Vad är sättet att behandla personuppgifter?

I Rysklands arbetskod finns en sådan term som "personuppgifter för en arbetande person". Uppgifter om driftskvoten måste lämnas till arbetsgivaren.

Efter att ha granskat personlig information fattar arbetsgivaren en dom om att ta en person till företaget.

Den information som en person presenterar om sig själv måste skyddas. Distribuera det är förbjudet.

Kära läsare! Våra artiklar berättar om typiska sätt att lösa juridiska problem, men varje fall är unikt.

Om du vill veta hur man löser exakt ditt problem - ring bara, det är snabbt och gratis!

systemet

Personlig information om anställda bör vara föremål för utveckling.

Arbetsgivaren tillämpar följande krav på arbetspersoners personuppgifter:

1. Processen att behandla personuppgifter om en arbetsperson äger rum för att säkerställa att lagar och rättsakter följs. Tack vare databehandling kan du anställa en person, ge honom personlig säkerhet, övervaka det arbete han utför.
2. Arbetsgivaren tar hänsyn till såväl omfattningen som innehållet i personuppgifter om det arbetsvillkor som behandlas. Alla arbetsgivare studerar och följer aspekter av konstitutionen, andra federala lagar.
3. Information om arbetsgruppen bör erhållas direkt från de anställda själva. Du kan få information om den anställde från en tredje mun, men endast med skriftligt samtycke från personen. Arbetsgivaren informerar medarbetarna om deras mål och källor, varifrån personuppgifter kommer att tas med. Arbetsgivaren varnar för konsekvenserna vid vägran att lämna ut personuppgifter från arbetspersonen.
4. En person som ger arbete till sina medarbetare har ingen rätt till information om alla typer av domar av politisk, religiös karaktär, såväl som en arbetstagares familjeliv. En anställdes personliga liv kan endast anges med hans överenskommelse. Avtalet måste göras skriftligt.
5. Arbetsgivaren bör inte använda sig av behandling av information om närvaro av anställda i medlemsförbund, fackföreningar. Men det finns situationer som föreskrivs av federal lag.
6. All personlig information måste skyddas och döljas från allmänhetens granskning och användning. Dataskydd omfattas av villkoren i federal lag.
7. Arbetstagare studerar dokument som tillhör institutionen. De bör redogöra för betydelsen och ordningen med processerna för behandling av personuppgifter hos anställda.
8. Arbetstagare måste acceptera skyddet av deras personuppgifter.
9. Arbetsgivare själva, såväl som medarbetare, kan arbeta tillsammans för att utveckla sätt att skydda anställdas personuppgifter.

När kommunicerar information om anställda måste företagsledaren följa följande regler:

• En tredje part behöver inte veta om varje anställdas personuppgifter. Uppgifter får endast lämnas i de fall då den anställde har gett sitt skriftliga samtycke till användningen av deras personuppgifter. Men om det finns något hot mot försörjningen, arbetsgruppens hälsa kan personuppgifter ges till andra personer utan skriftligt skriftligt samtycke.
• Arbetsgivaren ska inte lämna in uppgifter om det lag som arbetar med det för handel.
• Personer som får information om anställda måste behandla den inom sekretessramen.
• Överföringen av information om en person utförs endast i en organisation genom institutionens särskilda interna handlingar.
• Uppgifter om arbetstagaren har endast tillgång till speciella behöriga personer.
• ingen anledning att begära information om arbetstagarnas hälsa. En begäran kan endast göras i fall då frågan uppstår om arbetstagarna kan utöva sin arbetsfunktion.
• personuppgifter om arbetskvoten kan samlas in med hänsyn till uppgifterna i koden.

Ett fungerande kontingent har rätt att

• bekantskap med dina personuppgifter och deras behandling;
• obegränsad tillgång till personlig information. En arbetsperson får utfärdas kopior av informationsuppgifter. Men det finns situationer där personuppgifter inte avslöjas. Dessa situationer beskrivs i federal lag;
• en sjukvårdspersonal kan se anställdas personuppgifter
• möjligheten att korrigera eller komplettera ämnen av personuppgifter.

Följande typer av behandling av personuppgifter skiljer sig åt:

1. Bearbetar information med hjälp av datateknik.
2. Ej automatiserad behandling.
3. Informationssystem bearbetar de angivna uppgifterna.

automatiserad

Denna bearbetning utförs med hjälp av en speciell datorteknik. De vanligaste datorerna kan vara:

• elektronisk dator;
• hjälpanordningar;
• kringutrustning;
• nödvändigtvis installerad programvara.

Icke-automatiserad

Den mest detaljerade beskrivningen av icke-automatiserad bearbetning är skrivet i statligt dekret nummer 687.

Distribution, studie och borttagning av information om driftskvoten bör utföras med en del av en person, inte datorteknik.

Information

Tack vare informationssystemet bearbetas särskilda kategorier av personuppgifter om operativa kontingenten. Detta system behandlar data som påverkar medlemskap i en viss ras och kön, nationalitet, politiska åsikter, filosofiska utsikter.

Tack vare informationssystemet kan bearbetas:

• biometriska personuppgifter. Speciellt om det finns en kännetecken för fysiologiska, biologiska data. Tack vare de erhållna egenskaperna är det möjligt att bedöma arbetarnas personlighet.
• delade personuppgifter
• annan informativ data. Ett exempel skulle vara religiösa, nationella idéer, filosofiska utsikter, ögonblick i arbetslivets intima karaktär och många andra viktiga personliga egenskaper upp till hälsotillståndet.

Således finns personuppgifter om varje anställd i alla arbetsgivare. Regissören har under inga omständigheter rätt att sprida tillgänglig information om personen.

Den erhållna informationen om driftkvoten kan behandlas på flera sätt: med hjälp av datorteknik, med hjälp av personliga krafter tack vare informationsbedömningssystemet.

I samtliga fall granskas personuppgifterna för varje anställd grundligt.

Sätt att hantera personuppgifter

Enligt order av Amurregionens civila kod

av 26 december 2012, nr 626

i samband med behandling av personuppgifter

1. ALLMÄNNA BESTÄMMELSER

1,1. Detta dokument (nedan kallat policy) är en systematisk redogörelse för målen, principerna, metoderna och villkoren för behandling av personuppgifter, information om de genomförda kraven för behandling och skydd av personuppgifter i GKU i Amurregionens centrala sjukhus (nedan kallat Employment Center).

