A Roskomnadzor az egyik hiteltörténeti iroda tervezett helyszíni ellenőrzésének eredményei alapján szabálysértéseket tárt fel a személyes adatok feldolgozásával kapcsolatos tevékenységek jogszabályi követelményeknek való megfelelésével kapcsolatban. Az iroda megpróbálta megtámadni ezeket az eredményeket a moszkvai választottbíróságon (a moszkvai választottbíróság 2017. május 5-i határozata az А40-5250 / 17-144-51 számú ügyben).

A Roskomnadzor által feltárt jogsértések lényege a következő volt:

• a pénzintézet nem nyújtott be értesítést a felhatalmazott szervezethez a Double Data Social Link és a Double Data Social Attributes szolgáltatások igénybevételéről, amelyek nyílt információforrásokból továbbították a magánszemélyek vagy potenciális ügyfelek adatait a pénzintézethez (a továbbiakban - törvény Szám: 152-FZ);
• nem volt hozzájárulás a nyílt forrásokban - a közösségi hálózatokban és az internetes portálokon () található személyes adatok feldolgozásához.

A moszkvai választottbíróság megállapította, hogy a személyes adatok feldolgozása megengedett azokban az esetekben, amikor a személyes adatok határozatlan személyi kör számára hozzáférhetők, ha az adattulajdonos beleegyezése van, és az információkat közvetlenül az érintett szolgáltatja (,).

A bíróság hangsúlyozta, hogy a személyes adatok alanyának írásbeli hozzájárulása nélkül lehetetlen érvényesíteni a megadott személy hozzájárulását. Véleménye szerint, ha a tulajdonos a személyes adatokat mindenki számára nyilvánosan hozzáférhetővé tette, akkor azokat csak nyilvánosan elérhető forrásokban lehet tárolni (). A bíróság szerint a közösségi hálózatok nem ilyen források a személyes adatok megszerzésére, illetve a bennük közzétett személyre vonatkozó információk nem tulajdoníthatók a nyilvánosságnak.

A választottbírósági határozat kimondja, hogy a nyilvánosan elérhető személyes adatok forrásai tartalmazhatják a tulajdonos vezetéknevét, nevét, utónevét, születési évét és helyét, címét, előfizetői számát, a szakmájával kapcsolatos információkat és egyéb személyes adatokat, írásos hozzájárulásával. neki. A bíróság arra a következtetésre jutott, hogy a személyes adatok tulajdonosai nem tették nyilvánosan hozzáférhetővé az információkat, amelyeket a hitelintézet a közösségi hálózatokon dolgozott fel (,). Ennek kapcsán a bíróság törvényesnek ismerte el a Roskomnadzor végzését, és megtagadta a pénzintézet követeléseinek kielégítését.

Felelősségre vonható -e egy vállalat az egyén képének felhasználásáért az ő hozzájárulása nélkül, ha munkavállalói fotókat tett közzé a közösségi médiában? Erre és más gyakorlati kérdésekre a válasz megtalálható "A jogi tanácsadó szolgálat tudásbázisa" a GARANT rendszer internetes verziójában. Teljes hozzáférés 3 napig ingyen!

A másodfokú bíróság egyetértett az alsóbb fokú bíróság következtetéseivel, hangsúlyozva, hogy a személyes adatok közösségi hálózatokon való közzététele nem teszi automatikusan nyilvánosan hozzáférhetővé, ezért az információk feldolgozásához az alany hozzájárulása szükséges (a kilencedik választottbíróság ítélete) (2017. július 27-én kelt fellebbezés А40-5250 / 17. sz. ügyben). A semmítőszék és az Orosz Föderáció Legfelsőbb Bírósága a Roskomnadzor mellett állt, és nem talált okot a vitatott bírósági aktusok törlésére (a Moszkvai Kerületi Választottbíróság 2017. november 9-i ítélete a 305. sz. KG17-21291).

Így a bíróságok úgy döntöttek, hogy a személyes adatok nyilvánosan hozzáférhetők, ha két feltétel teljesül: a tulajdonos szolgáltatja őket, és határozatlan személyi kör számára hozzáférhető. Véleményük szerint a személyes adatok tulajdonosának beleegyezése hiányában a róla szóló információk közösségi hálózatokban való közzétételéhez nem [közösségi hálózatok] nem rendelhetők hozzá nyilvános forrásokhoz. Ebben az esetben az üzemeltetőnek joga van a személyes adatok alanyának beleegyezése nélkül folytatni a személyes adatok feldolgozását, visszavonása esetén csak akkor, ha megvan a megfelelő indok, például a terrorizmus vagy a korrupció elleni küzdelem ().

Az Európai Jogi Szolgálat vezető ügyvédje Elena Derzhieva megjegyezte, hogy a "Vkontakte" közösségi hálózat felhasználói megállapodásának feltételei szerint a személyes adatok tulajdonosa csak beleegyezik abba, hogy hozzáférjen azokhoz az információkhoz, amelyeket az oldalán közzétesz, de harmadik fél nem dolgozza fel.

Az egyének minden nap személyes adatokat szolgáltatnak a különböző hatóságoknak. A személyes adatok kezelői felelősek az információk feldolgozásáért. Ezek bankok, munkaadók, orvosi szervezetek, internetes oldalak és egyéb struktúrák. Az üzemeltetőket a törvény kötelezi a személyes adatok védelmére. Nyilvánosan elérhető személyes adatokat (PD) tartalmazó források létrehozása.

Mik a nyilvánosan elérhető PD -k?

A nyilvánosság olyan információkat tartalmaz egy személyről, amelyeket önállóan szolgáltat a hatóságoknak. Az információhoz való szabad hozzáférés megnyitásához a személy írásbeli engedélye szükséges - a személyes adatok tárgya. Az alany természetes személy, akinek személyes adatait az üzemeltető gyűjti, tárolja és dolgozza fel. Az üzemeltető jogi vagy természetes személy, önkormányzati vagy állami hatóság.

A nyilvánosan elérhető PD a témával kapcsolatos információkat tartalmaz, amelyek alapján azonosítható:

• Dátum és Születési hely;
• lakcím;
• telefonszám;
• szakma;
• egyéni adószám;
• munkahely vagy tanulmányi hely és egyéb információk.

