Aplicații 

Date personale din surse deschise. Ce date personale sunt disponibile publicului. Ce este un operator și subiect al datelor cu caracter personal

„Persoană” - date care se referă la o persoană, personalitate, organism biologic.

Ce este, cum se colectează, unde se depozitează, cum se protejează?

Un card de amprentă este sau nu date personale?

Nu conține informații personale.

date cu caracter personal - orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia, societatea , starea proprietății, educație, profesie, venit, alte informații;

Adresa este înregistrarea la locul de reședință sau locul de ședere.

Clasificarea condiționată a datelor cu caracter personal.

1) după gradul de deschidere:

date cu caracter personal disponibile publicului - date cu caracter personal care sunt accesibile unui număr nelimitat de persoane cu consimțământul persoanei vizate sau cărora, în conformitate cu legile federale, nu sunt supuse cerințelor de confidențialitate.

Datele cu caracter personal publice sunt date pentru care se acordă consimțământul voluntar și sunt postate în domeniul public.

Adesea, unii proprietari de site-uri cer informații de înregistrare pe care nu doresc să le furnizeze.

Informații confidențiale – informațiile sunt furnizate strict în scopuri specifice. Uneori poate fi colectat fără știrea persoanei.

Ministerul Afacerilor Interne stochează informații în centre de informare

2) prin afiliere

- personal - aparține de la naștere

- oficial - în cursul muncii, serviciului - grad de clasă etc.

3) prin modalitatea de prestare

— informații furnizate în mod voluntar

- asigurate in mod general in conditiile legii (obligatoriu)

— colectate fără acordul cetățeanului în condițiile legii

4) prin natura datelor

— biometrice (informații privind amprenta digitală)

Concepte de bază utilizate atunci când lucrați cu date personale.

— prelucrarea datelor cu caracter personal— acțiuni (operațiuni) cu date cu caracter personal, inclusiv culegerea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal;

— distribuirea datelor cu caracter personal- acțiuni care vizează transferul de date cu caracter personal către un anumit cerc de persoane (transferul de date cu caracter personal) sau familiarizarea cu datele personale ale unui număr nelimitat de persoane, inclusiv publicarea datelor cu caracter personal în mass-media, postarea în rețelele de informare și telecomunicații sau furnizarea accesul la datele personale în orice -sau în orice alt mod;

- utilizarea datelor cu caracter personal - acțiuni (operațiuni) cu date cu caracter personal efectuate de operator în scopul luării de decizii sau al efectuării altor acțiuni care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau cu alte persoane sau care afectează în alt mod drepturile și libertățile subiectului personalului; date sau alte persoane;

— blocarea datelor cu caracter personal— încetarea temporară a colectării, sistematizării, acumulării, utilizării, difuzării datelor cu caracter personal, inclusiv transferul acestora;

Informațiile postate pe internet de multe ori nu pot fi blocate.

Cele mai multe date personale:

- stocat pe un computer

- postat pe internet

Este greu de controlat plasarea

— distrugerea datelor cu caracter personal— acțiuni în urma cărora este imposibilă restabilirea conținutului datelor cu caracter personal în sistemul de informații cu caracter personal sau în urma cărora mediile materiale de date cu caracter personal sunt distruse; — situații în care arhivele erau în flăcări

depersonalizarea datelor cu caracter personal

— depersonalizarea datelor cu caracter personal— acțiuni în urma cărora este imposibil să se determine dreptul de proprietate asupra datelor cu caracter personal asupra unui anumit subiect al datelor cu caracter personal;

sistemul informatic de date cu caracter personal- un sistem informatic, care este o colecție de date cu caracter personal conținute într-o bază de date, precum și tehnologia de informațieși mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente;

confidențialitatea datelor cu caracter personal— o cerință obligatorie pentru operator sau altă persoană care are acces la datele cu caracter personal de a nu permite distribuirea acestora fără consimțământul subiectului datelor cu caracter personal sau prezența unui alt temei juridic;

transfer transfrontalier de date cu caracter personal— transferul de date cu caracter personal de către operator peste frontiera de stat Federația Rusă o autoritate a unui stat străin, o persoană fizică sau juridică a unui stat străin;

— date personale disponibile publicului— date cu caracter personal, acces la un număr nelimitat de persoane cărora le este oferit cu acordul subiectului datelor cu caracter personal sau cărora, în conformitate cu legile federale, nu este supus cerințelor de confidențialitate.

Prelucrarea datelor cu caracter personal.

1) legalitatea scopurilor și metodelor de prelucrare a datelor cu caracter personal și integritatea;

2) conformitatea scopurilor prelucrarii datelor cu caracter personal cu scopurile predeterminate si declarate la colectarea datelor cu caracter personal, precum si cu atributiile operatorului;

3) respectarea volumului și naturii datelor cu caracter personal prelucrate, metodelor de prelucrare a datelor cu caracter personal în scopul prelucrării datelor cu caracter personal;

4) fiabilitatea datelor cu caracter personal, suficiența acestora în scopul prelucrării, inadmisibilitatea prelucrării datelor cu caracter personal care este excesivă în raport cu scopurile declarate la colectarea datelor cu caracter personal;

5) inadmisibilitatea combinării bazelor de date create în scopuri incompatibile sisteme informatice datele personale.

Dacă la un moment dat cineva a completat un card de amprentă, atunci acesta se află în centrul de informații din bazele de date. Nu putem, de exemplu, să combinăm bazele de date ale cetățenilor de rând și ale celor care au comis o infracțiune.

1) cu acordul proprietarului datelor cu caracter personal

2) fără acordul proprietarului datelor cu caracter personal.

Acest lucru se aplică persoanelor care ocupă anumită pozițieși poziție: cadre militare, cadavre

Confidențialitatea datelor cu caracter personal:

Când nu este necesar:

1) în cazul depersonalizării datelor cu caracter personal;

2) în legătură cu datele personale disponibile publicului.

