Personas datu izmantošana no atklātiem avotiem. Vai sociālajos tīklos publicētie personas dati ir publiski pieejami? Personas dati: kas tas ir, tiesiskais regulējums

Roskomnadzor atklāja pārkāpumus attiecībā uz personas datu apstrādes darbību atbilstību likumdošanas prasībām, pamatojoties uz kāda no kredītbirojiem plānotās pārbaudes uz vietas rezultātiem. Birojs mēģināja apstrīdēt šos rezultātus Maskavas šķīrējtiesā (Maskavas šķīrējtiesas 2017. gada 5. maija lēmums lietā Nr. A40-5250 / 17-144-51).

Roskomnadzor atklāto pārkāpumu būtība bija šāda:

  • finanšu iestāde nav iesniegusi pilnvarotajai iestādei paziņojumu par pakalpojumu Double Data Social Link un Double Data Social Attributes pakalpojumu izmantošanu, kas finanšu iestādei pārsūtīja fizisku personu vai potenciālo klientu datus no atklātiem informācijas avotiem (turpmāk - likums). Nr. 152-FZ);
  • gadā nebija piekrišanas atklātajos avotos ietverto personas datu apstrādei sociālie tīkli un interneta portālos ().

Maskavas šķīrējtiesa noteica, ka personas datu apstrāde ir atļauta gadījumos, kad personas dati ir pieejami nenoteiktam personu lokam, ir datu īpašnieka piekrišana un informāciju sniedz tieši subjekts (,).

Tiesa uzsvēra, ka bez personas datu subjekta rakstiskas piekrišanas nav iespējams apgalvot, ka norādītā persona ir sniegusi piekrišanu. Viņaprāt, ja īpašnieks padarīja personas datus publiski pieejamus ikvienam, tad tos var ietvert tikai publiski pieejamos avotos (). Pēc tiesas domām, sociālie tīkli nav šādi avoti personas datu iegūšanai, respektīvi, tajos ievietotā informācija par personu nav attiecināma uz sabiedrību.

Šķīrējtiesas lēmumā teikts, ka publiski pieejamie personas datu avoti var būt uzvārds, vārds, uzvārds, dzimšanas gads un vieta, adrese, abonenta numurs, informācija par profesiju un citi viņu īpašnieka personas dati ar viņa rakstisku piekrišanu un ko viņš paziņoja. Tiesa secināja, ka personas datu īpašnieki nav publiskojuši informāciju, ko kredītbirojs apstrādāja sociālajos tīklos (,). Šajā sakarā tiesa atzina Roskomnadzor rīkojumu par likumīgu un atteicās apmierināt finanšu iestādes prasības.

Vai uzņēmums var tikt saukts pie atbildības par indivīda attēla izmantošanu bez viņa piekrišanas, ja tas sociālajos tīklos ir publicējis darbinieku fotogrāfijas? Atbilde uz šo un citiem praktiskiem jautājumiem ir pieejama "Juridisko konsultāciju dienesta zināšanu bāze" GARANT sistēmas interneta versijā. Iegūstiet pilnu piekļuvi 3 dienas bez maksas!

Apelācijas instances tiesa piekrita zemākas instances tiesas secinājumiem, uzsverot, ka personas datu ievietošana sociālajos tīklos automātiski nepadara tos publiski pieejamus, tādēļ informācijas apstrādei ir nepieciešama subjekta piekrišana (Devītās šķīrējtiesas spriedums). 2017. gada 27. jūlija apelācijas sūdzības lietā Nr. А40-5250 / 17). Kasācijas tiesa un Augstākā tiesa Krievijas Federācija stājās Roskomnadzor pusē un neatrada pamatu apstrīdēto tiesas aktu atcelšanai (Maskavas apgabala šķīrējtiesas 2017. gada 9. novembra lēmums lietā Nr. A40-5250 / 2017, RF bruņoto spēku noteikšana, 29. janvāris) , 2018 lietā Nr. 305-KG17-21291) ...

Tādējādi tiesas nolēma, ka personas dati ir publiski pieejami, ja ir izpildīti divi nosacījumi: tos nodrošina īpašnieks un tie ir pieejami nenoteiktam personu lokam. Pēc viņu domām, tā kā personas datu īpašniekam nav piekrišanas publicēt informāciju par viņu sociālajos tīklos, tos [sociālos tīklus] nevar attiecināt uz publiskiem avotiem. Šādā gadījumā operatoram ir tiesības turpināt personas datu apstrādi bez personas datu subjekta piekrišanas to atsaukšanas gadījumā tikai tad, ja ir atbilstošs pamats, piemēram, cīņai pret terorismu vai korupciju ().

Eiropas Juridiskā dienesta vadošais jurists Jeļena Deržjeva atzīmēja, ka saskaņā ar noteikumiem lietotāja līgums sociālais tīkls "Vkontakte" personas datu īpašnieks piekrīt tikai piekļuvei informācijai, ko viņš ievieto savā lapā, bet ne trešās puses apstrādei.

Personas katru dienu sniedz personas informāciju dažādām iestādēm. Personas datu operatori ir atbildīgi par informācijas apstrādi. Tās ir bankas, darba devēji, medicīnas organizācijas, tīmekļa vietnes un citas struktūras. Saskaņā ar likumu operatoriem ir jāaizsargā personas informācija. Lai izveidotu avotus, kas satur publiski pieejamus personas datus (PD).

Kas ir publiski pieejami PD?

Sabiedrība ietver informāciju par personu, ko viņa vai viņa neatkarīgi sniedz iestādēm. Lai atvērtu brīvu piekļuvi informācijai, nepieciešama personas - personas datu subjekta - rakstiska atļauja. Tēma ir individuāls, Kuru PD savāc, uzglabā un apstrādā operators. Operators ir juridiska vai fiziska persona, pašvaldības vai valsts iestāde.

Publiski pieejamā PD ietver informāciju par šo tēmu, pēc kuras to var identificēt:

  • Dzimšanas datums un vieta;
  • mājas adrese;
  • telefona numurs;
  • profesija;
  • individuālais nodokļu numurs;
  • darba vai mācību vieta un cita informācija.

