Roskomnadzor revelou violações em termos de conformidade com o processamento de dados pessoais com os requisitos da legislação sobre os resultados da verificação visitante planejada de uma das agências de crédito. Estes resultados da Mesa tentaram desafiar no Tribunal de Arbitragem da Cidade de Moscou (a decisão do Tribunal de Arbitragem da Cidade de Moscou, de 5 de maio de 2017, no processo, nº A40-5250 / 17-144-51).
A essência das violações identificadas por Roskomnadzor foi a seguinte:
- a organização financeira não forneceu aviso ao organismo autorizado sobre o uso de serviços sociais de dados duplos e duplos dados sociais de dados, que foram transferidos para a organização financeira de indivíduos ou clientes em potencial de fontes abertas de informação (, seguindo - lei. 152-FZ);
- não houve consentimento com o processamento de dados pessoais contidos em fontes abertas - nas redes sociais e em portais da Internet ().
O tribunal de arbitragem da cidade de Moscou determinou que o processamento de dados pessoais é permitido nos casos em que os dados pessoais estão disponíveis para um círculo indefinido de pessoas, o consentimento do proprietário de dados e as informações são fornecidas diretamente ao próprio assunto ().
O Tribunal salientou que, sem o consentimento por escrito do sujeito dos dados pessoais, é impossível aprovar a prestação do consentimento da pessoa especificada. Em sua opinião, se o proprietário fizesse dados pessoais com publicamente a todos, eles só podem estar contidos em fontes publicamente disponíveis (). De acordo com o tribunal, as redes sociais não são essas fontes de dados pessoais, respectivamente, informações sobre o rosto colocadas neles não podem ser atribuídas ao público disponível.
A decisão da arbitragem afirma que os nomes, nome, patronímico, ano e local de nascimento, o endereço, o número de assinatura, o ano e o local de nascimento podem ser incluídos em fontes publicamente disponíveis de dados pessoais, e outros dados pessoais de seu dono com seu consentimento por escrito e relatado por eles. O tribunal chegou à conclusão de que os proprietários de dados pessoais não disponibilizaram publicamente as informações, que foram processadas pelo Bureau of Credit Stories em redes sociais (). Neste contexto, o Tribunal reconheceu a ordem de Roskomnadzor legítimo e recusou-se a instituições financeiras no cumprimento das reivindicações.
É possível trazer à justiça a empresa para usar uma imagem de um indivíduo sem o seu consentimento se anunciou as fotos de funcionários em redes sociais? A resposta para isso e outras questões práticas - em "Base do conhecimento do serviço de consultoria legal" Na versão da Internet do sistema fiador. Obtenha acesso total por 3 dias de graça!
O Tribunal de Recurso concordou com as conclusões do tribunal inferior, salientando que a colocação de dados pessoais sobre redes sociais não os torna automaticamente disponível publicamente, portanto, o consentimento do sujeito ao processamento de informação (resolução do nono Tribunal de Recurso de Arbitragem Datado de 27 de julho de 2017 no caso No. A40-5250 / 17). O Tribunal de Cassação e a Suprema Corte da Federação Russa estavam ao lado de Roskomnadzor e não encontrou motivos para a abolição dos atos judiciais impugnados (resolução do Tribunal de Arbitragem do Distrito de Moscou, de 9 de novembro de 2017, no caso. A40-5250 / 2017, a definição do Tribunal de Arbitragem da Federação Russa de 29 de janeiro de 2018 Case No. 305-KG17-21291).
Assim, os tribunais decidiram que os dados pessoais estão disponíveis publicamente ao realizar duas condições: elas são fornecidas pelo proprietário e estão disponíveis para um círculo indeterminado de pessoas. Em sua opinião, devido à falta de consentimento do proprietário de dados pessoais sobre como postar informações sobre ele nas redes sociais, eles não podem ser [redes sociais] para atribuir a fontes publicamente disponíveis. Ao mesmo tempo, o operador tem o direito de continuar processando dados pessoais sem o consentimento do assunto de dados pessoais, no caso de sua revogação, somente se houver motivos apropriados, por exemplo, para combater o terrorismo ou a corrupção ().
Líder advogado do Serviço Legal Europeu Elena Derjieva. Noteve-se que, de acordo com os termos do contrato de usuário da rede social "Vkontakte", o proprietário de dados pessoais dá consentimento apenas para acessar as informações que ele coloca em sua página, mas não para processamento de terceiros.
Por todo o dia, os indivíduos fornecem informações pessoais em vários casos. Os operadores de dados pessoais são responsáveis \u200b\u200bpela informação de processamento. Estes são bancos, empregadores, organizações médicas, sites da Internet e outras estruturas. De acordo com a lei, os operadores são obrigados a proteger informações pessoais. Para criar fontes em que os dados pessoais disponíveis publicamente (PD) estão contidos.
O que é PD PÚBLICO?
Informações inevitáveis \u200b\u200bsobre a pessoa que ele ou ela fornece independentemente na instância. Para abrir o livre acesso à informação, é necessária a permissão por escrito da pessoa - o assunto de dados pessoais. O assunto é um indivíduo cuja PD coleta, armazena e processa o operador. O operador é uma pessoa legal ou natural, uma autoridade municipal ou estatal.