- operatorul care colectează și prelucrează datele cu caracter personal.

— limitați accesul în cadrul propriei organizații

Operatorul este personal responsabil pentru difuzarea datelor cu caracter personal

— stabilirea restricțiilor de acces atât în ​​interior, cât și online (sistem de permis, sistem de identificare a cardului)

Pentru rețele locale– autentificare la sistem+parolă

Puteți restricționa accesul folosind informații biometrice: amprentă, retină.

- despre rasă

- despre opiniile politice

- despre convingerile religioase sau filozofice

- despre starea de sănătate

- despre viața intimă

Prelucrarea acestora este posibilă numai cu acordul subiecților.

1) prezența consimțământului scris al subiectului pentru prelucrarea acestora

2) dacă subiectul datelor cu caracter personal le-a pus la dispoziția publicului

3) dacă aceste informații se referă la informațiile necesare pentru a proteja viața, sănătatea și alte interese vitale ale unei persoane

Astfel de informații pot fi furnizate în scopuri medicale și preventive - de exemplu, o infecție virală.

Caracteristici ale prelucrării datelor cu caracter personal în sistemele informaționale de stat sau municipale pentru prelucrarea datelor cu caracter personal.

- se aplică numai funcționarilor publici și angajaților municipali.

Organismul de stat are propriul statut, există sisteme independente prelucrarea informațiilor despre angajații de stat sau municipali.

1) se stabilește ce informații sunt necesare în competența sa

2) există și Legea federală „Cu privire la serviciul public de stat”, adică este reglementată nu numai de legislația privind datele cu caracter personal.

Informațiile care caracterizează caracteristicile fiziologice ale unei persoane și pe baza cărora se poate stabili identitatea acesteia (date cu caracter personal biometrice) pot fi prelucrate numai cu acordul scris al subiectului datelor cu caracter personal, cu excepția următoarelor cazuri:

1) săvârșirea unei infracțiuni

Prelucrarea datelor cu caracter personal biometrice poate fi efectuată fără acordul subiectului datelor cu caracter personal în legătură cu administrarea justiției, precum și în cazurile prevăzute de legislația Federației Ruse privind securitatea, legislația Federației Ruse privind activități operaționale de investigație, legislația Federației Ruse privind serviciul public, legislația executivă penală a Federației Ruse, legislația Federației Ruse privind procedura de părăsire a Federației Ruse și intrare în Federația Rusă.

- colectarea de informații de la un suspect este ilegală

Prelucrarea informațiilor transfrontaliere.

Se poate cere, pentru a proteja cetățenii țării în care este transferat, ca acesta să fie colectat numai cu acordul scris al subiectului.

Drepturile subiectului datelor cu caracter personal.

1) Dreptul subiectului datelor cu caracter personal de a accesa datele sale personale

Nu poți suna centru de informare Ministerul Afacerilor Interne (centrul principal de informare și centrul de informare zonal)

2) Drepturile persoanelor vizate la prelucrarea datelor lor personale în scopul promovării bunurilor, lucrărilor, serviciilor pe piață, precum și în scopuri de propagandă politică

Acuratețea informațiilor va fi verificată de către alții.

3) luarea deciziilor bazate exclusiv prelucrare automată datele personale. Este posibil ca o persoană să nu aibă încredere în procesarea automată. Puteți solicita ca amprentele să fie stocate nu numai în computer, ci și pe hârtie.

— Codul Muncii al Federației Ruse - există un capitol dedicat datelor cu caracter personal.

LEGEA FEDERALĂ PRIVIND ÎNREGISTRAREA AMPRENTELOR DE STAT ÎN FEDERAȚIA RUSĂ din 25 iulie 1998 N 128-FZ

Datele personale publice sunt

Date personale- orice informație referitoare la un anumit sau determinat pe baza unor astfel de informații unui individ, inclusiv:

Numele lui de familie, prenume, patronimic,

Anul, luna, data și locul nașterii,

Adresă, familie, social, stare de proprietate, educație, profesie, venit,

alte informații (a se vedea Legea federală-152, articolul 3).

De exemplu: date pașapoarte, situații financiare, dosare medicale, anul nașterii (pentru femei), biometrie, alte informații de identificare personală.

ÎN public surse de date cu caracter personal (agende, liste și alte informații suport) cu acordul scris al unei persoane poate include numele de familie, prenumele, patronimul, anul și locul nașterii, adresa, numărul de abonat și alţii datele personale (a se vedea Legea federală-152, articolul 8).

Datele personale se referă la informații acces limitatși ar trebui să fie protejatîn conformitate cu legislația Federației Ruse. La dezvoltarea cerințelor de securitate a sistemului, datele personale sunt împărțite în 4 categorii.

Care este operatorul și subiectul datelor cu caracter personal?

Operator de date personale- aceasta este, de regulă, o organizație, sau mai precis un organism de stat sau municipal, juridic sau individual, organizarea și (sau) efectuarea prelucrării datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal.

Subiectul datelor cu caracter personal este un individ.

Operatorul este responsabil pentru protecția datelor cu caracter personal ale subiectului în conformitate cu legislația actuală a Federației Ruse.

Cum se clasifică un sistem de informații cu date personale?

Pentru a atribui tipic Sistemul de informații cu date personale (PDIS) pentru o anumită clasă necesită:

II. Defini volum datele cu caracter personal prelucrate in sistemul informatic:

volumul 3— datele sunt procesate simultan în sistemul informatic mai puțin de 1000 de subiecți datele cu caracter personal sau datele cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații;

volumul 2 de la 1000 la 100.000 de subiecți datele personale sau datele personale ale subiecților datelor cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-un organism guvernamental, care locuiește într-o municipalitate;

volumul 1— datele cu caracter personal sunt prelucrate simultan în sistemul informatic peste 100.000 de subiecti datele personale sau datele personale ale subiecților datelor cu caracter personal dintr-un subiect al Federației Ruse sau al Federației Ruse în ansamblu;

III. Pe baza rezultatelor analizei datelor inițiale tipic ISPDn i se atribuie unul dintre următoarele clasele(vezi tabelul):

Clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

Clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

Clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal.