Publiski pieejamo datu sastāvā var būt jebkura informācija, kas nav konfidenciāla no likuma viedokļa. Subjekta personas datus var klasificēt pēc personas informācijas apjoma un nozīmīguma pakāpes.

Publiski pieejamie dati ietver arī personas informāciju, kas tiek sniegta:

  • stājoties darbā, slēdzot līgumu vai darba līgumu;
  • skaitīšanas laikā;
  • reģistrējot līgumattiecības tirdzniecības operāciju laikā un citās līdzīgās situācijās.

Subjekta personas dati, kas tiek izplatīti plašsaziņas līdzekļos, nav klasificēti kā konfidenciāli, jo tie ir publiski pieejami saskaņā ar "Konfidenciālās informācijas sarakstu".

Ne vienmēr ir nepieciešama subjekta rakstiska piekrišana saņemšanai, pārsūtīšanai, apstrādei un citām darbībām ar PD. V atsevišķos gadījumos, piemēram, piedaloties aptaujā vai abonējot biļetenu, pietiek atzīmēt rūtiņu, kas ļauj izmantot PD.

Vispārīgus datus var ievietot avotos, kas ir publiski pieejami. Tas nozīmē, ka avotus skatās un izmanto milzīgs skaits ieinteresēto personu. Šāda avota piemērs ir tālruņu katalogi.

Publiski pieejamu datu apstrāde

Publiski pieejamo datu apstrādi veic departamenti un nodaļas, kuru pienākumos ietilpst PD vākšana, sistematizēšana, uzglabāšana, pārveidošana, izmantošana un iznīcināšana. Privātpersonām ir tiesības pieprasīt informāciju par datu operatoru un uzzināt, kādam nolūkam operators tiecas PD apstrādes laikā.

Roskomnadzor ir atbildīgs par likumu ievērošanas uzraudzību apstrādes laikā. FSB un FSTEC ir noteiktas revīzijas un kontroles pilnvaras. Uzņēmēji savām vajadzībām izveido personas datu aizsardzības sistēmas, tāpēc šajā sakarā licencē šādas darbības.

PD apstrādā organizācijas, kurām ir jāapkopo, jāuzkrāj, jāapstrādā un jāglabā informācija par darbiniekiem, piegādātājiem un klientiem, lai veiktu savas darbības. Dažos gadījumos šādi dati tiek iekļauti atklātajā versijā.

Publisko datu subjektu tiesības

PD subjekti var iesniegt pieteikumu, pieprasot bloķēt, iznīcināt, precizēt vai mainīt publiski pieejamos datus, ja informācija vairs nav atjaunināta, nepilnīga vai nav nepieciešama apstrādes vajadzībām. Subjektiem ir tiesības arī pieprasīt piekļuvi savam PD un uzzināt, kādus līdzekļus operators izmanto, lai tos apstrādātu.

Informācija jāizmanto saskaņā ar likumdošanas prasībām un jāaizsargā neatkarīgi no tā, vai tā ir konfidenciāla vai publiski pieejama. Operatori ir atbildīgi par subjekta personas datu pilnīgu aizsardzību un piekļuves ierobežošanu nepiederošu personu datiem.

Operators sāk apstrādāt personas datus tikai pēc tam, kad saņēmis subjekta rakstisku atļauju apstrādei. Piekrišana ietver informāciju par personu un operatora datus: uzņēmuma nosaukumu, uzvārdu, operatora vārdu un uzvārdu, amatu. Tāpat piekrišana ir nepieciešama, lai norādītu apstrādes mērķi un datu sarakstu ar to darbību aprakstu, kuras tiks veiktas ar informāciju. Indivīdam ir tiesības atsaukt savu PD un atsaukt savu piekrišanu apstrādei.

Subjekta darbnespējas vai nāves gadījumā mantiniekiem vai likumīgajiem pārstāvjiem tiek prasīta piekrišana PD apstrādei un lietošanai. Šajā gadījumā jums jāievēro federālais likums par personas datiem.

Likuma prasību pārkāpšanas gadījumā vainīgie uzņemas administratīvo, kriminālo un cita veida atbildību. Nav nozīmes tam, vai PD ir konfidenciāls vai publiski pieejams, saskaņā ar Federālā likuma-152 par personas datiem 8. pantu publiski pieejamo PD var ievietot publiski pieejamos avotos tikai ar datu subjekta piekrišanu. Personas dati būtu jāizslēdz no avotiem, ja to pieprasa subjekts vai pilnvarotas iestādes: Roskomnadzor, tiesa vai citas valsts aģentūras.

"Persona" - dati, kas attiecas uz personu, personību, bioloģisko organismu.

Kas ir, kā savākt, kur uzglabāt, kā aizsargāt?

Vai pirkstu nospiedumu karte ir personas dati?

Tajā nav personiskas informācijas.

personas dati - jebkura informācija, kas attiecas uz konkrētu personu vai ir noteikta, pamatojoties uz šādu informāciju (personas datu subjekts), ieskaitot viņa uzvārdu, vārdu, uzvārdu, gadu, mēnesi, dzimšanas datumu un vietu, adresi, ģimeni, sociālais, mantiskais stāvoklis, izglītība, profesija, ienākumi, cita informācija;

Adrese ir reģistrācija dzīvesvietā vai uzturēšanās vietā.

Nosacīta personas datu klasifikācija.

1) pēc atklātības pakāpes:

publiski pieejami personas dati - personas dati, piekļuve neierobežotam skaitam personu, kas tiek nodrošināta ar personas datu subjekta piekrišanu vai uz kuriem saskaņā ar federālajiem likumiem konfidencialitātes prasība neattiecas.

Publiski pieejamie personas dati ir dati, kuriem tiek dota brīvprātīga piekrišana un kuri tiek publicēti publiskajā domēnā.

Bieži vien daži vietņu īpašnieki lūdz reģistrācijas informāciju, kuru viņi nevēlas sniegt.

Konfidenciāla informācija - informācija tiek sniegta stingri noteiktiem mērķiem. Dažreiz to var savākt bez personas ziņas.

Iekšlietu ministrija glabā informāciju informācijas centros

2) pēc piederuma

- personīga - pieder no dzimšanas

- dienests - darba gaitā, dienests - klases pakāpe utt.

