Roskomnadzor a dezvăluit încălcări în ceea ce privește conformitatea activităților de prelucrare a datelor cu caracter personal cu cerințele legale pe baza rezultatelor unei inspecții programate la fața locului a uneia dintre birourile de credit. Biroul a încercat să conteste aceste rezultate la Curtea de Arbitraj din Moscova (decizia Curții de Arbitraj din Moscova din 5 mai 2017 în dosarul nr. А40-5250 / 17-144-51).

Esența încălcărilor dezvăluite de Roskomnadzor a fost următoarea:

• instituția financiară nu a trimis o notificare către organismul autorizat cu privire la utilizarea serviciilor Double Data Social Link și Double Data Social Attributes, care au transferat datele persoanelor fizice sau ale potențialilor clienți către instituția financiară din surse deschise de informații (în continuare - Legea Nr. 152-FZ);
• nu a existat consimțământul pentru prelucrarea datelor cu caracter personal conținute în surse deschise - în rețelele sociale și pe portalurile de internet ().

Curtea de arbitraj din Moscova a stabilit că prelucrarea datelor cu caracter personal este permisă în cazurile în care datele cu caracter personal sunt disponibile unui cerc nedefinit de persoane, există consimțământul proprietarului datelor și informațiile sunt furnizate direct de către subiect (,).

Instanța a subliniat că, fără consimțământul scris al subiectului datelor cu caracter personal, este imposibil să se afirme că persoana specificată a acordat consimțământul. În opinia sa, dacă proprietarul a pus datele personale la dispoziția publicului pentru toată lumea, atunci acestea pot fi conținute numai în surse disponibile publicului (). Potrivit instanței, rețelele de socializare nu sunt astfel de surse pentru obținerea datelor cu caracter personal, respectiv informațiile despre o persoană postată în acestea nu pot fi atribuite publicului.

Decizia arbitrajului prevede că sursele de date cu caracter personal disponibile publicului pot include numele de familie, numele, patronimicul, anul și locul nașterii, adresa, numărul abonatului, informații despre profesie și alte date personale ale proprietarului lor cu acordul său scris și comunicat de el. Instanța a concluzionat că proprietarii de date cu caracter personal nu au pus la dispoziția publicului informațiile, care au fost prelucrate de biroul de credit pe rețelele sociale (,). În acest sens, instanța a recunoscut ordinul lui Roskomnadzor ca fiind legal și a refuzat să satisfacă cererile instituției financiare.

Poate fi considerată o companie responsabilă pentru utilizarea unei imagini a unei persoane fără consimțământul acesteia dacă a publicat fotografii ale angajaților pe rețelele de socializare? Răspunsul la această întrebare și la alte întrebări practice se află în "Baza de cunoștințe a Serviciului de consultanță juridică"în versiunea de internet a sistemului GARANT. Obțineți acces complet timp de 3 zile gratuit!

Instanța de apel a fost de acord cu concluziile instanței inferioare, subliniind că postarea datelor cu caracter personal pe rețelele sociale nu le pune automat la dispoziția publicului, prin urmare, este necesar acordul subiectului pentru procesarea informațiilor (hotărârea Curții a noua de arbitraj din Contestație din 27 iulie 2017 în dosarul nr. A40-5250 / 17). Curtea de casație și Curtea Supremă a Federației Ruse s-au alăturat lui Roskomnadzor și nu au găsit motive pentru anularea actelor judiciare atacate (hotărârea Curții de arbitraj din districtul Moscovei din 9 noiembrie 2017 în cazul nr. Caz nr. 305- KG17-21291).

Astfel, instanțele au decis că datele cu caracter personal sunt disponibile publicului dacă sunt îndeplinite două condiții: sunt furnizate de proprietar și sunt disponibile unui cerc nedefinit de persoane. În opinia lor, din cauza lipsei consimțământului proprietarului de date cu caracter personal de a posta informații despre acesta în rețelele sociale, acestea [rețelele sociale] nu pot fi atribuite unor surse publice. În acest caz, operatorul are dreptul de a continua prelucrarea datelor cu caracter personal fără consimțământul subiectului datelor cu caracter personal, în cazul retragerii acestora, numai dacă există motive adecvate, de exemplu, pentru a combate terorismul sau corupția ().

Avocat principal al Serviciului Juridic European Elena Derzhieva a menționat că, în condițiile acordului de utilizare al rețelei sociale „Vkontakte”, proprietarul datelor cu caracter personal este de acord doar să acceseze informațiile pe care le postează pe pagina sa, dar să nu fie prelucrate de terți.

Persoanele fizice furnizează informații personale diferitelor autorități în fiecare zi. Operatorii de date cu caracter personal sunt responsabili pentru prelucrarea informațiilor. Acestea sunt bănci, angajatori, organizații medicale, site-uri Internet și alte structuri. Operatorii sunt obligați prin lege să protejeze informațiile personale. Pentru a crea surse care conțin date cu caracter personal (PD) accesibile publicului.

Ce sunt PD-urile disponibile publicului?

Publicul include informații despre o persoană pe care le furnizează în mod independent autorităților. Pentru a deschide accesul gratuit la informații, este necesară permisiunea scrisă a persoanei - subiectul datelor cu caracter personal. Un subiect este o persoană fizică ale cărei date personale sunt colectate, stocate și prelucrate de operator. Un operator este o persoană juridică sau fizică, o autoritate municipală sau de stat.

PD disponibil public include informații despre subiect, prin care poate fi identificat:

• Data și locul nașterii;
• adresa de acasa;
• numar de telefon;
• profesie;
• numărul fiscal individual;
• locul de muncă sau de studiu și alte informații.

