Penggunaan data pribadi dari sumber terbuka. Apakah data pribadi yang diposting di jejaring sosial tersedia untuk umum? Data pribadi: apa itu, kerangka peraturan

Roskomnadzor mengungkapkan pelanggaran dalam hal kepatuhan kegiatan pemrosesan data pribadi dengan persyaratan hukum berdasarkan hasil pemeriksaan di tempat yang dijadwalkan dari salah satu biro sejarah kredit. Biro mencoba untuk menantang hasil ini di Pengadilan Arbitrase Moskow (keputusan Pengadilan Arbitrase Moskow tertanggal 5 Mei 2017 dalam kasus No. A40-5250 / 17-144-51).

Inti dari pelanggaran yang diungkapkan Roskomnadzor adalah sebagai berikut:

  • lembaga keuangan tidak menyampaikan pemberitahuan kepada badan yang berwenang atas penggunaan layanan Double Data Social Link dan Double Data Social Attributes, yang mengalihkan data individu atau calon nasabah dari sumber informasi terbuka ke lembaga keuangan (selanjutnya disebut Undang-Undang Nomor 152-FZ);
  • tidak ada persetujuan untuk pemrosesan data pribadi yang terkandung dalam sumber terbuka - di jejaring sosial dan di portal Internet ().

Pengadilan Arbitrase Moskow memutuskan bahwa pemrosesan data pribadi diperbolehkan dalam kasus-kasus di mana data pribadi tersedia untuk lingkaran orang yang tidak terbatas, ada persetujuan dari pemilik data dan informasi diberikan langsung oleh subjek (,).

Pengadilan menekankan bahwa tanpa persetujuan tertulis dari subjek data pribadi, tidak mungkin untuk menegaskan ketentuan persetujuan oleh orang yang ditentukan. Menurutnya, jika pemilik membuat data pribadi tersedia untuk umum bagi semua orang, maka data tersebut hanya dapat dimuat dalam sumber yang tersedia untuk umum (). Menurut pengadilan, jejaring sosial bukanlah sumber untuk memperoleh data pribadi, masing-masing, informasi tentang seseorang yang diposting di dalamnya tidak dapat dikaitkan dengan publik.

Putusan arbitrase menyatakan bahwa sumber data pribadi yang tersedia untuk umum dapat mencakup nama keluarga, nama, patronimik, tahun dan tempat lahir, alamat, nomor pelanggan, informasi tentang profesi dan data pribadi lainnya dari pemiliknya dengan persetujuan tertulisnya dan dikomunikasikan oleh dia. Pengadilan menyimpulkan bahwa pemilik data pribadi tidak membuat informasi tersedia untuk umum, yang diproses oleh biro kredit di jejaring sosial (,). Dalam hubungan ini, pengadilan mengakui perintah Roskomnadzor sebagai sah dan menolak untuk memenuhi klaim lembaga keuangan.

Dapatkah sebuah perusahaan bertanggung jawab atas penggunaan gambar individu tanpa persetujuannya jika telah mempublikasikan foto karyawan di media sosial? Jawaban untuk ini dan pertanyaan praktis lainnya ada di "Basis Pengetahuan Jasa Konsultan Hukum" dalam versi Internet dari sistem GARANT. Dapatkan akses penuh selama 3 hari gratis!

Pengadilan banding setuju dengan kesimpulan dari pengadilan yang lebih rendah, menekankan bahwa posting data pribadi di jejaring sosial tidak secara otomatis membuat mereka tersedia untuk umum, oleh karena itu, persetujuan dari subjek diperlukan untuk memproses informasi (keputusan Pengadilan Arbitrase Kesembilan Pengadilan Banding tertanggal 27 Juli 2017 dalam hal No. 40-5250 / 17). Pengadilan kasasi dan Mahkamah Agung Federasi Rusia memihak Roskomnadzor dan tidak menemukan alasan untuk membatalkan tindakan peradilan yang disengketakan (putusan Pengadilan Arbitrase Distrik Moskow 9 November 2017 dalam kasus No. kasus No. 305- KG17-21291).

Dengan demikian, pengadilan memutuskan bahwa data pribadi tersedia untuk umum jika dua kondisi terpenuhi: disediakan oleh pemilik dan tersedia untuk lingkaran orang yang tidak terbatas. Menurut pendapat mereka, karena kurangnya persetujuan pemilik data pribadi untuk memposting informasi tentang dia di jejaring sosial, mereka [jejaring sosial] tidak dapat dikaitkan dengan sumber publik. Dalam hal ini, operator berhak untuk melanjutkan pemrosesan data pribadi tanpa persetujuan subjek data pribadi, dalam hal penarikannya, hanya jika ada alasan yang tepat, misalnya, untuk melawan terorisme atau korupsi ().

Pengacara Terkemuka dari Layanan Hukum Eropa Elena Derzhieva mencatat bahwa berdasarkan ketentuan perjanjian pengguna jejaring sosial "Vkontakte", pemilik data pribadi hanya setuju untuk mengakses informasi yang dia posting di halamannya, tetapi tidak untuk diproses oleh pihak ketiga.

Individu memberikan informasi pribadi kepada berbagai otoritas setiap hari. Operator data pribadi bertanggung jawab atas pemrosesan informasi. Ini adalah bank, pengusaha, organisasi medis, situs Internet, dan struktur lainnya. Operator diwajibkan oleh hukum untuk melindungi informasi pribadi. Untuk membuat sumber yang berisi data pribadi (PD) yang tersedia untuk umum.

Apa itu PD yang tersedia untuk umum?

Publik mencakup informasi tentang seseorang yang dia berikan secara independen kepada pihak berwenang. Untuk membuka akses gratis ke informasi, izin tertulis dari orang - subjek data pribadi diperlukan. Subjek adalah orang yang data pribadinya dikumpulkan, disimpan, dan diproses oleh operator. Operator adalah badan hukum atau perorangan, otoritas kota atau negara bagian.