Ziua Judecății amânată până la 1 ianuarie 2011

Sistemele de informații cu date cu caracter personal create înainte de intrarea în vigoare a Legii federale a Federației Ruse nr. 152 „Cu privire la datele cu caracter personal” trebuie aduse în conformitate cu cerințele acestei legi federale până la 1 ianuarie 2010 (a se vedea Legea federală nr. 152, articolul 25).

Aceasta înseamnă că operatorii de date cu caracter personal care nu respectă cerințele foarte stricte ale Legii federale nr. 152 se vor confrunta, de la 1 ianuarie 2010, cu sancțiuni civile, administrative, disciplinare și poate (Doamne ferește) penale corespunzătoare. responsabilitate .

Toate sistemele informatice care au fost deja puse în funcțiune după februarie-aprilie 2008 (din momentul distribuirii documentelor metodologice de către FSTEC din Rusia și FSB din Rusia), dar nu respectă cerințele legislației ruse în domeniul datele cu caracter personal, pot suporta răspunderea specificată mai devreme, de exemplu, mâine dimineață.

Nota. Modificările aduse Codului penal al Federației Ruse, care înăsprește în mod semnificativ răspunderea pentru încălcările care afectează viața privată, vor intra și ele în vigoare la 1 ianuarie 2010.

Dar, așa cum se întâmplă întotdeauna, operatorii de date cu caracter personal nu s-au mișcat prea mult și puțini au reușit să facă tot ce a fost necesar. La 16 decembrie 2009, Duma de Stat a adoptat în a treia lectură modificări la articolele 19 și 25 din Legea „Cu privire la datele cu caracter personal” (152-FZ). Termenul de aducere în conformitate cu această lege a sistemelor informatice cu date cu caracter personal (PDIS) a fost amânat cu un an - până la 1 ianuarie 2011. În plus, legea obligă operatorul să utilizeze mijloace de criptare (criptografice) pentru protejarea datelor la prelucrarea datelor cu caracter personal. a fost exclus din lege.

Cerințe obligatorii pentru protecția sistemelor informatice de date cu caracter personal

Cerințe obligatorii de bază pentru organizarea unui sistem de securitate a informațiilor în funcție de clasa unui ISPD tipic:

Pentru clasa 4 ISPD:

Lista măsurilor de protecție a datelor cu caracter personal este stabilită de operator (în funcție de eventuala pagubă)

Pentru clasa 3 ISPD:

Declaratie de conformitate sau

Obținerea unei licențe de la FSTEC din Rusia pentru activități legate de protecția tehnică a informațiilor confidențiale (pentru sisteme distribuite ISPDn K3)

Pentru clasa 2 ISPD:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Obținerea unei licențe de la FSTEC din Rusia pentru activități legate de protecția tehnică a informațiilor confidențiale pentru sistemele distribuite

Pentru clasa 1 ISPD:

Certificare obligatorie pentru cerințele de securitate a informațiilor

Trebuie implementate măsuri pentru protejarea datelor cu caracter personal de PEMIN

Obținerea unei licențe de la FSTEC din Rusia pentru activități legate de protecția tehnică a informațiilor confidențiale

Procedura de protectie a sistemului informatic al datelor cu caracter personal

Secvența de acțiuni la îndeplinirea cerințelor legale pentru prelucrarea datelor cu caracter personal:

1) Notificarea către organismul abilitat pentru protecția drepturilor persoanelor vizate cu caracter personal despre intenția dumneavoastră de a prelucra datele cu caracter personal folosind instrumente de automatizare;

2) Sondajul pre-proiect al sistemului informaţional - colectarea datelor iniţiale;

3) Clasificarea sistemului de prelucrare a datelor cu caracter personal;

4) Construirea unui model de amenințare privată pentru a determina relevanța acestora pentru sistemul informațional;

5) Elaborarea unei specificații tehnice private pentru un sistem de protecție a datelor cu caracter personal;

6) Proiectarea unui sistem de protecție a datelor cu caracter personal;

Răspunderea pentru încălcările prelucrării datelor cu caracter personal

Persoanele vinovate de încălcarea cerințelor Legii federale 152-FZ „Cu privire la datele cu caracter personal” poartă:

- penal (a se vedea Codul penal al Federației Ruse, art. 137, 140, 155, 183, 272, 273, 274, 292, 293),

Administrativ (a se vedea Codul Federației Ruse privind infracțiunile administrative, articolele 5.27, 5.39, 11.13-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinare (a se vedea Codul Muncii al Federației Ruse, Art. 81; Art. 90; Art. 195; Art. 237; Art. 391)

și altă responsabilitate prevăzută de legislația Federației Ruse (a se vedea regulamentul privind lucrul cu date personale, care este publicat în entitățile constitutive ale Federației Ruse, departamente și organizații).

FSTEC - Serviciul federal privind controlul tehnic și la export.

PEMIN- Radiații și interferențe electromagnetice laterale

Protecția datelor cu caracter personal

În decembrie 2014, Duma de Stat a adoptat în a treia lectură un proiect de lege privind stocarea datelor personale ale cetățenilor procesate pe internet pe serverele din Rusia. Potrivit lui Roman Chuichenko, membru al comitetului de politică informațională, scopul principal al proiectului de lege este consolidarea securitatea informatieițara și cetățenii săi. Această măsură a fost luată din cauza complicației situației internaționale. Acest proiect de lege va intra în vigoare la 1 septembrie 2015.