1,2. Policyn baseras på kraven i Ryska federationens federala lag om personuppgifter, andra Ryska federationens rättsliga rättsakter om upprättande av förfarandet för behandling och skydd av personuppgifter. Policyn är ett offentligt dokument.

1,3. I enlighet med federal lag av den 27 juli 2006 nr 152-ФЗ "On Personal Data" är Employment Center operatören av personuppgifter (hädanefter benämnt "PD").

2. PROCESSERADE PERSONUPPGIFTER

2,1. Huvudvillkor som används i policyen:

· Personuppgifter - All information om en fysisk person (personuppgifter) bestämd eller bestämd på grundval av sådan information, inklusive hans efternamn, förnamn, patronym, år, månad, födelsedatum och födelseort, adress, familj, social, egendom position, utbildning, yrke, inkomst, annan information;

· Personlig databehandling - handlingar (handlingar) med personuppgifter, inklusive insamling, systematisering, ackumulering, lagring, förfining (uppdatering, ändring), användning, distribution (inklusive överföring), depersonalisering, blockering, förstörelse av personuppgifter;

2,2. Inom ramen för denna policy innebär bearbetade personuppgifter:

· Personuppgifter som tillhandahålls av mottagare av offentliga tjänster som gäller för arbetsförmedlingen.

· Personuppgifter för anställda i Employment Center eller sökande för lediga platser

3. SYFTE AV PERSONLIGT DATABEHANDLING

3,1. Målen för PD-bearbetning i Employment Center är:

· Säkerställa genomförandet av Rysslands medborgares medborgarrättigheter att arbeta och socialt skydd mot arbetslöshet genom tillhandahållande av offentliga tjänster inom området för sysselsättning.

· Säkerställa genomförandet av medborgarnas konstitutionella rättigheter att överklaga

· Att få en objektiv bedömning av situationen på arbetsmarknaden i Ryska federationens beståndsdel (i förhållande till mottagare av offentliga arbetsförmedlingar, arbetslösa medborgare, medborgare som ansöker om sysselsättningscentrum med förslag, uttalanden, klagomål)

· Att se till att Ryska federationens grundlag, lagar och andra lagar och andra rättsakter följs, hjälpa anställda att hitta arbete, utbildning och befordran för arbete, sysselsättningstillväxt, säkerställa personalens säkerhet, kontrollera kvantiteten och kvaliteten på det utförda arbetet, säkerställa säkerheten för egendom som hör till den och registrera resultat av deras resultat arbetsuppgifter och säkerheten för anställningscentret.

· Att utföra skattemyndighetens funktioner vid tillhandahållande av schablonavdrag (med avseende på familjemedlemmar till anställda i Employment Center)

· Uppfyllande av skyldigheter enligt civilrättsliga avtal (i förhållande till personer som utför arbete, tillhandahåller tjänster enligt civilrättsliga avtal med Employment Centre).

4. PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER

4,1. Implementering av PD-bearbetning på en rättslig och rättvis basis.

4,2. Begränsa PD-bearbetning till uppnåendet av de specifika, förutbestämda och legitima mål som anges i avsnitt 2 i detta dokument. Det är inte tillåtet att behandla personuppgifter som är inkompatibla med syftet att samla personuppgifter.

4,3. Förhindra kombinationen av databaser som innehåller PD, vilka behandlas för ändamål som är inkompatibla med varandra.

4,4. Behandlar endast de PDS som uppfyller syftet med behandlingen.

4,5. Överensstämmelse med innehållet och volymen av PD som bearbetas med angivna bearbetningsändamål.

4,6. Otillåtligheten av uppsägning som behandlas PD i förhållande till de angivna målen för deras behandling.

4,7. Att säkerställa PD-noggrannheten, deras tillräcklighet och, om det är nödvändigt, och relevans i förhållande till PD-bearbetningens syfte.

4,8. Se till att nödvändiga åtgärder vidtas för att ta bort eller förfina ofullständiga eller felaktiga uppgifter.

4,9. Att utföra PD-lagring i en form som gör det möjligt att bestämma en PD-ämne är inte längre än vad PD-behandling kräver, om PD-lagringsperioden inte är etablerad enligt federal lag, det kontrakt som PD-ämnet är mottagare eller garant för. PD: er som ska behandlas är föremål för förstörelse eller depersonalisering vid uppnåendet av bearbetningsmål eller vid förlust av behovet av att uppnå dessa mål, om inte annat föreskrivs i federal lag.

5. METODER FÖR BEHANDLING AV PERSONUPPGIFTER

5,1. Arbetscenteret behandlar PD på följande sätt:

· Ej-automatiserad PD-bearbetning (på papper);

· Automatiserad bearbetning (i ISPDn med användning och utan användning av automatiseringsutrustning), inklusive: med och utan överföring via det lokala nätverket av Employment Center; med och utan överföring via Internet

· Blandad PD-bearbetning.

5,2. Arbetscenteret kan självständigt välja metoder för PD-bearbetning beroende på syftet med sådan behandling och dess egna materiella och tekniska möjligheter.

6. BEGRÄNSNINGAR FÖR PERSONLIGT DATABLAD

6,1. PD-bearbetning sker i enlighet med de principer och regler som föreskrivs i federal lag "om personuppgifter".

6,2. PD-behandling är tillåten i fall som föreskrivs i federal lag "På personuppgifter".

6,3. Anställningscentret har rätt att överlåta behandlingen av PD till en annan person med samtycke från ämnet för PD, om inte annat föreskrivs i federal lagstiftning på grundval av ett avtal som ingåtts med denna person, inklusive ett statligt eller kommunalt kontrakt eller genom att anta en relevant handling av staten eller kommunen (nedan kallad ).

6,4. Om Employment Center tilldelar behandling av ett PD till en annan person, bärs ansvaret för PD-ämnet för den personens handlingar av Employment Center. Den person som behandlar personuppgifter på uppdrag av Sysselsättningscentralen är ansvarig för sysselsättningscentralen.

