Image

Wie können personenbezogene Daten verarbeitet werden?

Im Arbeitsgesetz der Russischen Föderation gibt es den Begriff "persönliche Information einer arbeitenden Person". Daten zum Betriebskontingent müssen dem Arbeitgeber zur Verfügung gestellt werden.

Nach der Prüfung persönlicher Informationen entscheidet der Arbeitgeber über die Einbringung einer Person in das Unternehmen.

Die Informationen, die eine Person über sich preisgibt, müssen geschützt werden. Verteilen ist verboten.

Liebe Leserinnen und Leser! In unseren Artikeln werden typische Lösungsansätze für Rechtsfragen beschrieben, aber jeder Fall ist einzigartig.

Wenn Sie wissen möchten, wie Sie Ihr Problem genau lösen können, rufen Sie einfach an, es ist schnell und kostenlos!

System

Persönliche Informationen über Mitarbeiter sollten der Entwicklung unterliegen.

Der Arbeitgeber stellt folgende Anforderungen an die personenbezogenen Daten von Arbeitnehmern:

  1. Der Prozess der Verarbeitung personenbezogener Daten eines Arbeiters erfolgt, um die Einhaltung von Gesetzen und Rechtsakten zu gewährleisten. Dank der Datenverarbeitung können Sie eine Person anstellen, ihm persönliche Sicherheit geben und die von ihm ausgeführten Arbeiten überwachen.
  2. Der Arbeitgeber berücksichtigt den Umfang sowie den Inhalt der personenbezogenen Daten des bearbeiteten Kontingents. Alle Arbeitgeber studieren und befolgen Aspekte der Verfassung sowie andere Bundesgesetze.
  3. Informationen zum Arbeitsteam sollten direkt von den Mitarbeitern selbst eingeholt werden. Informationen über die berufstätige Person können Sie aus einem dritten Mund erhalten, jedoch nur mit schriftlicher Zustimmung der Person. Der Arbeitgeber informiert die Mitarbeiter über ihre Ziele und Quellen, aus denen personenbezogene Daten stammen. Der Arbeitgeber warnt vor den Konsequenzen im Falle der Weigerung, personenbezogene Daten von der arbeitenden Person herauszugeben.
  4. Eine Person, die ihren Angestellten Arbeit gibt, hat kein Recht auf Information über alle Arten von Überzeugungen politischer, religiöser Natur sowie über das Familienleben eines Arbeitnehmers. Das persönliche Leben eines Mitarbeiters kann nur mit seiner Zustimmung angegeben werden. Die Vereinbarung muss schriftlich erfolgen.
  5. Der Arbeitgeber sollte bei der Verarbeitung von Informationen über die Anwesenheit von Arbeitnehmern in Mitgliedsverbänden und Gewerkschaften keine Verwendung finden. Es gibt jedoch Situationen, die das Bundesgesetz vorsieht.
  6. Alle persönlichen Daten müssen geschützt und vor der öffentlichen Kontrolle und Verwendung geschützt werden. Der Datenschutz unterliegt den Bestimmungen des Bundesgesetzes.
  7. Arbeitnehmer studieren Dokumente, die zur Institution gehören. Sie sollten die Bedeutung und Reihenfolge der Prozesse zur Verarbeitung personenbezogener Daten von Mitarbeitern offenlegen.
  8. Berufstätige müssen den Schutz ihrer persönlichen Daten akzeptieren.
  9. Sowohl die Arbeitgeber als auch die Arbeitnehmer können zusammenarbeiten, um Wege zu finden, um die persönlichen Informationen der Arbeitnehmer zu schützen.

Bei der Übermittlung von Informationen über Mitarbeiter muss der Geschäftsführer des Unternehmens die folgenden Regeln einhalten:

  • Ein Dritter muss nicht die persönlichen Daten jedes Angestellten kennen. Daten dürfen nur bereitgestellt werden, wenn die Beschäftigten der Verwendung ihrer persönlichen Informationen schriftlich zugestimmt haben. Besteht jedoch eine Bedrohung für den Lebensunterhalt und die Gesundheit des Arbeitsteams, können personenbezogene Daten ohne schriftliche Zustimmung anderen Personen zur Verfügung gestellt werden.
  • Der Arbeitgeber sollte keine Daten über das Team, das daran arbeitet, zu Handelszwecken veröffentlichen.
  • Personen, die Informationen über Mitarbeiter erhalten, müssen diese im Rahmen der Vertraulichkeit verarbeiten.
  • Die Übermittlung von Informationen über eine Person erfolgt nur in einer Organisation durch besondere interne Handlungen der Institution.
  • Informationen über den Angestellten haben nur Zugang zu besonders befugten Personen;
  • Es ist nicht erforderlich, Informationen über die Gesundheit von Arbeitnehmern anzufordern. Ein Antrag kann nur gestellt werden, wenn sich die Frage stellt, ob die arbeitenden Menschen ihre Arbeitsaufgaben wahrnehmen können.
  • Personenbezogene Daten des Arbeitskontingents können unter Berücksichtigung der Kodexdaten erhoben werden.

Ein Arbeitskontingent hat das Recht:

  • Bekanntschaft mit Ihren persönlichen Daten und deren Verarbeitung;
  • unbegrenzter Zugang zu persönlichen Informationen. Einem Arbeiter können Kopien von Informationsdaten ausgestellt werden. Es gibt jedoch Situationen, in denen keine persönlichen Informationen offengelegt werden. Diese Situationen sind im Bundesgesetz beschrieben;
  • Ein Arzt kann die persönlichen Daten der Mitarbeiter einsehen.
  • die Möglichkeit, personenbezogene Daten zu berichtigen oder zu ergänzen.

Folgende Arten der Verarbeitung personenbezogener Daten werden unterschieden:

  1. Verarbeitung von Informationen mittels Computertechnologie.
  2. Nicht automatisierte Verarbeitung
  3. Informationssystem, das die bereitgestellten Daten verarbeitet.

Automatisiert

Diese Verarbeitung erfolgt mit einer speziellen Computertechnologie. Die häufigsten Rechenmaschinen können sein:

  • elektronischer Computer;
  • Hilfsgeräte;
  • Peripheriegeräte;
  • notwendigerweise installierte Software.

Nicht automatisiert

Die ausführlichste Beschreibung der nicht automatisierten Verarbeitung ist in der Regierungsverordnung Nr. 687 enthalten.

Das Verteilen, Studieren und Entfernen von Informationen über das Betriebskontingent sollte mit einem Teil einer Person durchgeführt werden, nicht mit Computertechnologie.

Informativ

Dank des Informationssystems werden spezielle Kategorien von persönlichen Informationen über das Betriebskontingent verarbeitet. Dieses System verarbeitet Daten, die sich auf die Zugehörigkeit zu einer bestimmten Rasse und Geschlecht, Nationalität, politische Ansichten und philosophische Ansichten auswirken.

Dank des Informationssystems können verarbeitet werden:

  • biometrische personenbezogene Daten. Besonders wenn physiologische, biologische Daten charakteristisch sind. Dank der erzielten Merkmale kann die Persönlichkeit der Arbeiter beurteilt werden.
  • gemeinsam genutzte persönliche Daten;
  • andere Informationsdaten. Ein Beispiel wären religiöse, nationale Ideen, philosophische Ansichten, Momente der intimen Natur des Arbeitskontingents und viele andere wichtige persönliche Merkmale bis hin zum Gesundheitszustand.

Daher sind persönliche Informationen über jeden Mitarbeiter in allen Arbeitgebern enthalten. Der Direktor hat in keinem Fall das Recht, die verfügbaren Daten über die Person zu verbreiten.

Die erhaltenen Informationen über das Betriebskontingent können auf verschiedene Weise verarbeitet werden: mit Hilfe der Computertechnologie, mit Hilfe der persönlichen Kräfte dank des Informationsbewertungssystems.

In jedem Fall werden die persönlichen Daten jedes Mitarbeiters sorgfältig geprüft.

Möglichkeiten der Verarbeitung personenbezogener Daten

Im Auftrag des Zivilgesetzbuches der Region Amur

vom 26. Dezember 2012, Nr. 626

in Bezug auf die Verarbeitung personenbezogener Daten

1. ALLGEMEINE BESTIMMUNGEN

1.1. Dieses Dokument (im Folgenden als Richtlinie bezeichnet) enthält eine systematische Darstellung der Ziele, Grundsätze, Methoden und Bedingungen für die Verarbeitung personenbezogener Daten sowie Informationen zu den umgesetzten Anforderungen an die Verarbeitung und den Schutz personenbezogener Daten in der GKU der Amur-Region des Zentralkrankenhauses der Freien (im Folgenden als Beschäftigungszentrum bezeichnet).

1.2. Die Richtlinie basiert auf den Anforderungen des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ sowie anderer gesetzlicher Vorschriften der Russischen Föderation, die das Verfahren für die Verarbeitung und den Schutz personenbezogener Daten festlegen. Die Richtlinie ist ein öffentliches Dokument.

1.3. Gemäß dem Bundesgesetz vom 27. Juli 2006 Nr. 152-ФФ „Über personenbezogene Daten“ ist das Beschäftigungszentrum der Betreiber personenbezogener Daten (im Folgenden als „PD“ bezeichnet).

2. VERARBEITETE PERSÖNLICHE DATEN

2.1. Wichtigste in der Richtlinie verwendete Begriffe:

· Personenbezogene Daten - alle Informationen, die sich auf eine natürliche Person beziehen (Gegenstand personenbezogener Daten), die auf der Grundlage dieser Informationen ermittelt oder bestimmt werden, einschließlich Nachname, Vorname, Bevollmächtigter, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, Soziales und Eigentum Position, Ausbildung, Beruf, Einkommen, sonstige Informationen;

· Verarbeitung personenbezogener Daten - Aktionen (Operationen) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Sammlung, Speicherung, Verfeinerung (Aktualisierung, Änderung), Verwendung, Verteilung (einschließlich Übertragung), Depersonalisierung, Sperrung, Vernichtung personenbezogener Daten;

2.2. Verarbeitete personenbezogene Daten im Rahmen dieser Richtlinie sind:

· Personenbezogene Daten, die von Empfängern öffentlicher Dienstleistungen für das Beschäftigungszentrum bereitgestellt werden;

· Personenbezogene Daten von Mitarbeitern des Beschäftigungszentrums oder Kandidaten für offene Stellen;

3. ZWECK DER PERSÖNLICHEN DATENVERARBEITUNG

3.1. Die Ziele der PD-Verarbeitung im Beschäftigungszentrum sind:

· Gewährleistung der Umsetzung der verfassungsmäßigen Rechte der Bürger der Russischen Föderation auf Arbeit und sozialem Schutz gegen Arbeitslosigkeit durch Erbringung öffentlicher Dienstleistungen im Bereich der Beschäftigungsförderung;

· Sicherstellung der Umsetzung der verfassungsmäßigen Rechte der Bürgerinnen und Bürger gegen die Berufung;

· Objektive Bewertung der Lage des Arbeitsmarktes in der Mitgliedsorganisation der Russischen Föderation (in Bezug auf die Empfänger öffentlicher Arbeitsverwaltungen; arbeitslose Bürger; Bürger, die sich mit Vorschlägen, Erklärungen, Beschwerden an das Beschäftigungszentrum wenden);

· Sicherstellung der Einhaltung der Verfassung der Russischen Föderation, der Gesetze und anderer gesetzlicher Vorschriften, Unterstützung der Beschäftigten bei der Suche nach einer Beschäftigung, Schulung und Beförderung von Arbeitsplätzen, Beschäftigungswachstum, Gewährleistung der persönlichen Sicherheit der Beschäftigten, Kontrolle der Quantität und Qualität der geleisteten Arbeit, Gewährleistung der Sicherheit der dazugehörigen Gegenstände und Erfassung der Ergebnisse Pflichten und Sicherheit des Eigentums des Beschäftigungszentrums.

· Wahrnehmung der Funktionen eines Steuervertreters bei der Bereitstellung von Standardsteuerabzügen (in Bezug auf Familienangehörige von Mitarbeitern des Beschäftigungszentrums);

· Erfüllung von Verpflichtungen aus zivilrechtlichen Verträgen (in Bezug auf Personen, die Arbeit verrichten und Dienstleistungen im Rahmen von zivilrechtlichen Verträgen mit dem Beschäftigungszentrum erbringen).

4. PRINZIPIEN DER VERARBEITUNG PERSÖNLICHER DATEN

4.1. Implementierung der PD-Verarbeitung auf legaler und fairer Basis.

4.2. Beschränkung der PD-Verarbeitung auf die Erreichung der spezifischen, vorgegebenen und legitimen Ziele gemäß Abschnitt 2 dieses Dokuments. Es ist nicht zulässig, personenbezogene Daten zu verarbeiten, die mit der Erhebung personenbezogener Daten nicht vereinbar sind.

4.3. Verhindern der Kombination von Datenbanken, die PD enthalten, die für Zwecke verarbeitet werden, die nicht miteinander kompatibel sind.

4.4. Verarbeitung nur der PDS, die den Zweck ihrer Verarbeitung erfüllen.

4,5. Einhaltung des Inhalts und des Umfangs der PD, die zu den angegebenen Verarbeitungszwecken verarbeitet werden.

