Comentariu la Legea federală din 27 iulie 2006 N 152-FZ „Despre datele personale” Petrov Mihail Igorevici

Articolul 8. Surse de date cu caracter personal disponibile publicului

Surse de date cu caracter personal disponibile publicului

Comentariu la articolul 8

1. În sensul legii comentate, sursele de date cu caracter personal sunt recunoscute ca fiind accesibile publicului, accesul la care nu este limitat și nu necesită acordul prealabil al subiecților datelor cu caracter personal. Sursele de date cu caracter personal disponibile publicului pot fi utilizate de orice persoană la discreția sa, sub rezerva restricțiilor stabilite de legile federale cu privire la diseminarea acestor informații.

Crearea de surse de date cu caracter personal accesibile publicului se datorează necesității asistenței informaționale. O analiză a legislației actuale ne permite să observăm că sursele de date cu caracter personal disponibile publicului includ în prezent: cărți de referință, agende, enciclopedii, documente acumulate în colecții deschise de biblioteci și arhive, sisteme de informații ale autorităților de stat, autorități locale, asociații publice, organizații, de interes public sau necesare realizării drepturilor, libertăților și îndatoririlor cetățenilor. În același timp, știința și practica modernă nu au reușit încă să dezvolte criterii eficiente cu ajutorul cărora ar fi posibil să se facă o distincție clară între segmentele de informații publice și confidențiale.

Crearea de surse de date cu caracter personal accesibile publicului, care trebuie să includă numele, prenumele, patronimicul, anul și locul nașterii, adresa, numărul abonatului, informații despre profesie și alte date personale furnizate de subiectul datelor cu caracter personal, este efectuată cu acordul obligatoriu al acestuia din urmă. În plus, subiectul datelor cu caracter personal are dreptul să solicite persoanelor care difuzează astfel de informații să se indice ca sursă a acestor informații.

Utilizarea datelor cu caracter personal din surse accesibile publicului implică, la rândul său, excluderea posibilității de a obține profit.

În cazul prelucrării datelor cu caracter personal accesibile publicului, responsabilitatea de a dovedi că datele cu caracter personal prelucrate sunt disponibile publicului revine operatorului.

2. Pentru a proteja drepturile și interesele legitime ale subiectului datelor cu caracter personal, legiuitorul prevede posibilitatea revocării datelor cu caracter personal utilizate în surse disponibile publicului. Excluderea acestora poate fi efectuată atât la solicitarea subiectului datelor cu caracter personal, cât și printr-o decizie judecătorească sau un organism de stat special autorizat.

Articolul 74-1. Prelucrarea datelor cu caracter personal cu încălcarea legislației privind protecția datelor cu caracter personal (1) Nerespectarea cerințelor pentru asigurarea securității datelor cu caracter personal la prelucrarea lor în sistemele de informații cu caracter personal va duce la o amendă

Articolul 85. Conceptul de date cu caracter personal al unui angajat. Prelucrarea datelor personale ale unui angajat Datele personale ale unui angajat sunt informații solicitate de un angajator în legătură cu relațiile de muncă și referitoare la un anumit angajat.

Articolul 88. Transferul de date cu caracter personal al unui angajat La transferul de date cu caracter personal al unui angajat, angajatorul trebuie să respecte următoarele cerințe: să nu dezvăluie datele personale ale unui angajat unei terțe părți fără acordul scris al angajatului, cu excepția cazului în care cazuri în care

Articolul 5. Principiile prelucrării datelor cu caracter personal Comentariu la articolul 51. Odată cu articolul comentat, legiuitorul stabilește principiile fundamentale în lucrul cu datele cu caracter personal, a căror colectare și prelucrare se efectuează pe bază legală. Ultimul

Articolul 6. Condiții de prelucrare a datelor cu caracter personal Comentariu la articolul 61. Respectarea principiilor de prelucrare a datelor cu caracter personal prezentate în articolul anterior nu este singura condiție care garantează protecția drepturilor și intereselor legitime ale cetățenilor a căror

Articolul 7. Confidențialitatea datelor cu caracter personal Comentariul la articolul 71. Asigurarea confidențialității datelor cu caracter personal în procesul de prelucrare a acestora, împreună cu principiile stabilite de colaborare cu acestea și obținerea consimțământului pentru prelucrare este o condiție prealabilă,

Articolul 9. Consimțământul subiectului datelor cu caracter personal la prelucrarea datelor sale personale Comentariu la articolul 91. Articolul comentat definește procedura, condițiile și motivele pentru obținerea consimțământului subiectului datelor cu caracter personal la prelucrarea acestora. Legiuitorul subliniază că

Articolul 10. Categorii speciale de date cu caracter personal Comentariu la articolul 101. Articolul comentat identifică categorii speciale de date cu caracter personal și stabilește o interdicție generală privind prelucrarea acestora. O categorie specială de date cu caracter personal include informații care dezvăluie

Articolul 12. Transferul transfrontalier de date cu caracter personal Comentariu la articolul 121. Proiectul de lege definește principiile transferului transfrontalier de date cu caracter personal. Aceste principii sunt armonizate cu principalele acte juridice internaționale în domeniul datelor cu caracter personal, care

Articolul 15. Drepturile subiecților datelor cu caracter personal atunci când prelucrează datele cu caracter personal pentru a promova bunuri, lucrări, servicii pe piață, precum și în scopul campaniei politice.

Articolul 16. Drepturile subiecților datelor cu caracter personal atunci când iau decizii pe baza prelucrării exclusiv automatizate a datelor lor personale Comentariu la articolul 161. Articolul comentat definește drepturile subiecților datelor cu caracter personal în legătură cu luarea

Articolul 20. Obligațiile operatorului atunci când contactează sau primește o cerere de la subiectul datelor cu caracter personal sau de la reprezentantul său legal, precum și de la organismul autorizat pentru protecția drepturilor subiecților de date cu caracter personal Comentariu la articolul 201. Normele articol comentat în

Articolul 21. Obligațiile operatorului de a elimina încălcările legii comise în timpul prelucrării datelor cu caracter personal, precum și de a clarifica, bloca și distruge datele cu caracter personal Comentariu la articolul 211. Prevederile articolului comentat determină procedura

Articolul 22. Notificarea prelucrării datelor cu caracter personal Comentariul la articolul 221. Procedura de notificare a prelucrării datelor cu caracter personal în sensul legii comentate este una dintre garanțiile respectării drepturilor și intereselor legitime ale subiecților cu caracter personal date în

„Persoană” - date care se referă la o persoană, personalitate, organism biologic.

Ce este, cum se colectează, unde se păstrează, cum se protejează?

Este un card cu amprente date personale sau nu?

