Varstvo osebnih podatkov. Zvezni zakon "O osebnih podatkih" z dne 27. julija 2006 N 152-ФЗ: vsebina in komentarji

4. 3. 2019

Pravna vprašanja v zvezi z varstvom osebnih podatkov zadevajo odvetnike, ki delujejo na različnih področjih prava. Razlog za to je dejstvo, da je na katerem koli področju prava določen seznam informacij, ki zahtevajo zagotovitev njihove zaupnosti in neširjenja tretjim osebam s strani tistih, ki jim je bila zaupana v okviru svojih uradnih dolžnosti.

Torej bomo nadalje preučili, katere informacije spadajo v to skupino, kot tudi značilnosti sistema za varstvo osebnih podatkov. Kako dela v podjetjih in organizacijah? Poleg tega je treba preučiti, kaj bi bilo treba vključiti v strukturo uredbe o varstvu osebnih podatkov zaposlenih (vzorec) in kako je sprejeta.

Varstvo osebnih podatkov

Splošni koncept

Če govorimo o splošnem konceptu, so zaupne informacije vse tiste informacije, ki so neposredno povezane z določenim posameznikom. Praviloma so to njegovi osebni podatki. Če razložimo pravni izraz, potem je ta oseba v praksi pravnih strokovnjakov označena kot predmet osebnih podatkov.

Katere podatke zakonodajalec meni, da jih je treba upoštevati? Najprej je to priimek, ime in poimenovanje osebe ter datum in kraj rojstva. Poleg tega so v skupino tistih, ki se nanašajo na njegovo prebivališče po dejstvu, kot tudi na registracijo. Podatki o zakonskem stanu osebe, kot tudi njegov socialni status, dohodek in izobrazba, spadajo tudi v skupino zaupnih informacij.

Zakonska ureditev dela z osebnimi podatki v Rusiji. Osnovni predpisi

Kar zadeva rusko zakonodajo, zagotavlja ustrezno varstvo osebnih podatkov oseb, ki niso le državljani države, temveč tudi iz kakršnega koli razloga prebivajo na njenem ozemlju. Zakonodaja, ki ureja ta vprašanja, predstavlja več predpisov. Še posebej, temeljni zakon - ustava, kot tudi zvezni zakon 152 "o varstvu osebnih podatkov" se lahko pripiše skupini takih. Spremembe teh predpisov niso zelo pogosto, zato lahko strokovnjaki podrobneje preučijo vsako novo spremembo in jo ustrezno izvajajo v praksi.

Poleg ruske zakonodaje vprašanja v zvezi z varstvom osebnih podatkov urejajo mednarodni predpisi. Poleg tega se ta dejavnost izvaja tudi na podlagi normativnih aktov lokalnih oblasti, ki obstajajo v državi. Zakonodajalec ugotavlja, da lahko takšni predpisi vsebujejo predpise o obdelavi podatkov določene vrste, vendar ni mogoče določiti pravil za omejevanje določenih pravic subjektov, ki so nosilci osebnih podatkov.

Vsi zakoni in podzakonskih aktov pri čemer morajo biti zahteve v zvezi z obdelavo osebnih podatkov, kot tudi zagotavljanje njihove zaščite predpisane v skladu z zakonom, uradno objavljene na podlagi virov, ki so na voljo javnosti. To pravilo ima eno izjemo, ki se nanaša na dokumente, ki urejajo delo s tajnimi informacijami - te informacije je treba zaščititi pred dostopom v dokaj strogem redu.

Načela obdelave osebnih podatkov

Besedilo zveznega zakona 152 "O varstvu osebnih podatkov" navaja, da je treba delo z informacijami, ki sestavljajo osebne podatke, izvajati izključno v skladu z določenimi načeli. Kaj so? Razmislite o tem podrobneje.

