In de arbeidscode van de Russische Federatie is er een term als 'persoonlijke informatie van een werkende persoon'. Gegevens over het operationele contingent moeten aan de werkgever worden verstrekt.
Na het onderzoeken van persoonlijke informatie, maakt de werkgever een oordeel over het nemen van een persoon naar het bedrijf.
De informatie die een persoon over zichzelf presenteert, moet worden beschermd. Verspreiden is verboden.
Beste lezers! Onze artikelen vertellen over typische manieren om juridische problemen op te lossen, maar elke zaak is uniek.
Als u wilt weten hoe u uw probleem precies kunt oplossen, bel dan, het is snel en gratis!
Persoonlijke informatie over werknemers moet worden ontwikkeld.
De werkgever hanteert de volgende vereisten voor de persoonlijke gegevens van werkende personen:
Bij het communiceren van informatie over werknemers moet de directeur van de onderneming de volgende regels naleven:
Een werkend contingent heeft het recht om:
De volgende soorten verwerking van persoonsgegevens worden onderscheiden:
Deze verwerking wordt uitgevoerd met behulp van een speciale computertechnologie. De meest voorkomende computermachines kunnen zijn:
De meest gedetailleerde beschrijving van niet-geautomatiseerde verwerking is vastgelegd in overheidsbesluit nummer 687.
Distributie, studie en verwijdering van informatie over het werkende contingent moet worden uitgevoerd met een deel van een persoon, niet met computertechnologie.
Dankzij het informatiesysteem worden speciale categorieën persoonlijke gegevens over het operationele contingent verwerkt. Dit systeem verwerkt gegevens die van invloed zijn op het lidmaatschap van een bepaald ras en geslacht, nationaliteit, politieke opvattingen, filosofische kijk.
Dankzij het informatiesysteem kan worden verwerkt:
Dus, persoonlijke informatie over elke werknemer is vervat in alle werkgevers. De directeur heeft in geen geval het recht om bestaande gegevens over de persoon te verspreiden.
De verkregen informatie over het operationele contingent kan op verschillende manieren worden verwerkt: met behulp van computertechnologie, met behulp van persoonlijke krachten, dankzij het informatiebeoordelingssysteem.
In alle gevallen worden de persoonlijke gegevens van elke medewerker grondig onderzocht.
In opdracht van het burgerlijk wetboek van de regio Amur
van 26 december 2012, nr. 626
met betrekking tot de verwerking van persoonsgegevens
1. ALGEMENE BEPALINGEN
1.1. Dit document (hierna te noemen het Beleid) is een systematische weergave van de doelstellingen, principes, methoden en voorwaarden voor de verwerking van persoonsgegevens, informatie over de geïmplementeerde vereisten voor de verwerking en bescherming van persoonsgegevens in de GKU van het Amur-gebied van het Centraal Ziekenhuis van de Vrije (hierna het Werkgelegenheidscentrum).
1.2. Het beleid is gebaseerd op de vereisten van de federale wet van de Russische Federatie "Op persoonlijke gegevens", andere wettelijke wettelijke handelingen van de Russische Federatie tot vaststelling van de procedure voor de verwerking en bescherming van persoonsgegevens. Het beleid is een openbaar document.
1.3. In overeenstemming met de federale wet van 27 juli 2006 nr. 152-ФЗ "Op persoonlijke gegevens" is het Employment Center de exploitant van persoonlijke gegevens (hierna "PD" genoemd).
2. VERWERKTE PERSOONSGEGEVENS
2.1. Belangrijkste termen gebruikt in het beleid:
· Persoonlijke gegevens - alle informatie met betrekking tot een fysieke persoon (onderwerp van persoonlijke gegevens) bepaald of bepaald op basis van dergelijke informatie, waaronder zijn achternaam, voornaam, familienaam, jaar, maand, geboortedatum en geboorteplaats, adres, familie, sociaal, eigendom functie, opleiding, beroep, inkomen, andere informatie;
· Verwerking van persoonsgegevens - acties (operaties) met persoonsgegevens, waaronder verzameling, systematisering, accumulatie, opslag, verfijning (update, wijziging), gebruik, distributie (inclusief overdracht), depersonalisatie, blokkering, vernietiging van persoonlijke gegevens;
2.2. In het kader van dit beleid betekent verwerkte persoonlijke gegevens:
· Persoonsgegevens verstrekt door ontvangers van openbare diensten die van toepassing zijn op het Employment Centre;
· Persoonlijke gegevens van werknemers van het arbeidsbureau of kandidaten voor vacatures;
3. DOELEINDEN VAN VERWERKING VAN PERSOONSGEGEVENS
3.1. De doelstellingen van PD-verwerking in het Employment Centre zijn:
· Zorgen voor de implementatie van de grondwettelijke rechten van burgers van de Russische Federatie op werk en sociale bescherming tegen werkloosheid door het aanbieden van openbare diensten op het gebied van werkgelegenheidsbevordering;
· Zorgen voor de toepassing van de grondwettelijke rechten van burgers om in beroep te gaan;
· Het verkrijgen van een objectieve beoordeling van de toestand van de arbeidsmarkt in de constituerende entiteit van de Russische Federatie (met betrekking tot ontvangers van openbare diensten voor arbeidsbemiddeling, werkloze burgers, burgers die bij het Employment Center solliciteren met voorstellen, verklaringen, klachten);
· Zorgen voor naleving van de grondwet van de Russische Federatie, wetten en andere wettelijke wetten, het helpen van werknemers bij het vinden van werk, opleiding en promotie voor werk, banengroei, het waarborgen van de persoonlijke veiligheid van werknemers, het controleren van de kwantiteit en kwaliteit van het uitgevoerde werk, het waarborgen van de veiligheid van eigendommen die erbij horen en het opnemen van de resultaten van hun prestaties taken en veiligheid van eigendommen van het Centre of employment.
· Het uitoefenen van de functies van een belastingagent bij het verstrekken van standaard belastingaftrekken (ten aanzien van gezinsleden van werknemers van het Employment Centre);
· Naleving van verplichtingen op grond van civielrechtelijke contracten (met betrekking tot personen die werkzaamheden verrichten, diensten verlenen in het kader van civielrechtelijke contracten met het Employment Centre).
4. PRINCIPES VAN VERWERKING VAN PERSOONSGEGEVENS
4.1. Implementatie van PD-verwerking op een wettelijke en eerlijke basis.
4.2. Beperking van PD-verwerking tot het bereiken van de specifieke, vooraf bepaalde en legitieme doelen die zijn aangegeven in deel 2 van dit document. Het is niet toegestaan om persoonlijke gegevens te verwerken die onverenigbaar zijn met het doel om persoonlijke gegevens te verzamelen.
4.3. Het voorkomen van de combinatie van databases met PD, die worden verwerkt voor doeleinden die niet compatibel zijn met elkaar.
4.4. Alleen die PDS verwerken die voldoen aan de doeleinden van hun verwerking.
4.5. Naleving van de inhoud en het volume van PD verwerkt door de vermelde verwerkingsdoeleinden.
4.6. De ontoelaatbaarheid van ontslag verwerkt PD in relatie tot de aangegeven doelstellingen van hun verwerking.
4.7. Zorgen voor de juistheid van PD, hun toereikendheid en, indien nodig, en relevantie met betrekking tot de doeleinden van PD-verwerking.
4.8. Zorg ervoor dat de nodige maatregelen worden genomen om onvolledige of onnauwkeurige gegevens te verwijderen of te verfijnen.
4.9. Het uitvoeren van PD-opslag in een vorm die het mogelijk maakt een PD-subject te bepalen, is niet langer dan het doel van PD-verwerking vereist, als de PD-bewaarperiode niet door federale wetgeving is vastgesteld, het contract waartoe het PD-subject een begunstigde of garant is. Te verwerken PD's zijn onderhevig aan vernietiging of depersonalisatie bij het bereiken van verwerkingsdoelstellingen of bij het verlies van de noodzaak om deze doelstellingen te bereiken, tenzij anders bepaald door federale wetgeving.
5. METHODEN VOOR HET VERWERKEN VAN PERSOONSGEGEVENS
5.1. Het arbeidsbureau verwerkt PD op de volgende manieren:
· Niet-geautomatiseerde PD-verwerking (op papier);
· Geautomatiseerde verwerking (in ISPDn met en zonder het gebruik van automatiseringsapparatuur), waaronder: met en zonder transmissie via het lokale netwerk van het Employment Centre; met en zonder verzending via internet;
· Gemengde PD-verwerking.
5.2. Het arbeidsbureau kan onafhankelijk de methoden van PD-verwerking kiezen afhankelijk van de doeleinden van een dergelijke verwerking en zijn eigen materiële en technische mogelijkheden.
6. ALGEMENE VOORWAARDEN VOOR VERWERKING VAN PERSOONSGEGEVENS
6.1. PD-verwerking wordt uitgevoerd in overeenstemming met de principes en regels die zijn vastgelegd in de federale wet 'Op persoonlijke gegevens'.