Intrarea în vigoare a noului regulament privind protecția datelor cu caracter personal impune ca operatorii de date cu caracter personal să furnizeze:

  • detectarea la timp a accesului neautorizat la datele personale;
  • prevenirea impactului asupra mijloace tehnice cei care efectuează prelucrare automată a datelor cu caracter personal;
  • capacitatea de a răspunde prompt la faptul accesului neautorizat și de a restabili imediat datele cu caracter personal în cazurile de distrugere sau modificare a acestora;
  • monitorizarea constantă a nivelului de securitate a datelor cu caracter personal.

Categorii de date cu caracter personal

Prelucrarea ISPD poate fi efectuată și în funcție de parametrul „volum de date cu caracter personal prelucrate”, care presupune numărul de subiecți prelucrați în sistemul informațional și poate lua următoarele valori:

  • prelucrarea simultană a peste 100 de mii de subiecți de date cu caracter personal (efectuată atât în ​​cadrul subiectului Federației Ruse, cât și în Federația Rusă în ansamblu);
  • prelucrarea simultană a datelor cu caracter personal de la 1 la 100 de mii de subiecți (efectuată într-o agenție guvernamentală care activează în domeniul economiei ruse);
  • prelucrarea simultană a datelor cu caracter personal de mai puțin de 1 mie de subiecți (efectuată în cadrul unei anumite organizații).

Împărțirea pe categorii permite nu numai determinarea clasei ISPD, ci și stabilirea unui set de măsuri pentru asigurarea securității și protecției datelor cu caracter personal pe internet, atunci când sunt prelucrate în sistemele informaționale.

Datele personale ale angajatului

Fiecare angajat are dreptul de a-și proteja datele personale (clauza 9 a articolului 86 din Codul Muncii al Federației Ruse).

În conformitate cu art. 89 din Codul Muncii al Federației Ruse, fiecare angajat își poate exercita dreptul la protecția și protecția datelor cu caracter personal prin următoarele acțiuni:

  • acces gratuit la datele dumneavoastră personale, inclusiv obținerea unei copii a oricărei înregistrări care conține datele personale ale angajatului;
  • determinarea unui reprezentant personal pentru a vă proteja datele personale;
  • obținerea de informații complete despre datele cu caracter personal și prelucrarea acestora;
  • emiterea de cereri pentru excluderea sau corectarea datelor cu caracter personal care conțin informații incorecte sau dacă acestea au fost prelucrate cu încălcarea cerințelor legale;
  • contestarea în instanță împotriva acțiunilor ilegale ale angajatorului, precum și a inacțiunii acestuia în prelucrarea și protejarea datelor cu caracter personal.

Componența datelor personale ale angajatului

În baza clauzei 2 a articolului 86 din Codul Muncii al Federației Ruse, volumul și conținutul datelor personale ale angajatului sunt determinate de angajator în conformitate cu Constituția Federației Ruse, Codul Muncii și alte legi federale. De regulă, activitățile oricărei organizații necesită ca angajatorul să utilizeze două tipuri principale de documente în fluxul de documente:

  1. Documente furnizate de angajat la încheierea unui contract de muncă (articolul 65 din Codul Muncii al Federației Ruse). Această categorie include documente care conțin o fotografie a angajatului, numele complet, informații despre locul și data nașterii, cetățenia, starea civilă, locul de înmatriculare, studii, specialitate (pașaport, certificat de asigurare de asigurare de pensie de stat, legitimație militară etc.).
  2. Documente care sunt generate de angajator în mod independent (documentația contabilă primară pentru înregistrarea muncii și plata acesteia). Această categorie include comenzi sau instrucțiuni privind angajarea unui angajat, rezilierea unui contract de muncă, recompensarea unui angajat, un card personal și documente privind remunerația.

Protecția datelor cu caracter personal, răspunderea pentru încălcarea legilor

Să observăm că unele sancțiuni pentru încălcarea anumitor infracțiuni se aplică atât persoanelor fizice, cât și funcționarilor, precum și persoanelor juridice.

În conformitate cu articolul 150 din Codul civil al Federației Ruse, inviolabilitatea vieții private, a secretelor personale și de familie se numără printre drepturile inalienabile intangibile care sunt protejate de legile actuale.

Să menționăm că drepturile și obligațiile unui angajat care au legătură directă cu datele personale ale altor angajați sunt determinate de termenii contractului de muncă și de componența reglementărilor locale care stabilesc funcțiile de muncă ale salariatului și de lista responsabilităților sale de muncă.

Responsabilitate administrativă Încălcarea procedurii de colectare, stocare și distribuire a datelor cu caracter personal implică un avertisment sau o amendă în valoare de: de la 300 la 500 de ruble - pentru persoane fizice; de la 500 la 1000 de ruble - pentru funcționari, de la 5 la 10 mii de ruble - pentru persoane juridice(Articolul 13.11 din Codul contravențiilor administrative al Federației Ruse). Răspunderea administrativă pentru difuzarea de informații protejate de lege în exercitarea atribuțiilor oficiale și profesionale atrage o amendă în valoare de: de la 500 la 1000 de ruble - pentru persoane fizice, de la 4 la 5 mii de ruble - pentru funcționari (articolul 13.14 din Cod). de infracțiuni administrative ale Federației Ruse).

Încălcarea vieții private, în special a datelor cu caracter personal, de către o persoană care își folosește funcția oficială se pedepsește cu:

  • o amendă în valoare de 100 până la 300 de mii de ruble, salarii sau alte venituri ale infractorului timp de 1-2 ani;
  • privarea de dreptul de a ocupa anumite funcții pe o perioadă de la 2 la 5 ani;
  • arestare pe o perioadă de la 4 la 6 luni.

Confirmarea permisiunii de prelucrare a datelor cu caracter personal este acum cerută la încheierea contractelor, la completarea formularelor sau la înregistrarea pe site-uri web. Majoritatea cetățenilor sunt de acord automat, deși informațiile personale despre o persoană aflate în mâinile unor persoane fără scrupule sunt o armă puternică și periculoasă. Articolul vorbește despre ceea ce trebuie să știi despre datele personale, deschizând accesul la acestea terților.