Prvič, vsa dejanja uslužbencev organov in služb, ki se ukvarjajo z obdelavo osebnih podatkov, je treba izvajati ob upoštevanju osnovnega načela - zakonitosti. To pomeni, da je treba vse podatke, ki so na voljo v zbirki podatkov, pridobiti zakonito, v dobri veri in ustrezno obdelati, samo v okviru namenov, za katere so bili zagotovljeni. Poleg tega uradni ki se ukvarja z obdelavo zaupanih informacij, mora uporabiti podatke, ki omogočajo obseg njegovih pooblastil.

Vse metode obdelave informacij in njihova narava, obseg morajo biti v celoti skladne z nameni, za katere so bile informacije sprejete. V procesu delovanja informacij ni mogoče združiti, da bi jih obdelali v več ciljih naenkrat. Izjema je lahko le delo v informacijskem sistemu.

Vsi osebni podatki, ki se predložijo v obdelavo, morajo biti zanesljivi - to je tudi eno od osnovnih načel dela z informacijami o naravi. Njihov obseg bi moral zadostovati za izvedbo operacije v ustrezni obliki, zakonodajalec pa ne dovoli osebi, da zahteva odvečne informacije, ki niso potrebne za izvedbo vseh potrebnih ukrepov.

Varstvo osebnih podatkov vzorca zaposlenega

Pogoji, pod katerimi je možna obdelava informacij

Uredba o varstvu osebnih podatkov določa, da je treba vse delo z informacijami, predloženimi za obdelavo, opraviti zakonito. Kaj to pomeni?

Najprej je treba opozoriti, da je treba vse delo z osebnimi podatki izvajati samo s soglasjem osebe, ki jo ima. Za osebo, ki sam opravlja delovni postopek, mora biti nujno dovoljena z zakonom ali ločeno pravno osebo, v kateri se izvaja obdelava. V primeru, da mora oseba, ki prejme informacije med procesom dela z informacijami, to prenesti na drugega zaposlenega v instituciji ali organizaciji, je tudi druga oseba dolžna zagotoviti njihovo varnost.

V nekaterih primerih zakonodajalec predvideva možnost uporabe osebnih podatkov brez soglasja subjekta, ki je njihov neposredni nosilec. To velja zlasti za trenutek, ko se podatki uporabljajo za pripravo statističnih poročil in za doseganje znanstvenih ciljev. To velja tudi za primer, ko je potrebno zagotoviti izpolnjevanje pogodbenih obveznosti, varovanje življenja in zdravja ene osebe ali celotne družbe. Poleg tega dovoljenje za predmet osebnih podatkov ni potrebno, če se informacije uporabljajo pri delu novinarjev, v ustvarjalnih ali znanstvenih dejavnostih. Vendar Uredba o varstvu osebnih podatkov kaže, da se lahko informacije uporabljajo izključno za poklicne dejavnosti in le, če njihovo razkritje ne škoduje predmetu teh informacij.

Obvezni za objavo brez soglasja prevoznikov so predmet osebnih podatkov, ki pripadajo občinskim uslužbencem, osebam, ki zamenjajo prvo javno funkcijo, kandidatom, ki sodelujejo na volitvah.

Posebne kategorije osebnih podatkov

Zakonodajalec zagotavlja določen seznam osebnih podatkov, kar je nekaj kategorij posebne vrste. Sem spadajo informacije o rasni identiteti osebe, njenih filozofskih in osebnih prepričanjih, intimnem življenju in zdravstvenem stanju. Te skupine informacij so posebej zaščitene z zakonom in njihovo razkritje v nobenem primeru ni dovoljeno, razen v nekaterih primerih. Kaj so?

Najprej morate biti pozorni na dejstvo, da soglasje osebe do razkritja osebnih podatkov v zvezi s posebnimi kategorijami ni potrebno, če so že javno dostopni. Večinoma gre za znane osebnosti, katerih življenje v javno dostopnih virih vsebuje veliko informacij, vključno z osebnimi podatki.

V primeru, da predmet osebnih podatkov posebne narave poda pisno dovoljenje za razkritje informacij, se lahko razkrijejo tudi.