4,6. Die Unzulässigkeit der Redundanz verarbeitete PD in Bezug auf die angegebenen Ziele ihrer Verarbeitung.

4.7. Sicherstellung der Genauigkeit der PD, ihrer ausreichenden Qualität und gegebenenfalls der Relevanz in Bezug auf die Zwecke der PD-Verarbeitung.

4,8. Stellen Sie sicher, dass die erforderlichen Maßnahmen ergriffen werden, um unvollständige oder ungenaue Daten zu entfernen oder zu verfeinern.

4.9. Die Durchführung der PD-Speicherung in einer Form, die die Bestimmung eines PD-Subjekts ermöglicht, ist nicht länger als der Zweck der PD-Verarbeitung. Wenn die PD-Speicherzeit nicht durch Bundesgesetz festgelegt ist, ist der Vertrag, zu dem das PD-Subjekt ein Begünstigter oder Bürge ist, erforderlich. Die zu verarbeitenden PDs unterliegen der Zerstörung oder Depersonalisierung bei der Erreichung von Verarbeitungszielen oder im Falle des Verlusts der Notwendigkeit, diese Ziele zu erreichen, sofern nicht durch Bundesgesetz etwas anderes bestimmt ist.

5. VERFAHREN ZUR VERARBEITUNG PERSÖNLICHER DATEN

5.1. Das Beschäftigungszentrum verarbeitet PD auf folgende Weise:

· Nicht automatisierte PD-Verarbeitung (auf Papier);

· Automatisierte Verarbeitung (in ISPDn mit und ohne Verwendung von Automatisierungsgeräten), einschließlich: mit und ohne Übertragung durch das lokale Netzwerk des Beschäftigungszentrums; mit und ohne Übertragung über das Internet;

· Gemischte PD-Verarbeitung

5.2. Das Beschäftigungszentrum kann die Methoden der PD-Verarbeitung abhängig von den Zwecken der Verarbeitung und den eigenen materiellen und technischen Fähigkeiten unabhängig voneinander auswählen.

6. BEDINGUNGEN DER PERSÖNLICHEN DATENVERARBEITUNG

6.1. Die Verarbeitung der PD erfolgt nach den Grundsätzen und Regeln des Bundesgesetzes „Über personenbezogene Daten“.

6.2. Die PD-Verarbeitung ist in den Fällen zulässig, die im Bundesgesetz „Über personenbezogene Daten“ vorgesehen sind.

6.3. Das Arbeitsamt hat das Recht, die Verarbeitung der PD mit Zustimmung des Gegenstands der PD einer anderen Person zu übertragen, sofern dies nicht durch bundesrechtliche Bestimmungen auf der Grundlage eines mit dieser Person geschlossenen Vertrages, einschließlich eines Staats- oder Gemeindevertrags, oder durch Erlass eines entsprechenden Rechtsakts durch den Staat oder die Kommunalbehörde (im Folgenden genannt) festgelegt ist ).

6.4. Wenn das Beschäftigungszentrum die Verarbeitung einer PD einer anderen Person zuweist, trägt das Beschäftigungszentrum die Verantwortung für die Handlungen der betreffenden Person für das Verhalten dieser Person. Die Person, die persönliche Daten im Auftrag des Employment Centers verarbeitet, ist gegenüber dem Employment Center verantwortlich.

7. VERTRAULICHKEIT VON PERSÖNLICHEN DATEN

7.1. Das Arbeitsamt und andere Personen, die Zugang zur PD erhalten haben, sind verpflichtet, die Offenlegung nicht an Dritte weiterzugeben und die PD nicht ohne Zustimmung des PD-Subjekts zu verbreiten, sofern dies nicht durch bundesrechtliche Bestimmungen geregelt ist.

8. ZUSTIMMUNG DER PERSÖNLICHEN DATEN FÜR DIE VERARBEITUNG IHRER PERSÖNLICHEN DATEN

8.1. Das PD-Subjekt entscheidet über die Bereitstellung seiner persönlichen Daten und stimmt seiner Verarbeitung frei, aus eigenem Willen und in seinem Interesse zu.

8.2. Die Zustimmung zur PD-Verarbeitung sollte spezifisch, informiert und bewusst sein.

8.2. Die Zustimmung zur PD-Verarbeitung kann vom PD-Subjekt oder seinem Vertreter in jeder Form erteilt werden, die es erlaubt, die Tatsache des Eingangs zu bestätigen, sofern dies nicht durch föderale Gesetze geregelt ist.

8.3. Im Falle der Einholung der Zustimmung zur Verarbeitung personenbezogener Daten von dem Vertreter des Gegenstands personenbezogener Daten wird die Befugnis dieses Vertreters, im Namen des Gegenstands personenbezogener Daten zuzustimmen, vom Beschäftigungszentrum geprüft.

8.4. Die Zustimmung zur PD-Verarbeitung kann vom PD-Betreff widerrufen werden. Bei einem Widerruf des Einverständnisses der PDN zur Verarbeitung der PD durch das Subjekt der PDN ist das Arbeitsamt berechtigt, die Verarbeitung personenbezogener Daten ohne Zustimmung des PD-Subjekts fortzusetzen, wenn in den Artikeln 2 bis 11 des Artikels 1, Artikel 2 und 2 des Artikels 11 des Bundesgesetzes „Persönliche Daten“ Gründe angegeben sind ".

8,5. In Fällen, die nach Bundesgesetz vorgesehen sind, erfolgt die PD-Verarbeitung nur mit schriftlicher Zustimmung des PD-Subjekts. Die schriftliche Einwilligung gilt als gleichwertig zu einem elektronischen Dokument, das durch ein gemäß Bundesgesetz unterzeichnetes elektronisches Gesetz unterzeichnet wurde.

8,6. Personenbezogene Daten können von der Beschäftigungsstelle von einer Person abgerufen werden, die nicht mit personenbezogenen Daten befasst ist, sofern die Beschäftigungsstelle das Vorliegen der in den Artikeln 2 bis 11 des Teils 1 des Artikels 6, des Teils 2 des Artikels 10 und des Teils 2 des Artikels 11 des Bundesgesetzes über die personenbezogenen Daten genannten Gründe bestätigt ".

9. UMSETZUNG DER RECHTE DER PERSÖNLICHEN DATEN

9.1. Bei der Bearbeitung einer PD stellt das Beschäftigungszentrum die notwendigen Voraussetzungen zur Verfügung, damit die PD ihre Rechte frei ausüben kann.

9.2. Das PD-Subjekt hat das Recht, auf seine persönlichen Daten zuzugreifen.

9.3. Ein PD-Objekt hat das Recht, Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten, die Folgendes enthalten: Bestätigung der Tatsache der PD-Verarbeitung durch das Arbeitsamt; Rechtsgrund und Zweck der PD-Verarbeitung; die Ziele und Methoden der PD-Verarbeitung, die vom Beschäftigungszentrum angewandt werden; Name und Ort des Beschäftigungszentrums, Angaben zu Personen (mit Ausnahme von Mitarbeitern des Beschäftigungszentrums), die Zugang zu personenbezogenen Daten haben oder personenbezogene Daten aufgrund einer Vereinbarung mit dem Beschäftigungszentrum oder aufgrund von Bundesgesetzen offenlegen können; Von dem betreffenden PD-Subjekt verarbeitete PDs, die Quelle ihres Eingangs, sofern nicht ein anderes Verfahren für die Übermittlung dieser Daten nach Bundesgesetz vorgesehen ist; PD-Bearbeitungszeit einschließlich Speicherzeit; das Verfahren für die Ausübung der durch das Bundesgesetz "Über personenbezogene Daten" vorgesehenen Rechte durch den PDN; Informationen zur durchgeführten oder beabsichtigten grenzüberschreitenden Datenübertragung; Name oder Nachname, Name, Bevollmächtigter und Anschrift der Person, die die Verarbeitung der PDN für das Beschäftigungszentrum durchführt, wenn die Verarbeitung einer solchen Person übertragen wird oder wird; andere Informationen, die in den Bundesgesetzen vorgesehen sind.

9.4. Das Recht eines PD, den Zugang zu seinen persönlichen Daten zu erhalten, kann in Fällen, die ausdrücklich durch Bundesgesetze vorgesehen sind, eingeschränkt sein.

9,5. Ein PD-Subjekt hat das Recht, seine Rechte und berechtigten Interessen zu verteidigen, einschließlich Schadensersatz und (oder) Schadensersatz vor Gericht.

9.6. Wenn ein PD-Betroffener der Meinung ist, dass das Beschäftigungszentrum seine PD unter Verletzung der Anforderungen des Bundesgesetzes „Über personenbezogene Daten“ bearbeitet oder anderweitig seine Rechte und Freiheiten verletzt, hat das PD-Subjekt das Recht, gegen die Handlungen oder Unterlassung des Beschäftigungszentrums bei der berechtigten Stelle Rechtsmittel einzulegen, um die Rechte von PD-Subjekten zu schützen gerichtliche Anordnung

10. INFORMATIONEN ÜBER DIE MASSNAHMEN, DIE DURCH DAS ARBEITSZENTRUM ERFÜLLT

DIREKTIERT, UM DIE UMSETZUNG DER VERPFLICHTUNGEN IM ZUSAMMENHANG MIT DER VERARBEITUNG PERSÖNLICHER DATEN ZU GEWÄHRLEISTEN

10.1. Das Employment Center erfüllt bei der Verarbeitung von PD seine Pflichten als PD-Betreiber, die im Bundesgesetz „Über personenbezogene Daten“ vorgesehen sind.

10.2. Das Beschäftigungszentrum ergreift die notwendigen und ausreichenden Maßnahmen, um die Erfüllung der Aufgaben zu gewährleisten, die in diesem Bundesgesetz und den entsprechend erlassenen Rechtsakten festgelegt sind.

10.3. Das Beschäftigungszentrum bestimmt selbstständig die Zusammensetzung und die Liste der Maßnahmen, die erforderlich und ausreichend sind, um die Erfüllung der Verpflichtungen zu gewährleisten, die in diesem Bundesgesetz und den entsprechend erlassenen Rechtsakten festgelegt sind, sofern nicht durch Bundesgesetze etwas anderes bestimmt ist.

10.4. Das Beschäftigungszentrum bietet uneingeschränkten Zugriff auf dieses Dokument (Richtlinie) und auf die Informationen zu den tatsächlichen Anforderungen für den Schutz von PDs, indem es auf der offiziellen Website der Amur Region Oblast Employment Department unter http: // zanamur veröffentlicht wird. ru, GKU der Region Amur des Zentralkrankenhauses der Stadt Svobodny bei http://svobzan.amur.ru.

11. INFORMATIONEN ÜBER DIE UMSETZUNG DER BESCHÄFTIGUNGSZENTREN VON MASSNAHMEN ZUM SCHUTZ PERSÖNLICHER DATEN IN DER VERARBEITUNG

11.1. Das Beschäftigungszentrum in der PD-Verarbeitung stellt sicher, dass die erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen ergriffen werden, um die PD vor unrechtmäßigem oder versehentlichem Zugriff auf sie zu schützen, zu zerstören, zu modifizieren, zu blockieren, zu kopieren, bereitzustellen oder zu verteilen, sowie vor anderen rechtswidrigen Handlungen bezüglich PDN.

11.2. Zum Schutz personenbezogener Daten setzt das Beschäftigungszentrum die Anforderungen für den Schutz personenbezogener Daten um, wenn diese in personenbezogenen Dateninformationssystemen verarbeitet werden, die von der Regierung der Russischen Föderation eingerichtet wurden.

11.3. Die Gewährleistung der PD-Sicherheit wird durch das Employment Center erreicht, insbesondere:

· Ermittlung von Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in der ISPDN der Arbeitsvermittlungsstelle;

· Einsatz organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung im ISPDN des Beschäftigungszentrums, die zur Erfüllung der Anforderungen an den Schutz personenbezogener Daten erforderlich sind und deren Erfüllung durch das von der Regierung der Russischen Föderation festgelegte Niveau des Schutzes personenbezogener Daten gewährleistet wird;

· Die Anwendung der Informationssicherheitsmaßnahmen in der vorgeschriebenen Weise;

· Bewertung der Wirksamkeit der vom Beschäftigungszentrum ergriffenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten vor der Inbetriebnahme des ISPDN des Beschäftigungszentrums;

· Unter Berücksichtigung der Maschinenträger der Beschäftigungsstelle;

· Feststellung von Fakten über den nicht autorisierten Zugang zu PDN und Ergreifen von Maßnahmen;

· Wiederherstellung von PDNs, die infolge eines nicht autorisierten Zugriffs auf sie geändert oder zerstört wurden;

· Festlegung von Regeln für den Zugang zu PDNs, die im SPDN des Beschäftigungszentrums verarbeitet werden, sowie Sicherstellung der Registrierung und Aufzeichnung aller auf dem PDN durchgeführten Aktionen im ISPDN des Beschäftigungszentrums;

· Kontrolle über die Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten und des Sicherheitsniveaus des ISPDN der Beschäftigungsstelle.

11.4. Informationen über Maßnahmen, die von der Beschäftigungsstelle zum Schutz personenbezogener Daten ergriffen werden, sind eingeschränkt.