Nu există informații personale.

date cu caracter personal - orice informație referitoare la un anumit sau determinat pe baza unor astfel de informații a unei persoane (subiectul datelor cu caracter personal), inclusiv numele său de familie, prenumele, patronimicul, anul, luna, data și locul nașterii, adresa, familia, statut social, proprietate, educație, profesie, venituri, alte informații;

Adresa este înregistrarea la locul de reședință sau la locul de ședere.

Clasificarea condiționată a datelor cu caracter personal.

1) după gradul de deschidere:

date cu caracter personal accesibile publicului - date cu caracter personal, accesul unui număr nelimitat de persoane la care este furnizat cu acordul subiectului datelor cu caracter personal sau pentru care, în conformitate cu legile federale, nu se aplică cerința confidențialității.

Datele cu caracter personal disponibile publicului sunt date pentru care se acordă voluntar și se postează în domeniul public.

Adesea, unii proprietari de site-uri solicită informații de înregistrare pe care nu doresc să le furnizeze.

Informații confidențiale - informațiile sunt furnizate strict în scopuri specifice. Uneori poate fi colectat fără știrea persoanei.

Ministerul Afacerilor Interne stochează informații în centrele de informare

2) după accesoriu

- personal - aparțin de la naștere

- serviciu - în cursul muncii, serviciu - rangul clasei etc.

3) prin metoda furnizării

- informații furnizate voluntar

- furnizat în mod general în conformitate cu legea (obligatoriu)

- colectate fără consimțământul cetățeanului în conformitate cu legea

4) date prin natura lor

- biometric (informații despre amprentă)

Concepte de bază utilizate atunci când se lucrează cu date cu caracter personal.

- prelucrarea datelor cu caracter personal- acțiuni (operațiuni) cu date personale, inclusiv colectare, sistematizare, acumulare, stocare, clarificare (actualizare, modificare), utilizare, distribuire (inclusiv transfer), depersonalizare, blocare, distrugere a datelor cu caracter personal;

- diseminarea datelor cu caracter personal- acțiuni care vizează transferul de date cu caracter personal către un anumit cerc de persoane (transfer de date cu caracter personal) sau cunoașterea datelor cu caracter personal ale unui număr nelimitat de persoane, inclusiv divulgarea datelor cu caracter personal în mass-media, postarea în informații și telecomunicații rețele sau furnizarea de acces la date cu caracter personal care - în orice alt mod;

- utilizarea datelor cu caracter personal - acțiuni (operațiuni) cu date cu caracter personal efectuate de operator pentru a lua decizii sau a efectua alte acțiuni care generează consecințe juridice în legătură cu subiectul datelor cu caracter personal sau alte persoane sau care afectează în alt mod drepturile și libertățile subiectului datelor cu caracter personal sau alte persoane;

- blocarea datelor cu caracter personal- încetarea temporară a colectării, sistematizarea, acumularea, utilizarea, diseminarea datelor cu caracter personal, inclusiv transferul acestora;

Informațiile postate pe internet de multe ori nu pot fi blocate.

Majoritatea datelor cu caracter personal:

- stocate pe un computer

- postat pe internet

Este greu de controlat plasarea

- distrugerea datelor cu caracter personal- acțiuni în urma cărora este imposibil să se restabilească conținutul datelor cu caracter personal în sistemul de informații cu privire la datele cu caracter personal sau în urma cărora sunt distruși purtători tangibili de date cu caracter personal; - situații în care arhivele ardeau

anonimizarea datelor cu caracter personal

- depersonalizarea datelor cu caracter personal- acțiuni în urma cărora este imposibil să se determine apartenența datelor cu caracter personal la un anumit subiect al datelor cu caracter personal;

— sistem de informare a datelor cu caracter personal- un sistem informațional, care este o colecție de date cu caracter personal conținute într-o bază de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fără a utiliza astfel de mijloace;

— confidențialitatea datelor cu caracter personal- o cerință obligatorie pentru operator sau altă persoană care a obținut acces la date cu caracter personal pentru a preveni difuzarea acestora fără consimțământul subiectului datelor cu caracter personal sau alte motive legale;

— transfer transfrontalier de date cu caracter personal- transferul de date cu caracter personal de către operator peste granița de stat a Federației Ruse către autoritatea unui stat străin, o persoană fizică sau juridică a unui stat străin;

- date cu caracter personal accesibile publicului- date cu caracter personal, accesul unui număr nelimitat de persoane la care este furnizat cu consimțământul subiectului datelor cu caracter personal sau pentru care, în conformitate cu legile federale, nu se aplică cerința confidențialității.

Prelucrarea datelor cu caracter personal.

1) legalitatea scopurilor și metodelor de prelucrare a datelor cu caracter personal și buna-credință;

2) respectarea scopurilor de prelucrare a datelor cu caracter personal cu scopurile prestabilite și declarate în colectarea datelor cu caracter personal, precum și a competențelor operatorului;

3) corespondența cu volumul și natura datelor cu caracter personal prelucrate, metodele de prelucrare a datelor cu caracter personal în scopul prelucrării datelor cu caracter personal;

4) fiabilitatea datelor cu caracter personal, suficiența acestora în scopul prelucrării, inadmisibilitatea prelucrării datelor cu caracter personal care sunt redundante în raport cu scopurile menționate la colectarea datelor cu caracter personal;

5) inadmisibilitatea combinării bazelor de date ale sistemelor de informații cu caracter personal create în scopuri incompatibile.

Dacă o dată cineva a completat un card de amprentă, acesta se află în centrul de informații din bazele de date. De exemplu, nu putem combina bazele de date ale cetățenilor obișnuiți și ale persoanelor care au comis o infracțiune.

1) cu acordul proprietarului datelor cu caracter personal

2) fără acordul proprietarului datelor cu caracter personal.

Acest lucru se aplică persoanelor care ocupă o anumită funcție și poziție: personal militar, cadavre

Confidențialitatea datelor cu caracter personal:

Când nu este necesar:

1) în cazul anonimizării datelor cu caracter personal;

2) în legătură cu datele cu caracter personal accesibile publicului.

- operatorul care colectează și prelucrează date cu caracter personal.

- restricționați accesul în cadrul propriei organizații

Operatorul este responsabil personal pentru diseminarea datelor cu caracter personal

- stabilirea restricțiilor de acces atât în ​​incinte, cât și în rețea (sistem de acces, sistem de identificare a cardului)

Pentru rețelele locale - conectare sistem + parolă

Puteți restricționa accesul prin informații biometrice: amprentă digitală, retină.

- despre rasă

- despre punctele de vedere politice

- despre credințele religioase sau filosofice

- despre starea de sănătate

- despre viața intimă

Prelucrarea lor este posibilă numai cu acordul subiecților.

1) prezența consimțământului scris al subiectului pentru prelucrarea acestora

2) dacă subiectul datelor cu caracter personal le-a făcut publice

3) dacă aceste informații se referă la informații necesare pentru a proteja viața, sănătatea și alte interese vitale ale unei persoane

Astfel de informații pot fi furnizate în scopuri medicale și preventive - de exemplu, o infecție virală.

