Wat zijn de manieren om persoonlijke gegevens te verwerken?

In de arbeidscode van de Russische Federatie is er een term als 'persoonlijke informatie van een werkende persoon'. Gegevens over het operationele contingent moeten aan de werkgever worden verstrekt.

Na het onderzoeken van persoonlijke informatie, maakt de werkgever een oordeel over het nemen van een persoon naar het bedrijf.

De informatie die een persoon over zichzelf presenteert, moet worden beschermd. Verspreiden is verboden.

Beste lezers! Onze artikelen vertellen over typische manieren om juridische problemen op te lossen, maar elke zaak is uniek.

Als u wilt weten hoe u uw probleem precies kunt oplossen, bel dan, het is snel en gratis!

systeem

Persoonlijke informatie over werknemers moet worden ontwikkeld.

De werkgever hanteert de volgende vereisten voor de persoonlijke gegevens van werkende personen:

1. Het verwerken van persoonlijke informatie over een werkende persoon vindt plaats om naleving van wetten en rechtshandelingen te waarborgen. Dankzij de gegevensverwerking kunt u een persoon in dienst nemen, hem persoonlijke veiligheid bieden, het werk controleren dat hij uitvoert.
2. De werkgever houdt rekening met de reikwijdte en de inhoud van persoonlijke informatie over het werkcontingent dat wordt verwerkt. Alle werkgevers bestuderen en volgen aspecten van de Grondwet, andere federale wetten.
3. Informatie over het werkende team moet rechtstreeks van de werknemers zelf worden verkregen. U kunt informatie krijgen over de werkende persoon vanaf een derde mond, maar alleen met de schriftelijke toestemming van de persoon. De werkgever informeert medewerkers over hun doelen en bronnen, waaruit persoonlijke informatie wordt verzameld. De werkgever waarschuwt voor de gevolgen in gevallen van weigering om persoonlijke informatie van de werkende persoon te verspreiden.
4. Een persoon die werk biedt aan zijn werknemers heeft geen recht op informatie over allerlei politieke, religieuze of andere overtuigingen, evenals het gezinsleven van een werknemer. Het persoonlijke leven van een werknemer kan alleen met zijn toestemming worden vermeld. De overeenkomst moet schriftelijk zijn aangegaan.
5. De werkgever mag bij de verwerking van informatie over de aanwezigheid van werknemers in lidmaatschapsverenigingen, vakbonden niet gebruiken. Maar er zijn situaties waarin de federale wet voorziet.
6. Alle persoonlijke informatie moet worden beschermd en verborgen voor publieke controle en gebruik. Gegevensbescherming is onderworpen aan de voorwaarden van de federale wet.
7. Werknemers bestuderen documenten die bij de instelling horen. Ze moeten de betekenis en volgorde bekendmaken van de processen voor de verwerking van persoonsgegevens van werknemers.
8. Werkende mensen moeten de bescherming van hun persoonlijke gegevens accepteren.
9. Werkgevers, zowel als werknemers, kunnen samenwerken om manieren te ontwikkelen om de persoonlijke informatie van werknemers te beschermen.

Bij het communiceren van informatie over werknemers moet de directeur van de onderneming de volgende regels naleven:

• Een derde partij hoeft niet te weten over de persoonlijke gegevens van elke werknemer. Gegevens mogen alleen worden verstrekt in gevallen waarin de werknemers schriftelijk hebben ingestemd met het gebruik van hun persoonlijke gegevens. Maar als er een bedreiging voor het levensonderhoud bestaat, de gezondheid van het werkende team, dan kunnen persoonlijke gegevens aan anderen worden verstrekt zonder schriftelijke toestemming;
• de werkgever mag geen gegevens publiceren over het team dat er aan werkt met het oog op handel;
• mensen die informatie over werknemers ontvangen, moeten deze verwerken binnen het vertrouwelijkheidskader;
• de overdracht van informatie over een persoon gebeurt slechts in één organisatie via speciale interne handelingen van de instelling;
• informatie over de werknemer heeft alleen toegang tot speciale bevoegde personen;
• geen noodzaak om informatie op te vragen over de gezondheid van werkende personen. Een verzoek kan alleen worden gedaan in gevallen waarin de vraag rijst of de werkende mensen hun arbeidsfuncties kunnen uitoefenen;
• persoonlijke gegevens over het werkcontingent kunnen worden verzameld met inachtneming van de gegevens van de Code.

Een werkend contingent heeft het recht om:

• kennis nemen van uw persoonlijke gegevens en hun verwerking;
• onbeperkte toegang tot persoonlijke informatie. Een werkende persoon kan kopieën van informatiegegevens worden verstrekt. Maar er zijn situaties waarin persoonlijke informatie niet wordt bekendgemaakt. Deze situaties worden beschreven in de federale wet;
• een medisch professional kan persoonlijke gegevens van werknemers bekijken;
• de mogelijkheid om onderwerpen van persoonlijke gegevens te corrigeren of aan te vullen.

De volgende soorten verwerking van persoonsgegevens worden onderscheiden:

1. Verwerking van informatie met behulp van computertechnologie.
2. Geen geautomatiseerde verwerking.
3. Informatiesysteem dat de verstrekte gegevens verwerkt.

automated

Deze verwerking wordt uitgevoerd met behulp van een speciale computertechnologie. De meest voorkomende computermachines kunnen zijn:

• elektronische computer;
• hulpapparatuur;
• randapparatuur;
• noodzakelijk geïnstalleerde software.

Niet-geautomatiseerde

De meest gedetailleerde beschrijving van niet-geautomatiseerde verwerking is vastgelegd in overheidsbesluit nummer 687.

Distributie, studie en verwijdering van informatie over het werkende contingent moet worden uitgevoerd met een deel van een persoon, niet met computertechnologie.

informatie

Dankzij het informatiesysteem worden speciale categorieën persoonlijke gegevens over het operationele contingent verwerkt. Dit systeem verwerkt gegevens die van invloed zijn op het lidmaatschap van een bepaald ras en geslacht, nationaliteit, politieke opvattingen, filosofische kijk.

Dankzij het informatiesysteem kan worden verwerkt:

• biometrische persoonlijke gegevens. Vooral als er een kenmerk is van fysiologische, biologische gegevens. Dankzij de verkregen kenmerken is het mogelijk om de persoonlijkheid van de werknemers te beoordelen;
• gedeelde persoonlijke gegevens;
• andere informatiegegevens. Een voorbeeld hiervan zijn religieuze, nationale ideeën, filosofische zienswijzen, momenten van de intieme aard van het werkcontingent en vele andere belangrijke persoonlijke kenmerken tot aan de gezondheidstoestand.

Dus, persoonlijke informatie over elke werknemer is vervat in alle werkgevers. De directeur heeft in geen geval het recht om bestaande gegevens over de persoon te verspreiden.

De verkregen informatie over het operationele contingent kan op verschillende manieren worden verwerkt: met behulp van computertechnologie, met behulp van persoonlijke krachten, dankzij het informatiebeoordelingssysteem.

In alle gevallen worden de persoonlijke gegevens van elke medewerker grondig onderzocht.

Manieren om persoonsgegevens te verwerken

In opdracht van het burgerlijk wetboek van de regio Amur

van 26 december 2012, nr. 626

met betrekking tot de verwerking van persoonsgegevens

1. ALGEMENE BEPALINGEN

1.1. Dit document (hierna te noemen het Beleid) is een systematische weergave van de doelstellingen, principes, methoden en voorwaarden voor de verwerking van persoonsgegevens, informatie over de geïmplementeerde vereisten voor de verwerking en bescherming van persoonsgegevens in de GKU van het Amur-gebied van het Centraal Ziekenhuis van de Vrije (hierna het Werkgelegenheidscentrum).

1.2. Het beleid is gebaseerd op de vereisten van de federale wet van de Russische Federatie "Op persoonlijke gegevens", andere wettelijke wettelijke handelingen van de Russische Federatie tot vaststelling van de procedure voor de verwerking en bescherming van persoonsgegevens. Het beleid is een openbaar document.

1.3. In overeenstemming met de federale wet van 27 juli 2006 nr. 152-ФЗ "Op persoonlijke gegevens" is het Employment Center de exploitant van persoonlijke gegevens (hierna "PD" genoemd).

2. VERWERKTE PERSOONSGEGEVENS

2.1. Belangrijkste termen gebruikt in het beleid:

· Persoonlijke gegevens - alle informatie met betrekking tot een fysieke persoon (onderwerp van persoonlijke gegevens) bepaald of bepaald op basis van dergelijke informatie, waaronder zijn achternaam, voornaam, familienaam, jaar, maand, geboortedatum en geboorteplaats, adres, familie, sociaal, eigendom functie, opleiding, beroep, inkomen, andere informatie;

· Verwerking van persoonsgegevens - acties (operaties) met persoonsgegevens, waaronder verzameling, systematisering, accumulatie, opslag, verfijning (update, wijziging), gebruik, distributie (inclusief overdracht), depersonalisatie, blokkering, vernietiging van persoonlijke gegevens;

2.2. In het kader van dit beleid betekent verwerkte persoonlijke gegevens:

· Persoonsgegevens verstrekt door ontvangers van openbare diensten die van toepassing zijn op het Employment Centre;

· Persoonlijke gegevens van werknemers van het arbeidsbureau of kandidaten voor vacatures;

3. DOELEINDEN VAN VERWERKING VAN PERSOONSGEGEVENS

3.1. De doelstellingen van PD-verwerking in het Employment Centre zijn:

· Zorgen voor de implementatie van de grondwettelijke rechten van burgers van de Russische Federatie op werk en sociale bescherming tegen werkloosheid door het aanbieden van openbare diensten op het gebied van werkgelegenheidsbevordering;

· Zorgen voor de toepassing van de grondwettelijke rechten van burgers om in beroep te gaan;

· Het verkrijgen van een objectieve beoordeling van de toestand van de arbeidsmarkt in de constituerende entiteit van de Russische Federatie (met betrekking tot ontvangers van openbare diensten voor arbeidsbemiddeling, werkloze burgers, burgers die bij het Employment Center solliciteren met voorstellen, verklaringen, klachten);

· Zorgen voor naleving van de grondwet van de Russische Federatie, wetten en andere wettelijke wetten, het helpen van werknemers bij het vinden van werk, opleiding en promotie voor werk, banengroei, het waarborgen van de persoonlijke veiligheid van werknemers, het controleren van de kwantiteit en kwaliteit van het uitgevoerde werk, het waarborgen van de veiligheid van eigendommen die erbij horen en het opnemen van de resultaten van hun prestaties taken en veiligheid van eigendommen van het Centre of employment.

· Het uitoefenen van de functies van een belastingagent bij het verstrekken van standaard belastingaftrekken (ten aanzien van gezinsleden van werknemers van het Employment Centre);

· Naleving van verplichtingen op grond van civielrechtelijke contracten (met betrekking tot personen die werkzaamheden verrichten, diensten verlenen in het kader van civielrechtelijke contracten met het Employment Centre).

4. PRINCIPES VAN VERWERKING VAN PERSOONSGEGEVENS

4.1. Implementatie van PD-verwerking op een wettelijke en eerlijke basis.

4.2. Beperking van PD-verwerking tot het bereiken van de specifieke, vooraf bepaalde en legitieme doelen die zijn aangegeven in deel 2 van dit document. Het is niet toegestaan ​​om persoonlijke gegevens te verwerken die onverenigbaar zijn met het doel om persoonlijke gegevens te verzamelen.

4.3. Het voorkomen van de combinatie van databases met PD, die worden verwerkt voor doeleinden die niet compatibel zijn met elkaar.

4.4. Alleen die PDS verwerken die voldoen aan de doeleinden van hun verwerking.

4.5. Naleving van de inhoud en het volume van PD verwerkt door de vermelde verwerkingsdoeleinden.

4.6. De ontoelaatbaarheid van ontslag verwerkt PD in relatie tot de aangegeven doelstellingen van hun verwerking.

4.7. Zorgen voor de juistheid van PD, hun toereikendheid en, indien nodig, en relevantie met betrekking tot de doeleinden van PD-verwerking.

