Im Arbeitsgesetz der Russischen Föderation gibt es den Begriff "persönliche Information einer arbeitenden Person". Daten zum Betriebskontingent müssen dem Arbeitgeber zur Verfügung gestellt werden.
Nach der Prüfung persönlicher Informationen entscheidet der Arbeitgeber über die Einbringung einer Person in das Unternehmen.
Die Informationen, die eine Person über sich preisgibt, müssen geschützt werden. Verteilen ist verboten.
Liebe Leserinnen und Leser! In unseren Artikeln werden typische Lösungsansätze für Rechtsfragen beschrieben, aber jeder Fall ist einzigartig.
Wenn Sie wissen möchten, wie Sie Ihr Problem genau lösen können, rufen Sie einfach an, es ist schnell und kostenlos!
Persönliche Informationen über Mitarbeiter sollten der Entwicklung unterliegen.
Der Arbeitgeber stellt folgende Anforderungen an die personenbezogenen Daten von Arbeitnehmern:
Bei der Übermittlung von Informationen über Mitarbeiter muss der Geschäftsführer des Unternehmens die folgenden Regeln einhalten:
Ein Arbeitskontingent hat das Recht:
Folgende Arten der Verarbeitung personenbezogener Daten werden unterschieden:
Diese Verarbeitung erfolgt mit einer speziellen Computertechnologie. Die häufigsten Rechenmaschinen können sein:
Die ausführlichste Beschreibung der nicht automatisierten Verarbeitung ist in der Regierungsverordnung Nr. 687 enthalten.
Das Verteilen, Studieren und Entfernen von Informationen über das Betriebskontingent sollte mit einem Teil einer Person durchgeführt werden, nicht mit Computertechnologie.
Dank des Informationssystems werden spezielle Kategorien von persönlichen Informationen über das Betriebskontingent verarbeitet. Dieses System verarbeitet Daten, die sich auf die Zugehörigkeit zu einer bestimmten Rasse und Geschlecht, Nationalität, politische Ansichten und philosophische Ansichten auswirken.
Dank des Informationssystems können verarbeitet werden:
Daher sind persönliche Informationen über jeden Mitarbeiter in allen Arbeitgebern enthalten. Der Direktor hat in keinem Fall das Recht, die verfügbaren Daten über die Person zu verbreiten.
Die erhaltenen Informationen über das Betriebskontingent können auf verschiedene Weise verarbeitet werden: mit Hilfe der Computertechnologie, mit Hilfe der persönlichen Kräfte dank des Informationsbewertungssystems.
In jedem Fall werden die persönlichen Daten jedes Mitarbeiters sorgfältig geprüft.
Im Auftrag des Zivilgesetzbuches der Region Amur
vom 26. Dezember 2012, Nr. 626
in Bezug auf die Verarbeitung personenbezogener Daten
1. ALLGEMEINE BESTIMMUNGEN
1.1. Dieses Dokument (im Folgenden als Richtlinie bezeichnet) enthält eine systematische Darstellung der Ziele, Grundsätze, Methoden und Bedingungen für die Verarbeitung personenbezogener Daten sowie Informationen zu den umgesetzten Anforderungen an die Verarbeitung und den Schutz personenbezogener Daten in der GKU der Amur-Region des Zentralkrankenhauses der Freien (im Folgenden als Beschäftigungszentrum bezeichnet).
1.2. Die Richtlinie basiert auf den Anforderungen des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ sowie anderer gesetzlicher Vorschriften der Russischen Föderation, die das Verfahren für die Verarbeitung und den Schutz personenbezogener Daten festlegen. Die Richtlinie ist ein öffentliches Dokument.
1.3. Gemäß dem Bundesgesetz vom 27. Juli 2006 Nr. 152-ФФ „Über personenbezogene Daten“ ist das Beschäftigungszentrum der Betreiber personenbezogener Daten (im Folgenden als „PD“ bezeichnet).
2. VERARBEITETE PERSÖNLICHE DATEN
2.1. Wichtigste in der Richtlinie verwendete Begriffe:
· Personenbezogene Daten - alle Informationen, die sich auf eine natürliche Person beziehen (Gegenstand personenbezogener Daten), die auf der Grundlage dieser Informationen ermittelt oder bestimmt werden, einschließlich Nachname, Vorname, Bevollmächtigter, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, Soziales und Eigentum Position, Ausbildung, Beruf, Einkommen, sonstige Informationen;
· Verarbeitung personenbezogener Daten - Aktionen (Operationen) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Sammlung, Speicherung, Verfeinerung (Aktualisierung, Änderung), Verwendung, Verteilung (einschließlich Übertragung), Depersonalisierung, Sperrung, Vernichtung personenbezogener Daten;
2.2. Verarbeitete personenbezogene Daten im Rahmen dieser Richtlinie sind:
· Personenbezogene Daten, die von Empfängern öffentlicher Dienstleistungen für das Beschäftigungszentrum bereitgestellt werden;
· Personenbezogene Daten von Mitarbeitern des Beschäftigungszentrums oder Kandidaten für offene Stellen;
3. ZWECK DER PERSÖNLICHEN DATENVERARBEITUNG
3.1. Die Ziele der PD-Verarbeitung im Beschäftigungszentrum sind:
· Gewährleistung der Umsetzung der verfassungsmäßigen Rechte der Bürger der Russischen Föderation auf Arbeit und sozialem Schutz gegen Arbeitslosigkeit durch Erbringung öffentlicher Dienstleistungen im Bereich der Beschäftigungsförderung;
· Sicherstellung der Umsetzung der verfassungsmäßigen Rechte der Bürgerinnen und Bürger gegen die Berufung;
· Objektive Bewertung der Lage des Arbeitsmarktes in der Mitgliedsorganisation der Russischen Föderation (in Bezug auf die Empfänger öffentlicher Arbeitsverwaltungen; arbeitslose Bürger; Bürger, die sich mit Vorschlägen, Erklärungen, Beschwerden an das Beschäftigungszentrum wenden);
· Sicherstellung der Einhaltung der Verfassung der Russischen Föderation, der Gesetze und anderer gesetzlicher Vorschriften, Unterstützung der Beschäftigten bei der Suche nach einer Beschäftigung, Schulung und Beförderung von Arbeitsplätzen, Beschäftigungswachstum, Gewährleistung der persönlichen Sicherheit der Beschäftigten, Kontrolle der Quantität und Qualität der geleisteten Arbeit, Gewährleistung der Sicherheit der dazugehörigen Gegenstände und Erfassung der Ergebnisse Pflichten und Sicherheit des Eigentums des Beschäftigungszentrums.
· Wahrnehmung der Funktionen eines Steuervertreters bei der Bereitstellung von Standardsteuerabzügen (in Bezug auf Familienangehörige von Mitarbeitern des Beschäftigungszentrums);
· Erfüllung von Verpflichtungen aus zivilrechtlichen Verträgen (in Bezug auf Personen, die Arbeit verrichten und Dienstleistungen im Rahmen von zivilrechtlichen Verträgen mit dem Beschäftigungszentrum erbringen).
4. PRINZIPIEN DER VERARBEITUNG PERSÖNLICHER DATEN
4.1. Implementierung der PD-Verarbeitung auf legaler und fairer Basis.
4.2. Beschränkung der PD-Verarbeitung auf die Erreichung der spezifischen, vorgegebenen und legitimen Ziele gemäß Abschnitt 2 dieses Dokuments. Es ist nicht zulässig, personenbezogene Daten zu verarbeiten, die mit der Erhebung personenbezogener Daten nicht vereinbar sind.
4.3. Verhindern der Kombination von Datenbanken, die PD enthalten, die für Zwecke verarbeitet werden, die nicht miteinander kompatibel sind.
4.4. Verarbeitung nur der PDS, die den Zweck ihrer Verarbeitung erfüllen.
4,5. Einhaltung des Inhalts und des Umfangs der PD, die zu den angegebenen Verarbeitungszwecken verarbeitet werden.
4,6. Die Unzulässigkeit der Redundanz verarbeitete PD in Bezug auf die angegebenen Ziele ihrer Verarbeitung.
4.7. Sicherstellung der Genauigkeit der PD, ihrer ausreichenden Qualität und gegebenenfalls der Relevanz in Bezug auf die Zwecke der PD-Verarbeitung.
4,8. Stellen Sie sicher, dass die erforderlichen Maßnahmen ergriffen werden, um unvollständige oder ungenaue Daten zu entfernen oder zu verfeinern.
4.9. Die Durchführung der PD-Speicherung in einer Form, die die Bestimmung eines PD-Subjekts ermöglicht, ist nicht länger als der Zweck der PD-Verarbeitung. Wenn die PD-Speicherzeit nicht durch Bundesgesetz festgelegt ist, ist der Vertrag, zu dem das PD-Subjekt ein Begünstigter oder Bürge ist, erforderlich. Die zu verarbeitenden PDs unterliegen der Zerstörung oder Depersonalisierung bei der Erreichung von Verarbeitungszielen oder im Falle des Verlusts der Notwendigkeit, diese Ziele zu erreichen, sofern nicht durch Bundesgesetz etwas anderes bestimmt ist.
5. VERFAHREN ZUR VERARBEITUNG PERSÖNLICHER DATEN
5.1. Das Beschäftigungszentrum verarbeitet PD auf folgende Weise:
· Nicht automatisierte PD-Verarbeitung (auf Papier);
· Automatisierte Verarbeitung (in ISPDn mit und ohne Verwendung von Automatisierungsgeräten), einschließlich: mit und ohne Übertragung durch das lokale Netzwerk des Beschäftigungszentrums; mit und ohne Übertragung über das Internet;
· Gemischte PD-Verarbeitung
5.2. Das Beschäftigungszentrum kann die Methoden der PD-Verarbeitung abhängig von den Zwecken der Verarbeitung und den eigenen materiellen und technischen Fähigkeiten unabhängig voneinander auswählen.