PD yang tersedia untuk umum mencakup informasi tentang subjek, yang dengannya dapat diidentifikasi:

  • Tanggal dan Tempat Lahir;
  • alamat rumah;
  • nomor telepon;
  • profesi;
  • nomor pajak orang pribadi;
  • tempat kerja atau studi dan informasi lainnya.

Komposisi data yang tersedia untuk umum dapat mencakup informasi apa pun yang tidak bersifat rahasia dari sudut pandang hukum. Data pribadi subjek dapat diklasifikasikan menurut volume dan tingkat kepentingan informasi pribadi.

Data yang tersedia untuk umum juga mencakup informasi pribadi yang diberikan:

  • saat bekerja, membuat kontrak atau kontrak kerja;
  • selama sensus;
  • saat mendaftarkan hubungan kontraktual selama operasi perdagangan dan situasi serupa lainnya.

Data pribadi subjek, yang disebarluaskan melalui media, tidak diklasifikasikan sebagai rahasia, karena tersedia untuk umum sesuai dengan "Daftar informasi rahasia".

Persetujuan tertulis dari subjek untuk penerimaan, transfer, pemrosesan, dan tindakan lain dengan PD tidak selalu diperlukan. Dalam beberapa kasus, misalnya, ketika berpartisipasi dalam survei atau berlangganan buletin, cukup centang kotak yang memungkinkan penggunaan PD.

Data umum dapat ditempatkan di sumber yang tersedia untuk umum. Ini berarti bahwa sumber dilihat dan digunakan oleh sejumlah besar pemangku kepentingan. Contoh dari sumber tersebut adalah direktori telepon.

Pemrosesan data yang tersedia untuk umum

Pemrosesan data yang tersedia untuk umum dilakukan oleh departemen dan divisi yang bertanggung jawab meliputi pengumpulan, sistematisasi, penyimpanan, modifikasi, penggunaan, dan pemusnahan PD. Individu memiliki hak untuk meminta informasi tentang operator data dan mencari tahu tujuan apa yang dikejar operator selama pemrosesan PD.

Roskomnadzor bertanggung jawab untuk memantau kepatuhan terhadap hukum selama pemrosesan. FSB dan FSTEC memiliki kekuatan audit dan pengendalian tertentu. Operator membuat sistem perlindungan data pribadi untuk kebutuhan mereka sendiri, oleh karena itu, dalam hal ini, untuk melisensikan kegiatan tersebut.

PD diproses oleh organisasi yang perlu mengumpulkan, mengumpulkan, memproses, dan menyimpan informasi tentang karyawan, pemasok, dan pelanggan untuk menjalankan aktivitas mereka. Dalam kasus-kasus tertentu, data tersebut termasuk dalam open.

Hak Subyek Data Publik

Subyek PD dapat mengajukan aplikasi yang menuntut untuk memblokir, menghancurkan, mengklarifikasi, atau mengubah data yang tersedia untuk umum jika informasi tersebut tidak lagi mutakhir, tidak lengkap, atau tidak diperlukan untuk tujuan pemrosesan. Subjek juga berhak meminta akses ke PD mereka dan mencari tahu cara yang digunakan operator untuk memprosesnya.

Informasi harus digunakan sesuai dengan persyaratan hukum dan harus dilindungi, apakah itu rahasia atau tersedia untuk umum. Operator bertanggung jawab untuk memastikan perlindungan penuh atas data pribadi subjek dan membatasi akses ke data orang yang tidak berwenang.

Operator mulai memproses data pribadi hanya setelah menerima izin tertulis dari subjek untuk diproses. Persetujuan tersebut mencakup informasi tentang individu dan data operator: nama perusahaan, nama keluarga, nama dan patronimik operator, posisi. Juga, persetujuan diperlukan untuk menunjukkan tujuan pemrosesan dan daftar data dengan deskripsi operasi yang akan dilakukan dengan informasi tersebut. Seseorang berhak untuk mencabut PD-nya dan mencabut persetujuannya untuk diproses.

Dalam hal ketidakmampuan atau kematian subjek, persetujuan untuk pemrosesan dan penggunaan PD diminta dari ahli waris atau perwakilan hukum. Dalam hal ini, seseorang harus dipandu oleh Undang-Undang Federal tentang Data Pribadi.

Dalam hal terjadi pelanggaran terhadap persyaratan hukum, para pelaku memikul tanggung jawab administratif, pidana dan jenis-jenis tanggung jawab lainnya. Tidak masalah apakah PD bersifat rahasia atau tersedia untuk umum, sesuai dengan Pasal 8 Undang-Undang Federal-152 tentang data pribadi, PD yang tersedia untuk umum dapat ditempatkan di sumber yang tersedia untuk umum hanya dengan persetujuan dari subjek data. Data pribadi harus dikeluarkan dari sumber jika diperlukan oleh subjek atau badan yang berwenang: Roskomnadzor, pengadilan atau lembaga pemerintah lainnya.

"Orang" - data yang berhubungan dengan seseorang, kepribadian, organisme biologis.

Apa itu, bagaimana cara mengumpulkannya, di mana menyimpannya, bagaimana cara melindunginya?

Apakah kartu sidik jari data pribadi atau tidak?

Tidak ada informasi pribadi di dalamnya.

data pribadi - setiap informasi yang berkaitan dengan spesifik atau ditentukan berdasarkan informasi tersebut seorang individu (subjek data pribadi), termasuk nama belakangnya, nama depan, patronimik, tahun, bulan, tanggal dan tempat lahir, alamat, keluarga, sosial, status properti, pendidikan, profesi, pendapatan, informasi lainnya;

Alamat adalah pendaftaran di tempat tinggal atau tempat tinggal.

Klasifikasi bersyarat dari data pribadi.

1) menurut tingkat keterbukaan:

data pribadi yang tersedia untuk umum - data pribadi, akses ke jumlah orang yang tidak terbatas yang diberikan dengan persetujuan subjek data pribadi atau yang, sesuai dengan undang-undang federal, persyaratan kerahasiaan tidak berlaku.

Data pribadi yang tersedia untuk umum adalah data yang persetujuan sukarelanya diberikan dan diposting di domain publik.