3) pēc nodrošināšanas metodes

- brīvprātīgi sniegta informācija

- nodrošināts vispārīgā veidā saskaņā ar likumu (obligāti)

- savākti bez pilsoņa piekrišanas saskaņā ar likumu

4) dati pēc būtības

- biometrisks (informācija par pirkstu nospiedumiem)

Pamatjēdzieni, ko izmanto, strādājot ar personas datiem.

- personas datu apstrāde- darbības (operācijas) ar personas datiem, tostarp vākšana, sistematizēšana, uzkrāšana, uzglabāšana, precizēšana (atjaunināšana, maiņa), izmantošana, izplatīšana (ieskaitot pārsūtīšanu), depersonalizācija, bloķēšana, personas datu iznīcināšana;

- personas datu izplatīšana- darbības, kuru mērķis ir personas datu nodošana noteiktam personu lokam (personas datu pārsūtīšana) vai neierobežota skaita personu personas datu iepazīstināšana, tostarp personas datu izpaušana plašsaziņas līdzekļos, ievietošana informācijā un telekomunikācijas tīkli vai piekļuves nodrošināšana personas datiem, kas - jebkādā citā veidā;

- personas datu izmantošana - darbības (darbības) ar personas datiem, ko veic operators, lai pieņemtu lēmumus vai veiktu citas darbības, kas rada tiesiskas sekas attiecībā uz personas datu subjektu vai citām personām vai citādi ietekmē personas datu subjekta vai citu personu tiesības un brīvības personas;

- personas datu bloķēšana- uz laiku pārtraukt personas datu vākšanu, sistematizēšanu, uzkrāšanu, izmantošanu, izplatīšanu, ieskaitot to pārsūtīšanu;

Internetā ievietoto informāciju bieži nevar bloķēt.

Lielākā daļa personas datu:

- glabājas datorā

- ievietojis internetā

Ir grūti kontrolēt izvietojumu

- personas datu iznīcināšana- darbības, kuru rezultātā nav iespējams atjaunot personas datu saturu informācijas sistēma personas dati vai kā rezultātā tiek iznīcināti materiālie personas datu nesēji; - situācijas, kad dega arhīvi

personas datu anonimizācija

- personas datu depersonalizācija- darbības, kuru rezultātā nav iespējams noteikt personas datu piederību konkrētam personas datu subjektam;

personas datu informācijas sistēma- informācijas sistēma, kas ir personas datu kopums, kas atrodas datu bāzē, kā arī informācijas tehnoloģijas un tehniskie līdzekļi, kas ļauj apstrādāt šādus personas datus, izmantojot automatizācijas rīkus vai neizmantojot šādus līdzekļus;

personas datu konfidencialitāte- obligāta prasība operatoram vai citai personai, kas ieguvusi piekļuvi personas datiem, lai novērstu to izplatīšanu bez personas datu subjekta piekrišanas vai cita juridiska iemesla;

personas datu pārrobežu pārsūtīšanu- operators nodod personas datus pāri Krievijas Federācijas valsts robežai ārvalsts, fiziskas vai juridiskas personas iestādei;

- publiski pieejami personas dati- personas dati, neierobežota skaita personu piekļuve, kas tiek nodrošināta ar personas datu subjekta piekrišanu vai uz kurām saskaņā ar federālajiem likumiem konfidencialitātes prasība neattiecas.

Personas datu apstrāde.

1) personas datu apstrādes mērķu un metožu likumību un labticību;

2) personas datu apstrādes mērķu atbilstība personas datu vākšanā iepriekš noteiktajiem un deklarētajiem mērķiem, kā arī operatora pilnvarām;

3) apstrādāto personas datu apjoma un rakstura, personas datu apstrādes metožu atbilstība personas datu apstrādes mērķiem;

4) personas datu ticamība, to pietiekamība apstrādes nolūkos, nepieļaujama tādu personas datu apstrāde, kas ir lieki attiecībā pret mērķiem, kas noteikti, vācot personas datus;

5) personas datu informācijas sistēmu datubāzu apvienošanas nepieļaujamība, kas izveidota nesaderīgiem mērķiem.

Ja reiz kāds aizpildīja pirkstu nospiedumu kartīti, tad tā atrodas informācijas centrā viņu datu bāzēs. Mēs, piemēram, nevaram apvienot parasto pilsoņu un noziegumu izdarījušo personu datu bāzes.

1) ar personas datu īpašnieka piekrišanu

2) bez personas datu īpašnieka piekrišanas.

Tas attiecas uz personām, kuras ieņem noteiktu amatu un amatu: militāro personālu, līķus

Personas datu konfidencialitāte:

Kad nav nepieciešams:

1) personas datu anonimizācijas gadījumā;

2) attiecībā uz publiski pieejamiem personas datiem.

- operators, kas vāc un apstrādā personas datus.

- ierobežot piekļuvi savai organizācijai

Operators ir personīgi atbildīgs par personas datu izplatīšanu

- piekļuves ierobežojumu noteikšana gan telpās, gan tīklā (piekļuves sistēma, karšu identifikācijas sistēma)

Priekš lokālie tīkli- pieteikšanās sistēma + parole

Jūs varat ierobežot piekļuvi, izmantojot biometrisko informāciju: pirkstu nospiedumus, tīkleni.

- par rasi

- par politiskajiem uzskatiem

- par reliģiskiem vai filozofiskiem uzskatiem

- par veselības stāvokli

- par intīmo dzīvi

To apstrāde ir iespējama tikai ar subjektu piekrišanu.

1) subjekta rakstiska piekrišana to apstrādei

2) ja personas datu subjekts ir darījis tos publiski pieejamus

3) ja šo informāciju attiecas uz informāciju, kas nepieciešama, lai aizsargātu personas dzīvību, veselību un citas dzīvībai svarīgas intereses

Šādu informāciju var sniegt medicīniskiem un profilaktiskiem mērķiem - piemēram, vīrusu infekcija.

Personas datu apstrādes īpatnības valsts vai pašvaldību informācijas sistēmās personas datu apstrādei.

- attiecas tikai uz ierēdņiem un pašvaldību darbiniekiem.

