับวิธีการและวิธีการในการปกป้องข้อมูลในระบบข้อมูลส่วนบุคคล"

ในลำดับนี้ สำหรับทุกองค์กร วิธีการและวิธีการดังกล่าวในการปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาตถูกกำหนดเป็น
- การนำระบบใบอนุญาตสำหรับการเข้าถึงผู้ใช้ (บุคลากรด้านการบำรุงรักษา) ไปยังแหล่งข้อมูล ระบบสารสนเทศ งานและเอกสารที่เกี่ยวข้อง
- การจำกัดการเข้าถึงของผู้ใช้ในสถานที่ซึ่งมีวิธีการทางเทคนิคที่อนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคล เช่นเดียวกับสื่อจัดเก็บข้อมูล
- การกำหนดขอบเขตการเข้าถึงสำหรับผู้ใช้และเจ้าหน้าที่บำรุงรักษาไปยังแหล่งข้อมูล เครื่องมือซอฟต์แวร์สำหรับการประมวลผล (การถ่ายโอน) และการปกป้องข้อมูล
- การลงทะเบียนการกระทำของผู้ใช้และเจ้าหน้าที่บำรุงรักษา การควบคุมการเข้าถึงและการกระทำของผู้ใช้โดยไม่ได้รับอนุญาต เจ้าหน้าที่บำรุงรักษาและบุคคลที่ไม่ได้รับอนุญาต
- การบัญชีและการจัดเก็บสื่อที่ถอดออกได้ และการหมุนเวียนของสื่อดังกล่าว ไม่รวมการโจรกรรม การทดแทน และการทำลาย
- ความซ้ำซ้อนของวิธีการทางเทคนิค การทำซ้ำของอาร์เรย์และการส่งข้อมูล
การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินความสอดคล้องในลักษณะที่กำหนด
— การใช้ช่องทางการสื่อสารที่ปลอดภัย
- การจัดวางวิธีการทางเทคนิคที่อนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลภายในพื้นที่ที่ได้รับการคุ้มครอง
- การจัดระบบป้องกันทางกายภาพของสถานที่และวิธีการทางเทคนิคที่เหมาะสม ทำให้สามารถประมวลผลข้อมูลส่วนบุคคลได้
— การป้องกันการนำโปรแกรมที่เป็นอันตราย (โปรแกรมไวรัส) และบุ๊กมาร์กซอฟต์แวร์เข้าสู่ระบบสารสนเทศ

วิธีการหลักและวิธีการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต ในกรณีที่มีปฏิสัมพันธ์ระหว่างข้อมูลและเครือข่ายโทรคมนาคมของการแลกเปลี่ยนข้อมูลระหว่างประเทศและระบบสารสนเทศ ได้แก่

— ไฟร์วอลล์เพื่อควบคุมการเข้าถึง กรองแพ็กเก็ตเครือข่าย และแปลที่อยู่เครือข่ายเพื่อซ่อนโครงสร้างของระบบข้อมูล
- การตรวจจับการบุกรุกเข้าสู่ระบบข้อมูลที่ละเมิดหรือสร้างเงื่อนไขเบื้องต้นสำหรับการละเมิดข้อกำหนดที่กำหนดไว้เพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคล
— การวิเคราะห์ความปลอดภัยของระบบข้อมูล ที่เกี่ยวข้องกับการใช้เครื่องมือซอฟต์แวร์เฉพาะ (เครื่องสแกนความปลอดภัย)
- การปกป้องข้อมูลในระหว่างการส่งผ่านช่องทางการสื่อสาร
- การใช้สมาร์ทการ์ด ล็อคอิเล็กทรอนิกส์ และผู้ให้บริการข้อมูลอื่น ๆ เพื่อการระบุและรับรองความถูกต้องของผู้ใช้
- การใช้โปรแกรมป้องกันไวรัส
การจัดการระบบป้องกันข้อมูลส่วนบุคคลแบบรวมศูนย์ของระบบข้อมูล
— การกรองแพ็กเก็ตเครือข่ายขาเข้า (ขาออก) ตามกฎที่กำหนดโดยผู้ดำเนินการ (ผู้มีอำนาจ);
— การวิเคราะห์ความปลอดภัยของไฟร์วอลล์ที่ติดตั้งเป็นระยะโดยอิงจากการเลียนแบบการโจมตีระบบข้อมูลภายนอก
— การตรวจสอบความปลอดภัยของระบบข้อมูลสำหรับการตรวจจับกิจกรรมเครือข่ายที่ไม่ได้รับอนุญาตแบบเรียลไทม์
— การวิเคราะห์ข้อมูลที่ได้รับผ่านเครือข่ายสารสนเทศและโทรคมนาคมของการแลกเปลี่ยนข้อมูลระหว่างประเทศ (เครือข่ายการสื่อสารสาธารณะ) รวมถึงการปรากฏตัวของไวรัสคอมพิวเตอร์
- การใช้คุณลักษณะด้านความปลอดภัย
- การสร้างช่องทางการสื่อสารที่รับประกันการปกป้องข้อมูลที่ส่ง
- การดำเนินการรับรองความถูกต้องของระบบข้อมูลที่มีปฏิสัมพันธ์และการตรวจสอบความถูกต้องของผู้ใช้และความสมบูรณ์ของข้อมูลที่ส่ง