7. KONFIDENTIELLITET AV PERSONUPPGIFTER

7,1. Arbetsförmedlingen och andra personer som har fått tillgång till PD är skyldiga att inte lämna ut till tredje part och inte att distribuera PD utan samtycke från PD-ämnet, om inte annat föreskrivs i federal lag.

8. ÅTGÄRD AV UPPGIFTER OM PERSONUPPGIFTER FÖR BEHANDLING AV SÄRSKILDA DATA

8,1. PD-personen fattar ett beslut om tillhandahållandet av hans personuppgifter och godkänner sin behandling fritt, med egen vilja och i hans intresse.

8,2. Samtycke till PD-bearbetning bör vara specifik, informerad och medveten.

8,2. Samtycke till PD-bearbetning kan ges av PD-ämnet eller hans representant i vilken form som helst som tillåter att bekräfta faktumet för mottagandet, om inte annat föreskrivs i federal lag.

8,3. När det gäller att erhålla samtycke till behandling av personuppgifter från en representant för ämnet personuppgifter, kontrolleras myndigheten för denna representant för samtycke på uppdrag av ämnet för personuppgifter, av Employment Center.

8,4. Samtycke till PD-behandling kan återkallas av PD-ämnet. I händelse av ett upphävande av ämnet PDN för samtycke till behandling av PD, har Employment Center rätt att fortsätta behandlingen av personuppgifter utan samtycke från PD-ämnet om det finns skäl som anges i klausulerna 2-11 i artikel 6, del 2 i artikel 10 och del 2 i artikel 11 i federal lag "om personuppgifter ".

8,5. I fall som föreskrivs i federal lag utförs PD-behandling endast med skriftligt samtycke från PD-ämnet. Samtycket i skriftlig form erkänns som likvärdigt med ett elektroniskt dokument som undertecknats av den elektroniska lagen som är undertecknad i enlighet med federal lag.

8,6. Personuppgifter kan erhållas av Employment Center från en person som inte är föremål för personuppgifter, förutsatt att Employment Center bekräftar förekomsten av de grunder som anges i klausulerna 2-11 i del 1 i artikel 6, del 2 i artikel 10 och del 2 i artikel 11 i federal lag "om personuppgifter ".

9. GENOMFÖRANDE AV RÄTTIGHETERNA FÖR ÄMNEN FÖR PERSONUPPGIFTER

9,1. När man behandlar en PD, tillhandahåller Employment Center de nödvändiga förutsättningarna för att PD ska kunna utöva sina rättigheter fritt.

9,2. PD-personen har rätt att få tillgång till hans personuppgifter.

9,3. Ett PD-objekt har rätt att få information om behandling av personuppgifter, innehållande: Bekräftelse av PD-behandling av Employment Center. juridiska skäl för PD-behandling Målsättningarna och metoderna för PD-bearbetning som tillämpas av Employment Center Namn och plats för sysselsättningscentralen, information om individer (med undantag för anställda i sysselsättningscentret) som har tillgång till personuppgifter eller som kan lämna personuppgifter på grundval av ett avtal med anställningscentret eller på grundval av federal lag PD: er som behandlas av det berörda PD-ämnet, källan till deras kvitto, såvida inte ett annat förfarande för inlämning av sådan information föreskrivs i federal lag PD-behandlingstid, inklusive lagringstid; förfarandet för utövandet av ämnet för PDN av rättigheter som föreskrivs i federal lag "om personuppgifter" Information om slutförd eller avsedd gränsöverskridande dataöverföring Namn eller efternamn, namn, patronym och adress till den person som utför behandling av PDN på uppdrag av Employment Center, om behandlingen har anförtrotts eller kommer att överlåtas till en sådan person. Övriga upplysningar enligt federala lagar.

9,4. Rätten till en PD-aktör att få tillgång till hans personuppgifter kan vara begränsad i fall som uttryckligen föreskrivs i federala lagar.

9,5. En PD-ämne har rätt att försvara sina rättigheter och legitima intressen, inklusive ersättning för skadestånd och (eller) ersättning för moralsk skada i domstol.

9,6. Om en PD-ämnare anser att anställningscentralen behandlar sitt PD i strid med kraven i federal lag "på personuppgifter" eller på annat sätt bryter mot sina rättigheter och friheter, har PD-personen rätt att överklaga handlingar eller inverkan av Employment Center till den behöriga organet för att skydda PD-ämnenas rättigheter eller domstolsbeslut.

10. UPPGIFTER OM ÅTGÄRDER SOM ANVÄNDAS AV SYSTEMET

ÅTGÄRD FÖR ATT SÄRSKILDA GENOMFÖRANDET AV ANSVAR FÖR FÖRARBETE AV PERSONUPPGIFTER

10,1. Sysselsättningscentret vid behandling av PD utför sina uppgifter som PD-operatör som föreskrivs i federal lag "På personuppgifter".

10,2. Sysselsättningscentralen vidtar de åtgärder som är nödvändiga och tillräckliga för att säkerställa att de uppgifter som föreskrivs i denna federala lag och de rättsakter som antagits i enlighet med den uppfylls.

10,3. Employment Center bestämmer självständigt sammansättningen och listan över nödvändiga och tillräckliga åtgärder för att säkerställa uppfyllandet av de skyldigheter som föreskrivs i denna federala lag och de rättsakter som antagits i enlighet med den, om inte annat föreskrivs i federala lagar.

10,4. Sysselsättningscentret ger obegränsat tillträde till detta dokument (Policy), till informationen om de faktiska kraven för PD-skydd genom att posta på den officiella webbplatsen för Amur Region Oblast Employment Department på http: // zanamur. ru, GKU av Amur-regionen i centrala sjukhuset i staden Svobodny på http://svobzan.amur.ru.

11. UPPGIFTER OM GENOMFÖRANDE AV SYSSELSÄTTNINGSSENTER FÖR ÅTGÄRDER FÖR SKYDD AV PERSONUPPGIFTER I DIN FÖRARBETE

11,1. Sysselsättningscentralen i PD-bearbetning garanterar att nödvändiga juridiska, organisatoriska och tekniska åtgärder vidtas för att skydda PD mot olaglig eller oavsiktlig tillgång till dem, förstörelse, modifiering, blockering, kopiering, tillhandahållande, distribution av PD, samt från andra olagliga handlingar avseende PDN.