Seringkali, beberapa pemilik situs meminta informasi pendaftaran yang tidak ingin mereka berikan.

Informasi rahasia - informasi diberikan secara ketat untuk tujuan tertentu. Terkadang dapat dikumpulkan tanpa sepengetahuan orang tersebut.

Kementerian Dalam Negeri menyimpan informasi di pusat-pusat informasi

2) dengan aksesori

- pribadi - milik sejak lahir

- layanan - selama bekerja, layanan - peringkat kelas, dll.

3) dengan cara memberikan

- informasi yang diberikan secara sukarela

- diberikan secara umum menurut undang-undang (wajib)

- dikumpulkan tanpa persetujuan warga sesuai dengan hukum

4) data secara alami

- biometrik (informasi sidik jari)

Konsep dasar yang digunakan saat bekerja dengan data pribadi.

- pemrosesan data pribadi- tindakan (operasi) dengan data pribadi, termasuk pengumpulan, sistematisasi, akumulasi, penyimpanan, klarifikasi (pembaruan, perubahan), penggunaan, distribusi (termasuk transfer), depersonalisasi, pemblokiran, penghancuran data pribadi;

- penyebaran data pribadi- tindakan yang ditujukan untuk mentransfer data pribadi ke lingkaran orang tertentu (transfer data pribadi) atau berkenalan dengan data pribadi dari jumlah orang yang tidak terbatas, termasuk pengungkapan data pribadi di media, posting informasi dan telekomunikasi jaringan atau menyediakan akses ke data pribadi yang - dengan cara lain apa pun;

- penggunaan data pribadi - tindakan (operasi) dengan data pribadi yang dilakukan oleh operator untuk membuat keputusan atau melakukan tindakan lain yang menghasilkan konsekuensi hukum sehubungan dengan subjek data pribadi atau orang lain atau memengaruhi hak dan kebebasan subjek data pribadi atau lainnya orang;

- pemblokiran data pribadi- penghentian sementara pengumpulan, sistematisasi, akumulasi, penggunaan, penyebaran data pribadi, termasuk transfernya;

Informasi yang diposting di Internet seringkali tidak dapat diblokir.

Sebagian besar data pribadi:

- disimpan di komputer

- diposting di Internet

Sulit untuk mengontrol penempatan

- penghancuran data pribadi- tindakan yang akibatnya tidak mungkin untuk memulihkan konten data pribadi dalam sistem informasi data pribadi atau sebagai akibatnya pembawa data pribadi yang nyata dihancurkan; - situasi ketika arsip terbakar

anonimisasi data pribadi

- depersonalisasi data pribadi- tindakan sebagai akibatnya tidak mungkin untuk menentukan kepemilikan data pribadi ke subjek data pribadi tertentu;

sistem informasi data pribadi- sistem informasi, yang merupakan kumpulan data pribadi yang terkandung dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi atau tanpa menggunakan sarana tersebut;

kerahasiaan data pribadi- persyaratan wajib bagi operator atau orang lain yang telah memperoleh akses ke data pribadi untuk mencegah penyebarannya tanpa persetujuan subjek data pribadi atau alasan hukum lainnya;

transfer data pribadi lintas batas- transfer data pribadi oleh operator melintasi Perbatasan Negara Federasi Rusia ke otoritas negara asing, individu atau badan hukum negara asing;

- data pribadi yang tersedia untuk umum- data pribadi, akses orang dalam jumlah tidak terbatas yang diberikan dengan persetujuan subjek data pribadi atau yang, sesuai dengan undang-undang federal, persyaratan kerahasiaan tidak berlaku.

Pemrosesan data pribadi.

1) legalitas tujuan dan metode pengolahan data pribadi dan itikad baik;

2) kepatuhan terhadap tujuan pemrosesan data pribadi dengan tujuan yang telah ditentukan sebelumnya dan dinyatakan dalam pengumpulan data pribadi, serta wewenang operator;

3) korespondensi volume dan sifat data pribadi yang diproses, metode pemrosesan data pribadi dengan tujuan pemrosesan data pribadi;

4) keandalan data pribadi, kecukupannya untuk tujuan pemrosesan, tidak dapat diterimanya pemrosesan data pribadi yang berlebihan sehubungan dengan tujuan yang dinyatakan saat mengumpulkan data pribadi;

5) tidak dapat diterimanya penggabungan database sistem informasi data pribadi yang dibuat untuk tujuan yang tidak sesuai.

Jika sekali seseorang mengisi kartu sidik jari, maka itu ada di pusat informasi di database mereka. Kita tidak bisa, misalnya, menggabungkan database warga biasa dan orang-orang yang telah melakukan kejahatan.

1) dengan persetujuan pemilik data pribadi

2) tanpa persetujuan dari pemilik data pribadi.

Ini berlaku untuk orang yang menduduki posisi dan posisi tertentu: personel militer, mayat

Kerahasiaan data pribadi:

Bila tidak diperlukan:

1) dalam hal anonimisasi data pribadi;

2) sehubungan dengan data pribadi yang tersedia untuk umum.

- operator yang mengumpulkan dan memproses data pribadi.

- batasi akses dalam organisasi Anda sendiri

Operator secara pribadi bertanggung jawab atas penyebaran data pribadi

- menetapkan batasan akses baik di tempat maupun di jaringan (sistem akses, sistem identifikasi kartu)

Untuk jaringan lokal - login sistem + kata sandi

Anda dapat membatasi akses dengan informasi biometrik: sidik jari, retina.

- tentang ras

- tentang pandangan politik

- tentang keyakinan agama atau filosofis

- tentang keadaan kesehatan

- tentang kehidupan intim

Pemrosesan mereka hanya dimungkinkan dengan persetujuan subjek.

1) kehadiran persetujuan tertulis subjek untuk pemrosesan mereka

2) jika subjek data pribadi telah membuatnya tersedia untuk umum

3) jika informasi ini berkaitan dengan informasi yang diperlukan untuk melindungi kehidupan, kesehatan, dan kepentingan vital lainnya dari seseorang

Informasi tersebut dapat diberikan untuk tujuan medis-profilaksis - misalnya, infeksi virus.