6. BEDINGUNGEN DER PERSÖNLICHEN DATENVERARBEITUNG
6.1. Die Verarbeitung der PD erfolgt nach den Grundsätzen und Regeln des Bundesgesetzes „Über personenbezogene Daten“.
6.2. Die PD-Verarbeitung ist in den Fällen zulässig, die im Bundesgesetz „Über personenbezogene Daten“ vorgesehen sind.
6.3. Das Arbeitsamt hat das Recht, die Verarbeitung der PD mit Zustimmung des Gegenstands der PD einer anderen Person zu übertragen, sofern dies nicht durch bundesrechtliche Bestimmungen auf der Grundlage eines mit dieser Person geschlossenen Vertrages, einschließlich eines Staats- oder Gemeindevertrags, oder durch Erlass eines entsprechenden Rechtsakts durch den Staat oder die Kommunalbehörde (im Folgenden genannt) festgelegt ist ).
6.4. Wenn das Beschäftigungszentrum die Verarbeitung einer PD einer anderen Person zuweist, trägt das Beschäftigungszentrum die Verantwortung für die Handlungen der betreffenden Person für das Verhalten dieser Person. Die Person, die persönliche Daten im Auftrag des Employment Centers verarbeitet, ist gegenüber dem Employment Center verantwortlich.
7. VERTRAULICHKEIT VON PERSÖNLICHEN DATEN
7.1. Das Arbeitsamt und andere Personen, die Zugang zur PD erhalten haben, sind verpflichtet, die Offenlegung nicht an Dritte weiterzugeben und die PD nicht ohne Zustimmung des PD-Subjekts zu verbreiten, sofern dies nicht durch bundesrechtliche Bestimmungen geregelt ist.
8. ZUSTIMMUNG DER PERSÖNLICHEN DATEN FÜR DIE VERARBEITUNG IHRER PERSÖNLICHEN DATEN
8.1. Das PD-Subjekt entscheidet über die Bereitstellung seiner persönlichen Daten und stimmt seiner Verarbeitung frei, aus eigenem Willen und in seinem Interesse zu.
8.2. Die Zustimmung zur PD-Verarbeitung sollte spezifisch, informiert und bewusst sein.
8.2. Die Zustimmung zur PD-Verarbeitung kann vom PD-Subjekt oder seinem Vertreter in jeder Form erteilt werden, die es erlaubt, die Tatsache des Eingangs zu bestätigen, sofern dies nicht durch föderale Gesetze geregelt ist.
8.3. Im Falle der Einholung der Zustimmung zur Verarbeitung personenbezogener Daten von dem Vertreter des Gegenstands personenbezogener Daten wird die Befugnis dieses Vertreters, im Namen des Gegenstands personenbezogener Daten zuzustimmen, vom Beschäftigungszentrum geprüft.
8.4. Die Zustimmung zur PD-Verarbeitung kann vom PD-Betreff widerrufen werden. Bei einem Widerruf des Einverständnisses der PDN zur Verarbeitung der PD durch das Subjekt der PDN ist das Arbeitsamt berechtigt, die Verarbeitung personenbezogener Daten ohne Zustimmung des PD-Subjekts fortzusetzen, wenn in den Artikeln 2 bis 11 des Artikels 1, Artikel 2 und 2 des Artikels 11 des Bundesgesetzes „Persönliche Daten“ Gründe angegeben sind ".
8,5. In Fällen, die nach Bundesgesetz vorgesehen sind, erfolgt die PD-Verarbeitung nur mit schriftlicher Zustimmung des PD-Subjekts. Die schriftliche Einwilligung gilt als gleichwertig zu einem elektronischen Dokument, das durch ein gemäß Bundesgesetz unterzeichnetes elektronisches Gesetz unterzeichnet wurde.
8,6. Personenbezogene Daten können von der Beschäftigungsstelle von einer Person abgerufen werden, die nicht mit personenbezogenen Daten befasst ist, sofern die Beschäftigungsstelle das Vorliegen der in den Artikeln 2 bis 11 des Teils 1 des Artikels 6, des Teils 2 des Artikels 10 und des Teils 2 des Artikels 11 des Bundesgesetzes über die personenbezogenen Daten genannten Gründe bestätigt ".
9. UMSETZUNG DER RECHTE DER PERSÖNLICHEN DATEN
9.1. Bei der Bearbeitung einer PD stellt das Beschäftigungszentrum die notwendigen Voraussetzungen zur Verfügung, damit die PD ihre Rechte frei ausüben kann.
9.2. Das PD-Subjekt hat das Recht, auf seine persönlichen Daten zuzugreifen.
9.3. Ein PD-Objekt hat das Recht, Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten, die Folgendes enthalten: Bestätigung der Tatsache der PD-Verarbeitung durch das Arbeitsamt; Rechtsgrund und Zweck der PD-Verarbeitung; die Ziele und Methoden der PD-Verarbeitung, die vom Beschäftigungszentrum angewandt werden; Name und Ort des Beschäftigungszentrums, Angaben zu Personen (mit Ausnahme von Mitarbeitern des Beschäftigungszentrums), die Zugang zu personenbezogenen Daten haben oder personenbezogene Daten aufgrund einer Vereinbarung mit dem Beschäftigungszentrum oder aufgrund von Bundesgesetzen offenlegen können; Von dem betreffenden PD-Subjekt verarbeitete PDs, die Quelle ihres Eingangs, sofern nicht ein anderes Verfahren für die Übermittlung dieser Daten nach Bundesgesetz vorgesehen ist; PD-Bearbeitungszeit einschließlich Speicherzeit; das Verfahren für die Ausübung der durch das Bundesgesetz "Über personenbezogene Daten" vorgesehenen Rechte durch den PDN; Informationen zur durchgeführten oder beabsichtigten grenzüberschreitenden Datenübertragung; Name oder Nachname, Name, Bevollmächtigter und Anschrift der Person, die die Verarbeitung der PDN für das Beschäftigungszentrum durchführt, wenn die Verarbeitung einer solchen Person übertragen wird oder wird; andere Informationen, die in den Bundesgesetzen vorgesehen sind.
9.4. Das Recht eines PD, den Zugang zu seinen persönlichen Daten zu erhalten, kann in Fällen, die ausdrücklich durch Bundesgesetze vorgesehen sind, eingeschränkt sein.
9,5. Ein PD-Subjekt hat das Recht, seine Rechte und berechtigten Interessen zu verteidigen, einschließlich Schadensersatz und (oder) Schadensersatz vor Gericht.
9.6. Wenn ein PD-Betroffener der Meinung ist, dass das Beschäftigungszentrum seine PD unter Verletzung der Anforderungen des Bundesgesetzes „Über personenbezogene Daten“ bearbeitet oder anderweitig seine Rechte und Freiheiten verletzt, hat das PD-Subjekt das Recht, gegen die Handlungen oder Unterlassung des Beschäftigungszentrums bei der berechtigten Stelle Rechtsmittel einzulegen, um die Rechte von PD-Subjekten zu schützen gerichtliche Anordnung
10. INFORMATIONEN ÜBER DIE MASSNAHMEN, DIE DURCH DAS ARBEITSZENTRUM ERFÜLLT
DIREKTIERT, UM DIE UMSETZUNG DER VERPFLICHTUNGEN IM ZUSAMMENHANG MIT DER VERARBEITUNG PERSÖNLICHER DATEN ZU GEWÄHRLEISTEN
10.1. Das Employment Center erfüllt bei der Verarbeitung von PD seine Pflichten als PD-Betreiber, die im Bundesgesetz „Über personenbezogene Daten“ vorgesehen sind.
10.2. Das Beschäftigungszentrum ergreift die notwendigen und ausreichenden Maßnahmen, um die Erfüllung der Aufgaben zu gewährleisten, die in diesem Bundesgesetz und den entsprechend erlassenen Rechtsakten festgelegt sind.
10.3. Das Beschäftigungszentrum bestimmt selbstständig die Zusammensetzung und die Liste der Maßnahmen, die erforderlich und ausreichend sind, um die Erfüllung der Verpflichtungen zu gewährleisten, die in diesem Bundesgesetz und den entsprechend erlassenen Rechtsakten festgelegt sind, sofern nicht durch Bundesgesetze etwas anderes bestimmt ist.
11. INFORMATIONEN ÜBER DIE UMSETZUNG DER BESCHÄFTIGUNGSZENTREN VON MASSNAHMEN ZUM SCHUTZ PERSÖNLICHER DATEN IN DER VERARBEITUNG
11.1. Das Beschäftigungszentrum in der PD-Verarbeitung stellt sicher, dass die erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen ergriffen werden, um die PD vor unrechtmäßigem oder versehentlichem Zugriff auf sie zu schützen, zu zerstören, zu modifizieren, zu blockieren, zu kopieren, bereitzustellen oder zu verteilen, sowie vor anderen rechtswidrigen Handlungen bezüglich PDN.
11.2. Zum Schutz personenbezogener Daten setzt das Beschäftigungszentrum die Anforderungen für den Schutz personenbezogener Daten um, wenn diese in personenbezogenen Dateninformationssystemen verarbeitet werden, die von der Regierung der Russischen Föderation eingerichtet wurden.
11.3. Die Gewährleistung der PD-Sicherheit wird durch das Employment Center erreicht, insbesondere:
· Ermittlung von Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in der ISPDN der Arbeitsvermittlungsstelle;
· Einsatz organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung im ISPDN des Beschäftigungszentrums, die zur Erfüllung der Anforderungen an den Schutz personenbezogener Daten erforderlich sind und deren Erfüllung durch das von der Regierung der Russischen Föderation festgelegte Niveau des Schutzes personenbezogener Daten gewährleistet wird;
· Die Anwendung der Informationssicherheitsmaßnahmen in der vorgeschriebenen Weise;
· Bewertung der Wirksamkeit der vom Beschäftigungszentrum ergriffenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten vor der Inbetriebnahme des ISPDN des Beschäftigungszentrums;
· Unter Berücksichtigung der Maschinenträger der Beschäftigungsstelle;
· Feststellung von Fakten über den nicht autorisierten Zugang zu PDN und Ergreifen von Maßnahmen;
· Wiederherstellung von PDNs, die infolge eines nicht autorisierten Zugriffs auf sie geändert oder zerstört wurden;
· Festlegung von Regeln für den Zugang zu PDNs, die im SPDN des Beschäftigungszentrums verarbeitet werden, sowie Sicherstellung der Registrierung und Aufzeichnung aller auf dem PDN durchgeführten Aktionen im ISPDN des Beschäftigungszentrums;
· Kontrolle über die Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten und des Sicherheitsniveaus des ISPDN der Beschäftigungsstelle.