A nyilvánosan hozzáférhető adatok összetétele tartalmazhat minden olyan információt, amely a törvény szempontjából nem bizalmas. Az alany személyes adatai a személyes adatok mennyisége és fontossága szerint osztályozhatók.

A nyilvánosan hozzáférhető adatok magukban foglalják a következő személyes adatokat is:

• munkaviszony, szerződés vagy munkaszerződés megkötésekor;
• a népszámlálás során;
• amikor szerződéses kapcsolatokat regisztrálnak a kereskedelmi műveletek során és más hasonló helyzetekben.

Az érintett személyes adatai, amelyeket a médián keresztül terjesztenek, nem minősülnek bizalmasnak, mivel nyilvánosan hozzáférhetők a "Bizalmas információk listája" szerint.

Nem mindig szükséges az alany írásos beleegyezése az átvételhez, az átadáshoz, a feldolgozáshoz és más PD -vel kapcsolatos műveletekhez. Bizonyos esetekben, például felmérésben való részvételkor vagy hírlevélre való feliratkozáskor elegendő bejelölni azt a négyzetet, amely lehetővé teszi a PD használatát.

Az általános adatok nyilvánosan hozzáférhető forrásokba helyezhetők. Ez azt jelenti, hogy a forrásokat nagyon sok érdekelt fél nézi és használja. Ilyen forrás például a telefonkönyvtárak.

Nyilvánosan hozzáférhető adatok feldolgozása

A nyilvánosan hozzáférhető adatok feldolgozását olyan osztályok és osztályok végzik, amelyek feladatai közé tartozik a PD gyűjtése, rendszerezése, tárolása, módosítása, használata és megsemmisítése. Az egyéneknek jogukban áll információt kérni az adatkezelőről, és megtudni, hogy az üzemeltető milyen célokat követ a PD feldolgozása során.

A Roskomnadzor felelős a törvények betartásának ellenőrzéséért a feldolgozás során. Az FSB és az FSTEC rendelkezik bizonyos ellenőrzési és ellenőrzési jogkörökkel. Az üzemeltetők saját szükségleteikre hoznak létre személyes adatvédelmi rendszereket, ezért e tekintetben az ilyen tevékenységek engedélyezésére.

A PD -t olyan szervezetek dolgozzák fel, amelyeknek tevékenységeik elvégzése érdekében információkat kell gyűjteniük, fel kell gyűjteniük, feldolgozniuk és tárolniuk kell az alkalmazottakról, beszállítókról és ügyfelekről. Bizonyos esetekben az ilyen adatok szerepelnek a nyíltban.

Nyilvános adat alanyok jogai

A PD alanyai kérelmet nyújthatnak be a nyilvánosan elérhető adatok blokkolására, megsemmisítésére, tisztázására vagy módosítására, ha az információ már nem naprakész, hiányos vagy nem szükséges a feldolgozáshoz. Az alanyoknak joga van hozzáférést kérni a PD -hez, és megtudni, hogy az üzemeltető milyen eszközökkel dolgozza fel őket.

Az információkat a törvényi előírásoknak megfelelően kell felhasználni és védeni kell, függetlenül attól, hogy azok bizalmasak vagy nyilvánosan hozzáférhetők. Az üzemeltetők felelősek az érintett személyes adatainak teljes körű védelméért és az illetéktelen személyek adataihoz való hozzáférés korlátozásáért.

Az üzemeltető csak azután kezdi el a személyes adatok feldolgozását, miután megkapta az érintett írásbeli engedélyét a feldolgozásra. A hozzájárulás tartalmazza az egyénre vonatkozó információkat és az üzemeltető adatait: cégnév, vezetéknév, az üzemeltető neve és keresztneve, beosztása. Ezenkívül a hozzájárulás szükséges a feldolgozás céljának és az adatok listájának, valamint az információval végrehajtandó műveletek leírásának feltüntetéséhez. Az egyénnek joga van visszavonni a PD -t és visszavonni a feldolgozásához való hozzájárulását.

Az alany cselekvőképtelensége vagy halála esetén az örökösöktől vagy törvényes képviselőktől beleegyezést kérnek a PD feldolgozásához és felhasználásához. Ebben az esetben a személyes adatok szövetségi törvényének kell követnie.

A törvény követelményeinek megsértése esetén az elkövetők adminisztratív, büntetőjogi és egyéb típusú felelősséget viselnek. Nem számít, hogy a PD bizalmas vagy nyilvánosan hozzáférhető-e, a személyes adatokról szóló 152-es szövetségi törvény 8. cikke értelmében a nyilvánosan elérhető PD-t csak az érintett hozzájárulásával lehet nyilvánosan elérhető forrásokban elhelyezni. A személyes adatokat ki kell zárni a forrásokból, ha az alany vagy az erre felhatalmazott szervek megkövetelik: Roskomnadzor, bíróság vagy más állami szervek.

"Személy" - egy személyre, személyiségre, biológiai szervezetre vonatkozó adatok.

Mi az, hogyan kell gyűjteni, hol tárolni, hogyan kell védeni?

Az ujjlenyomat -kártya személyes adat vagy sem?

Nincsenek benne személyes adatok.

személyes adatok - minden olyan adat, amely egy adott személyre vonatkozik vagy az ilyen információk alapján meghatározott (személyes adatok alanya), beleértve a vezetéknevét, keresztnevét, utónevét, évét, hónapját, születési dátumát és helyét, címét, családját, társadalmi, vagyoni helyzet, végzettség, szakma, jövedelem, egyéb információk;

A cím regisztráció a lakóhelyen vagy a tartózkodási helyen.

A személyes adatok feltételes minősítése.

1) a nyitottság mértéke szerint:

nyilvánosan hozzáférhető személyes adatok - személyes adatok, korlátlan számú személy hozzáférése, amelyekhez a személyes adatok alanyának hozzájárulásával biztosítják, vagy amelyekre a szövetségi törvényeknek megfelelően a titoktartási kötelezettség nem vonatkozik.

A nyilvánosan hozzáférhető személyes adatok olyan adatok, amelyekhez önkéntes hozzájárulást adnak, és közzétesznek a nyilvánosság számára.

Gyakran előfordul, hogy egyes webhelytulajdonosok olyan regisztrációs adatokat kérnek, amelyeket nem akarnak megadni.

Bizalmas információk - az információkat szigorúan meghatározott célokra adják meg. Néha össze lehet gyűjteni a személy tudta nélkül.