Compoziția datelor disponibile publicului poate include orice informație care nu este confidențială din punct de vedere al legii. Datele personale ale unui subiect pot fi clasificate în funcție de volumul și gradul de importanță al informațiilor personale.

Datele disponibile publicului includ, de asemenea, informații personale furnizate:

• la angajare, încheierea unui contract sau contract de muncă;
• în timpul recensământului;
• la înregistrarea relațiilor contractuale în timpul operațiunilor de tranzacționare și a altor situații similare.

Datele personale ale subiectului, care sunt difuzate prin intermediul mass-media, nu sunt clasificate ca fiind confidențiale, deoarece sunt disponibile publicului în conformitate cu „Lista informațiilor confidențiale”.

Nu este întotdeauna necesar acordul scris al subiectului pentru primirea, transferul, procesarea și alte acțiuni cu PD. În unele cazuri, de exemplu, atunci când participați la un sondaj sau vă abonați la un buletin informativ, este suficient să bifați caseta care permite utilizarea PD.

Datele generale pot fi plasate în surse care sunt disponibile publicului. Aceasta înseamnă că sursele sunt vizualizate și utilizate de un număr imens de părți interesate. Un exemplu de astfel de sursă sunt listele telefonice.

Prelucrarea datelor disponibile publicului

Prelucrarea datelor disponibile publicului este efectuată de departamente și divizii ale căror responsabilități includ colectarea, sistematizarea, stocarea, modificarea, utilizarea și distrugerea PD. Persoanele fizice au dreptul să solicite informații despre operatorul de date și să afle ce scop urmărește operatorul în timpul procesării PD.

Roskomnadzor este responsabil pentru monitorizarea respectării legilor în timpul procesării. FSB și FSTEC au anumite puteri de audit și control. Operatorii creează sisteme de protecție a datelor cu caracter personal pentru propriile nevoi, prin urmare, în acest sens, pentru a autoriza astfel de activități.

PD este procesat de organizații care trebuie să colecteze, să acumuleze, să proceseze și să stocheze informații despre angajați, furnizori și clienți pentru a-și desfășura activitățile. În anumite cazuri, astfel de date sunt incluse în modul deschis.

Drepturile persoanelor vizate

Subiecții PD pot depune o cerere prin care solicită blocarea, distrugerea, clarificarea sau modificarea datelor disponibile publicului dacă informațiile nu mai sunt actualizate, incomplete sau nu sunt necesare în scopul prelucrării. Subiecții au dreptul să solicite, de asemenea, acces la PD și să afle ce mijloace utilizează operatorul pentru a le procesa.

Informațiile trebuie utilizate în conformitate cu cerințele legale și trebuie protejate, indiferent dacă sunt confidențiale sau disponibile publicului. Operatorii sunt responsabili pentru asigurarea protecției complete a datelor personale ale subiectului și restricționarea accesului la datele persoanelor neautorizate.

Operatorul începe să proceseze datele cu caracter personal numai după ce a primit permisiunea scrisă a subiectului pentru prelucrare. Consimțământul include informații despre individ și datele operatorului: numele companiei, prenumele, numele și patronimicul operatorului, funcția. De asemenea, este necesar consimțământul pentru a indica scopul prelucrării și o listă de date cu o descriere a operațiunilor care vor fi efectuate cu informațiile. O persoană are dreptul de a-și revoca PD și de a-și revoca consimțământul pentru prelucrare.

În caz de incapacitate sau deces al subiectului, consimțământul pentru prelucrarea și utilizarea PD este cerut de la moștenitori sau reprezentanții legali. În acest caz, trebuie să se ghideze după Legea federală privind datele cu caracter personal.

În caz de încălcare a cerințelor legii, făptașii poartă răspundere administrativă, penală și de altă natură. Nu contează dacă PD este confidențial sau este disponibil public, în conformitate cu articolul 8 din Legea federală-152 privind datele cu caracter personal, PD disponibil public poate fi plasat în surse accesibile publicului numai cu acordul persoanei vizate. Datele cu caracter personal ar trebui excluse din surse dacă sunt solicitate de către subiect sau organismele autorizate: Roskomnadzor, instanța sau alte agenții guvernamentale.

„Persoană” - date care se referă la o persoană, personalitate, organism biologic.

Ce este, cum se colectează, unde se păstrează, cum se protejează?

Este un card cu amprente date personale sau nu?

Nu există informații personale.

date cu caracter personal - orice informație referitoare la un anumit sau determinat pe baza unor astfel de informații a unei persoane (subiectul datelor cu caracter personal), inclusiv numele său de familie, prenumele, patronimicul, anul, luna, data și locul nașterii, adresa, familia, statut social, proprietate, educație, profesie, venituri, alte informații;

Adresa este înregistrarea la locul de reședință sau la locul de ședere.

Clasificarea condiționată a datelor cu caracter personal.

1) după gradul de deschidere:

date cu caracter personal accesibile publicului - date cu caracter personal, accesul unui număr nelimitat de persoane la care este furnizat cu acordul subiectului datelor cu caracter personal sau pentru care, în conformitate cu legile federale, nu se aplică cerința confidențialității.

Datele cu caracter personal disponibile publicului sunt date pentru care se acordă voluntar și se postează în domeniul public.

Adesea, unii proprietari de site-uri solicită informații de înregistrare pe care nu doresc să le furnizeze.

Informații confidențiale - informațiile sunt furnizate strict în scopuri specifice. Uneori poate fi colectat fără știrea persoanei.