11.4. Informationen über Maßnahmen, die von der Beschäftigungsstelle zum Schutz personenbezogener Daten ergriffen werden, sind eingeschränkt.
12. Richtlinienänderung. Anwendbares Recht
12.1. Das Beschäftigungszentrum hat das Recht, Änderungen an dieser Richtlinie vorzunehmen.
12.2. Bei Änderungen in der Überschrift der Richtlinie wird das Datum der letzten Aktualisierung der Revision angegeben.
12.3. Die neue Version der Richtlinie tritt ab dem Zeitpunkt der Veröffentlichung auf der Website des Amurskaya Oblast Department of Employment in Kraft, sofern in der neuen Version der Richtlinie nichts anderes vorgesehen ist.
Was ist mit den Verarbeitungsmethoden für personenbezogene Daten und was mit personenbezogenen Daten verbunden?
Gemäß § 9 des Roskomnadzor-Ordens vom 19. August 2011, Nr. 706, umfassen die Methoden *:
- nicht automatisierte Verarbeitung personenbezogener Daten;
- ausschließlich automatisierte Verarbeitung personenbezogener Daten mit oder ohne Übertragung empfangener Informationen über das Netzwerk;
- gemischte Verarbeitung personenbezogener Daten (Anmerkung N 4).
Und zu den Handlungen gemäß Art. 3 des Bundesgesetzes vom 27.07.2006, Nr. 152-FZ. Zu personenbezogenen Daten gehören: *
- Klarstellung (Aktualisierung, Änderung);
- Verteilung (einschließlich Übertragung);
- die Vernichtung personenbezogener Daten.
Die Gründe für diese Position werden unten in den Materialien von „System Lawyer“ angegeben.
„Die Verarbeitung personenbezogener Daten ist jede Handlung (Vorgang) oder eine Reihe von Handlungen (Operationen) *, die unter Verwendung von Automatisierungswerkzeugen oder ohne Verwendung solcher Mittel mit persönlichen Daten durchgeführt werden, einschließlich Erfassung, Aufzeichnung, Systematisierung, Ansammlung, Speicherung, Verfeinerung (Aktualisierung, Änderung). Extraktion, Nutzung, Weitergabe (Verteilung, Bereitstellung, Zugriff), Entpersönlichung, Sperrung, Löschung, Vernichtung personenbezogener Daten “
"Das Feld" Liste der Aktionen mit persönlichen Daten, eine allgemeine Beschreibung der Methoden, die der Betreiber für die Verarbeitung personenbezogener Daten verwendet. "* Zeigt die Aktionen an, die der Operator mit persönlichen Daten ausführt, sowie eine Beschreibung der Methoden, die der Operator für die Verarbeitung personenbezogener Daten verwendet:
- nicht automatisierte Verarbeitung personenbezogener Daten;
- ausschließlich automatisierte Verarbeitung personenbezogener Daten mit oder ohne Übertragung empfangener Informationen über das Netzwerk;
- gemischte Verarbeitung personenbezogener Daten (Anmerkung N 4) Anmerkung N 4. Bei der automatisierten Verarbeitung personenbezogener Daten oder gemischter Verarbeitung muss angegeben werden, ob die bei der Verarbeitung personenbezogener Daten erhaltenen Informationen im internen Netzwerk der juristischen Person übermittelt werden (Informationen stehen nur für genau definierte Mitarbeiter der juristischen Person zur Verfügung ) oder die Informationen werden über das öffentliche Internet oder ohne die empfangenen Informationen übertragen. “
* So hervorgehobener Teil des Materials, mit dem Sie die richtige Entscheidung treffen können.
Begriffe, Nuancen und häufige Täuschungen - im Material der Experten des Sicherheitsdienstes der Firma "Onlanta" (in der Unternehmensgruppe LANIT enthalten).
Wir verstehen die juristische Terminologie und die Nuancen, für die Sie vor Gericht sein können.
Das wichtigste Gesetz, das die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten regelt, ist das Bundesgesetz vom 27. Juli 2006, Nr. 152-ФЗ „Über personenbezogene Daten“.
Der erste Begriff, der verstanden werden soll, sind personenbezogene Daten.
Dies sind alle Informationen, die zur Identifizierung einer Person verwendet werden können: zum Beispiel vollständiger Name, Geburtsdatum, Ausbildung, Einkommen und sogar Familienstand. Sie fragen: "Und was sind meine persönlichen Daten, die auf der Visitenkarte aufgedruckt sind?"
Antwort: "Ja". Es ist gesetzlich egal, ob nur Ihr Nachname auf der Visitenkarte oder in Kombination steht, z. B. mit Telefonnummer und Adresse. Sowohl die erste als auch die zweite und die dritte - personenbezogene Daten. Zwar muss die Speicherung von Visitenkarten oder Telefonnummern von Mädchen im Telefonbuch nicht per Gesetz beantwortet werden, sondern dazu weiter unten.
Mach weiter. Die Medien schreiben ständig "Speicherung persönlicher Daten". Richtig gesagt handelt es sich nicht um Speicherung, sondern um Verarbeitung personenbezogener Daten. Was ist der unterschied Die Speicherung ist nur ein Teil der sogenannten Verarbeitung personenbezogener Daten. Alle Aktionen, die Sie mit persönlichen Daten (Sammeln, Sammeln, Speichern, Übertragen, Ändern) durchführen, werden gesetzlich als "Verarbeitung personenbezogener Daten" bezeichnet.
Es ist wichtig zu verstehen, dass das Gesetz zwei Personen unterscheidet: den Betreiber und den Verarbeiter. Der Betreiber führt die Verarbeitung personenbezogener Daten durch und bestimmt auch den Zweck seiner Verarbeitung, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, die durchzuführenden Aktionen (Operationen) mit personenbezogenen Daten.
Ein Handler ist jemand, der alle Aktionen mit persönlichen Daten ausführt: Sammeln, Speichern, Organisieren, Sammeln, Aktualisieren, Aktualisieren, Löschen, Entpersönalten usw.
In der Tat ist der Verarbeiter nicht nur der Endbenutzer, der persönliche Daten für die Arbeit benötigt, sondern auch jeder Zwischenbenutzer, durch dessen Hände diese persönlichen Daten weitergegeben werden. In der Praxis zeigen.
Der Online-Shop verfügt über eine Kundendatenbank, die sich in der "Cloud" eines Drittunternehmens befindet. Eine Marketingagentur arbeitet mit dieser Basis. Frage: Wie viele Betreiber personenbezogener Daten haben wir?
Die richtige Antwort ist eins. Dies ist ein Online-Shop, der die Ziele der Verarbeitung personenbezogener Daten festlegt. Die zweite Frage lautet: Wie viele personenbezogene Datenverarbeiter haben wir? Die richtige Antwort ist zwei.
Personenbezogene Daten werden in vielen verschiedenen Einrichtungen verarbeitet, beispielsweise in Banken, Schulen, Kliniken, Visa-Zentren. Nicht zu vergessen die Webseiten, auf denen wir uns registrieren, und dabei unsere E-Mail-Adressen und Telefonnummern hinterlassen. Aber wie und wo genau?
Es gibt einen so dunklen Begriff wie "Informationssystem für personenbezogene Daten". Wenn Sie versuchen, es mit einfachen Worten zu erklären, handelt es sich um einen ganzen Komplex, der aus Datenbankservern, technischen Mitteln zur Gewährleistung ihrer Verarbeitung und Informationstechnologie besteht. In Übereinstimmung mit dem Gesetz muss jedes Informationssystem für personenbezogene Daten geschützt werden.
Die Methoden zum Schutz von Informationen sind unterschiedlich.
Eine Möglichkeit, Informationen zu schützen, ist die Personalisierung persönlicher Daten. Was ist das? In der Visazentrale erhält jede Person, die ein Visum beantragt, eine eigene Identifikationsnummer. Die Nummer selbst bezieht sich nicht auf personenbezogene Daten, da sie eine Person entpersönlicht: Es ist unmöglich, die Person zu identifizieren, die ein Visum beantragt hat.
Also mit der Terminologie geklärt. Nun sollten alle Unternehmensvertreter, insbesondere Einzelunternehmer, die nur wenige Mitarbeiter beschäftigen, die Frage ehrlich beantworten: "Verarbeite ich persönliche Daten?"
Ja, wenn Sie Inhaber einer Website sind, an der fünf Personen pro Woche teilnehmen, jedoch ein Feedback-Formular mit den Feldern "Name, E-Mail-Adresse, Telefonnummer" vorhanden ist. Informationen zu den Zwecken, für die Sie personenbezogene Daten sammeln, und wie Sie diese verwenden, sollten auf Ihrer Website angezeigt werden.
Ja, wenn Sie die personenbezogenen Daten Ihrer Angestellten oder von Dritten beauftragten Spezialisten bearbeiten.
Ja, wenn Sie mit Privatkunden zusammenarbeiten und ihre Passdaten für den Abschluss von Verträgen benötigen - dies gilt für Reisebüros, Fitnesscenter, verschiedene Dienstleistungsunternehmen, Online-Shops und andere.
Und wieder, ja, wenn Sie eine Haushaltsorganisation, eine politische Partei oder einen Kindergarten sind. Letztere haben nicht nur Informationen über das Kind, sondern auch über seine Eltern, einschließlich Arbeitsplatz und Arbeitsplatz. Ganz zu schweigen von den medizinischen Einrichtungen - es gibt eine Fülle von persönlichen sensiblen Informationen, die sicher aufbewahrt werden müssen.
Wenn Sie jedoch Daten für die persönliche Kommunikation ohne geschäftlichen Nutzen verwenden, gelten die gesetzlichen Bestimmungen nicht für Sie und es besteht keine strafrechtliche Haftung.