6.2. PD-verwerking is toegestaan in gevallen waarin de federale wet "Op persoonlijke gegevens" voorziet.
6.3. Het arbeidsbureau heeft het recht om de verwerking van PD aan een andere persoon toe te vertrouwen met toestemming van het onderwerp van de PD, tenzij anders bepaald door federale wetgeving, op basis van een contract met deze persoon, inclusief een staats- of gemeentecontract, of door het aannemen van een relevante wet door de staat of gemeentelijke instantie (hierna te noemen: ).
6.4. Als het Employment Center de verwerking van een PD toewijst aan een andere persoon, wordt de verantwoordelijkheid van de PD-persoon voor de acties van die persoon gedragen door het Employment Center. De persoon die namens het Employment Center persoonsgegevens verwerkt, is verantwoordelijk voor het Employment Center.
7. VERTROUWELIJKHEID VAN PERSOONSGEGEVENS
7.1. Het arbeidsbureau en andere personen die toegang hebben gekregen tot de PD zijn verplicht om niet aan derde partijen bekend te maken en niet om de PD te distribueren zonder de toestemming van de PD-persoon, tenzij anders bepaald door de federale wetgeving.
8. INSTEMMING VAN HET VOORWERP VAN PERSOONSGEGEVENS VOOR DE VERWERKING VAN HAAR PERSOONLIJKE GEGEVENS
8.1. De PD-onderdaan neemt een beslissing over het verstrekken van zijn persoonlijke gegevens en stemt ermee in dat deze vrijelijk kunnen worden verwerkt, door zijn eigen wil en in zijn belang.
8.2. Toestemming voor PD-verwerking moet specifiek, geïnformeerd en bewust zijn.
8.2. Toestemming voor PD-verwerking kan worden gegeven door het PD-subject of zijn vertegenwoordiger in welke vorm dan ook om het feit van ontvangst ervan te bevestigen, tenzij anderszins bepaald door de federale wetgeving.
8.3. In het geval van het verkrijgen van toestemming voor de verwerking van persoonlijke gegevens van de vertegenwoordiger van het onderwerp van persoonsgegevens, wordt de autoriteit van deze vertegenwoordiger om namens het onderwerp persoonsgegevens toestemming te verlenen gecontroleerd door het Employment Center.
8.4. Toestemming voor PD-verwerking kan door het PD-subject worden herroepen. In geval van intrekking door het subject van PDN van de toestemming voor de verwerking van PD, heeft het Employment Center het recht om de verwerking van persoonsgegevens voort te zetten zonder toestemming van het PD-subject als er redenen zijn die worden gespecificeerd in clausules 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de federale wet ".
8.5. In gevallen waarin de federale wetgeving voorziet, wordt PD-verwerking alleen uitgevoerd met schriftelijke toestemming van het PD-onderwerp. De schriftelijke toestemming wordt erkend als gelijkwaardig aan een elektronisch document ondertekend door de elektronische wet ondertekend in overeenstemming met de federale wetgeving.
8.6. Persoonlijke gegevens kunnen door het Uitzendcentrum worden verkregen van een persoon die geen persoonsgegeven heeft, op voorwaarde dat het Arbeidsbureau het bestaan bevestigt van de redenen gespecificeerd in clausules 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de federale wet "Op persoonlijke gegevens ".
9. UITVOERING VAN DE RECHTEN VAN DE ONDERWERPEN VAN PERSOONSGEGEVENS
9.1. Bij de verwerking van een PD biedt het Employment Centre de noodzakelijke voorwaarden voor de PD om vrijelijk gebruik te maken van zijn rechten.
9.2. Het PD-onderwerp heeft recht op toegang tot zijn persoonlijke gegevens.
9.3. Een PD-object heeft het recht informatie te ontvangen over de verwerking van zijn persoonlijke gegevens, met daarin: bevestiging van het feit dat het Werkgelegenheidscentrum PD verwerkt; juridische redenen en doeleinden van PD-verwerking; de doelstellingen en methoden van PD-verwerking toegepast door het Employment Centre; de naam en locatie van het Employment Centre, informatie over individuen (behalve werknemers van het Employment Center) die toegang hebben tot persoonlijke gegevens of die persoonlijke gegevens kunnen vrijgeven op basis van een overeenkomst met het Employment Center of op basis van federale wetgeving; PD's verwerkt door het relevante PD-onderwerp, de bron van hun ontvangst, tenzij een andere procedure voor het indienen van dergelijke gegevens is voorzien door de federale wetgeving; PD-verwerkingstijd, inclusief opslagtijd; de procedure voor de uitoefening door het onderwerp van de PDN van de rechten voorzien door de federale wet "Op persoonlijke gegevens"; informatie over voltooide of beoogde grensoverschrijdende gegevensoverdracht; de naam of achternaam, naam, familienaam en adres van de persoon die de verwerking van PDN namens het Employment Centre uitvoert, als de verwerking is toevertrouwd aan of zal worden toevertrouwd aan deze persoon andere informatie voorzien door federale wetten.
9.4. Het recht van een PD-onderdaan op toegang tot zijn persoonlijke gegevens kan beperkt zijn in gevallen waarin uitdrukkelijk wordt voorzien door federale wetten.
9.5. Een PD-persoon heeft het recht om zijn rechten en legitieme belangen te verdedigen, waaronder schadevergoeding en (of) vergoeding van morele schade in een rechtbank.
9.6. Als een PD-persoon van mening is dat het Employment Center zijn PD verwerkt in strijd met de vereisten van de federale wet 'Over persoonlijke gegevens' of anderszins zijn rechten en vrijheden schendt, heeft het PD-onderwerp het recht om beroep aan te tekenen tegen het handelen of nalaten van het Employment Center bij het bevoegde orgaan om de rechten van PD-proefpersonen of rechterlijk bevel.
10. INFORMATIE OVER DE MAATREGELEN UITGEVOERD DOOR HET Employment Centre
GERICHT OM DE UITVOERING TE VERZEKEREN VAN DE VERPLICHTINGEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS
10.1. Het Employment Center bij de verwerking van PD voert zijn taken uit als een PD-operator zoals bepaald door de federale wet "Op persoonlijke gegevens".
10.2. Het Employment Centre neemt de nodige en toereikende maatregelen om te zorgen voor de vervulling van de taken waarin deze federale wet voorziet en de regelgevende rechtshandelingen die in overeenstemming daarmee zijn aangenomen.
10.3. Het Employment Centre bepaalt onafhankelijk de samenstelling en lijst van maatregelen die nodig en voldoende zijn om de naleving van de verplichtingen te verzekeren die zijn voorzien in deze federale wet en de regelgevende rechtshandelingen die in overeenstemming daarmee zijn aangenomen, tenzij anders bepaald door federale wetten.
11. INFORMATIE OVER DE UITVOERING VAN WERKGELEGENHEIDSCENTRA VAN MAATREGELEN TER BESCHERMING VAN PERSOONSGEGEVENS IN HUN VERWERKING
11.1. Het Employment Center in PD-verwerking zorgt voor de goedkeuring van noodzakelijke juridische, organisatorische en technische maatregelen om PD te beschermen tegen onwettige of onbedoelde toegang ertoe, vernietiging, wijziging, blokkering, kopiëren, verstrekken, distribueren van PD, evenals van andere illegale acties met betrekking tot PDN.
11.2. Om persoonlijke gegevens te beschermen, implementeert het Employment Centre de vereisten voor de bescherming van persoonlijke gegevens wanneer deze worden verwerkt in systemen voor persoonlijke gegevens die zijn ingesteld door de regering van de Russische Federatie.
11.3. Zorgen voor PD-veiligheid wordt bereikt door het Employment Centre, in het bijzonder:
· Identificatie van bedreigingen voor de veiligheid van persoonsgegevens wanneer deze worden verwerkt in het ISPDN van het Employment Centre;
· Het gebruik van organisatorische en technische maatregelen om de veiligheid van persoonsgegevens te waarborgen wanneer ze worden verwerkt in het ISPDN van het Employment Centre, noodzakelijk om te voldoen aan de vereisten voor bescherming van persoonsgegevens, waarvan de naleving wordt geboden door de niveaus van bescherming van persoonsgegevens die zijn vastgesteld door de regering van de Russische Federatie;
· Het gebruik van de informatiebeveiligingsmaatregelen die op de voorgeschreven manier zijn doorgegeven;
· Beoordeling van de effectiviteit van de maatregelen die het Employment Centre heeft genomen om de veiligheid van persoonsgegevens te garanderen voorafgaand aan de ingebruikname van de SPDN;
· Rekening houden met de PD-dragers van het Employment Center;
· Detectie van feiten over ongeoorloofde toegang tot PDN en actie ondernemen;
· Herstel van PDN aangepast of vernietigd als gevolg van ongeoorloofde toegang tot hen;
· De vaststelling van regels voor toegang tot PDN die zijn verwerkt in het SPDN van het Employment Centre, en zorgen voor de registratie en registratie van alle acties die op het PDN worden uitgevoerd in het ISPDN in het Employment Centre;
· Controle over de maatregelen die zijn genomen om de veiligheid van persoonsgegevens en het beveiligingsniveau van het ISPDN van het Employment Centre te waarborgen.