Ministerul Afacerilor Interne stochează informații în centrele de informare

2) după accesoriu

- personal - aparțin de la naștere

- serviciu - în cursul muncii, serviciu - rangul clasei etc.

3) prin metoda furnizării

- informații furnizate voluntar

- furnizat în mod general în conformitate cu legea (obligatoriu)

- colectate fără consimțământul cetățeanului în conformitate cu legea

4) date prin natura lor

- biometric (informații despre amprentă)

Concepte de bază utilizate atunci când se lucrează cu date cu caracter personal.

- prelucrarea datelor cu caracter personal- acțiuni (operațiuni) cu date personale, inclusiv colectare, sistematizare, acumulare, stocare, clarificare (actualizare, modificare), utilizare, distribuire (inclusiv transfer), depersonalizare, blocare, distrugere a datelor cu caracter personal;

- diseminarea datelor cu caracter personal- acțiuni care vizează transferul de date cu caracter personal către un anumit cerc de persoane (transfer de date cu caracter personal) sau cunoașterea datelor cu caracter personal ale unui număr nelimitat de persoane, inclusiv divulgarea datelor cu caracter personal în mass-media, postarea în informații și telecomunicații rețele sau furnizarea de acces la date cu caracter personal care - în orice alt mod;

- utilizarea datelor cu caracter personal - acțiuni (operațiuni) cu date cu caracter personal efectuate de operator pentru a lua decizii sau a efectua alte acțiuni care generează consecințe juridice în legătură cu subiectul datelor cu caracter personal sau alte persoane sau care afectează în alt mod drepturile și libertățile subiectului datelor cu caracter personal sau alte persoane;

- blocarea datelor cu caracter personal- încetarea temporară a colectării, sistematizarea, acumularea, utilizarea, diseminarea datelor cu caracter personal, inclusiv transferul acestora;

Informațiile postate pe internet de multe ori nu pot fi blocate.

Majoritatea datelor cu caracter personal:

- stocate pe un computer

- postat pe internet

Este greu de controlat plasarea

- distrugerea datelor cu caracter personal- acțiuni în urma cărora este imposibil să se restabilească conținutul datelor cu caracter personal în sistemul de informații cu privire la datele cu caracter personal sau în urma cărora sunt distruși purtători tangibili de date cu caracter personal; - situații în care arhivele ardeau

anonimizarea datelor cu caracter personal

- depersonalizarea datelor cu caracter personal- acțiuni în urma cărora este imposibil să se determine apartenența datelor cu caracter personal la un anumit subiect al datelor cu caracter personal;

— sistem de informare a datelor cu caracter personal- un sistem informațional, care este o colecție de date cu caracter personal conținute într-o bază de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fără a utiliza astfel de mijloace;

— confidențialitatea datelor cu caracter personal- o cerință obligatorie pentru operator sau altă persoană care a obținut acces la date cu caracter personal pentru a preveni difuzarea acestora fără consimțământul subiectului datelor cu caracter personal sau alte motive legale;

— transfer transfrontalier de date cu caracter personal- transferul de date cu caracter personal de către operator peste granița de stat a Federației Ruse către autoritatea unui stat străin, o persoană fizică sau juridică a unui stat străin;

- date cu caracter personal accesibile publicului- date cu caracter personal, accesul unui număr nelimitat de persoane la care este furnizat cu consimțământul subiectului datelor cu caracter personal sau pentru care, în conformitate cu legile federale, nu se aplică cerința confidențialității.

Prelucrarea datelor cu caracter personal.

1) legalitatea scopurilor și metodelor de prelucrare a datelor cu caracter personal și buna-credință;

2) respectarea scopurilor de prelucrare a datelor cu caracter personal cu scopurile prestabilite și declarate în colectarea datelor cu caracter personal, precum și a competențelor operatorului;

3) corespondența cu volumul și natura datelor cu caracter personal prelucrate, metodele de prelucrare a datelor cu caracter personal în scopul prelucrării datelor cu caracter personal;

4) fiabilitatea datelor cu caracter personal, suficiența acestora în scopul prelucrării, inadmisibilitatea prelucrării datelor cu caracter personal care sunt redundante în raport cu scopurile menționate la colectarea datelor cu caracter personal;

5) inadmisibilitatea combinării bazelor de date ale sistemelor de informații cu caracter personal create în scopuri incompatibile.

Dacă o dată cineva a completat un card de amprentă, acesta se află în centrul de informații din bazele de date. De exemplu, nu putem combina bazele de date ale cetățenilor obișnuiți și ale persoanelor care au comis o infracțiune.

1) cu acordul proprietarului datelor cu caracter personal

2) fără acordul proprietarului datelor cu caracter personal.

Acest lucru se aplică persoanelor care ocupă o anumită funcție și poziție: personal militar, cadavre

Confidențialitatea datelor cu caracter personal:

Când nu este necesar:

1) în cazul anonimizării datelor cu caracter personal;

2) în legătură cu datele cu caracter personal accesibile publicului.

- operatorul care colectează și prelucrează date cu caracter personal.

- restricționați accesul în cadrul propriei organizații

Operatorul este responsabil personal pentru diseminarea datelor cu caracter personal

- stabilirea restricțiilor de acces atât în ​​incinte, cât și în rețea (sistem de acces, sistem de identificare a cardului)

Pentru rețelele locale - conectare sistem + parolă

Puteți restricționa accesul prin informații biometrice: amprentă digitală, retină.

- despre rasă

- despre punctele de vedere politice

- despre credințele religioase sau filosofice

- despre starea de sănătate

- despre viața intimă

Prelucrarea lor este posibilă numai cu acordul subiecților.