Particularitatea prelucrării datelor cu caracter personal în sistemele informaționale de stat sau municipale pentru prelucrarea datelor cu caracter personal.

- se aplică numai funcționarilor publici și angajaților municipali.

Organismul de stat are propriul statut, există sisteme independente de prelucrare a informațiilor despre angajații de stat sau municipali.

1) se stabilește ce informații sunt necesare în competența sa

2) există și Legea federală „Cu privire la funcția publică de stat”, adică este reglementată nu numai de legislația privind datele cu caracter personal.

Informațiile care caracterizează caracteristicile fiziologice ale unei persoane și pe baza cărora este posibil să se stabilească identitatea acesteia (date personale biometrice) pot fi prelucrate numai cu acordul scris al subiectului datelor cu caracter personal, cu excepția cazurilor următoare:

1) săvârșirea unei infracțiuni

Prelucrarea datelor personale biometrice poate fi efectuată fără acordul subiectului datelor cu caracter personal în legătură cu administrarea justiției, precum și în cazurile prevăzute de legislația Federației Ruse privind securitatea, legislația Federației Ruse privind activitățile de căutare operațională, legislația Federației Ruse privind serviciile publice și legislația penală a Federației Ruse Federația, legislația Federației Ruse privind procedura de ieșire din Federația Rusă și intrarea în Federația Rusă.

- colectarea de informații de la un suspect este ilegală

Prelucrarea informațiilor transfrontaliere.

Poate fi solicitat pentru a proteja cetățenii țării în care este transferat, este colectat numai cu acordul scris al subiectului.

Drepturile subiectului datelor cu caracter personal.

1) Dreptul subiectului datelor cu caracter personal de a accesa datele sale personale

Nu puteți apela centrul de informații al Ministerului Afacerilor Interne (centrul principal de informații și centrul de informații zonale)

2) Drepturile subiecților datelor cu caracter personal la prelucrarea datelor lor personale pentru a promova bunuri, lucrări, servicii pe piață, precum și în scopul campaniei politice

Acuratețea informațiilor va fi verificată de alții.

3) luarea deciziilor bazate exclusiv pe prelucrarea automată a datelor cu caracter personal. O persoană nu poate avea încredere în procesarea automată. Puteți solicita ca amprentele digitale să fie stocate nu numai pe computer, ci și pe hârtie.

- Codul muncii al Federației Ruse - există un capitol despre datele cu caracter personal.

LEGEA FEDERALĂ PRIVIND ÎNREGISTRAREA DACTILOSCOPICĂ DE STAT ÎN FEDERAȚIA RUSĂ din 25 iulie 1998 N 128-FZ

Datele personale disponibile publicului sunt

Date personale- orice informație legată de un anumit sau determinată pe baza acestor informații persoana naturala, inclusiv:

Numele său de familie, prenumele, patronimicul,

Anul, luna, data și locul nașterii,

Adresa, familia, socialul, starea proprietății, educația, profesia, venitul,

— celălalt informații (a se vedea FZ-152, articolul 3).

De exemplu: detaliile pașaportului, situațiile financiare, dosarele medicale, anul nașterii (pentru femei), biometrie, alte informații personale de identificare.

ÎN public surse de date personale (agende, liste și alte informații) cu acordul scris o persoană poate include numele său de familie, prenumele, patronimicul, anul și locul nașterii, adresa, numărul abonatului și alții date cu caracter personal (a se vedea FZ-152, articolul 8).

Datele personale se referă la informații cu acces limitat și trebuie să fie protejatîn conformitate cu legislația Federației Ruse. În formarea cerințelor pentru securitatea sistemelor, datele cu caracter personal sunt împărțite în 4 categorii.

Care este operatorul și subiectul datelor cu caracter personal?

Operator de date cu caracter personal- este, de regulă, o organizație sau, mai degrabă, un stat sau un organism municipal, o persoană juridică sau fizică, organizează și (sau) efectuează prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării de date cu caracter personal.

Persoana vizată Este un individ.

Operatorul este responsabil pentru protejarea datelor cu caracter personal ale subiectului în conformitate cu legislația actuală a Federației Ruse.

Cum se clasifică sistemul de informații cu caracter personal?

De atribuit tipic este necesar un sistem de informații cu caracter personal (ISPDN) pentru o anumită clasă:

II. Defini volum date cu caracter personal prelucrate în sistemul informațional:

volumul 3- sistemul informațional prelucrează simultan datele mai puțin de 1000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal într-o anumită organizație;

volumul 2 de la 1.000 la 100.000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal care lucrează în industria economiei Federației Ruse, într-o autoritate publică cu reședința în municipiu;

volumul 1- sistemul informațional prelucrează simultan datele cu caracter personal peste 100.000 de subiecți date cu caracter personal sau date cu caracter personal ale subiecților datelor cu caracter personal din cadrul entității constitutive ale Federației Ruse sau ale Federației Ruse în ansamblu;

III. Pe baza rezultatelor analizei datelor inițiale tipic ISPD primește una dintre următoarele clase(Vezi tabelul):

Clasa 4 (K4) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 3 (K3) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

Clasa 2 (K2) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 1 (K1) - sisteme de informații pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal.

Doomsday a fost amânată până la 1 ianuarie 2011

Sistemele de informații cu caracter personal create înainte de intrarea în vigoare a Legii federale a Federației Ruse nr. 152 „Cu privire la datele cu caracter personal” trebuie să fie aduse în conformitate cu cerințele acestei legi federale până cel târziu la 1 ianuarie 2010 (a se vedea FZ-152 , Articolul 25).

Aceasta înseamnă că operatorii de date cu caracter personal care nu au respectat cerințele foarte stricte ale FZ-152, începând cu 1 ianuarie 2010, vor suporta drepturile civile, administrative, disciplinare și poate (Doamne ferește) și penale. responsabilitate .

Toate sistemele de informații care au fost deja puse în funcțiune după februarie-aprilie 2008 (de la expedierea documentelor metodologice de către FSTEC din Rusia și FSB din Rusia), dar care nu îndeplinesc cerințele legislației rusești în domeniul datelor cu caracter personal, poate suporta această responsabilitate mai devreme, de exemplu, mâine dimineață ...

Notă. Modificările aduse Codului penal al Federației Ruse, care înrăutățesc semnificativ răspunderea pentru încălcările care afectează viața privată, vor intra, de asemenea, în vigoare la 1 ianuarie 2010.