O PD Público inclui informações sobre o assunto em que ele pode ser identificado:
- data e local de nascimento;
- endereço residencial;
- número de telefone;
- profissão;
- número de imposto individual;
- local de trabalho ou estudo e outras informações.
A composição dos dados públicos pode incluir qualquer informação que não seja confidencial em termos da lei. O assunto do PD pode ser classificado por volume e grau de importância de informações pessoais.
As informações pessoais também estão incluídas em dados publicamente disponíveis.
- com emprego, concluindo um contrato ou contrato de emprego;
- durante o censo da população;
- ao fazer relacionamentos contratuais durante as operações comerciais e outras situações semelhantes.
Dados pessoais do sujeito, que se aplicam através da mídia, não se referem a confidenciais, pois estão disponíveis publicamente de acordo com a "lista de informações confidenciais".
O consentimento por escrito da entidade para recebimento, transmissão, processamento e outras ações com PD nem sempre é necessário. Em alguns casos, por exemplo, com participação no questionário ou subscrição da newsletter, basta colocar um carrapato no gráfico que permita o uso de PD.
Dados do tipo Total permite a colocação em fontes que estão disponíveis publicamente. Isso significa que as fontes analisam e usam um grande número de partes interessadas. Um exemplo de tais diretórios de telefone - telefônicos.
Processando dados públicos
Departamentos e unidades estão envolvidos no processamento de dados disponíveis publicamente, cujas responsabilidades incluem coleta, sistematização, armazenamento, mudança, uso e destruição de PD. Os indivíduos têm o direito de solicitar informações sobre a instrução Data e descobrir qual meta é o operador durante o processamento do PD.
O controle do cumprimento das leis durante o processamento é confiado a Roskomnadzor. FSB e FSTECs têm certa autoridade de auditoria e controle. Os operadores criam sistemas de proteção de dados pessoais para suas próprias necessidades, portanto, em conexão com isso, licenciando essas atividades.
O PD é tratado com organizações que precisam coletar, acumular, processar e armazenar informações sobre funcionários, fornecedores e clientes. Em certos casos, esses dados estão incluídos no Aberto.
Os direitos dos assuntos de dados disponíveis publicamente
As entidades do PD podem ser aplicadas conforme necessário para bloquear, destruir, esclarecer ou alterar dados públicos se as informações perderem a relevância, são incompletas ou não necessárias para fins de processamento. Os assuntos também estão certos de solicitar acesso ao seu PD e descobrir quais meios usam o operador para processá-los.
As informações devem ser utilizadas de acordo com os requisitos da legislação e protegerem-se independentemente de ser confidencial ou publicamente disponível. As responsabilidades dos operadores incluem assegurar a plena proteção do assunto do PD e limitar o acesso a pessoas públicas.
O operador começa a lidar apenas com dados pessoais depois de receber a permissão por escrito da entidade de processamento. O consentimento inclui informações sobre o rosto físico e os dados do operador: nome da empresa, sobrenome, nome e patronímico do operador, posição. Também em consentimento, é necessário especificar o objetivo de processamento e uma lista de dados com a descrição das operações que serão realizadas com informações. O indivíduo tem o direito de retirar seu PD e cancelar seu consentimento para o processamento.
Em caso de incapacidade ou morte do sujeito, o consentimento para o processamento e o uso de PD é solicitado em herdeiros ou representantes legais. Ao mesmo tempo, é necessário ser guiado pela lei federal sobre dados pessoais.
Em caso de violação dos requisitos da legislação, os perpetradores são administrativos, criminais e outros tipos de responsabilidade. Não importa se a PD é confidencial ou disponível publicamente, em conformidade com o artigo 8.º da FZ-152 em dados pessoais, os PDs disponíveis publicamente podem ser colocados em fontes publicamente disponíveis apenas com o consentimento da entidade de dados. Os dados pessoais devem ser excluídos de fontes, se isso exigir um sujeito ou organismos autorizados: Roskomnadzor, tribunal ou outras estruturas estaduais.
"Pessoa" - dados que dizem respeito a uma pessoa, personalidade, organismo biológico.
O que é como coletar onde armazenar como proteger?
DactualCópico mapa - é dados pessoais ou não?
Não tem dados de identidade.
dados pessoais - qualquer informação relacionada a uma pessoa física específica ou definida com base nessas informações (sujeito de dados pessoais), incluindo o seu sobrenome, nome, patronímico, ano, mês, data e local de nascimento, endereço, família, social, situação de propriedade, educação, profissão, renda, outras informações;
O endereço é o registro no local de residência ou no local de estadia.
Classificação condicional de dados pessoais.
1) por grau de abertura:
dados pessoais disponíveis publicamente - dados pessoais, o acesso de uma gama ilimitada de pessoas a qual é fornecida com o consentimento do assunto de dados pessoais ou que de acordo com a lei federal não se aplica à conformidade de confidencialidade.
Os dados pessoais disponíveis publicamente são os dados aos quais é dado o consentimento voluntário e são publicados em acesso aberto.
Muitas vezes, alguns proprietários de sites solicitam informações para registrar que você não quer fornecer.
Informações confidenciais - As informações são fornecidas estritamente para determinados fins. Às vezes, pode ser montado sem um conhecimento facial.
Centros de informação são armazenados no Ministério dos Assuntos Internos
2) por acessórios
- Pessoal - pertence ao nascimento
- Serviço - durante o trabalho, serviço - Rank Cool, etc.