Wenn Sie beispielsweise Kontakte verwenden, die auf einer Visitenkarte, die Sie von einem Kollegen erhalten haben, oder Telefonnummern in einem Notizbuch auf einem Smartphone oder Informationen auf sozialen Netzwerken, verwenden, unterliegen Ihnen die Informationen in sozialen Netzwerken nicht der Verantwortung vor dem Gesetz.
Die Hauptsache ist, Daten nicht an Werbetreibende weiterzugeben und diese nicht ohne die Erlaubnis der Eigentümer von persönlichen Daten im öffentlichen Bereich zu veröffentlichen.
Herzlichen Glückwunsch, Sie sind der stolze Besitzer des Titels „Betreiber persönlicher Daten“. Das Wichtigste ist jetzt, genau zu verstehen, welche persönlichen Daten Sie verarbeiten. Weil es von der Kategorie der persönlichen Daten abhängt, wie die Daten geschützt werden müssen und welche Anforderungen erfüllt werden müssen. Die Kategorien sind im Bundesgesetz 152 und in der Regierungsentschließung vom 1. November 2012 N 1119 ausführlich beschrieben.
Allgemein verfügbare personenbezogene Daten: Daten aus offenen Ressourcen, die von den personenbezogenen Daten oder mit deren Zustimmung veröffentlicht werden. Öffentlich verfügbare Daten sind Daten aus den Medien oder aus dem Internet.
Beispiel: Informationen, die im Open Access in sozialen Netzwerken oder auf der Unternehmenswebsite bereitgestellt werden. Telefonnummer und Familienstatus im öffentlichen Zugang zu Facebook veröffentlicht. Der Name des Arbeitnehmers und seine Position auf der Website des Arbeitgebers.
Biometrische personenbezogene Daten: Diese Kategorie umfasst alle Daten zu den physiologischen und biologischen Eigenschaften von Menschen.
Beispiel: Gewicht, Größe, Augen- oder Haarfarbe, Haarlänge, Blutgruppe, Foto.
Personenbezogene Daten einer besonderen Kategorie: Dazu gehören Informationen über die Zugehörigkeit zu einer Rasse und Nation, politische Ansichten, religiöse und philosophische Überzeugungen, Gesundheitszustand oder das intime Leben.
Beispiel: medizinische Diagnose (Informationen darüber, was Sie wann krank waren, wann Sie mit Ihrem Arzt behandelt wurden).
Personenbezogene Daten anderer Art - dazu gehören personenbezogene Daten, die nicht in den oben genannten Kategorien enthalten sind.
Beispiel: Unternehmensinformationen. Abrechnungskarten für Mitarbeiter, die Informationen enthalten, mit denen HR und Buchhaltung arbeiten: Gehalt, Urlaubszeiten, Beschäftigungsdatum.
Wenn Sie sich für die Kategorie der persönlichen Daten entschieden haben, müssen Sie die genaue Datenmenge kennen, die Sie verarbeiten: bis zu 100.000 oder mehr als 100.000.
Finden Sie die Kategorie und Menge heraus, bestimmen Sie die Art der Bedrohung:
Bedrohung Nummer 1. "Löcher" und Schwachstellen im Betriebssystem. Beispiel: Schwachstellen, mit denen Hacker das Betriebssystem infiltrieren, um Informationen zu stehlen.
Bedrohungen Nummer 2. "Löcher" und Schwachstellen in der Anwendungssoftware, dh in der Software, die in Ihrer täglichen Arbeit verwendet wird. Beispiel: Word, Excel.
Bedrohungen Nummer 3. Alle anderen Bedrohungen, die nicht in den ersten beiden Typen aufgeführt sind. Vor allem der menschliche Faktor. Ein Mitarbeiter kann ein Dokument auf einem nicht gesperrten Computer geöffnet lassen, ein Dokument zum Drucken an den Drucker einer anderen Person oder per E-Mail senden.
Die Menge der persönlichen Daten, die Kategorie, die Art der Bedrohungen - zusammen können Sie feststellen, welche Sicherheitsstufe für Ihr Informationssystem erforderlich ist. Es gibt jetzt vier Schutzstufen.
Das erste und höchste Schutzniveau wird am häufigsten für die Verarbeitung personenbezogener Daten in Regierungsbehörden und medizinischen Einrichtungen verwendet. Die vierte Schutzstufe ist am einfachsten zu erbringen, manchmal reicht es aus, organisatorische Regulierungsmaßnahmen durchzuführen, hauptsächlich geht es um den Schutz öffentlich zugänglicher Daten.
Sie können den Schutzgrad anhand dieser Tabelle bestimmen.
Das Krankenhaus verarbeitet die persönlichen Daten seiner Patienten - dies sind die persönlichen Daten einer besonderen Kategorie. Es verarbeitet auch personenbezogene Daten von Mitarbeitern - dies sind personenbezogene Daten einer anderen Kategorie. Höchstwahrscheinlich hat das Krankenhaus zwei Datenbanken. Wenn Sie beide Datenbanken zusammenfassen, erhalten Sie die Gesamtmenge der persönlichen Daten, die sich im Informationssystem dieses Krankenhauses befinden.
Zum Beispiel alle - bis zu 100 Tausend. Als Nächstes betrachten wir, wie Daten verarbeitet werden: automatisiert (in einem Computer) oder nicht automatisiert (in einem manuellen Archiv). Wenn alles automatisiert ist, schauen wir uns an, welche Software das Krankenhaus verwendet, welche Schwachstellen es hat.
Darauf aufbauend werden Bedrohungen und ihr Level identifiziert. Wir addieren alle Faktoren und erhalten die Schutzklasse der zweiten Stufe. Wir schauen uns an, was die Anforderungen des Gesetzes für die zweite Sicherheitsstufe sind. Aufgrund dieser Anforderungen muss ein Schutz für ein Informationssystem geschaffen werden, um die Anforderungen des Bundesgesetzes zu erfüllen.
Warum sollte man sich überhaupt um den Schutz personenbezogener Daten kümmern? Persönliche Daten sind auf dem Schwarzmarkt teuer. Betrüger sind bereit, beeindruckende Beträge für ein Profil zu zahlen, das alle Details der Krankenakte einer Person enthält. Separater Markt - Verkauf von Bankkartendetails; Konten in sozialen Netzwerken.
Die Folgen eines Datenverlusts sind unterschiedlich. Die Daten können im Internet öffentlich verfügbar sein: Sie können beispielsweise gestohlene Datenbanken mit Adressen und Telefonnummern von Kunden von Unternehmen im Netzwerk leicht finden. Wenn Sie den Vor- und Nachnamen kennen, kann jeder die Wohnadresse einer Person erfahren, sich im sozialen Netzwerk anmelden, ein Profil anzeigen oder einfach eine SMS an ein Mobiltelefon schreiben.
Personenbezogene Daten können in die Datenbank von lästigen Mailings einer kommerziellen Organisation gelangen, und ihr Besitzer wird mit unaufgefordert angebotenen Serviceangeboten überschüttet. Sie können auch von Online-Betrügern in Online-Casinos oder zum Öffnen einer elektronischen Geldbörse verwendet werden.
Im schlimmsten Fall kann ein Angreifer sich als eine andere Person ausgeben und den Namen einer anderen Person anerkennen. Zu den schwerwiegendsten Folgen von Datenlecks gehören: illegale Handlungen mit Immobilien, Diebstahl von Geld von Bankkarten, Erpressung von Angehörigen und Registrierung eines Unternehmens.
Verstehen Sie die Wichtigkeit der Frage und sind Sie bereit, Verantwortung zu tragen? Das ist richtig Denn die Verantwortung für die Sicherheit persönlicher Daten liegt vollständig beim Betreiber.
Dies bedeutet, dass der Betreiber dafür sorgen muss, dass die Informationen nicht in den öffentlichen Zugang gelangen oder in die Hände von Dritten gelangen, die keine Rechte daran haben. Dies erfordert eine ständige Überwachung und Verhinderung von Bedrohungen der Datensicherheit, die Kontrolle der Informationssicherheit und deren Wiederherstellung im Falle eines Verlusts.
In unserem Land überwacht Roskomnadzor die Einhaltung der gesetzlichen Bestimmungen im Bereich der Verarbeitung personenbezogener Daten. Dieses Gremium reagiert auf Beschwerden und regelt die Beziehungen zwischen Subjekten und Betreibern.
Die technischen Anforderungen an den Informationsschutz liegen in der Verantwortung des FSTEC und des FSB: Sie entwickeln Anforderungen und kontrollieren deren Umsetzung.
Nun ist es an der Zeit, die Tabellen mit den Anforderungen an den technischen Schutz personenbezogener Daten zu studieren. Details finden Sie in der Bestellung des Eidgenössischen Dienstes für technische Kontrolle und Exportkontrolle vom 18. Februar 2013 N 21.
Aber fang doch wenigstens damit an:
Viele Websitebesitzer gehen davon aus, dass es keine rechtlichen Probleme gibt, wenn ein Besucher auf die Schaltfläche "Ich stimme der Verarbeitung personenbezogener Daten zu" klicken, und die Datenverarbeitung fällt automatisch in den rechtlichen Bereich. Es ist nicht so.
Aus rechtlicher Sicht gibt es nur zwei Möglichkeiten, um Ihre Zustimmung zur Verarbeitung personenbezogener Daten zu bestätigen: eine Unterschrift auf Papier oder eine elektronische digitale Unterschrift.
In allen anderen Fällen kann der Websitebesitzer nicht bestätigen, wer die Schaltfläche "Ich stimme zu" gedrückt hat, wenn der Fall vor Gericht geht. Man kann nur hoffen, dass der Betroffene, der auf Ihre Website kam, freiwillig seine Daten übermittelt und keine Beschwerde einreicht.
Ja, Schecks können von Roskomnadzor stammen.
Roskomnadzor veröffentlicht jährlich eine Liste von Prüfungen selektiv aus der Liste der registrierten Betreiber. Wenn ein Unternehmen in die Liste der Prüfungen aufgenommen wird, ist die nächste geplante Prüfung frühestens nach drei Jahren möglich. Ob Ihr Unternehmen in diesem Jahr auf der Liste steht, können Sie hier sehen.