Kar zadeva informacije o stanju zdravja ljudi, je varstvo osebnih podatkov te skupine na poseben način. V sodobni pravni praksi je tako "medicinska skrivnost". Zahvaljujoč mu je zagotovljeno ohranjanje zdravstvenih podatkov o osebi. Osebe, ki se na podlagi svojih uradnih dolžnosti zavedajo zdravstvenega stanja pacienta, nimajo pravice razkriti prejetih informacij tretjim osebam brez pisnega soglasja stranke zdravstvene ustanove. V nasprotnem primeru je odgovorna oseba, ki ne ravna v skladu s tem pravilom. Za pridobitev osebnih podatkov s strani zdravnika ali drugega strokovnega delavca zdravstvene ali profilaktične ustanove subjekt ne potrebuje dovoljenja, ker lahko strokovnjak zaradi nezmožnosti pridobitve informacij o stanju zdravja ljudi ogrozi smrt ali znatno poslabšanje splošnega stanja telesa.

Pravilnik o varstvu osebnih podatkov zaposlenih

V sodobni praksi je tudi dovoljeno obdelavo informacij osebna narava, zastopana v skupini posebnih informacij, izvedena v postopku vodenja preiskovalnih dejanj ali postopka v glavni stvari.

Biometrični osebni podatki

V moderni dobi visoke tehnologije postaja vedno bolj priljubljena nova vrsta osebnih podatkov - biometrični podatki. Predstavljajo posebno skupino informacij. Obdelava in varovanje osebnih podatkov te vrste se opravi tudi na podlagi Zakona Ruske federacije "O osebnih podatkih".

Navedeni zakon navaja, da se obdelava biometričnih podatkov, ki vključujejo vse informacije, ki označujejo biološke značilnosti določene osebe, lahko izvede samo na podlagi pisnega soglasja, ki ga mora osebje neposredno posredovati.

Kljub takšni strogosti zakona v zvezi z varstvom zaupnosti biometričnih podatkov osebe pa obstaja izjema. Sestavlja ga odsotnost potrebe po pisnem soglasju osebe do obdelave biometričnih podatkov v primeru izvajanja operativno-preiskovalnih dejavnosti, ki jih lahko izvajajo organi pregona različnih kategorij, pa tudi mejni uradniki in uradniki za priseljevanje.

Ukrepi za varnost podatkov

Ko so osebni podatki subjektov sprejeti v obdelavo, morajo upravljavec in osebe, ki sprejemajo podatke za plačilo, zagotoviti njihovo varnost, ki je v prvi vrsti v odsotnosti možnosti, da pridejo do nepooblaščenih oseb. Kakšne so zahteve za varstvo osebnih podatkov?

Postopke v zvezi z ohranjanjem osebnih podatkov posameznikov je treba izvajati od trenutka prejema informacij za obdelavo. Za to mora izvajalec dejavnosti, ki izvaja to dejavnost, sprejeti ukrepe tehnične in organizacijske narave, ki bodo zagotovili želeni cilj. Običajno se to izvaja z orodji za šifriranje (kriptografsko), ki preprečujejo nepooblaščen in nenamerni dostop do vnesenih podatkov, njihovo kopiranje, blokiranje, spreminjanje in druge operacije, ki se lahko izvedejo na podatkih, vnesenih v odprti obliki.

V primeru, da se podatki obdelujejo v informacijskih sistemih, je treba zagotoviti tudi ustrezno varnost. Določene zahteve se nanašajo na materiale, na katerih so shranjeni biometrični podatki, in na tehnologije, s katerimi se elementi ohranjajo.

Zakonodajalec pri tistih osebah in službah, katerih dejavnosti so povezane z zbiranjem, obdelavo in shranjevanjem osebnih podatkov ljudi, vzpostavi določeno kontrolo, ki zagotavlja pravilno izvajanje vseh točk, določenih v zakonu št. 152 "O varstvu osebnih podatkov". Predstavniki izvršilne oblasti so kot nadzorniki oseb in organov najprej pozvani k zagotavljanju varnosti na različnih področjih delovanja. Imajo pravico do izvajanja nadzora le v mejah pooblastil, ki jim jih daje zakon, brez možnosti neposrednega dostopa do zaupnih informacij.