3) pelo método de concessão
- Informações voluntárias fornecidas
- concedido em processo geral de acordo com a lei (forçosamente)
- recolhidos sem o consentimento do cidadão de acordo com a legislação
4) por dados de caracteres
- biométrica (informação dactyloscópica)
Os conceitos básicos usados \u200b\u200bao trabalhar com dados pessoais.
- Processando dados pessoais- Ações (Operações) com dados pessoais, incluindo a coleta, sistematização, acumulação, armazenamento, refinamento (atualização, mudança), uso, distribuição (incluindo transmissão), depessosonal, bloqueio, destruição de dados pessoais;
- Distribuição de dados pessoais - Ações destinadas a transferir dados pessoais para um determinado círculo de pessoas (transferência de dados pessoais) ou familiarizar com os dados pessoais de uma gama ilimitada de pessoas, incluindo a publicação de dados pessoais na mídia, alojamento em redes de informação e telecomunicações ou acesso a dados pessoais - ou de outra forma;
- Usando dados pessoais - Ações (operações) com dados pessoais realizados pelo operador, a fim de tomar decisões ou cometer outras ações que geram implicações legais sobre o assunto de dados pessoais ou outras pessoas afetam os direitos e liberdades do assunto de dados pessoais ou de outras pessoas;
- Bloqueio de dados pessoais - Terminação temporária de coleta, sistematização, acumulação, uso, distribuição de dados pessoais, incluindo sua transferência;
As informações postadas na internet geralmente não podem ser bloqueadas.
Dados pessoais:
- Loja no computador
- Postado na Internet
Colocação de controle difícil
- Destruição de dados pessoais - ações, como resultado do qual é impossível restaurar o conteúdo dos dados pessoais no sistema de informações de dados pessoais ou em resultado de quais transportadores materiais de dados pessoais são destruídos; - situações em que os arquivos queimados
definição de dados pessoais
- Depleção de dados pessoais - ações, como resultado de que é impossível determinar a afiliação de dados pessoais a um assunto específico de dados pessoais;
— sistema de Informação de Dados Pessoais - Um sistema de informação, que é um conjunto de dados pessoais contidos no banco de dados, bem como tecnologias de informação e meios técnicos para realizar processamento de dados pessoais usando ferramentas de automação ou sem o uso de tais fundos;
— política de Privacidade- obrigatório para a conformidade com o operador ou outro acesso a dados pessoais da exigência de prevenir sua disseminação sem o consentimento do assunto de dados pessoais ou a presença de uma base jurídica diferente;
— transferência transfronteiriça de dados pessoais - Transferência de dados pessoais pelo operador através da fronteira estadual da Federação Russa para a Autoridade da Autoridade do Estado Estrangeiro, a entidade física ou jurídica do Estado estrangeiro;
- Dados pessoais disponíveis publicamente - Dados pessoais, o acesso de uma gama ilimitada de pessoas a qual é fornecida com o consentimento do assunto de dados pessoais ou que de acordo com as leis federais não se aplica à confidencialidade.
Processando dados pessoais.
1) a legalidade dos objetivos e métodos de processamento de dados pessoais e consciência;
2) Conformidade com o objetivo de processar dados pessoais para os objetivos, predeterminados e declarados ao coletar dados pessoais, bem como os poderes do operador;
3) Conformidade com o escopo e a natureza dos dados pessoais processados, os métodos de processamento de metas de dados pessoais para processamento de dados pessoais;
4) A precisão dos dados pessoais, sua suficiência para fins de processamento, inadmissibilidade de processamento de dados pessoais, redundantes para os objetivos declarados ao coletar dados pessoais;
5) Inadmissibilidade de combinar os propósitos dos sistemas de informação de dados pessoais criados para incompatíveis entre si.
Se alguém já encheu um mapa dactyloscópico, ele está no centro de informações em seus bancos de dados. Não podemos, por exemplo, combinar os bancos de dados em cidadãos e rostos comuns que cometeram um crime.
1) Com o consentimento do proprietário de dados pessoais
2) sem o consentimento do proprietário de dados pessoais.
Isso se refere a pessoas que ocupam uma determinada posição e posição: pessoal militar, cadáveres
Confidencialidade de dados pessoais:
Quando não é necessário:
1) Em caso de esgotar dados pessoais;
2) em relação aos dados pessoais disponíveis publicamente.
- Operador que coleta e processando dados pessoais.
- Limite o acesso dentro de sua própria organização
O operador é responsabilidade pessoal para distribuir dados pessoais.
- Estabelecendo restrições de acesso tanto dentro como na rede (largura de banda, sistema de identificação do cartão)
Para redes locais - Login + Senha
Você pode restringir informações biométricas: impressão digital, olho de retina.
- Sobre a afiliação racial
- sobre pontos de vista políticos
- sobre crenças religiosas ou filosóficas
- Sobre a saúde
- Sobre a vida íntima
Seu processamento é possível apenas com o consentimento dos assuntos.
1) A disponibilidade de consentimento por escrito do assunto em seu processamento
2) Se a entidade de dados pessoais os disponibilizou publicamente
3) Se esta informação se relacionar com as informações necessárias para proteger a vida, a saúde e outros interesses vitais da pessoa
Tais informações podem ser fornecidas em fins médicos e profiláticos - por exemplo, infecção viral.