4.8. Zorg ervoor dat de nodige maatregelen worden genomen om onvolledige of onnauwkeurige gegevens te verwijderen of te verfijnen.

4.9. Het uitvoeren van PD-opslag in een vorm die het mogelijk maakt een PD-subject te bepalen, is niet langer dan het doel van PD-verwerking vereist, als de PD-bewaarperiode niet door federale wetgeving is vastgesteld, het contract waartoe het PD-subject een begunstigde of garant is. Te verwerken PD's zijn onderhevig aan vernietiging of depersonalisatie bij het bereiken van verwerkingsdoelstellingen of bij het verlies van de noodzaak om deze doelstellingen te bereiken, tenzij anders bepaald door federale wetgeving.

5. METHODEN VOOR HET VERWERKEN VAN PERSOONSGEGEVENS

5.1. Het arbeidsbureau verwerkt PD op de volgende manieren:

· Niet-geautomatiseerde PD-verwerking (op papier);

· Geautomatiseerde verwerking (in ISPDn met en zonder het gebruik van automatiseringsapparatuur), waaronder: met en zonder transmissie via het lokale netwerk van het Employment Centre; met en zonder verzending via internet;

· Gemengde PD-verwerking.

5.2. Het arbeidsbureau kan onafhankelijk de methoden van PD-verwerking kiezen afhankelijk van de doeleinden van een dergelijke verwerking en zijn eigen materiële en technische mogelijkheden.

6. ALGEMENE VOORWAARDEN VOOR VERWERKING VAN PERSOONSGEGEVENS

6.1. PD-verwerking wordt uitgevoerd in overeenstemming met de principes en regels die zijn vastgelegd in de federale wet 'Op persoonlijke gegevens'.

6.2. PD-verwerking is toegestaan ​​in gevallen waarin de federale wet "Op persoonlijke gegevens" voorziet.

6.3. Het arbeidsbureau heeft het recht om de verwerking van PD aan een andere persoon toe te vertrouwen met toestemming van het onderwerp van de PD, tenzij anders bepaald door federale wetgeving, op basis van een contract met deze persoon, inclusief een staats- of gemeentecontract, of door het aannemen van een relevante wet door de staat of gemeentelijke instantie (hierna te noemen: ).

6.4. Als het Employment Center de verwerking van een PD toewijst aan een andere persoon, wordt de verantwoordelijkheid van de PD-persoon voor de acties van die persoon gedragen door het Employment Center. De persoon die namens het Employment Center persoonsgegevens verwerkt, is verantwoordelijk voor het Employment Center.

7. VERTROUWELIJKHEID VAN PERSOONSGEGEVENS

7.1. Het arbeidsbureau en andere personen die toegang hebben gekregen tot de PD zijn verplicht om niet aan derde partijen bekend te maken en niet om de PD te distribueren zonder de toestemming van de PD-persoon, tenzij anders bepaald door de federale wetgeving.

8. INSTEMMING VAN HET VOORWERP VAN PERSOONSGEGEVENS VOOR DE VERWERKING VAN HAAR PERSOONLIJKE GEGEVENS

8.1. De PD-onderdaan neemt een beslissing over het verstrekken van zijn persoonlijke gegevens en stemt ermee in dat deze vrijelijk kunnen worden verwerkt, door zijn eigen wil en in zijn belang.

8.2. Toestemming voor PD-verwerking moet specifiek, geïnformeerd en bewust zijn.

8.2. Toestemming voor PD-verwerking kan worden gegeven door het PD-subject of zijn vertegenwoordiger in welke vorm dan ook om het feit van ontvangst ervan te bevestigen, tenzij anderszins bepaald door de federale wetgeving.

8.3. In het geval van het verkrijgen van toestemming voor de verwerking van persoonlijke gegevens van de vertegenwoordiger van het onderwerp van persoonsgegevens, wordt de autoriteit van deze vertegenwoordiger om namens het onderwerp persoonsgegevens toestemming te verlenen gecontroleerd door het Employment Center.

8.4. Toestemming voor PD-verwerking kan door het PD-subject worden herroepen. In geval van intrekking door het subject van PDN van de toestemming voor de verwerking van PD, heeft het Employment Center het recht om de verwerking van persoonsgegevens voort te zetten zonder toestemming van het PD-subject als er redenen zijn die worden gespecificeerd in clausules 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de federale wet ".

8.5. In gevallen waarin de federale wetgeving voorziet, wordt PD-verwerking alleen uitgevoerd met schriftelijke toestemming van het PD-onderwerp. De schriftelijke toestemming wordt erkend als gelijkwaardig aan een elektronisch document ondertekend door de elektronische wet ondertekend in overeenstemming met de federale wetgeving.

8.6. Persoonlijke gegevens kunnen door het Uitzendcentrum worden verkregen van een persoon die geen persoonsgegeven heeft, op voorwaarde dat het Arbeidsbureau het bestaan ​​bevestigt van de redenen gespecificeerd in clausules 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de federale wet "Op persoonlijke gegevens ".

9. UITVOERING VAN DE RECHTEN VAN DE ONDERWERPEN VAN PERSOONSGEGEVENS

9.1. Bij de verwerking van een PD biedt het Employment Centre de noodzakelijke voorwaarden voor de PD om vrijelijk gebruik te maken van zijn rechten.

9.2. Het PD-onderwerp heeft recht op toegang tot zijn persoonlijke gegevens.

9.3. Een PD-object heeft het recht informatie te ontvangen over de verwerking van zijn persoonlijke gegevens, met daarin: bevestiging van het feit dat het Werkgelegenheidscentrum PD verwerkt; juridische redenen en doeleinden van PD-verwerking; de doelstellingen en methoden van PD-verwerking toegepast door het Employment Centre; de naam en locatie van het Employment Centre, informatie over individuen (behalve werknemers van het Employment Center) die toegang hebben tot persoonlijke gegevens of die persoonlijke gegevens kunnen vrijgeven op basis van een overeenkomst met het Employment Center of op basis van federale wetgeving; PD's verwerkt door het relevante PD-onderwerp, de bron van hun ontvangst, tenzij een andere procedure voor het indienen van dergelijke gegevens is voorzien door de federale wetgeving; PD-verwerkingstijd, inclusief opslagtijd; de procedure voor de uitoefening door het onderwerp van de PDN van de rechten voorzien door de federale wet "Op persoonlijke gegevens"; informatie over voltooide of beoogde grensoverschrijdende gegevensoverdracht; de naam of achternaam, naam, familienaam en adres van de persoon die de verwerking van PDN namens het Employment Centre uitvoert, als de verwerking is toevertrouwd aan of zal worden toevertrouwd aan deze persoon andere informatie voorzien door federale wetten.

9.4. Het recht van een PD-onderdaan op toegang tot zijn persoonlijke gegevens kan beperkt zijn in gevallen waarin uitdrukkelijk wordt voorzien door federale wetten.

9.5. Een PD-persoon heeft het recht om zijn rechten en legitieme belangen te verdedigen, waaronder schadevergoeding en (of) vergoeding van morele schade in een rechtbank.

9.6. Als een PD-persoon van mening is dat het Employment Center zijn PD verwerkt in strijd met de vereisten van de federale wet 'Over persoonlijke gegevens' of anderszins zijn rechten en vrijheden schendt, heeft het PD-onderwerp het recht om beroep aan te tekenen tegen het handelen of nalaten van het Employment Center bij het bevoegde orgaan om de rechten van PD-proefpersonen of rechterlijk bevel.

10. INFORMATIE OVER DE MAATREGELEN UITGEVOERD DOOR HET Employment Centre

GERICHT OM DE UITVOERING TE VERZEKEREN VAN DE VERPLICHTINGEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS

10.1. Het Employment Center bij de verwerking van PD voert zijn taken uit als een PD-operator zoals bepaald door de federale wet "Op persoonlijke gegevens".

10.2. Het Employment Centre neemt de nodige en toereikende maatregelen om te zorgen voor de vervulling van de taken waarin deze federale wet voorziet en de regelgevende rechtshandelingen die in overeenstemming daarmee zijn aangenomen.

10.3. Het Employment Centre bepaalt onafhankelijk de samenstelling en lijst van maatregelen die nodig en voldoende zijn om de naleving van de verplichtingen te verzekeren die zijn voorzien in deze federale wet en de regelgevende rechtshandelingen die in overeenstemming daarmee zijn aangenomen, tenzij anders bepaald door federale wetten.

10.4. Het arbeidscentrum biedt onbeperkte toegang tot dit document (beleid), tot de informatie over de daadwerkelijke vereisten voor PD-bescherming door plaatsing op de officiële website van de Amur Region Oblast Employment Department op http: // zanamur. ru, GKU van de regio Amur van het Centraal Ziekenhuis van de stad Svobodny op http://svobzan.amur.ru.

11. INFORMATIE OVER DE UITVOERING VAN WERKGELEGENHEIDSCENTRA VAN MAATREGELEN TER BESCHERMING VAN PERSOONSGEGEVENS IN HUN VERWERKING

11.1. Het Employment Center in PD-verwerking zorgt voor de goedkeuring van noodzakelijke juridische, organisatorische en technische maatregelen om PD te beschermen tegen onwettige of onbedoelde toegang ertoe, vernietiging, wijziging, blokkering, kopiëren, verstrekken, distribueren van PD, evenals van andere illegale acties met betrekking tot PDN.

11.2. Om persoonlijke gegevens te beschermen, implementeert het Employment Centre de vereisten voor de bescherming van persoonlijke gegevens wanneer deze worden verwerkt in systemen voor persoonlijke gegevens die zijn ingesteld door de regering van de Russische Federatie.

11.3. Zorgen voor PD-veiligheid wordt bereikt door het Employment Centre, in het bijzonder:

· Identificatie van bedreigingen voor de veiligheid van persoonsgegevens wanneer deze worden verwerkt in het ISPDN van het Employment Centre;

· Het gebruik van organisatorische en technische maatregelen om de veiligheid van persoonsgegevens te waarborgen wanneer ze worden verwerkt in het ISPDN van het Employment Centre, noodzakelijk om te voldoen aan de vereisten voor bescherming van persoonsgegevens, waarvan de naleving wordt geboden door de niveaus van bescherming van persoonsgegevens die zijn vastgesteld door de regering van de Russische Federatie;

· Het gebruik van de informatiebeveiligingsmaatregelen die op de voorgeschreven manier zijn doorgegeven;

· Beoordeling van de effectiviteit van de maatregelen die het Employment Centre heeft genomen om de veiligheid van persoonsgegevens te garanderen voorafgaand aan de ingebruikname van de SPDN;

· Rekening houden met de PD-dragers van het Employment Center;

· Detectie van feiten over ongeoorloofde toegang tot PDN en actie ondernemen;

· Herstel van PDN aangepast of vernietigd als gevolg van ongeoorloofde toegang tot hen;

· De vaststelling van regels voor toegang tot PDN die zijn verwerkt in het SPDN van het Employment Centre, en zorgen voor de registratie en registratie van alle acties die op het PDN worden uitgevoerd in het ISPDN in het Employment Centre;

· Controle over de maatregelen die zijn genomen om de veiligheid van persoonsgegevens en het beveiligingsniveau van het ISPDN van het Employment Centre te waarborgen.

11.4. Informatie over maatregelen die het Employment Centre heeft genomen om persoonsgegevens te beschermen, is beperkte informatie.

12. Beleidsverandering. Toepasselijk recht

12.1. Het Employment Center heeft het recht om wijzigingen aan te brengen in dit beleid.

12.2. Wanneer u wijzigingen aanbrengt in de titel van het beleid, wordt de datum van de laatste update van de herziening aangegeven.

12.3. De nieuwe versie van het Beleid wordt van kracht vanaf het moment van plaatsing op de website van het Amurskaya Oblast Departement of Employment, tenzij anders bepaald door de nieuwe versie van het Beleid.