Off-Plan-Prüfungen werden in der Regel durch Reklamationen verursacht. Wenn die Prüfung nicht geplant ist, sollten Sie innerhalb von 24 Stunden schriftlich darüber informiert werden.
Es kann auch Dokumentationsprüfungen geben. Bei der Dokumentation senden Sie eine Liste der Dokumente, von denen Kopien an Roskomnadzor gesendet werden müssen.
Manchmal führt Roskomnadzor Inspektionen vor Ort durch: Inspektoren besuchen persönlich das Unternehmen vor Ort.
Die Vorbereitung auf eine dieser Prüfungen ist eine zeitaufwändige Aufgabe. Lösen Sie die Vorbereitungsarbeiten für die Inspektion selbst oder ziehen Sie externe Spezialisten hinzu, müssen Sie zunächst bestimmen, wer im Unternehmen für die Einhaltung der FZ-152 verantwortlich ist.
Für die Verletzung der 152-FZ wird eine zivil-, strafrechtliche, verwaltungs- und disziplinarische Haftung übernommen.
So führte Roskomnadzor eine Inspektion durch, wenn er Unstimmigkeiten mit dem Gesetz feststellte, wird er dem Untersuchungsausschuss einen Befehl erteilen, ein Verfahren wegen Verstoßes gegen das Gesetz „Über personenbezogene Daten“ durchzuführen.
Danach beginnt die Staatsanwaltschaft mit einer Inspektion, bei der sie die Aktivitäten des Unternehmens aussetzen kann: Entzug der Datenbank des Unternehmens, insbesondere der Computer, auf denen die personenbezogenen Daten verarbeitet wurden.
Rechtsverletzer warten in erster Linie auf Geldbußen. Die Höhe der Geldbußen hängt von der Straftat ab. Für die Verarbeitung personenbezogener Daten ohne die schriftliche Erlaubnis der Unternehmen müssen juristische Personen daher verwaltungsrechtliche Haftung übernehmen.
Selbst wenn der Betreiber bereit ist, eine Geldbuße zu zahlen, aber nach den Maßstäben des großen Geschäfts scheint es nicht riesig, muss der Täter die Inkonsistenz jedoch vor dem Gesetz beseitigen (z. B. die gespeicherten Daten löschen) und Roskomnadzor benachrichtigen.
Das schlimmste Szenario ist, wenn Roskomnadzor beschließt, die Lizenz des Unternehmens zu widerrufen, der Verarbeitung von personenbezogenen Daten durch Unternehmen zu untersagen und die personenbezogenen Daten unrechtmäßig bei Bürgern zu veröffentlichen.
In den letzten Jahren war der lauteste Skandal in Russland mit der Blockierung von LinkedIn verbunden, deren Eigentümer beschuldigt wurden, persönliche Daten von Bürgern ohne ihre Zustimmung auf Servern außerhalb der Russischen Föderation zu verarbeiten. Die Sperrung des autonum.info-Dienstes war ebenfalls "Geräusche gemacht".
Sie können die Verarbeitung personenbezogener Daten selbstständig oder mit Hilfe eines Unternehmens organisieren, das einen solchen Dienst bereitstellt.
Wenn Sie sich entscheiden, persönliche Daten selbst zu verarbeiten, benötigen Sie:
Im besten Fall dauert es drei bis vier Monate, auf Kosten einer solchen Implementierung können es 200 bis 300 Tausend Rubel sein - dies sind die Kosten für den Kauf von Ausrüstung und Lizenzen. Die Arbeitskosten und die weitere Unterstützung des Informationssystems sind ein gesonderter Ausgabenposten. Sie benötigen außerdem einen Administrator, der den Betrieb des Systems überwacht.
Objektiv betrachtet, erfüllen sehr kleine Unternehmen einfach nicht alle gesetzlichen Anforderungen in der Hoffnung, dass es keine Überprüfung gibt. Vielleicht wird es wirklich nicht. Andere Unternehmen schaffen „Potemkin-Dörfer“ nur, indem sie so tun, als würden sie personenbezogene Daten gemäß den gesetzlichen Bestimmungen verarbeiten, dh sie kaufen die erforderlichen Dokumente.
Im nächsten Artikel zeigen wir Ihnen, wie Sie die Kosten für die Verarbeitung personenbezogener Daten in einem Unternehmen berechnen können, und teilen Ihnen mit, wann die Verarbeitung personenbezogener Daten rentabler ist und wann es besser ist, sie in der Cloud zu hinterlegen.
Das Material wird vom Benutzer veröffentlicht. Klicken Sie auf die Schaltfläche "Schreiben", um Ihre Meinung zu äußern oder über Ihr Projekt zu sprechen.
Das Bundesgesetz der Russischen Föderation Nr. 152-ФЗ „Über personenbezogene Daten“ wurde am 27. Juli 2006 verabschiedet und blieb vor dem Hintergrund anderer noch ausstehender Ereignisse des vergangenen Jahres nahezu unbemerkt. Der formale Grund für seine Annahme waren die zahlreichen Tatsachen des Diebstahls persönlicher Datenbanken in staatlichen und kommerziellen Strukturen und deren weit verbreiteter Verkauf. Der Hauptzweck der Annahme dieses Gesetzes bestand in der Tat darin, bestimmte Handelshemmnisse mit den Ländern der Europäischen Union zu beseitigen.
Frankreich verbot die Veröffentlichung von Fakten zum Datenschutz und verhängte 1858 Geldbußen für Verstöße.
Das norwegische Strafgesetzbuch verbot 1889 die Veröffentlichung von Informationen über "persönliche oder private Angelegenheiten".
Inländisches Recht „Zu personenbezogenen Daten“ vom 27. Juli 2006 Nr. 152-FZ nahm seine Tätigkeit am 26. Januar dieses Jahres auf (gemäß Artikel 25 Teil 1 tritt das Gesetz 180 Tage nach der offiziellen Veröffentlichung am 29. Juli 2006 in Kraft) in der "Rossiyskaya Gazeta").
Gemäß der EU-Richtlinie 95/46 / EG können personenbezogene Daten nur in Länder übermittelt werden, die dasselbe Schutzniveau wie in Europa bieten. Dies behinderte den Informationsaustausch zwischen europäischen Regierungsbehörden und Unternehmen mit ihren ausländischen Partnern erheblich und machte viele kommerziell vielversprechende Projekte unmöglich. Solche Einschränkungen erlebten nicht nur Russland und die Länder der Dritten Welt, sondern auch ein wirtschaftliches Monster wie die Vereinigten Staaten. Daher hat unsere Regierung beschlossen, diese Barriere zu überwinden. Mal sehen, wie er es gemacht hat und was es uns alle kosten wird.
Die Verabschiedung des russischen Gesetzes über personenbezogene Daten war das Ergebnis des Beitritts der Russischen Föderation zum Europäischen Übereinkommen von 1981 "Über den Schutz der Person bei der automatischen Verarbeitung personenbezogener Daten", das die Grundprinzipien für den Schutz personenbezogener Daten in europäischen Ländern definiert. In diesem Übereinkommen und den nachfolgenden Richtlinien der Europäischen Union wurden die Aufgaben dargelegt, die die nationalen Rechtsvorschriften bei der Regulierung personenbezogener Daten erfüllen sollten:
Unser Gesetz wiederholt weitgehend die wichtigsten Bestimmungen der europäischen Gesetzgebung in diesem Bereich, der als einer der härtesten der Welt gilt. Obwohl im Jahr 2006 oft über das Gesetz gesprochen wurde, haben nur wenige den Inhalt seiner Bestimmungen sorgfältig gelesen. Um jedoch die Einhaltung der Anforderungen zu gewährleisten, muss die Arbeit mit Informationen und Dokumentationen, die persönliche Daten enthalten, erheblich geändert werden. Versuchen wir herauszufinden, was es Neues in der Verwaltung von Dokumenten und Informationen in der Organisation gibt.
Lassen Sie uns nun näher auf die wichtigsten Bestimmungen des Gesetzes eingehen und beurteilen, welche Organisationen und Institutionen zur Umsetzung des Gesetzes erforderlich sind. Darüber hinaus werden wir versuchen, einige Bestimmungen des Gesetzes hinsichtlich der Richtigkeit und Klarheit ihres Wortlauts zu analysieren.
Die allererste Frage: Für wen gilt dieses Gesetz? Wenn wir darauf antworten, können wir mit Sicherheit sagen, dass es ausnahmslos für jeden gilt (für staatliche Institutionen, juristische Personen und Einzelpersonen). Hier ist eine Liste von Artikel 1:
Die zweite wichtige Frage ist der Geltungsbereich des Gesetzes.
Artikel 1 des Bundesgesetzes der Russischen Föderation "Über personenbezogene Daten" Nr. 152-FZ vom 27. Juli 2006
Dieses Bundesgesetz regelt die Beziehungen, die mit der Verarbeitung personenbezogener Daten verbunden sind... unter Verwendung von Automatisierungswerkzeugen oder ohne Verwendung solcher Mittel, wenn die Verarbeitung personenbezogener Daten ohne Verwendung derartiger Mittel der Art der Aktionen (Operationen) entspricht, die mit personenbezogenen Daten unter Verwendung von Automatisierungsmitteln ausgeführt werden.
Der Wortlaut dieses Artikels ist ein Beispiel dafür, wie man Gesetze nicht schreibt. Es stellte sich etwas Unverständliches heraus, das verschiedene Interpretationen zuließ. Wie kann auf der Grundlage eines solchen Textes zum Beispiel die Frage beantwortet werden, ob die in einem Business-Notebook in freier Form erfassten Daten in den Geltungsbereich des Gesetzes fallen? Wird ein solches Notebook in einem Computer oder in einem Mobiltelefon gespeichert, wird es als "Verwendung von Automatisierungsgeräten" betrachtet?