12. Richtlinienänderung. Anwendbares Recht

12.1. Das Beschäftigungszentrum hat das Recht, Änderungen an dieser Richtlinie vorzunehmen.

12.2. Bei Änderungen in der Überschrift der Richtlinie wird das Datum der letzten Aktualisierung der Revision angegeben.

12.3. Die neue Version der Richtlinie tritt ab dem Zeitpunkt der Veröffentlichung auf der Website des Amurskaya Oblast Department of Employment in Kraft, sofern in der neuen Version der Richtlinie nichts anderes vorgesehen ist.

Möglichkeiten der Verarbeitung personenbezogener Daten

Frage-Antwort zum Thema

Frage

Was ist mit den Verarbeitungsmethoden für personenbezogene Daten und was mit personenbezogenen Daten verbunden?

Die Antwort

Gemäß § 9 des Roskomnadzor-Ordens vom 19. August 2011, Nr. 706, umfassen die Methoden *:

- nicht automatisierte Verarbeitung personenbezogener Daten;

- ausschließlich automatisierte Verarbeitung personenbezogener Daten mit oder ohne Übertragung empfangener Informationen über das Netzwerk;

- gemischte Verarbeitung personenbezogener Daten (Anmerkung N 4).

Und zu den Handlungen gemäß Art. 3 des Bundesgesetzes vom 27.07.2006, Nr. 152-FZ. Zu personenbezogenen Daten gehören: *

- Klarstellung (Aktualisierung, Änderung);

- Verteilung (einschließlich Übertragung);

- die Vernichtung personenbezogener Daten.

Die Gründe für diese Position werden unten in den Materialien von „System Lawyer“ angegeben.

  • BUNDESRECHT VOM 27.07.2004 Nr. 152-ФЗ „ZU PERSÖNLICHEN DATEN“

„Die Verarbeitung personenbezogener Daten ist jede Handlung (Vorgang) oder eine Reihe von Handlungen (Operationen) *, die unter Verwendung von Automatisierungswerkzeugen oder ohne Verwendung solcher Mittel mit persönlichen Daten durchgeführt werden, einschließlich Erfassung, Aufzeichnung, Systematisierung, Ansammlung, Speicherung, Verfeinerung (Aktualisierung, Änderung). Extraktion, Nutzung, Weitergabe (Verteilung, Bereitstellung, Zugriff), Entpersönlichung, Sperrung, Löschung, Vernichtung personenbezogener Daten “

  • BESCHLUSS VON ROSKOMNADZOR VOM 19. August 2011, Nr. 706

"Das Feld" Liste der Aktionen mit persönlichen Daten, eine allgemeine Beschreibung der Methoden, die der Betreiber für die Verarbeitung personenbezogener Daten verwendet. "* Zeigt die Aktionen an, die der Operator mit persönlichen Daten ausführt, sowie eine Beschreibung der Methoden, die der Operator für die Verarbeitung personenbezogener Daten verwendet:

- nicht automatisierte Verarbeitung personenbezogener Daten;
- ausschließlich automatisierte Verarbeitung personenbezogener Daten mit oder ohne Übertragung empfangener Informationen über das Netzwerk;

- gemischte Verarbeitung personenbezogener Daten (Anmerkung N 4) Anmerkung N 4. Bei der automatisierten Verarbeitung personenbezogener Daten oder gemischter Verarbeitung muss angegeben werden, ob die bei der Verarbeitung personenbezogener Daten erhaltenen Informationen im internen Netzwerk der juristischen Person übermittelt werden (Informationen stehen nur für genau definierte Mitarbeiter der juristischen Person zur Verfügung ) oder die Informationen werden über das öffentliche Internet oder ohne die empfangenen Informationen übertragen. “

* So hervorgehobener Teil des Materials, mit dem Sie die richtige Entscheidung treffen können.

Likbez auf personenbezogene Daten von Unternehmen, die diese verarbeiten

Begriffe, Nuancen und häufige Täuschungen - im Material der Experten des Sicherheitsdienstes der Firma "Onlanta" (in der Unternehmensgruppe LANIT enthalten).

Wir verstehen die juristische Terminologie und die Nuancen, für die Sie vor Gericht sein können.

Erklären Sie die Begriffe in der Sprache des Menschen

Das wichtigste Gesetz, das die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten regelt, ist das Bundesgesetz vom 27. Juli 2006, Nr. 152-ФЗ „Über personenbezogene Daten“.

Der erste Begriff, der verstanden werden soll, sind personenbezogene Daten.

Was sind personenbezogene Daten?

Dies sind alle Informationen, die zur Identifizierung einer Person verwendet werden können: zum Beispiel vollständiger Name, Geburtsdatum, Ausbildung, Einkommen und sogar Familienstand. Sie fragen: "Und was sind meine persönlichen Daten, die auf der Visitenkarte aufgedruckt sind?"

Antwort: "Ja". Es ist gesetzlich egal, ob nur Ihr Nachname auf der Visitenkarte oder in Kombination steht, z. B. mit Telefonnummer und Adresse. Sowohl die erste als auch die zweite und die dritte - personenbezogene Daten. Zwar muss die Speicherung von Visitenkarten oder Telefonnummern von Mädchen im Telefonbuch nicht per Gesetz beantwortet werden, sondern dazu weiter unten.

Mach weiter. Die Medien schreiben ständig "Speicherung persönlicher Daten". Richtig gesagt handelt es sich nicht um Speicherung, sondern um Verarbeitung personenbezogener Daten. Was ist der unterschied Die Speicherung ist nur ein Teil der sogenannten Verarbeitung personenbezogener Daten. Alle Aktionen, die Sie mit persönlichen Daten (Sammeln, Sammeln, Speichern, Übertragen, Ändern) durchführen, werden gesetzlich als "Verarbeitung personenbezogener Daten" bezeichnet.

Es ist wichtig zu verstehen, dass das Gesetz zwei Personen unterscheidet: den Betreiber und den Verarbeiter. Der Betreiber führt die Verarbeitung personenbezogener Daten durch und bestimmt auch den Zweck seiner Verarbeitung, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, die durchzuführenden Aktionen (Operationen) mit personenbezogenen Daten.

Ein Handler ist jemand, der alle Aktionen mit persönlichen Daten ausführt: Sammeln, Speichern, Organisieren, Sammeln, Aktualisieren, Aktualisieren, Löschen, Entpersönalten usw.

In der Tat ist der Verarbeiter nicht nur der Endbenutzer, der persönliche Daten für die Arbeit benötigt, sondern auch jeder Zwischenbenutzer, durch dessen Hände diese persönlichen Daten weitergegeben werden. In der Praxis zeigen.

Problem

Der Online-Shop verfügt über eine Kundendatenbank, die sich in der "Cloud" eines Drittunternehmens befindet. Eine Marketingagentur arbeitet mit dieser Basis. Frage: Wie viele Betreiber personenbezogener Daten haben wir?

Die richtige Antwort ist eins. Dies ist ein Online-Shop, der die Ziele der Verarbeitung personenbezogener Daten festlegt. Die zweite Frage lautet: Wie viele personenbezogene Datenverarbeiter haben wir? Die richtige Antwort ist zwei.

  1. Ein Unternehmen, das eine Online-Shop-Datenbank in seiner Cloud hat.
  2. Eine Marketingagentur, die Daten abruft und auf der Grundlage dieser Daten ein Werbeangebot für Kunden erstellen kann.

Personenbezogene Daten werden in vielen verschiedenen Einrichtungen verarbeitet, beispielsweise in Banken, Schulen, Kliniken, Visa-Zentren. Nicht zu vergessen die Webseiten, auf denen wir uns registrieren, und dabei unsere E-Mail-Adressen und Telefonnummern hinterlassen. Aber wie und wo genau?

Nuance

Es gibt einen so dunklen Begriff wie "Informationssystem für personenbezogene Daten". Wenn Sie versuchen, es mit einfachen Worten zu erklären, handelt es sich um einen ganzen Komplex, der aus Datenbankservern, technischen Mitteln zur Gewährleistung ihrer Verarbeitung und Informationstechnologie besteht. In Übereinstimmung mit dem Gesetz muss jedes Informationssystem für personenbezogene Daten geschützt werden.

Die Methoden zum Schutz von Informationen sind unterschiedlich.

  • Physikalisch: Zum Beispiel können in dem Raum, in dem sich die Computer befinden, Kameras installiert werden, die Zugriffskontrolle sowie Alarmsysteme verwendet werden.
  • Technisch - mit speziellen Informationsschutzmitteln.
  • Administrative: alle Arten von Vorschriften und Regeln für die Verarbeitung personenbezogener Daten im Unternehmen.

Beispiel

Eine Möglichkeit, Informationen zu schützen, ist die Personalisierung persönlicher Daten. Was ist das? In der Visazentrale erhält jede Person, die ein Visum beantragt, eine eigene Identifikationsnummer. Die Nummer selbst bezieht sich nicht auf personenbezogene Daten, da sie eine Person entpersönlicht: Es ist unmöglich, die Person zu identifizieren, die ein Visum beantragt hat.

Ich scheine personenbezogene Daten zu verarbeiten.

Also mit der Terminologie geklärt. Nun sollten alle Unternehmensvertreter, insbesondere Einzelunternehmer, die nur wenige Mitarbeiter beschäftigen, die Frage ehrlich beantworten: "Verarbeite ich persönliche Daten?"

Ja, wenn Sie Inhaber einer Website sind, an der fünf Personen pro Woche teilnehmen, jedoch ein Feedback-Formular mit den Feldern "Name, E-Mail-Adresse, Telefonnummer" vorhanden ist. Informationen zu den Zwecken, für die Sie personenbezogene Daten sammeln, und wie Sie diese verwenden, sollten auf Ihrer Website angezeigt werden.

Ja, wenn Sie die personenbezogenen Daten Ihrer Angestellten oder von Dritten beauftragten Spezialisten bearbeiten.

Ja, wenn Sie mit Privatkunden zusammenarbeiten und ihre Passdaten für den Abschluss von Verträgen benötigen - dies gilt für Reisebüros, Fitnesscenter, verschiedene Dienstleistungsunternehmen, Online-Shops und andere.

Und wieder, ja, wenn Sie eine Haushaltsorganisation, eine politische Partei oder einen Kindergarten sind. Letztere haben nicht nur Informationen über das Kind, sondern auch über seine Eltern, einschließlich Arbeitsplatz und Arbeitsplatz. Ganz zu schweigen von den medizinischen Einrichtungen - es gibt eine Fülle von persönlichen sensiblen Informationen, die sicher aufbewahrt werden müssen.

Wenn Sie jedoch Daten für die persönliche Kommunikation ohne geschäftlichen Nutzen verwenden, gelten die gesetzlichen Bestimmungen nicht für Sie und es besteht keine strafrechtliche Haftung.

Wenn Sie beispielsweise Kontakte verwenden, die auf einer Visitenkarte, die Sie von einem Kollegen erhalten haben, oder Telefonnummern in einem Notizbuch auf einem Smartphone oder Informationen auf sozialen Netzwerken, verwenden, unterliegen Ihnen die Informationen in sozialen Netzwerken nicht der Verantwortung vor dem Gesetz.

Die Hauptsache ist, Daten nicht an Werbetreibende weiterzugeben und diese nicht ohne die Erlaubnis der Eigentümer von persönlichen Daten im öffentlichen Bereich zu veröffentlichen.

Bestimmen Sie die Kategorie der persönlichen Daten

Herzlichen Glückwunsch, Sie sind der stolze Besitzer des Titels „Betreiber persönlicher Daten“. Das Wichtigste ist jetzt, genau zu verstehen, welche persönlichen Daten Sie verarbeiten. Weil es von der Kategorie der persönlichen Daten abhängt, wie die Daten geschützt werden müssen und welche Anforderungen erfüllt werden müssen. Die Kategorien sind im Bundesgesetz 152 und in der Regierungsentschließung vom 1. November 2012 N 1119 ausführlich beschrieben.

Kategorien von persönlichen Daten in einfachen Worten:

Allgemein verfügbare personenbezogene Daten: Daten aus offenen Ressourcen, die von den personenbezogenen Daten oder mit deren Zustimmung veröffentlicht werden. Öffentlich verfügbare Daten sind Daten aus den Medien oder aus dem Internet.

Beispiel: Informationen, die im Open Access in sozialen Netzwerken oder auf der Unternehmenswebsite bereitgestellt werden. Telefonnummer und Familienstatus im öffentlichen Zugang zu Facebook veröffentlicht. Der Name des Arbeitnehmers und seine Position auf der Website des Arbeitgebers.

Biometrische personenbezogene Daten: Diese Kategorie umfasst alle Daten zu den physiologischen und biologischen Eigenschaften von Menschen.

Beispiel: Gewicht, Größe, Augen- oder Haarfarbe, Haarlänge, Blutgruppe, Foto.

Personenbezogene Daten einer besonderen Kategorie: Dazu gehören Informationen über die Zugehörigkeit zu einer Rasse und Nation, politische Ansichten, religiöse und philosophische Überzeugungen, Gesundheitszustand oder das intime Leben.

Beispiel: medizinische Diagnose (Informationen darüber, was Sie wann krank waren, wann Sie mit Ihrem Arzt behandelt wurden).