A Belügyminisztérium információs központokban tárolja az információkat

2) tartozék szerint

- személyes - születéstől fogva tartoznak

- szolgáltatás - a munka során, szolgáltatás - osztálybeli rang stb.

3) a biztosítás módjával

- önkéntes információ

- a törvénynek megfelelően általánosan biztosított (kötelező)

- az állampolgár beleegyezése nélkül gyűjtötték be a jogszabályoknak megfelelően

4) az adatok természetüknél fogva

- biometrikus (ujjlenyomat -információ)

A személyes adatokkal végzett munka során használt alapfogalmak.

- személyes adatok feldolgozása- személyes adatokkal kapcsolatos műveletek (műveletek), beleértve a személyes adatok gyűjtését, rendszerezését, felhalmozását, tárolását, tisztázását (frissítése, módosítása), felhasználását, terjesztését (beleértve az átadást is), személytelenítést, blokkolást, megsemmisítést;

- személyes adatok terjesztése- olyan cselekvések, amelyek célja a személyes adatok bizonyos személyi körnek történő továbbítása (személyes adatok továbbítása) vagy korlátlan számú személy személyes adatainak megismerése, beleértve a személyes adatok médiában való közzétételét, közzétételét információs és távközlési hálózatokban, vagy hozzáférés biztosítása olyan személyes adatokhoz, amelyek - bármilyen más módon;

- személyes adatok felhasználása - a személyes adatokkal végzett műveletek (műveletek), amelyeket az üzemeltető végez annak érdekében, hogy döntéseket hozzon vagy más olyan tevékenységeket hajtson végre, amelyek jogi következményekkel járnak a személyes adatok alanyával vagy más személyekkel kapcsolatban, vagy más módon befolyásolják a személyes adatok alanyának jogait és szabadságait személyek;

- személyes adatok zárolása- a személyes adatok gyűjtésének, rendszerezésének, felhalmozásának, felhasználásának, terjesztésének, ideértve azok továbbítását, ideiglenes leállítása;

Az interneten közzétett információkat gyakran nem lehet blokkolni.

A legtöbb személyes adat:

- számítógépen tárolva

- közzétették az interneten

Nehéz ellenőrizni az elhelyezést

- személyes adatok megsemmisítése- olyan cselekvések, amelyek következtében lehetetlen visszaállítani a személyes adatok tartalmát a személyes adatok információs rendszerében, vagy amelyek következtében a személyes adatok kézzelfogható hordozói megsemmisülnek; - helyzetek, amikor az archívum égett

a személyes adatok anonimizálása

- a személyes adatok személytelenítése- olyan cselekvések, amelyek következtében lehetetlen megállapítani, hogy a személyes adatok a személyes adatok egy meghatározott alanyához tartoznak -e;

— személyes adatok információs rendszere- információs rendszer, amely az adatbázisban található személyes adatok gyűjteménye, valamint olyan információtechnológiák és technikai eszközök, amelyek lehetővé teszik az ilyen személyes adatok automatizálási eszközökkel vagy ezek nélkül történő feldolgozását;

— személyes adatok bizalmas kezelése- kötelező követelmény az üzemeltető vagy más személy számára, aki hozzáférést kapott a személyes adatokhoz, hogy megakadályozza azok terjesztését a személyes adatok alanyának hozzájárulása vagy más jogalap nélkül;

— személyes adatok határokon átnyúló továbbítása- az üzemeltető személyes adatainak továbbítása az Orosz Föderáció államhatárán egy külföldi állam, egy magánszemély vagy jogi személy hatósága részére;

- nyilvánosan hozzáférhető személyes adatok- személyes adatok, korlátlan számú személy hozzáférése, amelyhez a személyes adatok alanyának hozzájárulásával biztosítják, vagy amelyekre a szövetségi törvényeknek megfelelően a titoktartás követelménye nem vonatkozik.

Személyes adatok feldolgozása.

1) a személyes adatok kezelésének céljainak és módszereinek törvényessége és a jóhiszeműség;

2) a személyes adatok feldolgozásának céljainak való megfelelés a személyes adatok gyűjtésében előre meghatározott és bejelentett célokkal, valamint az üzemeltető hatásköreivel;

3) a kezelt személyes adatok mennyiségének és jellegének, a személyes adatok feldolgozásának módszereinek és a személyes adatok feldolgozásának céljainak való megfelelés;

4) a személyes adatok megbízhatósága, a feldolgozás céljaihoz való elégségessége, a személyes adatok gyűjtése során meghatározott célokhoz képest felesleges személyes adatok feldolgozásának elfogadhatatlansága;

5) az összeegyeztethetetlen célból létrehozott személyes adatinformációs rendszerek adatbázisainak kombinálásának elfogadhatatlansága.

Ha egyszer valaki kitöltött egy ujjlenyomat -kártyát, akkor az az adatbázisában található információs központban van. Nem kombinálhatjuk például adatbázisokat az egyszerű polgárokról és a bűncselekményt elkövető személyekről.

1) a személyes adatok tulajdonosának hozzájárulásával

2) a személyes adatok tulajdonosának hozzájárulása nélkül.

Ez vonatkozik egy bizonyos pozíciót és pozíciót betöltő személyekre: katonákra, holttestekre

A személyes adatok bizalmas kezelése:

Amikor nem szükséges:

1) személyes adatok anonimizálása esetén;

2) a nyilvánosan hozzáférhető személyes adatok tekintetében.

- az üzemeltető, aki személyes adatokat gyűjt és dolgoz fel.

- korlátozza a hozzáférést saját szervezetén belül

Az üzemeltető személyesen felelős a személyes adatok terjesztéséért

- hozzáférési korlátozások megállapítása a helyiségekben és a hálózatban (hozzáférési rendszer, kártya azonosító rendszer)

Helyi hálózatokhoz - rendszer bejelentkezés + jelszó

A hozzáférést korlátozhatja biometrikus információkkal: ujjlenyomat, retina.

- a fajról

- a politikai nézetekről

- vallási vagy filozófiai hiedelmekről

- az egészségi állapotról

- az intim életről

Feldolgozásuk csak az alanyok beleegyezésével lehetséges.