Die europäische Gesetzgebung in dieser Hinsicht ist klarer:
EU-Richtlinie 95/46 / EG 1995
Artikel 2 "Begriffsbestimmungen":
(c) „Personal Data Storage System“ 4 („Speichersystem“) ist ein strukturierter Satz personenbezogener Daten, auf den nach bestimmten Kriterien zugegriffen werden kann - unabhängig davon, wie der Datensatz organisiert ist, ob zentral, dezentral oder verteilt funktionell oder geografisch
Artikel 3 "Geltungsbereich":
1. Diese Richtlinie bezieht sich auf die Verarbeitung personenbezogener Daten mit automatischen Mitteln (ganz oder teilweise) sowie auf die Verarbeitung mit anderen Mitteln als automatischen, personenbezogenen Daten oder Komponenten, die Teil des Speichersystems sein sollen.
In der modernen Computer-Terminologie bedeutet "strukturierte Daten" vor allem Datenbanken. In der Dokumentation enthalten sie Kartendateien und Archive mit persönlichen Dateien. Zu den europäischen Anforderungen gehören daher:
Warum es unmöglich war, auf Russisch zu schreiben, und in unserem Gesetz bleibt unverständlich?
Auf den Unterschied in der Terminologie ist zu achten: "Automatische Verarbeitung" ist eine Sache und die Verarbeitung unter Verwendung von Automatisierungsgeräten ist ein völlig anderes Konzept, viel breiter und unbestimmter.
Das Gesetz sieht nur vier Ausnahmen vor. Das Gesetz gilt nicht für Beziehungen, die entstehen:
Einer dieser Punkte erfordert detailliertere Studien. Zu Beginn zitieren wir das Gesetz:
Artikel 1 des Bundesgesetzes der Russischen Föderation "Über personenbezogene Daten" Nr. 152-FZ vom 27. Juli 2006
2. Dieses Bundesgesetz gilt nicht für Beziehungen, die sich ergeben aus:
2) Organisation der Speicherung, Beschaffung, Buchhaltung und Nutzung, einschließlich personenbezogener Daten von Dokumenten des Archivfonds der Russischen Föderation und anderer Archivdokumente gemäß den Rechtsvorschriften über Archive in der Russischen Föderation.
Wir erinnern Sie an zwei Definitionen, die in dem Gesetz "Über Archivangelegenheiten in der Russischen Föderation" Nr. 125-d d vom 22.10.2005 verankert sind:
Hier ist ein Beispiel, wie das gemacht werden kann. Gemäß dem Bundesgesetz „Über archivische Angelegenheiten in der Russischen Föderation“ (Artikel 18 Teil 2) billigt die Regierung der Russischen Föderation die Liste der föderalen Exekutivorgane und Organisationen, die die Hinterlegung von Dokumenten des Archivfonds der Russischen Föderation verwahren, die sich in bundesstaatlichem Besitz befinden. Eine neue Liste von fünf dieser Abteilungen und Organisationen wurde Ende 2006 genehmigt. Gleichzeitig wurden diese Organisationen beauftragt, mit Rosarkhiv eine Vereinbarung über die Aufbewahrungsbedingungen von Dokumenten zu treffen. Wenn bei Vertragsschluss ausdrücklich festgelegt ist, dass alle Dokumente mit Ausnahme der operativen Dokumente als zur Verwahrung übertragene Dokumente betrachtet werden, kann der Großteil der Dokumente unter diese Ausnahme gestellt werden.
Für andere staatliche Organisationen könnte eine der Optionen die sofortige Genehmigung von Akten mit staatlichen Archiven sein, was tatsächlich die Aufnahme von Dokumenten in den Archivfonds der Russischen Föderation und das erneute Verlassen der „Aktionszone“ des Gesetzes über persönliche Daten bedeuten würde.
Die Richtlinien der Europäischen Union enthalten keine solche Ausnahme, sie ist jedoch beispielsweise im US-Code 6 enthalten, der eine korrektere Formulierung enthält, die keine Mehrdeutigkeit zulässt: Das Gesetz über personenbezogene Daten gilt im Allgemeinen nicht für Dokumente, die bereits in staatlichen Archiven hinterlegt sind, sondern gilt für Dokumente, die von einer Depotbehörde in das Staatsarchiv übertragen werden.
Es ist auch unklar, warum unser Gesetz aus unseren zahlreichen staatlichen Datenbanken eine Ausnahme für das Unified State Register of Individual Entrepreneurs (EGRIP) gemacht hat. Es ist daher logisch, die Ausnahme auf andere staatliche Register auszudehnen, die auch personenbezogene Daten enthalten (z. B. enthält die Gründung Informationen über die Gründer und Erstpersonen aller juristischen Personen des Landes).
Personenbezogene Daten - alle auf der Grundlage dieser Informationen ermittelten oder bestimmten Informationen über eine natürliche Person (Gegenstand der personenbezogenen Daten), einschließlich Nachname, Vorname, Bevollmächtigter, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, soziales Eigentum, Eigentumsstatus, Bildung, Beruf, Einkommen und sonstige Informationen (gemäß Artikel 3 des Gesetzes über personenbezogene Daten).
Das Gesetz sieht folgende Methoden zur Verarbeitung personenbezogener Daten vor (für einige davon sind ausführliche Erklärungen in Artikel 3 enthalten):
Besondere Aufmerksamkeit sollte solchen Verarbeitungsmethoden wie dem Sperren und der Vernichtung personenbezogener Daten gewidmet werden. Das Gesetz sagt recht gut über die Zerstörung aus - dies ist der Ansatz, der nun von in- und ausländischen Standards empfohlen wird. In Bezug auf die Sperrung personenbezogener Daten wurde diese Methode der Verarbeitung in der häuslichen Praxis zum ersten Mal eingeführt, und ihre Ausführung kann die Lebensdauer von Organisationen mit zuvor entwickelten Informationssystemen und Datenbanken, in denen eine solche Operation nicht vorgesehen ist, erheblich verkürzen.
Die gesetzlichen Bestimmungen zielen in erster Linie darauf ab, die illegale Erhebung und Verwendung personenbezogener Daten zu verhindern. Dieser Wunsch des Gesetzgebers hat zur Entstehung einer neuen Position für die Aufzeichnungspraxis geführt:
Artikel 5 Absatz 2 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ
Personenbezogene Daten sollten in einer Form gespeichert werden, die es ermöglicht, das Thema zu bestimmen, und zwar nicht mehr, als es die Verarbeitungsziele erfordern, und sollten bei Erreichen der Ziele der Verarbeitung personenbezogener Daten oder des Verlusts der Notwendigkeit, diese zu erreichen, zerstört werden.
In diesem Fall legt das Gesetz zum ersten Mal vielleicht für Informationen und Dokumente die maximale und darüber hinaus bedingte Lagerungsdauer fest - „bei der Erreichung von Verarbeitungszielen“. Organisationen müssen Aufbewahrungsfristen für Dokumente festlegen, die personenbezogene Daten enthalten, und es ist notwendig, sich vorher über die Gründe für die ausgewählten Aufbewahrungsfristen Gedanken zu machen. Dies ist eine ziemlich komplizierte Frage, die viele Kontroversen und Probleme verursachen kann.
Darüber hinaus müssen DOE-Spezialisten Folgendes beachten: Da die gesetzlich vorgeschriebenen Ziele für die Erhebung und Verarbeitung personenbezogener Daten vor Beginn der Arbeit festgelegt werden müssen, muss deren Formulierung sorgfältig geprüft werden. Andernfalls kann sich die Organisation selbst „ersetzen“: Die Ziele werden erfüllt, und persönliche Daten werden nicht zerstört.
Für Organisationen, die personenbezogene Daten erheben und verarbeiten, ist das unangenehmste die Anforderung von Artikel 6 hinsichtlich der Notwendigkeit, die Zustimmung des Subjekts zur Verarbeitung einzuholen. Eine Einwilligung ist nur in folgenden Fällen erforderlich:
Wir haben bereits eine Reihe von Bundesgesetzen, in denen die Verarbeitung personenbezogener Daten beschrieben wird, beispielsweise bei der Führung der Unified State Registries of Taxpayers (EGRN) und von juristischen Personen (USR). Die einzige Voraussetzung für die Anwendung der Ausnahme von der allgemeinen Einwilligungspflicht ist, die folgenden Fragen in den einschlägigen Rechtsvorschriften zu formulieren:
Es ist noch nicht klar, was mit den Gesetzen geschieht, die Normen enthalten, die mit der Erhebung und Verarbeitung personenbezogener Daten in Zusammenhang stehen, die genannten Bedingungen jedoch nicht erfüllen.
Die erste auf die Probleme, die mit der Einhaltung des neuen Gesetzes verbunden sind, lenkte die Aufmerksamkeit der Versicherungsunternehmen auf. Nach ihrer Auffassung kann das Gesetz über personenbezogene Daten die Umsetzung des Gesetzes über die Kfz-Haftpflichtversicherung (MTPL) aufgrund des Verbots der Weitergabe der beim Abschluss des MTPL-Vertrags erhaltenen personenbezogenen Daten des Kunden an Dritte ohne dessen Zustimmung erheblich behindern. Infolgedessen kann das Versicherungsunternehmen keine vollständigen Informationen über seine Kunden aus einer einzigen Datenbank abrufen (und die Verwaltung einer solchen Datenbank ist ebenfalls fragwürdig). In dieser Situation nehmen die Risiken der Versicherer zu.
Versicherungen versuchen bereits, dieses für sie wichtige Problem zu lösen, indem sie die folgenden Optionen in Betracht ziehen:
§ 6 des Artikels 6 zur Erteilung des Rechts zur Verarbeitung personenbezogener Daten an Journalisten, Wissenschaftler und Vertreter anderer kreativer Berufe ohne Zustimmung des Subjekts ist zweifelhaft. Es ist durchaus realistisch (vor allem in kommerziellen Strukturen), eine Vollzeitstelle als „Vertreter des kreativen Berufs“ einzurichten und alle Datenbanken mit persönlichen Informationen zu „schreiben“.
Beispielsweise wird in England in einer ähnlichen Gesetzesbestimmung zusätzlich festgelegt, dass in diesem Fall der Zweck der Datenverarbeitung die Veröffentlichung des betreffenden Materials sein sollte; dass eine solche Veröffentlichung im öffentlichen Interesse sein muss (einschließlich der Ausübung des Rechts auf Selbstdarstellung eines Vertreters des kreativen Berufs) 9.