Keunikan pemrosesan data pribadi di sistem informasi negara bagian atau kota untuk pemrosesan data pribadi.

- hanya berlaku untuk pegawai negeri sipil dan pegawai kota.

Badan negara memiliki statusnya sendiri, ada sistem independen untuk memproses informasi tentang pegawai negara bagian atau kota.

1) ditetapkan informasi apa yang dibutuhkan dalam kompetensinya

2) ada juga Undang-Undang Federal "Tentang Layanan Sipil Negara", yaitu, tidak hanya diatur oleh undang-undang tentang data pribadi.

Informasi yang mencirikan karakteristik fisiologis seseorang dan atas dasar yang memungkinkan untuk menetapkan identitasnya (data pribadi biometrik) hanya dapat diproses dengan persetujuan tertulis dari subjek data pribadi, kecuali dalam kasus berikut:

1) melakukan kejahatan

Pemrosesan data pribadi biometrik dapat dilakukan tanpa persetujuan dari subjek data pribadi sehubungan dengan administrasi peradilan, serta dalam kasus-kasus yang diatur oleh undang-undang Federasi Rusia tentang keamanan, undang-undang Federasi Rusia tentang kegiatan pencarian operasional, undang-undang Federasi Rusia tentang layanan publik, dan undang-undang pidana Federasi Rusia, undang-undang Federasi Rusia tentang prosedur untuk meninggalkan Federasi Rusia dan memasuki Federasi Rusia.

- mengumpulkan informasi dari tersangka adalah ilegal

Pemrosesan informasi lintas batas.

Itu dapat diperlukan untuk melindungi warga negara tempat ia ditransfer, itu dikumpulkan hanya dengan persetujuan tertulis dari subjek.

Hak subjek data pribadi.

1) Hak subjek data pribadi untuk mengakses data pribadinya

Anda tidak dapat menghubungi pusat informasi Kementerian Dalam Negeri (pusat informasi utama dan pusat informasi zona)

2) Hak subjek data pribadi untuk memproses data pribadi mereka untuk mempromosikan barang, karya, layanan di pasar, serta untuk tujuan kampanye politik

Keakuratan informasi akan diverifikasi oleh orang lain.

3) pengambilan keputusan berdasarkan pemrosesan data pribadi yang otomatis secara eksklusif. Seseorang mungkin tidak mempercayai pemrosesan otomatis. Anda dapat menuntut agar sidik jari tidak hanya disimpan di komputer, tetapi juga di atas kertas.

- Kode Perburuhan Federasi Rusia - ada bab tentang data pribadi.

HUKUM FEDERAL TENTANG PENDAFTARAN DAKTILOSKOPI NEGARA DI FEDERASI RUSIA 25 Juli 1998 N 128-FZ

Data pribadi yang tersedia untuk umum adalah

Data pribadi- setiap informasi yang terkait dengan tertentu atau ditentukan berdasarkan informasi tersebut orang alami, termasuk:

Nama belakangnya, nama depannya, patronimik,

Tahun, bulan, tanggal dan tempat lahir,

Alamat, keluarga, sosial, status properti, pendidikan, profesi, pendapatan,

yang lain informasi (lihat FZ-152, Pasal 3).

Misalnya: data paspor, laporan keuangan, catatan medis, tahun lahir (untuk wanita), biometrik, informasi identifikasi pribadi lainnya.

DI DALAM publik sumber data pribadi (buku alamat, daftar, dan dukungan informasi lainnya) dengan persetujuan tertulis seseorang dapat menyertakan nama belakang, nama depan, patronimik, tahun dan tempat lahir, alamat, nomor pelanggan dan yang lain data pribadi (lihat FZ-152, pasal 8).

Data pribadi mengacu pada informasi dengan akses terbatas dan harus terlindung sesuai dengan undang-undang Federasi Rusia. Dalam pembentukan persyaratan untuk keamanan sistem, data pribadi dibagi menjadi 4 kategori.

Apa operator dan subjek data pribadi?

Operator data pribadi- itu, sebagai suatu peraturan, organisasi, atau lebih tepatnya, badan negara bagian atau kota, badan hukum atau perorangan, mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan dari data pribadi.

Subjek data pribadi Adalah individu.

Operator bertanggung jawab untuk melindungi data pribadi subjek sesuai dengan undang-undang Federasi Rusia saat ini.

Bagaimana mengklasifikasikan sistem informasi data pribadi?

Untuk dikaitkan khas sistem informasi data pribadi (ISPDN) untuk kelas tertentu diperlukan:

II. Mendefinisikan volume data pribadi yang diproses dalam sistem informasi:

volume 3- sistem informasi memproses data secara bersamaan kurang dari 1000 mata pelajaran data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu;

volume 2 dari 1.000 hingga 100.000 mata pelajaran data pribadi atau data pribadi subjek data pribadi yang bekerja di industri ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;

volume 1- sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 mata pelajaran data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;

AKU AKU AKU. Berdasarkan hasil analisis data awal khas ISPD diberikan salah satu dari berikut ini: kelas(lihat tabel):

Kelas 4 (K4) - sistem informasi yang pelanggaran terhadap karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya tidak menyebabkan konsekuensi negatif bagi subjek data pribadi;

Kelas 3 (K3) - sistem informasi yang pelanggaran terhadap karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil untuk subjek data pribadi;

Kelas 2 (K2) - sistem informasi di mana pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;

Kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi.

Kiamat ditunda hingga 1 Januari 2011

Sistem informasi data pribadi yang dibuat sebelum berlakunya Undang-Undang Federal Federasi Rusia No. 152 "Tentang Data Pribadi" harus disesuaikan dengan persyaratan Undang-Undang Federal ini selambat-lambatnya 1 Januari 2010 (lihat FZ-152 , Pasal 25).