11.4. Informatie over maatregelen die het Employment Centre heeft genomen om persoonsgegevens te beschermen, is beperkte informatie.
12. Beleidsverandering. Toepasselijk recht
12.1. Het Employment Center heeft het recht om wijzigingen aan te brengen in dit beleid.
12.2. Wanneer u wijzigingen aanbrengt in de titel van het beleid, wordt de datum van de laatste update van de herziening aangegeven.
12.3. De nieuwe versie van het Beleid wordt van kracht vanaf het moment van plaatsing op de website van het Amurskaya Oblast Departement of Employment, tenzij anders bepaald door de nieuwe versie van het Beleid.
Wat heeft betrekking op methoden voor de verwerking van persoonsgegevens en wat heeft betrekking op acties met persoonsgegevens?
Volgens paragraaf 9 van de Orde van Roskomnadzor van 19 augustus 2011 nr. 706 omvatten de methoden *:
- niet-geautomatiseerde verwerking van persoonsgegevens;
- uitsluitend geautomatiseerde verwerking van persoonlijke gegevens met of zonder de overdracht van ontvangen informatie via het netwerk;
- gemengde verwerking van persoonsgegevens (noot N 4).
En voor de acties in overeenstemming met Art. 3 van de federale wet van 27.07.2006 nr. 152-FZ. Op persoonlijke gegevens zijn onder meer: *
- verduidelijking (update, wijziging);
- distributie (inclusief verzending);
- de vernietiging van persoonlijke gegevens.
De reden voor deze positie wordt hieronder gegeven in de materialen van "System Lawyer".
"Persoonlijke gegevensverwerking is elke actie (bewerking) of reeks acties (bewerkingen), * uitgevoerd met behulp van automatiseringstools of zonder het gebruik van dergelijke middelen met persoonlijke gegevens, waaronder verzameling, opname, systematisering, accumulatie, opslag, verfijning (update, wijziging), extractie, gebruik, overdracht (distributie, verstrekking, toegang), depersonalisatie, blokkering, schrapping, vernietiging van persoonlijke gegevens "
"De veld" lijst met acties met persoonlijke gegevens, een algemene beschrijving van de methoden die door de Operator worden gebruikt voor het verwerken van persoonlijke gegevens "* geeft de acties aan die de Operator uitvoert met persoonlijke gegevens, evenals een beschrijving van de methoden die door de Operator worden gebruikt voor het verwerken van persoonlijke gegevens:
- niet-geautomatiseerde verwerking van persoonsgegevens;
- uitsluitend geautomatiseerde verwerking van persoonlijke gegevens met of zonder de overdracht van ontvangen informatie via het netwerk;
- gemengde verwerking van persoonsgegevens (noot N 4) Noot 4. Bij geautomatiseerde verwerking van persoonsgegevens of gemengde verwerking moet worden aangegeven of de informatie die is verkregen tijdens de verwerking van persoonsgegevens wordt doorgegeven op het interne netwerk van de rechtspersoon (informatie is alleen beschikbaar voor strikt omschreven werknemers van de juridische entiteit ) of de informatie wordt verzonden via het openbare internet of zonder de ontvangen informatie te verzenden. "
* Zo benadrukt een deel van het materiaal dat je zal helpen de juiste beslissing te nemen.
Termen, nuances en frequente waanideeën - in het materiaal van de experts van de beveiligingsdienst van het bedrijf "Onlanta" (opgenomen in de groep van bedrijven LANIT).
We begrijpen de juridische terminologie en de nuances waarvoor u voor de rechtbank kunt verschijnen.
De belangrijkste wet die de relaties regelt in verband met de verwerking van persoonlijke gegevens is de federale wet van 27 juli 2006 nr. 152-ФЗ "over persoonlijke gegevens".
De eerste term die begrepen moet worden, zijn persoonlijke gegevens.
Dit is alle informatie die kan worden gebruikt om een persoon te identificeren: bijvoorbeeld volledige naam, geboortedatum, opleiding, inkomen en zelfs burgerlijke staat. U vraagt: "En wat, mijn achternaam, afgedrukt op het visitekaartje, zijn ook persoonlijke gegevens?"
Antwoord: "Ja." Volgens de wet maakt het niet uit of alleen uw achternaam op het visitekaartje of in combinatie wordt afgedrukt, bijvoorbeeld met een telefoonnummer en adres. Zowel de eerste als de tweede en de derde - persoonlijke gegevens. Het is waar dat de opslag van visitekaartjes of telefoonnummers van meisjes in het telefoonboek niet bij de wet hoeft te worden beantwoord, maar hieronder meer.
Ga je gang. De media schrijven voortdurend 'opslag van persoonlijke gegevens'. Correct gesproken, het is geen opslag, maar verwerking van persoonlijke gegevens. Wat is het verschil? Opslag is slechts een deel van wat we persoonlijke gegevensverwerking noemen. Alle acties die u uitvoert met persoonlijke gegevens (verzamelen, verzamelen, opslaan, overdragen, wijzigen) worden bij wet aangeduid als "verwerking van persoonsgegevens".
Het is belangrijk om te begrijpen dat de wet twee personen met persoonlijke gegevens onderscheidt: de exploitant en de verwerker. De operator voert de verwerking van persoonlijke gegevens uit en bepaalt ook het doel van de verwerking, de samenstelling van de te verwerken persoonsgegevens, acties (bewerkingen) die met persoonlijke gegevens worden uitgevoerd.
Een handler is iemand die acties uitvoert met persoonlijke gegevens: verzamelen, opslaan, organiseren, verzamelen, bijwerken, bijwerken, verwijderen, depersonaliseren, enzovoort.
In feite is een afhandelaar niet alleen een eindgebruiker, die persoonlijke gegevens nodig heeft voor werk, maar ook elke andere tussenpersoon, via wiens handen deze persoonlijke gegevens zijn doorgegeven. Laat zien in de praktijk.
De online winkel heeft een klantendatabase, die zich in de "cloud" van een extern bedrijf bevindt. Een marketingbureau werkt met deze basis. Vraag: Hoeveel exploitanten van persoonlijke gegevens hebben we?
Het juiste antwoord is er een. Dit is een online winkel die doelen stelt voor de verwerking van persoonsgegevens. De tweede vraag is: hoeveel verwerkers van persoonlijke gegevens hebben we? Het juiste antwoord is twee.
Persoonlijke gegevens worden verwerkt in veel verschillende instellingen: bijvoorbeeld in banken, scholen, klinieken, visumcentra. Om nog maar te zwijgen over de webpagina's waar we ons registreren, met onze e-mailadressen en telefoonnummers. Maar hoe en waar precies?
Er is zo'n obscure term in de wet als "systeem voor persoonlijke gegevens". Als je het in eenvoudige bewoordingen probeert uit te leggen - dit is een heel complex, bestaande uit databaseservers, technische middelen om hun verwerking te garanderen, en informatietechnologie. In overeenstemming met de wet moet elk persoonlijk gegevensinformatiesysteem worden beschermd.
Methoden om informatie te beschermen zijn verschillend.
Een van de middelen om informatie te beschermen, is de depersonalisatie van persoonlijke gegevens. Wat is het? In het visumcentrum krijgt elke persoon die een visum aanvraagt een apart identificatienummer. Het nummer zelf verwijst niet naar persoonlijke gegevens, omdat het een persoon de-personificeert: het is onmogelijk om de persoon te identificeren die een visum heeft aangevraagd.
Dus, met de terminologie geregeld. Nu zouden alle bedrijfsvertegenwoordigers, vooral individuele ondernemers, die misschien maar een paar personeelsleden in het personeel hebben, eerlijk de vraag moeten beantwoorden: "Verwerk ik persoonlijke gegevens?"
Ja, als u de eigenaar bent van een site met vijf mensen per week, maar deze heeft een feedbackformulier met de velden "naam, e-mailadres, telefoonnummer". Informatie over de doeleinden waarvoor u persoonlijke gegevens verzamelt, hoe u deze gebruikt, moet op uw website worden gepresenteerd.
Ja, als u de persoonlijke gegevens van uw werknemers verwerkt of externe specialisten die zijn ingehuurd om werk te doen.
Ja, als u met privéklanten werkt en u hun paspoortgegevens nodig hebt voor het aangaan van contracten - dit is van toepassing op reisbureaus, fitnesscentra, verschillende servicebedrijven, online winkels en anderen.
En nogmaals, ja, als u een budgetorganisatie, politieke partij of kleuterschool bent. Deze laatsten hebben niet alleen informatie over het kind, maar ook over zijn ouders, waaronder de plaats van werk en functie. Om nog maar te zwijgen over de medische instellingen - er is een zee van persoonlijke gevoelige informatie die veilig moet worden opgeslagen.
Als u echter gegevens gebruikt voor persoonlijke communicatie zonder commercieel voordeel, dan zijn de vereisten van de wetgeving niet op u van toepassing en is er geen sprake van strafrechtelijke aansprakelijkheid.
Bijvoorbeeld, uw gebruik van contacten afgedrukt op een visitekaartje dat u van een collega hebt ontvangen, of telefoonnummers in een notitieblok op een smartphone, informatie op sociale netwerken legt u niet de verantwoordelijkheid op voor de wet.