Valsts iestādei ir savs statuss, ir neatkarīgas sistēmas apstrādājot informāciju par valsts vai pašvaldību darbiniekiem.

1) tiek noteikts, kāda informācija ir nepieciešama tās kompetencē

2) ir arī federālais likums "Par valsts civildienestu", tas ir, to regulē ne tikai tiesību akti par personas datiem.

Informāciju, kas raksturo personas fizioloģiskās īpašības un uz kuras pamata ir iespējams noteikt viņa identitāti (biometriskie personas dati), var apstrādāt tikai ar personas datu subjekta rakstisku piekrišanu, izņemot šādus gadījumus:

1) nozieguma izdarīšana

Biometrisko personas datu apstrādi var veikt bez personas datu subjekta piekrišanas saistībā ar tiesvedību, kā arī gadījumos, kas paredzēti Krievijas Federācijas tiesību aktos par drošību, Krievijas Federācijas tiesību aktos par operatīvās meklēšanas darbībām, Krievijas Federācijas tiesību akti par sabiedriskais pakalpojums, Krievijas Federācijas krimināltiesību akti, Krievijas Federācijas tiesību akti par kārtību, kā izceļot no Krievijas Federācijas un ieceļot Krievijas Federācijā.

- informācijas vākšana no aizdomās turētā ir nelikumīga

Pārrobežu informācijas apstrāde.

To var pieprasīt, lai aizsargātu tās valsts pilsoņus, kurā tas tiek nosūtīts, to vāc tikai ar subjekta rakstisku piekrišanu.

Personas datu subjekta tiesības.

1) Personas datu subjekta tiesības piekļūt saviem personas datiem

Jūs nevarat zvanīt uz Iekšlietu ministrijas informācijas centru (galvenais informācijas centrs un zonālais informācijas centrs)

2) personas datu subjektu tiesības uz viņu personas datu apstrādi, lai tirgū reklamētu preces, darbus, pakalpojumus, kā arī politiskās aģitācijas nolūkos

Informācijas pareizību pārbaudīs citi.

3) lēmumu pieņemšana, pamatojoties tikai uz automatizētu personas datu apstrādi. Persona var neuzticēties automatizētai apstrādei. Jūs varat pieprasīt, lai pirkstu nospiedumi tiktu saglabāti ne tikai datorā, bet arī uz papīra.

- Krievijas Federācijas Darba kodekss - ir nodaļa par personas datiem.

FEDERĀLAIS LIKUMS PAR VALSTS DAKTILOSKOPISKO REĢISTRĀCIJU KRIEVIJAS FEDERĀCIJĀ, 1998. gada 25. jūlijs N 128-FZ

Publiski pieejamie personas dati ir

Personīgā informācija- jebkura informācija, kas saistīta ar noteiktu vai noteikta, pamatojoties uz šādu informāciju fiziska persona, tostarp:

Viņa uzvārds, vārds, tēvvārds,

Dzimšanas gads, mēnesis, datums un vieta,

Adrese, ģimene, sociālais, īpašuma stāvoklis, izglītība, profesija, ienākumi,

otrs informāciju (sk. FZ-152, 3. pantu).

Piemēram: pases dati, finanšu pārskati, medicīniskie dati, dzimšanas gads (sievietēm), biometrija, cita personas identifikācijas informācija.

V publiski personas datu avoti (adrešu grāmatas, saraksti un cits informācijas atbalsts) ar rakstisku piekrišanu indivīds var iekļaut savu uzvārdu, vārdu, uzvārdu, dzimšanas gadu un vietu, adresi, abonenta numuru un citi personas dati (sk. FZ-152, 8. pants).

Personas dati attiecas uz informāciju ierobežota piekļuve un vajadzētu būt aizsargāti saskaņā ar Krievijas Federācijas tiesību aktiem. Veidojot prasības sistēmu drošībai, personas dati tiek iedalīti 4 kategorijās.

Kas ir operators un personas datu priekšmets?

Personas datu operators- tā parasti ir organizācija vai drīzāk valsts vai pašvaldības struktūra, juridiska vai fiziska persona, kas organizē un (vai) veic personas datu apstrādi, kā arī nosaka apstrādes mērķus un saturu personas datiem.

Personas datu subjekts Ir indivīds.

Operators ir atbildīgs par subjekta personas datu aizsardzību saskaņā ar spēkā esošajiem Krievijas Federācijas tiesību aktiem.

Kā klasificēt personas datu informācijas sistēmu?

Jāattiecina tipisks ir nepieciešama personas datu informācijas sistēma (ISPDN) konkrētai klasei:

II. Definēt apjoms informācijas sistēmā apstrādātie personas dati:

3. sējums- informācijas sistēma vienlaikus apstrādā datus mazāk nekā 1000 subjektu personas dati vai personas datu subjektu personas dati noteiktā organizācijā;

2. sējums no 1000 līdz 100 000 priekšmetu personas dati vai personas datu subjektu personas dati, kas strādā Krievijas Federācijas ekonomikas nozarē, pašvaldībā dzīvojošā valsts iestādē;

1. sējums- informācijas sistēma vienlaikus apstrādā personas datus vairāk nekā 100 000 priekšmetu personas dati vai personas datu subjektu personas dati Krievijas Federācijas vai visas Krievijas Federācijas sastāvā;

III. Pamatojoties uz sākotnējo datu analīzes rezultātiem tipisks ISPD ir piešķirts viens no šiem klases(skatīt tabulu):

4. klase (K4) - informācijas sistēmas, kurām tajos apstrādāto personas datu noteikto drošības īpašību pārkāpums nerada negatīvas sekas personas datu subjektiem;

3. klase (K3) - informācijas sistēmas, kurām tajos apstrādāto personas datu noteikto drošības īpašību pārkāpums var radīt nelielas negatīvas sekas personas datu subjektiem;

2. klase (K2) - informācijas sistēmas, kurām tajos apstrādāto personas datu noteikto drošības īpašību pārkāpums var radīt negatīvas sekas personas datu subjektiem;

1. klase (K1) - informācijas sistēmas, kurām tajos apstrādāto personas datu noteikto drošības īpašību pārkāpums var radīt būtiskas negatīvas sekas personas datu subjektiem.