Dar, ca întotdeauna, operatorii de date cu caracter personal nu s-au mișcat prea mult și puțini oameni au reușit să facă tot ce era necesar. La 16 decembrie 2009, Duma de Stat a adoptat în a treia lectură amendamentele la articolele 19 și 25 din Legea privind datele cu caracter personal (152-FZ). Termenul limită pentru aducerea sistemelor de informații cu caracter personal (ISPDN) în conformitate cu această lege a fost amânat cu un an - până la 1 ianuarie 2011. În plus, legea a exclus regula care obligă operatorul să utilizeze mijloace de criptare (criptografice) pentru a proteja date la prelucrarea datelor cu caracter personal.

Cerințe obligatorii pentru protecția sistemelor de informații cu caracter personal

Principalele cerințe obligatorii pentru organizarea unui sistem de securitate a informațiilor, în funcție de clasa unui ISPD tipic:

Pentru ISPD clasa 4:

Lista măsurilor pentru protecția datelor cu caracter personal este determinată de operator (în funcție de posibilele daune)

Pentru ISPD clasa 3:

Declaratie de conformitate sau

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale (pentru sistemele distribuite ISPDN K3)

Pentru ISPD clasa 2:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale pentru sistemele distribuite

Pentru ISPD clasa 1:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Ar trebui puse în aplicare măsuri pentru protejarea datelor cu caracter personal de PEMIN

Obținerea unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale

Procedura de protecție a sistemului de informații cu caracter personal

Succesiunea acțiunilor la îndeplinirea cerințelor legislației privind prelucrarea datelor cu caracter personal:

1) Notificare către organismul autorizat pentru protecția drepturilor subiecților datelor cu caracter personal cu privire la intenția lor de a prelucra date cu caracter personal folosind instrumente de automatizare;

2) Ancheta pre-proiectare a sistemului informațional - colectarea datelor inițiale;

3) Clasificarea sistemului de prelucrare a datelor cu caracter personal;

4) Construirea unui model privat de amenințări pentru a determina relevanța acestora pentru sistemul informațional;

5) Dezvoltarea unei misiuni tehnice private pentru un sistem de protecție a datelor cu caracter personal;

6) Proiectarea unui sistem de protecție a datelor cu caracter personal;

Responsabilitatea pentru încălcările prelucrării datelor cu caracter personal

Persoanele vinovate de încălcarea cerințelor Legii federale 152-FZ „privind datele cu caracter personal” sunt:

- penal (a se vedea Codul penal al Federației Ruse, articolele 137, 140, 155, 183, 272, 273, 274, 292, 293),

Administrativ (a se vedea Codul Federației Ruse privind infracțiunile administrative, articolele 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinar (a se vedea Codul muncii al Federației Ruse, articolul 81; articolul 90; articolul 195; articolul 237; articolul 391)

și alte răspunderi stipulate de legislația Federației Ruse (a se vedea regulamentul privind lucrul cu date cu caracter personal care sunt publicate în entitățile constitutive ale Federației Ruse, departamente și organizații).

FSTEC- Serviciul federal pentru controlul tehnic și al exporturilor.

PEMIN- Emisiile electromagnetice false și îndrumarea

Protecția informațiilor personale

În decembrie 2014, Duma de Stat în a treia lectură a adoptat un proiect de lege privind stocarea datelor cu caracter personal ale cetățenilor prelucrate pe internet pe serverele din Rusia. Potrivit lui Roman Chuichenko, membru al Comisiei pentru politica de informare, principalul obiectiv al proiectului de lege este consolidarea securității informației a țării și a cetățenilor săi. Această măsură a fost luată în legătură cu complicația situației internaționale. Acest proiect de lege va intra în vigoare la 1 septembrie 2015.

Intrarea în vigoare a noului regulament privind protecția datelor cu caracter personal presupune furnizarea de către operator a datelor cu caracter personal:

• detectarea în timp util a accesului neautorizat la PD;
• prevenirea impactului asupra mijloacelor tehnice care efectuează procesarea automată a PD;
• capacitatea de a răspunde rapid la accesul neautorizat și de a restabili imediat PD în caz de distrugere sau modificare a acestora;
• monitorizarea constantă a nivelului de protecție a datelor cu caracter personal.

Categorii de date cu caracter personal

Prelucrarea ISPD poate fi efectuată și în funcție de parametrul „volumul de date cu caracter personal prelucrate”, care presupune numărul de subiecți prelucrați în sistemul informațional și poate lua următoarele valori:

• prelucrarea simultană a peste 100 de mii de subiecți PD (efectuată atât în ​​cadrul entității constitutive ale Federației Ruse, cât și în Federația Rusă în ansamblu);
• prelucrarea simultană a datelor cu caracter personal de la 1 la 100 de mii de subiecți (efectuată în autoritatea de stat care lucrează în domeniul economiei Federației Ruse);
• prelucrarea simultană a datelor cu caracter personal de mai puțin de o mie de subiecți (efectuată în cadrul unei organizații specifice).

Împărțirea în categorii permite nu numai determinarea clasei ISPD, ci și stabilirea unui set de măsuri pentru a asigura securitatea și protecția datelor cu caracter personal pe Internet, atunci când sunt prelucrate în sistemele de informații.

Date personale ale angajaților

Fiecare angajat are dreptul să-și protejeze datele personale (clauza 9 a articolului 86 din Codul muncii al Federației Ruse).

În conformitate cu art. 89 din Codul muncii al Federației Ruse, fiecare angajat își poate exercita dreptul la protecția și protecția datelor cu caracter personal prin următoarele acțiuni:

• acces gratuit gratuit la datele dvs. personale, inclusiv obținerea unei copii a oricărei înregistrări care conține datele personale ale angajatului;
• determinarea unui reprezentant personal pentru a-și proteja datele personale;
• obținerea de informații complete despre PD și prelucrarea acestora;
• solicitarea excluderii sau corectării datelor cu caracter personal care conțin informații incorecte sau, dacă au fost prelucrate cu încălcarea cerințelor legale;
• contestați în instanță acțiunile ilegale ale angajatorului, precum și inacțiunea acestuia în prelucrarea și protecția datelor cu caracter personal.

Compoziția datelor personale ale angajatului

Pe baza clauzei 2 a articolului 86 din Codul muncii al Federației Ruse, volumul și conținutul datelor personale ale angajatului sunt determinate de angajator în conformitate cu Constituția Federației Ruse, Codul muncii și alte legi federale. De regulă, activitatea oricărei organizații implică utilizarea a două tipuri principale de documente de către angajator în fluxul de lucru:

1. Documente furnizate de angajat la încheierea unui contract de muncă (articolul 65 din Codul muncii al Federației Ruse). Această categorie include documente care conțin o fotografie a unui angajat, numele complet, informații despre locul și data nașterii, cetățenia, starea civilă, locul de înregistrare, educație, specialitate (pașaport, certificat de asigurare de asigurare de pensie de stat, carte de identitate militară etc.) ).
2. Documente generate de angajator în mod independent (documentația contabilă primară pentru contabilizarea forței de muncă și plata acesteia). Această categorie include comenzi sau ordine de admitere a unui angajat, încetarea unui contract de muncă, stimulente pentru un angajat, un card personal, documente privind remunerația.