1) az érintett írásbeli hozzájárulásának jelenléte a feldolgozásukhoz

2) ha a személyes adatok alanya nyilvánosan hozzáférhetővé tette azokat

3) ha ez az információ egy személy életének, egészségének és más létfontosságú érdekeinek védelméhez szükséges információhoz kapcsolódik

Ezeket az információkat orvosi és megelőzési célokra lehet megadni - például vírusfertőzés esetén.

A személyes adatok feldolgozásának sajátossága az állami vagy önkormányzati információs rendszerekben a személyes adatok feldolgozása érdekében.

- csak a köztisztviselőkre és az önkormányzati alkalmazottakra vonatkozik.

Az állami szerv saját státusszal rendelkezik, vannak független rendszerek az állami vagy önkormányzati alkalmazottakról szóló információk feldolgozására.

1) megállapítják, hogy a kompetenciáján belül milyen információra van szükség

2) létezik az "Állami közszolgálatról" szóló szövetségi törvény is, vagyis nemcsak a személyes adatokra vonatkozó jogszabályok szabályozzák.

A személy fiziológiai jellemzőit jellemző információk, amelyek alapján megállapítható a személyazonossága (biometrikus személyes adatok), csak a személyes adatok alanyának írásos hozzájárulásával kezelhetők, kivéve az alábbi eseteket:

1) bűncselekmény elkövetése

A biometrikus személyes adatok feldolgozása a személyes adatok alanyának az igazságszolgáltatással összefüggő beleegyezése nélkül is végrehajtható, valamint az Orosz Föderáció biztonsági jogszabályai, az Orosz Föderáció jogszabályai által előírt esetekben. az operatív-keresési tevékenységekről, az Orosz Föderáció közszolgálati jogszabályairól és az Orosz Föderáció büntetőjogi jogszabályairól. Föderáció, az Orosz Föderáció jogszabályai az Orosz Föderációból való kilépés és az Orosz Föderációba való belépés eljárásáról.

- a gyanúsítottól információgyűjtés illegális

Határon átnyúló információk feldolgozása.

Szükség lehet annak az országnak a polgárainak védelmére, ahová áthelyezték, csak az alany írásos beleegyezésével gyűjtik.

A személyes adatok alanyának jogai.

1) Az érintett joga ahhoz, hogy hozzáférjen személyes adataihoz

Nem hívhatja a Belügyminisztérium információs központját (fő információs központ és zónás információs központ)

2) A személyes adatok alanyainak jogai személyes adataik feldolgozásához áruk, művek, szolgáltatások népszerűsítése érdekében a piacon, valamint politikai kampányok céljából

Az információk pontosságát mások is ellenőrizni fogják.

3) kizárólag személyes adatok automatizált feldolgozásán alapuló döntések meghozatala. Egy személy nem bízhat az automatizált feldolgozásban. Követelheti, hogy az ujjlenyomatokat ne csak a számítógépen, hanem papíron is tárolják.

- Az Orosz Föderáció Munka Törvénykönyve - van egy fejezet a személyes adatokról.

SZÖVETSÉGI JOG AZ ÁLLAMI DACTYLOSCOPIC REGISTRÁCIÓRÓL AZ OROSZ FEDERÁCIÓBAN 1998. július 25-én N 128-FZ

Nyilvánosan hozzáférhető személyes adatok az

Személyes adatok- minden olyan információ, amely egy bizonyos információhoz kapcsolódik, vagy az ilyen információk alapján kerül meghatározásra természetes személy, beleértve:

Vezetékneve, keresztneve, patronimája,

Születési év, hónap, dátum és hely,

Cím, család, szociális, vagyoni helyzet, végzettség, szakma, jövedelem,

— a másik információt (lásd FZ-152, 3. cikk).

Például: útlevél adatok, pénzügyi kimutatások, orvosi nyilvántartások, születési év (nőknél), biometria, egyéb személyazonosító adatok.

BAN BEN nyilvános személyes adatok forrásai (címjegyzékek, listák és egyéb információs támogatás) írásos beleegyezéssel az egyén tartalmazhatja vezetéknevét, keresztnevét, utónevét, születési évét és helyét, címét, előfizetői számát és mások személyes adatok (lásd FZ-152, 8. cikk).

A személyes adatok korlátozott hozzáférésű információkra utalnak, és azoknak is kell lenniük védett az Orosz Föderáció jogszabályainak megfelelően. A rendszerek biztonságára vonatkozó követelmények kialakításakor a személyes adatokat 4 kategóriába sorolják.

Mi az üzemeltető és a személyes adatok tárgya?

Személyes adatkezelő- rendszerint szervezet, vagy inkább állami vagy önkormányzati szerv, jogi vagy természetes személy, aki megszervezi és (vagy) végzi a személyes adatok feldolgozását, valamint meghatározza a feldolgozás céljait és tartalmát személyes adatait.

Személyes adat alany Egyéniség.

Az üzemeltető felelős az érintett személyes adatainak védelméért az Orosz Föderáció hatályos jogszabályaival összhangban.

Hogyan osztályozható a személyes adatok információs rendszere?

Tulajdonítandó tipikus személyes adatinformációs rendszer (ISPDN) szükséges egy adott osztályhoz:

II. Definiálja hangerő az információs rendszerben kezelt személyes adatok:

kötet 3- az információs rendszer egyidejűleg dolgozza fel az adatokat kevesebb, mint 1000 alany személyes adatok vagy a személyes adatok alanyainak személyes adatai egy adott szervezeten belül;

kötet 2 1000-100 000 alany az Orosz Föderáció gazdasága területén dolgozó személyes adatok alanyainak személyes adatai vagy személyes adatai, az önkormányzat területén működő hatóságban;

hang 1- az információs rendszer egyidejűleg kezeli a személyes adatokat több mint 100 000 alany személyes adatok vagy a személyes adatok alanyainak személyes adatai az Orosz Föderáció vagy az Orosz Föderáció egészét alkotó szervezeten belül;

III. A kiinduló adatok elemzésének eredményei alapján tipikus Az ISPD az alábbiak egyikéhez van rendelve osztályok(lásd a táblázatot):

4. osztály (K4) - olyan információs rendszerek, amelyek esetében a bennük kezelt személyes adatok meghatározott biztonsági jellemzőinek megsértése nem vezet negatív következményekkel a személyes adatok alanyai számára;

3. osztály (K3) - olyan információs rendszerek, amelyek esetében a bennük kezelt személyes adatok meghatározott biztonsági jellemzőinek megsértése kisebb negatív következményekhez vezethet a személyes adatok alanyai számára;

2. osztály (K2) - olyan információs rendszerek, amelyek esetében a bennük kezelt személyes adatok meghatározott biztonsági jellemzőinek megsértése negatív következményekkel járhat a személyes adatok alanyaira nézve;

1. osztály (K1) - olyan információs rendszerek, amelyek esetében a bennük kezelt személyes adatok meghatározott biztonsági jellemzőinek megsértése jelentős negatív következményekhez vezethet a személyes adatok alanyai számára.