Außerdem ist es interessant, wie wir bestimmen, wer Journalist oder Schriftsteller ist und wer nicht. Es ist kein Geheimnis, dass viele der Schreibbrüder nicht über die entsprechenden Diplome oder offiziellen Ausweise verfügen. Hier mag der in den USA verwendete Ansatz nützlich sein: Journalisten erkennen alle, die Artikel für den öffentlichen Vertrieb verfassen, auch wenn sie nur im Internet veröffentlicht werden.
In den Vereinigten Staaten begann im Januar 2007 das Gerichtsverfahren gegen die Regierung des ehemaligen hochrangigen George Bush Lewis "Scooter" Libby. Im Gerichtssaal waren einhundert Sitze für die Presse vorgesehen, von denen zwei offiziell von den Autoren der Internet-Tagebücher empfangen wurden.
Die American Society of Newspaper Editors schlägt bei der Ausarbeitung eines Bundesgesetzes über die Gewährung von Rechten an Journalisten vor, vertrauliche Informationen während eines Gerichtsverfahrens nicht offenzulegen. Dieses Gesetz gilt ausnahmslos für alle und gilt für diejenigen, die Informationen zur weiteren Verbreitung sammeln. Unter diese Definition fallen auch die Autoren von Internet-Tagebüchern, „Blogger“ 10.
Nun wollen wir sehen, wie das neue Gesetz die Einwilligung des Subjekts zur Verarbeitung seiner persönlichen Daten beinhaltet.
Artikel 9 Absatz 1 des Bundesgesetzes der Russischen Föderation über personenbezogene Daten vom 27. Juli. 2006 Nr. 152-FZ
Der Gegenstand personenbezogener Daten entscheidet über die Bereitstellung seiner personenbezogenen Daten und stimmt deren Verarbeitung aus eigenem Willen und in seinem eigenen Interesse zu... Die Zustimmung zur Verarbeitung personenbezogener Daten kann durch den Gegenstand personenbezogener Daten widerrufen werden.
Darüber hinaus enthält Artikel 9 Absatz 3 eine ziemlich unangenehme Bedingung für die Betreiber. Sie müssen entweder den Nachweis erbringen, dass die von ihnen gesammelten Daten aus öffentlich zugänglichen Quellen stammen, oder sie müssen die Zustimmung der betroffenen Person einholen und dieses Dokument speichern, falls der „Subjekt“ beschließt, den Betreiber wegen Verletzung seiner Rechte zu verklagen.
Mit öffentlich zugänglichen Daten ist das auch nicht so einfach. In Artikel 8, der definiert, was mit öffentlich zugänglichen Quellen personenbezogener Daten (Nachschlagewerke, Adressbücher usw.) gemeint ist, wird betont, dass personenbezogene Daten nur dort mit schriftlicher Zustimmung des Betreffs enthalten sein dürfen. Darüber hinaus können "Informationen über den Gegenstand personenbezogener Daten jederzeit auf Antrag des Gegenstands personenbezogener Daten oder durch ein Gericht oder andere autorisierte staatliche Stellen von öffentlich zugänglichen Quellen personenbezogener Daten ausgeschlossen werden."
Wenn eine Organisation dagegen bei der Erhebung von Informationen öffentlich verfügbare Quellen personenbezogener Daten verwendet, müsste sie dokumentieren, wo sie diese Informationen erhalten hat, und sicherstellen, dass die „Quelle“ die gesetzlich vorgeschriebene schriftliche Zustimmung hat.
Bundesgesetz der Russischen Föderation "Über personenbezogene Daten" vom 27. Juli 2006 Nr. 152-FZ
Paragraph 12 des Artikels 3. Grundlegende Begriffe in diesem Bundesgesetz
Allgemein zugängliche personenbezogene Daten sind personenbezogene Daten, auf die eine unbegrenzte Anzahl von Personen mit Zustimmung des Themas personenbezogene Daten zugreifen kann oder auf die das Erfordernis der Vertraulichkeit gemäß den Bundesgesetzen nicht anwendbar ist.
Artikel 8 Absatz 1. Allgemein zugängliche Quellen personenbezogener Daten
Zur Informationsunterstützung können öffentlich zugängliche Quellen personenbezogener Daten (einschließlich Nachschlagewerken, Adressbüchern) erstellt werden. Öffentlich verfügbare Quellen personenbezogener Daten mit schriftlicher Zustimmung des Betreffenden personenbezogener Daten können seinen Nachnamen, Vornamen, Vornamen, Geburtsjahr und Geburtsort, Adresse, Teilnehmernummer, Angaben zum Beruf und andere personenbezogene Daten enthalten, die vom Betreff personenbezogener Daten bereitgestellt werden.
Klausel 3 des Artikels 9. Einwilligung in Bezug auf die Verarbeitung personenbezogener Daten in Bezug auf die Verarbeitung personenbezogener Daten
Die Verpflichtung zum Nachweis des Einverständnisses des Patienten mit personenbezogenen Daten in die Verarbeitung seiner personenbezogenen Daten sowie der Verarbeitung öffentlich zugänglicher personenbezogener Daten ist der Betreiber verpflichtet, den Nachweis zu erbringen, dass die verarbeiteten personenbezogenen Daten öffentlich verfügbar sind.
Es stellt sich heraus, dass Organisationen sich selbst schützen müssen, um die offizielle Bestätigung jedes Bürgers zu verlangen.
Wie soll die schriftliche Zustimmung des Subjekts eingereicht werden? Es stellt sich heraus, dass die Unterschrift eines Bürgers unter dem allgemeinen Satz "Ich stimme der Erhebung und Verarbeitung meiner persönlichen Daten zu" nicht ausreicht.
Artikel 9 Absatz 4 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ
Das schriftliche Einverständnis der Person mit personenbezogenen Daten zur Verarbeitung ihrer personenbezogenen Daten sollte Folgendes umfassen:
Dies bedeutet, dass der Bediener, bevor er den Gegenstand der personenbezogenen Daten „einfängt“ und versuchen will, seine Einwilligung einzuholen, eine spezielle Form des Dokuments entwickeln muss, die alle erforderlichen Informationen enthält.
Zunächst ist der Gegenstand der persönlichen Daten berechtigt, folgende Informationen zu erhalten:
Vom Betreiber kann der Gegenstand personenbezogener Daten verlangen:
Viele Schwierigkeiten für Betreiberorganisationen führen zu Artikel 14 Absatz 2 des Gesetzes, der vorsieht, dass der Betreiber dem Betreiber Informationen über die Verfügbarkeit personenbezogener Daten in einer zugänglichen Form zur Verfügung stellt und keine Informationen enthält, die sich auf andere personenbezogene Daten beziehen.
Die im Dezember 2003 vor dem Court of Appeal in England behandelte Rechtssache „Durant vs. Financial Services Authority“ 11 erhielt eine breite Antwort. Die Entscheidung des Gerichts hat die Auslegung des Begriffs "personenbezogene Daten" erheblich eingeschränkt. Das Gericht wies insbesondere darauf hin, dass die bloße Erwähnung dieser Person im Text des Dokuments nicht ausreicht, um das Dokument zu berücksichtigen, das personenbezogene Daten enthält. Darüber hinaus bestätigte das Gericht, dass das Recht auf Zugang zu ihren personenbezogenen Daten nicht die Rechte Dritter verletzen darf und dass dementsprechend personenbezogene Daten von Dritten aus den Kopien der auf Anfrage zur Verfügung gestellten Dokumente entfernt werden sollten (ausgenommen besondere Umstände).
Im November 2004 lehnte die Regierung das Recht der Arbeitnehmer im Vereinigten Königreich ab, auf ihre personenbezogenen Daten zuzugreifen, unabhängig davon, ob sie von ihrem Arbeitgeber in Papierform oder in elektronischer Form aufbewahrt werden, wenn sie in einem System gespeichert sind, das die Informationen zu den einzelnen Personen nicht eindeutig strukturiert. So wurden die Speichersysteme für Akten (mit Ausnahme der persönlichen Akten) de facto von den Maßnahmen des Gesetzes über die Bereitstellung des Zugangs zu persönlichen Informationen ausgeschlossen, da es ist schwierig, Informationen über eine bestimmte Person zu isolieren.
Um auf ihre persönlichen Daten zugreifen zu können, müssen unsere Landsleute:
Diese Anfrage kann in elektronischer Form gesendet und mit einer digitalen Signatur unterzeichnet werden. Das Gesetz bietet somit formal die Möglichkeit, ihre persönlichen Daten über elektronische Kommunikationswege zu beantragen. Wir haben noch keine Personen, die über ein eigenes EDS verfügen, das dem EDS-Gesetz entspricht (in der überwiegenden Mehrheit der Fälle wird EDS in unserem Land gemäß Artikel 160 des Bürgerlichen Gesetzbuchs verwendet, der eine vorläufige Vereinbarung der Parteien vorsieht).
Die Menge an Informationen, die ein Subjekt personenbezogener Daten anfordern kann, zeigt die Besorgnis über unsere Bürger. Organisationen, die die Datenbank mit personenbezogenen Daten führen, wird empfohlen, dem Artikel 14 Absatz 4 des neuen Gesetzes besondere Aufmerksamkeit zu widmen, um das Verfahren zur Bereitstellung von Informationen in internen Verordnungen zu überdenken und zu konsolidieren:
Die Frage der Verarbeitung personenbezogener Daten "zur Förderung von Waren, Werken und Dienstleistungen auf dem Markt durch direkte Kontakte mit potenziellen Verbrauchern durch Kommunikationsinstrumente sowie für politische Kampagnen" ist einem besonderen Artikel gewidmet (Artikel 15). Nun müssen kommerzielle und politische Organisationen vor dem Versenden von Werbung die vorherige Zustimmung des Bürgers einholen, und die Verarbeitung von PD "wird ohne vorherige Zustimmung der Person mit personenbezogenen Daten anerkannt, wenn der Betreiber nicht beweist, dass eine solche Zustimmung eingeholt wurde." Für einige kommerzielle Strukturen kann diese Anforderung sehr unpraktisch sein!