1) prezența consimțământului scris al subiectului pentru prelucrarea acestora

2) dacă subiectul datelor cu caracter personal le-a făcut publice

3) dacă aceste informații se referă la informații necesare pentru a proteja viața, sănătatea și alte interese vitale ale unei persoane

Astfel de informații pot fi furnizate în scopuri medicale și preventive - de exemplu, o infecție virală.

Particularitatea prelucrării datelor cu caracter personal în sistemele informaționale de stat sau municipale pentru prelucrarea datelor cu caracter personal.

- se aplică numai funcționarilor publici și angajaților municipali.

Organismul de stat are propriul statut, există sisteme independente de prelucrare a informațiilor despre angajații de stat sau municipali.

1) se stabilește ce informații sunt necesare în competența sa

2) există și Legea federală „Cu privire la funcția publică de stat”, adică este reglementată nu numai de legislația privind datele cu caracter personal.

Informațiile care caracterizează caracteristicile fiziologice ale unei persoane și pe baza cărora este posibil să se stabilească identitatea acesteia (date personale biometrice) pot fi prelucrate numai cu acordul scris al subiectului datelor cu caracter personal, cu excepția cazurilor următoare:

1) săvârșirea unei infracțiuni

Prelucrarea datelor personale biometrice poate fi efectuată fără acordul subiectului datelor cu caracter personal în legătură cu administrarea justiției, precum și în cazurile prevăzute de legislația Federației Ruse privind securitatea, legislația Federației Ruse privind activitățile de căutare operațională, legislația Federației Ruse privind serviciile publice și legislația penală a Federației Ruse Federația, legislația Federației Ruse privind procedura de ieșire din Federația Rusă și intrarea în Federația Rusă.

- colectarea de informații de la un suspect este ilegală

Prelucrarea informațiilor transfrontaliere.

Poate fi solicitat pentru a proteja cetățenii țării în care este transferat, este colectat numai cu acordul scris al subiectului.

Drepturile subiectului datelor cu caracter personal.

1) Dreptul subiectului datelor cu caracter personal de a accesa datele sale personale

Nu puteți apela centrul de informații al Ministerului Afacerilor Interne (centrul principal de informații și centrul de informații zonale)

2) Drepturile subiecților datelor cu caracter personal la prelucrarea datelor lor personale pentru a promova bunuri, lucrări, servicii pe piață, precum și în scopul campaniei politice

Acuratețea informațiilor va fi verificată de alții.

3) luarea deciziilor bazate exclusiv pe prelucrarea automată a datelor cu caracter personal. O persoană nu poate avea încredere în procesarea automată. Puteți solicita ca amprentele digitale să fie stocate nu numai pe computer, ci și pe hârtie.

- Codul muncii al Federației Ruse - există un capitol despre datele cu caracter personal.

LEGEA FEDERALĂ PRIVIND ÎNREGISTRAREA DACTILOSCOPICĂ DE STAT ÎN FEDERAȚIA RUSĂ din 25 iulie 1998 N 128-FZ

Datele personale disponibile publicului sunt

Date personale- orice informație legată de un anumit sau determinată pe baza acestor informații persoana naturala, inclusiv:

Numele său de familie, prenumele, patronimicul,

Anul, luna, data și locul nașterii,

Adresa, familia, socialul, starea proprietății, educația, profesia, venitul,

— celălalt informații (a se vedea FZ-152, articolul 3).

De exemplu: detaliile pașaportului, situațiile financiare, dosarele medicale, anul nașterii (pentru femei), biometrie, alte informații personale de identificare.

ÎN public surse de date personale (agende, liste și alte informații) cu acordul scris o persoană poate include numele său de familie, prenumele, patronimicul, anul și locul nașterii, adresa, numărul abonatului și alții date cu caracter personal (a se vedea FZ-152, articolul 8).

Datele personale se referă la informații cu acces limitat și trebuie să fie protejatîn conformitate cu legislația Federației Ruse. În formarea cerințelor pentru securitatea sistemelor, datele cu caracter personal sunt împărțite în 4 categorii.

Care este operatorul și subiectul datelor cu caracter personal?

Operator de date cu caracter personal- este, de regulă, o organizație sau, mai degrabă, un stat sau un organism municipal, o persoană juridică sau fizică, organizează și (sau) efectuează prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării de date cu caracter personal.

Persoana vizată Este un individ.

Operatorul este responsabil pentru protejarea datelor cu caracter personal ale subiectului în conformitate cu legislația actuală a Federației Ruse.

Cum se clasifică sistemul de informații cu caracter personal?

De atribuit tipic este necesar un sistem de informații cu caracter personal (ISPDN) pentru o anumită clasă:

II. Defini volum date cu caracter personal prelucrate în sistemul informațional:

volumul 3- sistemul informațional prelucrează simultan datele mai puțin de 1000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal într-o anumită organizație;

volumul 2 de la 1.000 la 100.000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal care lucrează în industria economiei Federației Ruse, într-o autoritate publică cu reședința în municipiu;

volumul 1- sistemul informațional prelucrează simultan datele cu caracter personal peste 100.000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal din cadrul entității constitutive ale Federației Ruse sau ale Federației Ruse în ansamblu;

III. Pe baza rezultatelor analizei datelor inițiale tipic ISPD primește una dintre următoarele clase(Vezi tabelul):

Clasa 4 (K4) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 3 (K3) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

Clasa 2 (K2) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 1 (K1) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal.