11,2. För att skydda personuppgifter implementerar Employment Center kraven för skydd av personuppgifter när de behandlas i personuppgifter informationssystem som inrättats av Ryska federationens regering.

11,3. Att säkerställa PD-säkerhet uppnås av Employment Center, särskilt:

· Identifiering av hot mot säkerheten för personuppgifter när de behandlas i ISPDN i Employment Center

· Användning av organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter när de behandlas i ISPDN för sysselsättningscentret, som är nödvändiga för att uppfylla kraven för skydd av personuppgifter, vars fullgörande tillhandahålls av de nivåer av personuppgifter som fastställts av Ryska federationens regering.

· Användningen av de informationssäkerhetsåtgärder som godkänts på föreskrivet sätt

· Bedömning av effektiviteten i de åtgärder som anställningscentralen vidtagit för att säkerställa säkerheten för personuppgifter före idrifttagandet av SPDN.

· Med tanke på maskinbärarna PD på Employment Center

· Upptäcka fakta om obehörig tillgång till PDN och vidta åtgärder

· Återställande av PDN modifierat eller förstört till följd av obehörig åtkomst till dem

· Upprättande av regler för tillgång till PDN behandlad i SPDN i Employment Center samt att registrera och registrera alla åtgärder som utförs på PDN i ISPDN i Employment Center.

· Kontroll över de åtgärder som vidtagits för att säkerställa säkerheten för personuppgifter och säkerhetsnivån för ISPDN i Employment Center.

11,4. Information om åtgärder som vidtagits av Employment Center för att skydda personuppgifter är begränsad information.

12. Policyändring. Gällande lag

12,1. Employment Center har rätt att göra ändringar i denna policy.

12,2. När du ändrar rubriken till policyen anges datumet för den senaste uppdateringen av revisionen.

12,3. Den nya versionen av policyn träder i kraft från det datum då den skickades på Amurskaya Oblast-avdelningen, om inte annat anges i den nya versionen av policyn.

Sätt att hantera personuppgifter

Fråga-svar på ämnet

frågan

Vad är relaterat till personuppgifter, och vad är relaterat till handlingar med personuppgifter?

Svaret

Enligt punkt 9 i Roskomnadzors order daterad 19 augusti 2011 nr 706, inkluderar metoderna *

- icke-automatiserad behandling av personuppgifter

- Uteslutande automatiserad behandling av personuppgifter med eller utan överföring av mottagen information över nätverket.

- Blandad behandling av personuppgifter (Anm. N 4).

Och till åtgärderna i enlighet med Art. 3 i federal lag av 27.07.2006 nr 152-FZ. I personuppgifter ingår: *

- Förtydligande (uppdatering, ändring)

- distribution (inklusive överföring)

- Förstöring av personuppgifter.

Motiveringen för denna ställning ges nedan i materialet "System Lawyer".

• FEDERAL LAW, 27.07.2005 nr 152-ФЗ "OM PERSONUPPGIFTER"

"Personlig databehandling är någon åtgärd (operation) eller uppsättning åtgärder (operationer), * utförd med hjälp av automatiseringsverktyg eller utan användning av sådana medel med personuppgifter, inklusive insamling, inspelning, systematisering, ackumulering, lagring, förfining (uppdatering, ändring) utvinning, användning, överföring (distribution, tillhandahållande, tillgång), depersonalisering, blockering, radering, förstöring av personuppgifter "

• BESTÄLLNING AV ROSKOMNADZOR FRÅN 19 augusti 2011 nr 706

"Fältet" förteckning över handlingar med personuppgifter, en allmän beskrivning av de metoder som användaren använder för att behandla personuppgifter "* anger vilka åtgärder som operatören utför med personuppgifter samt en beskrivning av de metoder som användaren använder för att behandla personuppgifter:

- icke-automatiserad behandling av personuppgifter
- Uteslutande automatiserad behandling av personuppgifter med eller utan överföring av mottagen information över nätverket.

- Gemensam behandling av personuppgifter (Anmärkning N 4) Anmärkning N 4. Vid automatisk bearbetning av personuppgifter eller blandad bearbetning är det nödvändigt att ange huruvida den information som erhållits vid behandling av personuppgifter överförs på den juridiska personens interna nätverk (informationen är endast tillgänglig för strikt definierade anställda hos den juridiska personen ) eller informationen sänds med hjälp av det allmänna Internet eller utan att överföra den mottagna informationen. "

* Så markerad del av materialet som hjälper dig att fatta rätt beslut.

Likbez på personuppgifter för företag som behandlar dem

Villkor, nyanser och frekventa vrangföreställningar - i materialet från experterna från säkerhetstjänsten "Onlanta" (ingår i gruppen av företag LANIT).

Vi förstår den juridiska terminologin och de nyanser som du kan vara i domstol.

Förklara villkoren i mänskligt språk

Huvudrätten som reglerar relationer i samband med behandling av personuppgifter är den federala lagen av den 27 juli 2006 nr 152-ФЗ "På personuppgifter".

Den första termen som ska förstås är personuppgifter.

Vad är personuppgifter

Det här är all information som kan användas för att identifiera en person: till exempel fullständigt namn, födelsedatum, utbildning, inkomst och till och med civilstånd. Du frågar: "Och vad är mitt efternamn, skrivet på visitkortet, också personuppgifter?"

Svar: "Ja." Enligt lag spelar det ingen roll om endast ditt efternamn skrivs ut på visitkortet eller i kombination, till exempel med ett telefonnummer och en adress. Både den första och den andra och den tredje personuppgifterna. Det är sant att lagring av visitkort eller telefonnummer för tjejer i telefonboken inte behöver besvaras enligt lag, men mer på det nedan.

Gå vidare. Medierna skriver ständigt "lagring av personuppgifter". Korrekt sett är det inte lagring, utan behandling av personuppgifter. Vad är skillnaden? Lagring är bara en del av det som kallas personlig databehandling. Alla handlingar som du utför med personuppgifter (samla, samla, lagra, överföra, ändra) är laggivna som "personlig databehandling".