Personenbezogene Daten anderer Art - dazu gehören personenbezogene Daten, die nicht in den oben genannten Kategorien enthalten sind.

Beispiel: Unternehmensinformationen. Abrechnungskarten für Mitarbeiter, die Informationen enthalten, mit denen HR und Buchhaltung arbeiten: Gehalt, Urlaubszeiten, Beschäftigungsdatum.

Kategorie, Anzahl, Art der Bedrohungen - Schutzniveau

Wenn Sie sich für die Kategorie der persönlichen Daten entschieden haben, müssen Sie die genaue Datenmenge kennen, die Sie verarbeiten: bis zu 100.000 oder mehr als 100.000.

Finden Sie die Kategorie und Menge heraus, bestimmen Sie die Art der Bedrohung:

Bedrohung Nummer 1. "Löcher" und Schwachstellen im Betriebssystem. Beispiel: Schwachstellen, mit denen Hacker das Betriebssystem infiltrieren, um Informationen zu stehlen.

Bedrohungen Nummer 2. "Löcher" und Schwachstellen in der Anwendungssoftware, dh in der Software, die in Ihrer täglichen Arbeit verwendet wird. Beispiel: Word, Excel.

Bedrohungen Nummer 3. Alle anderen Bedrohungen, die nicht in den ersten beiden Typen aufgeführt sind. Vor allem der menschliche Faktor. Ein Mitarbeiter kann ein Dokument auf einem nicht gesperrten Computer geöffnet lassen, ein Dokument zum Drucken an den Drucker einer anderen Person oder per E-Mail senden.

Die Menge der persönlichen Daten, die Kategorie, die Art der Bedrohungen - zusammen können Sie feststellen, welche Sicherheitsstufe für Ihr Informationssystem erforderlich ist. Es gibt jetzt vier Schutzstufen.

Das erste und höchste Schutzniveau wird am häufigsten für die Verarbeitung personenbezogener Daten in Regierungsbehörden und medizinischen Einrichtungen verwendet. Die vierte Schutzstufe ist am einfachsten zu erbringen, manchmal reicht es aus, organisatorische Regulierungsmaßnahmen durchzuführen, hauptsächlich geht es um den Schutz öffentlich zugänglicher Daten.

Sie können den Schutzgrad anhand dieser Tabelle bestimmen.

Beispiel

Das Krankenhaus verarbeitet die persönlichen Daten seiner Patienten - dies sind die persönlichen Daten einer besonderen Kategorie. Es verarbeitet auch personenbezogene Daten von Mitarbeitern - dies sind personenbezogene Daten einer anderen Kategorie. Höchstwahrscheinlich hat das Krankenhaus zwei Datenbanken. Wenn Sie beide Datenbanken zusammenfassen, erhalten Sie die Gesamtmenge der persönlichen Daten, die sich im Informationssystem dieses Krankenhauses befinden.

Zum Beispiel alle - bis zu 100 Tausend. Als Nächstes betrachten wir, wie Daten verarbeitet werden: automatisiert (in einem Computer) oder nicht automatisiert (in einem manuellen Archiv). Wenn alles automatisiert ist, schauen wir uns an, welche Software das Krankenhaus verwendet, welche Schwachstellen es hat.

Darauf aufbauend werden Bedrohungen und ihr Level identifiziert. Wir addieren alle Faktoren und erhalten die Schutzklasse der zweiten Stufe. Wir schauen uns an, was die Anforderungen des Gesetzes für die zweite Sicherheitsstufe sind. Aufgrund dieser Anforderungen muss ein Schutz für ein Informationssystem geschaffen werden, um die Anforderungen des Bundesgesetzes zu erfüllen.

Ein wenig über die Gefahr des Auslaufens personenbezogener Daten

Warum sollte man sich überhaupt um den Schutz personenbezogener Daten kümmern? Persönliche Daten sind auf dem Schwarzmarkt teuer. Betrüger sind bereit, beeindruckende Beträge für ein Profil zu zahlen, das alle Details der Krankenakte einer Person enthält. Separater Markt - Verkauf von Bankkartendetails; Konten in sozialen Netzwerken.

Die Folgen eines Datenverlusts sind unterschiedlich. Die Daten können im Internet öffentlich verfügbar sein: Sie können beispielsweise gestohlene Datenbanken mit Adressen und Telefonnummern von Kunden von Unternehmen im Netzwerk leicht finden. Wenn Sie den Vor- und Nachnamen kennen, kann jeder die Wohnadresse einer Person erfahren, sich im sozialen Netzwerk anmelden, ein Profil anzeigen oder einfach eine SMS an ein Mobiltelefon schreiben.

Personenbezogene Daten können in die Datenbank von lästigen Mailings einer kommerziellen Organisation gelangen, und ihr Besitzer wird mit unaufgefordert angebotenen Serviceangeboten überschüttet. Sie können auch von Online-Betrügern in Online-Casinos oder zum Öffnen einer elektronischen Geldbörse verwendet werden.

Im schlimmsten Fall kann ein Angreifer sich als eine andere Person ausgeben und den Namen einer anderen Person anerkennen. Zu den schwerwiegendsten Folgen von Datenlecks gehören: illegale Handlungen mit Immobilien, Diebstahl von Geld von Bankkarten, Erpressung von Angehörigen und Registrierung eines Unternehmens.

Last der Verantwortung

Verstehen Sie die Wichtigkeit der Frage und sind Sie bereit, Verantwortung zu tragen? Das ist richtig Denn die Verantwortung für die Sicherheit persönlicher Daten liegt vollständig beim Betreiber.

Dies bedeutet, dass der Betreiber dafür sorgen muss, dass die Informationen nicht in den öffentlichen Zugang gelangen oder in die Hände von Dritten gelangen, die keine Rechte daran haben. Dies erfordert eine ständige Überwachung und Verhinderung von Bedrohungen der Datensicherheit, die Kontrolle der Informationssicherheit und deren Wiederherstellung im Falle eines Verlusts.

In unserem Land überwacht Roskomnadzor die Einhaltung der gesetzlichen Bestimmungen im Bereich der Verarbeitung personenbezogener Daten. Dieses Gremium reagiert auf Beschwerden und regelt die Beziehungen zwischen Subjekten und Betreibern.

Die technischen Anforderungen an den Informationsschutz liegen in der Verantwortung des FSTEC und des FSB: Sie entwickeln Anforderungen und kontrollieren deren Umsetzung.

Anforderungen an die Verarbeitung personenbezogener Daten

Nun ist es an der Zeit, die Tabellen mit den Anforderungen an den technischen Schutz personenbezogener Daten zu studieren. Details finden Sie in der Bestellung des Eidgenössischen Dienstes für technische Kontrolle und Exportkontrolle vom 18. Februar 2013 N 21.

Aber fang doch wenigstens damit an:

  1. Registrieren Sie sich bei Roskomnadzor als Betreiber personenbezogener Daten. Erforderlich, um sich in Papierform oder in elektronischer Form an Roskomnadzor zu wenden. Informationen zum Link.
  2. Holen Sie sich die schriftliche Zustimmung aller Unternehmen ein, deren personenbezogene Daten verarbeitet werden. Die Zustimmung zur Verarbeitung personenbezogener Daten ist das wichtigste rechtliche Dokument, das die Rechtmäßigkeit der Verarbeitung personenbezogener Daten bestätigt.
  3. Entwickeln Sie interne Dokumentation. Inbetriebnahme im Auftrag des Leiters der Organisation "Regelungen zur Verarbeitung personenbezogener Daten". In diesem Dokument erläutert der Betreiber, wie er personenbezogene Daten verwenden will, wozu und zu welchem ​​Zweck sie übertragen werden. Dies ist ein grundlegendes Dokument, das von jedem Betreiber personenbezogener Daten verlangt wird. Darauf aufbauend werden alle anderen Verwaltungsdokumente entwickelt.

Viele Websitebesitzer gehen davon aus, dass es keine rechtlichen Probleme gibt, wenn ein Besucher auf die Schaltfläche "Ich stimme der Verarbeitung personenbezogener Daten zu" klicken, und die Datenverarbeitung fällt automatisch in den rechtlichen Bereich. Es ist nicht so.

Aus rechtlicher Sicht gibt es nur zwei Möglichkeiten, um Ihre Zustimmung zur Verarbeitung personenbezogener Daten zu bestätigen: eine Unterschrift auf Papier oder eine elektronische digitale Unterschrift.

In allen anderen Fällen kann der Websitebesitzer nicht bestätigen, wer die Schaltfläche "Ich stimme zu" gedrückt hat, wenn der Fall vor Gericht geht. Man kann nur hoffen, dass der Betroffene, der auf Ihre Website kam, freiwillig seine Daten übermittelt und keine Beschwerde einreicht.

Gibt es wirklich einen Scheck?

Ja, Schecks können von Roskomnadzor stammen.

Roskomnadzor veröffentlicht jährlich eine Liste von Prüfungen selektiv aus der Liste der registrierten Betreiber. Wenn ein Unternehmen in die Liste der Prüfungen aufgenommen wird, ist die nächste geplante Prüfung frühestens nach drei Jahren möglich. Ob Ihr Unternehmen in diesem Jahr auf der Liste steht, können Sie hier sehen.

Off-Plan-Prüfungen werden in der Regel durch Reklamationen verursacht. Wenn die Prüfung nicht geplant ist, sollten Sie innerhalb von 24 Stunden schriftlich darüber informiert werden.

Es kann auch Dokumentationsprüfungen geben. Bei der Dokumentation senden Sie eine Liste der Dokumente, von denen Kopien an Roskomnadzor gesendet werden müssen.

Manchmal führt Roskomnadzor Inspektionen vor Ort durch: Inspektoren besuchen persönlich das Unternehmen vor Ort.

Die Vorbereitung auf eine dieser Prüfungen ist eine zeitaufwändige Aufgabe. Lösen Sie die Vorbereitungsarbeiten für die Inspektion selbst oder ziehen Sie externe Spezialisten hinzu, müssen Sie zunächst bestimmen, wer im Unternehmen für die Einhaltung der FZ-152 verantwortlich ist.

Bußgelder, Gerichte und andere Schrecken

Für die Verletzung der 152-FZ wird eine zivil-, strafrechtliche, verwaltungs- und disziplinarische Haftung übernommen.

So führte Roskomnadzor eine Inspektion durch, wenn er Unstimmigkeiten mit dem Gesetz feststellte, wird er dem Untersuchungsausschuss einen Befehl erteilen, ein Verfahren wegen Verstoßes gegen das Gesetz „Über personenbezogene Daten“ durchzuführen.

Danach beginnt die Staatsanwaltschaft mit einer Inspektion, bei der sie die Aktivitäten des Unternehmens aussetzen kann: Entzug der Datenbank des Unternehmens, insbesondere der Computer, auf denen die personenbezogenen Daten verarbeitet wurden.

Rechtsverletzer warten in erster Linie auf Geldbußen. Die Höhe der Geldbußen hängt von der Straftat ab. Für die Verarbeitung personenbezogener Daten ohne die schriftliche Erlaubnis der Unternehmen müssen juristische Personen daher verwaltungsrechtliche Haftung übernehmen.

Selbst wenn der Betreiber bereit ist, eine Geldbuße zu zahlen, aber nach den Maßstäben des großen Geschäfts scheint es nicht riesig, muss der Täter die Inkonsistenz jedoch vor dem Gesetz beseitigen (z. B. die gespeicherten Daten löschen) und Roskomnadzor benachrichtigen.

Das schlimmste Szenario ist, wenn Roskomnadzor beschließt, die Lizenz des Unternehmens zu widerrufen, der Verarbeitung von personenbezogenen Daten durch Unternehmen zu untersagen und die personenbezogenen Daten unrechtmäßig bei Bürgern zu veröffentlichen.

In den letzten Jahren war der lauteste Skandal in Russland mit der Blockierung von LinkedIn verbunden, deren Eigentümer beschuldigt wurden, persönliche Daten von Bürgern ohne ihre Zustimmung auf Servern außerhalb der Russischen Föderation zu verarbeiten. Die Sperrung des autonum.info-Dienstes war ebenfalls "Geräusche gemacht".

Wie viel kostet es Geld und Kraft

Sie können die Verarbeitung personenbezogener Daten selbstständig oder mit Hilfe eines Unternehmens organisieren, das einen solchen Dienst bereitstellt.

Wenn Sie sich entscheiden, persönliche Daten selbst zu verarbeiten, benötigen Sie:

  1. Verstehen Sie, welche Kategorie von personenbezogenen Daten Sie verarbeiten und welche technischen Anforderungen zu ihrem Schutz gelten.
  2. Entwickeln Sie eigenständig oder mit Hilfe eines IT-Unternehmens technische Lösungen, bereiten Sie den Kauf der erforderlichen Geräte und Software vor, installieren Sie sie und implementieren Sie sie.
  3. Stellen Sie alle rechtlichen Dokumente aus. Entwickeln Sie eine Reihe von internen Dokumenten: Anweisungen und Vorschriften.

Im besten Fall dauert es drei bis vier Monate, auf Kosten einer solchen Implementierung können es 200 bis 300 Tausend Rubel sein - dies sind die Kosten für den Kauf von Ausrüstung und Lizenzen. Die Arbeitskosten und die weitere Unterstützung des Informationssystems sind ein gesonderter Ausgabenposten. Sie benötigen außerdem einen Administrator, der den Betrieb des Systems überwacht.