A világvégét 2011. január 1 -jére halasztották

Az Orosz Föderáció 152. számú, a személyes adatokról szóló szövetségi törvényének hatálybalépése előtt létrehozott személyes adatinformációs rendszereket legkésőbb 2010. január 1-jéig összhangba kell hozni e szövetségi törvény követelményeivel (lásd FZ-152 , 25. cikk).

Ez azt jelenti, hogy azok a személyes adatok kezelői, akik 2010. január 1-jétől nem teljesítették az FZ-152 nagyon szigorú követelményeit, a megfelelő polgári, közigazgatási, fegyelmi, esetleg (ne adj isten) és büntetőjogi felelősséget vonnak maguk után felelősség .

Minden olyan információs rendszer, amelyet 2008. február-április után már üzembe helyeztek (mióta a módszertani dokumentumokat az orosz FSTEC és az orosz FSZB elküldte), de nem felelnek meg a személyes adatok területén az orosz jogszabályok követelményeinek, ezt a felelősséget korábban, például holnap reggel viselheti ...

Jegyzet. 2010. január 1 -jén lépnek hatályba az Orosz Föderáció Büntető Törvénykönyvének módosításai is, amelyek jelentősen szigorítják a felelősséget a magánélet megsértéséért.

De mint mindig, a személyes adatok üzemeltetői nem sokat mozogtak, és kevés embernek sikerült mindent megtenni, amit szükséges. 2009. december 16-án az Állami Duma harmadik olvasatban elfogadta a "Személyes adatokról" szóló törvény (152-FZ) 19. és 25. cikkének módosításait. A személyes adatok információs rendszereinek (ISPDN) e törvény szerinti összhangba hozásának határidejét egy évre - 2011. január 1 -jére - elhalasztották. Ezenkívül a törvény kizárta azt a szabályt, amely kötelezi az üzemeltetőt a titkosítás (titkosítás) használatára. adatokat személyes adatok feldolgozása során.

Kötelező követelmények a személyes adatok információs rendszereinek védelmére

Az információbiztonsági rendszer megszervezésének fő kötelező követelményei egy tipikus ISPD osztályától függően:

ISPD 4. osztály:

A személyes adatok védelmére vonatkozó intézkedések listáját az üzemeltető határozza meg (a lehetséges károktól függően)

ISPD 3. osztály:

Megfelelőségi nyilatkozat vagy

Licenc megszerzése az orosz FSTEC -től a bizalmas információk technikai védelmére (ISPDN K3 elosztott rendszerekhez)

ISPD 2. osztály:

Kötelező tanúsítás az információbiztonsági követelményekhez

Licenc beszerzése az orosz FSTEC -től az elosztott rendszerek bizalmas információinak technikai védelmére

ISPD 1. osztály:

Kötelező tanúsítás az információbiztonsági követelményekhez

Intézkedéseket kell tenni a személyes adatok PEMIN -től való védelmére

Licenc megszerzése az orosz FSTEC -től a bizalmas információk technikai védelmére

Eljárás a személyes adatok információs rendszerének védelmére

A cselekvések sorrendje, amikor teljesítik a személyes adatok kezelésére vonatkozó jogszabályok követelményeit:

1) Értesítés a személyes adatok alanyainak jogainak védelmét feljogosító szervnek arról a szándékáról, hogy személyes adatokat automatizálási eszközökkel dolgoz fel;

2) Az információs rendszer tervezés előtti felmérése - kezdeti adatok gyűjtése;

3) a személyes adatfeldolgozó rendszer osztályozása;

4) a fenyegetések magánmodelljének felépítése annak meghatározása érdekében, hogy mennyire relevánsak az információs rendszer szempontjából;

5) Magán műszaki megbízás kidolgozása egy személyes adatvédelmi rendszerhez;

6) Személyes adatvédelmi rendszer kialakítása;

Felelősség a személyes adatok feldolgozásának megsértéséért

A személyes adatokról szóló 152-FZ szövetségi törvény követelményeinek megsértésében bűnös személyek:

- bűnöző (lásd az Orosz Föderáció Büntető Törvénykönyve 137., 140., 155., 183., 272., 273., 274., 292., 293. cikkét),

Közigazgatási (lásd az Orosz Föderáció közigazgatási bűncselekményeinek kódexének 5.27., 5.39., 13.11-13.14., 13.19., 19.4-19.7., 19.20., 20.25., 32.2. Cikkét),

Fegyelmi (lásd az Orosz Föderáció Munka Törvénykönyve 81. cikkét; 90. cikk; 195. cikk; 237. cikk; 391. cikk)

és az Orosz Föderáció jogszabályai által előírt egyéb felelősség (lásd az Orosz Föderáció alkotó jogalanyaiban, szervezeti egységeiben és szervezeteiben közzétett személyes adatokkal való munka alapszabályát).

FSTEC- Szövetségi műszaki és exportellenőrzési szolgálat.

PEMIN- Hamis elektromágneses kibocsátások és útmutatás

A személyes adatok védelme

2014 decemberében az Állami Duma harmadik olvasatban törvényjavaslatot fogadott el az állampolgárok interneten feldolgozott személyes adatainak oroszországi szervereken történő tárolásáról. Roman Chuichenko, az Információs Politikai Bizottság tagja szerint a törvényjavaslat fő célja az ország és polgárai információbiztonságának megerősítése. Ezt az intézkedést a nemzetközi helyzet bonyolultságával összefüggésben hozták meg. Ez a törvényjavaslat 2015. szeptember 1 -jén lép hatályba.