Date personale: ce este, cadru de reglementare

Statul reglementează domeniul datelor cu caracter personal printr-o serie de reglementări. Baza este Constituția Federației Ruse, baza este Legea federală nr. 152 din 27 ianuarie 2006. Legea explică ce sunt datele personale și ce se aplică acestora. Acest termen înseamnă informații care caracterizează direct sau indirect subiectul datelor cu caracter personal – o persoană fizică. În termeni simpli, ele pot fi folosite pentru a determina cu exactitate că vorbim despre o anumită persoană.

Există o mențiune indirectă a datelor cu caracter personal în Constituția Rusiei. Articolele 23–24 din Legea fundamentală conferă cetățenilor dreptul la intimitate, inviolabilitatea și protecția acesteia. Tot ceea ce este inclus în conceptul de date cu caracter personal aparține numai proprietarului acestuia și nu poate fi controlat de guvern sau de terți. Înșiși cetățenii sunt liberi să gestioneze aceste informații, să împiedice difuzarea lor sau, dimpotrivă, să le transmită altora. Statul, la rândul său, garantează și protejează această oportunitate.

Legea federală nr. 152 stabilește cine are dreptul de a utiliza datele cu caracter personal, altul decât transportatorul acesteia, în ce condiții, conform ce reguli. Numai operatorii cu permisiunea acestuia pot primi și procesa informații personale despre subiect. Cetățeanul semnează consimțământul pentru a-și verifica datele personale atunci când solicită un împrumut, completează chestionare sau candidează pentru un loc de muncă.

Operatorii au acces la cantitatea de date necesară pentru a-și rezolva problemele. Ei nu au dreptul să le păstreze sau să le folosească după ce scopul a fost atins. De exemplu, angajatorul trebuie să distrugă înregistrările, chestionarele - tot ceea ce se referă la datele personale ale angajatului după concedierea acestuia. În caz contrar, există riscul răspunderii pentru

Normele Legii federale nr. 152 trebuie să fie respectate de toate persoanele juridice și persoanele fizice. Se aplică reguli speciale atunci când PD:

  1. primite pentru nevoi personale sau familiale, dacă aceasta nu aduce atingere drepturilor a 3 persoane;
  2. cuprinse în documente de arhivă;
  3. constituie secrete de stat;
  4. sunt colectate prin act judiciar.

Alte acte legislative clarifică prevederile privind datele cu caracter personal în raport cu diferite situații, introduc un sistem și clasificare a mijloacelor de protecție. De exemplu, capitolul 14 din Codul Muncii al Federației Ruse dezvăluie conceptul de date personale ale angajaților. Acestea sunt informații care vă permit să-l caracterizați ca angajat al unei anumite organizații (suma salariului, vechimea în muncă, calificări, informații de la Serviciul Federal de Taxe și Fondul de Pensii etc.), calitățile sale de afaceri. Ele trebuie folosite și păstrate pentru a ajuta angajatul în îndeplinirea sarcinilor sale de serviciu, creșterea experienței și cunoștințelor, promovarea carierei și protejarea personalului și proprietății companiei.

Clasificarea datelor cu caracter personal

Legea federală nr. 152 identifică mai multe tipuri de date cu caracter personal. Le puteți aranja în funcție de gradul de „secret”, dificultatea de colectare și utilizare de către terți:

  • impersonal;
  • general;
  • biometrice;
  • special.

Date personale generale

Datele personale generale sunt informații de bază despre o persoană. Acestea includ:

Prelucrarea datelor cu caracter personal în organizație

Scopul prelucrării datelor cu caracter personal într-o organizație este oficializarea relațiilor de muncă cu angajatul. Fără acordul semnat pentru prelucrarea datelor cu caracter personal, angajatorul nu are dreptul de a încheia un contract de muncă. Citiți mai multe în aceasta

  • locul de înregistrare și reședință;
  • detaliile pașaportului;
  • educaţie;
  • detalii de contact;
  • informatii despre munca;
  • valoarea veniturilor etc.

Nu toate pot fi clasificate individual ca PD. De exemplu, legea nu stabilește în mod precis dacă eu Un număr de telefon este considerat date personale?. Roskomnadzor, ca răspuns la solicitările cetățenilor, a explicat că este imposibil să identifici cu exactitate o persoană numai după număr. În sine, nu este personal, dar împreună cu numele complet al proprietarului și orașul de reședință, se referă la PD. Prin urmare, trimiterea nepersonalizată de mesaje SMS nu este considerată o încălcare a Legii federale nr. 152.

PD generală este conținută într-un pașaport, carte de identitate militară, diplomă, carnet personal de angajat, carnet de muncă etc. Permisiunea scrisă nu este necesară pentru a obține aceste date, de exemplu, o bifă lângă articolul corespunzător; formularul de cerere online. Ușurința relativă de acces aduce adesea probleme subiecților datelor cu caracter personal - cetățenii de rând: de la publicitate intruzivă la șantaj și falsificarea cererilor de împrumut.

Viața personală a unui cetățean, care include și diverse tipuri secretele (medicale, fiscale, secrete de adopție și altele) sunt protejate împotriva dezvăluirii prin articolul 137 din Codul penal al Federației Ruse. Puteți citi mai multe în acest articol.

PD biometric

Datele biometrice sunt caracteristicile fiziologice și biologice ale unui subiect: imagini cu amprenta digitală, grupa de sânge, înălțimea, culoarea ochilor, greutatea, analiza ADN-ului etc. Acestea includ și informații care pot fi obținute dintr-o înregistrare foto sau video a unei persoane. PD biometrică este adesea necesară atunci când primiți tratament sau obțineți un loc de muncă în agențiile guvernamentale, obțineți pașapoarte și vize străine.