Pastardiena pārcelta uz 2011. gada 1. janvāri

Personas datu informācijas sistēmām, kas izveidotas pirms Krievijas Federācijas Federālā likuma Nr. 152 "Par personas datiem" stāšanās spēkā, ne vēlāk kā 2010. gada 1. janvārī ir jāatbilst šī federālā likuma prasībām (sk. FZ-152 , 25. pants).

Tas nozīmē, ka personas datu operatoriem, kuri neievēroja ļoti stingrās FZ-152 prasības, no 2010. gada 1. janvāra tiks piemēroti attiecīgie civiltiesiskie, administratīvie, disciplinārie un varbūt (nedod Dievs) un kriminālie atbildību .

Visas informācijas sistēmas, kas jau ir nodotas ekspluatācijā pēc 2008. gada februāra-aprīļa (kopš metodisko dokumentu nosūtīšanas Krievijas FSTEC un Krievijas FSB), bet neatbilst Krievijas tiesību aktu prasībām personas datu jomā, var uzņemties šo atbildību agrāk, piemēram, rīt no rīta ...

Piezīme. 2010. gada 1. janvārī stāsies spēkā arī Krievijas Federācijas Kriminālkodeksa grozījumi, kas ievērojami pastiprinās atbildību par pārkāpumiem, kas ietekmē privātumu.

Bet, kā vienmēr notiek, personas datu operatori daudz nekustējās, un tikai daži cilvēki paspēja izdarīt visu, kas bija nepieciešams. 2009. gada 16. decembrī Valsts dome trešajā lasījumā pieņēma grozījumus likuma "Par personas datiem" (152-FZ) 19. un 25. pantā. Termiņš personas datu informācijas sistēmu (ISPDN) saskaņošanai saskaņā ar šo likumu tika pārcelts uz gadu - līdz 2011. gada 1. janvārim. Turklāt likums izslēdza noteikumu, kas uzliek operatoram pienākumu izmantot šifrēšanas (kriptogrāfijas) līdzekļus, lai aizsargātu datus, kad apstrādājot personas datus.

Obligātās prasības personas datu informācijas sistēmu aizsardzībai

Galvenās obligātās prasības informācijas drošības sistēmas organizēšanai atkarībā no tipiska ISPD klases:

ISPD 4. klasei:

Personas datu aizsardzības pasākumu sarakstu nosaka operators (atkarībā no iespējamiem bojājumiem)

ISPD 3. klasei:

Atbilstības deklarācija vai

Licences iegūšana no Krievijas FSTEC tehniskās aizsardzības darbībām konfidenciāla informācija(izplatītām sistēmām ISPDN K3)

ISPD 2. klasei:

Obligāta sertifikācija informācijas drošības prasībām

Licences iegūšana no Krievijas FSTEC konfidenciālas informācijas tehniskai aizsardzībai izplatītajās sistēmās

ISPD 1. klasei:

Obligāta sertifikācija informācijas drošības prasībām

Jāīsteno pasākumi, lai aizsargātu personas datus no PEMIN

Licences iegūšana no Krievijas FSTEC konfidenciālas informācijas tehniskai aizsardzībai

Personas datu informācijas sistēmas aizsardzības procedūra

Darbību secība, izpildot tiesību aktu prasības par personas datu apstrādi:

1) paziņojums pilnvarotajai iestādei personas datu subjektu tiesību aizsardzībai par viņu nodomu apstrādāt personas datus, izmantojot automatizācijas rīkus;

2) Informācijas sistēmas pirmsprojekta apsekošana - sākotnējo datu vākšana;

3) personas datu apstrādes sistēmas klasifikācija;

4) privāta apdraudējuma modeļa veidošana, lai noteiktu to atbilstību informācijas sistēmai;

5) Privāta tehniska uzdevuma izstrāde personas datu aizsardzības sistēmai;

6) Personas datu aizsardzības sistēmas projektēšana;

Atbildība par personas datu apstrādes pārkāpumiem

Personas, kas vainojamas federālā likuma 152-FZ "Par personas datiem" prasību pārkāpšanā, ir:

- krimināls (sk. Krievijas Federācijas Kriminālkodeksa 137., 140., 155., 183., 272., 273., 274., 292., 293. pantu),

Administratīvais (sk. Krievijas Federācijas Administratīvo pārkāpumu kodeksa 5.27., 5.39., 13.11-13.14., 13.19., 19.4-19.7., 19.20., 20.25., 32.2. Pantu),

Disciplinārlietas (sk. Krievijas Federācijas Darba kodeksa 81. pantu; 90. pantu; 195. pantu; 237. pantu; 391. pantu)

un cita atbildība, ko nosaka Krievijas Federācijas tiesību akti (sk. nolikumu par darbu ar personas datiem, kas publicēti Krievijas Federācijas veidojošajās vienībās, departamentos un organizācijās).

FSTEC- Federālais tehniskās un eksporta kontroles dienests.

PEMIN- viltus elektromagnētiskās emisijas un norādījumi

Personiskās informācijas aizsardzība

2014. gada decembrī Valsts dome trešajā lasījumā pieņēma likumprojektu par internetā apstrādāto pilsoņu personas datu glabāšanu Krievijas serveros. Kā norāda Informācijas politikas komitejas loceklis Romāns Čuicenko, likumprojekta galvenais mērķis ir nostiprināties informācijas drošība valsti un tās pilsoņiem. Šis pasākums tika veikts saistībā ar starptautiskās situācijas sarežģījumiem. Šis likumprojekts stāsies spēkā 2015. gada 1. septembrī.

Jaunās regulas par personas datu aizsardzību stāšanās spēkā paredz, ka operatori sniedz personas datus:

  • savlaicīgi atklāt neatļautu piekļuvi PD;
  • ietekmes novēršana uz tehniskiem līdzekļiem, kas veic PD automatizētu apstrādi;
  • spēja ātri reaģēt uz neatļautas piekļuves faktu un nekavējoties atjaunot PD to iznīcināšanas vai maiņas gadījumos;
  • pastāvīga personas datu aizsardzības līmeņa uzraudzība.