Ini berarti bahwa operator data pribadi yang gagal untuk mematuhi persyaratan yang sangat ketat dari FZ-152, mulai 1 Januari 2010, akan dikenakan sanksi perdata, administrasi, disiplin, dan mungkin (Tuhan melarang) dan pidana yang sesuai. tanggung jawab .

Semua sistem informasi yang telah dioperasikan setelah Februari-April 2008 (sejak pengiriman dokumen metodologis oleh FSTEC Rusia dan FSB Rusia), tetapi tidak memenuhi persyaratan undang-undang Rusia di bidang data pribadi, mungkin menanggung tanggung jawab ini lebih awal, misalnya, besok pagi ...

Catatan. Amandemen KUHP Federasi Rusia, yang secara signifikan memperkuat tanggung jawab atas pelanggaran yang memengaruhi privasi, juga akan mulai berlaku pada 1 Januari 2010.

Tetapi seperti biasa, operator data pribadi tidak banyak bergerak, dan hanya sedikit orang yang berhasil melakukan semua yang diperlukan. Pada 16 Desember 2009, Duma Negara mengadopsi dalam amandemen ketiga untuk Pasal 19 dan 25 Undang-Undang "Tentang Data Pribadi" (152-FZ). Batas waktu untuk membawa sistem informasi data pribadi (ISPDN) sesuai dengan undang-undang ini telah ditunda selama satu tahun - hingga 1 Januari 2011. Selain itu, undang-undang tersebut telah mengecualikan aturan yang mewajibkan operator untuk menggunakan sarana enkripsi (kriptografi) untuk melindungi data saat memproses data pribadi.

Persyaratan wajib untuk perlindungan sistem informasi data pribadi

Persyaratan wajib utama untuk organisasi sistem keamanan informasi tergantung pada kelas khas ISPD:

Untuk ISPD kelas 4:

Daftar tindakan untuk perlindungan data pribadi ditentukan oleh operator (tergantung pada kemungkinan kerusakan)

Untuk ISPD kelas 3:

Pernyataan Kesesuaian atau

Memperoleh lisensi dari FSTEC Rusia untuk perlindungan teknis informasi rahasia (untuk sistem terdistribusi ISPDN K3)

Untuk ISPD kelas 2:

Sertifikasi wajib untuk persyaratan keamanan informasi

Memperoleh lisensi dari FSTEC Rusia untuk perlindungan teknis informasi rahasia untuk sistem terdistribusi

Untuk ISPD kelas 1:

Sertifikasi wajib untuk persyaratan keamanan informasi

Langkah-langkah untuk melindungi data pribadi dari PEMIN harus diterapkan

Memperoleh lisensi dari FSTEC Rusia untuk perlindungan teknis informasi rahasia

Prosedur untuk melindungi sistem informasi data pribadi

Urutan tindakan saat memenuhi persyaratan undang-undang tentang pemrosesan data pribadi:

1) Pemberitahuan kepada badan yang berwenang untuk melindungi hak-hak subjek data pribadi tentang niat mereka untuk memproses data pribadi menggunakan alat otomatisasi;

2) Survei pra-desain sistem informasi - pengumpulan data awal;

3) Klasifikasi sistem pemrosesan data pribadi;

4) Membangun model ancaman pribadi untuk menentukan relevansinya untuk sistem informasi;

5) Pengembangan penugasan teknis swasta untuk sistem perlindungan data pribadi;

6) Merancang sistem perlindungan data pribadi;

Tanggung jawab atas pelanggaran pemrosesan data pribadi

Orang-orang yang bersalah melanggar persyaratan Hukum Federal 152-FZ "Tentang Data Pribadi" adalah:

- pidana (lihat KUHP Federasi Rusia, Pasal 137, 140, 155, 183, 272, 273, 274, 292, 293),

Administratif (lihat Kode Federasi Rusia tentang Pelanggaran Administratif, Pasal 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disiplin (lihat Kode Perburuhan Federasi Rusia, Pasal 81; Pasal 90; Pasal 195; Pasal 237; Pasal 391)

dan tanggung jawab lain yang ditetapkan oleh undang-undang Federasi Rusia (lihat peraturan tentang bekerja dengan data pribadi yang diterbitkan di entitas konstituen Federasi Rusia, departemen dan organisasi).

FSTEC- Layanan Federal untuk Kontrol Teknis dan Ekspor.

PEMIN- Emisi dan Panduan Elektromagnetik Palsu

Perlindungan informasi pribadi

Pada bulan Desember 2014, dalam pembacaan ketiga, Duma Negara mengadopsi undang-undang tentang penyimpanan data pribadi warga negara yang diproses di Internet pada server di Rusia. Menurut Roman Chuichenko, anggota Komite Kebijakan Informasi, tujuan utama dari RUU tersebut adalah untuk memperkuat keamanan informasi negara dan warganya. Langkah ini diambil sehubungan dengan rumitnya situasi internasional. RUU ini akan mulai berlaku pada 1 September 2015.

Berlakunya peraturan baru tentang perlindungan data pribadi mensyaratkan ketentuan oleh operator data pribadi:

  • deteksi tepat waktu akses tidak sah ke PD;
  • pencegahan dampak pada sarana teknis yang melakukan pemrosesan PD secara otomatis;
  • kemampuan untuk merespons dengan cepat fakta akses yang tidak sah dan segera memulihkan PD jika terjadi kerusakan atau perubahan;
  • pemantauan terus-menerus terhadap tingkat perlindungan data pribadi.

Kategori data pribadi

Pemrosesan ISPD juga dapat dilakukan sesuai dengan parameter "volume data pribadi yang diproses", yang mengasumsikan jumlah subjek yang diproses dalam sistem informasi, dan dapat mengambil nilai berikut:

  • pemrosesan simultan lebih dari 100 ribu subjek PD (dilakukan baik di dalam entitas konstituen Federasi Rusia dan di Federasi Rusia secara keseluruhan);
  • pemrosesan data pribadi secara simultan dari 1 hingga 100 ribu subjek (dilakukan di otoritas negara yang bekerja di bidang ekonomi Federasi Rusia);
  • pemrosesan simultan data pribadi kurang dari 1.000 subjek (dilakukan dalam organisasi tertentu).