Recurso de processamento de dados pessoais em sistemas de informação estadual ou municipal para processamento de dados pessoais.
- preocupações apenas funcionários públicos e funcionários municipais.
A autoridade do estado tem seu próprio status, há sistemas independentes para processamento de informações sobre funcionários estatais ou municipais.
1) instalado qual informação é necessária dentro de sua competência
2) Ainda há fz "no estado civil do estado", isto é, regulamentado não apenas por lei sobre dados pessoais.
Informações que caracterizam as características fisiológicas de uma pessoa e com base nas quais sua identidade pode ser estabelecida (dados pessoais biométricos) só pode ser processada se houver um acordo na forma escrita do assunto de dados pessoais, com exceção dos seguintes casos :
1) compromisso
O tratamento de dados pessoais biométricos pode ser realizado sem o consentimento do sujeito de dados pessoais em relação à implementação da justiça, bem como nos casos previstos pela legislação da Federação Russa sobre Segurança, a legislação da Federação Russa sobre Atividades de investigação operacional, a legislação da Federação Russa de Serviço Público, a legislação executiva criminal da Federação Russa, a legislação da Federação Russa sobre o Procedimento para a partida da Federação Russa e a entrada na Federação Russa.
- A coleta de informações do suspeito é ilegal
Processamento de informações transfronteiriças.
É possível exigir para proteger os cidadãos do país onde é transmitido, é recolhido apenas com o consentimento por escrito do sujeito.
Os direitos do assunto de dados pessoais.
1) O direito ao assunto de dados pessoais sobre o acesso aos seus dados pessoais
Não é possível chamar o Ministério do Centro de Assuntos Internos (Centro-Centro Informações e Centro de Informações Zonal)
2) os direitos dos dados pessoais para o processamento de seus dados pessoais, a fim de promover bens, obras, serviços no mercado, bem como para a agitação política
A precisão das informações será verificada por outras pessoas.
3) tomada de decisão com base no processamento exclusivamente automatizado de dados pessoais. Uma pessoa pode não confiar em processamento automatizado. Você pode exigir que os vestígios dos dedos armazenados não apenas no computador, mas também no papel.
- O trabalho da Federação Russa é um capítulo dedicado aos dados pessoais.
Lei Federal sobre Registro Dacilocópico do Estado na Federação Russa de 25 de julho de 1998 N 128-FZ
Dados pessoais disponíveis publicamente
Informações pessoais - qualquer informação relacionada a uma certa ou definida com base nessas informações lamba física , Incluindo:
Seu sobrenome, nome, patronímico,
Ano, mês, data e local de nascimento,
Endereço, família, social, situação de propriedade, educação, profissão, renda,
— outro Informação (ver FZ-152, artigo 3).
Por exemplo: Detalhes do passaporte, demonstrações financeiras, mapas médicos, ano de nascimento (para mulheres), biometria, outras informações de identificação do caráter pessoal.
DENTRO disponível publicamente Fontes de dados pessoais (listas de endereços, listas e outros suporte informacional) com consentimento por escrito Os indivíduos podem ser incluídos em seu sobrenome, nome, patronímico, ano e local de nascimento, endereço, número de assinante e outro Dados pessoais (consulte FZ-152, Artigo 8).
Dados pessoais referem-se a informações de acesso limitadas e devem ser seguro De acordo com a legislação da Federação Russa. Ao formar requisitos de segurança, os dados pessoais são divididos em 4 categorias.
Qual é o operador e o assunto de dados pessoais?
Operador de dados pessoais - Esta é geralmente uma organização, ou melhor, a autoridade estadual ou municipal, uma organização legal ou individual e (ou) processando dados pessoais, além de determinar as metas e manutenção do processamento pessoal de dados.
Entidade pessoal de dados - Este é um indivíduo.
O operador é responsável por proteger os dados pessoais do sujeito de acordo com a legislação atual da Federação Russa.
Como classificar o sistema de informações pessoais de dados?
Para atribuir modelo Sistema de informação de dados pessoais (CDN) para uma determinada classe necessária:
Ii. Determinar volume Dados pessoais processados \u200b\u200bno sistema de informações:
volume 3. - No sistema de informação, os dados são processados \u200b\u200bsimultaneamente. menos de 1000 assuntos dados pessoais ou dados pessoais de entidades de dados pessoais dentro de uma determinada organização;
volume 2. de 1000 a 100.000 assuntos Dados pessoais ou dados pessoais de entidades de dados pessoais que trabalham na indústria da Federação Russa, na autoridade pública que vivem no município;
volume 1. - No sistema de informações, os dados pessoais são processados \u200b\u200bao mesmo tempo. mais de 100.000 assuntos dados pessoais ou dados pessoais de entidades de dados pessoais dentro da entidade constituinte da Federação Russa ou da Federação Russa como um todo;
Iii De acordo com os resultados da análise dos dados de origem típica Caiden é atribuído um dos seguintes aulas (Veja a tabela.):
Classe 4 (K4) - Sistemas de informação para os quais a violação das características de segurança especificadas dos dados pessoais processadas neles não leva a consequências negativas para as entidades de dados pessoais;
Classe 3 (K3) - Sistemas de informação para os quais a violação das características de segurança especificadas dos dados pessoais processados \u200b\u200bneles pode levar a pequenas conseqüências negativas para entidades de dados pessoais;
Classe 2 (K2) - Sistemas de informação para os quais a violação das características de segurança especificadas dos dados pessoais processadas neles pode resultar em consequências negativas para as entidades de dados pessoais;
Classe 1 (K1) - Sistemas de informação para os quais a violação das características de segurança especificadas dos dados pessoais processados \u200b\u200bneles pode resultar em consequências negativas significativas para as entidades de dados pessoais.