Het belangrijkste is om geen gegevens aan adverteerders bekend te maken en ze niet te publiceren zonder de toestemming van de eigenaren van persoonlijke gegevens in het publieke domein.
Gefeliciteerd, u bent de trotse eigenaar van de titel 'operator voor persoonlijke gegevens'. Het belangrijkste is nu om precies te begrijpen welke persoonsgegevens u verwerkt. Omdat het afhankelijk is van de categorie persoonlijke gegevens, hoe gegevens te beschermen en aan welke vereisten moet worden voldaan. De categorieën worden in detail beschreven in de federale wet-152 en de regeringsresolutie van 1 november 2012 N 1119.
Over het algemeen beschikbare persoonlijke gegevens: gegevens uit open bronnen, die worden gepubliceerd door het onderwerp van persoonsgegevens of met de goedkeuring ervan. Publiek beschikbare gegevens zijn gegevens van de media of het internet.
Voorbeeld: informatie gepost in open toegang op sociale netwerken of op de website van het bedrijf. Telefoonnummer en gezinsstatus gepubliceerd in de openbare toegang tot Facebook. De naam van de werknemer en zijn positie op de website van de werkgever.
Biometrische persoonlijke gegevens: deze categorie bevat alle gegevens over de fysiologische en biologische kenmerken van mensen.
Voorbeeld: gewicht, lengte, oog- of haarkleur, haarlengte, bloedgroep, foto.
Persoonlijke gegevens van een speciale categorie: dit omvat informatie over het behoren tot een ras en natie, politieke opvattingen, religieuze en filosofische overtuigingen, gezondheidstoestand of intiem leven.
Voorbeeld: medische diagnose (informatie over waar u ziek aan was, wanneer, welke arts u heeft behandeld).
Persoonlijke gegevens van andere typen - dit omvat persoonlijke gegevens die niet zijn opgenomen in de bovenstaande categorieën.
Voorbeeld: bedrijfsinformatie. Rekenkaarten voor werknemers die informatie bevatten waarmee HR en boekhouding werken: salaris, vakantieperioden, werkdatums.
Nadat u de categorie persoonlijke gegevens hebt bepaald, moet u weten hoeveel gegevens u precies verwerkt: tot 100 duizend of meer dan 100 duizend.
Ontdek de categorie en hoeveelheid, bepaal het type dreiging:
Bedreigingen nummer 1. "Gaten" en kwetsbaarheden in het besturingssysteem. Voorbeeld: kwetsbaarheden die hackers gebruiken om het besturingssysteem te infiltreren om informatie te stelen.
Bedreigingen nummer 2. "Gaten" en kwetsbaarheden in de toepassingssoftware, dat wil zeggen in de software die wordt gebruikt in uw dagelijkse werk. Voorbeeld: Word, Excel.
Bedreigingen nummer 3. Alle andere bedreigingen die niet bij de eerste twee typen worden vermeld. Allereerst de menselijke factor. Een medewerker kan een document openlaten op een niet-vergrendelde computer, een document verzenden om naar iemand anders's printer te printen of per e-mail.
De hoeveelheid persoonlijke gegevens, categorie, soort bedreigingen - alles samen stelt u in staat te bepalen welk beschermingsniveau vereist is voor uw informatiesysteem. Er zijn nu vier beschermingsniveaus.
Het eerste en hoogste niveau van bescherming wordt meestal gebruikt voor de verwerking van persoonsgegevens in overheidsinstellingen en medische instellingen. Het vierde niveau van bescherming is het gemakkelijkst te bieden, soms volstaat het om organisatorisch regulerende maatregelen uit te voeren, voornamelijk om de bescherming van openbaar beschikbare gegevens.
U kunt het beveiligingsniveau bepalen met behulp van deze tabel.
Het ziekenhuis verwerkt de persoonlijke gegevens van zijn patiënten - dit zijn de persoonlijke gegevens van een speciale categorie. Het verwerkt ook persoonlijke gegevens van werknemers - dit zijn persoonsgegevens van een andere categorie. Hoogstwaarschijnlijk heeft het ziekenhuis twee databases. Als u beide databases optelt, krijgt u het totale aantal persoonlijke gegevens dat in het informatiesysteem van dit ziekenhuis ronddraait.
Bijvoorbeeld allemaal - tot 100 duizend. Vervolgens bekijken we hoe gegevens worden verwerkt: geautomatiseerd (op een computer) of niet geautomatiseerd (in een handmatige archiefkast). Als alles geautomatiseerd is, kijken we naar welke software het ziekenhuis gebruikt, welke kwetsbaarheden het heeft.
Op basis hiervan worden bedreigingen en hun niveau geïdentificeerd. We tellen alle factoren bij elkaar en krijgen de beschermingsklasse op het tweede niveau. We kijken naar wat de vereisten in de wet zijn op het tweede beveiligingsniveau. Op basis van deze vereisten zal het nodig zijn een informatiesysteembeveiliging te bouwen om aan de vereisten van de federale wet te voldoen.
Waarom zou u zich druk maken over de bescherming van persoonlijke gegevens? Persoonlijke gegevens zijn een duur product op de zwarte markt. Oplichters zijn bereid om indrukwekkende bedragen te betalen voor een profiel met de volledige details van het medische dossier van een persoon. Afzonderlijke markt - verkoop van bankkaartgegevens; accounts in sociale netwerken.
De gevolgen van het lekken van persoonlijke gegevens zijn anders. De gegevens kunnen openbaar beschikbaar zijn op het internet: u kunt bijvoorbeeld gemakkelijk gestolen databases vinden met adressen en telefoonnummers van klanten van bedrijven in het netwerk. Als u de voor- en achternaam kent, kan iedereen het thuisadres van een persoon achterhalen, op het sociale netwerk komen, een profiel bekijken of gewoon een sms naar een mobiele telefoon schrijven.
Persoonlijke gegevens kunnen in de database terechtkomen van vervelende mailings van een commerciële organisatie, waarna hun eigenaar overbelast raakt met ongevraagde aanbiedingen van diensten. Ze kunnen ook worden gebruikt door online oplichters voor online casino's of om een elektronische portemonnee te openen.
In het ergste geval kan een aanvaller een andere persoon nabootsen en de naam van iemand anders crediteren. De ernstigste gevolgen van lekken van persoonlijke gegevens zijn: illegale acties met onroerend goed, diefstal van geld van bankkaarten, chantage van familieleden en registratie van een bedrijf.
Begrijpt u het belang van de vraag en bent u klaar om verantwoordelijkheid te dragen? Dat klopt. Omdat de verantwoordelijkheid voor de veiligheid van persoonsgegevens volledig bij de exploitant ligt.
Dit betekent dat de exploitant ervoor moet zorgen dat de informatie niet in openbare toegang komt of niet in handen komt van derden die er geen rechten op hebben. Dit vereist constante monitoring en preventie van bedreigingen van de gegevensbeveiliging, controle over het niveau van informatiebeveiliging en het herstel ervan in geval van verlies.
In ons land houdt Roskomnadzor toezicht op de naleving van de wetgeving op het gebied van de verwerking van persoonsgegevens. Dit lichaam reageert op klachten, reguleert de relaties tussen proefpersonen en operatoren.
De technische vereisten voor de bescherming van informatie vallen onder de verantwoordelijkheid van het FSTEC en de FSB: zij stellen eisen en controleren de uitvoering ervan.
En nu is het tijd om de tabellen te bestuderen met de vereisten voor de technische bescherming van persoonlijke gegevens. Details zijn te vinden in de volgorde van de federale dienst voor technische en exportcontrole van 18 februari 2013 N 21.
Maar begin tenminste met dit:
Veel site-eigenaren denken dat als een bezoeker op de knop 'Ik ga akkoord met de verwerking van persoonlijke gegevens' klikt, er geen juridische problemen zijn en de gegevensverwerking automatisch in het juridische veld valt. Dat is het niet.
Vanuit juridisch oogpunt zijn er slechts twee manieren om uw toestemming voor de verwerking van persoonsgegevens te bevestigen: een handtekening op papier zetten of een elektronische digitale handtekening gebruiken.
In alle andere gevallen, als de zaak voor de rechter komt, kan de site-eigenaar niet bevestigen wie precies op de knop 'Ik ga akkoord' heeft gedrukt. Men kan alleen maar hopen dat de persoon die naar uw site kwam vrijwillig zijn gegevens doorgeeft en geen klacht indient.
Ja, cheques kunnen van Roskomnadzor zijn.
Roskomnadzor publiceert jaarlijks een selectielijst van selecties uit de lijst van geregistreerde exploitanten, als een bedrijf is opgenomen in de lijst met controles, dan is de volgende geplande controle niet eerder dan na drie jaar mogelijk. U kunt hier dit jaar zien of uw bedrijf op de lijst staat.
Off-plan cheques worden meestal veroorzaakt door klachten. Als de controle ongepland is, moet u hierover binnen 24 uur schriftelijk worden gewaarschuwd.
Er kunnen ook documentaire controles zijn. Bij het documenteren stuurt u een lijst met documenten, waarvan kopieën naar Roskomnadzor moeten worden gestuurd.