Protecția datelor cu caracter personal, răspunderea pentru încălcarea legii

Rețineți că unele sancțiuni pentru încălcarea anumitor infracțiuni se aplică atât persoanelor fizice și funcționarilor, cât și persoanelor juridice.

În conformitate cu articolul 150 din Codul civil al Federației Ruse, inviolabilitatea vieții private, a secretelor personale și de familie se numără printre drepturile intangibile inalienabile protejate de legile aplicabile.

Rețineți că drepturile și obligațiile unui angajat, care sunt direct legate de datele personale ale altor angajați, sunt determinate de termenii contractului de muncă și de compoziția actelor juridice de reglementare locale care stabilesc funcțiile de muncă ale angajatului și lista acestuia sarcinile de serviciu.

Responsabilitatea administrativă încălcarea procedurii de colectare, stocare și distribuire a datelor cu caracter personal implică un avertisment sau o amendă în valoare de: de la 300 la 500 de ruble - pentru persoane fizice; de la 500 la 1000 de ruble - pentru funcționari, de la 5 la 10 mii de ruble - pentru persoanele juridice (articolul 13.11 din Codul administrativ al Federației Ruse). Responsabilitatea administrativă pentru diseminarea informațiilor protejate de lege, în îndeplinirea sarcinilor oficiale și profesionale, implică o amendă în cuantum de: de la 500 la 1000 de ruble - pentru persoane fizice, de la 4 la 5 mii de ruble - pentru funcționari (articolul 13.14 din Codul contravențional al Federației Ruse) ...

Încălcarea inviolabilității vieții private, în special a datelor cu caracter personal, de către o persoană care își folosește funcția oficială prevede pedeapsa sub forma:

• o amendă în valoare de 100 până la 300 de mii de ruble, salarii sau alte venituri ale infractorului în termen de 1-2 ani;
• privarea de dreptul de a ocupa anumite funcții pe o perioadă de 2 până la 5 ani;
• arest pentru o perioadă de 4 până la 6 luni.

Confirmarea permisiunii de prelucrare a datelor cu caracter personal este cerută acum la încheierea contractelor, completarea chestionarelor, înregistrarea pe site-uri. Majoritatea cetățenilor sunt de acord în mod automat, deși informațiile personale despre o persoană aflată în mâinile unor persoane fără scrupule sunt o armă puternică și periculoasă. Articolul vorbește despre ceea ce trebuie să știți despre datele personale, oferind acces la terțe părți.

Date personale: ce este, cadru de reglementare

Statul reglementează domeniul datelor cu caracter personal printr-o serie de reglementări. Baza este Constituția Federației Ruse, baza este Legea federală nr. 152 din 27 ianuarie 2006. Legea explică ce sunt datele cu caracter personal, la ce se referă. Acest termen înseamnă informații care caracterizează direct sau indirect subiectul PD - o persoană. În termeni simpli, ele pot fi utilizate pentru a determina cu exactitate că vorbim despre o anumită persoană.

Există o mențiune indirectă a datelor cu caracter personal în Constituția Rusiei. Articolele 23-24 din legea de bază conferă cetățenilor dreptul la viață privată, inviolabilitate și protecție. Tot ceea ce este inclus în conceptul de date cu caracter personal aparține doar purtătorului lor și nu poate fi controlat de guvern sau de terți. Cetățenii înșiși sunt liberi să dispună de aceste informații, să împiedice difuzarea acestora sau, dimpotrivă, să le transmită altora. Statul, la rândul său, garantează și protejează această oportunitate.

Legea federală nr. 152 stabilește cine are dreptul să utilizeze alte date cu caracter personal decât operatorul său de transport, în ce condiții, în funcție de ce reguli. Doar operatorii cu permisiunea sa pot primi și prelucra informații personale despre subiect. Un cetățean semnează un acord pentru a verifica PD atunci când face cereri de împrumut, completează chestionare sau solicită un loc de muncă.

Operatorii au acces la cantitatea de date de care au nevoie pentru a-și rezolva sarcinile. Nu li se permite să le stocheze și să le utilizeze după ce obiectivul a fost atins. De exemplu, angajatorul trebuie să distrugă înregistrările, chestionarele - tot ceea ce se referă la datele personale ale angajatului după concediere. În caz contrar, există o amenințare de responsabilitate pentru

Toate persoanele juridice și persoanele fizice trebuie să respecte prevederile Legii federale nr. 152. Se aplică reguli speciale atunci când PD:

1. primiți pentru nevoi personale sau familiale, dacă acest lucru nu încalcă drepturile a 3 persoane;
2. cuprinse în documente de arhivă;
3. constituie un secret de stat;
4. colectate printr-un act judiciar.

Alte acte legislative clarifică dispozițiile privind PD în raport cu diferite situații, introduc un sistem și clasificarea echipamentelor de protecție. De exemplu, capitolul 14 din Codul muncii al Federației Ruse dezvăluie conceptul de date personale ale unui angajat. Acestea sunt informații care ne permit să îl caracterizăm ca angajat al unei anumite organizații (salariu, vechime în serviciu, calificări, informații de la Serviciul Fiscal Federal și Fondul de Pensii din Rusia etc.), calitățile sale comerciale. Acestea ar trebui utilizate și depozitate pentru a asista angajatul în îndeplinirea sarcinilor sale de muncă, pentru a spori experiența și cunoștințele, promovarea, pentru a proteja personalul și proprietățile companiei.

Clasificarea datelor cu caracter personal

Legea federală nr. 152 identifică mai multe tipuri de date cu caracter personal. Le puteți aranja în funcție de gradul de „secret”, de dificultatea de colectare și utilizare de către terți:

• impersonal;
• general;
• biometric;
• special.

Date personale generale

Datele personale generale sunt informații de bază despre o persoană. Acestea includ:

Prelucrarea datelor cu caracter personal în organizație

Scopul procesării PD într-o organizație este de a formaliza o relație de muncă cu un angajat. Angajatorul nu are dreptul să încheie un contract de muncă fără acordul semnat pentru prelucrarea PD. Citiți mai multe în acest sens

• locul de înregistrare și de reședință;
• date pașaport;
• educaţie;
• Detalii de contact;
• informații despre lucrare;
• venituri etc.

Nu toate în mod individual pot fi atribuite PD. De exemplu, legea nu definește exact, eu este numărul de telefon al datelor personale... Roskomnadzor, ca răspuns la apelurile cetățenilor, a explicat că este imposibil să se identifice cu exactitate o persoană numai după număr. În sine, nu este personal, ci împreună cu numele proprietarului și orașul de reședință se referă la PD. Prin urmare, trimiterea nepersonalizată a mesajelor SMS nu este considerată o încălcare a Legii federale nr. 152.