Manieren om persoonsgegevens te verwerken

Vraag-antwoord over het onderwerp

de vraag

Wat heeft betrekking op methoden voor de verwerking van persoonsgegevens en wat heeft betrekking op acties met persoonsgegevens?

Het antwoord

Volgens paragraaf 9 van de Orde van Roskomnadzor van 19 augustus 2011 nr. 706 omvatten de methoden *:

- niet-geautomatiseerde verwerking van persoonsgegevens;

- uitsluitend geautomatiseerde verwerking van persoonlijke gegevens met of zonder de overdracht van ontvangen informatie via het netwerk;

- gemengde verwerking van persoonsgegevens (noot N 4).

En voor de acties in overeenstemming met Art. 3 van de federale wet van 27.07.2006 nr. 152-FZ. Op persoonlijke gegevens zijn onder meer: ​​*

- verduidelijking (update, wijziging);

- distributie (inclusief verzending);

- de vernietiging van persoonlijke gegevens.

De reden voor deze positie wordt hieronder gegeven in de materialen van "System Lawyer".

• FEDERALE WET VAN 27.07.200 Nr. 152-ФЗ "OP PERSOONSGEGEVENS"

"Persoonlijke gegevensverwerking is elke actie (bewerking) of reeks acties (bewerkingen), * uitgevoerd met behulp van automatiseringstools of zonder het gebruik van dergelijke middelen met persoonlijke gegevens, waaronder verzameling, opname, systematisering, accumulatie, opslag, verfijning (update, wijziging), extractie, gebruik, overdracht (distributie, verstrekking, toegang), depersonalisatie, blokkering, schrapping, vernietiging van persoonlijke gegevens "

• BESCHIKKING VAN ROSKOMNADZOR VAN 08.19.2011 № 706

"De veld" lijst met acties met persoonlijke gegevens, een algemene beschrijving van de methoden die door de Operator worden gebruikt voor het verwerken van persoonlijke gegevens "* geeft de acties aan die de Operator uitvoert met persoonlijke gegevens, evenals een beschrijving van de methoden die door de Operator worden gebruikt voor het verwerken van persoonlijke gegevens:

- niet-geautomatiseerde verwerking van persoonsgegevens;
- uitsluitend geautomatiseerde verwerking van persoonlijke gegevens met of zonder de overdracht van ontvangen informatie via het netwerk;

- gemengde verwerking van persoonsgegevens (noot N 4) Noot 4. Bij geautomatiseerde verwerking van persoonsgegevens of gemengde verwerking moet worden aangegeven of de informatie die is verkregen tijdens de verwerking van persoonsgegevens wordt doorgegeven op het interne netwerk van de rechtspersoon (informatie is alleen beschikbaar voor strikt omschreven werknemers van de juridische entiteit ) of de informatie wordt verzonden via het openbare internet of zonder de ontvangen informatie te verzenden. "

* Zo benadrukt een deel van het materiaal dat je zal helpen de juiste beslissing te nemen.

Likbez over persoonlijke gegevens voor bedrijven die deze verwerken

Termen, nuances en frequente waanideeën - in het materiaal van de experts van de beveiligingsdienst van het bedrijf "Onlanta" (opgenomen in de groep van bedrijven LANIT).

We begrijpen de juridische terminologie en de nuances waarvoor u voor de rechtbank kunt verschijnen.

Verklaar de termen in menselijke taal

De belangrijkste wet die de relaties regelt in verband met de verwerking van persoonlijke gegevens is de federale wet van 27 juli 2006 nr. 152-ФЗ "over persoonlijke gegevens".

De eerste term die begrepen moet worden, zijn persoonlijke gegevens.

Wat zijn persoonlijke gegevens

Dit is alle informatie die kan worden gebruikt om een ​​persoon te identificeren: bijvoorbeeld volledige naam, geboortedatum, opleiding, inkomen en zelfs burgerlijke staat. U vraagt: "En wat, mijn achternaam, afgedrukt op het visitekaartje, zijn ook persoonlijke gegevens?"

Antwoord: "Ja." Volgens de wet maakt het niet uit of alleen uw achternaam op het visitekaartje of in combinatie wordt afgedrukt, bijvoorbeeld met een telefoonnummer en adres. Zowel de eerste als de tweede en de derde - persoonlijke gegevens. Het is waar dat de opslag van visitekaartjes of telefoonnummers van meisjes in het telefoonboek niet bij de wet hoeft te worden beantwoord, maar hieronder meer.

Ga je gang. De media schrijven voortdurend 'opslag van persoonlijke gegevens'. Correct gesproken, het is geen opslag, maar verwerking van persoonlijke gegevens. Wat is het verschil? Opslag is slechts een deel van wat we persoonlijke gegevensverwerking noemen. Alle acties die u uitvoert met persoonlijke gegevens (verzamelen, verzamelen, opslaan, overdragen, wijzigen) worden bij wet aangeduid als "verwerking van persoonsgegevens".

Het is belangrijk om te begrijpen dat de wet twee personen met persoonlijke gegevens onderscheidt: de exploitant en de verwerker. De operator voert de verwerking van persoonlijke gegevens uit en bepaalt ook het doel van de verwerking, de samenstelling van de te verwerken persoonsgegevens, acties (bewerkingen) die met persoonlijke gegevens worden uitgevoerd.

Een handler is iemand die acties uitvoert met persoonlijke gegevens: verzamelen, opslaan, organiseren, verzamelen, bijwerken, bijwerken, verwijderen, depersonaliseren, enzovoort.

In feite is een afhandelaar niet alleen een eindgebruiker, die persoonlijke gegevens nodig heeft voor werk, maar ook elke andere tussenpersoon, via wiens handen deze persoonlijke gegevens zijn doorgegeven. Laat zien in de praktijk.

taak

De online winkel heeft een klantendatabase, die zich in de "cloud" van een extern bedrijf bevindt. Een marketingbureau werkt met deze basis. Vraag: Hoeveel exploitanten van persoonlijke gegevens hebben we?

Het juiste antwoord is er een. Dit is een online winkel die doelen stelt voor de verwerking van persoonsgegevens. De tweede vraag is: hoeveel verwerkers van persoonlijke gegevens hebben we? Het juiste antwoord is twee.

1. Een bedrijf met een online winkeldatabase in zijn cloud.
2. Een marketingbureau dat gegevens ophaalt en op basis van deze gegevens een promotie-aanbieding voor klanten kan opstellen.

Persoonlijke gegevens worden verwerkt in veel verschillende instellingen: bijvoorbeeld in banken, scholen, klinieken, visumcentra. Om nog maar te zwijgen over de webpagina's waar we ons registreren, met onze e-mailadressen en telefoonnummers. Maar hoe en waar precies?

nuance

Er is zo'n obscure term in de wet als "systeem voor persoonlijke gegevens". Als je het in eenvoudige bewoordingen probeert uit te leggen - dit is een heel complex, bestaande uit databaseservers, technische middelen om hun verwerking te garanderen, en informatietechnologie. In overeenstemming met de wet moet elk persoonlijk gegevensinformatiesysteem worden beschermd.

Methoden om informatie te beschermen zijn verschillend.

• Fysiek: bijvoorbeeld in de ruimte waar de computers zich bevinden, kunnen camera's worden geïnstalleerd, toegangscontrole, alarmsystemen worden gebruikt.
• Technisch - met behulp van gespecialiseerde middelen voor informatiebescherming.
• Administratief: allerlei regelingen en regels voor de verwerking van persoonsgegevens binnen het bedrijf.

voorbeeld

Een van de middelen om informatie te beschermen, is de depersonalisatie van persoonlijke gegevens. Wat is het? In het visumcentrum krijgt elke persoon die een visum aanvraagt ​​een apart identificatienummer. Het nummer zelf verwijst niet naar persoonlijke gegevens, omdat het een persoon de-personificeert: het is onmogelijk om de persoon te identificeren die een visum heeft aangevraagd.

Ik schijn persoonlijke gegevens te verwerken.

Dus, met de terminologie geregeld. Nu zouden alle bedrijfsvertegenwoordigers, vooral individuele ondernemers, die misschien maar een paar personeelsleden in het personeel hebben, eerlijk de vraag moeten beantwoorden: "Verwerk ik persoonlijke gegevens?"

Ja, als u de eigenaar bent van een site met vijf mensen per week, maar deze heeft een feedbackformulier met de velden "naam, e-mailadres, telefoonnummer". Informatie over de doeleinden waarvoor u persoonlijke gegevens verzamelt, hoe u deze gebruikt, moet op uw website worden gepresenteerd.

Ja, als u de persoonlijke gegevens van uw werknemers verwerkt of externe specialisten die zijn ingehuurd om werk te doen.

Ja, als u met privéklanten werkt en u hun paspoortgegevens nodig hebt voor het aangaan van contracten - dit is van toepassing op reisbureaus, fitnesscentra, verschillende servicebedrijven, online winkels en anderen.

En nogmaals, ja, als u een budgetorganisatie, politieke partij of kleuterschool bent. Deze laatsten hebben niet alleen informatie over het kind, maar ook over zijn ouders, waaronder de plaats van werk en functie. Om nog maar te zwijgen over de medische instellingen - er is een zee van persoonlijke gevoelige informatie die veilig moet worden opgeslagen.

Als u echter gegevens gebruikt voor persoonlijke communicatie zonder commercieel voordeel, dan zijn de vereisten van de wetgeving niet op u van toepassing en is er geen sprake van strafrechtelijke aansprakelijkheid.

Bijvoorbeeld, uw gebruik van contacten afgedrukt op een visitekaartje dat u van een collega hebt ontvangen, of telefoonnummers in een notitieblok op een smartphone, informatie op sociale netwerken legt u niet de verantwoordelijkheid op voor de wet.

Het belangrijkste is om geen gegevens aan adverteerders bekend te maken en ze niet te publiceren zonder de toestemming van de eigenaren van persoonlijke gegevens in het publieke domein.

Bepaal de categorie van persoonlijke gegevens

Gefeliciteerd, u bent de trotse eigenaar van de titel 'operator voor persoonlijke gegevens'. Het belangrijkste is nu om precies te begrijpen welke persoonsgegevens u verwerkt. Omdat het afhankelijk is van de categorie persoonlijke gegevens, hoe gegevens te beschermen en aan welke vereisten moet worden voldaan. De categorieën worden in detail beschreven in de federale wet-152 en de regeringsresolutie van 1 november 2012 N 1119.

Categorieën persoonlijke gegevens in eenvoudige bewoordingen:

Over het algemeen beschikbare persoonlijke gegevens: gegevens uit open bronnen, die worden gepubliceerd door het onderwerp van persoonsgegevens of met de goedkeuring ervan. Publiek beschikbare gegevens zijn gegevens van de media of het internet.

Voorbeeld: informatie gepost in open toegang op sociale netwerken of op de website van het bedrijf. Telefoonnummer en gezinsstatus gepubliceerd in de openbare toegang tot Facebook. De naam van de werknemer en zijn positie op de website van de werkgever.

Biometrische persoonlijke gegevens: deze categorie bevat alle gegevens over de fysiologische en biologische kenmerken van mensen.

Voorbeeld: gewicht, lengte, oog- of haarkleur, haarlengte, bloedgroep, foto.

Persoonlijke gegevens van een speciale categorie: dit omvat informatie over het behoren tot een ras en natie, politieke opvattingen, religieuze en filosofische overtuigingen, gezondheidstoestand of intiem leven.

Voorbeeld: medische diagnose (informatie over waar u ziek aan was, wanneer, welke arts u heeft behandeld).

Persoonlijke gegevens van andere typen - dit omvat persoonlijke gegevens die niet zijn opgenomen in de bovenstaande categorieën.

Voorbeeld: bedrijfsinformatie. Rekenkaarten voor werknemers die informatie bevatten waarmee HR en boekhouding werken: salaris, vakantieperioden, werkdatums.