Dia do julgamento atrasado até 1º de janeiro de 2011
Sistemas de informação de dados pessoais criados antes do dia de entrada em vigor da lei federal da Federação Russa No. 152 "sobre dados pessoais" devem ser alinhados com os requisitos desta Lei Federal até 1º de janeiro de 2010 (veja FZ- 152, artigo 25.º).
Isto significa que os operadores de dados pessoais que não cumpriram os requisitos altamente rigorosos da FZ-152, de 1º de janeiro de 2010 levarão a relevante civil, administrativo, disciplinar e talvez (deus proíbe) e o criminoso uma responsabilidade .
Todos os sistemas de informação que foram encomendados após fevereiro-abril de 2008 (a partir da data de distribuição de documentos metodológicos da FSTEC da Rússia e do FSB da Rússia), mas não relevantes para os requisitos da legislação russa no domínio dos dados pessoais podem sofrer responsabilidade especificada e anterior, por exemplo, amanhã de manhã..
Observação. Mudanças no Código Penal da Federação Russa, substancialmente mais difícil responsabilidade pelas violações que afetam a privacidade, também entrarão em vigor em 1º de janeiro de 2010.
Mas como sempre acontece, os operadores de dados pessoais não se moviam particularmente, e poucas pessoas conseguiram fazer tudo o que é necessário. Em 16 de dezembro de 2009, o Estado Duma assumiu as alterações de terceira leitura aos artigos 19 e 25 da lei "sobre dados pessoais" (152-ф). O prazo de trazer sistemas de informação de dados pessoais (CDN) em linha com esta lei foi adiada até o ano - até 1º de janeiro de 2011. Além disso, a norma elimina a norma, obrigando o operador ao processar dados pessoais para usar a criptografia (criptografia ) ferramentas de proteção de dados.
Requisitos obrigatórios para a proteção dos sistemas de informação de dados pessoais
Principais requisitos obrigatórios para a organização do sistema de proteção de informações, dependendo do CD padrão de classe:
Para a classe 4:
A lista de medidas para proteger os dados pessoais é determinada pelo operador (dependendo do possível dano)
Para a classe 3:
Declaração de conformidade ou
Obtendo uma licença de FSTEC da Rússia na proteção técnica de informações confidenciais (para sistemas distribuídos CP3)
Para a classe 2:
Certificação obrigatória para requisitos de segurança da informação
Obtendo uma licença da FSTEC Rússia para proteção técnica de informações confidenciais para sistemas distribuídos
Para a classe 1:
Certificação obrigatória para requisitos de segurança da informação
Eventos sobre a proteção de dados pessoais de Pamin devem ser implementados
Recebendo uma licença de FSTEC da Rússia para proteção técnica de informações confidenciais
Procedimento para a proteção do sistema de informação de dados pessoais
Seqüência de ações Ao executar os requisitos da legislação de processamento de dados pessoais:
1) Notificação ao órgão autorizado para proteger os direitos dos dados pessoais de dados pessoais sobre sua intenção de processar dados pessoais usando ferramentas de automação;
2) O exame pré-projeto do sistema de informação - coleta de dados de origem;
3) Classificação do sistema de processamento de dados pessoais;
4) construção de um modelo privado de ameaças, a fim de determinar sua relevância para o sistema de informação;
5) o desenvolvimento de uma tarefa técnica privada sobre o sistema de proteção de dados pessoais;
6) Projeto de um sistema de proteção de dados pessoal;
Responsabilidade por violações de processamento de dados pessoais
Pessoas culpadas de violar os requisitos da Lei Federal 152-FZ "em dados pessoais", carregam:
- Criminal (ver Código Penal da Federação Russa, artigo 137.º, 140, 155, 183, 272, 273, 274, 292, 293)
Administrativo (veja o Código da Federação Russa sobre Ofensas Administrativas, art. 5.27, 5.39, 13.11-13.14, 13.19, 19,4-19.7, 19,20, 20,25, 32,2),
Disciplinar (ver Código do Trabalho da Federação Russa, artigo 81.º; Artigo 90; Artigo 195.º; Artigo 237.º; Artigo 391.º)
e outra responsabilidade prevista pela legislação da Federação Russa (ver atos assistidos ao trabalhar com dados pessoais, publicados nos assuntos da Federação, departamentos e organizações da Rússia).
Fstec. - Serviço Federal de Controle Técnico e Exportação.
Pamin. - radiação eletromagnética lateral e ponta
Proteção de informações pessoais
Em dezembro de 2014, a Duma do Estado na terceira leitura adotou um projeto de lei sobre o armazenamento de dados pessoais dos cidadãos tratados na Internet, em servidores na Rússia. De acordo com um membro da Comissão da Polithika Roman Chuychenko, o principal objetivo da conta é fortalecer a segurança da informação do país e seus cidadãos. Tal medida foi adotada em conexão com a complicação da situação internacional. Esta conta entrará em vigor em 1 de setembro de 2015.