ข้อกำหนดเพิ่มเติมสำหรับองค์กร ได้แก่:

- การสร้างช่องทางการสื่อสารที่รับประกันการปกป้องข้อมูลที่ส่ง
- การรับรองความถูกต้องของระบบข้อมูลที่มีปฏิสัมพันธ์และการตรวจสอบความถูกต้องของผู้ใช้และความสมบูรณ์ของข้อมูลที่ส่ง
- สร้างความมั่นใจในการป้องกันความเป็นไปได้ที่ผู้ใช้จะปฏิเสธความจริงของการส่งข้อมูลส่วนบุคคลไปยังผู้ใช้รายอื่น
- ตรวจสอบให้แน่ใจว่าผู้ใช้ไม่ปฏิเสธการรับข้อมูลส่วนบุคคลจากผู้ใช้รายอื่น

แท็ก: PDN 152-FZ

1. การประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการตามหลักการและกฎที่กำหนดโดยกฎหมายของรัฐบาลกลางนี้ อนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลในกรณีต่อไปนี้:

1) การประมวลผลข้อมูลส่วนบุคคลดำเนินการโดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของเขา

2) การประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นเพื่อให้บรรลุเป้าหมายตามสนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซียหรือกฎหมาย เพื่อดำเนินการและปฏิบัติตามหน้าที่ อำนาจ และภาระผูกพันที่ได้รับมอบหมายให้ดำเนินการตามกฎหมายของสหพันธรัฐรัสเซีย

3) การประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับการมีส่วนร่วมของบุคคลในกระบวนการทางรัฐธรรมนูญ ทางแพ่ง ทางปกครอง ทางอาญา การดำเนินการในศาลอนุญาโตตุลาการ

3.1) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการดำเนินการตามกระบวนการยุติธรรม การกระทำของหน่วยงานอื่นหรือเจ้าหน้าที่ที่ต้องดำเนินการตามกฎหมายของสหพันธรัฐรัสเซียว่าด้วยกระบวนการบังคับใช้ (ต่อไปนี้จะเรียกว่าการดำเนินการตามกระบวนการยุติธรรม) );

4) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการใช้อำนาจของหน่วยงานบริหารของรัฐบาลกลาง, หน่วยงานของกองทุนนอกงบประมาณของรัฐ, หน่วยงานบริหารของอำนาจรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย, รัฐบาลท้องถิ่นและหน้าที่ขององค์กรที่เข้าร่วม ในการให้บริการของรัฐและเทศบาลตามลำดับโดยกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 กรกฎาคม 2010 ของปี N 210-FZ "ในองค์กรของการให้บริการของรัฐและเทศบาล" รวมถึงการลงทะเบียนข้อมูลส่วนบุคคล ขึ้นอยู่กับพอร์ทัลเดียวของบริการของรัฐและเทศบาลและ (หรือ) พอร์ทัลระดับภูมิภาคของบริการของรัฐและเทศบาล

(ดูข้อความในฉบับที่แล้ว)

5) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามข้อตกลงที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือผู้รับผลประโยชน์หรือผู้ค้ำประกัน ตลอดจนการสรุปข้อตกลงเกี่ยวกับความคิดริเริ่มของหัวข้อข้อมูลส่วนบุคคลหรือข้อตกลงภายใต้ ซึ่งเรื่องของข้อมูลส่วนบุคคลจะเป็นผู้รับผลประโยชน์หรือผู้ค้ำประกัน

(ดูข้อความในฉบับที่แล้ว)

6) การประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นในการปกป้องชีวิต สุขภาพ หรือผลประโยชน์ที่สำคัญอื่น ๆ ของข้อมูลส่วนบุคคล หากได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้นเป็นไปไม่ได้

7) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการใช้สิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของผู้ดำเนินการหรือบุคคลที่สามรวมถึงในกรณีที่กฎหมายของรัฐบาลกลางกำหนด "ในการคุ้มครองสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของบุคคลในการดำเนินการ กิจกรรมเพื่อคืนหนี้ที่ค้างชำระและการแก้ไขกฎหมายของรัฐบาลกลาง" เกี่ยวกับกิจกรรมการเงินรายย่อยและองค์กรการเงินรายย่อย" หรือเพื่อให้บรรลุเป้าหมายที่สำคัญทางสังคม โดยที่สิทธิและเสรีภาพของเรื่องของข้อมูลส่วนบุคคลจะไม่ถูกละเมิด

(ดูข้อความในฉบับที่แล้ว)

8) การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับกิจกรรมระดับมืออาชีพของนักข่าวและ (หรือ) กิจกรรมที่ถูกต้องตามกฎหมายของสื่อหรือกิจกรรมทางวิทยาศาสตร์ วรรณกรรมหรือสร้างสรรค์อื่น ๆ โดยมีเงื่อนไขว่าสิทธิ์และผลประโยชน์โดยชอบด้วยกฎหมายของหัวข้อข้อมูลส่วนบุคคลนั้นไม่ ละเมิด;

9) การประมวลผลข้อมูลส่วนบุคคลดำเนินการเพื่อวัตถุประสงค์ทางสถิติหรือการวิจัยอื่น ๆ ยกเว้นวัตถุประสงค์ที่ระบุไว้ในมาตรา 15 ของกฎหมายของรัฐบาลกลางนี้ โดยอยู่ภายใต้บังคับของข้อมูลส่วนบุคคล

10) การประมวลผลข้อมูลส่วนบุคคลดำเนินการเข้าถึงได้ไม่ จำกัด จำนวนซึ่งให้โดยเรื่องของข้อมูลส่วนบุคคลหรือตามคำขอของเขา (ต่อไปนี้ - ข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะโดยเรื่องของข้อมูลส่วนบุคคล);

11) การประมวลผลข้อมูลส่วนบุคคลขึ้นอยู่กับการตีพิมพ์หรือการเปิดเผยข้อมูลบังคับตามกฎหมายของรัฐบาลกลาง

1.1. การประมวลผลข้อมูลส่วนบุคคลของวัตถุแห่งการคุ้มครองของรัฐและสมาชิกในครอบครัวของพวกเขานั้นดำเนินการโดยคำนึงถึงคุณสมบัติที่กำหนดโดยกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 พฤษภาคม 2539 N 57-ФЗ "ในการคุ้มครองของรัฐ"

2. คุณสมบัติของการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษเช่นเดียวกับข้อมูลส่วนบุคคลไบโอเมตริกซ์ได้รับการจัดตั้งขึ้นตามนั้นและกฎหมายของรัฐบาลกลางนี้

3. ผู้ประกอบการมีสิทธิที่จะมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่นโดยได้รับความยินยอมจากเรื่องข้อมูลส่วนบุคคล เว้นแต่จะกำหนดไว้เป็นอย่างอื่นโดยกฎหมายของรัฐบาลกลาง บนพื้นฐานของข้อตกลงที่ทำกับบุคคลนี้ รวมทั้งรัฐหรือเทศบาล สัญญาหรือโดยการดำเนินการที่เกี่ยวข้องโดยหน่วยงานของรัฐหรือเทศบาล (ต่อไปนี้ - คำแนะนำของผู้ดำเนินการ) บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการจำเป็นต้องปฏิบัติตามหลักการและกฎเกณฑ์สำหรับการประมวลผลข้อมูลส่วนบุคคลที่กำหนดโดยกฎหมายของรัฐบาลกลางนี้ คำแนะนำของผู้ดำเนินการต้องกำหนดรายการการกระทำ (การดำเนินการ) กับข้อมูลส่วนบุคคลที่จะดำเนินการโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลและวัตถุประสงค์ในการประมวลผล ภาระผูกพันของบุคคลดังกล่าวในการรักษาความลับของข้อมูลส่วนบุคคลและรับรองความปลอดภัยส่วนบุคคล ข้อมูลระหว่างการประมวลผล เช่นเดียวกับข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลที่ประมวลผลต้องระบุไว้ตามมาตรา 19 ของกฎหมายของรัฐบาลกลางนี้

4. บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ประกอบการไม่จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของเขา

5. หากผู้ดำเนินการมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่น ผู้ประกอบการจะต้องรับผิดชอบต่อข้อมูลส่วนบุคคลสำหรับการกระทำของบุคคลดังกล่าว บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ประกอบการต้องรับผิดชอบต่อผู้ประกอบการ

กำลังโหลด...กำลังโหลด...