Categorie, aantal, soort bedreigingen - beschermingsniveau

Nadat u de categorie persoonlijke gegevens hebt bepaald, moet u weten hoeveel gegevens u precies verwerkt: tot 100 duizend of meer dan 100 duizend.

Ontdek de categorie en hoeveelheid, bepaal het type dreiging:

Bedreigingen nummer 1. "Gaten" en kwetsbaarheden in het besturingssysteem. Voorbeeld: kwetsbaarheden die hackers gebruiken om het besturingssysteem te infiltreren om informatie te stelen.

Bedreigingen nummer 2. "Gaten" en kwetsbaarheden in de toepassingssoftware, dat wil zeggen in de software die wordt gebruikt in uw dagelijkse werk. Voorbeeld: Word, Excel.

Bedreigingen nummer 3. Alle andere bedreigingen die niet bij de eerste twee typen worden vermeld. Allereerst de menselijke factor. Een medewerker kan een document openlaten op een niet-vergrendelde computer, een document verzenden om naar iemand anders's printer te printen of per e-mail.

De hoeveelheid persoonlijke gegevens, categorie, soort bedreigingen - alles samen stelt u in staat te bepalen welk beschermingsniveau vereist is voor uw informatiesysteem. Er zijn nu vier beschermingsniveaus.

Het eerste en hoogste niveau van bescherming wordt meestal gebruikt voor de verwerking van persoonsgegevens in overheidsinstellingen en medische instellingen. Het vierde niveau van bescherming is het gemakkelijkst te bieden, soms volstaat het om organisatorisch regulerende maatregelen uit te voeren, voornamelijk om de bescherming van openbaar beschikbare gegevens.

U kunt het beveiligingsniveau bepalen met behulp van deze tabel.

voorbeeld

Het ziekenhuis verwerkt de persoonlijke gegevens van zijn patiënten - dit zijn de persoonlijke gegevens van een speciale categorie. Het verwerkt ook persoonlijke gegevens van werknemers - dit zijn persoonsgegevens van een andere categorie. Hoogstwaarschijnlijk heeft het ziekenhuis twee databases. Als u beide databases optelt, krijgt u het totale aantal persoonlijke gegevens dat in het informatiesysteem van dit ziekenhuis ronddraait.

Bijvoorbeeld allemaal - tot 100 duizend. Vervolgens bekijken we hoe gegevens worden verwerkt: geautomatiseerd (op een computer) of niet geautomatiseerd (in een handmatige archiefkast). Als alles geautomatiseerd is, kijken we naar welke software het ziekenhuis gebruikt, welke kwetsbaarheden het heeft.

Op basis hiervan worden bedreigingen en hun niveau geïdentificeerd. We tellen alle factoren bij elkaar en krijgen de beschermingsklasse op het tweede niveau. We kijken naar wat de vereisten in de wet zijn op het tweede beveiligingsniveau. Op basis van deze vereisten zal het nodig zijn een informatiesysteembeveiliging te bouwen om aan de vereisten van de federale wet te voldoen.

Een beetje over het gevaar van lekkage van persoonlijke gegevens

Waarom zou u zich druk maken over de bescherming van persoonlijke gegevens? Persoonlijke gegevens zijn een duur product op de zwarte markt. Oplichters zijn bereid om indrukwekkende bedragen te betalen voor een profiel met de volledige details van het medische dossier van een persoon. Afzonderlijke markt - verkoop van bankkaartgegevens; accounts in sociale netwerken.

De gevolgen van het lekken van persoonlijke gegevens zijn anders. De gegevens kunnen openbaar beschikbaar zijn op het internet: u kunt bijvoorbeeld gemakkelijk gestolen databases vinden met adressen en telefoonnummers van klanten van bedrijven in het netwerk. Als u de voor- en achternaam kent, kan iedereen het thuisadres van een persoon achterhalen, op het sociale netwerk komen, een profiel bekijken of gewoon een sms naar een mobiele telefoon schrijven.

Persoonlijke gegevens kunnen in de database terechtkomen van vervelende mailings van een commerciële organisatie, waarna hun eigenaar overbelast raakt met ongevraagde aanbiedingen van diensten. Ze kunnen ook worden gebruikt door online oplichters voor online casino's of om een ​​elektronische portemonnee te openen.

In het ergste geval kan een aanvaller een andere persoon nabootsen en de naam van iemand anders crediteren. De ernstigste gevolgen van lekken van persoonlijke gegevens zijn: illegale acties met onroerend goed, diefstal van geld van bankkaarten, chantage van familieleden en registratie van een bedrijf.

Last van verantwoordelijkheid

Begrijpt u het belang van de vraag en bent u klaar om verantwoordelijkheid te dragen? Dat klopt. Omdat de verantwoordelijkheid voor de veiligheid van persoonsgegevens volledig bij de exploitant ligt.

Dit betekent dat de exploitant ervoor moet zorgen dat de informatie niet in openbare toegang komt of niet in handen komt van derden die er geen rechten op hebben. Dit vereist constante monitoring en preventie van bedreigingen van de gegevensbeveiliging, controle over het niveau van informatiebeveiliging en het herstel ervan in geval van verlies.

In ons land houdt Roskomnadzor toezicht op de naleving van de wetgeving op het gebied van de verwerking van persoonsgegevens. Dit lichaam reageert op klachten, reguleert de relaties tussen proefpersonen en operatoren.

De technische vereisten voor de bescherming van informatie vallen onder de verantwoordelijkheid van het FSTEC en de FSB: zij stellen eisen en controleren de uitvoering ervan.

Vereisten voor de verwerking van persoonsgegevens

En nu is het tijd om de tabellen te bestuderen met de vereisten voor de technische bescherming van persoonlijke gegevens. Details zijn te vinden in de volgorde van de federale dienst voor technische en exportcontrole van 18 februari 2013 N 21.

Maar begin tenminste met dit:

1. Registreer u bij Roskomnadzor als beheerder van persoonlijke gegevens. Vereist voor toepassing op Roskomnadzor op papier of in elektronische vorm. Informatie over de link.
2. Krijg schriftelijke toestemming van alle entiteiten waarvan de persoonsgegevens worden verwerkt. Toestemming voor de verwerking van persoonsgegevens is het belangrijkste juridische document dat de rechtmatigheid van de verwerking van persoonsgegevens bevestigt.
3. Ontwikkel interne documentatie. Inbedrijfstelling op last van het hoofd van de organisatie "Voorschriften betreffende de verwerking van persoonsgegevens." In dit document legt de operator uit hoe hij van plan is om persoonlijke gegevens te gebruiken, voor wat en waar ze zullen worden overgedragen. Dit is een fundamenteel document dat vereist is door elke exploitant van persoonlijke gegevens. Op basis hiervan worden alle andere administratieve documenten ontwikkeld.

Veel site-eigenaren denken dat als een bezoeker op de knop 'Ik ga akkoord met de verwerking van persoonlijke gegevens' klikt, er geen juridische problemen zijn en de gegevensverwerking automatisch in het juridische veld valt. Dat is het niet.

Vanuit juridisch oogpunt zijn er slechts twee manieren om uw toestemming voor de verwerking van persoonsgegevens te bevestigen: een handtekening op papier zetten of een elektronische digitale handtekening gebruiken.

In alle andere gevallen, als de zaak voor de rechter komt, kan de site-eigenaar niet bevestigen wie precies op de knop 'Ik ga akkoord' heeft gedrukt. Men kan alleen maar hopen dat de persoon die naar uw site kwam vrijwillig zijn gegevens doorgeeft en geen klacht indient.

Is er echt een cheque?

Ja, cheques kunnen van Roskomnadzor zijn.

Roskomnadzor publiceert jaarlijks een selectielijst van selecties uit de lijst van geregistreerde exploitanten, als een bedrijf is opgenomen in de lijst met controles, dan is de volgende geplande controle niet eerder dan na drie jaar mogelijk. U kunt hier dit jaar zien of uw bedrijf op de lijst staat.

Off-plan cheques worden meestal veroorzaakt door klachten. Als de controle ongepland is, moet u hierover binnen 24 uur schriftelijk worden gewaarschuwd.

Er kunnen ook documentaire controles zijn. Bij het documenteren stuurt u een lijst met documenten, waarvan kopieën naar Roskomnadzor moeten worden gestuurd.

Soms voert Roskomnadzor inspecties ter plaatse uit: inspecteurs bezoeken persoonlijk het bedrijf ter plaatse.

Het voorbereiden van een van deze controles is een tijdrovende klus. Ga je zelf de taak van de voorbereiding van de inspectie oplossen, of ga je met externe specialisten aan de slag, dan moet je eerst bepalen wie in het bedrijf verantwoordelijk is voor de naleving van FZ-152.

Boetes, rechtbanken en andere gruwelen

Voor overtreding van de 152-FZ wordt civiele, strafrechtelijke, administratieve en disciplinaire aansprakelijkheid geboden.

Dus, Roskomnadzor heeft een inspectie uitgevoerd, als er inconsistenties zouden zijn met de wet, zal hij een bevel uitvaardigen bij de onderzoekscommissie om een ​​rechtszaak uit te voeren over het overtreden van de wet "Op persoonlijke gegevens".

Daarna begint het parket een inspectie, waarbij het de activiteiten van het bedrijf kan opschorten: de database van het bedrijf intrekken, met name de computers waarop de persoonsgegevens zijn verwerkt.

Overtreders van de wet wachten in de eerste plaats op boetes. De hoeveelheid boetes varieert afhankelijk van de overtreding. Voor de verwerking van persoonsgegevens zonder de schriftelijke toestemming van de entiteiten, zullen rechtspersonen dus administratieve aansprakelijkheid moeten dragen.

Zelfs als de exploitant bereid is een boete te betalen, maar volgens de normen van het grootbedrijf, lijkt het niet enorm, de overtreder moet nog steeds de inconsistentie voor de wet elimineren (bijvoorbeeld de opgeslagen gegevens verwijderen) en Roskomnadzor op de hoogte stellen.

Het slechtste scenario is als Roskomnadzor besluit de bedrijfslicentie in te trekken, bedrijven verbiedt om persoonlijke gegevens te verwerken en op onrechtmatige wijze persoonlijke gegevens over burgers publiceert.

In de afgelopen paar jaar werd het luidste schandaal in Rusland geassocieerd met het blokkeren van LinkedIn, waarvan de eigenaars ervan beschuldigd werden persoonsgegevens van burgers te verwerken zonder hun toestemming op servers buiten de Russische Federatie. Het blokkeren van de autonum.info-service was ook "gemaakt geluiden".

Hoeveel kost het me geld en kracht?

U kunt de verwerking van persoonlijke gegevens onafhankelijk organiseren of met de hulp van een bedrijf dat een dergelijke service biedt.

Als u besluit om persoonlijke gegevens zelf te verwerken, hebt u het volgende nodig:

1. Begrijpen welke categorie persoonsgegevens u verwerkt en wat de technische vereisten voor hun bescherming zijn.
2. Ontwikkel alleen of met behulp van een IT-bedrijf technische oplossingen, bereidt aankopen van benodigde apparatuur en software voor, installeer het en voer het uit.
3. Alle juridische documenten uitgeven. Ontwikkel een set interne documenten: instructies en voorschriften.

In het beste geval duurt het drie tot vier maanden, ten koste van zo'n implementatie kan het 200 - 300 duizend roebel zijn - dit zijn de kosten voor het kopen van apparatuur en licenties. Arbeidskosten en verdere ondersteuning van het informatiesysteem is een afzonderlijke uitgave. U hebt ook een beheerder nodig die de werking van het systeem controleert.

Objectief gesproken, voldoen zeer kleine bedrijven simpelweg niet aan alle vereisten van de wet in de hoop dat er geen verificatie zal plaatsvinden. Misschien zal het dat echt niet doen. Andere bedrijven creëren "Potemkin-dorpen" alleen door te doen alsof ze persoonsgegevens verwerken in overeenstemming met de vereisten van de wet, met andere woorden ze "kopen" de benodigde documenten.