A személyes adatok védelméről szóló új rendelet hatálybalépése feltételezi, hogy a szolgáltatók személyes adatokat szolgáltatnak:

• a PD -hez való jogosulatlan hozzáférés időben történő észlelése;
• a PD automatizált feldolgozását végző technikai eszközökre gyakorolt ​​hatás megelőzése;
• a jogosulatlan hozzáférés tényére való gyors reagálás és a PD azonnali helyreállítása azok megsemmisülése vagy megváltoztatása esetén;
• a személyes adatok védelmének szintjének folyamatos ellenőrzése.

A személyes adatok kategóriái

Az ISPD feldolgozása a "feldolgozott személyes adatok mennyisége" paraméter szerint is elvégezhető, amely feltételezi az információs rendszerben feldolgozott alanyok számát, és a következő értékeket veheti fel:

• több mint 100 ezer PD alany egyidejű feldolgozása (mind az Orosz Föderáció alkotó egységén belül, mind az Orosz Föderáció egészében);
• a személyes adatok egyidejű feldolgozása 1-100 ezer alanyból (az Orosz Föderáció gazdaságának területén működő állami hatóságnál);
• kevesebb mint ezer alany személyes adatainak egyidejű feldolgozása (egy adott szervezeten belül).

A kategóriákba sorolás nemcsak az ISPD osztályának meghatározását teszi lehetővé, hanem intézkedéscsomagot is létrehozhat az interneten tárolt személyes adatok biztonságának és védelmének biztosítása érdekében, amikor azokat információs rendszerekben dolgozzák fel.

Munkavállalói személyes adatok

Minden alkalmazottnak joga van személyes adatainak védelmére (az Orosz Föderáció Munka Törvénykönyve 86. cikkének 9. pontja).

Az Art. Az Orosz Föderáció Munka Törvénykönyve 89. cikke értelmében minden munkavállaló a következő lépésekkel gyakorolhatja a személyes adatok védelméhez és védelméhez való jogát:

• ingyenes ingyenes hozzáférés a személyes adataihoz, beleértve a munkavállaló személyes adatait tartalmazó rekordok másolatának beszerzését;
• személyes képviselő elhatározása személyes adatainak védelme érdekében;
• teljes körű információ megszerzése a PD -ről és azok feldolgozásáról;
• a hibás információkat tartalmazó személyes adatok kizárására vagy javítására vonatkozó követelmények benyújtása, vagy ha azokat a törvény követelményeinek megsértésével kezelték;
• bírósághoz fordulhat a munkáltató jogellenes cselekedeteiért, valamint a személyes adatok feldolgozása és védelme terén tett tétlensége miatt.

A munkavállaló személyes adatainak összetétele

Az Orosz Föderáció Munka Törvénykönyve 86. cikkének 2. pontja alapján a munkavállaló személyes adatainak mennyiségét és tartalmát a munkáltató határozza meg az Orosz Föderáció Alkotmányával, a Munka Törvénykönyvével és más szövetségi törvényekkel összhangban. Általában bármely szervezet tevékenysége két fő dokumentumtípus használatát foglalja magában a munkáltató részéről a munkafolyamatban:

1. A munkavállaló által a munkaszerződés megkötésekor rendelkezésre bocsátott dokumentumok (az Orosz Föderáció Munka Törvénykönyve 65. cikke). Ebbe a kategóriába tartoznak a munkavállaló fényképét, teljes nevét, születési helyére és idejére vonatkozó információkat, állampolgárságot, családi állapotot, nyilvántartásba vétel helyét, végzettségét, szakterületét (útlevél, állami nyugdíjbiztosítási biztosítási igazolás, katonai személyazonosság stb.) Tartozó dokumentumok. ).
2. Olyan dokumentumok, amelyeket a munkáltató önállóan állít elő (elsődleges könyvelési dokumentáció a munkaerő elszámolásához és annak kifizetéséhez). Ebbe a kategóriába tartoznak a munkavállaló felvételére, a munkaszerződés megszüntetésére, a munkavállaló ösztönzésére, személyi igazolványra, a javadalmazásra vonatkozó dokumentumok vagy parancsok.

Személyes adatok védelme, felelősség a jogszabályok megsértéséért

Vegye figyelembe, hogy bizonyos szankciók megsértése esetén bizonyos szankciók magánszemélyekre és tisztviselőkre, valamint jogi személyekre egyaránt vonatkoznak.

Az Orosz Föderáció Polgári Törvénykönyvének 150. cikkével összhangban a magánélet, a személyes és családi titok sérthetetlensége az alkalmazandó törvények által védett elidegeníthetetlen immateriális jogok egyike.

Vegye figyelembe, hogy a munkavállaló azon jogait és kötelezettségeit, amelyek közvetlenül kapcsolódnak más munkavállalók személyes adataihoz, a munkaszerződés feltételei, valamint a munkavállaló munkakörét meghatározó helyi jogszabályok összetétele és munkaköri feladatai határozzák meg .

Adminisztratív felelősség a személyes adatok gyűjtésére, tárolására és terjesztésére vonatkozó eljárás megsértése figyelmeztetéssel vagy bírsággal jár: 300-500 rubel - magánszemélyek számára; 500-1000 rubel - tisztviselők, 5-10 ezer rubel - jogi személyek számára (az Orosz Föderáció Közigazgatási Kódexének 13.11. cikke). A közigazgatási felelősség a törvény által védett információk terjesztéséért, a hivatali és szakmai feladatok ellátása során, bírságot von maga után: 500-1000 rubel - magánszemélyek, 4-5 ezer rubel - tisztviselők számára (13.14. az Orosz Föderáció közigazgatási bűncselekményeinek kódexe) ...

A magánélet, különösen a személyes adatok sérthetetlenségének megsértése, ha valaki a hivatali pozícióját felhasználva büntetést ír elő:

• 100–300 ezer rubel összegű bírság, az elkövető bére vagy egyéb jövedelme 1-2 éven belül;
• bizonyos pozíciók betöltésének jogának megfosztása 2–5 évig;
• letartóztatás 4-6 hónapra.

Jogszerű -e nyilvános, személyes adatokból álló adatbázisokat létrehozni?

2015 legvégén részt vettem a LiveJournal érdekes cikkének megvitatásában, amely arról szólt, hogy létre kell hozni a gátlástalan álláskeresők egységes nyilvános adatbázisát.