PD special

Rasa și naționalitatea, religia, convingerile filozofice, starea de sănătate, cazierul judiciar, viața intimă, preferințele sexuale sunt considerate date speciale. Sunt cuprinse în certificate medicale, dosare personale etc.

PD special este necesar pentru a participa la activități politice și a se alătura forțelor armate. Terții pot accesa aceste date numai cu permisiunea subiectului.

De ce avem nevoie de o lege a datelor cu caracter personal? Vezi răspunsul în video:

PD anonimizat

PD anonimizat este disponibil oricărei persoane interesate. Sursele de informare pot fi:

  • agende cu adrese;
  • cărți de referință;
  • registre;

Informațiile publice care sunt considerate date cu caracter personal sunt, de exemplu, veniturile politicienilor, reprezentanților autorităților federale sau municipale și ale funcționarilor în funcții de conducere.

Prima întâlnire a avut loc în noiembrie 2016 grup de lucru Administrația Președintelui Federației Ruse cu privire la problema utilizării prevederilor Legii federale nr. 152 la așa-numitele Big Data. Acestea sunt datele care vin de la utilizator în rețea: adresa IP, formularele de autorizare, istoricul browserului, informațiile pe care gadgeturile și electrocasnicele inteligente le acumulează despre proprietar.

Big Data, pe de o parte, se referă direct sau indirect la o persoană, adică se încadrează în definiția PD. În același timp, legiuitorii nu consideră datele de pe Internet drept proprietatea unui individ, deoarece acesta nu le poate controla.

Orice întrebări pe care le puteți avea pot fi adresate în comentariile articolului.

La sfârșitul anului 2015, autorul acestui articol a luat parte la discuție subiect interesant, care a fost dedicată necesității de a crea o bază de date unică accesibilă publicului cu candidați fără scrupule. Compania noastră a decis să analizeze această problemă.

Argumentul pentru necesitatea creării unor astfel de baze de date este simplu – sunt mulți solicitanți inadecvați care nu vin la interviuri, nu mint pe CV-uri etc., așa că de ce să nu vă deranjați să creați o bază de date cu astfel de camarazi în beneficiul general al tuturor resurselor umane.

Trebuie spus că ideea nu este nouă și, cu siguranță, o serie de companii au baze de date interne ale solicitanților. Cu ajutorul unor astfel de baze de date, ofițerii de personal îndepărtează candidații nepotriviți cu cei mai mulți costuri minime timp. Dacă teoretic presupunem că toți HR-urile din țară ar putea avea o astfel de bază la dispoziție, atunci cât de bine ar fi pentru toată lumea. Ei bine, nu?

Nu, nu așa. Beneficiile potențiale pot fi ușor compensate de negativitatea care va apărea inevitabil din utilizarea greșită a datelor din baza de date, includerea/excluderea nerezonabilă a persoanelor în astfel de baze de date și problemele de reputație, onoare și demnitate ale persoanelor incluse în bazele de date.

Din 2006, legea federală „Cu privire la datele cu caracter personal” este în vigoare în Rusia, care definește clar condițiile în care pot exista astfel de baze de date. Aşa:

2. Articolul 6 din legea federală „Cu privire la datele cu caracter personal” stabilește că „prelucrarea datelor cu caracter personal se realizează cu acordul subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal”.

3. Articolul 7 din legea federală „Cu privire la datele cu caracter personal” stabilește că „Operatorii și alte persoane care au acces la datele cu caracter personal sunt obligate să nu dezvăluie terților sau să distribuie datele cu caracter personal fără acordul subiectului datelor cu caracter personal, cu excepția cazului în care este altfel. prevăzute de legea federală.”

4. Articolul 8 din legea federală „Cu privire la datele cu caracter personal” stabilește că: „1. În acest scop suport informativ pot fi create surse de date cu caracter personal accesibile publicului (inclusiv directoare, agende). Sursele publice de date cu caracter personal, cu acordul scris al subiectului de date cu caracter personal, pot include numele de familie, prenumele, patronimul, anul și locul nașterii, adresa, numărul de abonat, informații despre profesie și alte date personale raportate de subiect. a datelor personale. 2. Informațiile despre subiectul datelor cu caracter personal trebuie excluse în orice moment din sursele de date cu caracter personal accesibile publicului, la cererea subiectului datelor cu caracter personal sau prin decizie a unei instanțe sau a altor organisme guvernamentale autorizate.”

5. Și în sfârșit, articolul 13.11. Codul Federației Ruse privind încălcările administrative stabilește că „Încălcarea procedurii stabilite de lege pentru colectarea, stocarea, utilizarea sau distribuirea informațiilor despre cetățeni (date cu caracter personal) - implică un avertisment sau impunerea unei amenzi administrative asupra cetățenilor în mărime de trei sute până la cinci sute de ruble; pentru funcționari - de la cinci sute la o mie de ruble; pentru persoanele juridice - de la cinci mii la zece mii de ruble.

Cu alte cuvinte și pe scurt:

1. Orice date referitoare la o persoană (inclusiv doar un număr de telefon) sunt personale.

2. Pentru a prelucra datele cu caracter personal, trebuie să obțineți consimțământul, care poate fi retras în orice moment.

3. Dacă cineva are acces legal la datele cu caracter personal, atunci este interzis să le dezvăluie oricui sau să le partajeze cu cineva fără consimțământul persoanei vizate, cu excepția cazului în care legea aplicabilă prevede altfel.

5. Se prevede răspunderea pentru încălcarea procedurii stabilite pentru colectarea și stocarea datelor cu caracter personal.

Concluzie

Concluzia este foarte simplă și clară - crearea unei baze de date unice, accesibilă publicului, a solicitanților de locuri de muncă neglijenți este posibilă numai cu acordul scris al acelorași lucrători neglijenți, ceea ce, în mod natural, reduce la zero probabilitatea creării legale a unei astfel de baze de date. . Pentru cei care decid să creeze astfel de baze de date și să le partajeze prietenilor, compania noastră recomandă să vă familiarizați cu cele existente în acest moment pedepsele.