Kakršne koli nadzorne in nadzorne dejavnosti pooblaščenih oseb ali organov se lahko opravijo na individualno zahtevo osebe, katere varnost osebnih podatkov ni bila zagotovljena, zaradi česar so bile razpuščene. Obvladujoči subjekt je dolžan obravnavati vloženo pritožbo in nato opraviti inšpekcijski pregled, zaradi česar je treba sprejeti ukrepe za nadaljnje zagotavljanje varne varnosti zaupnih osebnih podatkov ter odpraviti negativne posledice, ki jih je povzročilo njihovo razkritje. V primeru, da upravljavec nezakonito pridobi informacije ali zahtevane podatke, je nadzorni organ dolžan zahtevati njihovo popolno odstranitev in blokiranje.

Obdelava in varstvo osebnih podatkov

O zaupnosti osebnih podatkov

Veljavni Zakon o varstvu osebnih podatkov (FZ 152) predvideva potrebo po zagotovitvi zaupnosti vseh informacij, ki jih zagotavljajo subjekti za obdelavo. Ta odgovornost se praviloma naloži samemu izvajalcu, ki sprejema podatke za obdelavo, v podjetjih pa - določenih oseb, določenih v posebni uredbi. Vendar pa v dveh primerih zakonodajalec še vedno dovoljuje, da se informacije odstranijo. Prvi je tak, ko so podatki popolnoma anonimni. Z drugimi besedami, razkriti jih je mogoče, vendar le na tak način, da glede na informacije, ki so bile posredovane tretjim osebam, ni bilo mogoče ugotoviti, na katere osebne podatke se nanašajo.

Drugi primer odstranitve zaupnosti podatkov se nanaša na že odprte informacije. Takšni osebni podatki so praviloma ime in priimek osebe, leto rojstva, mesto in kraj bivanja, telefonska številka, pa tudi informacije o izobrazbi, poklicu, kariernih dosežkih itd. predmet osebnih podatkov je dal pisno dovoljenje za odstranitev zaupnosti podatkov.

Ločljivost teme

Kot je bilo že večkrat omenjeno, je za obdelavo osebnih podatkov subjekta potrebno njegovo pisno dovoljenje za delo z informacijami, ki jih posreduje upravljavec. Lahko je pisna in zavarovana z osebnim podpisom. Če želite, lahko oseba kadar koli umakne dovoljenje.

Zadevno dovoljenje mora nujno vključevati določen seznam informacij o zadevi. Med njimi so ime, priimek in patronymic, njegovo prebivališče, kot tudi podatki dokumenta, ki ga izda država, ki potrjuje identiteto. Poleg tega mora nujno navesti namen, za katerega so informacije zagotovljene za obdelavo, kot tudi poseben seznam informacij, ki jih je operater sprejel. Prav tako mora subjekt določiti način obdelave informacij, s katerimi se strinja.

Na samem koncu dokumenta je treba določiti obdobje, v katerem je soglasje osebe veljavno, in vrstni red, po katerem se pisni dokument lahko pregleda.

Po označevanju vseh navedenih podatkov mora osebni podatek navesti datum, ko je bil dokument sestavljen, in njegov podpis.

V primeru, da oseba ne more privoliti v obdelavo podatkov v zvezi z njegovo smrtjo, morajo dediči to storiti. Če je oseba nezmožna ali iz fizioloških razlogov ne more napisati svojega soglasja, lahko to storijo njegovi pravni zastopniki.

Vzorec varstva osebnih podatkov

Odgovornosti operaterja

FZ 152 "O varstvu osebnih podatkov" predstavlja pozornost vseh zainteresiranih strani določen seznam nalog, ki jih mora obravnavati upravljavec, pri delu z osebnimi podatki subjektov.