Det är viktigt att förstå att lagen skiljer två personuppgifter: operatören och processorn. Operatören utför bearbetningen av personuppgifter och bestämmer också syftet med behandlingen, sammansättningen av personuppgifter som ska behandlas, handlingar som utförs med personuppgifter.

En hanterare är någon som utför några handlingar med personuppgifter: insamling, lagring, organisering, ackumulering, uppdatering, uppdatering, radering, depersonalisering och så vidare.

Faktum är att en hanterare inte bara är en slutanvändare, som behöver personuppgifter för arbete, men också någon mellanliggande användare, genom vilka händer dessa personuppgifter passerade. Visa i praktiken.

uppgift

Online-butiken har en kunddatabas, som ligger i "tredje partens" moln. En marknadsföringsbyrå arbetar med denna bas. Fråga: Hur många personuppgifter har vi?

Det rätta svaret är en. Det här är en webbutik som ställer in målen för personlig databehandling. Den andra frågan: Hur många personuppgifter har vi? Det rätta svaret är två.

1. Ett företag som har en nätbutikdatabas i sitt moln.
2. En marknadsföringsbyrå som hämtar data och, baserat på dessa data, kan förbereda ett erbjudande till kunder.

Personuppgifter behandlas i många olika institutioner, till exempel i banker, skolor, kliniker, visumcentra. För att inte nämna de webbsidor där vi registrerar, lämnar våra e-postadresser och telefonnummer. Men hur och var exakt?

nyans

Det finns så oklart term i lagen som "personuppgifter informationssystem". Om du försöker förklara i enkla termer - det här är ett komplex, som består av databasservrar, tekniska medel för att säkerställa bearbetning och informationsteknik. I enlighet med lagen måste ett personuppgifter informationssystem skyddas.

Metoder för att skydda information är olika.

• Fysisk: I rummet där datorerna är placerade kan kameror installeras, åtkomstkontroll, larmsystem kan användas.
• Tekniskt - med hjälp av specialiserade informationsmedel.
• Administrativ: alla slags regler och regler för behandling av personuppgifter inom företaget.

exempel

Ett sätt att skydda information är depersonalisering av personuppgifter. Vad är det I visumcentret tilldelas varje person som ansöker om visering ett separat identifikationsnummer. Numret i sig hänvisar inte till personuppgifter, eftersom det depersonaliserar en person: det är omöjligt att identifiera den som ansökte om visering.

Jag verkar vara behandling av personuppgifter.

Så, med terminologin sorterad ut. Nu ska alla företrädare för företagen, särskilt enskilda entreprenörer, som bara har ett fåtal anställda i personalen, svara på frågan: "Behandlar jag personuppgifter?"

Ja, om du är ägare till en webbplats med närvaro på fem personer i veckan, men det har en återkopplingsblankett med fälten "namn, e-postadress, telefonnummer". Information om syftet med vilka du samlar in personuppgifter, hur du använder den, ska presenteras på din webbplats.

Ja, om du behandlar personuppgifterna för dina anställda eller tredjeparts specialister anställda för att göra lite arbete.

Ja, om du arbetar med privata kunder och du behöver deras passuppgifter för att ingå avtal - gäller det för resebyråer, träningscenter, olika serviceföretag, nätbutiker och andra.

Och igen, ja, om du är en budgetorganisation, politiskt parti eller dagis. Den senare har inte bara information om barnet utan också om sina föräldrar, inklusive arbetsplats och ställning. För att inte tala om medicinska institutioner - det finns ett hav av personlig känslig information som måste lagras säkert.

Om du använder data för personlig kommunikation utan kommersiell nytta, gäller dock inte lagstiftningens krav på dig och det är ingen fråga om något straffrättsligt ansvar.

Till exempel innebär din användning av kontakter som skrivs ut på ett visitkort som du fått från en kollega eller telefonnummer i en anteckningsbok på en smartphone inte information om sociala nätverk på dig ansvaret för lagen.

Det viktigaste är att inte lämna uppgifter till annonsörer och inte publicera dem utan tillstånd från ägare av personuppgifter i det offentliga området.

Bestäm kategori av personuppgifter

Grattis, du är den stolta ägaren av titeln "personuppgifter". Det viktigaste är nu att förstå exakt vilka personuppgifter du behandlar. Eftersom det beror på kategorin personuppgifter, hur man skyddar data och vilka krav som ska uppfyllas. Kategorierna beskrivs i detalj i Federal Law-152 och regeringens resolution av 1 november 2012 N 1119.

Kategorier av personuppgifter i enkla ord:

Allmänt tillgängliga personuppgifter: Data från öppna resurser, som publiceras av ämnet för personuppgifter eller med godkännande. Allmänt tillgänglig data är data från media eller Internet.

Exempel: information publicerad i öppen åtkomst på sociala nätverk eller på företagets hemsida. Telefonnummer och familjestatus publicerad i allmänhetens tillgång till Facebook. Arbetstagarens namn och hans position på arbetsgivarens hemsida.

Biometriska personuppgifter: Denna kategori innehåller alla data om människornas fysiologiska och biologiska egenskaper.

Exempel: vikt, höjd, öga eller hårfärg, hårlängd, blodtyp, foto.

Personuppgifter i en särskild kategori: Detta inkluderar information om att tillhöra någon ras och nation, politiska åsikter, religiösa och filosofiska övertygelser, hälsotillstånd eller intimt liv.

Exempel: medicinsk diagnos (information om vad du var sjuk med, när vilken läkare behandlade dig).

Personuppgifter av andra slag - det här inkluderar personuppgifter som inte ingår i ovanstående kategorier.

Exempel: företagsinformation. Redovisningskort för anställda som innehåller information som HR och bokföring arbetar: lön, semesterperioder, anställningsdatum.

Kategori, antal, typ av hot - skyddsnivå

När du väl har bestämt dig för kategorin personuppgifter måste du förstå exakt mängd data som du behandlar: upp till 100 tusen eller över 100 tusen.

Hittade ut kategorin och kvantiteten, bestämma typen av hot:

Hot nummer 1 "Hål" och sårbarheter i operativsystemet. Exempel: Sårbarheter som hackare använder för att infiltrera operativsystemet för att stjäla information.