Personas datu kategorijas

ISPD apstrādi var veikt arī saskaņā ar parametru "apstrādāto personas datu apjoms", kas pieņem informācijas sistēmā apstrādāto subjektu skaitu un var iegūt šādas vērtības:

  • vienlaicīga vairāk nekā 100 tūkstošu PD subjektu apstrāde (tiek veikta gan Krievijas Federācijas veidojošās vienības ietvaros, gan visā Krievijas Federācijā kopumā);
  • vienlaicīga personas datu apstrāde no 1 līdz 100 tūkstošiem subjektu (tiek veikta valsts iestādē, kas strādā Krievijas Federācijas ekonomikas jomā);
  • vienlaicīga personas datu apstrāde mazāk nekā 1 000 subjektu (veikta noteiktā organizācijā).

Sadalīšana kategorijās ļauj ne tikai noteikt ISPD klasi, bet arī noteikt pasākumu kopumu, lai nodrošinātu personas datu drošību un aizsardzību internetā, kad tie tiek apstrādāti informācijas sistēmās.

Darbinieku personas dati

Katram darbiniekam ir tiesības aizsargāt savus personas datus (Krievijas Federācijas Darba kodeksa 86. panta 9. punkts).

Saskaņā ar Art. Saskaņā ar Krievijas Federācijas Darba kodeksa 89. pantu katrs darbinieks var izmantot savas tiesības uz personas datu aizsardzību un aizsardzību, veicot šādas darbības:

  • bezmaksas bezmaksas piekļuve jūsu personas datiem, tostarp jebkura ieraksta kopijas iegūšana, kas satur darbinieka personas datus;
  • personīgā pārstāvja apņēmība aizsargāt savus personas datus;
  • iegūt pilnīgu informāciju par PD un to apstrādi;
  • pieprasot izslēgt vai labot personas datus, kas satur nepareizu informāciju, vai, ja tie tika apstrādāti, pārkāpjot likumdošanas prasības;
  • pārsūdzēt tiesā darba devēja nelikumīgās darbības, kā arī viņa bezdarbību personas datu apstrādē un aizsardzībā.

Darbinieka personas datu sastāvs

Pamatojoties uz Krievijas Federācijas Darba kodeksa 86. panta 2. punktu, darbinieka personas datu apjomu un saturu nosaka darba devējs saskaņā ar Krievijas Federācijas Konstitūciju, Darba kodeksu un citiem federālajiem likumiem. Parasti jebkuras organizācijas darbība ietver divu galveno dokumentu veidu izmantošanu, ko darba devējs izmanto darbplūsmā:

  1. Dokumenti, ko darbinieks sniedz, slēdzot darba līgumu (Krievijas Federācijas Darba kodeksa 65. pants). Šajā kategorijā ietilpst dokumenti, kuros ir darbinieka fotogrāfija, pilns vārds, informācija par dzimšanas vietu un datumu, pilsonība, ģimenes stāvoklis, reģistrācijas vieta, izglītība, specialitāte (pase, valsts pensijas apdrošināšanas apdrošināšanas sertifikāts, militārais ID utt.). ).
  2. Dokumenti, kurus darba devējs ģenerē patstāvīgi (primārā grāmatvedības dokumentācija darba uzskaitei un tās apmaksai). Šajā kategorijā ietilpst rīkojumi vai rīkojumi par darbinieka uzņemšanu, darba līguma izbeigšanu, stimuli darbiniekam, personas karte, dokumenti par atalgojumu.

Personas datu aizsardzība, atbildība par likuma pārkāpšanu

Ņemiet vērā, ka dažas sankcijas par noteiktu pārkāpumu pārkāpšanu tiek piemērotas gan privātpersonām un amatpersonām, gan juridiskām personām.

Saskaņā ar Krievijas Federācijas Civilkodeksa 150. pantu privātās dzīves, personisko un ģimenes noslēpumu neaizskaramība ir viena no neatņemamajām nemateriālajām tiesībām, ko aizsargā piemērojamie likumi.

Ņemiet vērā, ka darbinieka tiesības un pienākumus, kas ir tieši saistīti ar citu darbinieku personas datiem, nosaka darba līguma noteikumi un vietējo normatīvo aktu sastāvs, kas nosaka darbinieka darba funkcijas, un viņa saraksts darba pienākumi.

Administratīvā atbildība personas datu vākšanas, glabāšanas un izplatīšanas kārtības pārkāpšana paredz brīdinājumu vai naudas sodu: no 300 līdz 500 rubļiem - privātpersonām; no 500 līdz 1000 rubļiem - ierēdņiem, no 5 līdz 10 tūkstošiem rubļu - par juridiskas personas(Krievijas Federācijas Administratīvo pārkāpumu kodeksa 13.11. Pants). Administratīvā atbildība par ar likumu aizsargātas informācijas izplatīšanu, pildot dienesta un profesionālos pienākumus, paredz naudas sodu: no 500 līdz 1000 rubļiem - privātpersonām, no 4 līdz 5 tūkstošiem rubļu - ierēdņiem (Līguma 13.14. Krievijas Federācijas administratīvo pārkāpumu kodekss) ...

Privātuma, jo īpaši personas datu, neaizskaramības pārkāpums, ko veic persona, izmantojot savu oficiālo stāvokli, paredz sodu:

  • naudas sods no 100 līdz 300 tūkstošiem rubļu, algas vai citi likumpārkāpēja ienākumi 1-2 gadus;
  • tiesību atņemšana ieņemt noteiktus amatus uz laiku no 2 līdz 5 gadiem;
  • arests uz laiku no 4 līdz 6 mēnešiem.

Vai ir likumīgi izveidot publiskas personas datu bāzes?

2015. gada pašās beigās es piedalījos diskusijā interesants raksts LiveJournal, kas bija veltīts nepieciešamībai izveidot vienotu publisku datu bāzi par negodīgiem darba meklētājiem.