Soms voert Roskomnadzor inspecties ter plaatse uit: inspecteurs bezoeken persoonlijk het bedrijf ter plaatse.
Het voorbereiden van een van deze controles is een tijdrovende klus. Ga je zelf de taak van de voorbereiding van de inspectie oplossen, of ga je met externe specialisten aan de slag, dan moet je eerst bepalen wie in het bedrijf verantwoordelijk is voor de naleving van FZ-152.
Voor overtreding van de 152-FZ wordt civiele, strafrechtelijke, administratieve en disciplinaire aansprakelijkheid geboden.
Dus, Roskomnadzor heeft een inspectie uitgevoerd, als er inconsistenties zouden zijn met de wet, zal hij een bevel uitvaardigen bij de onderzoekscommissie om een rechtszaak uit te voeren over het overtreden van de wet "Op persoonlijke gegevens".
Daarna begint het parket een inspectie, waarbij het de activiteiten van het bedrijf kan opschorten: de database van het bedrijf intrekken, met name de computers waarop de persoonsgegevens zijn verwerkt.
Overtreders van de wet wachten in de eerste plaats op boetes. De hoeveelheid boetes varieert afhankelijk van de overtreding. Voor de verwerking van persoonsgegevens zonder de schriftelijke toestemming van de entiteiten, zullen rechtspersonen dus administratieve aansprakelijkheid moeten dragen.
Zelfs als de exploitant bereid is een boete te betalen, maar volgens de normen van het grootbedrijf, lijkt het niet enorm, de overtreder moet nog steeds de inconsistentie voor de wet elimineren (bijvoorbeeld de opgeslagen gegevens verwijderen) en Roskomnadzor op de hoogte stellen.
Het slechtste scenario is als Roskomnadzor besluit de bedrijfslicentie in te trekken, bedrijven verbiedt om persoonlijke gegevens te verwerken en op onrechtmatige wijze persoonlijke gegevens over burgers publiceert.
In de afgelopen paar jaar werd het luidste schandaal in Rusland geassocieerd met het blokkeren van LinkedIn, waarvan de eigenaars ervan beschuldigd werden persoonsgegevens van burgers te verwerken zonder hun toestemming op servers buiten de Russische Federatie. Het blokkeren van de autonum.info-service was ook "gemaakt geluiden".
U kunt de verwerking van persoonlijke gegevens onafhankelijk organiseren of met de hulp van een bedrijf dat een dergelijke service biedt.
Als u besluit om persoonlijke gegevens zelf te verwerken, hebt u het volgende nodig:
In het beste geval duurt het drie tot vier maanden, ten koste van zo'n implementatie kan het 200 - 300 duizend roebel zijn - dit zijn de kosten voor het kopen van apparatuur en licenties. Arbeidskosten en verdere ondersteuning van het informatiesysteem is een afzonderlijke uitgave. U hebt ook een beheerder nodig die de werking van het systeem controleert.
Objectief gesproken, voldoen zeer kleine bedrijven simpelweg niet aan alle vereisten van de wet in de hoop dat er geen verificatie zal plaatsvinden. Misschien zal het dat echt niet doen. Andere bedrijven creëren "Potemkin-dorpen" alleen door te doen alsof ze persoonsgegevens verwerken in overeenstemming met de vereisten van de wet, met andere woorden ze "kopen" de benodigde documenten.
In het volgende artikel laten we zien hoe de kosten van het verwerken van persoonlijke gegevens binnen een bedrijf kunnen worden berekend en kunnen we u laten weten wanneer het voordeliger is om persoonsgegevens te verwerken en wanneer het beter is om deze in de cloud te deponeren.
Het materiaal wordt door de gebruiker gepubliceerd. Klik op de knop "Schrijven" om uw mening te geven of om over uw project te praten.
De federale wet van de Russische Federatie nr. 152-ФЗ "over persoonlijke gegevens" werd op 27 juli 2006 aangenomen en ging, tegen de achtergrond van andere buitengewone gebeurtenissen van het afgelopen jaar, bijna onopgemerkt voorbij. De formele reden voor zijn goedkeuring was de talrijke feiten van diefstal van persoonlijke gegevensbanken in staats en handelsstructuren en hun wijdverspreide verkoop. Het belangrijkste doel van deze wet was namelijk de noodzaak om bepaalde handelsbarrières met de landen van de Europese Unie op te heffen.
Frankrijk verbood de publicatie van feiten over privacy en legde boetes op voor overtreders in 1858.
Het Noorse Wetboek van Strafrecht verbood de publicatie van informatie met betrekking tot "persoonlijke of privézaken" in 1889.
De nationale wet "over persoonlijke gegevens" van 27 juli 2006 nr. 152-FZ is op 26 januari van dit jaar van start gegaan (in overeenstemming met deel 1 van artikel 25 treedt de wet in werking 180 dagen na de officiële publicatie, die plaatsvond op 29 juli 2006 in de "Rossiyskaya Gazeta").
Volgens de EU-richtlijn 95/46 / EG kunnen persoonsgegevens alleen worden doorgegeven aan landen die hetzelfde beschermingsniveau bieden als in Europa. Dit bemoeilijkte de uitwisseling van informatie van Europese overheidsinstellingen en bedrijven met hun buitenlandse partners aanzienlijk, wat het onmogelijk maakte voor veel commercieel veelbelovende projecten. Dergelijke beperkingen werden niet alleen ervaren door Rusland en de derde wereldlanden, maar ook door een economisch monster zoals de Verenigde Staten. Onze regering besloot daarom deze barrière te overwinnen. Laten we kijken hoe hij het deed en wat het ons allemaal zal kosten.
De goedkeuring van de Russische wet op persoonlijke gegevens was het resultaat van de toetreding van de Russische Federatie tot de Europese Conventie van 1981 "over de bescherming van de persoon in verband met de automatische verwerking van persoonsgegevens", waarin de basisprincipes voor de bescherming van persoonsgegevens in Europese landen zijn vastgelegd. Dit verdrag en de daaropvolgende richtlijnen van de Europese Unie schetsten de taken die de nationale wetgeving zou moeten aanpakken bij de regulering van persoonsgegevens:
Onze wet herhaalt grotendeels de belangrijkste bepalingen van de Europese wetgeving op dit gebied, dat als een van de moeilijkste 2 in de wereld wordt beschouwd. Hoewel er in 2006 vaak over de wet werd gesproken, maar weinig mensen hebben de inhoud van de bepalingen zorgvuldig gelezen. Maar om de naleving van de vereisten te waarborgen, is het noodzakelijk om het werk aanzienlijk te veranderen met informatie en documentatie die persoonlijke gegevens bevatten. Laten we proberen te achterhalen wat er nieuw is op het gebied van het beheren van documenten en informatie in de organisatie?
Laten we nu dieper ingaan op de belangrijkste bepalingen van de wet en beoordelen wat organisaties en instellingen moeten ondernemen om het uit te voeren. Daarnaast zullen we proberen sommige bepalingen van de wet te analyseren in termen van de juistheid en duidelijkheid van hun bewoordingen.
De allereerste vraag: op wie is deze wet van toepassing? In reactie daarop kunnen we gerust zeggen dat het van toepassing is op iedereen zonder uitzondering (op staatsinstellingen, rechtspersonen en individuen). Hier is een lijst van artikel 1:
Het tweede belangrijke punt is de reikwijdte van de wet.
Artikel 1 van de federale wet van de Russische Federatie "On Personal Data" nr. 152-FZ van 27 juli 2006
Deze federale wet regelt de relaties die verband houden met de verwerking van persoonsgegevens... met behulp van automatiseringstools of zonder gebruik van dergelijke middelen, als de verwerking van persoonlijke gegevens zonder gebruik van dergelijke middelen overeenkomt met de aard van de acties (bewerkingen) die met persoonlijke gegevens worden uitgevoerd met behulp van automatiseringsmiddelen.
De bewoording van dit artikel is een voorbeeld van het niet schrijven van wetten. Het bleek iets onbegrijpelijks te zijn, waardoor verschillende interpretaties mogelijk waren. Hoe, op basis van een dergelijke tekst, bijvoorbeeld de vraag beantwoord kan worden of de gegevens die in een vrije vorm in een zakelijke notebook worden gedekt, binnen de werkingssfeer van de wet vallen? Als een dergelijke notebook wordt opgeslagen op een computer of in een mobiele telefoon, wordt dit dan beschouwd als "gebruik van automatiseringsapparatuur"?
De Europese wetgeving op dit gebied is duidelijker:
EU-richtlijn 95/46 / EG 1995
Artikel 2 "Definities":
(c) "systeem voor de opslag van persoonlijke gegevens" 4 ("opslagsysteem"): elke gestructureerde reeks persoonlijke gegevens waartoe toegang kan worden verkregen volgens bepaalde criteria - ongeacht de organisatie van de gegevensverzameling, gecentraliseerd, gedecentraliseerd of gedistribueerd op functionele of geografische basis...