Hot nummer 2 "Hål" och sårbarheter i applikationsprogrammet, det vill säga i programvaran som används i ditt dagliga arbete. Exempel: Word, Excel.

Hot nummer 3 Alla andra hot som inte är listade i de två första typerna. Först av allt, den mänskliga faktorn. En anställd kan lämna ett dokument öppet på en olåst dator, skicka ett dokument för att skriva ut till någon annans skrivare eller via e-post.

Mängden personuppgifter, kategori, typ av hot - tillsammans ger dig möjlighet att bestämma vilken nivå av skydd som krävs för ditt informationssystem. Det finns nu fyra skyddsnivåer.

Den första och högsta skyddsnivån används oftast för behandling av personuppgifter i myndigheter och medicinska institutioner. Den fjärde skyddsnivån är det enklaste att tillhandahålla, ibland räcker det med att genomföra organisatoriska regleringsåtgärder, främst gäller skyddet av allmänt tillgänglig data.

Du kan bestämma nivån på skyddet med den här tabellen.

exempel

Sjukhuset behandlar patientens personuppgifter - det här är personuppgifterna i en särskild kategori. Det behandlar också personuppgifter för anställda - det här är personuppgifter i en annan kategori. Mest sannolikt har sjukhuset två databaser. Om du lägger till båda databaserna får du den totala mängd personuppgifter som spinner i informationssystemet på detta sjukhus.

Till exempel, alla av dem - upp till 100 tusen. Därefter tittar vi på hur data bearbetas: automatiserad (i en dator) eller inte automatiserad (i ett manuellt arkivskåp). Om allt är automatiserat ser vi på vilken programvara sjukhuset använder, vilka sårbarheter den har.

Baserat på detta identifieras hot och deras nivå. Vi lägger till alla faktorer och får skyddsklassen på andra nivån. Vi tittar på vad kraven i lagen stavas ut på den andra säkerhetsnivån. På grundval av dessa krav är det nödvändigt att bygga ett informationssystemskydd för att uppfylla kraven i federal lag.

Lite om risken för läckage av personuppgifter

Varför bry sig om personligt skydd alls? Personuppgifter är ett dyrt föremål på den svarta marknaden. Svindlarna är villiga att betala imponerande belopp för en profil som innehåller fullständiga uppgifter om en persons journals. Separat marknad - försäljning av bankkortdetaljer; konton i sociala nätverk.

Konsekvenserna av personläckage är olika. Uppgifterna kan vara offentligt tillgängliga på Internet: Du kan t.ex. enkelt hitta stulna databaser med adresser och telefonnummer till företagets kunder på nätverket. Att veta namn och efternamn kan vem som helst ta reda på en persons hemadress, gå på det sociala nätverket, visa en profil eller bara skriva ett SMS till en mobiltelefon.

Personuppgifter kan komma in i databasen med irriterande mailings från någon kommersiell organisation, då kommer deras ägare att bli överväldigad med oönskade erbjudanden av tjänster. De kan också användas av onlinespelare för onlinekasinon eller för att öppna en elektronisk plånbok.

I de värsta fallen kan en angripare efterlikna en annan person och ta betalt för någon annans namn. De allvarligaste konsekvenserna av läckage av personuppgifter är: olagliga handlingar med fastigheter, stöld av pengar från bankkort, utpressning av släktingar och registrering av ett företag.

Ansvaret för ansvaret

Förstår du betydelsen av frågan och är redo att bära ansvar? Det är rätt. Eftersom ansvaret för säkerheten för personuppgifter ligger helt hos operatören.

Det innebär att operatören måste ta hand om att informationen inte strömmar till allmänhetens tillgång eller faller inte i händerna på tredje part som inte har några rättigheter till det. Detta kräver kontinuerlig övervakning och förebyggande av datasäkerhetshot, kontroll över informationssäkerhetsnivån och återställandet vid förlust.

I vårt land övervakar Roskomnadzor efterlevnaden av lagstiftningen inom personuppgifter. Denna kropp svarar på klagomål, reglerar relationerna mellan ämnen och operatörer.

FSTEC: s och FSB: s ansvar för att skydda informationen är att de utvecklar krav och kontrollerar deras genomförande.

Krav på behandling av personuppgifter

Och nu är det dags att studera tabellerna med kraven på det tekniska skyddet av personuppgifter. Detaljer finns i order av Federal Service for Technical and Export Control den 18 februari 2013 N 21.

Men börja med att börja med det här:

1. Registrera med Roskomnadzor som operatör av personuppgifter. Nödvändigt att ansöka om Roskomnadzor i pappersform eller elektronisk form. Information om länken.
2. Få skriftligt samtycke från alla enheter vars personuppgifter behandlas. Samtycke till behandling av personuppgifter är det huvudsakliga rättsliga dokumentet som bekräftar lagenligheten av behandlingen av personuppgifter.
3. Utveckla intern dokumentation. Idrifttagning på order av organisationens chef "Förordningar om behandling av personuppgifter". I det här dokumentet förklarar operatören hur han planerar att använda personuppgifter, för vad och var de ska överföras. Detta är ett grundläggande dokument som krävs av någon personuppgifter. Baserat på det utvecklas alla andra administrativa dokument.

Många webbplatsägare tror att om en besökare klickar på knappen "Jag godkänner behandlingen av personuppgifter", kommer det inga rättsliga problem och databehandling kommer automatiskt att falla in i rättsfältet. Det är det inte.

Ur juridisk synvinkel finns det endast två sätt att bekräfta ditt samtycke till behandling av personuppgifter: Skriv en signatur på papper eller använd en elektronisk digital signatur.

I alla andra fall, om saken går till domstol, kan platsägaren inte bekräfta vem som precis tryckt på "Jag håller med" -knappen. Man kan bara hoppas att ämnet som kom till din webbplats skickar frivilligt sina uppgifter och inte gör ett klagomål.

Är det verkligen en check?

Ja, checkar kan vara från Roskomnadzor.

Roskomnadzor publicerar årligen en lista med kontroller selektivt från listan över registrerade operatörer, om ett företag ingår i kontrolllistan, är nästa planerade check möjlig tidigast efter tre år. Du kan se om ditt företag är på listan i år här.