Von nun an "ist es verboten, Entscheidungen auf der Grundlage einer ausschließlich automatisierten Verarbeitung personenbezogener Daten zu treffen, die rechtliche Konsequenzen in Bezug auf den Gegenstand personenbezogener Daten haben oder seine Rechte und berechtigten Interessen anderweitig beeinträchtigen" (Artikel 16).
Diese Bestimmung ist notwendig und zeitnah. Bei der Formulierung verwirrten unsere Gesetzgeber jedoch zwei verschiedene Begriffe: "automatisch" (dh ohne menschliche Beteiligung) und "automatisiert" (dh mit menschlicher Beteiligung). Infolgedessen kann dieser Artikel, anstatt ihnen zusätzliche Beschränkungen aufzuerlegen und nur dann, wenn das Informationssystem Entscheidungen ohne menschliche Beteiligung (z. B. Bußgeld, Verbot von Reisen außerhalb des Landes usw.) trifft, erfolgen werden als Einschränkung für alle Arten der Verarbeitung personenbezogener Daten interpretiert, da selbst die Verwendung eines Taschenrechners als automatisierte Verarbeitung verstanden werden kann!
In demselben Artikel des neuen Gesetzes wird festgelegt, dass der Betreiber Entscheidungen nur auf der Grundlage einer "automatisierten" Verarbeitung treffen kann, wenn:
In einigen Regulierungsdokumenten wurden diese gesetzlichen Anforderungen bereits berücksichtigt. In den Antragsmustern für die Ausstellung eines Passes der neuen Generation gibt es daher einen besonderen Abschnitt, in dem der Antragsteller der "automatisierten" Verarbeitung der im Antrag angegebenen Daten zustimmt. Es klingt wie folgt: "Ich stimme der automatisierten Verarbeitung, Übertragung und Speicherung der in der Anwendung angegebenen Daten zu Zwecken der Herstellung, Bearbeitung und Kontrolle eines Passes während seiner Gültigkeitsdauer zu" 12.
Der Betreiber muss dem Bürger im Voraus außerdem folgende Informationen zur Verfügung stellen:
Im Streitfall muss der Betreiber nachweisen, dass er alle gesetzlichen Anforderungen erfüllt hat. Dies bedeutet, dass er unterstützende Dokumente sorgfältig sammeln und aufbewahren muss.
Zu den Pflichten des Betreibers gemäß Artikel 18 gehört in erster Linie die Bereitstellung personenbezogener Informationen auf Ersuchen des Bürgers. Darüber hinaus muss der Betreiber „die personenbezogenen Daten klären, welche rechtlichen Konsequenzen sich aus der Ablehnung seiner personenbezogenen Daten ergeben“, wenn diese Pflicht durch Bundesgesetz festgelegt ist.
Artikel 20 enthält sehr strenge Fristen für die Beantwortung von Ersuchen von Personen mit personenbezogenen Daten (diese sind sehr viel schwieriger, z. B. die im kürzlich erlassenen Gesetz "Über das Verfahren zur Prüfung von Rechtsbehelfen von Bürgern der Russischen Föderation"):
Der Betreiber wird noch weitere Fragen haben, wenn es erforderlich ist, Gesetzesverstöße innerhalb der in Artikel 21 des neuen Gesetzes vorgesehenen Frist zu beseitigen. Die Sperrung der Daten sollte ab dem Zeitpunkt der Anfrage oder ab dem Zeitpunkt des Erhalts der Anfrage und der Beseitigung von Verstößen innerhalb von 3 Werktagen erfolgen.
In einigen Fällen ist der Betreiber verpflichtet, personenbezogene Daten innerhalb von 3 Arbeitstagen zu löschen, nämlich:
Sowohl die Sperrung als auch die Zerstörung personenbezogener Daten kann in derzeit betriebenen Informationssystemen und Datenbanken, die bisher keine Möglichkeit bieten, schwierig (und manchmal auch unmöglich) implementiert werden.
Noch schwieriger wird es für den Betreiber, wenn er persönliche Daten nicht von einem Bürger, sondern von einem Dritten erhält.
Art. 18 Abs. 3 des Bundesgesetzes der Russischen Föderation „Über personenbezogene Daten“ vom 27. Juli. 2006 Nr. 152-FZ
Wenn keine personenbezogenen Daten von der betroffenen Person erhalten wurden, es sei denn, die personenbezogenen Daten wurden dem Betreiber nach Bundesgesetz übermittelt oder sind öffentlich zugänglich, muss der Betreiber der betreffenden Person vor der Verarbeitung dieser personenbezogenen Daten die folgenden Informationen bereitstellen:
Hinter diesen Worten steht eine zeitaufwendigere Arbeit. Beispielsweise kann sich die Frage stellen, wie diese Informationen dem Subjekt zur Verfügung gestellt werden sollten. Ist es möglich, es per Post zu senden, und werden die Informationen als bereitgestellt betrachtet, wenn der Betreff das entsprechende Schreiben nicht erhalten hat?
Die Verpflichtung des Betreibers nach Artikel 19 besteht auch darin, die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten. Um Ärger zu vermeiden, sollte die Betreiberorganisation alle organisatorischen und technischen Sicherheitsmaßnahmen, die sie zum Schutz der in ihren Informationssystemen enthaltenen personenbezogenen Daten ergreifen möchte, in den Regulierungsdokumenten entwickeln und konsolidieren.
Das Gesetz sieht vor, dass alle Wirtschaftsbeteiligten, die personenbezogene Daten verarbeiten, die zuständige Stelle im Voraus darüber informieren müssen (Artikel 22), die die Betreiber in einem speziellen Register aufzeichnet. Die gemäß Artikel 23 zugelassene Stelle ist das Ministerium für Informationstechnologien und Kommunikation der Russischen Föderation, das derzeit „Kontroll- und Überwachungsfunktionen im Bereich Informationstechnologien und Kommunikation“ ausübt. In der Benachrichtigung muss detailliert beschrieben werden, was mit personenbezogenen Daten zu tun ist. Alle Änderungen in Bezug auf die Verarbeitung personenbezogener Daten müssen auch der autorisierten Stelle gemeldet werden.
Die Verarbeitung personenbezogener Daten ist in folgenden Fällen ohne Benachrichtigung der berechtigten Stelle zulässig:
Abschließend geben wir den Betreibern eine Reihe von Empfehlungen. Es wird nicht schwer sein, die Anforderungen des Gesetzes über personenbezogene Daten zu erfüllen, wenn diese Arbeit jetzt begonnen wird, ohne auf die ersten Beschwerden und Beschwerden zu warten. Sie können mit den folgenden offensichtlichen Maßnahmen beginnen:
In diesem Artikel wird eine Analyse des neuen Gesetzes zum Schutz personenbezogener Daten aus Sicht der Spezialisten auf dem Gebiet des Records Managements durchgeführt, die viel Blut verderben werden. Seine Wirksamkeit wird sich in der Praxis zeigen, aber ich schätze als "betroffene Person" zunächst die Liste der Behörden, an die ich eine Anfrage senden könnte, um mir in Übereinstimmung mit den gesetzlichen Anforderungen relevante Informationen zur Verfügung zu stellen. Jetzt habe ich das Recht!
1 Kapitel IV Artikel 25 der Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates der Europäischen Union vom 24. Oktober 1995 zum Schutz der Rechte des Einzelnen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
2 Es ist interessant, dass selbst die Vereinigten Staaten die strengen europäischen Anforderungen nicht erfüllen und amerikanische Unternehmen gezwungen sind, die sogenannten „Umbrella“ -Vereinbarungen anzuwenden.
3 Der personenbezogene Datengegenstand ist eine Person, deren personenbezogene Daten verarbeitet werden.
4 "System zur Speicherung persönlicher Daten"
5 Die Liste der föderalen Vollzugsbehörden und -organisationen, die an der Verwahrung von Dokumenten des Archivfonds der Russischen Föderation beteiligt sind, die sich in föderalem Besitz befinden, umfasst 18 Organisationen: das Innenministerium Russlands, das Außenministerium Russlands, das Verteidigungsministerium Russlands, das SVR Russlands, der FSB Russlands, die Russische Föderale Drogenkontrollbehörde Russlands, Roskartografiya, Russische Akademie für Agrarwissenschaften, Russische Akademie für Medizinische Wissenschaften, Russische Akademie für Pädagogik, Russische Akademie der Künste, Russische Akademie für Architektur und Bauwissenschaften, Staat Stiftung: Allrussisches Forschungsinstitut für hydrometeorologische Informationen - World Data Center, Landesbehörde „Landesfonds für Fernseh- und Radioprogramme“, Staatliches wissenschaftliches Produktionsunternehmen „Russischer Geologischer Bundesfonds“, Staatliches Einheitliches Unternehmen (Russisches Wissenschaftlich-technisches Zentrum) Informationen zu Normung, Messwesen und Konformitätsbewertung ".
6 5 US C. § 552a (k) (1) „Dokumente an Einzelpersonen - Besondere Ausnahmen - Archivunterlagen“
7 Betreiber - eine staatliche Einrichtung, eine kommunale Einrichtung, eine juristische oder natürliche Person, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie den Zweck und den Inhalt der Verarbeitung personenbezogener Daten bestimmt.
9 Datenschutzgesetz 1998, Artikel 32.
11 Durant vs Financial Services Authority (FSA).
12 Anlage Nr. 1 zu den Anweisungen zum Verfahren für die Bearbeitung und Ausstellung eines Passes eines Bürgers der Russischen Föderation, eines Diplomatenpasses und eines Dienstpasses, die die Hauptdokumente sind, die die Identität eines Bürgers der Russischen Föderation außerhalb des Territoriums der Russischen Föderation bescheinigen (mit Anordnung des Innenministeriums der Russischen Föderation, Außenministerium der Russischen Föderation) und dem Föderalen Sicherheitsdienst der Russischen Föderation vom 6. Oktober 2006, Nr. 785/14133/461).