Artikel 3 "Toepassingsgebied":
1. Deze richtlijn heeft betrekking op de verwerking van persoonsgegevens door middel van automatische middelen (geheel of gedeeltelijk), alsmede op de verwerking met andere middelen dan automatische persoonsgegevens, componenten of bedoeld om deel uit te maken van de opslagsystemen.
In moderne computerterminologie betekent "gestructureerde data" allereerst databases. Bij papierwerk bevatten ze kaartbestanden en archieven van persoonlijke bestanden. Daarom omvatten Europese vereisten:
Waarom het onmogelijk was om in het Russisch en in onze wet te schrijven, blijft onbegrijpelijk?
Aandacht moet worden besteed aan het verschil in terminologie: "automatische verwerking" is één ding, en de verwerking "met behulp van automatiseringsapparatuur" is een heel ander concept, veel breder en vager.
De wet voorziet slechts in vier uitzonderingen, namelijk, de wet is niet van toepassing op relaties die ontstaan:
Een van deze punten vereist meer gedetailleerde studie. Om te beginnen citeren we de wet:
Artikel 1 van de federale wet van de Russische Federatie "On Personal Data" nr. 152-FZ van 27 juli 2006
2. Deze federale wet is niet van toepassing op betrekkingen die voortvloeien uit:
2) de organisatie van opslag, verwerving, boekhouding en gebruik, met persoonsgegevens van documenten van het Archieffonds van de Russische Federatie en andere archiefdocumenten in overeenstemming met de wetgeving inzake archieven in de Russische Federatie.
We herinneren u aan twee definities die zijn vastgelegd in de wet "Over archiefzaken in de Russische Federatie" nr. 125-ФЗ van 10.22.2005:
Hier is een voorbeeld van hoe dit kan worden gedaan. Volgens de federale wet "Over archieven in de Russische Federatie" (deel 2 van artikel 18) keurt de regering van de Russische Federatie de lijst goed van federale uitvoerende instanties en organisaties die opslagruimte voor documenten van het archieffonds van de Russische Federatie die federaal eigendom zijn, uitvoeren. Eind 2006 werd een nieuwe lijst van 5 van deze afdelingen en organisaties goedgekeurd. Tegelijkertijd kregen deze organisaties de opdracht om met Rosarkhiv een overeenkomst te sluiten over de bewaarcondities van documenten. Als bij het afsluiten van het contract specifiek is bepaald dat alle documenten, behalve de operationele documenten, worden beschouwd als documenten die voor bewaring zijn overgedragen, kan het grootste deel van de documenten onder deze uitzondering worden geplaatst.
Voor andere staatsorganisaties zou een van de opties de snelle goedkeuring kunnen zijn van casusrecords met staatsarchieven, wat in feite zou betekenen dat documenten in het Archival Fund van de Russische Federatie worden opgenomen en dat de wet op persoonlijke gegevens opnieuw wordt "verlaten".
Richtlijnen van de Europese Unie bevatten geen dergelijke uitzondering, maar het bestaat bijvoorbeeld in het Amerikaanse Code 6, dat een meer correcte formulering bevat die dubbelzinnigheid niet toestaat: wetgeving met betrekking tot persoonlijke gegevens is doorgaans niet van toepassing op documenten die al in staatsarchieven zijn gedeponeerd, maar is van toepassing op documenten die door een instantie voor bewaring zijn overgedragen aan de staatsarchieven.
Het is ook onduidelijk waarom, vanuit onze talrijke staatsdatabanken, onze wet een uitzondering maakte voor het Unified State Register of Individual Entrepreneurs (EGRIP). Het zou dan ook logisch zijn om de uitzondering uit te breiden tot andere registers van de staat die ook persoonsgegevens bevatten (de opneming omvat bijvoorbeeld informatie over de oprichters en eerste personen van alle juridische entiteiten van het land).
Persoonlijke gegevens - alle informatie met betrekking tot een fysieke persoon (onderwerp van persoonlijke gegevens) bepaald of bepaald op basis van dergelijke informatie, waaronder zijn achternaam, voornaam, familienaam, jaar, maand, geboortedatum en geboorteplaats, adres, familie, sociale status, eigendomsstatus, onderwijs, beroep, inkomen, andere informatie (volgens artikel 3 van de wet op persoonlijke gegevens).
De wet voorziet in de volgende methoden voor de verwerking van persoonsgegevens (voor een aantal van hen worden gedetailleerde uitleg gegeven in artikel 3):
Er moet speciale aandacht worden besteed aan dergelijke verwerkingsmethoden zoals het blokkeren en vernietigen van persoonsgegevens. De wet zegt vrij goed over vernietiging - dit is de aanpak die nu wordt aanbevolen door binnenlandse en buitenlandse normen. Wat het blokkeren van persoonlijke gegevens betreft, is deze methode voor verwerking in de huisartspraktijk voor het eerst geïntroduceerd en kan de uitvoering ervan het leven van organisaties aanzienlijk bemoeilijken met behulp van eerder ontwikkelde informatiesystemen en databases waarin een dergelijke bewerking niet wordt aangeboden.
De bepalingen van de wet zijn in de eerste plaats gericht op het voorkomen van het illegaal verzamelen en gebruiken van persoonlijke gegevens. Deze wens van de wetgever heeft geleid tot de opkomst van een nieuwe positie voor de archiveringspraktijk:
Clausule 2 van artikel 5 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ
Persoonlijke gegevens moeten worden opgeslagen in een vorm die het mogelijk maakt het onderwerp te bepalen, niet langer dan de verwerkingsdoeleinden vereisen, en moeten worden vernietigd wanneer de doelen van de verwerking van persoonsgegevens worden bereikt of het verlies van de noodzaak om deze te bereiken.
In dit geval stelt de wet voor de eerste keer misschien voor informatie en documenten de maximale en bovendien voorwaardelijke bewaarperiode in - "na het behalen van verwerkingsdoelstellingen". Organisaties moeten opslagperioden vaststellen voor documenten die persoonlijke gegevens bevatten, en het zal noodzakelijk zijn om van tevoren na te denken over de reden voor de geselecteerde opslagperioden. Dit is een nogal gecompliceerde vraag die veel controverse en problemen kan veroorzaken.
Bovendien moeten DOE-specialisten aandacht besteden aan het volgende: aangezien de doelen voor het verzamelen en verwerken van persoonlijke gegevens, zoals vereist door de wet, moeten worden bepaald voordat met het werk wordt begonnen, is het noodzakelijk om zorgvuldig na te denken over hun formulering. Anders kan de organisatie zelf zichzelf "substitueren": de doelen worden bereikt en persoonlijke gegevens worden niet vernietigd.
Een van de meest onaangename voor organisaties die persoonlijke gegevens verzamelen en verwerken, is de eis van artikel 6 over de noodzaak om de toestemming van het onderwerp te verkrijgen voor de verwerking ervan. Geen toestemming is alleen vereist in de volgende gevallen:
We hebben al een aantal federale wetten die de verwerking van persoonlijke gegevens beschrijven, bijvoorbeeld bij het onderhouden van de Unified State Registrars of Taxpayers (EGRN) en rechtspersonen (USR). De enige voorwaarde voor het gebruik van de uitzondering op de algemene toestemmingsvereiste is om de volgende vragen in de relevante wetgeving uiteen te zetten:
Het is nog niet duidelijk wat er zal gebeuren met die wetten die normen bevatten met betrekking tot het verzamelen en verwerken van persoonlijke gegevens, maar niet voldoen aan de opgegeven voorwaarde.
De eerste om de problemen in verband met de naleving van de nieuwe wet, trok de aandacht van verzekeringsmaatschappijen. Naar hun mening kan de wet op persoonsgegevens de uitvoering van de wet inzake verplichte wettelijke aansprakelijkheidsverzekering voor motorrijtuigen (MTPL) ernstig belemmeren vanwege het verbod om de persoonlijke gegevens van de cliënt die zijn verkregen bij het sluiten van het MTPL-contract, zonder zijn toestemming aan derden door te geven. Als gevolg hiervan zal de verzekeringsmaatschappij niet in staat zijn om volledige informatie over haar klanten te verkrijgen uit een enkele database (en het onderhouden van een dergelijke database is ook twijfelachtig), in deze situatie nemen de risico's van verzekeraars toe.
Verzekeraars proberen dit belangrijke probleem al voor hen op te lossen door de volgende opties te overwegen:
Paragraaf 6 van artikel 6 over de verlening van het recht op verwerking van persoonsgegevens aan journalisten, wetenschappers en vertegenwoordigers van andere creatieve beroepen zonder de toestemming van het onderwerp is twijfelachtig. Het is tamelijk realistisch (vooral in commerciële structuren) om een fulltime positie in te voeren als "een vertegenwoordiger van het creatieve vak" en alle databases die persoonlijke informatie bevatten te "schrijven".
In Engeland wordt bijvoorbeeld in een soortgelijke wetsbepaling aanvullend bepaald dat in dit geval het doel van gegevensverwerking de publicatie van het relevante materiaal moet zijn; dat een dergelijke publicatie in het openbaar belang moet zijn (inclusief in de uitoefening van het recht op zelfexpressie van een vertegenwoordiger van het creatieve beroep) 9.