Doomsday a fost amânată până la 1 ianuarie 2011

Sistemele de informații cu caracter personal create înainte de intrarea în vigoare a Legii federale a Federației Ruse nr. 152 „Cu privire la datele cu caracter personal” trebuie să fie aduse în conformitate cu cerințele acestei legi federale până cel târziu la 1 ianuarie 2010 (a se vedea FZ-152 , Articolul 25).

Aceasta înseamnă că operatorii de date cu caracter personal care nu au respectat cerințele foarte stricte ale FZ-152, începând cu 1 ianuarie 2010, vor suporta drepturile civile, administrative, disciplinare și poate (Doamne ferește) și penale. responsabilitate .

Toate sistemele de informații care au fost deja puse în funcțiune după februarie-aprilie 2008 (de la expedierea documentelor metodologice de către FSTEC din Rusia și FSB din Rusia), dar care nu îndeplinesc cerințele legislației rusești în domeniul datelor cu caracter personal, poate suporta această responsabilitate mai devreme, de exemplu, mâine dimineață ...

Notă. Modificările aduse Codului penal al Federației Ruse, care înrăutățesc semnificativ răspunderea pentru încălcările care afectează viața privată, vor intra, de asemenea, în vigoare la 1 ianuarie 2010.

Dar, ca întotdeauna, operatorii de date cu caracter personal nu s-au mișcat prea mult și puțini oameni au reușit să facă tot ce era necesar. La 16 decembrie 2009, Duma de Stat a adoptat în a treia lectură amendamentele la articolele 19 și 25 din Legea privind datele cu caracter personal (152-FZ). Termenul limită pentru aducerea sistemelor de informații cu caracter personal (ISPDN) în conformitate cu această lege a fost amânat cu un an - până la 1 ianuarie 2011. În plus, legea a exclus regula care obligă operatorul să utilizeze mijloace de criptare (criptografice) pentru a proteja date la prelucrarea datelor cu caracter personal.

Cerințe obligatorii pentru protecția sistemelor de informații cu caracter personal

Principalele cerințe obligatorii pentru organizarea unui sistem de securitate a informațiilor, în funcție de clasa unui ISPD tipic:

Pentru ISPD clasa 4:

Lista măsurilor pentru protecția datelor cu caracter personal este determinată de operator (în funcție de posibilele daune)

Pentru ISPD clasa 3:

Declaratie de conformitate sau

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale (pentru sistemele distribuite ISPDN K3)

Pentru ISPD clasa 2:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale pentru sistemele distribuite

Pentru ISPD clasa 1:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Ar trebui puse în aplicare măsuri pentru protejarea datelor cu caracter personal de PEMIN

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale

Procedura de protecție a sistemului de informații cu caracter personal

Succesiunea acțiunilor la îndeplinirea cerințelor legislației privind prelucrarea datelor cu caracter personal:

1) Notificare către organismul autorizat pentru protecția drepturilor subiecților datelor cu caracter personal cu privire la intenția lor de a prelucra date cu caracter personal folosind instrumente de automatizare;

2) Ancheta pre-proiectare a sistemului informațional - colectarea datelor inițiale;

3) Clasificarea sistemului de prelucrare a datelor cu caracter personal;

4) Construirea unui model privat de amenințări pentru a determina relevanța acestora pentru sistemul informațional;

5) Dezvoltarea unei misiuni tehnice private pentru un sistem de protecție a datelor cu caracter personal;

6) Proiectarea unui sistem de protecție a datelor cu caracter personal;

Responsabilitatea pentru încălcările prelucrării datelor cu caracter personal

Persoanele vinovate de încălcarea cerințelor Legii federale 152-FZ „privind datele cu caracter personal” sunt:

- penal (a se vedea Codul penal al Federației Ruse, articolele 137, 140, 155, 183, 272, 273, 274, 292, 293),

Administrativ (a se vedea Codul Federației Ruse privind infracțiunile administrative, articolele 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinar (a se vedea Codul muncii al Federației Ruse, articolul 81; articolul 90; articolul 195; articolul 237; articolul 391)

și alte răspunderi stipulate de legislația Federației Ruse (a se vedea regulamentul privind lucrul cu date cu caracter personal care sunt publicate în entitățile constitutive ale Federației Ruse, departamente și organizații).

FSTEC- Serviciul federal pentru controlul tehnic și al exporturilor.

PEMIN- Emisiile electromagnetice false și îndrumarea

Protecția informațiilor personale

În decembrie 2014, Duma de Stat în a treia lectură a adoptat un proiect de lege privind stocarea datelor cu caracter personal ale cetățenilor prelucrate pe internet pe serverele din Rusia. Potrivit lui Roman Chuichenko, membru al Comisiei pentru politica de informare, principalul obiectiv al proiectului de lege este consolidarea securității informației a țării și a cetățenilor săi. Această măsură a fost luată în legătură cu complicația situației internaționale. Acest proiect de lege va intra în vigoare la 1 septembrie 2015.

Intrarea în vigoare a noului regulament privind protecția datelor cu caracter personal presupune furnizarea de către operator a datelor cu caracter personal:

• detectarea în timp util a accesului neautorizat la PD;
• prevenirea impactului asupra mijloacelor tehnice care efectuează procesarea automată a PD;
• capacitatea de a răspunde rapid la accesul neautorizat și de a restabili imediat PD în caz de distrugere sau modificare a acestora;
• monitorizarea constantă a nivelului de protecție a datelor cu caracter personal.