Off-plan kontroller orsakas oftast av klagomål. Om kontrollen är oförskjuten bör du varnas om det i 24 timmar skriftligen.

Det kan också finnas dokumentkontroller. När du dokumenterar skickar du en lista med dokument, kopior av vilka måste skickas till Roskomnadzor.

Ibland gör Roskomnadzor inspektioner på plats: inspektörer personligen gör besök för att kontrollera företaget på plats.

Att förbereda sig för någon av dessa kontroller är en tidskrävande uppgift. Kommer du att lösa uppgiften att själv förbereda inspektionen eller involvera externa specialister, måste du först bestämma vem i företaget ska ansvara för att följa FZ-152.

Böter, domstolar och andra fasor

För brott mot 152-FZ är civilrättsligt, straffbart, administrativt och disciplinärt ansvar.

Så, Roskomnadzor genomförde en inspektion, om det funnit inkonsekvenser med lagen, kommer han att utfärda en order till utredningskommittén att göra en rättegång mot överträdelsen av lagen "om personuppgifter".

Därefter börjar åklagarmyndigheten en inspektion, under vilken den kan avbryta bolagets verksamhet: dra tillbaka företagets databas, i synnerhet de datorer där personuppgifterna behandlades.

Våldsbrottslingar väntar främst på böter. Bötesbeloppet varierar beroende på brottet. Således, för behandling av personuppgifter utan skriftlig tillåtelse från enheterna, måste juridiska personer åläggas administrativt ansvar.

Även om operatören är villig att betala böter, men enligt storföretagens normer, verkar det inte stort, men gärningsmannen måste fortfarande eliminera inkonsekvensen före lagen (till exempel radera lagrade data) och meddela Roskomnadzor.

Det värsta scenariot är om Roskomnadzor beslutar att återkalla bolagets licens, förbjuda företag från att behandla personuppgifter och olagligt publicera personuppgifter om medborgare.

Under de senaste åren har den högsta skandalen i Ryssland förknippats med att blockera LinkedIn, vars ägare anklagades för att behandla personuppgifter från medborgare utan sitt samtycke till servrar utanför Ryska federationen. Blockeringen av autonum.info-tjänsten var också "gjorda ljud".

Hur mycket kostar det pengar och styrka

Du kan organisera behandlingen av personuppgifter självständigt eller med hjälp av ett företag som tillhandahåller en sådan tjänst.

Om du bestämmer dig för att själv behandla personuppgifter måste du:

1. Förstå vilken kategori av personuppgifter du bearbetar och vad är de tekniska kraven för deras skydd.
2. På egen hand eller med hjälp av ett IT-företag, utveckla tekniska lösningar, förbereda inköp av nödvändig utrustning och programvara, installera den och implementera den.
3. Utfärda alla juridiska dokument. Utveckla en uppsättning interna dokument: instruktioner och föreskrifter.

I bästa fall kommer det att ta tre till fyra månader, till kostnaden för ett sådant genomförande kan det vara 200-300 tusen rubel - det här är kostnaden för att köpa utrustning och licenser. Arbetskostnader och ytterligare stöd till informationssystemet är ett separat utgiftsposter. Du behöver också en administratör som övervakar systemets funktion.

Att prata objektivt uppfyller inte mycket små företag helt enkelt alla krav i lagen i hopp om att det inte kommer någon kontroll. Kanske det verkligen inte. Andra företag skapar "Potemkin-byar" genom att låtsas att behandla personuppgifter i enlighet med lagens krav, det vill säga de "köper" de nödvändiga dokumenten.

I nästa artikel visar vi hur man beräknar kostnaden för att hantera personuppgifter inom ett företag och berätta när det är mer lönsamt att göra personuppgifter och när det är bättre att sätta in det i molnet.

Materialet publiceras av användaren. Klicka på "Skriv" -knappen för att dela din åsikt eller prata om ditt projekt.

Personuppgiftslagen: konsekvenser för kontorsarbete

• Khramtsovskaya Natalia | Kandidat för historisk vetenskap, ledande expert på dokumenthantering av EOS Company, ISO Expert, Medlem av Internationella Arkiveringsrådet

Letar efter grundorsaken

Ryska federationens federala lag nr 152-ФЗ "On Personal Data" antogs den 27 juli 2006, och mot bakgrund av andra utestående händelser under det gångna året gick nästan obemärkt. Den formella anledningen till antagandet var de många fakta om stöld av personuppgifter baser i statliga och kommersiella strukturer och deras utbredda försäljning. I själva verket var huvudsyftet med att anta denna lag behovet av att undanröja vissa handelshinder med EU: s länder.

Frankrike förbjöd publicering av fakta om integritet och ålagts böter för åsidosättare år 1858.

Den norska strafflagen förbjöd offentliggörandet av uppgifter om "personliga eller privata angelägenheter" 1889.

Inhemsk lag "Personuppgifter" av den 27 juli 2006 började 152-FZ den 26 januari i år (i enlighet med del 1 i artikel 25 träder lagen i kraft 180 dagar efter den officiella publikationen, som ägde rum den 29 juli 2006 i "Rossiyskaya Gazeta").

Enligt EU-direktiv 95/46 / EG kan personuppgifter endast överföras till länder som tillhandahåller samma skyddsnivå som i Europa. Detta hindrade väsentligt utbytet av information från europeiska myndigheter och företag med sina utländska partners vilket gör det omöjligt för många kommersiellt lovande projekt. Sådana begränsningar upplevdes inte bara av Ryssland och tredje världsländerna utan också av ett ekonomiskt monster som Förenta staterna. Så beslutade vår regering att övervinna detta hinder. Låt oss se hur han gjorde det och vad det kostar oss alla.