A entrada em vigor da nova disposição sobre a proteção dos dados pessoais envolve fornecer aos operadores de dados pessoais:
- detecção atempada de acesso não autorizado a PDNs;
- impedir o impacto sobre os meios técnicos que realizam processamento automatizado de PD;
- as possibilidades de resposta operacional ao fato de acesso não autorizado e recuperação imediata do PDN em casos de sua destruição ou mudança;
- monitoramento contínuo do nível de segurança de dados pessoais.
Categorias de dados pessoais.
O manuseio de CDN também pode ser realizado pelo parâmetro "escopo de dados pessoais processados", que envolve o número de assuntos processados \u200b\u200bno sistema de informação e pode assumir os seguintes valores:
- tratamento simultâneo de mais de 100 mil entidades de DP (realizadas tanto dentro do assunto da Federação Russa como na Federação Russa como um todo);
- o tratamento simultâneo de PDS de 1 a 100 mil sujeitos (realizados no estado do Estado, trabalhando no campo da economia da Federação Russa);
- o tratamento simultâneo de PDS é inferior a 1 mil sujeitos (realizados em uma determinada organização).
A divisão em categorias permite não apenas determinar a classe MDL, mas também para estabelecer um conjunto de medidas de segurança e proteger dados pessoais na Internet, ao processar em infosistemas.
Empregado de dados pessoais
O direito de proteger seus dados pessoais tem todos os trabalhadores (parágrafo 9 da arte. 86 do Código do Trabalho da Federação Russa).
De acordo com o art. 89 Código do Trabalho da Federação Russa, cada funcionário pode ser implementado pelas seguintes ações:
- acesso livre livre aos seus dados pessoais, incluindo o recebimento de uma cópia de qualquer registro, no qual os PDNs dos funcionários estão contidos;
- definindo um representante pessoal para proteger seus dados pessoais;
- obtendo informações completas sobre PDNs e seu processamento;
- definir os requisitos para exclusão ou correção de dados pessoais que contêm informações incorretas ou se foram processados \u200b\u200bem violação dos requisitos da legislação;
- apelar no tribunal de ações ilegais do empregador, bem como sua inação durante o processamento e proteção do PDN.
A composição dos dados pessoais do empregado
Com base no parágrafo 2 do Artigo 86 do Código Trabalhista da Federação Russa, o volume e a manutenção de dados pessoais do empregado é determinado pelo empregador de acordo com a Constituição da Federação Russa, o Código Trabalhista e outras leis federais. Por via de regra, as atividades de qualquer organização envolve o uso do empregador no fluxo de documentos dois tipos principais de documentos:
- Documentos fornecidos por um empregado na conclusão de um contrato de trabalho (artigo 65.º do Código do Trabalho da Federação Russa). Esta categoria inclui documentos contendo a imagem fotográfica do empregado, nome, informações sobre o local e a data de nascimento, cidadania, estado civil, local de registro, educação, especialidade (passaporte, certificado de seguro de seguro de pensão do estado, ID militar, identificação militar, identificação militar, etc. ).
- Documentos formados pelo empregador independentemente (documentação de contabilidade primária para contabilidade e pagamento do trabalho). Esta categoria inclui ordens ou pedidos para a admissão de um funcionário, rescisão do contrato de trabalho, a promoção de um funcionário, um cartão pessoal, documentos salariais.
Proteção de dados pessoais, responsabilidade pela violação da legislação
Deve-se notar que algumas sanções por violação dos compostos individuais de infracções são aplicadas tanto em indivíduos como em funcionários quanto legais.
Em conformidade com o artigo 150 do Código Civil da Federação Russa, a privacidade, os segredos pessoais e familiares são aplicados ao número de direitos intangíveis inalienáveis \u200b\u200bsob a proteção das leis existentes.
Deve-se notar que os direitos e obrigações dos funcionários que estão directamente relacionados com os PDNs de outros funcionários são determinados pelos termos do contrato de trabalho e a composição dos atos regulamentares locais que estabelecem as funções de emprego do empregado e a lista de seus deveres oficiais.
Responsabilidade administrativa Para a violação do procedimento de coleta, armazenamento e distribuição de dados pessoais, implica um aviso ou penalidade no valor: de 300 a 500 rublos - para indivíduos; De 500 a 1000 rublos - funcionários, de 5 a 10 mil rublos - para entidades jurídicas (artigo 13.11 do Código Administrativo da Federação Russa). Responsabilidade administrativa pela divulgação de informações protegidas por lei, no desempenho de deveres oficiais e profissionais, implica uma penalidade no montante: de 500 a 1000 rublos para indivíduos, de 4 a 5 mil rublos - para funcionários (art. 13.14 Codecha da Federação Russa).
Uma violação da privacidade, em particular dados pessoais, uma pessoa ao usar sua posição oficial prevê uma punição na forma de:
- multa no montante de 100 a 300 mil rublos, salários ou outras receitas do infrator por 1-2 anos;
- privação do direito de ocupar certas posições por um período de 2 a 5 anos;
- prisão por um período de 4 a 6 meses.
É legal criar bases de dados pessoais disponíveis publicamente?
No final de 2015, participei da discussão de um artigo interessante em LJ, que foi dedicado à necessidade de criar uma base de dados unificada publicamente disponível de candidatos a emprego injustos.