Azt kell mondanom, hogy az ötlet nem új, és az biztos, hogy számos vállalat rendelkezik belső adatbázisokkal a jelentkezőkről. Az ilyen adatbázisok segítségével a személyzeti tisztek a legkevesebb idő alatt kiszűrik az alkalmatlan jelölteket. Ha elméletileg feltételezzük, hogy egy ilyen bázis az ország összes főképviselője rendelkezésére állhat, akkor mennyivel jobb lenne mindenkinek. Nos, ugye? Hála Istennek nem, nem így. Amint ezt a cikk kommentelői helyesen megállapították, a lehetséges előnyöket könnyen felülbírálhatja az a negatívum, amely elkerülhetetlenül az adatbázisból származó adatok visszaéléséből, az emberek ésszerűtlen felvételéből / kizárásából, valamint a hírnév, becsület és az adatbázisban szereplő emberek méltóságát.

Szerencsére 2006 óta Oroszországban hatályban van a „személyes adatokról” szóló szövetségi törvény, amely egyértelműen meghatározza az ilyen adatbázisok létezésének feltételeit:

2. A szövetségi törvény "A személyes adatokról" 6. cikke meghatározza, hogy "a személyes adatok kezelését a személyes adatok alanyának hozzájárulásával végzik személyes adatainak kezeléséhez".

3. A szövetségi törvény „A személyes adatokról” 7. cikke úgy rendelkezik, hogy „Az üzemeltetők és más személyek, akik hozzáférést kaptak a személyes adatokhoz, kötelesek nem nyilvánosságra hozni harmadik személyeknek és nem terjeszteni személyes adatokat a személyes adatok alanyának hozzájárulása nélkül. hacsak a szövetségi törvény másként nem rendelkezik. "

4. A szövetségi törvény „A személyes adatokról” 8. cikke megállapítja, hogy: „1. Az információs támogatás céljából nyilvánosan elérhető személyes adatok forrásai (beleértve a könyvtárakat, címjegyzékeket) hozhatók létre. A személyes adatok alanyának írásos beleegyezésével a nyilvánosan hozzáférhető személyes adatok forrásai lehetnek vezetékneve, keresztneve, utóneve, születési éve és helye, címe, előfizetői száma, a szakmára vonatkozó információk és a személyes adatok tárgya. 2. A személyes adatok tárgyával kapcsolatos információkat bármikor ki kell zárni a személyes adatok nyilvánosan elérhető forrásaiból a személyes adatok alanyának kérésére, vagy bíróság vagy más felhatalmazott állami szervek döntése alapján. "

5. És végül a 13.11. Az Orosz Föderáció közigazgatási bűncselekményeinek kódexéből a következőket határozza meg: „A polgárokkal kapcsolatos információk (személyes adatok) gyűjtésére, tárolására, felhasználására vagy terjesztésére vonatkozó törvény által megállapított eljárás megsértése - figyelmeztetéssel vagy közigazgatási bírság kiszabásával jár. háromszáz -ötszáz rubel összege; tisztviselők - ötszáz és ezer rubel között; jogi személyek esetében - ötezer és tízezer rubel között. "

Más szóval, és röviden:

1. Az egyénre vonatkozó bármely adat (beleértve a telefonszámot is) személyes.

2. A személyes adatok feldolgozásához beleegyezés szükséges, amely bármikor visszavonható.

3. Ha valakinek törvényes hozzáférése van a személyes adatokhoz, akkor tilos azokat bárkinek nyilvánosságra hozni vagy megosztani senkivel a személyes adatok alanyának beleegyezése nélkül, kivéve, ha az alkalmazandó törvény másként rendelkezik.

4. Kifejezetten azok számára, akik nyilvánosan hozzáférhető személyes adatok forrásait kívánják létrehozni, írásos beleegyezési űrlapot biztosítunk.

5. A személyes adatok gyűjtésére és tárolására vonatkozó eljárás megsértéséért felelősséget kell vállalni.

A következtetés nagyon egyszerű és egyértelmű - a gondatlan álláskeresők egységes nyilvános adatbázisának létrehozása csak e leggondolatlanabb munkavállalók írásbeli beleegyezésével lehetséges, ami természetesen semmissé teszi egy ilyen bázis legális létrehozásának valószínűségét. Azok számára, akik ennek ellenére úgy döntenek, hogy ilyen bázisokat hoznak létre, és megosztják azokat társaikkal, társaságunk azt javasolja, hogy ismerkedjenek meg a jelenleg hatályos büntetésekkel.

A személyes adatok feldolgozására vonatkozó engedély megerősítését kérik most a szerződések megkötésekor, a kérdőívek kitöltésekor, a webhelyeken történő regisztrációkor. A legtöbb állampolgár automatikusan egyetért ezzel, bár a gátlástalan személyek kezében lévő személyre vonatkozó személyes adatok erős és veszélyes fegyverek. A cikk arról szól, hogy mit kell tudni a személyes adatokról, hozzáférést biztosítva azokhoz harmadik feleknek.

Személyes adatok: mi ez, szabályozási keret

Az állam számos szabályozással szabályozza a személyes adatok területét. Az alap az Orosz Föderáció Alkotmánya, az alapja a 2006. január 27 -i 152. számú szövetségi törvény. A törvény elmagyarázza, hogy mi a személyes adat, mire vonatkozik. Ez a kifejezés olyan információkat jelent, amelyek közvetlenül vagy közvetve jellemzik a PD alanyát - egyént. Leegyszerűsítve ezekkel pontosan meghatározható, hogy egy adott személyről beszélünk.

Az orosz alkotmány közvetett módon említi a személyes adatokat. Az alaptörvény 23–24. Cikke jogot biztosít a polgároknak a magánélethez, a sérthetetlenséghez és a védelemhez. Minden, ami a személyes adatok fogalmába beletartozik, csak a hordozójuké, és a kormány vagy harmadik felek nem ellenőrizhetik. A polgárok maguk is szabadon rendelkezhetnek ezen információkkal, megakadályozhatják azok terjesztését, vagy éppen ellenkezőleg, átadhatják másoknak. Az állam a maga részéről garantálja és védi ezt a lehetőséget.

A 152. számú szövetségi törvény meghatározza, hogy kinek van joga személyes adatok felhasználására a szállítóján kívül, milyen feltételekkel, milyen szabályok szerint. Csak az engedélyével rendelkező kezelők fogadhatnak és dolgozhatnak fel személyes információkat a témáról. Egy állampolgár megállapodást ír alá a PD ellenőrzéséről hitelkérelmek benyújtásakor, kérdőívek kitöltésekor vagy állásra való jelentkezéskor.