Man jāsaka, ka ideja nav jauna un, protams, virknei uzņēmumu ir iekšējās pretendentu datu bāzes. Ar šādu datu bāzu palīdzību personāla darbinieki izfiltrē nepiemērotos kandidātus ar minimālu laika ieguldījumu. Ja teorētiski pieņemam, ka šāda bāze var parādīties visu AP rīcībā valstī, tad cik daudz labāk tā būtu visiem. Nu, vai ne? Paldies Dievam, nē, ne tā. Kā pareizi atzīmēja šī raksta komentētāji, iespējamos ieguvumus var viegli ignorēt negatīvais, kas neizbēgami radīsies no datu bāzes datu ļaunprātīgas izmantošanas, cilvēku nepamatotas iekļaušanas / izslēgšanas šādās datubāzēs, kā arī reputācijas, goda un datu bāzē iekļauto cilvēku cieņu.

Par laimi, kopš 2006. gada Krievijā ir spēkā federālais likums "Par personas datiem", kas nepārprotami nosaka nosacījumus, kādos šādas datu bāzes var pastāvēt:

2. Federālā likuma "Par personas datiem" 6. pants nosaka, ka "personas datu apstrāde tiek veikta ar personas datu subjekta piekrišanu viņa personas datu apstrādei".

3. Federālā likuma "Par personas datiem" 7. pants nosaka, ka "operatoriem un citām personām, kurām ir piekļuve personas datiem, ir pienākums neizpaust trešajām personām un neizplatīt personas datus bez personas datu subjekta piekrišanas." , ja vien federālais likums neparedz citādi. "

4. Federālā likuma “Par personas datiem” 8. pants nosaka: “1. Lai informācijas atbalstu var izveidot publiski pieejamus personas datu avotus (ieskaitot direktorijus, adrešu grāmatas). Ar personas datu subjekta rakstisku piekrišanu publiski pieejamie personas datu avoti var ietvert viņa uzvārdu, vārdu, uzvārdu, dzimšanas gadu un vietu, adresi, abonenta numuru, informāciju par profesiju un citus personas datus, par kuriem ziņojusi personas datu priekšmets. 2. Pēc personas datu subjekta pieprasījuma vai ar tiesas vai citu pilnvarotu valsts struktūru lēmumu informācija par personas datu subjektu jebkurā laikā ir jāizslēdz no publiski pieejamiem personas datu avotiem. "

5. Un visbeidzot, 13.11. No Krievijas Federācijas Administratīvo pārkāpumu kodeksa nosaka, ka “Likumā noteiktās informācijas par pilsoņiem (personas datu) vākšanas, glabāšanas, izmantošanas vai izplatīšanas procedūras pārkāpums - paredz brīdinājumu vai administratīvā soda uzlikšanu pilsoņiem trīs simti līdz pieci simti rubļu; ierēdņiem - no piecsimt līdz tūkstoš rubļiem; juridiskām personām - no pieciem tūkstošiem līdz desmit tūkstošiem rubļu. "

Citiem vārdiem sakot, un īsumā:

1. Visi dati par personu (ieskaitot tikai tālruņa numuru) ir personiski.

2. Nepieciešams iegūt piekrišanu personas datu apstrādei, kuru var atsaukt jebkurā laikā.

3. Ja kādam ir likumīga piekļuve personas datiem, tad viņam ir aizliegts izpaust kādam vai dalīties ar citiem bez personas datu subjekta piekrišanas, ja vien piemērojamie tiesību akti neparedz citādi.

4. Īpaši tiem, kas vēlas izveidot publiski pieejamus personas datu avotus, tiek nodrošināta rakstiska piekrišanas veidlapa.

5. Atbildība paredzēta par noteiktās personas datu vākšanas un glabāšanas kārtības pārkāpšanu.

Secinājums ir ļoti vienkāršs un vienkāršs - vienotas publiskas datu bāzes izveide bezrūpīgiem darba meklētājiem ir iespējama tikai ar šo visneuzmanīgāko strādnieku rakstisku piekrišanu, kas, protams, atceļ šādas bāzes likumīgas izveides iespējamību. Tiem, kas tomēr nolemj izveidot šādas bāzes un dalīties tajās ar saviem biedriem, mūsu uzņēmums iesaka iepazīties ar esošo Šis brīdis sodus.

Apstiprinot atļauju apstrādāt personas datus, tagad tiek prasīts, slēdzot līgumus, aizpildot anketas, reģistrējoties vietnēs. Lielākā daļa pilsoņu piekrīt automātiski, lai gan personiskā informācija par personu, kas atrodas negodīgu personu rokās, ir spēcīgs un bīstams ierocis. Rakstā runāts par to, kas jums jāzina par personas datiem, atverot piekļuvi tiem trešajām personām.

Personas dati: kas tas ir, tiesiskais regulējums

Valsts regulē personas datu jomu, izmantojot vairākus noteikumus. Pamats ir Krievijas Federācijas Konstitūcija, pamats ir 2006. gada 27. janvāra federālais likums Nr. 152. Likums paskaidro, kas ir personas dati, uz ko tie attiecas. Šis termins nozīmē informāciju, kas tieši vai netieši raksturo PD priekšmetu - indivīdu. Vienkārši izsakoties, tos var izmantot, lai precīzi noteiktu, ka mēs runājam par konkrētu personu.

Krievijas Konstitūcijā ir netieši pieminēti personas dati. Pamatlikuma 23. – 24. Pants pilsoņiem dod tiesības uz privātumu, neaizskaramību un aizsardzību. Viss, kas ir ietverts personas datu jēdzienā, pieder tikai to nesējam, un to nevar kontrolēt valdība vai trešās personas. Iedzīvotāji paši var brīvi rīkoties ar šo informāciju, novērst tās izplatīšanu vai, gluži pretēji, nodot to citiem. Valsts no savas puses garantē un aizsargā šo iespēju.

Federālais likums Nr. 152 nosaka, kam ir tiesības izmantot personas datus, izņemot tā nesēju, ar kādiem nosacījumiem un saskaņā ar kādiem noteikumiem. Tikai operatori ar viņa atļauju var saņemt un apstrādāt personas informāciju par šo tēmu. Pilsonis paraksta līgumu, lai pārbaudītu PD, iesniedzot aizdevuma pieteikumus, aizpildot anketas vai piesakoties darbam.