Comentariu la Legea federală din 27 iulie 2006 N 152-FZ „Cu privire la datele personale” Petrov Mikhail Igorevich

Articolul 8. Surse de date cu caracter personal accesibile publicului

Surse publice de date cu caracter personal

Comentariu la articolul 8

1. În sensul Legii comentate, sursele de date cu caracter personal sunt recunoscute ca fiind accesibile publicului, accesul la care nu este limitat și nu necesită acordul prealabil al subiecților datelor cu caracter personal. Sursele publice de date cu caracter personal pot fi folosite de orice persoană la discreția sa, sub rezerva restricțiilor stabilite de legile federale cu privire la difuzarea unor astfel de informații.

Crearea de surse de date cu caracter personal accesibile publicului se datorează nevoii de suport informațional. O analiză a legislației actuale ne permite să remarcăm că numărul surselor de date cu caracter personal disponibile publicului include în prezent: directoare, agende, enciclopedii, documente acumulate în colecțiile deschise ale bibliotecilor și arhivelor, sistemele informaționale ale autorităților statului, autorităților locale, publicului. asociații, organizații, de interes public sau necesare pentru realizarea drepturilor, libertăților și responsabilităților cetățenilor. În același timp, știința și practica modernă nu au reușit încă să dezvolte criterii eficiente cu ajutorul cărora ar fi posibil să se facă distincția clară între segmentele de informații publice și confidențiale.

Crearea de surse de date cu caracter personal accesibile publicului, care includ numele, prenumele, patronimul, anul și locul nașterii, adresa, numărul de abonat, informații despre profesie și alte date personale furnizate de subiectul datelor cu caracter personal, se realizează cu consimțământul obligatoriu al acestuia din urmă. În plus, subiectul datelor cu caracter personal are dreptul de a cere persoanelor care difuzează astfel de informații să se indice ca sursa acestor informații.

Utilizarea datelor cu caracter personal din surse disponibile public implică, la rândul său, excluderea posibilității de a obține profit.

În cazul prelucrării datelor cu caracter personal disponibile publicului, sarcina de a dovedi că datele cu caracter personal care sunt prelucrate sunt disponibile publicului revine operatorului.

2. În vederea protejării drepturilor și intereselor legitime ale subiectului datelor cu caracter personal, legiuitorul prevede posibilitatea retragerii datelor cu caracter personal utilizate în surse accesibile publicului. Excluderea acestora poate fi efectuată fie la solicitarea subiectului datelor cu caracter personal, fie prin decizie a unei instanțe sau a unui organism guvernamental special autorizat.

Articolul 74-1. Prelucrarea datelor cu caracter personal cu încălcarea legislației privind protecția datelor cu caracter personal (1) Nerespectarea cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informare cu date cu caracter personal atrage amendă.

Articolul 85. Conceptul de date personale ale angajatului. Prelucrarea datelor personale ale unui angajat Datele personale ale angajatului sunt informații necesare angajatorului în legătură cu relațiile de muncă și referitoare la un anumit angajat

Articolul 88. Transferul datelor cu caracter personal ale unui angajat La transferul datelor cu caracter personal ale unui angajat, angajatorul trebuie să respecte următoarele cerințe: să nu dezvăluie datele personale ale salariatului unei terțe părți fără acordul scris al salariatului, cu excepția cazurilor

Articolul 5. Principii de prelucrare a datelor cu caracter personal Comentariu la articolul 51. Odată cu articolul comentat, legiuitorul stabilește principii fundamentale în lucrul cu datele cu caracter personal, a căror colectare și prelucrare se realizează pe legal. Cel mai recent

Articolul 6. Condiții de prelucrare a datelor cu caracter personal Comentariu la articolul 61. Respectarea principiilor de prelucrare a datelor cu caracter personal prezentate la articolul precedent nu este singura condiție care garantează protecția drepturilor și intereselor legitime ale cetățenilor a căror

Articolul 7. Confidențialitatea datelor cu caracter personal Comentariu la articolul 71. Asigurarea confidențialității datelor cu caracter personal în timpul prelucrării acestora, împreună cu principiile stabilite pentru lucrul cu acestea și obținerea consimțământului pentru prelucrare, este o condiție obligatorie,

Articolul 9. Consimțământul subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal Comentariu la articolul 91. Articolul din comentariu definește procedura, condițiile și temeiurile pentru obținerea consimțământului subiectului datelor cu caracter personal pentru prelucrarea acestora. Legiuitorul subliniază că

Articolul 10. Categorii speciale de date cu caracter personal Comentariu la articolul 101. Articolul sub comentariu identifică categorii speciale de date cu caracter personal și stabilește o interdicție generală a prelucrării acestora. O categorie specială de date cu caracter personal include informații care dezvăluie

Articolul 12. Transferul transfrontalier de date cu caracter personal Comentariu la articolul 121. Proiectul de lege definește principiile transferului transfrontalier de date cu caracter personal. Aceste principii sunt armonizate cu principalele acte juridice internaționale din domeniul datelor cu caracter personal, care

Articolul 15. Drepturile persoanelor vizate la prelucrarea datelor lor personale în scopul promovării de bunuri, lucrări, servicii pe piață, precum și în scopul agitației politice Comentariu la articolul 151. Conținutul articolului comentat face apel la prevederile art. 150 din Codul civil

Articolul 16. Drepturile persoanelor vizate de date cu caracter personal atunci când iau decizii bazate exclusiv pe prelucrarea automată a datelor lor personale Comentariu la articolul 161. Articolul comentat definește drepturile persoanelor vizate de date cu caracter personal în legătură cu adopția

Articolul 20. Obligațiile operatorului atunci când aplică sau primește o solicitare de la o persoană vizată de date cu caracter personal sau de la reprezentantul legal al acesteia, precum și de la organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal Comentariu la articolul 201. Normele articolului comentat în