PD-urile generale sunt conținute în pașaport, carte de identitate militară, diplomă, card personal de angajat, carte de muncă etc. Nu este necesară permisiunea scrisă pentru a obține aceste date, ci mai degrabă indirectă, de exemplu, o bifă opusă articolului corespunzător din chestionarul online. Simplitatea relativă a accesului aduce deseori probleme subiecților PD - cetățeni obișnuiți: de la publicitate intruzivă la șantaj și contrafacere a cererilor de împrumut.

Viața personală a unui cetățean, care include, de asemenea, diverse tipuri de secrete (medicale, fiscale, secrete de adopție și altele), este protejată împotriva divulgării prin articolul 137 din Codul penal al Federației Ruse. Puteți citi mai multe în acest sens.

PD biometric

Datele biometrice sunt caracteristicile fiziologice și biologice ale unui subiect: amprente, grupa de sânge, înălțime, culoarea ochilor, greutate, analiza ADN etc. Acestea includ informații care pot fi obținute dintr-o fotografie sau un videoclip cu o persoană. PD biometrice sunt deseori necesare pentru tratament sau angajare în agențiile guvernamentale, eliberarea pașapoartelor și vizelor străine.

PD special

Rasa și naționalitatea, religia, credințele filosofice, starea de sănătate, convingerile, viața intimă, preferințele sexuale sunt clasificate ca date speciale. Sunt conținute în certificate medicale, fișiere personale etc.

AP-urile speciale sunt necesare pentru a participa la activități politice, pentru a se alătura forțelor armate. Terțele persoane pot accesa aceste date numai cu permisiunea subiectului.

De ce ai nevoie de o lege a datelor cu caracter personal? Vedeți răspunsul în videoclip:

PD depersonalizat

PD anonimizat este disponibil oricărei persoane interesate. Sursele de informații pot fi:

• agende de adrese;
• carti de referinta;
• registre;

Informațiile disponibile public care sunt considerate date cu caracter personal sunt, de exemplu, veniturile politicienilor, reprezentanților autorităților federale sau municipale, ale funcționarilor în funcții de conducere.

În noiembrie 2016, prima ședință a grupului de lucru al Administrației prezidențiale a Federației Ruse privind problema utilizării prevederilor Legii federale nr. 152 la așa-numita Date mare... Acestea sunt datele care vin de la utilizator la rețea: adresa IP, formularele de autorizare, istoricul browserului, informațiile pe care gadgeturile și aparatele electrocasnice inteligente le acumulează despre proprietar.

Big Data, pe de o parte, indică direct sau indirect o persoană, adică intră sub definiția PD. În același timp, legiuitorii nu consideră datele de Internet ca proprietatea unei persoane, deoarece acesta nu le poate controla.

Toate întrebările de interes pot fi adresate în comentariile la articol

Datele anonimizate includ:

• Numele, prenumele și patronimicul;
• Porecla / autentificarea subiectului pe Internet;
• Adresa de e-mail (fără referire la numele complet);
• Poziția, locul de muncă (fără informații despre datele personale).

Datele publice includ informații despre subiect, care pot fi obținute din surse deschise de informații, de exemplu, în agenda telefonică sau agenda. Astfel de baze de date accesibile publicului sunt introduse cu acordul scris al subiectului. : caracteristici Particularitatea datelor cu caracter personal accesibile publicului este că acestea pot fi plasate în surse deschise de informații. Adică, dacă directorul de contact al organizației conține informații de contact pentru oficiali, de exemplu, cei implicați în instruirea și angajarea personalului, atunci aceste informații sunt considerate disponibile publicului.

Conceptul și tipurile de date cu caracter personal

Codul muncii al Federației Ruse). Prelucrarea datelor cu caracter personal înseamnă diverse operațiuni prevăzute de legislația Federației Ruse. Tipurile de procesare PD includ colectarea, sistematizarea, acumularea, stocarea, actualizarea, utilizarea, depersonalizarea, distrugerea, care se efectuează conform procedurilor stabilite prin acte normative.

Operațiunile cu date cu caracter personal pot fi efectuate de către organele statale, federale, municipale și organizațiile care au un astfel de drept în funcție de statut. Toate PD sunt împărțite în următoarele secțiuni:

• Date personale disponibile publicului;
• Date cu caracter personal speciale;
• Date personale biometrice.

La formarea sistemelor de informații cu caracter personal (ISPD), se recomandă să fie ghidat de Ordinul FSTEC, FSB și Ministerul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse nr. 55/86/20 din 13.
02.

Date personale disponibile publicului

Utilizarea necorespunzătoare a acestor informații este pedepsită de lege. Legea privind protecția datelor cu caracter personal are grijă nu numai de persoane fizice, ci și de persoane juridice.

Atenţie

Puțini oameni vor dori dacă informațiile despre starea financiară sau despre datele angajaților companiei sunt disponibile pentru toată lumea. Acest lucru ar simplifica foarte mult viața fraudatorilor, pe care nici cetățenii obișnuiți, nici ofițerii de aplicare a legii nu o doresc.

Ce date sunt considerate personale prin lege? Legea nu oferă o listă clară de informații personale. Conţinut:

• Date personale disponibile publicului
• Articolul 8.

Datele personale disponibile publicului sunt

De exemplu, legea nu specifică exact dacă un număr de telefon reprezintă date personale. Roskomnadzor, ca răspuns la apelurile cetățenilor, a explicat că este imposibil să se identifice cu exactitate o persoană numai după număr.

În sine, nu este personal, ci împreună cu numele proprietarului și orașul de reședință se referă la PD. Prin urmare, trimiterea nepersonalizată a mesajelor SMS nu este considerată o încălcare a Legii federale nr. 152.

PD-urile generale sunt conținute în pașaport, carte de identitate militară, diplomă, card personal de angajat, carte de muncă etc. Nu este necesară permisiunea scrisă pentru a obține aceste date, ci mai degrabă indirectă, de exemplu, o bifă opusă articolului corespunzător din chestionarul online.
Simplitatea relativă a accesului aduce deseori probleme subiecților PD - cetățeni obișnuiți: de la publicitate intruzivă la șantaj și contrafacere a cererilor de împrumut.

Ce date personale sunt considerate disponibile publicului

De exemplu, următoarele:

• necesitatea păstrării copiilor de rezervă ale întregii baze de date;
• este nevoie de un specialist care să se ocupe de administrarea sistemului informațional;
• vor exista cheltuieli pentru hardware și software special concepute;
• angajatul care prelucrează datele cu caracter personal trebuie să fie extrem de alfabetizat.

Ce metode sunt folosite pentru a proteja eficient informațiile personale ale angajaților?