In het volgende artikel laten we zien hoe de kosten van het verwerken van persoonlijke gegevens binnen een bedrijf kunnen worden berekend en kunnen we u laten weten wanneer het voordeliger is om persoonsgegevens te verwerken en wanneer het beter is om deze in de cloud te deponeren.

Het materiaal wordt door de gebruiker gepubliceerd. Klik op de knop "Schrijven" om uw mening te geven of om over uw project te praten.

Wet op persoonsgegevens: implicaties voor kantoorwerk

• Khramtsovskaya Natalia | Kandidaat van de historische wetenschappen, vooraanstaand deskundige op het gebied van documentbeheer van EOS Company, ISO-expert, lid van de International Council of Archives

Op zoek naar de oorzaak

De federale wet van de Russische Federatie nr. 152-ФЗ "over persoonlijke gegevens" werd op 27 juli 2006 aangenomen en ging, tegen de achtergrond van andere buitengewone gebeurtenissen van het afgelopen jaar, bijna onopgemerkt voorbij. De formele reden voor zijn goedkeuring was de talrijke feiten van diefstal van persoonlijke gegevensbanken in staats en handelsstructuren en hun wijdverspreide verkoop. Het belangrijkste doel van deze wet was namelijk de noodzaak om bepaalde handelsbarrières met de landen van de Europese Unie op te heffen.

Frankrijk verbood de publicatie van feiten over privacy en legde boetes op voor overtreders in 1858.

Het Noorse Wetboek van Strafrecht verbood de publicatie van informatie met betrekking tot "persoonlijke of privézaken" in 1889.

De nationale wet "over persoonlijke gegevens" van 27 juli 2006 nr. 152-FZ is op 26 januari van dit jaar van start gegaan (in overeenstemming met deel 1 van artikel 25 treedt de wet in werking 180 dagen na de officiële publicatie, die plaatsvond op 29 juli 2006 in de "Rossiyskaya Gazeta").

Volgens de EU-richtlijn 95/46 / EG kunnen persoonsgegevens alleen worden doorgegeven aan landen die hetzelfde beschermingsniveau bieden als in Europa. Dit bemoeilijkte de uitwisseling van informatie van Europese overheidsinstellingen en bedrijven met hun buitenlandse partners aanzienlijk, wat het onmogelijk maakte voor veel commercieel veelbelovende projecten. Dergelijke beperkingen werden niet alleen ervaren door Rusland en de derde wereldlanden, maar ook door een economisch monster zoals de Verenigde Staten. Onze regering besloot daarom deze barrière te overwinnen. Laten we kijken hoe hij het deed en wat het ons allemaal zal kosten.

De goedkeuring van de Russische wet op persoonlijke gegevens was het resultaat van de toetreding van de Russische Federatie tot de Europese Conventie van 1981 "over de bescherming van de persoon in verband met de automatische verwerking van persoonsgegevens", waarin de basisprincipes voor de bescherming van persoonsgegevens in Europese landen zijn vastgelegd. Dit verdrag en de daaropvolgende richtlijnen van de Europese Unie schetsten de taken die de nationale wetgeving zou moeten aanpakken bij de regulering van persoonsgegevens:

• bescherming van persoonsgegevens tegen ongeoorloofde toegang daartoe door andere personen, inclusief vertegenwoordigers van overheidsinstanties en -diensten die niet over de benodigde bevoegdheden beschikken;
• het waarborgen van de veiligheid, integriteit en betrouwbaarheid van gegevens tijdens het werken met hen, inclusief de verzending via communicatiekanalen;
• zorgen voor de juiste wettelijke regeling van deze gegevens wanneer ze met hen samenwerken voor verschillende categorieën van persoonsgegevens;
• zorgen voor controle over het gebruik van persoonlijke gegevens door de burger;
• de oprichting van een speciale onafhankelijke structuur die effectieve controle garandeert over de eerbiediging van de rechten van een burger om zijn persoonsgegevens te beschermen (bijvoorbeeld de oprichting van de functie van commissaris voor de bescherming van persoonsgegevens).

Onze wet herhaalt grotendeels de belangrijkste bepalingen van de Europese wetgeving op dit gebied, dat als een van de moeilijkste 2 in de wereld wordt beschouwd. Hoewel er in 2006 vaak over de wet werd gesproken, maar weinig mensen hebben de inhoud van de bepalingen zorgvuldig gelezen. Maar om de naleving van de vereisten te waarborgen, is het noodzakelijk om het werk aanzienlijk te veranderen met informatie en documentatie die persoonlijke gegevens bevatten. Laten we proberen te achterhalen wat er nieuw is op het gebied van het beheren van documenten en informatie in de organisatie?

• In alle organisaties is er een nieuwe, vrij omvangrijke laag met documentatie. Dit zijn documenten die verband houden met het verkrijgen van de toestemming van individuen voor de verwerking van hun persoonlijke gegevens, met de registratie van gegevensbestanden bij de bevoegde instantie, met de documentatie van alle transacties met persoonlijke gegevens, enz.
• Het is nodig om documenten en informatie met persoonlijke gegevens onder de aandacht te brengen; hun speciale etikettering op zowel papier als elektronische media; afzonderlijke boekhouding en toegangscontrole. U kunt praten over het uiterlijk van een ander type nektoegang tot documenten.
• Fundamenteel veranderende benadering van het vastleggen van het bewaren van documenten en informatie. Voor het eerst in de huisartspraktijk wordt de maximale bewaarperiode vastgesteld en de voorwaardelijke periode, die vrij moeilijk te observeren en te volgen zal zijn.
• Wanneer u met persoonsgegevens werkt, is het noodzakelijk om op voorhand duidelijk uit te denken en dit op te nemen in de regelgevingsdocumenten, die verband houden met de verwerking ervan. Anders kan de organisatie aansprakelijk worden gesteld en, nog onaangenamer, kunnen er tal van rechtszaken van de betrokkenen zelf plaatsvinden 3.
• De wet introduceert zeer strikte deadlines voor de uitvoering van alle oproepen van burgers met betrekking tot de verwerking van persoonsgegevens.

Laten we nu dieper ingaan op de belangrijkste bepalingen van de wet en beoordelen wat organisaties en instellingen moeten ondernemen om het uit te voeren. Daarnaast zullen we proberen sommige bepalingen van de wet te analyseren in termen van de juistheid en duidelijkheid van hun bewoordingen.

Reikwijdte van de wet

De allereerste vraag: op wie is deze wet van toepassing? In reactie daarop kunnen we gerust zeggen dat het van toepassing is op iedereen zonder uitzondering (op staatsinstellingen, rechtspersonen en individuen). Hier is een lijst van artikel 1:

• federale overheidsinstanties
• autoriteiten van de deelnemende entiteiten van de Russische Federatie,
• andere staatsorganen
• lokale overheden,
• gemeentebesturen die geen deel uitmaken van het systeem van lokale zelfbestuurslichamen,
• juridische entiteiten
• individuen.

Het tweede belangrijke punt is de reikwijdte van de wet.

Artikel 1 van de federale wet van de Russische Federatie "On Personal Data" nr. 152-FZ van 27 juli 2006

Deze federale wet regelt de relaties die verband houden met de verwerking van persoonsgegevens... met behulp van automatiseringstools of zonder gebruik van dergelijke middelen, als de verwerking van persoonlijke gegevens zonder gebruik van dergelijke middelen overeenkomt met de aard van de acties (bewerkingen) die met persoonlijke gegevens worden uitgevoerd met behulp van automatiseringsmiddelen.

De bewoording van dit artikel is een voorbeeld van het niet schrijven van wetten. Het bleek iets onbegrijpelijks te zijn, waardoor verschillende interpretaties mogelijk waren. Hoe, op basis van een dergelijke tekst, bijvoorbeeld de vraag beantwoord kan worden of de gegevens die in een vrije vorm in een zakelijke notebook worden gedekt, binnen de werkingssfeer van de wet vallen? Als een dergelijke notebook wordt opgeslagen op een computer of in een mobiele telefoon, wordt dit dan beschouwd als "gebruik van automatiseringsapparatuur"?

De Europese wetgeving op dit gebied is duidelijker:

EU-richtlijn 95/46 / EG 1995

Artikel 2 "Definities":

(c) "systeem voor de opslag van persoonlijke gegevens" 4 ("opslagsysteem"): elke gestructureerde reeks persoonlijke gegevens waartoe toegang kan worden verkregen volgens bepaalde criteria - ongeacht de organisatie van de gegevensverzameling, gecentraliseerd, gedecentraliseerd of gedistribueerd op functionele of geografische basis...

Artikel 3 "Toepassingsgebied":

1. Deze richtlijn heeft betrekking op de verwerking van persoonsgegevens door middel van automatische middelen (geheel of gedeeltelijk), alsmede op de verwerking met andere middelen dan automatische persoonsgegevens, componenten of bedoeld om deel uit te maken van de opslagsystemen.

In moderne computerterminologie betekent "gestructureerde data" allereerst databases. Bij papierwerk bevatten ze kaartbestanden en archieven van persoonlijke bestanden. Daarom omvatten Europese vereisten:

• tot automatische verwerking van persoonsgegevens en
• voor gebruik (in automatische of andere modus) met persoonlijke gegevens van papieren en elektronische databases, kaartbestanden, enz., die een zoekmechanisme hebben dat het gemakkelijk maakt om informatie over een bepaalde persoon te extraheren.

Waarom het onmogelijk was om in het Russisch en in onze wet te schrijven, blijft onbegrijpelijk?

Aandacht moet worden besteed aan het verschil in terminologie: "automatische verwerking" is één ding, en de verwerking "met behulp van automatiseringsapparatuur" is een heel ander concept, veel breder en vager.

De wet voorziet slechts in vier uitzonderingen, namelijk, de wet is niet van toepassing op relaties die ontstaan:

• bij het verwerken van persoonlijke gegevens voor persoonlijke en gezinsbehoeften;
• bij de verwerking van persoonsgegevens in documenten van het Archieffonds van de Russische Federatie;
• bij de verwerking van persoonsgegevens voor opname in het Unified State Register of Individuals Entrepreneurs (EGRIP);
• bij het verwerken van persoonsgegevens die zijn geclassificeerd als staatsgeheimen.

Een van deze punten vereist meer gedetailleerde studie. Om te beginnen citeren we de wet:

Artikel 1 van de federale wet van de Russische Federatie "On Personal Data" nr. 152-FZ van 27 juli 2006

2. Deze federale wet is niet van toepassing op betrekkingen die voortvloeien uit:

2) de organisatie van opslag, verwerving, boekhouding en gebruik, met persoonsgegevens van documenten van het Archieffonds van de Russische Federatie en andere archiefdocumenten in overeenstemming met de wetgeving inzake archieven in de Russische Federatie.

We herinneren u aan twee definities die zijn vastgelegd in de wet "Over archiefzaken in de Russische Federatie" nr. 125-ФЗ van 10.22.2005:

• archiefdocument - een tastbaar medium met informatie die is vastgelegd, met details, waardoor het kan worden geïdentificeerd en dat onderhevig is aan opslag vanwege het belang van de aangegeven vervoerder en informatie voor burgers, de samenleving en de staat;
• Het document van het Archieffonds van de Russische Federatie is een archiefdocument dat het onderzoek van de waarde van documenten heeft doorstaan, dat op staatsboekhouding wordt geplaatst en dat permanent wordt bewaard.
  Het blijkt dat als een permanente bewaarperiode wordt vastgesteld voor een document of database en ze zijn opgenomen in het Archieffonds van de Russische Federatie, deze wet niet op hen van toepassing is. Door deze fout kunnen overheidsinstanties met een serieuze database de implementatie van de nieuwe wet op persoonsgegevens voorkomen.