Deve-se dizer que a ideia não é nova e, com certeza, uma série de empresas tem bancos de dados dos candidatos internos. Com a ajuda de essas bases de Basilovka, os candidatos inadequados com o tempo mais mínimo gasto. Se você teoricamente assuma que tal base pode aparecer à disposição de todos os países de RH, então quanto seria melhor. Bem, porque? Graças a Deus, não, não é assim. De acordo com os comentaristas deste artigo, os benefícios potenciais podem facilmente sobrepor o negativo, o que inevitavelmente surgirá do uso ilegal de dados da base, inclusão / exclusão irracional de pessoas em tais bases, e as questões da reputação, honra e dignidade das pessoas envolvidas nas bases de dados.
Felizmente, desde 2006, a lei federal "sobre dados pessoais" opera na Rússia, que determina inequivocamente as condições sob as quais essas bases podem existir:
2. O artigo 6 da lei federal "sobre dados pessoais" determina que "o processamento de dados pessoais é realizado com o consentimento do assunto de dados pessoais sobre o processamento de seus dados pessoais".
3. O artigo 7.º da lei federal "sobre dados pessoais" determina que "operadores e outras pessoas que receberam acesso a dados pessoais são obrigados a não divulgar terceiros e não disseminar dados pessoais sem o consentimento da entidade pessoal de dados pessoais, salvo disposição em contrário pela lei federal ".
4. O artigo 8.º da lei federal "sobre dados pessoais" determina que: "1. Para fins de segurança da informação, fontes publicamente disponíveis de dados pessoais (incluindo livros de referência, livros de endereços) podem ser criados. Em fontes publicamente disponíveis de dados pessoais com o consentimento por escrito do assunto de dados pessoais, seu sobrenome, nome, patronímico, ano e local de nascimento, endereço, número de assinante, informações de profissão e outros dados pessoais relatados pelo assunto de dados pessoais podem ser incluido. 2. As informações sobre o assunto de dados pessoais devem ser excluídos a qualquer momento de fontes publicamente disponíveis de dados pessoais a pedido do assunto de dados pessoais ou por decisão do tribunal ou outros órgãos estatais autorizados ".
5. Finalmente, artigo 13.11. O Código da Federação Russa sobre Violações Administrativas, determina que "uma violação do procedimento de coleta, armazenamento, uso ou disseminação de informações sobre os cidadãos (dados pessoais) - implica a advertência ou imposição de uma multa administrativa nos cidadãos no valor de três cem a quinhentos rublos; em funcionários - de quinhentos a mil rublos; em entidades legais - de cinco mil a dez mil rublos ".
Em outras palavras, e em breve:
1. Quaisquer dados relacionados à pessoa física (incluindo simplesmente um número de telefone) é pessoal.
2. Para processamento de dados pessoais, você precisa consentir que você pode se retirar a qualquer momento.
3. Se alguém tiver acesso legítimo aos dados pessoais, eles são proibidos de divulgar alguém ou compartilhar com qualquer pessoa sem o consentimento da entidade pessoal de dados, salvo disposição em contrário pela legislação atual.
4. Especialmente para aqueles que querem criar fontes publicamente disponíveis de dados pessoais fornecidos para uma forma escrita de consentimento.
5. Para violação do procedimento estabelecido para coletar e armazenar dados pessoais, a responsabilidade é fornecida.
A conclusão é muito simples e compreensível - a criação de uma única base publicamente disponível dos candidatos a emprego negligenciosos só é possível com o consentimento por escrito desses trabalhadores mais não relacionados, que, naturalmente, reduz a probabilidade de uma criação legítima de tal base. Aqueles que ainda resolverão essas bases para criar e compartilhá-los com camaradas, nossa empresa recomenda familiarizar as penalidades atualmente.
Confirme a licença para processamento de dados pessoais agora é solicitado ao concluir contratos, preenchendo os questionários, registro em sites. A maioria dos cidadãos concorda automaticamente, embora informações pessoais sobre uma pessoa nas mãos de pessoas inescrupulosas é uma arma poderosa e perigosa. O artigo fala sobre o que você precisa saber sobre dados pessoais, abrindo o acesso a eles com 3 pessoas.
Dados pessoais: O que é isso, estrutura regulatória
O Estado regula a esfera de dados pessoais através de vários atos regulatórios. A base constitui a constituição da Federação Russa, a base - FZ No. 152 de 27 de janeiro de 2006. A lei esclarece quais dados pessoais estão relacionados a eles. Este termo significa que as informações direta ou indiretamente caracterizam o assunto de PD é um indivíduo. Na linguagem simples, você pode determinar com precisão o que estamos falando de uma pessoa em particular.
Menção indireta de dados pessoais é na Constituição Russa. Os artigos 23.º-24 da lei básica fornecem aos cidadãos o direito ao segredo da privacidade, sua integridade e proteção. Tudo o que é incluído no conceito de dados pessoais pertence apenas à sua operadora e não pode ser controlado por governos ou 3 pessoas. Os próprios cidadãos para descartar esta informação, evitar a propagação ou, pelo contrário, para transmiti-lo aos outros. O estado, por sua vez, garantia e protege esta oportunidade.
O FZ No. 152 define quem tem o direito de usar dados pessoais além de sua operadora, sob quais condições para as quais as regras. Apenas os operadores com sua permissão podem receber e processar informações pessoais sobre o assunto. Um cidadão assina o consentimento para testar o PD ao emitir pedidos de empréstimo, preenchendo o questionário ou a admissão ao trabalho.