Categorii de date cu caracter personal

Prelucrarea ISPD poate fi efectuată și în funcție de parametrul „volumul de date cu caracter personal prelucrate”, care presupune numărul de subiecți prelucrați în sistemul informațional și poate lua următoarele valori:

• prelucrarea simultană a peste 100 de mii de subiecți PD (efectuată atât în ​​cadrul entității constitutive ale Federației Ruse, cât și în Federația Rusă în ansamblu);
• prelucrarea simultană a datelor cu caracter personal de la 1 la 100 de mii de subiecți (efectuată în autoritatea de stat care lucrează în domeniul economiei Federației Ruse);
• prelucrarea simultană a datelor cu caracter personal de mai puțin de o mie de subiecți (efectuată în cadrul unei organizații specifice).

Împărțirea în categorii permite nu numai determinarea clasei ISPD, ci și stabilirea unui set de măsuri pentru a asigura securitatea și protecția datelor cu caracter personal pe Internet, atunci când sunt prelucrate în sistemele de informații.

Date personale ale angajaților

Fiecare angajat are dreptul să-și protejeze datele personale (clauza 9 a articolului 86 din Codul muncii al Federației Ruse).

În conformitate cu art. 89 din Codul muncii al Federației Ruse, fiecare angajat își poate exercita dreptul la protecția și protecția datelor cu caracter personal prin următoarele acțiuni:

• acces gratuit gratuit la datele dvs. personale, inclusiv obținerea unei copii a oricărei înregistrări care conține datele personale ale angajatului;
• determinarea unui reprezentant personal pentru a-și proteja datele personale;
• obținerea de informații complete despre PD și prelucrarea acestora;
• solicitarea excluderii sau corectării datelor cu caracter personal care conțin informații incorecte sau, dacă au fost prelucrate cu încălcarea cerințelor legale;
• contestați în instanță acțiunile ilegale ale angajatorului, precum și inacțiunea acestuia în prelucrarea și protecția datelor cu caracter personal.

Compoziția datelor personale ale angajatului

Pe baza clauzei 2 a articolului 86 din Codul muncii al Federației Ruse, volumul și conținutul datelor personale ale angajatului sunt determinate de angajator în conformitate cu Constituția Federației Ruse, Codul muncii și alte legi federale. De regulă, activitatea oricărei organizații implică utilizarea a două tipuri principale de documente de către angajator în fluxul de lucru:

1. Documente furnizate de angajat la încheierea unui contract de muncă (articolul 65 din Codul muncii al Federației Ruse). Această categorie include documente care conțin o fotografie a unui angajat, numele complet, informații despre locul și data nașterii, cetățenia, starea civilă, locul de înregistrare, educație, specialitate (pașaport, certificat de asigurare de asigurare de pensie de stat, carte de identitate militară etc.) ).
2. Documente generate de angajator în mod independent (documentația contabilă primară pentru contabilizarea forței de muncă și plata acesteia). Această categorie include comenzi sau ordine de admitere a unui angajat, încetarea unui contract de muncă, stimulente pentru un angajat, un card personal, documente privind remunerația.

Protecția datelor cu caracter personal, răspunderea pentru încălcarea legii

Rețineți că unele sancțiuni pentru încălcarea anumitor infracțiuni se aplică atât persoanelor fizice și funcționarilor, cât și persoanelor juridice.

În conformitate cu articolul 150 din Codul civil al Federației Ruse, inviolabilitatea vieții private, a secretelor personale și de familie se numără printre drepturile intangibile inalienabile protejate de legile aplicabile.

Rețineți că drepturile și obligațiile unui angajat, care sunt direct legate de datele personale ale altor angajați, sunt determinate de termenii contractului de muncă și de compoziția actelor juridice de reglementare locale care stabilesc funcțiile de muncă ale angajatului și lista acestuia sarcinile de serviciu.

Responsabilitatea administrativă încălcarea procedurii de colectare, stocare și distribuire a datelor cu caracter personal implică un avertisment sau o amendă în valoare de: de la 300 la 500 de ruble - pentru persoane fizice; de la 500 la 1000 de ruble - pentru funcționari, de la 5 la 10 mii de ruble - pentru persoanele juridice (articolul 13.11 din Codul administrativ al Federației Ruse). Responsabilitatea administrativă pentru diseminarea informațiilor protejate de lege, în îndeplinirea sarcinilor oficiale și profesionale, implică o amendă în cuantum de: de la 500 la 1000 de ruble - pentru persoane fizice, de la 4 la 5 mii de ruble - pentru funcționari (articolul 13.14 din Codul contravențional al Federației Ruse) ...

Încălcarea inviolabilității vieții private, în special a datelor cu caracter personal, de către o persoană care își folosește funcția oficială prevede pedeapsa sub forma:

• o amendă în valoare de 100 până la 300 de mii de ruble, salarii sau alte venituri ale infractorului în termen de 1-2 ani;
• privarea de dreptul de a ocupa anumite funcții pe o perioadă de 2 până la 5 ani;
• arest pentru o perioadă de 4 până la 6 luni.

Este legal să se creeze baze de date publice de date cu caracter personal?

La sfârșitul anului 2015, am luat parte la discuția unui articol interesant din LiveJournal, care a fost dedicat necesității de a crea o bază de date publică unificată a persoanelor în căutarea unui loc de muncă fără scrupule.

Trebuie să spun că ideea nu este nouă și, cu siguranță, o serie de companii au baze de date interne ale solicitanților. Cu ajutorul acestor baze de date, ofițerii de personal elimină candidații nepotrivi cu cel mai mic timp. Dacă presupunem teoretic că o astfel de bază poate apărea la dispoziția tuturor HR-urilor din țară, atunci cât de bine ar fi pentru toată lumea. Ei bine, nu? Slavă Domnului că nu, nu așa. După cum au remarcat corect comentatorii acestui articol, beneficiile potențiale pot fi ușor depășite de negativul care va apărea inevitabil din utilizarea abuzivă a datelor din baza de date, includerea / excluderea nerezonabilă a persoanelor în astfel de baze de date și problemele de reputație, onoare și demnitatea persoanelor incluse în baza de date.