Operatori iegūst piekļuvi datu apjomam, kas nepieciešams viņu uzdevumu risināšanai. Viņiem nav atļauts tos uzglabāt un izmantot pēc mērķa sasniegšanas. Piemēram, darba devējam ir jāiznīcina ieraksti, anketas - viss, kas attiecas uz darbinieka personas datiem pēc viņa atlaišanas. Pretējā gadījumā pastāv atbildības draudi

Visām juridiskām un fiziskām personām jāievēro federālā likuma Nr. 152 noteikumi. Īpaši noteikumi tiek piemēroti, ja PD:

  1. saņemt personīgām vai ģimenes vajadzībām, ja tas nepārkāpj 3 personu tiesības;
  2. ietverti arhīva dokumentos;
  3. veidot valsts noslēpumu;
  4. savākti ar tiesas aktu.

Citi tiesību akti precizē noteikumus par PD saistībā ar dažādas situācijas, ieviest aizsardzības līdzekļu sistēmu un klasifikāciju. Piemēram, Krievijas Federācijas Darba kodeksa 14. nodaļā ir atklāts darbinieka personas datu jēdziens. Šī ir informācija, kas ļauj raksturot viņu kā noteiktas organizācijas darbinieku (alga, darba stāžs, kvalifikācija, informācija no Federālā nodokļu dienesta un Krievijas Federācijas pensiju fonda utt.), Viņa biznesa īpašības. Tie jāizmanto un jāuzglabā, lai palīdzētu darbiniekam pildīt savus darba pienākumus, palielinātu pieredzi un zināšanas, paaugstinātu amatā, lai aizsargātu uzņēmuma personālu un īpašumu.

Personas datu klasifikācija

Federālais likums Nr. 152 nosaka vairākus personas datu veidus. Jūs varat tos sakārtot atbilstoši "slepenības" pakāpei, grūtībām vākt un izmantot trešajām personām:

  • bezpersoniska;
  • vispārējs;
  • biometrisks;
  • īpašs.

Vispārīgi personas dati

Vispārējie personas dati ir pamatinformācija par personu. Tie ietver:

Personas datu apstrāde organizācijā

PD apstrādes mērķis organizācijā ir formalizēt darba attiecības ar darbinieku. Darba devējam nav tiesību noslēgt darba līgumu bez parakstītas piekrišanas PD apstrādei. Lasiet vairāk šajā

  • reģistrācijas vieta un dzīvesvieta;
  • pases dati;
  • izglītība;
  • Kontakta detaļas;
  • informācija par darbu;
  • ienākumi utt.

Ne visus no tiem atsevišķi var attiecināt uz PD. Piemēram, likums precīzi nenosaka, es vai tālruņa numurs ir personas dati... Roskomnadzor, atbildot uz pilsoņu aicinājumiem, paskaidroja, ka nav iespējams precīzi identificēt personu tikai pēc skaita. Tas pats par sevi nav personisks, bet kopā ar īpašnieka vārdu un dzīvesvietas pilsētu attiecas uz PD. Tāpēc nepersonalizēta īsziņu sūtīšana netiek uzskatīta par federālā likuma Nr. 152 pārkāpumu.

Vispārējās PD ir iekļautas pasē, militārajā apliecībā, diplomā, personīgajā darbinieka kartē, darba grāmatā utt. Lai iegūtu šos datus, nav nepieciešama rakstiska atļauja, drīzāk netieša, piemēram, atzīme pretī attiecīgajam tiešsaistes anketas vienumam. Relatīvā vieglā piekļuve bieži rada problēmas PD subjektiem - parastajiem pilsoņiem: no uzmācīga reklāma aizdevumu pieteikumu šantāžu un viltošanu.

Pilsoņa personīgā dzīve, kas ietver arī dažāda veida noslēpumus (medicīniskos, nodokļu, adopcijas noslēpumus un citus), ir aizsargāta pret izpaušanu ar Krievijas Federācijas Kriminālkodeksa 137. pantu. Jūs varat lasīt vairāk šajā.

Biometriskais PD

Biometriskie dati ir subjekta fizioloģiskās un bioloģiskās īpašības: pirkstu nospiedumi, asinsgrupa, augums, acu krāsa, svars, DNS analīze utt. Tas ietver informāciju, ko var iegūt no personas fotoattēla vai video. Biometriskie PD bieži ir nepieciešami ārstēšanai vai nodarbināšanai valsts aģentūrās, ārvalstu pasu un vīzu izsniegšanai.

Īpašs PD

Rase un tautība, reliģija, filozofiskie uzskati, veselības stāvoklis, pārliecība, intīma dzīve, seksuālās vēlmes tiek klasificēti kā īpaši dati. Tie ir iekļauti medicīniskajās izziņās, personas lietās utt.

Lai piedalītos politiskajās aktivitātēs un pievienotos bruņotajiem spēkiem, ir nepieciešami īpaši AP. Trešās personas var piekļūt šiem datiem tikai ar subjekta atļauju.

Kāpēc jums ir nepieciešams personas datu likums? Skatiet atbildi videoklipā:

Depersonalizēts PD

Anonīms PD ir pieejams jebkurai ieinteresētai personai. Informācijas avoti var būt:

  • adrešu grāmatas;
  • uzziņu grāmatas;
  • reģistri;

Publiski pieejama informācija, kas tiek uzskatīta par personas datiem, ir, piemēram, politiķu, federālo vai pašvaldību iestāžu pārstāvju, ierēdņu ienākumi vadošos amatos.

Pirmā sanāksme notika 2016. gada novembrī darba grupa Krievijas Federācijas prezidenta administrācija par problēmu izmantot federālā likuma Nr. 152 noteikumus uz t.s Lieli dati ... Šie ir dati, kas no lietotāja nonāk tīklā: IP adrese, autorizācijas veidlapas, pārlūkprogrammas vēsture, informācija, ko sīkrīki un viedās sadzīves tehnika uzkrāj par īpašnieku.

Lielie dati, no vienas puses, tieši vai netieši norāda uz personu, tas ir, tie ietilpst PD definīcijā. Tajā pašā laikā likumdevēji neuzskata interneta datus par indivīda īpašumu, jo viņš nevar tos kontrolēt.

Visus interesējošos jautājumus var uzdot raksta komentāros

LĪDZĪGI RAKSTI