Pembagian ke dalam kategori memungkinkan tidak hanya untuk menentukan kelas ISPD, tetapi juga untuk menetapkan serangkaian tindakan untuk memastikan keamanan dan perlindungan data pribadi di Internet, saat diproses dalam sistem informasi.

data pribadi karyawan

Setiap karyawan memiliki hak untuk melindungi data pribadinya (klausul 9 pasal 86 Kode Perburuhan Federasi Rusia).

Sesuai dengan Seni. 89 dari Kode Perburuhan Federasi Rusia, setiap karyawan dapat menggunakan haknya atas perlindungan dan perlindungan data pribadi melalui tindakan berikut:

  • akses gratis gratis ke data pribadi Anda, termasuk mendapatkan salinan catatan apa pun yang berisi data pribadi karyawan;
  • penentuan perwakilan pribadi untuk melindungi data pribadi mereka;
  • memperoleh informasi lengkap tentang PD dan pengolahannya;
  • pengajuan persyaratan untuk pengecualian atau koreksi data pribadi yang berisi informasi yang tidak benar atau jika diproses dengan melanggar persyaratan hukum;
  • banding di pengadilan atas tindakan melanggar hukum majikan, serta kelambanannya dalam memproses dan melindungi data pribadi.

Komposisi data pribadi karyawan

Berdasarkan klausa 2 pasal 86 Kode Perburuhan Federasi Rusia, volume dan konten data pribadi karyawan ditentukan oleh majikan sesuai dengan Konstitusi Federasi Rusia, Kode Perburuhan, dan undang-undang federal lainnya. Sebagai aturan, aktivitas organisasi mana pun melibatkan penggunaan dua jenis dokumen utama oleh pemberi kerja dalam alur kerja:

  1. Dokumen yang disediakan oleh karyawan saat membuat kontrak kerja (Pasal 65 Kode Perburuhan Federasi Rusia). Kategori ini mencakup dokumen yang berisi foto karyawan, nama lengkap, informasi tentang tempat dan tanggal lahir, kewarganegaraan, status perkawinan, tempat pendaftaran, pendidikan, spesialisasi (paspor, sertifikat asuransi asuransi pensiun negara, ID militer, dll. ).
  2. Dokumen yang dibuat oleh pemberi kerja secara mandiri (dokumentasi akuntansi utama untuk menghitung tenaga kerja dan pembayarannya). Kategori ini mencakup pesanan atau perintah untuk penerimaan karyawan, pemutusan kontrak kerja, insentif untuk karyawan, kartu pribadi, dokumen tentang remunerasi.

Perlindungan data pribadi, tanggung jawab atas pelanggaran hukum

Perhatikan bahwa beberapa sanksi untuk pelanggaran pelanggaran tertentu berlaku untuk individu dan pejabat, dan untuk badan hukum.

Sesuai dengan Pasal 150 KUH Perdata Federasi Rusia, kehidupan pribadi, rahasia pribadi dan keluarga yang tidak dapat diganggu gugat adalah salah satu hak tak berwujud yang tidak dapat dicabut yang dilindungi oleh undang-undang yang berlaku.

Perhatikan bahwa hak dan kewajiban karyawan, yang terkait langsung dengan data pribadi karyawan lain, ditentukan oleh ketentuan kontrak kerja dan komposisi tindakan hukum peraturan setempat yang menetapkan fungsi tenaga kerja karyawan dan daftar pekerjaannya. tugas pekerjaan.

Tanggung jawab administratif pelanggaran prosedur untuk mengumpulkan, menyimpan, dan mendistribusikan data pribadi memerlukan peringatan atau denda dalam jumlah: dari 300 hingga 500 rubel - untuk individu; dari 500 hingga 1000 rubel - untuk pejabat, dari 5 hingga 10 ribu rubel - untuk badan hukum (Pasal 13.11 Kode Administratif Federasi Rusia). Tanggung jawab administratif untuk penyebaran informasi yang dilindungi oleh hukum, dalam pelaksanaan tugas resmi dan profesional, memerlukan denda dalam jumlah: dari 500 hingga 1000 rubel - untuk individu, dari 4 hingga 5 ribu rubel - untuk pejabat (Pasal 13.14 Kode Pelanggaran Administratif Federasi Rusia) ...

Pelanggaran privasi, khususnya data pribadi, oleh seseorang yang menggunakan jabatan resminya memberikan hukuman berupa:

  • denda dalam jumlah 100 hingga 300 ribu rubel, upah atau penghasilan lain dari pelanggar dalam 1-2 tahun;
  • perampasan hak untuk memegang posisi tertentu untuk jangka waktu 2 sampai 5 tahun;
  • penangkapan untuk jangka waktu 4 sampai 6 bulan.

Apakah legal untuk membuat database publik dari data pribadi?

Di penghujung tahun 2015, saya ikut serta dalam diskusi artikel menarik di LiveJournal, yang dikhususkan untuk kebutuhan membuat database publik yang terpadu tentang pencari kerja yang tidak bermoral.

Saya harus mengatakan bahwa idenya bukanlah hal baru dan, tentu saja, sejumlah perusahaan memiliki database pelamar internal. Dengan bantuan database tersebut, petugas personalia menyaring kandidat yang tidak cocok dengan investasi waktu yang paling minimal. Jika kita secara teoritis berasumsi bahwa basis seperti itu dapat muncul untuk membantu semua SDM di negara ini, maka betapa jauh lebih baik bagi semua orang. Nah, kan? Syukurlah tidak, tidak seperti itu. Seperti yang dicatat oleh komentator artikel ini dengan benar, potensi manfaat dapat dengan mudah digantikan oleh hal negatif yang pasti akan muncul dari penyalahgunaan data dari basis data, penyertaan/pengecualian orang yang tidak wajar dalam basis data tersebut, dan masalah reputasi, kehormatan dan martabat orang yang termasuk dalam database.