Daarnaast is het interessant hoe we bepalen wie een journalist of schrijver is en wie niet. Het is geen geheim dat veel van de schrijvende broeders niet de juiste diploma's of officiële ID's hebben. Hier kan de in de VS gebruikte aanpak nuttig voor ons zijn: journalisten herkennen al wie artikelen schrijft voor openbare verspreiding, zelfs als ze alleen op internet worden gepubliceerd.
In de Verenigde Staten in januari 2007 begon het proces tegen de voormalige regering van George Bush Lewis, "Scooter", Libby. Honderd stoelen werden gereserveerd voor de pers in de rechtszaal en twee ervan werden officieel ontvangen door de auteurs van de internetdagboeken.
De American Society of Newspaper Editors, bij het opstellen van een federale wet op het verlenen van journalisten het recht om tijdens gerechtelijke procedures geen vertrouwelijke informatie bekend te maken, suggereert dat deze wet zonder uitzondering van toepassing is op iedereen die informatie verzamelt voor verdere verspreiding. En de auteurs van internetdagboeken, "bloggers", vallen ook onder deze definitie 10.
Laten we nu eens kijken hoe de nieuwe wet inhoudt dat de persoon toestemming krijgt om zijn persoonlijke gegevens te verwerken.
Clausule 1 van artikel 9 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ
Het onderwerp persoonlijke gegevens beslist over de verstrekking van zijn persoonlijke gegevens en stemt in met de verwerking ervan door zijn eigen wil en in zijn eigen belang... De toestemming voor de verwerking van persoonsgegevens kan door het subject van persoonsgegevens worden ingetrokken.
Bovendien bevat artikel 3, lid 3, een tamelijk onaangename voorwaarde voor exploitanten. Ze moeten ofwel bewijsmateriaal verzamelen dat de door hen verzamelde gegevens afkomstig zijn uit openbaar beschikbare bronnen, of toestemming verkrijgen van het subject van persoonlijke gegevens en dit document vervolgens opslaan in het geval het "onderwerp" besluit de exploitant te vervolgen wegens schending van zijn rechten.
Met openbaar beschikbare gegevens is ook niet zo eenvoudig. Artikel 8, waarin wordt gedefinieerd wat wordt bedoeld met openbaar toegankelijke bronnen van persoonsgegevens (naslagwerken, adresboeken, enz.), Benadrukt dat persoonlijke informatie alleen daar kan worden opgenomen met schriftelijke toestemming van het onderwerp. Bovendien kan "informatie over het onderwerp van persoonlijke gegevens op elk moment worden uitgesloten van openbaar beschikbare bronnen van persoonlijke gegevens op verzoek van het subject van persoonsgegevens of door een rechtbank of andere bevoegde overheidsinstanties."
Aan de andere kant, als een organisatie openbaar beschikbare bronnen van persoonlijke gegevens zou gebruiken bij het verzamelen van informatie, dan zou het moeten documenteren waar het deze informatie heeft ontvangen en ervoor zorgen dat de "bron" de schriftelijke toestemming heeft die wettelijk vereist is.
Federale wet van de Russische Federatie "Op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ
Artikel 12 van artikel 3. Basisvoorwaarden gebruikt in deze federale wet
Algemeen toegankelijke persoonlijke gegevens zijn persoonlijke gegevens waarvan een onbeperkt aantal personen toegang hebben met toestemming van het subject van persoonlijke gegevens of aan wie de vereiste van vertrouwelijkheid niet van toepassing is in overeenstemming met federale wetten.
Clausule 1 van artikel 8. Over het algemeen toegankelijke bronnen van persoonlijke gegevens
Om informatie te ondersteunen, kunnen openbaar toegankelijke bronnen van persoonlijke gegevens (inclusief naslagwerken, adresboeken) worden gemaakt. Publiek beschikbare bronnen van persoonlijke gegevens met de schriftelijke toestemming van het onderwerp van persoonlijke gegevens kunnen zijn achternaam, voornaam, middelste naam, jaar en plaats van geboorte, adres, abonneenummer, informatie over het beroep en andere persoonlijke gegevens verstrekt door het onderwerp van persoonlijke gegevens.
Artikel 3 van artikel 9. Toestemming tot het onderwerp van persoonsgegevens over de verwerking van hun persoonsgegevens
De verplichting om te bewijzen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens, en in het geval van de verwerking van openbaar toegankelijke persoonlijke gegevens, is de exploitant verplicht te bewijzen dat de verwerkte persoonsgegevens openbaar zijn.
Het blijkt dat organisaties zichzelf moeten beschermen als ze om een officiële bevestiging voor elke burger moeten vragen.
Hoe moet de schriftelijke toestemming van de proefpersoon worden ingediend? Het blijkt dat de handtekening van een burger onder de algemene zin "Ik ga akkoord met het verzamelen en verwerken van mijn persoonlijke gegevens" niet voldoende zal zijn.
Clausule 4 van artikel 9 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ
... de schriftelijke toestemming van het subject van persoonsgegevens voor de verwerking van hun persoonsgegevens moet het volgende omvatten:
Dit betekent dat de exploitant, voordat hij het onderwerp 'persoonlijke gegevens' vangt en probeert in te stemmen met zijn toestemming, een speciale vorm van het document moet ontwikkelen die alle benodigde informatie bevat.
Allereerst heeft het onderwerp persoonlijke gegevens recht op de volgende informatie:
Van de exploitant kan het onderwerp persoonlijke gegevens vereisen:
Veel moeilijkheden voor exploitantenorganisaties zullen clausule 2 van artikel 14 van de wet creëren, die vereist dat informatie over de beschikbaarheid van persoonsgegevens door de exploitant aan het onderwerp wordt verstrekt in een toegankelijke vorm en dat ze geen informatie bevatten met betrekking tot andere onderwerpen van persoonlijke gegevens.
De "Durant vs. Financial Services Authority" -zaak 11, die in december 2003 in het Court of Appeal in Engeland werd behandeld, kreeg een breed antwoord. De beslissing van de rechtbank heeft de interpretatie van het begrip "persoonsgegevens" aanzienlijk ingeperkt. In het bijzonder heeft de rechtbank aangegeven dat alleen al het vermelden van deze persoon in de tekst van het document niet voldoende is om het document met persoonsgegevens in overweging te nemen. Bovendien heeft de rechtbank bevestigd dat het recht op toegang tot hun persoonlijke gegevens geen inbreuk mag maken op de rechten van derden en dat daarom persoonlijke gegevens van derden moeten worden verwijderd uit de kopieën van documenten die op verzoek worden verstrekt (behalve bij speciale toevalligheden van omstandigheden).
In november 2004 ontkende de regering het recht van werknemers in het VK om toegang te krijgen tot hun persoonlijke gegevens, ongeacht of hun werkgever ze in papieren of elektronische vorm bewaart, als ze worden opgeslagen in een systeem dat de informatie over elke persoon niet duidelijk structureert. Zo werden de opslagsystemen voor papieren bestanden (met uitzondering van persoonlijke bestanden) de facto verwijderd van de actie van de wet inzake het verlenen van toegang tot persoonlijke informatie, aangezien ze zijn moeilijk om informatie over een bepaalde persoon te isoleren.
Om toegang te krijgen tot hun persoonlijke gegevens, moeten onze landgenoten:
Dit verzoek kan in elektronische vorm worden verzonden en ondertekend met een digitale handtekening. Zo biedt de wet formeel de mogelijkheid om hun persoonlijke gegevens aan te vragen via elektronische communicatiekanalen. We hebben nog geen personen met een eigen EDS die voldoen aan de wet op EDS (in de overgrote meerderheid van de gevallen wordt EDS in ons land gebruikt in overeenstemming met artikel 160 van het Burgerlijk Wetboek, dat voorziet in een voorlopig akkoord tussen de partijen).
De hoeveelheid informatie die een persoon met persoonsgegevens kan opvragen, geeft blijk van zorg voor onze burgers. Organisaties die de database met persoonsgegevens leiden, wordt aanbevolen speciale aandacht te schenken aan artikel 14, lid 4 van de nieuwe wet om de procedure voor het verstrekken van informatie in interne regelgeving te overdenken en te consolideren:
De kwestie van de verwerking van persoonsgegevens "om goederen, werken, diensten op de markt te promoten door rechtstreekse contacten met een potentiële consument door middel van communicatiemiddelen, en voor politieke campagnes" is gewijd aan een speciaal artikel (artikel 15). Nu moeten commerciële en politieke organisaties, alvorens reclame te verzenden, de voorafgaande toestemming van de burger verkrijgen, en de verwerking van PD "wordt erkend zonder de voorafgaande toestemming van het subject van persoonsgegevens, als de exploitant niet bewijst dat die toestemming is verkregen." Voor sommige commerciële structuren kan deze vereiste zeer ongelegen zijn!
Vanaf nu is het "verboden om beslissingen te nemen op basis van uitsluitend geautomatiseerde verwerking van persoonsgegevens, die aanleiding geven tot juridische gevolgen met betrekking tot het onderwerp van persoonsgegevens of anderszins van invloed zijn op zijn rechten en legitieme belangen" (artikel 16).