Din fericire, din 2006, legea federală „Despre datele cu caracter personal” este în vigoare în Rusia, care definește fără ambiguitate condițiile în care pot exista astfel de baze de date:

2. Articolul 6 din Legea federală „Cu privire la datele cu caracter personal” stabilește că „prelucrarea datelor cu caracter personal se efectuează cu acordul subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal”.

3. Articolul 7 din legea federală „Cu privire la datele cu caracter personal” stabilește că „Operatorii și alte persoane care au obținut acces la datele cu caracter personal sunt obligați să nu dezvăluie terților și să nu distribuie date cu caracter personal fără consimțământul subiectului datelor cu caracter personal , cu excepția cazului în care legea federală prevede altfel. "

4. Articolul 8 din Legea federală „Cu privire la datele cu caracter personal” stabilește că: „1. În scopul sprijinirii informațiilor, pot fi create surse de date cu caracter personal disponibile publicului (inclusiv directoare, agende). Cu acordul scris al subiectului datelor cu caracter personal, sursele de date cu caracter personal disponibile publicului pot include numele, prenumele, patronimicul, anul și locul nașterii, adresa, numărul abonatului, informații despre profesie și alte date personale raportate de către subiectul datelor cu caracter personal. 2. Informațiile despre subiectul datelor cu caracter personal trebuie excluse în orice moment din sursele de date cu caracter personal accesibile publicului, la cererea subiectului datelor cu caracter personal sau prin decizia unei instanțe sau a altor organisme de stat autorizate. "

5. Și, în sfârșit, articolul 13.11. Din Codul de infracțiuni administrative al Federației Ruse, stabilește că „Încălcarea procedurii de colectare, stocare, utilizare sau diseminare a informațiilor despre cetățeni (date cu caracter personal) stabilită de lege - implică un avertisment sau impunerea unei amenzi administrative cetățenilor din suma de trei sute până la cinci sute de ruble; pentru oficiali - de la cinci sute la o mie de ruble; pentru persoanele juridice - de la cinci mii la zece mii de ruble. "

Cu alte cuvinte și pe scurt:

1. Orice date referitoare la o persoană (inclusiv doar un număr de telefon) sunt personale.

2. Este necesar să obțineți consimțământul pentru prelucrarea datelor cu caracter personal, care pot fi retrase oricând.

3. Dacă cineva are acces legal la datele cu caracter personal, este interzisă divulgarea acestuia către oricine sau partajarea cu oricine fără consimțământul subiectului datelor cu caracter personal, cu excepția cazului în care legea aplicabilă prevede altfel.

4. În special pentru cei care doresc să creeze surse de date cu caracter personal accesibile publicului, este furnizat un formular de consimțământ scris.

5. Pentru încălcarea procedurii stabilite pentru colectarea și stocarea datelor cu caracter personal, este asigurată răspunderea.

Concluzia este foarte simplă și simplă - crearea unei baze de date publice unice a solicitanților de locuri de muncă neglijenți este posibilă numai cu acordul scris al acestor lucrători cei mai neglijenți, ceea ce, desigur, anulează probabilitatea creării legale a unei astfel de baze. Pentru cei care decid totuși să creeze astfel de baze și să le împartă cu tovarășii lor, compania noastră le recomandă să se familiarizeze cu pedepsele în vigoare în acest moment.

Confirmarea permisiunii de prelucrare a datelor cu caracter personal este cerută acum la încheierea contractelor, completarea chestionarelor, înregistrarea pe site-uri. Majoritatea cetățenilor sunt de acord în mod automat, deși informațiile personale despre o persoană aflată în mâinile unor persoane fără scrupule sunt o armă puternică și periculoasă. Articolul vorbește despre ceea ce trebuie să știți despre datele personale, oferind acces la terțe părți.

Date personale: ce este, cadru de reglementare

Statul reglementează domeniul datelor cu caracter personal printr-o serie de reglementări. Baza este Constituția Federației Ruse, baza este Legea federală nr. 152 din 27 ianuarie 2006. Legea explică ce sunt datele cu caracter personal, la ce se referă. Acest termen înseamnă informații care caracterizează direct sau indirect subiectul PD - o persoană. În termeni simpli, ele pot fi utilizate pentru a determina cu exactitate că vorbim despre o anumită persoană.

Există o mențiune indirectă a datelor cu caracter personal în Constituția Rusiei. Articolele 23-24 din legea de bază conferă cetățenilor dreptul la viață privată, inviolabilitate și protecție. Tot ceea ce este inclus în conceptul de date cu caracter personal aparține doar purtătorului lor și nu poate fi controlat de guvern sau de terți. Cetățenii înșiși sunt liberi să dispună de aceste informații, să împiedice difuzarea acestora sau, dimpotrivă, să le transmită altora. Statul, la rândul său, garantează și protejează această oportunitate.

Legea federală nr. 152 stabilește cine are dreptul să utilizeze alte date cu caracter personal decât operatorul său de transport, în ce condiții, în funcție de ce reguli. Doar operatorii cu permisiunea sa pot primi și prelucra informații personale despre subiect. Un cetățean semnează un acord pentru a verifica PD atunci când face cereri de împrumut, completează chestionare sau solicită un loc de muncă.