Untungnya, sejak 2006, undang-undang federal "Tentang Data Pribadi" telah berlaku di Rusia, yang dengan jelas mendefinisikan kondisi di mana basis data tersebut dapat ada:

2. Pasal 6 Undang-Undang Federal "Tentang Data Pribadi" menentukan bahwa "pemrosesan data pribadi dilakukan dengan persetujuan subjek data pribadi untuk pemrosesan data pribadinya."

3. Pasal 7 undang-undang federal "Tentang data pribadi" menentukan bahwa "Operator dan orang lain yang telah memperoleh akses ke data pribadi berkewajiban untuk tidak mengungkapkan kepada pihak ketiga dan tidak mendistribusikan data pribadi tanpa persetujuan dari subjek data pribadi. , kecuali ditentukan lain oleh hukum federal."

4. Pasal 8 Undang-Undang Federal “Tentang Data Pribadi” menentukan bahwa: “1. Untuk tujuan dukungan informasi, sumber data pribadi yang tersedia untuk umum (termasuk direktori, buku alamat) dapat dibuat. Dengan persetujuan tertulis dari subjek data pribadi, sumber data pribadi yang tersedia untuk umum dapat mencakup nama belakangnya, nama depan, patronimik, tahun dan tempat lahir, alamat, nomor pelanggan, informasi tentang profesi dan data pribadi lainnya yang dilaporkan oleh subjek data pribadi. 2. Informasi tentang subjek data pribadi harus setiap saat dikecualikan dari sumber data pribadi yang tersedia untuk umum atas permintaan subjek data pribadi atau dengan keputusan pengadilan atau badan negara yang berwenang lainnya.

5. Dan terakhir, pasal 13.11. Dari Kode Pelanggaran Administratif Federasi Rusia, mendefinisikan bahwa “Pelanggaran prosedur yang ditetapkan oleh hukum untuk mengumpulkan, menyimpan, menggunakan atau mendistribusikan informasi tentang warga negara (data pribadi) - memerlukan peringatan atau pengenaan denda administratif pada warga negara di jumlah tiga ratus hingga lima ratus rubel; untuk pejabat - dari lima ratus hingga seribu rubel; untuk badan hukum - dari lima ribu hingga sepuluh ribu rubel. "

Dengan kata lain dan lebih pendek:

1. Setiap data yang berkaitan dengan individu (termasuk hanya nomor telepon) bersifat pribadi.

2. Diperlukan persetujuan untuk pemrosesan data pribadi, yang dapat ditarik kapan saja.

3. Jika seseorang memiliki akses hukum ke data pribadi, maka dilarang untuk mengungkapkannya kepada siapa pun atau berbagi dengan seseorang tanpa persetujuan subjek data pribadi, kecuali ditentukan lain oleh hukum yang berlaku.

4. Khusus bagi mereka yang ingin membuat sumber data pribadi yang tersedia untuk umum, formulir persetujuan tertulis disediakan.

5. Untuk pelanggaran prosedur yang ditetapkan untuk mengumpulkan dan menyimpan data pribadi, tanggung jawab diberikan.

Kesimpulannya sangat sederhana dan lugas - pembuatan basis data publik tunggal dari pencari kerja yang lalai hanya dimungkinkan dengan persetujuan tertulis dari para pekerja yang paling lalai ini, yang, tentu saja, meniadakan kemungkinan pembuatan basis semacam itu secara legal. Bagi mereka yang tetap memutuskan untuk membuat pangkalan seperti itu dan membaginya dengan rekan-rekan mereka, perusahaan kami merekomendasikan agar mereka membiasakan diri dengan hukuman yang berlaku saat ini.

Konfirmasi izin untuk memproses data pribadi sekarang ditanyakan saat menyimpulkan kontrak, mengisi kuesioner, mendaftar di situs. Sebagian besar warga negara setuju secara otomatis, meskipun informasi pribadi tentang seseorang di tangan individu yang tidak bermoral adalah senjata yang ampuh dan berbahaya. Artikel tersebut berbicara tentang apa yang perlu Anda ketahui tentang data pribadi, memberikan akses kepada mereka kepada pihak ketiga.

Data pribadi: apa itu, kerangka peraturan

Negara mengatur bidang data pribadi melalui sejumlah regulasi. Dasarnya adalah Konstitusi Federasi Rusia, dasarnya adalah Undang-Undang Federal No. 152 tanggal 27 Januari 2006. Undang-undang tersebut menjelaskan apa itu data pribadi, apa yang dimaksud. Istilah ini berarti informasi yang secara langsung atau tidak langsung mencirikan subjek PD - individu. Dalam istilah sederhana, mereka dapat digunakan untuk secara akurat menentukan bahwa kita sedang berbicara tentang orang tertentu.

Ada penyebutan tidak langsung tentang data pribadi dalam Konstitusi Rusia. Pasal 23-24 undang-undang dasar memberi warga negara hak atas privasi, tidak dapat diganggu gugat, dan perlindungan. Segala sesuatu yang termasuk dalam konsep data pribadi hanya milik pemiliknya dan tidak dapat dikendalikan oleh pemerintah atau pihak ketiga. Warga sendiri bebas untuk membuang informasi ini, untuk mencegah penyebarannya, atau, sebaliknya, menyebarkannya kepada orang lain. Negara, pada bagiannya, menjamin dan melindungi kesempatan ini.

Undang-undang Federal No. 152 menentukan siapa yang berhak menggunakan data pribadi selain dari operatornya, dalam kondisi apa, menurut aturan apa. Hanya operator dengan izinnya yang dapat menerima dan memproses informasi pribadi tentang subjek tersebut. Seorang warga menandatangani perjanjian untuk memeriksa PD saat membuat aplikasi pinjaman, mengisi kuesioner atau melamar pekerjaan.