• Faceți locurile în care datele personale sunt prelucrate închise complet pentru accesul altor angajați.
• Angajații trebuie să obțină permisiunea specială pentru a primi orice informații.
• Stocarea datelor ar trebui să fie clar organizată.

Având în vedere prezența atât a dezavantajelor, cât și a avantajelor fiecăreia dintre metode, de regulă, angajatorii le combină.

Articolul 8. Surse publice de date cu caracter personal

Salariul nu poate fi un secret comercial datorită faptului că aparține sistemului de remunerare a muncii. Dar acest lucru nu îl exclude din lista PD, pentru a cărui distribuție un angajat poate fi concediat conform Codului muncii.

Și dacă angajatul începe să conteste această decizie în instanță, atunci angajatorul este obligat să demonstreze că informațiile dezvăluite se referă la un secret, a cărui informație angajatul s-a angajat să nu le divulge nimănui. înapoi la conținut Tipuri Tipuri de date cu caracter personal pot fi clasificate după:

• Conținutul conținut în acestea:
• Categoria, care include lista specificată la articolul 10: rasă, naționalitate, religie, sănătate, viață personală, credințe politice. În același timp, conform FZ-152, există restricții aici, și anume, accesul poate fi efectuat numai cu permisiunea scrisă a proprietarului.

Datele cu caracter personal sunt sau nu?

Important

În scopul sprijinirii informațiilor, pot fi create surse de date cu caracter personal disponibile publicului (inclusiv directoare, agende). Cu acordul scris al subiectului datelor cu caracter personal, sursele de date cu caracter personal disponibile publicului pot include numele, prenumele, patronimicul, anul și locul nașterii, adresa, numărul abonatului, informații despre profesie și alte date personale raportate de către subiectul datelor cu caracter personal.

(modificat prin Legea federală din 25.07.2011 N 261-FZ) (a se vedea textul din ediția anterioară) 2. Informațiile despre subiectul datelor cu caracter personal trebuie excluse din sursele de date cu caracter personal disponibile publicului în orice moment, la cererea subiectul datelor cu caracter personal sau printr-o hotărâre judecătorească sau alte organisme de stat autorizate. (modificată prin Legea federală din 25.07.2011 N 261-FZ) (a se vedea.
Conţinut

• Biometric. Caracterizați fiziologia.
• Nu biometric. Date care nu sunt biometrice.

Tipuri de date cu caracter personal În ce tipuri sunt împărțite datele cu caracter personal? Ce îi preocupă? Este important să înțelegem că toate informațiile stocate în întreprindere în legătură cu un anumit angajat pot fi vizualizate din două puncte de vedere diferite.

• Date privind starea civilă și familia angajatului (membrii individuali ai acestuia), și anume: prezența persoanelor aflate în întreținere, prezența copiilor, vârsta și numărul acestora și starea de sănătate.
• Informații despre un anumit angajat, și anume: numele (pașaportul), profesia, starea de sănătate, precum și orice circumstanțe speciale.

Șeful întreprinderii este obligat să formeze un act juridic de reglementare cu semnificație locală, care are în vedere procedura de determinare a stocării datelor cu caracter personal.

Datele cu caracter personal disponibile public ceea ce se referă la acestea

Responsabilitatea divulgării Este important să se ia în considerare faptul că 152 din Legea federală „privind protecția datelor cu caracter personal” prevede doar responsabilitatea administrativă a întreprinderii pentru divulgarea datelor cu caracter personal ale unui angajat. Aceasta înseamnă că, dacă o organizație nu este în măsură să garanteze angajaților săi protecția absolută a informațiilor lor personale, atunci o așteaptă doar o amendă. Mai mult, cantitatea de pedeapsă monetară pentru stocarea incorectă a datelor cu caracter personal este absolut ridicolă. În general, acestea variază de la cinci la zece mii de ruble. Desigur, acesta este cazul dacă vorbim doar despre plăți unice. De regulă, la întreprinderile unde există astfel de probleme, există încălcări multiple, ceea ce înseamnă că valoarea amenzii crește semnificativ. Cu toate acestea, costul banilor nu este cea mai importantă consecință a faptului că utilizarea datelor cu caracter personal se face în mod greșit. Acest lucru dăunează grav reputației companiei.
De exemplu, următoarele:

• disponibilitatea resurselor de stocare suplimentare, cum ar fi camere speciale, echipamente, seifuri și așa mai departe;
• intensitatea muncii procesului;
• sunt necesare abilități speciale pentru a menține documentația pe hârtie.

Uneori, departamentele de resurse umane preferă să stocheze informații despre un angajat separat (în diferite dosare tematice). Deci, toate contractele de muncă, chestionarele și alte documente pentru toți angajații sunt stocate separat. Sunt numerotate pentru o căutare mai ușoară. Această metodă necesită mai puțină muncă decât cea descrisă mai sus și nu necesită abilități speciale de la un angajat în resurse umane. Cu toate acestea, nu este lipsit de dezavantajele sale.
Notificare cu privire la prelucrarea datelor cu caracter personal Este o greșeală foarte frecventă ca operatorii să facă o notificare cu privire la prelucrarea datelor cu caracter personal atunci când a fost posibil să nu o facă. Și dacă decideți să anunțați Roskomnadzor, iată câteva recomandări:

• Citiți cu atenție partea 2 a articolului 22 din Legea federală a Federației Ruse din 27.07.2006.

  152-"З „Despre datele cu caracter personal”.

• Aruncați o privire asupra datelor procesate de dvs. Unele cazuri vă vor impune să vă ajustați cu purtătorii PD.

Unul dintre motivele pentru care nu puteți notifica despre procesarea PD este indicat în clauza 2 a părții 2 a articolului 22 din Legea federală și arată astfel: Luați, ca exemplu, stabilirea unei relații de afaceri cu o persoană pentru a efectua o serviciu.

Pentru a clarifica faptul că totul este gata și că nu a trebuit să parcurgeți câteva zeci de kilometri, maestrul criminalist a luat numărul dvs. de telefon pentru a anunța vestea bună.

Prin postarea de informații despre ei înșiși pe rețelele de socializare, nu toți cetățenii noștri înțeleg că acestea pot fi folosite pentru a-și compila profilul. Colectarea și prelucrarea acestor informații a fost implicată activ de către Biroul Național de Istorii ale Creditelor SA (NBKI).

În mai 2017, Curtea de Arbitraj din Moscova a examinat cazul nr. А40-5250 / 17, în care instanța trebuia să evalueze legalitatea prelucrării acestor date cu caracter personal.

Esența disputei

În august 2016, Administrația Roskomnadzor pentru districtul federal central a efectuat o inspecție programată la fața locului a Biroului Național de Istorii ale Creditelor SA (NBKI) în ceea ce privește conformitatea activităților de prelucrare a datelor cu caracter personal cu cerințele legale.