Objektiv betrachtet, erfüllen sehr kleine Unternehmen einfach nicht alle gesetzlichen Anforderungen in der Hoffnung, dass es keine Überprüfung gibt. Vielleicht wird es wirklich nicht. Andere Unternehmen schaffen „Potemkin-Dörfer“ nur, indem sie so tun, als würden sie personenbezogene Daten gemäß den gesetzlichen Bestimmungen verarbeiten, dh sie kaufen die erforderlichen Dokumente.

Im nächsten Artikel zeigen wir Ihnen, wie Sie die Kosten für die Verarbeitung personenbezogener Daten in einem Unternehmen berechnen können, und teilen Ihnen mit, wann die Verarbeitung personenbezogener Daten rentabler ist und wann es besser ist, sie in der Cloud zu hinterlegen.

Das Material wird vom Benutzer veröffentlicht. Klicken Sie auf die Schaltfläche "Schreiben", um Ihre Meinung zu äußern oder über Ihr Projekt zu sprechen.

Gesetz zum Schutz personenbezogener Daten: Auswirkungen auf die Büroarbeit

  • Khramtsovskaya Natalia | Kandidat der Geschichtswissenschaften, führender Experte für Dokumentenmanagement der Firma EOS, ISO-Experte, Mitglied des Internationalen Archivrates

Auf der Suche nach der Ursache

Das Bundesgesetz der Russischen Föderation Nr. 152-ФЗ „Über personenbezogene Daten“ wurde am 27. Juli 2006 verabschiedet und blieb vor dem Hintergrund anderer noch ausstehender Ereignisse des vergangenen Jahres nahezu unbemerkt. Der formale Grund für seine Annahme waren die zahlreichen Tatsachen des Diebstahls persönlicher Datenbanken in staatlichen und kommerziellen Strukturen und deren weit verbreiteter Verkauf. Der Hauptzweck der Annahme dieses Gesetzes bestand in der Tat darin, bestimmte Handelshemmnisse mit den Ländern der Europäischen Union zu beseitigen.

Frankreich verbot die Veröffentlichung von Fakten zum Datenschutz und verhängte 1858 Geldbußen für Verstöße.

Das norwegische Strafgesetzbuch verbot 1889 die Veröffentlichung von Informationen über "persönliche oder private Angelegenheiten".

Inländisches Recht „Zu personenbezogenen Daten“ vom 27. Juli 2006 Nr. 152-FZ nahm seine Tätigkeit am 26. Januar dieses Jahres auf (gemäß Artikel 25 Teil 1 tritt das Gesetz 180 Tage nach der offiziellen Veröffentlichung am 29. Juli 2006 in Kraft) in der "Rossiyskaya Gazeta").

Gemäß der EU-Richtlinie 95/46 / EG können personenbezogene Daten nur in Länder übermittelt werden, die dasselbe Schutzniveau wie in Europa bieten. Dies behinderte den Informationsaustausch zwischen europäischen Regierungsbehörden und Unternehmen mit ihren ausländischen Partnern erheblich und machte viele kommerziell vielversprechende Projekte unmöglich. Solche Einschränkungen erlebten nicht nur Russland und die Länder der Dritten Welt, sondern auch ein wirtschaftliches Monster wie die Vereinigten Staaten. Daher hat unsere Regierung beschlossen, diese Barriere zu überwinden. Mal sehen, wie er es gemacht hat und was es uns alle kosten wird.

Die Verabschiedung des russischen Gesetzes über personenbezogene Daten war das Ergebnis des Beitritts der Russischen Föderation zum Europäischen Übereinkommen von 1981 "Über den Schutz der Person bei der automatischen Verarbeitung personenbezogener Daten", das die Grundprinzipien für den Schutz personenbezogener Daten in europäischen Ländern definiert. In diesem Übereinkommen und den nachfolgenden Richtlinien der Europäischen Union wurden die Aufgaben dargelegt, die die nationalen Rechtsvorschriften bei der Regulierung personenbezogener Daten erfüllen sollten:

  • Schutz personenbezogener Daten vor dem unbefugten Zugriff anderer Personen, einschließlich Vertretern von staatlichen Stellen und Diensten, die nicht über die erforderlichen Befugnisse verfügen;
  • Gewährleistung der Sicherheit, Integrität und Zuverlässigkeit der Daten bei der Arbeit mit ihnen, einschließlich der Übertragung über Kommunikationskanäle;
  • Sicherstellung der richtigen rechtlichen Regelung dieser Daten, wenn mit ihnen für verschiedene Kategorien personenbezogener Daten gearbeitet wird;
  • Gewährleistung der Kontrolle der Verwendung personenbezogener Daten durch den Bürger;
  • die Schaffung einer besonderen unabhängigen Struktur, die eine wirksame Kontrolle über die Wahrung der Rechte eines Bürgers zum Schutz seiner persönlichen Daten gewährleistet (z. B. die Schaffung eines Amtes eines Beauftragten für den Schutz personenbezogener Daten).

Unser Gesetz wiederholt weitgehend die wichtigsten Bestimmungen der europäischen Gesetzgebung in diesem Bereich, der als einer der härtesten der Welt gilt. Obwohl im Jahr 2006 oft über das Gesetz gesprochen wurde, haben nur wenige den Inhalt seiner Bestimmungen sorgfältig gelesen. Um jedoch die Einhaltung der Anforderungen zu gewährleisten, muss die Arbeit mit Informationen und Dokumentationen, die persönliche Daten enthalten, erheblich geändert werden. Versuchen wir herauszufinden, was es Neues in der Verwaltung von Dokumenten und Informationen in der Organisation gibt.

  • In allen Organisationen gibt es eine neue, ziemlich umfangreiche Dokumentationsebene. Hierbei handelt es sich um Dokumente, die sich auf die Einwilligung von Personen zur Verarbeitung ihrer personenbezogenen Daten beziehen, die Registrierung von Datenbanken bei der autorisierten Stelle, die Dokumentation aller Transaktionen mit personenbezogenen Daten usw.
  • Dokumente und Informationen, die persönliche Daten enthalten, müssen hervorgehoben werden. ihre spezielle Kennzeichnung sowohl auf Papier als auch auf elektronischen Medien; separate Buchhaltung und Zugriffserfassung. Sie können über das Auftreten einer anderen Art von Nackenzugriff auf Dokumente sprechen.
  • Grundlegend verändertes Vorgehen bei der Einführung der Aufbewahrung von Dokumenten und Informationen. Zum ersten Mal in der häuslichen Praxis wird die maximale Lagerdauer festgelegt und die Bedingungsdauer, die ziemlich schwer zu beobachten und nachzuverfolgen ist.
  • Bei der Arbeit mit personenbezogenen Daten ist es notwendig, sich im Voraus klar durchzudenken und diese in den behördlichen Dokumenten, die mit ihrer Verarbeitung zusammenhängen, zu dokumentieren. Andernfalls kann die Organisation zur Verantwortung gezogen werden, und noch unangenehmer kann es zu zahlreichen Klagen der betroffenen Personen kommen 3.
  • Durch das Gesetz werden sehr strenge Fristen für die Durchführung aller Einsprüche der Bürger im Zusammenhang mit der Verarbeitung personenbezogener Daten festgelegt.

Lassen Sie uns nun näher auf die wichtigsten Bestimmungen des Gesetzes eingehen und beurteilen, welche Organisationen und Institutionen zur Umsetzung des Gesetzes erforderlich sind. Darüber hinaus werden wir versuchen, einige Bestimmungen des Gesetzes hinsichtlich der Richtigkeit und Klarheit ihres Wortlauts zu analysieren.

Geltungsbereich des Gesetzes

Die allererste Frage: Für wen gilt dieses Gesetz? Wenn wir darauf antworten, können wir mit Sicherheit sagen, dass es ausnahmslos für jeden gilt (für staatliche Institutionen, juristische Personen und Einzelpersonen). Hier ist eine Liste von Artikel 1:

  • Bundesbehörden
  • staatliche Behörden der konstituierenden Einheiten der Russischen Föderation,
  • andere staatliche Stellen
  • lokale Regierungen,
  • nicht-kommunale Körperschaften
  • juristische Personen,
  • Einzelpersonen.

Die zweite wichtige Frage ist der Geltungsbereich des Gesetzes.

Artikel 1 des Bundesgesetzes der Russischen Föderation "Über personenbezogene Daten" Nr. 152-FZ vom 27. Juli 2006

Dieses Bundesgesetz regelt die Beziehungen, die mit der Verarbeitung personenbezogener Daten verbunden sind... unter Verwendung von Automatisierungswerkzeugen oder ohne Verwendung solcher Mittel, wenn die Verarbeitung personenbezogener Daten ohne Verwendung derartiger Mittel der Art der Aktionen (Operationen) entspricht, die mit personenbezogenen Daten unter Verwendung von Automatisierungsmitteln ausgeführt werden.

Der Wortlaut dieses Artikels ist ein Beispiel dafür, wie man Gesetze nicht schreibt. Es stellte sich etwas Unverständliches heraus, das verschiedene Interpretationen zuließ. Wie kann auf der Grundlage eines solchen Textes zum Beispiel die Frage beantwortet werden, ob die in einem Business-Notebook in freier Form erfassten Daten in den Geltungsbereich des Gesetzes fallen? Wird ein solches Notebook in einem Computer oder in einem Mobiltelefon gespeichert, wird es als "Verwendung von Automatisierungsgeräten" betrachtet?

Die europäische Gesetzgebung in dieser Hinsicht ist klarer:

EU-Richtlinie 95/46 / EG 1995

Artikel 2 "Begriffsbestimmungen":

(c) „Personal Data Storage System“ 4 („Speichersystem“) ist ein strukturierter Satz personenbezogener Daten, auf den nach bestimmten Kriterien zugegriffen werden kann - unabhängig davon, wie der Datensatz organisiert ist, ob zentral, dezentral oder verteilt funktionell oder geografisch

Artikel 3 "Geltungsbereich":

1. Diese Richtlinie bezieht sich auf die Verarbeitung personenbezogener Daten mit automatischen Mitteln (ganz oder teilweise) sowie auf die Verarbeitung mit anderen Mitteln als automatischen, personenbezogenen Daten oder Komponenten, die Teil des Speichersystems sein sollen.

In der modernen Computer-Terminologie bedeutet "strukturierte Daten" vor allem Datenbanken. In der Dokumentation enthalten sie Kartendateien und Archive mit persönlichen Dateien. Zu den europäischen Anforderungen gehören daher:

  • zur automatischen Verarbeitung personenbezogener Daten und
  • zur Verwendung (ob automatisch oder in einem anderen Modus), die persönliche Daten von Papier und elektronischen Datenbanken, Kartendateien usw. enthält, die über einen Suchmechanismus verfügen, mit dem Informationen zu einer bestimmten Person leicht abgerufen werden können.

Warum es unmöglich war, auf Russisch zu schreiben, und in unserem Gesetz bleibt unverständlich?

Auf den Unterschied in der Terminologie ist zu achten: "Automatische Verarbeitung" ist eine Sache und die Verarbeitung unter Verwendung von Automatisierungsgeräten ist ein völlig anderes Konzept, viel breiter und unbestimmter.

Das Gesetz sieht nur vier Ausnahmen vor. Das Gesetz gilt nicht für Beziehungen, die entstehen:

  • bei der Verarbeitung personenbezogener Daten für persönliche und familiäre Bedürfnisse;
  • bei der Verarbeitung personenbezogener Daten in Dokumenten des Archivfonds der Russischen Föderation;
  • bei der Verarbeitung personenbezogener Daten zur Aufnahme in das vereinheitlichte staatliche Register von Einzelunternehmern (EGRIP);
  • bei der Verarbeitung personenbezogener Daten, die als Staatsgeheimnisse eingestuft sind.

Einer dieser Punkte erfordert detailliertere Studien. Zu Beginn zitieren wir das Gesetz:

Artikel 1 des Bundesgesetzes der Russischen Föderation "Über personenbezogene Daten" Nr. 152-FZ vom 27. Juli 2006

2. Dieses Bundesgesetz gilt nicht für Beziehungen, die sich ergeben aus:

2) Organisation der Speicherung, Beschaffung, Buchhaltung und Nutzung, einschließlich personenbezogener Daten von Dokumenten des Archivfonds der Russischen Föderation und anderer Archivdokumente gemäß den Rechtsvorschriften über Archive in der Russischen Föderation.

Wir erinnern Sie an zwei Definitionen, die in dem Gesetz "Über Archivangelegenheiten in der Russischen Föderation" Nr. 125-d d vom 22.10.2005 verankert sind:

  • Archivdokument - ein materielles Medium mit aufgezeichneten Informationen, das Angaben enthält, die eine Identifizierung zulassen, und aufgrund der Bedeutung des angegebenen Beförderers und der Informationen für Bürger, Gesellschaft und Staat der Aufbewahrung unterliegt;
  • Das Dokument des Archivfonds der Russischen Föderation ist ein Archivdokument, das die Prüfung des Wertes von Dokumenten bestanden hat, staatlich erfasst und dauerhaft gespeichert ist.
    Es stellt sich heraus, dass, wenn eine dauerhafte Aufbewahrungsfrist für ein Dokument oder eine Datenbank festgelegt wird und diese in den Archivfonds der Russischen Föderation aufgenommen werden, dieses Gesetz nicht für sie gilt. Dieser Fehler ermöglicht es Regierungsbehörden mit jeder seriösen Datenbank, die Umsetzung des neuen Gesetzes über personenbezogene Daten zu vermeiden.