Az üzemeltetők hozzáférhetnek a feladataik megoldásához szükséges adatmennyiséghez. Tilos tárolni és használni őket a cél elérése után. Például a munkáltatónak megsemmisítenie kell a nyilvántartásokat, a kérdőíveket - mindent, ami a munkavállaló személyes adataival kapcsolatos az elbocsátása után. Ellenkező esetben fennáll a felelősség veszélye

Minden jogi személynek és magánszemélynek be kell tartania a 152. számú szövetségi törvény rendelkezéseit. Különleges szabályok érvényesek, ha a PD:

1. személyes vagy családi szükségletekre kap, ha ez nem sérti 3 személy jogait;
2. levéltári dokumentumok tartalmazzák;
3. államtitkot alkotnak;
4. bírósági aktussal gyűjtötték össze.

Más jogalkotási aktusok egyértelművé teszik a PD -re vonatkozó rendelkezéseket a különböző helyzetekkel kapcsolatban, bevezetik a védőeszközök rendszerét és osztályozását. Például az Orosz Föderáció Munka Törvénykönyve 14. fejezete ismerteti a munkavállaló személyes adatainak fogalmát. Ez olyan információ, amely lehetővé teszi, hogy jellemezze őt egy bizonyos szervezet alkalmazottjaként (fizetés, szolgálati idő, képesítések, a Szövetségi Adószolgálat és az Orosz Föderáció Nyugdíjpénztárának információi stb.), Üzleti tulajdonságai. Ezeket fel kell használni és tárolni, hogy segítsék a munkavállalót munkaköri feladatainak teljesítésében, növeljék a tapasztalatokat és ismereteket, előléptetést, védjék a vállalat személyzetét és vagyonát.

A személyes adatok osztályozása

A 152. számú szövetségi törvény többféle személyes adatot azonosít. Ezeket a "titoktartás" foka, a harmadik fél általi gyűjtési és felhasználási nehézségek szerint rendezheti:

• személytelen;
• Tábornok;
• biometrikus;
• különleges.

Általános személyes adatok

Az általános személyes adatok alapvető információk egy személyről. Ezek tartalmazzák:

Személyes adatok feldolgozása a szervezetben

A PD -feldolgozás célja egy szervezetben a munkavállalóval való munkaviszony formalizálása. A munkáltatónak nincs joga munkaszerződést kötni a PD feldolgozásához aláírt hozzájárulás nélkül. Olvasson tovább ebben

• nyilvántartásba vétel helye és lakóhelye;
• útlevél adatok;
• oktatás;
• Elérhetőségeit;
• információ a munkáról;
• jövedelem stb.

Nem mindegyik külön -külön tulajdonítható a PD -nek. Például a törvény nem határozza meg pontosan, I. hogy a telefonszám személyes adat -e... A Roskomnadzor a polgárok fellebbezésére válaszolva kifejtette, hogy lehetetlen személyt pontosan azonosítani csak szám alapján. Önmagában nem személyes, de a tulajdonos nevével összefüggésben és a lakóhely szerinti város a PD -re utal. Ezért az SMS-ek nem személyre szabott küldése nem minősül a 152. számú szövetségi törvény megsértésének.

Az általános PD -ket az útlevél, a katonai személyazonosító oklevél, az oklevél, a személyi igazolvány, a munkafüzet stb. Tartalmazza. Az adatok megszerzéséhez nincs szükség írásbeli engedélyre, inkább közvetett, például egy pipa az online kérdőív megfelelő elemével szemben. A viszonylag egyszerű hozzáférés gyakran problémákat okoz a PD alanyoknak - az egyszerű polgároknak: a tolakodó reklámozástól a hitelkérelmek zsarolásáig és hamisításáig.

Az állampolgár személyes élete, amely különféle titkokat is tartalmaz (orvosi, adózási, örökbefogadási titok és mások), az Orosz Föderáció Büntető Törvénykönyvének 137. cikke védi a nyilvánosságra hozataltól. Bővebben ebben olvashat.

Biometrikus PD

A biometrikus adatok az alany élettani és biológiai jellemzői: ujjlenyomatok, vércsoport, magasság, szemszín, súly, DNS -elemzés stb. Ide tartoznak azok az információk is, amelyek egy személyről készült fényképből vagy videóból nyerhetők. A biometrikus PD -k gyakran szükségesek a kormányzati szervek kezeléséhez vagy foglalkoztatásához, a külföldi útlevelek és vízumok kiadásához.

Különleges PD

A faj és a nemzetiség, a vallás, a filozófiai hiedelmek, az egészségi állapot, a meggyőződés, az intim élet, a szexuális preferenciák különleges adatoknak minősülnek. Ezeket orvosi igazolások, személyes iratok stb.

Különleges AP -k szükségesek a politikai tevékenységekben való részvételhez, a fegyveres erőkhöz való csatlakozáshoz. Harmadik felek csak az érintett engedélyével férhetnek hozzá ezekhez az adatokhoz.

Miért van szüksége személyes adatokra vonatkozó törvényre? Nézze meg a választ a videóban:

Személytelenített PD

Az anonimizált PD minden érdeklődő számára elérhető. Az információforrások lehetnek:

• címjegyzékek;
• referenciakönyvek;
• nyilvántartások;

A nyilvánosan elérhető, személyes adatoknak minősülő információk például a politikusok, a szövetségi vagy önkormányzati hatóságok képviselői, a vezető tisztségeket betöltő tisztviselők jövedelmei.

2016 novemberében az Orosz Föderáció Elnöki Közigazgatásának munkacsoportjának első ülése a 152. számú szövetségi törvény rendelkezéseinek ún. Nagy adat... Ezek azok az adatok, amelyek a felhasználótól érkeznek a hálózathoz: IP -cím, engedélyezési űrlapok, böngészőelőzmények, információk, amelyeket a modulok és az intelligens háztartási készülékek halmoznak fel a tulajdonosról.

A Big Data egyrészt közvetlenül vagy közvetve jelzi a személyt, vagyis a PD definíciója alá tartozik. A törvényhozók ugyanakkor nem tekintik az internetes adatokat az egyén tulajdonának, mivel nem tudja ellenőrizni azokat.

Minden érdekes kérdés feltehető a cikk megjegyzéseiben