Na prvo zahtevo (ustno ali pisno) mora upravljavec subjektu, ki je nosilec osebnih podatkov, posredovati vse informacije o tem, za kakšen namen bodo uporabljeni vsi podatki, ki so jim bili posredovani, kako bodo obdelani in kako dolgo. izvedel bo postopek. V obveznem vrstnem redu je treba te informacije zagotoviti tudi ob prejemu informacij in njihovem določanju.

V primeru, da je treba osebne podatke posredovati obvezno, mora upravljavec o tem obvestiti subjekt in pojasniti morebitne pravne posledice svoje zavrnitve tega postopka.

V nekaterih primerih lahko operater prejme osebne podatke posameznikov ne od sebe, temveč prek posrednikov. V tem primeru je dolžan osebo obvestiti o osebnih podatkih o tem, kdo jih je posredoval, in o namenu, zaradi katerega je bila akcija izvedena.

Za obdelavo in zaščito osebnih podatkov je v celoti odgovorna oseba, ki prejme informacije od osebe. On je tisti, ki je odgovoren za nepravilno opravljanje te neposredne odgovornosti.

Varstvo osebnih podatkov v organizacijah in podjetjih

Za vsako osebo, ki opravlja delovno dejavnost v katerem koli podjetju ali organizaciji, obstaja osebna vloga v skladu z zahtevami zakona, ki odraža veliko količino informacij, ki predstavljajo osebne podatke. Njihova varnost je treba zagotoviti tudi z ustreznimi sredstvi. Vse zahteve tega procesa se odražajo v vsebini Uredbe o varstvu osebnih podatkov zaposlenih, ki mora biti sestavljena v vsakem podjetju posebej. Opozoriti je treba, da je ta normativni akt enoten in ima lokalno naravo, večinoma pa vsebuje osnovna načela in zahteve za vsebino. Po želji lahko vsako podjetje sprejme svojo lastno uredbo o varstvu osebnih podatkov zaposlenih. Vzorec tega dokumenta ne predvideva posebnosti izvajanja dejavnosti posameznega podjetja, ki se lahko popravi, če se oblikuje in sprejme posamezen dokument.

V zvezi z varovanjem informacij in varstvom osebnih podatkov zaposlenih se te funkcije lahko izvajajo v vrstnem redu vzdrževanja šifrirane baze podatkov, v katero se vnesejo vsi posamezni podatki, ki jih posredujejo zaposleni. Takšni informacijski sistemi imajo praviloma lokalno ali sistemsko naravo, poleg tega jih je v podjetju lahko več. Podatki, vneseni v take baze podatkov, praviloma vsebujejo podatke o položaju, plači, potrdilih, akademskih naslovih, nagradah, seznamu posameznih strank, socialnem statusu itd.

152 FZ

Razvoj predpisov in z njimi povezanih dokumentov

Postopek priprave obravnavane uredbe je predpisan tudi v zveznem zakonu "O varstvu osebnih podatkov". Zakon navaja, da je treba ta dokument razviti in sprejeti z dogovorom o vsaki točki. Najprej je treba pripraviti osnutek dokumenta, v katerem je treba upoštevati vse glavne določbe, med katerimi je treba predvideti postopek obdelave osebnih podatkov o zaposlenih.

Ker mora vsak subjekt osebnih podatkov dovoliti obdelavo njegovih osebnih podatkov, je treba razviti dva dodatna projekta v vseh podjetjih in organizacijah: privoliti v obdelavo posredovanih informacij, kot tudi obvestila, da bodo vsi podatki vključeni v skupni osnovi. Poleg tega je družba dolžna izdelati dokument, katerega vsebina bo dolžna ustrezno shraniti informacije, ki imajo omejen status dostopa.

Dejstvo, da bo družba vzdrževala zadevno bazo podatkov, mora biti izdana z odredbo, ki jo mora podpisati upravitelj ali oseba, pooblaščena za to. V besedilu je potrebno navesti ime same podatkovne baze, potrditi določbo, ki je uvedena v strukturni enoti ali celotno podjetje kot celoto, ter identificirati novosti v dejavnostih uradnikov, katerih dejavnosti so neposredno povezane z obdelavo osebnih podatkov in njihovim shranjevanjem.