Hier ist ein Beispiel, wie das gemacht werden kann. Gemäß dem Bundesgesetz „Über archivische Angelegenheiten in der Russischen Föderation“ (Artikel 18 Teil 2) billigt die Regierung der Russischen Föderation die Liste der föderalen Exekutivorgane und Organisationen, die die Hinterlegung von Dokumenten des Archivfonds der Russischen Föderation verwahren, die sich in bundesstaatlichem Besitz befinden. Eine neue Liste von fünf dieser Abteilungen und Organisationen wurde Ende 2006 genehmigt. Gleichzeitig wurden diese Organisationen beauftragt, mit Rosarkhiv eine Vereinbarung über die Aufbewahrungsbedingungen von Dokumenten zu treffen. Wenn bei Vertragsschluss ausdrücklich festgelegt ist, dass alle Dokumente mit Ausnahme der operativen Dokumente als zur Verwahrung übertragene Dokumente betrachtet werden, kann der Großteil der Dokumente unter diese Ausnahme gestellt werden.

Für andere staatliche Organisationen könnte eine der Optionen die sofortige Genehmigung von Akten mit staatlichen Archiven sein, was tatsächlich die Aufnahme von Dokumenten in den Archivfonds der Russischen Föderation und das erneute Verlassen der „Aktionszone“ des Gesetzes über persönliche Daten bedeuten würde.

Die Richtlinien der Europäischen Union enthalten keine solche Ausnahme, sie ist jedoch beispielsweise im US-Code 6 enthalten, der eine korrektere Formulierung enthält, die keine Mehrdeutigkeit zulässt: Das Gesetz über personenbezogene Daten gilt im Allgemeinen nicht für Dokumente, die bereits in staatlichen Archiven hinterlegt sind, sondern gilt für Dokumente, die von einer Depotbehörde in das Staatsarchiv übertragen werden.

Es ist auch unklar, warum unser Gesetz aus unseren zahlreichen staatlichen Datenbanken eine Ausnahme für das Unified State Register of Individual Entrepreneurs (EGRIP) gemacht hat. Es ist daher logisch, die Ausnahme auf andere staatliche Register auszudehnen, die auch personenbezogene Daten enthalten (z. B. enthält die Gründung Informationen über die Gründer und Erstpersonen aller juristischen Personen des Landes).

Persönliche Daten und Verarbeitungsmethoden

Personenbezogene Daten - alle auf der Grundlage dieser Informationen ermittelten oder bestimmten Informationen über eine natürliche Person (Gegenstand der personenbezogenen Daten), einschließlich Nachname, Vorname, Bevollmächtigter, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, soziales Eigentum, Eigentumsstatus, Bildung, Beruf, Einkommen und sonstige Informationen (gemäß Artikel 3 des Gesetzes über personenbezogene Daten).

Das Gesetz sieht folgende Methoden zur Verarbeitung personenbezogener Daten vor (für einige davon sind ausführliche Erklärungen in Artikel 3 enthalten):

  • Sammlung;
  • Systematisierung;
  • Akkumulation;
  • Lagerung;
  • Klarstellung (Update, Änderung);
  • verwenden - „Handlungen (Vorgänge) mit personenbezogenen Daten, die vom Betreiber 7 durchgeführt werden, um Entscheidungen zu treffen oder andere Handlungen durchzuführen, die rechtliche Konsequenzen in Bezug auf den Gegenstand personenbezogener Daten oder anderer Personen oder auf sonstige Weise haben, die die Rechte und Freiheiten des Gegenstands personenbezogener Daten oder anderer Personen beeinträchtigen“;
  • Verbreitung (einschließlich Übermittlung) - „Maßnahmen, die auf die Weitergabe personenbezogener Daten an einen bestimmten Personenkreis (Übermittlung personenbezogener Daten) oder die Bekanntgabe von personenbezogenen Daten einer unbegrenzten Anzahl von Personen abzielen, einschließlich der Offenlegung personenbezogener Daten in den Medien, der Bereitstellung von Informationen und der Telekommunikation Netzwerke oder der sonstiger Zugang zu personenbezogenen Daten. "
  • Depersonalisierung - „Handlungen, aufgrund deren es unmöglich ist, die Identität personenbezogener Daten zu einem bestimmten Gegenstand personenbezogener Daten zu bestimmen“;
  • Sperrung - „vorübergehende Aussetzung der Erhebung, Systematisierung, Sammlung, Nutzung, Verbreitung personenbezogener Daten einschließlich deren Übermittlung“;
  • Vernichtung personenbezogener Daten - „Handlungen, durch die der Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten nicht wiederhergestellt werden konnte oder zur Zerstörung der materiellen Träger personenbezogener Daten führt“.

Besondere Aufmerksamkeit sollte solchen Verarbeitungsmethoden wie dem Sperren und der Vernichtung personenbezogener Daten gewidmet werden. Das Gesetz sagt recht gut über die Zerstörung aus - dies ist der Ansatz, der nun von in- und ausländischen Standards empfohlen wird. In Bezug auf die Sperrung personenbezogener Daten wurde diese Methode der Verarbeitung in der häuslichen Praxis zum ersten Mal eingeführt, und ihre Ausführung kann die Lebensdauer von Organisationen mit zuvor entwickelten Informationssystemen und Datenbanken, in denen eine solche Operation nicht vorgesehen ist, erheblich verkürzen.

Grundsätze und Bedingungen für die Verarbeitung personenbezogener Daten

Die gesetzlichen Bestimmungen zielen in erster Linie darauf ab, die illegale Erhebung und Verwendung personenbezogener Daten zu verhindern. Dieser Wunsch des Gesetzgebers hat zur Entstehung einer neuen Position für die Aufzeichnungspraxis geführt:

Artikel 5 Absatz 2 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ

Personenbezogene Daten sollten in einer Form gespeichert werden, die es ermöglicht, das Thema zu bestimmen, und zwar nicht mehr, als es die Verarbeitungsziele erfordern, und sollten bei Erreichen der Ziele der Verarbeitung personenbezogener Daten oder des Verlusts der Notwendigkeit, diese zu erreichen, zerstört werden.

In diesem Fall legt das Gesetz zum ersten Mal vielleicht für Informationen und Dokumente die maximale und darüber hinaus bedingte Lagerungsdauer fest - „bei der Erreichung von Verarbeitungszielen“. Organisationen müssen Aufbewahrungsfristen für Dokumente festlegen, die personenbezogene Daten enthalten, und es ist notwendig, sich vorher über die Gründe für die ausgewählten Aufbewahrungsfristen Gedanken zu machen. Dies ist eine ziemlich komplizierte Frage, die viele Kontroversen und Probleme verursachen kann.

Darüber hinaus müssen DOE-Spezialisten Folgendes beachten: Da die gesetzlich vorgeschriebenen Ziele für die Erhebung und Verarbeitung personenbezogener Daten vor Beginn der Arbeit festgelegt werden müssen, muss deren Formulierung sorgfältig geprüft werden. Andernfalls kann sich die Organisation selbst „ersetzen“: Die Ziele werden erfüllt, und persönliche Daten werden nicht zerstört.

Für Organisationen, die personenbezogene Daten erheben und verarbeiten, ist das unangenehmste die Anforderung von Artikel 6 hinsichtlich der Notwendigkeit, die Zustimmung des Subjekts zur Verarbeitung einzuholen. Eine Einwilligung ist nur in folgenden Fällen erforderlich:

  • auf der Grundlage der Bundesgesetzgebung;
  • um den Vertrag mit dem Gegenstand personenbezogener Daten zu erfüllen;
  • für statistische oder wissenschaftliche Zwecke;
  • um das Leben und die Gesundheit der Person mit personenbezogenen Daten zu schützen;
  • zur Zustellung von Postsendungen durch Postorganisationen;
  • im Rahmen der beruflichen Tätigkeit eines Journalisten, Gelehrten usw.;
  • Daten, die gemäß den Bundesgesetzen zu veröffentlichen sind;
  • um die Grundlagen der Verfassungsordnung, der Moral, der Gesundheit, der Rechte und der berechtigten Interessen anderer zu schützen, um die Verteidigung des Landes und die Sicherheit des Staates zu gewährleisten

Wir haben bereits eine Reihe von Bundesgesetzen, in denen die Verarbeitung personenbezogener Daten beschrieben wird, beispielsweise bei der Führung der Unified State Registries of Taxpayers (EGRN) und von juristischen Personen (USR). Die einzige Voraussetzung für die Anwendung der Ausnahme von der allgemeinen Einwilligungspflicht ist, die folgenden Fragen in den einschlägigen Rechtsvorschriften zu formulieren:

  • Ziele
  • Bedingungen für die Erhebung personenbezogener Daten
  • Personenkreis, dessen personenbezogene Daten verarbeitet werden,
  • Befugnisse des Betreibers, der die Daten sammelt.

Es ist noch nicht klar, was mit den Gesetzen geschieht, die Normen enthalten, die mit der Erhebung und Verarbeitung personenbezogener Daten in Zusammenhang stehen, die genannten Bedingungen jedoch nicht erfüllen.

Die erste auf die Probleme, die mit der Einhaltung des neuen Gesetzes verbunden sind, lenkte die Aufmerksamkeit der Versicherungsunternehmen auf. Nach ihrer Auffassung kann das Gesetz über personenbezogene Daten die Umsetzung des Gesetzes über die Kfz-Haftpflichtversicherung (MTPL) aufgrund des Verbots der Weitergabe der beim Abschluss des MTPL-Vertrags erhaltenen personenbezogenen Daten des Kunden an Dritte ohne dessen Zustimmung erheblich behindern. Infolgedessen kann das Versicherungsunternehmen keine vollständigen Informationen über seine Kunden aus einer einzigen Datenbank abrufen (und die Verwaltung einer solchen Datenbank ist ebenfalls fragwürdig). In dieser Situation nehmen die Risiken der Versicherer zu.

Versicherungen versuchen bereits, dieses für sie wichtige Problem zu lösen, indem sie die folgenden Optionen in Betracht ziehen:

  • Änderungen des Gesetzes über OSAGO und die Verpflichtung der Versicherer, Daten über versicherte Ereignisse auszutauschen.
  • Definition eines Teils personenbezogener Daten als öffentlich. Die Informationen, die eine Person bei einem OSAGO-Vertrag angibt, sind nach Ansicht der Versicherer öffentlich. Das Gesetz „Über personenbezogene Daten“ erfordert jedoch die Einwilligung zur Erhebung öffentlicher Daten.
  • Der Ausschuss der Allrussischen Vereinigung der Versicherer (ARIA) zur Bekämpfung von Versicherungsbetrug hat bereits zwei Gesetzentwürfe vorbereitet, die Anfang 2007 der Staatsduma vorgelegt werden sollen. Laut dem Chef des Komitees, Jewgenij Potapow, wird einer dieser Gesetzesvorschläge das Gesetz "Über die Organisation des Versicherungsgeschäfts in der Russischen Föderation" ändern. Die Versicherer können auf der Grundlage ihrer Verbände und Verbände automatisierte Informationssysteme einrichten, die Daten zu Versicherungsansprüchen und Zahlungen enthalten 8.

§ 6 des Artikels 6 zur Erteilung des Rechts zur Verarbeitung personenbezogener Daten an Journalisten, Wissenschaftler und Vertreter anderer kreativer Berufe ohne Zustimmung des Subjekts ist zweifelhaft. Es ist durchaus realistisch (vor allem in kommerziellen Strukturen), eine Vollzeitstelle als „Vertreter des kreativen Berufs“ einzurichten und alle Datenbanken mit persönlichen Informationen zu „schreiben“.

Beispielsweise wird in England in einer ähnlichen Gesetzesbestimmung zusätzlich festgelegt, dass in diesem Fall der Zweck der Datenverarbeitung die Veröffentlichung des betreffenden Materials sein sollte; dass eine solche Veröffentlichung im öffentlichen Interesse sein muss (einschließlich der Ausübung des Rechts auf Selbstdarstellung eines Vertreters des kreativen Berufs) 9.

Außerdem ist es interessant, wie wir bestimmen, wer Journalist oder Schriftsteller ist und wer nicht. Es ist kein Geheimnis, dass viele der Schreibbrüder nicht über die entsprechenden Diplome oder offiziellen Ausweise verfügen. Hier mag der in den USA verwendete Ansatz nützlich sein: Journalisten erkennen alle, die Artikel für den öffentlichen Vertrieb verfassen, auch wenn sie nur im Internet veröffentlicht werden.

In den Vereinigten Staaten begann im Januar 2007 das Gerichtsverfahren gegen die Regierung des ehemaligen hochrangigen George Bush Lewis "Scooter" Libby. Im Gerichtssaal waren einhundert Sitze für die Presse vorgesehen, von denen zwei offiziell von den Autoren der Internet-Tagebücher empfangen wurden.