Hier is een voorbeeld van hoe dit kan worden gedaan. Volgens de federale wet "Over archieven in de Russische Federatie" (deel 2 van artikel 18) keurt de regering van de Russische Federatie de lijst goed van federale uitvoerende instanties en organisaties die opslagruimte voor documenten van het archieffonds van de Russische Federatie die federaal eigendom zijn, uitvoeren. Eind 2006 werd een nieuwe lijst van 5 van deze afdelingen en organisaties goedgekeurd. Tegelijkertijd kregen deze organisaties de opdracht om met Rosarkhiv een overeenkomst te sluiten over de bewaarcondities van documenten. Als bij het afsluiten van het contract specifiek is bepaald dat alle documenten, behalve de operationele documenten, worden beschouwd als documenten die voor bewaring zijn overgedragen, kan het grootste deel van de documenten onder deze uitzondering worden geplaatst.

Voor andere staatsorganisaties zou een van de opties de snelle goedkeuring kunnen zijn van casusrecords met staatsarchieven, wat in feite zou betekenen dat documenten in het Archival Fund van de Russische Federatie worden opgenomen en dat de wet op persoonlijke gegevens opnieuw wordt "verlaten".

Richtlijnen van de Europese Unie bevatten geen dergelijke uitzondering, maar het bestaat bijvoorbeeld in het Amerikaanse Code 6, dat een meer correcte formulering bevat die dubbelzinnigheid niet toestaat: wetgeving met betrekking tot persoonlijke gegevens is doorgaans niet van toepassing op documenten die al in staatsarchieven zijn gedeponeerd, maar is van toepassing op documenten die door een instantie voor bewaring zijn overgedragen aan de staatsarchieven.

Het is ook onduidelijk waarom, vanuit onze talrijke staatsdatabanken, onze wet een uitzondering maakte voor het Unified State Register of Individual Entrepreneurs (EGRIP). Het zou dan ook logisch zijn om de uitzondering uit te breiden tot andere registers van de staat die ook persoonsgegevens bevatten (de opneming omvat bijvoorbeeld informatie over de oprichters en eerste personen van alle juridische entiteiten van het land).

Persoonlijke gegevens en verwerkingsmethoden

Persoonlijke gegevens - alle informatie met betrekking tot een fysieke persoon (onderwerp van persoonlijke gegevens) bepaald of bepaald op basis van dergelijke informatie, waaronder zijn achternaam, voornaam, familienaam, jaar, maand, geboortedatum en geboorteplaats, adres, familie, sociale status, eigendomsstatus, onderwijs, beroep, inkomen, andere informatie (volgens artikel 3 van de wet op persoonlijke gegevens).

De wet voorziet in de volgende methoden voor de verwerking van persoonsgegevens (voor een aantal van hen worden gedetailleerde uitleg gegeven in artikel 3):

• verzameling;
• systematisering;
• accumulatie;
• opslag;
• verduidelijking (update, wijziging);
• gebruik - "acties (operaties) met persoonsgegevens die door de exploitant zijn uitgevoerd 7 met het oog op het nemen van beslissingen of het uitvoeren van andere acties die rechtsgevolgen hebben met betrekking tot het onderwerp van persoonsgegevens of andere personen, of op enige andere manier van invloed zijn op de rechten en vrijheden van het onderwerp van persoonsgegevens of andere personen";
• verspreiding (inclusief overdracht) - "acties gericht op het overbrengen van persoonlijke gegevens naar een bepaalde kring van personen (overdracht van persoonsgegevens) of kennis met persoonsgegevens van een onbeperkt aantal personen, inclusief openbare bekendmaking van persoonsgegevens in de media, plaatsing in informatie en telecommunicatie netwerken of op enige andere manier toegang verschaffen tot persoonlijke gegevens ";
• Depersonalization - "acties, waardoor het onmogelijk is om de identiteit van persoonlijke gegevens te bepalen voor een specifiek onderwerp van persoonlijke gegevens";
• blokkeren - "tijdelijke opschorting van de verzameling, systematisering, accumulatie, gebruik, verspreiding van persoonlijke gegevens, inclusief de overdracht ervan";
• vernietiging van persoonlijke gegevens - "acties, waardoor het onmogelijk is om de inhoud van persoonlijke gegevens in het informatiesysteem van persoonlijke gegevens te herstellen of waardoor de materiële dragers van persoonsgegevens worden vernietigd".

Er moet speciale aandacht worden besteed aan dergelijke verwerkingsmethoden zoals het blokkeren en vernietigen van persoonsgegevens. De wet zegt vrij goed over vernietiging - dit is de aanpak die nu wordt aanbevolen door binnenlandse en buitenlandse normen. Wat het blokkeren van persoonlijke gegevens betreft, is deze methode voor verwerking in de huisartspraktijk voor het eerst geïntroduceerd en kan de uitvoering ervan het leven van organisaties aanzienlijk bemoeilijken met behulp van eerder ontwikkelde informatiesystemen en databases waarin een dergelijke bewerking niet wordt aangeboden.

Beginselen en voorwaarden voor de verwerking van persoonsgegevens

De bepalingen van de wet zijn in de eerste plaats gericht op het voorkomen van het illegaal verzamelen en gebruiken van persoonlijke gegevens. Deze wens van de wetgever heeft geleid tot de opkomst van een nieuwe positie voor de archiveringspraktijk:

Clausule 2 van artikel 5 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ

Persoonlijke gegevens moeten worden opgeslagen in een vorm die het mogelijk maakt het onderwerp te bepalen, niet langer dan de verwerkingsdoeleinden vereisen, en moeten worden vernietigd wanneer de doelen van de verwerking van persoonsgegevens worden bereikt of het verlies van de noodzaak om deze te bereiken.

In dit geval stelt de wet voor de eerste keer misschien voor informatie en documenten de maximale en bovendien voorwaardelijke bewaarperiode in - "na het behalen van verwerkingsdoelstellingen". Organisaties moeten opslagperioden vaststellen voor documenten die persoonlijke gegevens bevatten, en het zal noodzakelijk zijn om van tevoren na te denken over de reden voor de geselecteerde opslagperioden. Dit is een nogal gecompliceerde vraag die veel controverse en problemen kan veroorzaken.

Bovendien moeten DOE-specialisten aandacht besteden aan het volgende: aangezien de doelen voor het verzamelen en verwerken van persoonlijke gegevens, zoals vereist door de wet, moeten worden bepaald voordat met het werk wordt begonnen, is het noodzakelijk om zorgvuldig na te denken over hun formulering. Anders kan de organisatie zelf zichzelf "substitueren": de doelen worden bereikt en persoonlijke gegevens worden niet vernietigd.

Een van de meest onaangename voor organisaties die persoonlijke gegevens verzamelen en verwerken, is de eis van artikel 6 over de noodzaak om de toestemming van het onderwerp te verkrijgen voor de verwerking ervan. Geen toestemming is alleen vereist in de volgende gevallen:

• op basis van federale wetgeving;
• om te voldoen aan het contract met het onderwerp van persoonsgegevens;
• voor statistische of wetenschappelijke doeleinden;
• om het leven en de gezondheid van het onderwerp van persoonlijke gegevens te beschermen;
• voor levering van poststukken door postorganisaties;
• in de loop van de professionele activiteiten van een journalist, geleerde, enz.;
• gegevens die moeten worden gepubliceerd in overeenstemming met federale wetten;
• om de grondslagen van de constitutionele orde, moraliteit, gezondheid, rechten en legitieme belangen van anderen te beschermen, om de verdediging van het land en de veiligheid van de staat te waarborgen.

We hebben al een aantal federale wetten die de verwerking van persoonlijke gegevens beschrijven, bijvoorbeeld bij het onderhouden van de Unified State Registrars of Taxpayers (EGRN) en rechtspersonen (USR). De enige voorwaarde voor het gebruik van de uitzondering op de algemene toestemmingsvereiste is om de volgende vragen in de relevante wetgeving uiteen te zetten:

• doel,
• voorwaarden voor het verkrijgen van persoonlijke gegevens
• kring van onderwerpen waarvan de persoonsgegevens worden verwerkt,
• bevoegdheden van de exploitant die de gegevens verzamelt.

Het is nog niet duidelijk wat er zal gebeuren met die wetten die normen bevatten met betrekking tot het verzamelen en verwerken van persoonlijke gegevens, maar niet voldoen aan de opgegeven voorwaarde.

De eerste om de problemen in verband met de naleving van de nieuwe wet, trok de aandacht van verzekeringsmaatschappijen. Naar hun mening kan de wet op persoonsgegevens de uitvoering van de wet inzake verplichte wettelijke aansprakelijkheidsverzekering voor motorrijtuigen (MTPL) ernstig belemmeren vanwege het verbod om de persoonlijke gegevens van de cliënt die zijn verkregen bij het sluiten van het MTPL-contract, zonder zijn toestemming aan derden door te geven. Als gevolg hiervan zal de verzekeringsmaatschappij niet in staat zijn om volledige informatie over haar klanten te verkrijgen uit een enkele database (en het onderhouden van een dergelijke database is ook twijfelachtig), in deze situatie nemen de risico's van verzekeraars toe.

Verzekeraars proberen dit belangrijke probleem al voor hen op te lossen door de volgende opties te overwegen:

• Wijzigingen in de wet op OSAGO en de verplichting van verzekeraars om gegevens uit te wisselen over verzekerde gebeurtenissen.
• Definitie van een deel van persoonlijke gegevens als openbaar. De informatie die een persoon aangeeft bij het maken van een OSAGO-contract is volgens de verzekeraars openbaar. De wet 'Over persoonlijke gegevens' vereist echter het verkrijgen van toestemming voor het verzamelen van openbare gegevens.
• Het Comité van de All-Russian Union of Insurers (ARIA) om verzekeringsfraude te bestrijden, heeft al twee wetsvoorstellen opgesteld, die gepland zijn om begin 2007 aan de Doema te worden voorgelegd. Volgens het hoofd van de commissie, Yevgeny Potapov, zal een van deze wetsvoorstellen de wet "Over de organisatie van verzekeringsactiviteiten in de Russische Federatie" wijzigen. Het stelt verzekeraars in staat om geautomatiseerde informatiesystemen te creëren op basis van hun verenigingen en verenigingen, die gegevens over verzekeringsclaims en betalingen zullen bevatten 8.

Paragraaf 6 van artikel 6 over de verlening van het recht op verwerking van persoonsgegevens aan journalisten, wetenschappers en vertegenwoordigers van andere creatieve beroepen zonder de toestemming van het onderwerp is twijfelachtig. Het is tamelijk realistisch (vooral in commerciële structuren) om een ​​fulltime positie in te voeren als "een vertegenwoordiger van het creatieve vak" en alle databases die persoonlijke informatie bevatten te "schrijven".

In Engeland wordt bijvoorbeeld in een soortgelijke wetsbepaling aanvullend bepaald dat in dit geval het doel van gegevensverwerking de publicatie van het relevante materiaal moet zijn; dat een dergelijke publicatie in het openbaar belang moet zijn (inclusief in de uitoefening van het recht op zelfexpressie van een vertegenwoordiger van het creatieve beroep) 9.

Daarnaast is het interessant hoe we bepalen wie een journalist of schrijver is en wie niet. Het is geen geheim dat veel van de schrijvende broeders niet de juiste diploma's of officiële ID's hebben. Hier kan de in de VS gebruikte aanpak nuttig voor ons zijn: journalisten herkennen al wie artikelen schrijft voor openbare verspreiding, zelfs als ze alleen op internet worden gepubliceerd.

In de Verenigde Staten in januari 2007 begon het proces tegen de voormalige regering van George Bush Lewis, "Scooter", Libby. Honderd stoelen werden gereserveerd voor de pers in de rechtszaal en twee ervan werden officieel ontvangen door de auteurs van de internetdagboeken.

De American Society of Newspaper Editors, bij het opstellen van een federale wet op het verlenen van journalisten het recht om tijdens gerechtelijke procedures geen vertrouwelijke informatie bekend te maken, suggereert dat deze wet zonder uitzondering van toepassing is op iedereen die informatie verzamelt voor verdere verspreiding. En de auteurs van internetdagboeken, "bloggers", vallen ook onder deze definitie 10.