Operator memiliki akses ke jumlah data yang diperlukan untuk menyelesaikan tugas mereka. Mereka tidak diperbolehkan untuk menyimpan dan menggunakannya setelah tujuan tercapai. Misalnya, majikan harus menghancurkan catatan, kuesioner - segala sesuatu yang berhubungan dengan data pribadi karyawan setelah pemecatannya. Jika tidak, ada ancaman tanggung jawab untuk

Semua badan hukum dan individu harus mengikuti ketentuan Undang-Undang Federal No. 152. Aturan khusus berlaku ketika PD:

  1. menerima untuk kebutuhan pribadi atau keluarga, jika ini tidak melanggar hak 3 orang;
  2. terkandung dalam dokumen arsip;
  3. merupakan rahasia negara;
  4. dikumpulkan oleh suatu tindakan peradilan.

Tindakan legislatif lainnya memperjelas ketentuan tentang PD dalam kaitannya dengan situasi yang berbeda, memperkenalkan sistem dan klasifikasi peralatan pelindung. Misalnya, Bab 14 dari Kode Perburuhan Federasi Rusia mengungkapkan konsep data pribadi karyawan. Ini adalah informasi yang memungkinkan seseorang untuk mencirikannya sebagai karyawan organisasi tertentu (gaji, masa kerja, kualifikasi, informasi dari Layanan Pajak Federal dan Dana Pensiun Federasi Rusia, dll.), kualitas bisnisnya. Mereka harus digunakan dan disimpan untuk membantu karyawan dalam memenuhi tugas pekerjaannya, meningkatkan pengalaman dan pengetahuan, promosi, untuk melindungi personel dan properti perusahaan.

Klasifikasi data pribadi

Undang-Undang Federal No. 152 mengidentifikasi beberapa jenis data pribadi. Anda dapat mengaturnya sesuai dengan tingkat "kerahasiaan", kesulitan dalam mengumpulkan dan menggunakan oleh pihak ketiga:

  • impersonal;
  • umum;
  • biometrik;
  • spesial.

Data pribadi umum

Data pribadi umum adalah informasi dasar tentang seseorang. Ini termasuk:

Pemrosesan data pribadi dalam organisasi

Tujuan pemrosesan PD dalam suatu organisasi adalah untuk memformalkan hubungan kerja dengan seorang karyawan. Majikan tidak memiliki hak untuk membuat kontrak kerja tanpa persetujuan yang ditandatangani untuk pemrosesan PD. Baca selengkapnya di ini

  • tempat pendaftaran dan tempat tinggal;
  • data paspor;
  • pendidikan;
  • Rincian kontak;
  • informasi tentang pekerjaan;
  • pendapatan, dll.

Tidak semuanya secara individual dapat dikaitkan dengan PD. Misalnya, hukum tidak mendefinisikan secara tepat, I adalah data pribadi nomor telepon... Roskomnadzor, dalam menanggapi seruan warga, menjelaskan bahwa tidak mungkin mengidentifikasi seseorang secara akurat hanya dengan nomor. Dengan sendirinya tidak bersifat pribadi, tetapi dalam hubungannya dengan nama pemilik dan kota tempat tinggal mengacu pada PD. Oleh karena itu, pengiriman pesan SMS yang tidak dipersonalisasi tidak dianggap sebagai pelanggaran Undang-Undang Federal No. 152.

PD umum terkandung dalam paspor, ID militer, diploma, kartu karyawan pribadi, buku kerja, dll. Izin tertulis tidak diperlukan untuk mendapatkan data ini, agak tidak langsung, misalnya, tanda centang di seberang item yang sesuai pada kuesioner online. Kemudahan akses yang relatif sering membawa masalah bagi subyek PD - warga biasa: dari iklan yang mengganggu hingga pemerasan dan pemalsuan aplikasi pinjaman.

Kehidupan pribadi seorang warga negara, yang juga mencakup berbagai jenis rahasia (medis, pajak, rahasia adopsi, dan lainnya), dilindungi dari pengungkapan oleh Pasal 137 KUHP Federasi Rusia. Anda dapat membaca lebih lanjut di ini.

PD biometrik

Data biometrik adalah karakteristik fisiologis dan biologis suatu subjek: sidik jari, golongan darah, tinggi badan, warna mata, berat badan, analisis DNA, dll. Ini termasuk informasi yang dapat diperoleh dari foto atau video dengan seseorang. PD biometrik sering diperlukan untuk perawatan atau pekerjaan di instansi pemerintah, penerbitan paspor dan visa asing.

PD khusus

Ras dan kebangsaan, agama, keyakinan filosofis, status kesehatan, keyakinan, kehidupan intim, preferensi seksual diklasifikasikan sebagai data khusus. Mereka terkandung dalam sertifikat medis, file pribadi, dll.

AP khusus diperlukan untuk berpartisipasi dalam kegiatan politik, untuk bergabung dengan angkatan bersenjata. Pihak ketiga dapat mengakses data ini hanya dengan izin dari subjek.

Mengapa Anda memerlukan undang-undang data pribadi? Lihat jawabannya di video:

PD yang didepersonalisasi

PD anonim tersedia untuk setiap orang yang tertarik. Sumber informasi bisa berupa:

  • buku alamat;
  • buku referensi;
  • pendaftar;

Informasi yang tersedia untuk umum yang dianggap sebagai data pribadi adalah, misalnya, pendapatan politisi, perwakilan otoritas federal atau kota, pejabat di posisi kepemimpinan.

Pada November 2016, pertemuan pertama kelompok kerja Administrasi Presiden Federasi Rusia tentang masalah penggunaan ketentuan Undang-Undang Federal No. 152 untuk apa yang disebut Data besar... Ini adalah data yang berasal dari pengguna ke jaringan: alamat IP, formulir otorisasi, riwayat browser, informasi yang dikumpulkan oleh gadget dan peralatan rumah pintar tentang pemiliknya.

Big Data, di satu sisi, secara langsung atau tidak langsung menunjukkan seseorang, yaitu, mereka termasuk dalam definisi PD. Pada saat yang sama, pembuat undang-undang tidak menganggap data Internet sebagai milik individu, karena ia tidak dapat mengontrolnya.

Semua pertanyaan yang menarik dapat ditanyakan di komentar artikel

ARTIKEL SEPERTI