Die American Society of Newspaper Editors schlägt bei der Ausarbeitung eines Bundesgesetzes über die Gewährung von Rechten an Journalisten vor, vertrauliche Informationen während eines Gerichtsverfahrens nicht offenzulegen. Dieses Gesetz gilt ausnahmslos für alle und gilt für diejenigen, die Informationen zur weiteren Verbreitung sammeln. Unter diese Definition fallen auch die Autoren von Internet-Tagebüchern, „Blogger“ 10.

Nun wollen wir sehen, wie das neue Gesetz die Einwilligung des Subjekts zur Verarbeitung seiner persönlichen Daten beinhaltet.

Artikel 9 Absatz 1 des Bundesgesetzes der Russischen Föderation über personenbezogene Daten vom 27. Juli. 2006 Nr. 152-FZ

Der Gegenstand personenbezogener Daten entscheidet über die Bereitstellung seiner personenbezogenen Daten und stimmt deren Verarbeitung aus eigenem Willen und in seinem eigenen Interesse zu... Die Zustimmung zur Verarbeitung personenbezogener Daten kann durch den Gegenstand personenbezogener Daten widerrufen werden.

Darüber hinaus enthält Artikel 9 Absatz 3 eine ziemlich unangenehme Bedingung für die Betreiber. Sie müssen entweder den Nachweis erbringen, dass die von ihnen gesammelten Daten aus öffentlich zugänglichen Quellen stammen, oder sie müssen die Zustimmung der betroffenen Person einholen und dieses Dokument speichern, falls der „Subjekt“ beschließt, den Betreiber wegen Verletzung seiner Rechte zu verklagen.

Mit öffentlich zugänglichen Daten ist das auch nicht so einfach. In Artikel 8, der definiert, was mit öffentlich zugänglichen Quellen personenbezogener Daten (Nachschlagewerke, Adressbücher usw.) gemeint ist, wird betont, dass personenbezogene Daten nur dort mit schriftlicher Zustimmung des Betreffs enthalten sein dürfen. Darüber hinaus können "Informationen über den Gegenstand personenbezogener Daten jederzeit auf Antrag des Gegenstands personenbezogener Daten oder durch ein Gericht oder andere autorisierte staatliche Stellen von öffentlich zugänglichen Quellen personenbezogener Daten ausgeschlossen werden."

Wenn eine Organisation dagegen bei der Erhebung von Informationen öffentlich verfügbare Quellen personenbezogener Daten verwendet, müsste sie dokumentieren, wo sie diese Informationen erhalten hat, und sicherstellen, dass die „Quelle“ die gesetzlich vorgeschriebene schriftliche Zustimmung hat.

Bundesgesetz der Russischen Föderation "Über personenbezogene Daten" vom 27. Juli 2006 Nr. 152-FZ

Paragraph 12 des Artikels 3. Grundlegende Begriffe in diesem Bundesgesetz

Allgemein zugängliche personenbezogene Daten sind personenbezogene Daten, auf die eine unbegrenzte Anzahl von Personen mit Zustimmung des Themas personenbezogene Daten zugreifen kann oder auf die das Erfordernis der Vertraulichkeit gemäß den Bundesgesetzen nicht anwendbar ist.

Artikel 8 Absatz 1. Allgemein zugängliche Quellen personenbezogener Daten

Zur Informationsunterstützung können öffentlich zugängliche Quellen personenbezogener Daten (einschließlich Nachschlagewerken, Adressbüchern) erstellt werden. Öffentlich verfügbare Quellen personenbezogener Daten mit schriftlicher Zustimmung des Betreffenden personenbezogener Daten können seinen Nachnamen, Vornamen, Vornamen, Geburtsjahr und Geburtsort, Adresse, Teilnehmernummer, Angaben zum Beruf und andere personenbezogene Daten enthalten, die vom Betreff personenbezogener Daten bereitgestellt werden.

Klausel 3 des Artikels 9. Einwilligung in Bezug auf die Verarbeitung personenbezogener Daten in Bezug auf die Verarbeitung personenbezogener Daten

Die Verpflichtung zum Nachweis des Einverständnisses des Patienten mit personenbezogenen Daten in die Verarbeitung seiner personenbezogenen Daten sowie der Verarbeitung öffentlich zugänglicher personenbezogener Daten ist der Betreiber verpflichtet, den Nachweis zu erbringen, dass die verarbeiteten personenbezogenen Daten öffentlich verfügbar sind.

Es stellt sich heraus, dass Organisationen sich selbst schützen müssen, um die offizielle Bestätigung jedes Bürgers zu verlangen.

Wie soll die schriftliche Zustimmung des Subjekts eingereicht werden? Es stellt sich heraus, dass die Unterschrift eines Bürgers unter dem allgemeinen Satz "Ich stimme der Erhebung und Verarbeitung meiner persönlichen Daten zu" nicht ausreicht.

Artikel 9 Absatz 4 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ

Das schriftliche Einverständnis der Person mit personenbezogenen Daten zur Verarbeitung ihrer personenbezogenen Daten sollte Folgendes umfassen:

  1. Name, Vorname, Name des Kunden, Adresse des Gegenstands der personenbezogenen Daten, die Nummer des Hauptdokuments, aus dem seine Identität hervorgeht, Informationen zum Ausstellungsdatum des angegebenen Dokuments und die ausstellende Behörde;
  2. Name (Name, Name, Vorname) und Adresse des Betreibers, der die Einwilligung des Betreffenden der personenbezogenen Daten eingeholt hat;
  3. Zweck der Verarbeitung personenbezogener Daten;
  4. eine Liste personenbezogener Daten, für deren Verarbeitung die Einwilligung der Person mit personenbezogenen Daten erteilt wird;
  5. die Liste der Aktionen mit personenbezogenen Daten, für die eine Einwilligung erteilt wurde, eine allgemeine Beschreibung der Methoden, die der Betreiber für die Verarbeitung personenbezogener Daten verwendet;
  6. den Zeitraum, in dem die Einwilligung gültig ist, sowie das Verfahren für den Widerruf.

Dies bedeutet, dass der Bediener, bevor er den Gegenstand der personenbezogenen Daten „einfängt“ und versuchen will, seine Einwilligung einzuholen, eine spezielle Form des Dokuments entwickeln muss, die alle erforderlichen Informationen enthält.

Rechte des Gegenstands von personenbezogenen Daten

Zunächst ist der Gegenstand der persönlichen Daten berechtigt, folgende Informationen zu erhalten:

  • Angaben zum Betreiber,
  • Informationen zum Standort des Bedieners,
  • Informationen zu den personenbezogenen Daten des Betreibers in Bezug auf den betreffenden Gegenstand personenbezogener Daten,
  • Der Betreff hat auch das Recht, sich mit seinen persönlichen Daten des Betreibers vertraut zu machen.

Vom Betreiber kann der Gegenstand personenbezogener Daten verlangen:

  • Klären Sie Ihre persönlichen Daten
  • Ihre Sperrung oder Vernichtung für den Fall, dass personenbezogene Daten unvollständig, veraltet, ungenau, unrechtmäßig erhalten oder für den angegebenen Zweck der Verarbeitung nicht erforderlich sind.

Viele Schwierigkeiten für Betreiberorganisationen führen zu Artikel 14 Absatz 2 des Gesetzes, der vorsieht, dass der Betreiber dem Betreiber Informationen über die Verfügbarkeit personenbezogener Daten in einer zugänglichen Form zur Verfügung stellt und keine Informationen enthält, die sich auf andere personenbezogene Daten beziehen.

Die im Dezember 2003 vor dem Court of Appeal in England behandelte Rechtssache „Durant vs. Financial Services Authority“ 11 erhielt eine breite Antwort. Die Entscheidung des Gerichts hat die Auslegung des Begriffs "personenbezogene Daten" erheblich eingeschränkt. Das Gericht wies insbesondere darauf hin, dass die bloße Erwähnung dieser Person im Text des Dokuments nicht ausreicht, um das Dokument zu berücksichtigen, das personenbezogene Daten enthält. Darüber hinaus bestätigte das Gericht, dass das Recht auf Zugang zu ihren personenbezogenen Daten nicht die Rechte Dritter verletzen darf und dass dementsprechend personenbezogene Daten von Dritten aus den Kopien der auf Anfrage zur Verfügung gestellten Dokumente entfernt werden sollten (ausgenommen besondere Umstände).

Im November 2004 lehnte die Regierung das Recht der Arbeitnehmer im Vereinigten Königreich ab, auf ihre personenbezogenen Daten zuzugreifen, unabhängig davon, ob sie von ihrem Arbeitgeber in Papierform oder in elektronischer Form aufbewahrt werden, wenn sie in einem System gespeichert sind, das die Informationen zu den einzelnen Personen nicht eindeutig strukturiert. So wurden die Speichersysteme für Akten (mit Ausnahme der persönlichen Akten) de facto von den Maßnahmen des Gesetzes über die Bereitstellung des Zugangs zu persönlichen Informationen ausgeschlossen, da es ist schwierig, Informationen über eine bestimmte Person zu isolieren.

Um auf ihre persönlichen Daten zugreifen zu können, müssen unsere Landsleute:

  • bewerben Sie sich persönlich oder
  • Anfrage senden, die enthalten sollte:
    • die Nummer des Hauptdokuments, das die Identität des Gegenstands personenbezogener Daten oder seines gesetzlichen Vertreters bestätigt,
    • Informationen über das Ausstellungsdatum des angegebenen Dokuments und der ausstellenden Behörde und
    • Handschriftliche Unterschrift des Gegenstandes personenbezogener Daten oder seines gesetzlichen Vertreters.

Diese Anfrage kann in elektronischer Form gesendet und mit einer digitalen Signatur unterzeichnet werden. Das Gesetz bietet somit formal die Möglichkeit, ihre persönlichen Daten über elektronische Kommunikationswege zu beantragen. Wir haben noch keine Personen, die über ein eigenes EDS verfügen, das dem EDS-Gesetz entspricht (in der überwiegenden Mehrheit der Fälle wird EDS in unserem Land gemäß Artikel 160 des Bürgerlichen Gesetzbuchs verwendet, der eine vorläufige Vereinbarung der Parteien vorsieht).

Die Menge an Informationen, die ein Subjekt personenbezogener Daten anfordern kann, zeigt die Besorgnis über unsere Bürger. Organisationen, die die Datenbank mit personenbezogenen Daten führen, wird empfohlen, dem Artikel 14 Absatz 4 des neuen Gesetzes besondere Aufmerksamkeit zu widmen, um das Verfahren zur Bereitstellung von Informationen in internen Verordnungen zu überdenken und zu konsolidieren:

  1. die Tatsache der Verarbeitung personenbezogener Daten durch den Betreiber sowie die Zwecke dieser Verarbeitung;
  2. über die Methoden der Verarbeitung personenbezogener Daten, die vom Betreiber verwendet werden;
  3. über Personen, die Zugang zu personenbezogenen Daten haben oder denen ein solcher Zugang gewährt werden kann (um berichten zu können, wer und welche personenbezogenen Daten zur Verfügung gestellt wurden), ist es notwendig, die Registrierung der personenbezogenen Daten zu organisieren und den Zugang zu ihnen zu kontrollieren, ansonsten die Betreiberorganisation ziemlich schwierig, diese Anforderung zu erfüllen);
  4. Liste der verarbeiteten personenbezogenen Daten und Eingangsquellen;
  5. die Bearbeitungszeit der personenbezogenen Daten einschließlich ihrer Aufbewahrungszeit (dieser Anforderung muss besondere Aufmerksamkeit gewidmet werden, da der Betreiber tatsächlich verpflichtet ist, die Bearbeitungs- und Aufbewahrungszeiten festzulegen, die je nach Zweck der Verarbeitung personenbezogener Daten durch interne Regulierungsdokumente variieren können);
  6. Informationen darüber, welche rechtlichen Konsequenzen für den Gegenstand personenbezogener Daten die Verarbeitung seiner personenbezogenen Daten zur Folge haben können (um diese Anforderung zu erfüllen, sollten Organisationen ihre Anwälte im Voraus anweisen, alle möglichen rechtlichen Konsequenzen der Verarbeitung personenbezogener Daten zu begründen).

Die Frage der Verarbeitung personenbezogener Daten "zur Förderung von Waren, Werken und Dienstleistungen auf dem Markt durch direkte Kontakte mit potenziellen Verbrauchern durch Kommunikationsinstrumente sowie für politische Kampagnen" ist einem besonderen Artikel gewidmet (Artikel 15). Nun müssen kommerzielle und politische Organisationen vor dem Versenden von Werbung die vorherige Zustimmung des Bürgers einholen, und die Verarbeitung von PD "wird ohne vorherige Zustimmung der Person mit personenbezogenen Daten anerkannt, wenn der Betreiber nicht beweist, dass eine solche Zustimmung eingeholt wurde." Für einige kommerzielle Strukturen kann diese Anforderung sehr unpraktisch sein!

Von nun an "ist es verboten, Entscheidungen auf der Grundlage einer ausschließlich automatisierten Verarbeitung personenbezogener Daten zu treffen, die rechtliche Konsequenzen in Bezug auf den Gegenstand personenbezogener Daten haben oder seine Rechte und berechtigten Interessen anderweitig beeinträchtigen" (Artikel 16).