Laten we nu eens kijken hoe de nieuwe wet inhoudt dat de persoon toestemming krijgt om zijn persoonlijke gegevens te verwerken.

Clausule 1 van artikel 9 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ

Het onderwerp persoonlijke gegevens beslist over de verstrekking van zijn persoonlijke gegevens en stemt in met de verwerking ervan door zijn eigen wil en in zijn eigen belang... De toestemming voor de verwerking van persoonsgegevens kan door het subject van persoonsgegevens worden ingetrokken.

Bovendien bevat artikel 3, lid 3, een tamelijk onaangename voorwaarde voor exploitanten. Ze moeten ofwel bewijsmateriaal verzamelen dat de door hen verzamelde gegevens afkomstig zijn uit openbaar beschikbare bronnen, of toestemming verkrijgen van het subject van persoonlijke gegevens en dit document vervolgens opslaan in het geval het "onderwerp" besluit de exploitant te vervolgen wegens schending van zijn rechten.

Met openbaar beschikbare gegevens is ook niet zo eenvoudig. Artikel 8, waarin wordt gedefinieerd wat wordt bedoeld met openbaar toegankelijke bronnen van persoonsgegevens (naslagwerken, adresboeken, enz.), Benadrukt dat persoonlijke informatie alleen daar kan worden opgenomen met schriftelijke toestemming van het onderwerp. Bovendien kan "informatie over het onderwerp van persoonlijke gegevens op elk moment worden uitgesloten van openbaar beschikbare bronnen van persoonlijke gegevens op verzoek van het subject van persoonsgegevens of door een rechtbank of andere bevoegde overheidsinstanties."

Aan de andere kant, als een organisatie openbaar beschikbare bronnen van persoonlijke gegevens zou gebruiken bij het verzamelen van informatie, dan zou het moeten documenteren waar het deze informatie heeft ontvangen en ervoor zorgen dat de "bron" de schriftelijke toestemming heeft die wettelijk vereist is.

Federale wet van de Russische Federatie "Op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ

Artikel 12 van artikel 3. Basisvoorwaarden gebruikt in deze federale wet

Algemeen toegankelijke persoonlijke gegevens zijn persoonlijke gegevens waarvan een onbeperkt aantal personen toegang hebben met toestemming van het subject van persoonlijke gegevens of aan wie de vereiste van vertrouwelijkheid niet van toepassing is in overeenstemming met federale wetten.

Clausule 1 van artikel 8. Over het algemeen toegankelijke bronnen van persoonlijke gegevens

Om informatie te ondersteunen, kunnen openbaar toegankelijke bronnen van persoonlijke gegevens (inclusief naslagwerken, adresboeken) worden gemaakt. Publiek beschikbare bronnen van persoonlijke gegevens met de schriftelijke toestemming van het onderwerp van persoonlijke gegevens kunnen zijn achternaam, voornaam, middelste naam, jaar en plaats van geboorte, adres, abonneenummer, informatie over het beroep en andere persoonlijke gegevens verstrekt door het onderwerp van persoonlijke gegevens.

Artikel 3 van artikel 9. Toestemming tot het onderwerp van persoonsgegevens over de verwerking van hun persoonsgegevens

De verplichting om te bewijzen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens, en in het geval van de verwerking van openbaar toegankelijke persoonlijke gegevens, is de exploitant verplicht te bewijzen dat de verwerkte persoonsgegevens openbaar zijn.

Het blijkt dat organisaties zichzelf moeten beschermen als ze om een ​​officiële bevestiging voor elke burger moeten vragen.

Hoe moet de schriftelijke toestemming van de proefpersoon worden ingediend? Het blijkt dat de handtekening van een burger onder de algemene zin "Ik ga akkoord met het verzamelen en verwerken van mijn persoonlijke gegevens" niet voldoende zal zijn.

Clausule 4 van artikel 9 van de federale wet van de Russische Federatie "op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ

... de schriftelijke toestemming van het subject van persoonsgegevens voor de verwerking van hun persoonsgegevens moet het volgende omvatten:

1. achternaam, naam, familienaam, adres van het onderwerp van persoonsgegevens, het nummer van het hoofddocument waaruit zijn identiteit blijkt, informatie over de datum van afgifte van het gespecificeerde document en de autoriteit van afgifte;
2. de naam (achternaam, naam, familienaam) en adres van de exploitant die de toestemming van het subject van persoonsgegevens verkrijgt;
3. doel van verwerking van persoonsgegevens;
4. een lijst van persoonsgegevens voor de verwerking waarvan de toestemming van het subject van persoonsgegevens wordt gegeven;
5. de lijst van acties met persoonsgegevens waarvoor toestemming is gegeven, een algemene beschrijving van de methoden die door de exploitant worden gebruikt voor de verwerking van persoonsgegevens;
6. de periode waarin de toestemming geldig is, evenals de procedure voor de intrekking ervan.

Dit betekent dat de exploitant, voordat hij het onderwerp 'persoonlijke gegevens' vangt en probeert in te stemmen met zijn toestemming, een speciale vorm van het document moet ontwikkelen die alle benodigde informatie bevat.

Rechten van het onderwerp van persoonsgegevens

Allereerst heeft het onderwerp persoonlijke gegevens recht op de volgende informatie:

• informatie over de exploitant,
• informatie over de locatie van de exploitant,
• informatie over de persoonlijke gegevens van de exploitant met betrekking tot het relevante onderwerp van persoonsgegevens,
• het onderwerp heeft ook het recht om vertrouwd te raken met zijn persoonlijke gegevens die door de exploitant worden bewaard.

Van de exploitant kan het onderwerp persoonlijke gegevens vereisen:

• verduidelijk uw persoonlijke gegevens
• hun blokkering of vernietiging in het geval dat persoonlijke gegevens onvolledig, verouderd, onnauwkeurig, illegaal verkregen of niet noodzakelijk zijn voor het vermelde doel van verwerking.

Veel moeilijkheden voor exploitantenorganisaties zullen clausule 2 van artikel 14 van de wet creëren, die vereist dat informatie over de beschikbaarheid van persoonsgegevens door de exploitant aan het onderwerp wordt verstrekt in een toegankelijke vorm en dat ze geen informatie bevatten met betrekking tot andere onderwerpen van persoonlijke gegevens.

De "Durant vs. Financial Services Authority" -zaak 11, die in december 2003 in het Court of Appeal in Engeland werd behandeld, kreeg een breed antwoord. De beslissing van de rechtbank heeft de interpretatie van het begrip "persoonsgegevens" aanzienlijk ingeperkt. In het bijzonder heeft de rechtbank aangegeven dat alleen al het vermelden van deze persoon in de tekst van het document niet voldoende is om het document met persoonsgegevens in overweging te nemen. Bovendien heeft de rechtbank bevestigd dat het recht op toegang tot hun persoonlijke gegevens geen inbreuk mag maken op de rechten van derden en dat daarom persoonlijke gegevens van derden moeten worden verwijderd uit de kopieën van documenten die op verzoek worden verstrekt (behalve bij speciale toevalligheden van omstandigheden).

In november 2004 ontkende de regering het recht van werknemers in het VK om toegang te krijgen tot hun persoonlijke gegevens, ongeacht of hun werkgever ze in papieren of elektronische vorm bewaart, als ze worden opgeslagen in een systeem dat de informatie over elke persoon niet duidelijk structureert. Zo werden de opslagsystemen voor papieren bestanden (met uitzondering van persoonlijke bestanden) de facto verwijderd van de actie van de wet inzake het verlenen van toegang tot persoonlijke informatie, aangezien ze zijn moeilijk om informatie over een bepaalde persoon te isoleren.

Om toegang te krijgen tot hun persoonlijke gegevens, moeten onze landgenoten:

• solliciteer persoonlijk of
• verzendingsverzoek, dat moet bevatten:
  • het nummer van het hoofddocument dat de identiteit van het subject van persoonsgegevens of zijn wettelijke vertegenwoordiger certificeert,
  • informatie over de datum van afgifte van het gespecificeerde document en de instantie van afgifte en
  • handgeschreven handtekening van het onderwerp persoonlijke gegevens of zijn wettelijke vertegenwoordiger.

Dit verzoek kan in elektronische vorm worden verzonden en ondertekend met een digitale handtekening. Zo biedt de wet formeel de mogelijkheid om hun persoonlijke gegevens aan te vragen via elektronische communicatiekanalen. We hebben nog geen personen met een eigen EDS die voldoen aan de wet op EDS (in de overgrote meerderheid van de gevallen wordt EDS in ons land gebruikt in overeenstemming met artikel 160 van het Burgerlijk Wetboek, dat voorziet in een voorlopig akkoord tussen de partijen).

De hoeveelheid informatie die een persoon met persoonsgegevens kan opvragen, geeft blijk van zorg voor onze burgers. Organisaties die de database met persoonsgegevens leiden, wordt aanbevolen speciale aandacht te schenken aan artikel 14, lid 4 van de nieuwe wet om de procedure voor het verstrekken van informatie in interne regelgeving te overdenken en te consolideren:

1. het feit van de verwerking van persoonsgegevens door de exploitant, evenals de doeleinden van een dergelijke verwerking;
2. over de methoden voor de verwerking van persoonsgegevens die door de exploitant worden gebruikt;
3. over personen die toegang hebben tot persoonlijke gegevens of die een dergelijke toegang kunnen krijgen (om te kunnen rapporteren over wie en welke persoonlijke gegevens zijn verstrekt, is het noodzakelijk om werk te organiseren over de registratie van persoonsgegevens en de toegang tot die gegevens te regelen, anders de organisatie van de exploitant vrij moeilijk om aan deze eis te voldoen);
4. lijst van verwerkte persoonsgegevens en bronnen van ontvangst;
5. de verwerkingstijd van persoonlijke gegevens, inclusief de opslagtijd (er moet speciale aandacht aan deze eis worden besteed, aangezien het in feite de exploitant verplicht de verwerking- en opslagtijden, die kunnen verschillen afhankelijk van de doeleinden van de verwerking van persoonsgegevens, door interne regelgevingsdocumenten te bepalen);
6. informatie over welke juridische gevolgen voor het onderwerp van persoonsgegevens de verwerking van zijn persoonsgegevens met zich mee kunnen brengen (om aan deze eis te voldoen, moeten organisaties hun advocaten van tevoren instrueren om rechtvaardigingen te formuleren voor alle mogelijke juridische gevolgen van verwerking van persoonsgegevens)

De kwestie van de verwerking van persoonsgegevens "om goederen, werken, diensten op de markt te promoten door rechtstreekse contacten met een potentiële consument door middel van communicatiemiddelen, en voor politieke campagnes" is gewijd aan een speciaal artikel (artikel 15). Nu moeten commerciële en politieke organisaties, alvorens reclame te verzenden, de voorafgaande toestemming van de burger verkrijgen, en de verwerking van PD "wordt erkend zonder de voorafgaande toestemming van het subject van persoonsgegevens, als de exploitant niet bewijst dat die toestemming is verkregen." Voor sommige commerciële structuren kan deze vereiste zeer ongelegen zijn!

Vanaf nu is het "verboden om beslissingen te nemen op basis van uitsluitend geautomatiseerde verwerking van persoonsgegevens, die aanleiding geven tot juridische gevolgen met betrekking tot het onderwerp van persoonsgegevens of anderszins van invloed zijn op zijn rechten en legitieme belangen" (artikel 16).

Deze bepaling is noodzakelijk en actueel. Maar onze wetgevers, bij het formuleren ervan, verwarden twee verschillende noties: "automatisch" (dat wil zeggen, zonder menselijke participatie) en "geautomatiseerd" (dat wil zeggen, gaan met menselijke participatie). Als een resultaat, dit artikel, in plaats van het opleggen van extra beperkingen aan die en alleen wanneer het informatiesysteem beslissingen neemt zonder menselijke participatie (bijvoorbeeld het vragen van een boete, het verbieden van reizen buiten het land, etc.), kan geïnterpreteerd als het opleggen van beperkingen aan alle soorten verwerking van persoonsgegevens, aangezien zelfs het gebruik van een rekenmachine kan worden begrepen als geautomatiseerde verwerking!