Operatorii au acces la cantitatea de date de care au nevoie pentru a-și rezolva sarcinile. Nu li se permite să le stocheze și să le utilizeze după ce obiectivul a fost atins. De exemplu, angajatorul trebuie să distrugă înregistrările, chestionarele - tot ceea ce se referă la datele personale ale angajatului după concediere. În caz contrar, există o amenințare de responsabilitate pentru

Toate persoanele juridice și persoanele fizice trebuie să respecte prevederile Legii federale nr. 152. Se aplică reguli speciale atunci când PD:

1. primiți pentru nevoi personale sau familiale, dacă acest lucru nu încalcă drepturile a 3 persoane;
2. cuprinse în documente de arhivă;
3. constituie un secret de stat;
4. colectate printr-un act judiciar.

Alte acte legislative clarifică dispozițiile privind PD în raport cu diferite situații, introduc un sistem și clasificarea echipamentelor de protecție. De exemplu, capitolul 14 din Codul muncii al Federației Ruse dezvăluie conceptul de date personale ale unui angajat. Acestea sunt informații care ne permit să îl caracterizăm ca angajat al unei anumite organizații (salariu, vechime în serviciu, calificări, informații de la Serviciul Fiscal Federal și Fondul de Pensii din Rusia etc.), calitățile sale comerciale. Acestea ar trebui utilizate și depozitate pentru a asista angajatul în îndeplinirea sarcinilor sale de muncă, pentru a spori experiența și cunoștințele, promovarea, pentru a proteja personalul și proprietățile companiei.

Clasificarea datelor cu caracter personal

Legea federală nr. 152 identifică mai multe tipuri de date cu caracter personal. Le puteți aranja în funcție de gradul de „secret”, de dificultatea de colectare și utilizare de către terți:

• impersonal;
• general;
• biometric;
• special.

Date personale generale

Datele personale generale sunt informații de bază despre o persoană. Acestea includ:

Prelucrarea datelor cu caracter personal în organizație

Scopul procesării PD într-o organizație este de a formaliza o relație de muncă cu un angajat. Angajatorul nu are dreptul să încheie un contract de muncă fără acordul semnat pentru prelucrarea PD. Citiți mai multe în acest sens

• locul de înregistrare și de reședință;
• date pașaport;
• educaţie;
• Detalii de contact;
• informații despre lucrare;
• venituri etc.

Nu toate în mod individual pot fi atribuite PD. De exemplu, legea nu definește exact, eu este numărul de telefon al datelor personale... Roskomnadzor, ca răspuns la apelurile cetățenilor, a explicat că este imposibil să se identifice cu exactitate o persoană numai după număr. În sine, nu este personal, ci împreună cu numele proprietarului și orașul de reședință se referă la PD. Prin urmare, trimiterea nepersonalizată a mesajelor SMS nu este considerată o încălcare a Legii federale nr. 152.

PD-urile generale sunt conținute în pașaport, carte de identitate militară, diplomă, card personal de angajat, carte de muncă etc. Nu este necesară permisiunea scrisă pentru a obține aceste date, ci mai degrabă indirectă, de exemplu, o bifă opusă articolului corespunzător din chestionarul online. Simplitatea relativă a accesului aduce deseori probleme subiecților PD - cetățeni obișnuiți: de la publicitate intruzivă la șantaj și contrafacere a cererilor de împrumut.

Viața personală a unui cetățean, care include, de asemenea, diverse tipuri de secrete (medicale, fiscale, secrete de adopție și altele), este protejată împotriva divulgării prin articolul 137 din Codul penal al Federației Ruse. Puteți citi mai multe în acest sens.

PD biometric

Datele biometrice sunt caracteristicile fiziologice și biologice ale unui subiect: amprente, grupa de sânge, înălțime, culoarea ochilor, greutate, analiza ADN etc. Acestea includ informații care pot fi obținute dintr-o fotografie sau un videoclip cu o persoană. PD biometrice sunt deseori necesare pentru tratament sau angajare în agențiile guvernamentale, eliberarea pașapoartelor și vizelor străine.

PD special

Rasa și naționalitatea, religia, credințele filosofice, starea de sănătate, convingerile, viața intimă, preferințele sexuale sunt clasificate ca date speciale. Sunt conținute în certificate medicale, fișiere personale etc.

AP-urile speciale sunt necesare pentru a participa la activități politice, pentru a se alătura forțelor armate. Terțele persoane pot accesa aceste date numai cu permisiunea subiectului.

De ce ai nevoie de o lege a datelor cu caracter personal? Vedeți răspunsul în videoclip:

PD depersonalizat

PD anonimizat este disponibil oricărei persoane interesate. Sursele de informații pot fi:

• agende de adrese;
• carti de referinta;
• registre;

Informațiile disponibile public care sunt considerate date cu caracter personal sunt, de exemplu, veniturile politicienilor, reprezentanților autorităților federale sau municipale, ale funcționarilor în funcții de conducere.

În noiembrie 2016, prima ședință a grupului de lucru al Administrației prezidențiale a Federației Ruse privind problema utilizării prevederilor Legii federale nr. 152 la așa-numita Date mare... Acestea sunt datele care vin de la utilizator la rețea: adresa IP, formularele de autorizare, istoricul browserului, informațiile pe care gadgeturile și aparatele electrocasnice inteligente le acumulează despre proprietar.

Big Data, pe de o parte, indică direct sau indirect o persoană, adică intră sub definiția PD. În același timp, legiuitorii nu consideră datele de Internet ca proprietatea unei persoane, deoarece acesta nu le poate controla.

Toate întrebările de interes pot fi adresate în comentariile la articol