Articolul 21. Obligațiile operatorului de a elimina încălcările legii comise în timpul prelucrării datelor cu caracter personal, precum și de a clarifica, bloca și distruge datele cu caracter personal Comentariu la articolul 211. Prevederile articolului comentat determină procedura

Articolul 22. Notificarea despre prelucrarea datelor cu caracter personal Comentariu la articolul 221. Procedura de notificare cu privire la prelucrarea datelor cu caracter personal în sensul Legii comentate este una dintre garanțiile respectării drepturilor și intereselor legitime ale persoanelor vizate în

Datele personale ale subiectului sunt clasificate în funcție de cantitatea de informații personale despre persoana respectivă și de gradul de importanță. Orice tranzacții cu aceștia sunt efectuate strict în cadrul actelor legislative și sunt supuse protecției. Cu toate acestea, există o categorie de date cu caracter personal accesibile publicului care conțin doar informații superficiale și impersonale despre o persoană.

Din acest articol veți învăța:

  • care sunt datele personale disponibile publicului;
  • lista de date cu caracter personal disponibile publicului;
  • caracteristici de lucru cu date personale disponibile publicului.

Atunci când se creează orice bază de date, inclusiv o listă a tuturor angajaților unei întreprinderi, în etapa inițială este necesar să se clasifice datele personale. Toate datele personale ale angajaților sunt împărțite în două grupuri - publice și confidențiale.

Conceptul și clasificarea datelor cu caracter personal

Datele cu caracter personal (PD) sunt diverse tipuri de informații, de la numele complet, data nașterii, starea civilă și socială, până la numerele de înregistrare ale documentelor emise de agențiile guvernamentale și autoritățile comerciale. Operatorul de date cu caracter personal este o structură de stat, federală, comercială, persoană juridică sau persoană fizică care are dreptul de a desfășura diverse activități folosind date cu caracter personal.

În relațiile de muncă, deținătorul/subiectul datelor cu caracter personal este angajatul, iar operatorul este angajatorul, departamentele de personal și contabilitate implicate în înscrierea salariatului la locul de muncă și toate aspectele legate de chestiuni personaleși raporturi juridice, calculul salariilor, beneficiilor, compensațiilor etc. Datele personale ale subiectului sunt necesare pentru ca angajatorul să le conecteze cu relațiile/acordurile de muncă (articolele 85, 86 din Codul Muncii al Federației Ruse).

Prelucrarea datelor cu caracter personal se referă la diferite operațiuni prevăzute de legislația Federației Ruse. Tipurile de prelucrare a PD includ colectarea, sistematizarea, acumularea, stocarea, actualizarea, utilizarea, depersonalizarea, distrugerea, care se efectuează conform procedurilor stabilite prin reglementări. Organismele și organizațiile de stat, federale, municipale care au un astfel de drept prin statut pot efectua tranzacții cu date personale.

Toate PD sunt împărțite în următoarele secțiuni:

  • Date personale speciale;
  • Date personale biometrice.

La crearea sistemelor de informare cu date cu caracter personal (ISPD), se recomandă să fie ghidat de Ordinul FSTEC, FSB și al Ministerului Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse nr. 55/86/20 din 13 februarie 2008 „Cu privire la aprobarea Procedurii de clasificare a sistemelor informatice a datelor cu caracter personal.” Potrivit acestui act normativ, PD este împărțit în categorii:

  1. Categoria 1 – date speciale care definesc rasa și naționalitatea, convingerile religioase și politice, faptele de viață personală și starea de sănătate.
  2. Categoria 2 – date care fac posibilă identificarea subiectului și obținerea de informații despre acesta Informații suplimentare cu excepția factorilor legați de categoria 1. Această secțiune include numele complet, adresa de domiciliu, detaliile pașaportului, numere de serie documente (polita medicala, certificat de pensie, SNILS, TIN), informatii de la locul de munca si fisa medicala.
  3. Categoria 3 – date care permit identificarea subiectului (nume, prenume, data nașterii).
  4. Categoria 4 – date cu caracter personal anonimizate sau disponibile public din care este imposibil să se identifice subiectul.

Date personale disponibile public: listă

Lista datelor cu caracter personal disponibile publicului include factori care nu conțin informații care să permită identificarea unei persoane într-o bază de date. Datele anonimizate includ:

  • Prenume, prenume și patronimic;
  • Pseudonim/login al subiectului pe Internet;
  • Adresa de e-mail(fără referire la numele complet);
  • Poziția, locul de muncă (fără informații despre datele personale).

Datele publice includ informații despre subiect, care pot fi obținute din surse deschise de informații, de exemplu, agendă telefonică sau agenda de adrese. În astfel de baze de date publice datele sunt introduse cu acordul scris al subiectului.

Date personale publice: caracteristici

Particularitatea datelor cu caracter personal disponibile publicului este că acestea pot fi postate în surse deschise de informații. Adică, dacă directorul de contact al organizației conține informații de contact pentru funcționari, de exemplu, cei implicați în formarea și angajarea personalului, atunci aceste date sunt considerate disponibile publicului. Când în ediție tipărită Dacă sunt indicate numele și prenumele membrilor redacției, atunci aceste informații sunt și publice.

O caracteristică a datelor disponibile public care le permite să fie clasificate corect include următorul factor: primele trei categorii sunt, într-o măsură sau alta, necesare pentru a include un subiect în ISPD, iar a patra categorie rămâne în afara cerințelor sistemelor informaționale. . Dacă despre o persoană se cunosc doar numele și locul de muncă, atunci astfel de informații sunt disponibile publicului.

La sistematizarea datelor vor fi necesare informații mai exacte, care pot fi obținute numai cu acordul scris al subiectului la prelucrarea datelor cu caracter personal. În acest caz, operatorul își asumă responsabilitatea de a proteja și respecta regulile stabilite legal pentru prelucrarea și stocarea datelor cu caracter personal.