Os operadores recebem acesso ao volume de dados necessários para resolver suas tarefas. Eles não têm o direito de armazenar e usá-los após o objetivo ser alcançado. Por exemplo, o empregador deve destruir os registros, questionários - tudo o que pertence aos dados pessoais do empregado, após sua demissão. Caso contrário, ameaça a responsabilidade por
As normas do FZ No. 152 devem seguir todas as entidades legais e indivíduos. Regras especiais se aplicam quando PD:
- obter necessidades pessoais ou familiares, se não infringir os direitos de 3 pessoas;
- contido em documentos arquivísticos;
- compõem Gostain;
- indo em um ato judicial.
Outros atos legislativos esclarecem as disposições sobre a DP em relação a diferentes situações, o sistema e a classificação dos meios de proteção são introduzidos. Por exemplo, CH.14 do Código Trabalhista da Federação Russa divulga o conceito de dados pessoais do empregado. Esta é a informação que permite caracterizá-la como funcionário de uma determinada organização (tamanho salarial, experiência, qualificações, informações do FTS e da FIU, etc.), suas qualidades de negócios. Eles devem ser usados \u200b\u200be mantidos para ajudar um funcionário a cumprir seus deveres de emprego, melhorar a experiência e o conhecimento, a promoção, para proteger o pessoal e a propriedade da empresa.
Classificação de dados pessoais
O FZ No. 152 aloca vários tipos de dados pessoais. Você pode organizá-los de acordo com o grau de "sigilo", complexidade na coleta e usando 3 pessoas:
- impessoal;
- em geral;
- biométrico;
- especial.
Dados pessoais comuns
Dados pessoais gerais são as principais informações sobre a pessoa. Esses incluem:
Processando dados pessoais na organização
O objetivo do processamento da DP na organização é emitir relações de trabalho com o funcionário. Sem assinar o consentimento para tratar o processamento do PD, o empregador não tem o direito de entrar em um contrato de trabalho. Leia mais neste
- local de inscrição e acomodação;
- detalhes do passaporte;
- educação;
- detalhes do contato;
- informações sobre o trabalho;
- tamanho de renda, etc.
Nem todos podem ser atribuídos a PD. Por exemplo, a lei não define exatamente, eu lee número de telefone Dados pessoais. Roskomnadzor em resposta ao apelo dos cidadãos explicou que só por número é impossível identificar com precisão uma pessoa. Por si só, ele não é pessoal, e em um pacote com o nome do proprietário e da cidade de residência refere-se a PD. Portanto, a distribuição inconsontada de mensagens SMS não é considerada uma violação do FZ No. 152.
O PD geral está contido no passaporte, um bilhete militar, um diploma, um cartão pessoal de funcionário, um livro de emprego, etc. A permissão por escrito não é necessária para obter esses dados, bastante indiretos, por exemplo, um tick oposto ao item relevante Questionário online. A relativa simplicidade do acesso geralmente traz problemas para os assuntos de cidadãos ordinários: da publicidade obsessiva até chantagem e falsificações de aplicações de crédito.
A vida pessoal de um cidadão que também inclui vários tipos de segredos (adotivos médicos, impostos e secretos e outros) é protegido da divulgação do artigo 137 do Código Penal da Federação Russa. Você pode ler mais nisso.
PD Biométrico
Dados biométricos são as características fisiológicas e biológicas do assunto: imagens dactyloscópicas, tipo de sangue, crescimento, cor dos olhos, peso, análise de DNA, etc. Isso inclui informações que podem ser obtidas por uma pessoa ou vídeo com uma pessoa. A PD biométrica é frequentemente necessária no tratamento ou dispositivo para trabalhar em agências governamentais, registro de passaportes e vistos estrangeiros.
PD especial
Raça e nacionalidade, religião, crenças filosóficas, estado de saúde, existência, vida íntima, preferências sexuais relacionadas a dados especiais. Eles estão contidos em certificados médicos, assuntos pessoais, etc.
PD especial são obrigados a participar de atividades políticas, entrada nas forças armadas. Obter acesso a esses dados 3 e indivíduos só podem com a permissão do assunto.
Por que preciso de uma lei sobre dados pessoais? Assista a resposta no vídeo:
PD Divulgado
PDs desconectados estão disponíveis para qualquer parte interessada. Fontes de informação podem ser:
- livros de endereços;
- livros de referência;
- registros;
As informações públicas consideradas dados pessoais são, por exemplo, as receitas de figuras políticas, representantes das autoridades federais ou municipais, funcionários em posições seniores.
Em novembro de 2016, a primeira reunião do Grupo de Trabalho da Administração Presidencial foi realizada sobre a questão de usar as disposições do FZ No. 152 para o chamado Big Data.. Estes são os dados que o usuário entra na rede: endereço IP, formulários de autorização, histórico de navegador, informações que se acumulam sobre o proprietário dos gadgets e aparelhos domésticos inteligentes.
Dados grandes, por um lado, direta ou indiretamente indicar uma pessoa, isto é, cair sob a definição de PD. Os legisladores ao mesmo tempo não consideram dados da Internet como propriedade do indivíduo, uma vez que não pode controlá-los.
Todas as questões de interesse podem ser feitas nos comentários ao artigo.