Po pripravi vseh zgoraj navedenih dokumentov mora imeti družba komisijo za razpravo o določbah, ki so v njih predstavljene. Šele potem, ko so vse osebe, vključene v komisijo, zadovoljne z vsako določbo, je mogoče dokumente podpisati in uveljaviti.

Zaradi varovanja osebnih podatkov se lahko spremenijo strukturne enote podjetij. V ta namen se pogosto uvedejo nova delovna mesta ali se spremenijo odgovornosti oseb, ki zasedajo obstoječa delovna mesta. Zakon "o varstvu osebnih podatkov" ne vzpostavlja posebnega seznama zaposlenih, ki so odgovorni za varnost zaupanih informacij. Praviloma je takšen krog oseb določen s predpisi vsakega podjetja posebej.

Struktura Statuta o varstvu osebnih podatkov (vzorec) t

Osebni podatki zaposlenih v katerem koli podjetju morajo biti ustrezno zaščiteni. V ta namen je treba pri oblikovanju določb o podjetju jasno vedeti, katere točke v njem je treba upoštevati. Zato razmislite o približni strukturi Statuta o varstvu osebnih podatkov (vzorec).

položaj vzorca

Osebni podatki, ki so zaščiteni in označeni kot osebni, morajo biti natančno opredeljeni v tem dokumentu. Praviloma je v lokalnih aktih večine podjetij njihov seznam naveden takoj za uvodnim delom, v katerem je treba navesti splošne določbe in osnovne koncepte, ki se lahko uporabijo v dokumentu. Predpisi morajo jasno določati vrstni red dostopa do podatkov in krog oseb, ki so upravičene do tega. V primeru, da ima podjetje ali organizacija poseben seznam osebnih podatkov, ki jim je bil dodeljen poseben status tajnosti, mora biti dostop do njega določen ločeno.

Pravilnik mora določati jasen sklop ukrepov in ukrepov, s katerimi se bodo varovali podatki, odgovornost za kršitev uveljavljenih zahtev, kaznovanje za razkritje osebnih podatkov, kakor tudi za malomarno držo do njihovih uradnih dolžnosti, povezanih s sprejemanjem, obdelavo informacij in zagotavljanjem njihove varnosti .

V vzorcu Statuta o varstvu osebnih podatkov je navedeno tudi, da bi morala njegova struktura vključevati oddelek o pravicah in obveznostih zaposlenih v zvezi z obdelavo njihovih osebnih podatkov.

Po potrebi lahko v povezavi s posebnostmi podjetja predpisi vključujejo dodatne zahteve in koncepte.

Pravilnik o zasebnosti

Odprava nepravilnosti pri obdelavi osebnih podatkov

Vso odgovornost za pomanjkanje varnosti osebnih podatkov subjekta, v skladu z Zveznim zakonom "O varstvu osebnih podatkov", je v celoti nosil sam upravljavec, ki je sprejel informacije in njihovo obdelavo. V primeru kršitve zakonskih zahtev je dolžan sprejeti vse ukrepe, ki so potrebni za odpravo kršitve.

V skladu z Zveznim zakonom "O varstvu osebnih podatkov", če subjekt pri regulativnih organih zaprosi za pritožbo zaradi nepravilnega dela operaterja, ki je prejel njegove osebne podatke, je treba te podatke nemudoma blokirati v obdobju med izvajanjem revizije. Po ugotovitvi kršitve je upravljavec dolžan odpraviti vse pomanjkljivosti - to je treba storiti v treh dneh od datuma odločitve nadzornega organa. Zakon o varstvu osebnih podatkov navaja, da je treba odpraviti kršitve z izbrisom informacij o zadevi. Enako bi bilo treba storiti, če je subjekt umaknil dovoljenje za obdelavo osebnih podatkov. Na primer, vsaka uredba o varstvu osebnih podatkov zaposlenih (vzorec) mora vsebovati pravila vsebine glede izbrisa podatkov o zaposlenem, ki je umaknil dovoljenje za obdelavo njegovih osebnih podatkov.