Pe baza rezultatelor inspecției, a fost întocmit un raport de inspecție și a fost emis un ordin de eliminare a încălcării identificate.

Luând în considerare prescripția privind necesitatea de a include în notificarea organismului autorizat datele persoanelor fizice (clienți sau potențiali clienți ai unei organizații financiare) din surse deschise de informații transmise unei organizații financiare, obținute utilizând serviciul Double Data Social Link - un web link, un rezultat al căutării despre un client sau potențial client și serviciul Double Data Social Attributes - procesarea profilului persoanei dorite în surse deschise de informații (paragraful 1), precum și în ceea ce privește indicarea unei încălcări a cerințelor din legea sub forma lipsei consimțământului pentru prelucrarea celor conținute în surse deschise (rețele sociale: VKontakte, Odnoklassnyi, MoiMir, Instragram, Twitter; portaluri de internet Avito și Avto.ru) date personale ale unui client sau ale unui potențial client unei instituții financiare, ca parte a furnizării unui serviciu bazat pe serviciul „big data” ( acestea. Date mare) - ilegală și care încalcă drepturile și interesele legitime ale societății în domeniul activităților antreprenoriale și a altor activități economice, aceasta din urmă a depus o cerere la o instanță de arbitraj.

Poziția Curții de Arbitraj din Moscova

În ceea ce privește cazul de față, instanța a menționat că prelucrarea datelor cu caracter personal este permisă, în special în următoarele cazuri:

• Prelucrarea PD se efectuează cu acordul PD sub rezerva prelucrării datelor sale personale (clauza 1, partea 1);
• Prelucrarea datelor cu caracter personal se efectuează, accesul unui număr nelimitat de persoane la care este furnizat de către subiectul PD sau la cererea acestuia (date personale făcute de subiectul PD disponibil public) (clauza 10, partea 1);

Astfel, vorbind despre datele cu caracter personal puse la dispoziția publicului de către subiectul PD, sunt necesare două condiții:

• Datele personale sunt disponibile unui cerc nedefinit de persoane;
• Date personale furnizate direct de subiect.

Fără consimțământul scris al subiectului PD, nu este posibil să se pretindă că le-au fost furnizate.

Potrivit instanței, datele cu caracter personal făcute de un subiect PD public pot fi conținute numai în surse PD publice.

Instanța a concluzionat că informațiile despre subiect (inclusiv datele cu caracter personal) conținute în rețelele de socializare (pe internet) nu pot fi atribuite PD făcute de subiect disponibile public, deoarece rețelele sociale nu sunt o sursă de PD disponibil publicîn raport cu prevederile articolului 8 din lege.

Instanța a mai menționat că informațiile postate de proprietarii săi pe internet într-un format care permite prelucrarea automată fără modificări prealabile de către o persoană în scopul reutilizării acesteia sunt informații publice publicate sub formă de date deschise (articolul 7 din Legea federală din 27.07.2006 nr. 149-FZ „Despre informații, tehnologia informației și protecția informației”).

Comentariul meu: Ei bine, aici instanța este ușor „îndoită”; datele deschise provin dintr-o operă complet diferită!

Instanța a concluzionat că datele cu caracter personal prelucrate de NBKI SA în rețelele sociale nu au fost puse la dispoziția publicului de către subiectul PD și, prin urmare, acțiunile reclamantului sunt considerate încălcări ale articolului 22 partea 3 și ale articolului 6 al clauzei 1 din partea 1 a Legea federală din 27.07.2006 nr. 152-FZ „Cu privire la datele cu caracter personal”.

Curtea de arbitraj a refuzat în totalitate să satisfacă cererea SA NBKI de invalidare a clauzelor 1 și 4 din instrucțiunile administrației Roskomnadzor pentru districtul federal central.

Poziția celei de-a noua curți de apel de arbitraj

Curtea de apel de nouă arbitră din iulie 2017 a menționat că compania a fost înscrisă în registrul operatorilor angajați în prelucrarea datelor cu caracter personal sub numărul 08-0031682.

Ca parte a acestui tip de activitate, compania prelucrează datele personale ale clienților, potențiali clienți ai instituțiilor financiare, conținute în surse deschise (rețele sociale: VKontakte, Odnoklassniki, MoiMir, Instragram, Twitter; portaluri de internet Avito și Avto.ru). Publicul nu are consimțământul clienților de a prelucra astfel de date.

Compania consideră că are dreptul de a prelucra date cu caracter personal despre persoane fără consimțământul acestora. Potrivit instanței, compania nu a ținut cont de următoarele.

Potrivit Curții de Apel, datele personale procesate de companie și conținute în surse deschise (rețele sociale: VKontakte, Odnoklassniki, MoiMir, Instragram, Twitter; portalurile de internet Avito și Avto.ru) nu sunt disponibile publicului. În sensul Legii cu privire la datele cu caracter personal, plasarea datelor cu caracter personal în aceste surse deschise nu le pune automat la dispoziția publicului. Prin urmare, prelucrarea acestor date nu este permisă fără acordul subiectului.

Curtea de Apel a Noua Arbitrare a confirmat decizia Curții de Arbitraj din Moscova, iar recursul a fost respins.

Curtea de arbitraj a districtului Moscovaîn noiembrie 2017, el a rămas neschimbat, decizia Curții de Arbitraj din orașul Moscova și decizia Curții de Apel a Noua Arbitrare, iar recursul de casare a fost respins.

Poziția Curții Supreme a Federației Ruse

În ianuarie 2018, un judecător al Curții Supreme a Federației Ruse (hotărârea nr. 305-KG17-21291) a refuzat către Biroul Național de Istorii ale Creditelor SA, transferând apelul de casare pentru examinare în sesiunea judecătorească a Colegiului Judiciar pentru Economie. Disputele Curții Supreme a Federației Ruse.

Comentariul meu: Prelucrarea informațiilor din rețelele sociale este o metodă larg răspândită de colectare și analiză a informațiilor despre oameni și organizații, iar acum doar leneșii nu sunt angajați în colectarea unor astfel de informații despre clienții și contrapartidele lor. Adevărul dur al vieții este că cei care nu își verifică potențialii angajați, clienți și contrapartide în acest mod nu își fac diligența. Cei care sunt mai vicleni încearcă să vorbească mai puțin despre asta publicului și, dacă este posibil, să nu spună cuvântul „date personale”.

Colectarea de informații despre cetățeni atrage inevitabil problema legalității unor astfel de acțiuni, întrucât orice informații despre cetățeni sunt datele lor personale.

Aș dori să menționez că, indiferent de instrucțiunile emise de Roskomnadzor, dacă primirea unor astfel de informații permite organizațiilor comerciale să reducă în mod serios riscurile de pierderi financiare, prelucrarea acestora va continua oricum. Ei bine, poate avocații care vin cu o „acoperire” legală pentru această activitate vor câștiga ceva mai mulți bani :)