Diese Bestimmung ist notwendig und zeitnah. Bei der Formulierung verwirrten unsere Gesetzgeber jedoch zwei verschiedene Begriffe: "automatisch" (dh ohne menschliche Beteiligung) und "automatisiert" (dh mit menschlicher Beteiligung). Infolgedessen kann dieser Artikel, anstatt ihnen zusätzliche Beschränkungen aufzuerlegen und nur dann, wenn das Informationssystem Entscheidungen ohne menschliche Beteiligung (z. B. Bußgeld, Verbot von Reisen außerhalb des Landes usw.) trifft, erfolgen werden als Einschränkung für alle Arten der Verarbeitung personenbezogener Daten interpretiert, da selbst die Verwendung eines Taschenrechners als automatisierte Verarbeitung verstanden werden kann!

In demselben Artikel des neuen Gesetzes wird festgelegt, dass der Betreiber Entscheidungen nur auf der Grundlage einer "automatisierten" Verarbeitung treffen kann, wenn:

  • Einholung der schriftlichen Zustimmung der betroffenen Person oder
  • wenn diese Regeln durch Bundesgesetze festgelegt werden.

In einigen Regulierungsdokumenten wurden diese gesetzlichen Anforderungen bereits berücksichtigt. In den Antragsmustern für die Ausstellung eines Passes der neuen Generation gibt es daher einen besonderen Abschnitt, in dem der Antragsteller der "automatisierten" Verarbeitung der im Antrag angegebenen Daten zustimmt. Es klingt wie folgt: "Ich stimme der automatisierten Verarbeitung, Übertragung und Speicherung der in der Anwendung angegebenen Daten zu Zwecken der Herstellung, Bearbeitung und Kontrolle eines Passes während seiner Gültigkeitsdauer zu" 12.

Der Betreiber muss dem Bürger im Voraus außerdem folgende Informationen zur Verfügung stellen:

  • die Reihenfolge der Entscheidungsfindung auf der Grundlage einer ausschließlich "automatisierten" Verarbeitung seiner personenbezogenen Daten und
  • mögliche Rechtsfolgen einer solchen Entscheidung;
  • das Verfahren zum Schutz personenbezogener Daten durch seine Person und ihre berechtigten Interessen;
  • Gelegenheit, gegen eine solche Entscheidung Einspruch zu erheben.

Im Streitfall muss der Betreiber nachweisen, dass er alle gesetzlichen Anforderungen erfüllt hat. Dies bedeutet, dass er unterstützende Dokumente sorgfältig sammeln und aufbewahren muss.

Verantwortlichkeiten des Betreibers

Zu den Pflichten des Betreibers gemäß Artikel 18 gehört in erster Linie die Bereitstellung personenbezogener Informationen auf Ersuchen des Bürgers. Darüber hinaus muss der Betreiber „die personenbezogenen Daten klären, welche rechtlichen Konsequenzen sich aus der Ablehnung seiner personenbezogenen Daten ergeben“, wenn diese Pflicht durch Bundesgesetz festgelegt ist.

Artikel 20 enthält sehr strenge Fristen für die Beantwortung von Ersuchen von Personen mit personenbezogenen Daten (diese sind sehr viel schwieriger, z. B. die im kürzlich erlassenen Gesetz "Über das Verfahren zur Prüfung von Rechtsbehelfen von Bürgern der Russischen Föderation"):

  • Datenbereitstellung - innerhalb von 10 Arbeitstagen ab dem Datum des Eingangs der Anfrage;
  • Motivierte Ablehnung - innerhalb von 7 Werktagen.

Der Betreiber wird noch weitere Fragen haben, wenn es erforderlich ist, Gesetzesverstöße innerhalb der in Artikel 21 des neuen Gesetzes vorgesehenen Frist zu beseitigen. Die Sperrung der Daten sollte ab dem Zeitpunkt der Anfrage oder ab dem Zeitpunkt des Erhalts der Anfrage und der Beseitigung von Verstößen innerhalb von 3 Werktagen erfolgen.

In einigen Fällen ist der Betreiber verpflichtet, personenbezogene Daten innerhalb von 3 Arbeitstagen zu löschen, nämlich:

  • falls die Verstöße nicht beseitigt werden,
  • im Falle der Erreichung des Ziels der Verarbeitung personenbezogener Daten,
  • für den Fall, dass der Gegenstand der personenbezogenen Daten der Verarbeitung seiner personenbezogenen Daten widerspricht.

Sowohl die Sperrung als auch die Zerstörung personenbezogener Daten kann in derzeit betriebenen Informationssystemen und Datenbanken, die bisher keine Möglichkeit bieten, schwierig (und manchmal auch unmöglich) implementiert werden.

Noch schwieriger wird es für den Betreiber, wenn er persönliche Daten nicht von einem Bürger, sondern von einem Dritten erhält.

Art. 18 Abs. 3 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ

Wenn keine personenbezogenen Daten von der betroffenen Person erhalten wurden, es sei denn, die personenbezogenen Daten wurden dem Betreiber nach Bundesgesetz übermittelt oder sind öffentlich zugänglich, muss der Betreiber der betreffenden Person vor der Verarbeitung dieser personenbezogenen Daten die folgenden Informationen bereitstellen:

  1. Name (Nachname, Vorname, zweiter Vorname) und Anschrift des Betreibers oder seines Vertreters;
  2. den Zweck der Verarbeitung personenbezogener Daten und ihre Rechtsgrundlage;
  3. beabsichtigte Nutzer personenbezogener Daten;
  4. die durch dieses Bundesgesetz festgelegten Rechte der Person an personenbezogenen Daten.

Hinter diesen Worten steht eine zeitaufwendigere Arbeit. Beispielsweise kann sich die Frage stellen, wie diese Informationen dem Subjekt zur Verfügung gestellt werden sollten. Ist es möglich, es per Post zu senden, und werden die Informationen als bereitgestellt betrachtet, wenn der Betreff das entsprechende Schreiben nicht erhalten hat?

Die Verpflichtung des Betreibers nach Artikel 19 besteht auch darin, die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten. Um Ärger zu vermeiden, sollte die Betreiberorganisation alle organisatorischen und technischen Sicherheitsmaßnahmen, die sie zum Schutz der in ihren Informationssystemen enthaltenen personenbezogenen Daten ergreifen möchte, in den Regulierungsdokumenten entwickeln und konsolidieren.

Staatliche Registrierung von Systemen zur Verarbeitung personenbezogener Daten

Das Gesetz sieht vor, dass alle Wirtschaftsbeteiligten, die personenbezogene Daten verarbeiten, die zuständige Stelle im Voraus darüber informieren müssen (Artikel 22), die die Betreiber in einem speziellen Register aufzeichnet. Die gemäß Artikel 23 zugelassene Stelle ist das Ministerium für Informationstechnologien und Kommunikation der Russischen Föderation, das derzeit „Kontroll- und Überwachungsfunktionen im Bereich Informationstechnologien und Kommunikation“ ausübt. In der Benachrichtigung muss detailliert beschrieben werden, was mit personenbezogenen Daten zu tun ist. Alle Änderungen in Bezug auf die Verarbeitung personenbezogener Daten müssen auch der autorisierten Stelle gemeldet werden.

Die Verarbeitung personenbezogener Daten ist in folgenden Fällen ohne Benachrichtigung der berechtigten Stelle zulässig:

  • in Gegenwart von Arbeitsbeziehungen;
  • beim Abschluss eines Vertrages, an dem der Gegenstand personenbezogener Daten beteiligt ist;
  • wenn personenbezogene Daten Mitgliedern (Teilnehmern) einer öffentlichen Vereinigung oder religiösen Organisation angehören und von der betreffenden öffentlichen Vereinigung oder religiösen Organisation verarbeitet werden;
  • wenn personenbezogene Daten öffentlich verfügbar sind;
  • wenn zu den personenbezogenen Daten nur die Namen, Nachnamen und Patronymien der Probanden gehören;
  • bei der Registrierung der Aufnahmen;
  • wenn personenbezogene Daten in Informationssystemen enthalten sind, die gemäß den Bundesgesetzen den Status von automatisierten Informationssystemen des Bundes haben, sowie staatliche Informationssysteme für personenbezogene Daten, die zum Schutz der Sicherheit des Staates und der öffentlichen Ordnung erstellt wurden;

  • wenn personenbezogene Daten ohne Automatisierung verarbeitet werden.
  • Abschließend geben wir den Betreibern eine Reihe von Empfehlungen. Es wird nicht schwer sein, die Anforderungen des Gesetzes über personenbezogene Daten zu erfüllen, wenn diese Arbeit jetzt begonnen wird, ohne auf die ersten Beschwerden und Beschwerden zu warten. Sie können mit den folgenden offensichtlichen Maßnahmen beginnen:

    • Es ist ratsam, einen verantwortlichen Beauftragten zu ernennen, der alle Fragen im Zusammenhang mit der Umsetzung dieses Gesetzes in der Organisation überprüft. Für große Unternehmen kann die Einrichtung einer Sonderkommission gerechtfertigt sein.
    • Für alle Informationsressourcen der Organisation, die persönliche Daten enthalten, müssen Sie:
      • ihren Status bestimmen (auf deren Grundlage sie geschaffen wurden: gemäß den Rechtsvorschriften für die Ausführung des Vertrags, von sich aus usw.);
      • die Zusammensetzung der personenbezogenen Daten und ihrer Empfangsquellen klären und aufzeichnen (von einem Bürger, aus öffentlichen Quellen, von Dritten usw.);
      • Festlegen der Speicherdauer und der Verarbeitungszeit von Daten in jeder Informationsressource;
      • Verarbeitungsmethoden bestimmen;
      • Personen mit Zugang zu Daten identifizieren;
      • rechtliche Implikationen formulieren;
      • das Verfahren zur Beantwortung von Anfragen, möglichen Antworten und Maßnahmen bestimmen und die Einhaltung der festgelegten Reaktionszeiten einhalten.

    In diesem Artikel wird eine Analyse des neuen Gesetzes zum Schutz personenbezogener Daten aus Sicht der Spezialisten auf dem Gebiet des Records Managements durchgeführt, die viel Blut verderben werden. Seine Wirksamkeit wird sich in der Praxis zeigen, aber ich schätze als "betroffene Person" zunächst die Liste der Behörden, an die ich eine Anfrage senden könnte, um mir in Übereinstimmung mit den gesetzlichen Anforderungen relevante Informationen zur Verfügung zu stellen. Jetzt habe ich das Recht!

    1 Kapitel IV Artikel 25 der Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates der Europäischen Union vom 24. Oktober 1995 zum Schutz der Rechte des Einzelnen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

    2 Es ist interessant, dass selbst die Vereinigten Staaten die strengen europäischen Anforderungen nicht erfüllen und amerikanische Unternehmen gezwungen sind, die sogenannten „Umbrella“ -Vereinbarungen anzuwenden.

    3 Der personenbezogene Datengegenstand ist eine Person, deren personenbezogene Daten verarbeitet werden.

    4 "System zur Speicherung persönlicher Daten"

    5 Die Liste der föderalen Vollzugsbehörden und -organisationen, die an der Verwahrung von Dokumenten des Archivfonds der Russischen Föderation beteiligt sind, die sich in föderalem Besitz befinden, umfasst 18 Organisationen: das Innenministerium Russlands, das Außenministerium Russlands, das Verteidigungsministerium Russlands, das SVR Russlands, der FSB Russlands, die Russische Föderale Drogenkontrollbehörde Russlands, Roskartografiya, Russische Akademie für Agrarwissenschaften, Russische Akademie für Medizinische Wissenschaften, Russische Akademie für Pädagogik, Russische Akademie der Künste, Russische Akademie für Architektur und Bauwissenschaften, Staat Stiftung: Allrussisches Forschungsinstitut für hydrometeorologische Informationen - World Data Center, Landesbehörde „Landesfonds für Fernseh- und Radioprogramme“, Staatliches wissenschaftliches Produktionsunternehmen „Russischer Geologischer Bundesfonds“, Staatliches Einheitliches Unternehmen (Russisches Wissenschaftlich-technisches Zentrum) Informationen zu Normung, Messwesen und Konformitätsbewertung ".

    6 5 US C. § 552a (k) (1) „Dokumente an Einzelpersonen - Besondere Ausnahmen - Archivunterlagen“

    7 Betreiber - eine staatliche Einrichtung, eine kommunale Einrichtung, eine juristische oder natürliche Person, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie den Zweck und den Inhalt der Verarbeitung personenbezogener Daten bestimmt.

    9 Datenschutzgesetz 1998, Artikel 32.

    11 Durant vs Financial Services Authority (FSA).

    12 Anlage Nr. 1 zu den Anweisungen zum Verfahren für die Bearbeitung und Ausstellung eines Passes eines Bürgers der Russischen Föderation, eines Diplomatenpasses und eines Dienstpasses, die die Hauptdokumente sind, die die Identität eines Bürgers der Russischen Föderation außerhalb des Territoriums der Russischen Föderation bescheinigen (mit Anordnung des Innenministeriums der Russischen Föderation, Außenministerium der Russischen Föderation) und dem Föderalen Sicherheitsdienst der Russischen Föderation vom 6. Oktober 2006, Nr. 785/14133/461).