In hetzelfde artikel van de nieuwe wet staat dat de exploitant alleen beslissingen kan nemen op basis van "geautomatiseerde" verwerking als:

• schriftelijke toestemming van de betrokken persoon of persoon verkrijgen
• als deze regels zijn vastgelegd door federale wetten.

In sommige regelgevingsdocumenten is al rekening gehouden met deze vereisten van de wet. Zo is er in de voorbeelden van aanvragen voor de afgifte van een nieuw generatiepaspoort een speciale rubriek waarin de aanvrager instemt met de "geautomatiseerde" verwerking van de gegevens die in de aanvraag worden vermeld. Het klinkt als volgt: "Ik ga akkoord met de geautomatiseerde verwerking, verzending en opslag van de gegevens die in de aanvraag zijn gespecificeerd met het oog op het vervaardigen, verwerken en controleren van een paspoort tijdens de geldigheidsperiode" 12.

De exploitant moet ook de burger van tevoren de volgende informatie verstrekken:

• de volgorde van besluitvorming op basis van uitsluitend "geautomatiseerde" verwerking van zijn persoonsgegevens en
• mogelijke juridische gevolgen van een dergelijke beslissing;
• de procedure voor de bescherming door het onderwerp van persoonsgegevens van zijn rechten en legitieme belangen;
• gelegenheid om bezwaar te maken tegen een dergelijke beslissing.

In geval van een geschil moet de exploitant bewijzen dat hij aan alle wettelijke vereisten heeft voldaan. Dit betekent dat hij ondersteunende documenten zorgvuldig moet verzamelen en opslaan.

Verantwoordelijkheden van de exploitant

De verplichtingen van de exploitant, in overeenstemming met artikel 18, omvatten hoofdzakelijk het verstrekken van persoonlijke informatie op verzoek van de burger. Bovendien moet de exploitant "de wettelijke gevolgen van het weigeren om zijn persoonsgegevens te verstrekken aan het onderwerp van de persoonsgegevens verduidelijken", indien deze verplichting is vastgelegd door de federale wetgeving.

Artikel 20 stelt zeer strikte termijnen vast voor operatoren om aan verzoeken van personen met persoonsgegevens te voldoen (ze zijn veel moeilijker, bijvoorbeeld die welke zijn opgenomen in de recentelijk uitgegeven wet "De procedure voor het in aanmerking nemen van beroepen van burgers van de Russische Federatie"):

• gegevensverstrekking - binnen 10 werkdagen vanaf de datum van ontvangst van het verzoek;
• gemotiveerde weigering - binnen 7 werkdagen.

De operator zal nog meer vragen hebben als het noodzakelijk is om overtredingen van de wet te elimineren binnen het tijdsbestek dat is vastgelegd in artikel 21 van de nieuwe wet. Gegevensblokkering moet worden uitgevoerd vanaf het moment van het verzoek of vanaf het moment van ontvangst van het verzoek en het elimineren van overtredingen - binnen 3 werkdagen.

In sommige gevallen is de exploitant verplicht om persoonsgegevens binnen 3 werkdagen te vernietigen, namelijk:

• in geval van niet-opheffing van de overtredingen,
• in het geval dat het doel wordt bereikt om persoonsgegevens te verwerken,
• in het geval dat het onderwerp van de persoonlijke gegevens zijn toestemming voor de verwerking van zijn persoonsgegevens intrekt.

Zowel het blokkeren als vernietigen van persoonlijke gegevens kan moeilijk (en soms zelfs onmogelijk) zijn om te implementeren in huidige besturingsinformatiesystemen en databases die voorheen niet in een dergelijke mogelijkheid voorzagen.

De operator zal het nog moeilijker krijgen als hij persoonlijke gegevens ontvangt, niet van een burger, maar van een derde partij.

Artikel 3 van artikel 18 van de federale wet van de Russische Federatie "Op persoonlijke gegevens" van 27 juli. 2006 nr. 152-FZ

Als persoonlijke gegevens niet van de betrokkene zijn ontvangen, tenzij de persoonsgegevens zijn verstrekt aan de exploitant op grond van federale wetgeving of als persoonlijke gegevens openbaar beschikbaar zijn, moet de exploitant de volgende gegevens aan de betrokkene verstrekken voordat deze persoonsgegevens worden verwerkt:

1. naam (achternaam, voornaam, middelste naam) en adres van de exploitant of zijn vertegenwoordiger;
2. het doel van de verwerking van persoonsgegevens en de rechtsgrondslag daarvan;
3. beoogde gebruikers van persoonlijke gegevens;
4. de rechten van het onderwerp van persoonsgegevens vastgesteld door deze federale wet.

Achter deze woorden gaat meer tijdrovend werk. De vraag kan bijvoorbeeld rijzen: hoe moet deze informatie aan het onderwerp worden verstrekt? Is het mogelijk om het per post te verzenden en wordt de informatie geacht te zijn verstrekt als het onderwerp de corresponderende brief niet heeft ontvangen?

De verplichting van de exploitant, in overeenstemming met artikel 19, is ook om de veiligheid van persoonsgegevens tijdens de verwerking ervan te waarborgen. Om problemen te voorkomen, moet de organisatie van de exploitant alle organisatorische en technische informatiebeveiligingsmaatregelen die hij bereid is te treffen om de persoonsgegevens in zijn informatiesystemen te beschermen, in de regelgevingsdocumenten ontwikkelen en consolideren.

Staatsregistratie van systemen voor de verwerking van persoonsgegevens

De wet bepaalt dat alle exploitanten die de verwerking van persoonsgegevens uitvoeren, de bevoegde instantie vooraf moeten informeren (artikel 22), die gegevens bijhoudt van de exploitanten in een speciaal register. De bevoegde instantie is volgens artikel 23 het ministerie van informatietechnologie en communicatie van Rusland, dat momenteel "controlefuncties en supervisies op het gebied van informatietechnologie en communicatie" vervult. De melding moet gedetailleerd beschrijven wat er met persoonlijke gegevens is gepland. Alle wijzigingen met betrekking tot de verwerking van persoonsgegevens moeten ook worden gemeld aan de bevoegde instantie.

Het is toegestaan ​​om persoonlijke gegevens te verwerken zonder de bevoegde instantie hiervan in kennis te stellen in de volgende gevallen:

• in aanwezigheid van arbeidsrelaties;
• bij het sluiten van een overeenkomst waarbij het onderwerp persoonsgegevens een partij is;
• als persoonlijke gegevens behoren tot leden (deelnemers) van een openbare vereniging of religieuze organisatie en worden verwerkt door de relevante openbare vereniging of religieuze organisatie;
• als persoonlijke gegevens openbaar beschikbaar zijn;
• als persoonlijke gegevens alleen de namen, achternamen en familienaam van de onderwerpen bevatten;
• bij registratie van opnames;
• als persoonlijke gegevens zijn opgenomen in informatiesystemen die, in overeenstemming met federale wetgeving, de status hebben van federale geautomatiseerde informatiesystemen, evenals staatsinformatiesystemen voor persoonlijke gegevens die zijn gemaakt om de veiligheid van de staat en de openbare orde te beschermen;

Tot slot zullen we een aantal aanbevelingen aan exploitanten doen. Het zal niet moeilijk zijn om aan de vereisten van de wet op persoonsgegevens te voldoen als dit werk nu wordt gestart, zonder te wachten op de eerste klachten en klachten. U kunt beginnen met de volgende voor de hand liggende maatregelen:

• Het is raadzaam om een ​​verantwoordelijke officier te benoemen om alle kwesties in verband met de implementatie van deze wet in de organisatie te bespreken, en voor grote bedrijven kan de oprichting van een speciale commissie gerechtvaardigd zijn.
• Voor alle informatiebronnen van de organisatie die persoonlijke gegevens bevatten, moet u:
  • hun status bepalen (op basis waarvan ze zijn gecreëerd: in overeenstemming met de wetgeving, voor de uitvoering van het contract, op eigen initiatief, enz.);
  • de samenstelling van persoonlijke gegevens en hun bronnen van ontvangst verduidelijken en vastleggen (van een burger, van openbare bronnen, van derden, enz.);
  • vaststellen van de opslagperiode en de verwerkingstijd van gegevens in elke informatiebron;
  • bepaal de verwerkingsmethoden;
  • personen identificeren met toegang tot gegevens;
  • wettelijke implicaties formuleren;
  • de procedure bepalen voor het reageren op verzoeken, mogelijke antwoorden en acties, de realiteit van naleving van de vastgestelde responstijden beoordelen.

In dit artikel wordt een analyse van de nieuwe wet op de bescherming van persoonsgegevens gemaakt vanuit het oogpunt van specialisten op het gebied van records management, die veel bloed zullen vergallen. De doeltreffendheid ervan zal worden aangetoond door de praktijk, maar vooralsnog schat ik als "persoonsgerelateerde persoon" de lijst van overheidsinstanties waarnaar ik een verzoek zou kunnen sturen om mij, met inachtneming van de wettelijke vereisten, relevante informatie te verstrekken. Nu heb ik gelijk!

1 Artikel 25 van hoofdstuk IV van Richtlijn 95/46 / EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van de rechten van het individu wat de verwerking van persoonsgegevens en het vrije verkeer van die gegevens betreft.

2 Het is interessant dat zelfs de Verenigde Staten niet voldoen aan strikte Europese eisen, en Amerikaanse bedrijven worden gedwongen om zogenaamde "parapluovereenkomsten" te gebruiken.

3 Het subject van de persoonlijke gegevens is een persoon wiens persoonlijke gegevens worden verwerkt.

4 "systeem voor het archiveren van persoonlijke gegevens"

5 De lijst van federale uitvoerende autoriteiten en organisaties die zich bezighouden met het bewaren van documenten van het Archival Fonds van de Russische Federatie die federaal eigendom zijn, omvat 18 organisaties: het Ministerie van Binnenlandse Zaken van Rusland, het Ministerie van Buitenlandse Zaken van Rusland, het Ministerie van Defensie van Rusland, SVR van Rusland, FSB van Rusland, Federal Drug Control Service van Rusland, FSIN van Rusland, Rosatom, Roskartografiya, Russian Academy of Agricultural Sciences, Russian Academy of Medical Sciences, Russian Academy of Education, Russian Academy of Arts, Russian Academy of Architecture and Construction Sciences, State Foundation: All-Russian Research Institute of Hydrometeorological Information - World Data Center, Federale Staatsinstelling "Staatsfonds voor televisie- en radioprogramma's", Federale Staatsunit Wetenschappelijk Productiebedrijf "Russisch Federaal Geologisch Fonds", Federale Staatsunit "Russisch wetenschappelijk-technisch centrum informatie over standaardisatie, metrologie en conformiteitsbeoordeling ".

6 5 U.S. C. § 552a (k) (1) "Documenten aan personen - Speciale uitzonderingen - Archiefdocumenten".

7 Exploitant - een overheidsinstantie, gemeentelijke instantie, rechtspersoon of natuurlijke persoon, die de verwerking van persoonsgegevens organiseert en (of) uitvoert, en het doel en de inhoud van de verwerking van persoonsgegevens definieert.

9 Data Protection Act 1998, artikel 32.

11 Durant vs Financial Services Authority (FSA).

12 Bijlage nummer 1 bij de Instructies voor de procedure voor de verwerking en afgifte van een paspoort van een burger van de Russische Federatie, een diplomatiek paspoort en een dienstpaspoort, die de identiteit van een burger van de Russische Federatie buiten het grondgebied van de Russische Federatie met elektronische media bevatten (goedgekeurd op bevel van het Ministerie van Binnenlandse Zaken van de Russische Federatie, Ministerie van Buitenlandse Zaken van de Russische Federatie en de Federale veiligheidsdienst van de Russische Federatie van 6 oktober 2006 nr. 785/14133/461).