Deze bepaling is noodzakelijk en actueel. Maar onze wetgevers, bij het formuleren ervan, verwarden twee verschillende noties: "automatisch" (dat wil zeggen, zonder menselijke participatie) en "geautomatiseerd" (dat wil zeggen, gaan met menselijke participatie). Als een resultaat, dit artikel, in plaats van het opleggen van extra beperkingen aan die en alleen wanneer het informatiesysteem beslissingen neemt zonder menselijke participatie (bijvoorbeeld het vragen van een boete, het verbieden van reizen buiten het land, etc.), kan geïnterpreteerd als het opleggen van beperkingen aan alle soorten verwerking van persoonsgegevens, aangezien zelfs het gebruik van een rekenmachine kan worden begrepen als geautomatiseerde verwerking!
In hetzelfde artikel van de nieuwe wet staat dat de exploitant alleen beslissingen kan nemen op basis van "geautomatiseerde" verwerking als:
In sommige regelgevingsdocumenten is al rekening gehouden met deze vereisten van de wet. Zo is er in de voorbeelden van aanvragen voor de afgifte van een nieuw generatiepaspoort een speciale rubriek waarin de aanvrager instemt met de "geautomatiseerde" verwerking van de gegevens die in de aanvraag worden vermeld. Het klinkt als volgt: "Ik ga akkoord met de geautomatiseerde verwerking, verzending en opslag van de gegevens die in de aanvraag zijn gespecificeerd met het oog op het vervaardigen, verwerken en controleren van een paspoort tijdens de geldigheidsperiode" 12.
De exploitant moet ook de burger van tevoren de volgende informatie verstrekken:
In geval van een geschil moet de exploitant bewijzen dat hij aan alle wettelijke vereisten heeft voldaan. Dit betekent dat hij ondersteunende documenten zorgvuldig moet verzamelen en opslaan.
De verplichtingen van de exploitant, in overeenstemming met artikel 18, omvatten hoofdzakelijk het verstrekken van persoonlijke informatie op verzoek van de burger. Bovendien moet de exploitant "de wettelijke gevolgen van het weigeren om zijn persoonsgegevens te verstrekken aan het onderwerp van de persoonsgegevens verduidelijken", indien deze verplichting is vastgelegd door de federale wetgeving.
Artikel 20 stelt zeer strikte termijnen vast voor operatoren om aan verzoeken van personen met persoonsgegevens te voldoen (ze zijn veel moeilijker, bijvoorbeeld die welke zijn opgenomen in de recentelijk uitgegeven wet "De procedure voor het in aanmerking nemen van beroepen van burgers van de Russische Federatie"):
De operator zal nog meer vragen hebben als het noodzakelijk is om overtredingen van de wet te elimineren binnen het tijdsbestek dat is vastgelegd in artikel 21 van de nieuwe wet. Gegevensblokkering moet worden uitgevoerd vanaf het moment van het verzoek of vanaf het moment van ontvangst van het verzoek en het elimineren van overtredingen - binnen 3 werkdagen.
In sommige gevallen is de exploitant verplicht om persoonsgegevens binnen 3 werkdagen te vernietigen, namelijk:
Zowel het blokkeren als vernietigen van persoonlijke gegevens kan moeilijk (en soms zelfs onmogelijk) zijn om te implementeren in huidige besturingsinformatiesystemen en databases die voorheen niet in een dergelijke mogelijkheid voorzagen.
De operator zal het nog moeilijker krijgen als hij persoonlijke gegevens ontvangt, niet van een burger, maar van een derde partij.
Artikel 3 van artikel 18 van de federale wet van de Russische Federatie "Op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ
Als persoonlijke gegevens niet van de betrokkene zijn ontvangen, tenzij de persoonsgegevens zijn verstrekt aan de exploitant op grond van federale wetgeving of als persoonlijke gegevens openbaar beschikbaar zijn, moet de exploitant de volgende gegevens aan de betrokkene verstrekken voordat deze persoonsgegevens worden verwerkt:
Achter deze woorden gaat meer tijdrovend werk. De vraag kan bijvoorbeeld rijzen: hoe moet deze informatie aan het onderwerp worden verstrekt? Is het mogelijk om het per post te verzenden en wordt de informatie geacht te zijn verstrekt als het onderwerp de corresponderende brief niet heeft ontvangen?
De verplichting van de exploitant, in overeenstemming met artikel 19, is ook om de veiligheid van persoonsgegevens tijdens de verwerking ervan te waarborgen. Om problemen te voorkomen, moet de organisatie van de exploitant alle organisatorische en technische informatiebeveiligingsmaatregelen die hij bereid is te treffen om de persoonsgegevens in zijn informatiesystemen te beschermen, in de regelgevingsdocumenten ontwikkelen en consolideren.
De wet bepaalt dat alle exploitanten die de verwerking van persoonsgegevens uitvoeren, de bevoegde instantie vooraf moeten informeren (artikel 22), die gegevens bijhoudt van de exploitanten in een speciaal register. De bevoegde instantie is volgens artikel 23 het ministerie van informatietechnologie en communicatie van Rusland, dat momenteel "controlefuncties en supervisies op het gebied van informatietechnologie en communicatie" vervult. De melding moet gedetailleerd beschrijven wat er met persoonlijke gegevens is gepland. Alle wijzigingen met betrekking tot de verwerking van persoonsgegevens moeten ook worden gemeld aan de bevoegde instantie.
Het is toegestaan om persoonlijke gegevens te verwerken zonder de bevoegde instantie hiervan in kennis te stellen in de volgende gevallen:
Tot slot zullen we een aantal aanbevelingen aan exploitanten doen. Het zal niet moeilijk zijn om aan de vereisten van de wet op persoonsgegevens te voldoen als dit werk nu wordt gestart, zonder te wachten op de eerste klachten en klachten. U kunt beginnen met de volgende voor de hand liggende maatregelen:
In dit artikel wordt een analyse van de nieuwe wet op de bescherming van persoonsgegevens gemaakt vanuit het oogpunt van specialisten op het gebied van records management, die veel bloed zullen vergallen. De doeltreffendheid ervan zal worden aangetoond door de praktijk, maar vooralsnog schat ik als "persoonsgerelateerde persoon" de lijst van overheidsinstanties waarnaar ik een verzoek zou kunnen sturen om mij, met inachtneming van de wettelijke vereisten, relevante informatie te verstrekken. Nu heb ik gelijk!
1 Artikel 25 van hoofdstuk IV van Richtlijn 95/46 / EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van de rechten van het individu wat de verwerking van persoonsgegevens en het vrije verkeer van die gegevens betreft.
2 Het is interessant dat zelfs de Verenigde Staten niet voldoen aan strikte Europese eisen, en Amerikaanse bedrijven worden gedwongen om zogenaamde "parapluovereenkomsten" te gebruiken.
3 Het subject van de persoonlijke gegevens is een persoon wiens persoonlijke gegevens worden verwerkt.
4 "systeem voor het archiveren van persoonlijke gegevens"
5 De lijst van federale uitvoerende autoriteiten en organisaties die zich bezighouden met het bewaren van documenten van het Archival Fonds van de Russische Federatie die federaal eigendom zijn, omvat 18 organisaties: het Ministerie van Binnenlandse Zaken van Rusland, het Ministerie van Buitenlandse Zaken van Rusland, het Ministerie van Defensie van Rusland, SVR van Rusland, FSB van Rusland, Federal Drug Control Service van Rusland, FSIN van Rusland, Rosatom, Roskartografiya, Russian Academy of Agricultural Sciences, Russian Academy of Medical Sciences, Russian Academy of Education, Russian Academy of Arts, Russian Academy of Architecture and Construction Sciences, State Foundation: All-Russian Research Institute of Hydrometeorological Information - World Data Center, Federale Staatsinstelling "Staatsfonds voor televisie- en radioprogramma's", Federale Staatsunit Wetenschappelijk Productiebedrijf "Russisch Federaal Geologisch Fonds", Federale Staatsunit "Russisch wetenschappelijk-technisch centrum informatie over standaardisatie, metrologie en conformiteitsbeoordeling ".
6 5 U.S. C. § 552a (k) (1) "Documenten aan personen - Speciale uitzonderingen - Archiefdocumenten".
7 Exploitant - een overheidsinstantie, gemeentelijke instantie, rechtspersoon of natuurlijke persoon, die de verwerking van persoonsgegevens organiseert en (of) uitvoert, en het doel en de inhoud van de verwerking van persoonsgegevens definieert.
9 Data Protection Act 1998, artikel 32.
11 Durant vs Financial Services Authority (FSA).
12 Bijlage nummer 1 bij de Instructies voor de procedure voor de verwerking en afgifte van een paspoort van een burger van de Russische Federatie, een diplomatiek paspoort en een dienstpaspoort, die de identiteit van een burger van de Russische Federatie buiten het grondgebied van de Russische Federatie met elektronische media bevatten (goedgekeurd op bevel van het Ministerie van Binnenlandse Zaken van de Russische Federatie, Ministerie van Buitenlandse Zaken van de Russische Federatie en de Federale veiligheidsdienst van de Russische Federatie van 6 oktober 2006 nr. 785/14133/461).