Antagandet av den ryska lagen om personuppgifter var resultatet av Ryska federationens anslutning till 1981 års europeiska konvention om skydd av personen i samband med automatisk behandling av personuppgifter som definierar de grundläggande principerna för skydd av personuppgifter i europeiska länder. Denna konvention och de efterföljande EU-direktiven skisserade de uppgifter som nationell lagstiftning bör ta upp när man reglerar personuppgifter:

• skydd av personuppgifter från obehörig tillgång till dem av andra personer, inklusive företrädare för statliga organ och tjänster som inte har den nödvändiga myndigheten
• säkerställa säkerheten, integriteten och tillförlitligheten av data i arbetet med att arbeta med dem, inklusive överföring via kommunikationskanaler;
• Att säkerställa den korrekta rättsordningen för dessa uppgifter när de arbetar med dem för olika kategorier av personuppgifter.
• säkerställa kontroll över medborgarnas användning av personuppgifter
• Skapandet av en särskild oberoende struktur som säkerställer effektiv kontroll över att en medborgares rättigheter respekteras för att skydda hans personuppgifter (till exempel skapande av tjänstgöring som kommissionsledamot för skydd av personuppgifter).

Vår lag upprepar i stor utsträckning de viktigaste bestämmelserna i europeisk lagstiftning på detta område, vilket anses vara en av världens tuffaste 2. Trots att man i 2006 talade om ganska ofta, men få människor noggrant läste innehållet i sina bestämmelser. Men för att säkerställa att kraven uppfylls är det nödvändigt att ändra arbetet väsentligt med information och dokumentation som innehåller personuppgifter. Låt oss försöka lista ut vad som är nytt inom hanteringen av dokument och information i organisationen?

• I alla organisationer finns ett nytt, ganska omfattande lager av dokumentation. Dessa är handlingar relaterade till att enskilda personer samtycker till behandling av deras personuppgifter, med registrering av databaser med behörig myndighet, med dokumentation av alla transaktioner med personuppgifter etc.
• Det finns ett behov av att markera dokument och information som innehåller personuppgifter. deras speciella märkning både på papper och elektroniska medier; separat bokföring och åtkomstspårning. Du kan prata om utseendet på en annan typ av nacktillgång till dokument.
• Grundläggande förändringsstrategi för att upprätthålla dokumentation och information. För första gången i inhemsk praxis fastställs den maximala lagringsperioden och den villkorliga perioden, som är ganska svår att observera och spåra.
• När man arbetar med personuppgifter är det nödvändigt att tydligt tänka på i förväg och registrera det i de rättsakter som är kopplade till behandlingen. Annars kan organisationen hållas ansvarig, och ännu mer obehagligt kan det finnas många rättssaker från de personuppgifter som själva 3.
• Lagen introducerar mycket strikta tidsfrister för genomförandet av alla medborgares överklaganden i samband med behandling av personuppgifter.

Låt oss nu bo mer ingående i de viktigaste lagbestämmelserna och bedöma vilka organisationer och institutioner som måste göra för att genomföra den. Dessutom kommer vi att försöka analysera vissa bestämmelser i lagen när det gäller korrekthet och tydlighet i formuleringen.

Omfattning av lagen

Den allra första frågan: vem gäller denna lag? Som svar på det kan vi säkert säga att det gäller alla utan undantag (till statliga institutioner, juridiska personer och individer). Här är en lista över artikel 1:

• federala myndigheter
• statliga myndigheter i Ryska federationens beståndsdelar,
• andra statliga organ
• lokala regeringar,
• kommunala organ som inte ingår i systemet för lokala självstyreorgan,
• juridiska personer
• individer.

Den andra viktiga frågan är lagens räckvidd.

Artikel 1 i Ryska federationens federala lag "På personuppgifter" nr 152-FZ av den 27 juli 2006

Denna federala lag reglerar relationer i samband med behandling av personuppgifter... med hjälp av automatiseringsverktyg eller utan att använda sådana medel om behandlingen av personuppgifter utan att använda sådana medel motsvarar karaktären av de åtgärder som utförts med personuppgifter med hjälp av automatiseringsmedel.

Ordalydelsen i denna artikel är ett exempel på hur man inte skriver lagar. Det visade sig något obegripligt, vilket möjliggjorde en rad olika tolkningar. Hur, på grundval av en sådan text, att svara, till exempel, frågan om huruvida uppgifterna i fri form i en företagsanmälan omfattas av lagens räckvidd? Om en sådan anteckningsbok lagras i en dator eller i en mobiltelefon betraktas det som "användning av automatiseringsutrustning"?

Den europeiska lagstiftningen i detta avseende är tydligare:

EU-direktiv 95/46 / EG 1995

Artikel 2 "Definitioner":

c) "personuppgifter" 4 ("lagringssystem") är en strukturerad uppsättning personuppgifter som kan nås enligt vissa kriterier - oavsett hur datasättningen är organiserad, vare sig centraliserad, decentraliserad eller distribuerad på en funktionell eller geografisk grund...

Artikel 3 "Omfattning":

1. Detta direktiv avser behandling av personuppgifter med hjälp av automatiska medel (helt eller delvis) samt bearbetning på annat sätt än automatiska personuppgifter, komponenter eller avsedda att ingå i lagringssystemen.

I modern datorterminologi betyder "strukturerad data" först och främst databaser. I pappersarbete innehåller de kortfiler och arkiv av personliga filer. Därför omfattar europeiska krav:

• till automatisk behandling av personuppgifter och
• för användning (antingen i automatiskt eller annat läge) som innehåller personuppgifter i pappers- och elektroniska databaser, kortfiler etc. som har en sökmekanism som gör det enkelt att extrahera information om en viss person.

Varför var det omöjligt att skriva på ryska och i vår lag är det obegripligt?

Uppmärksamhet bör ägnas åt skillnaden i terminologi: "automatisk bearbetning" är en sak, och bearbetning "med hjälp av automatiseringsutrustning" är ett helt annat koncept, mycket bredare och mer vagt.

Lagen ger endast fyra undantag, nämligen lagen gäller inte för förhållanden som uppstår:

• vid behandling av personuppgifter för personliga och familjebehov
• vid behandling av personuppgifter i handlingar från Ryska federationens arkivfond
• vid behandling av personuppgifter för införlivande i Unified State Register of Individual Entrepreneurs (EGRIP)
• vid behandling av personuppgifter klassificerade som statshemligheter.

En av dessa punkter kräver mer detaljerad studie. Till att börja med citerar vi lagen:

Artikel 1 i Ryska federationens federala lag "På personuppgifter" nr 152-FZ av den 27 juli 2006

2. Denna federala lag gäller inte för relationer som härrör från

2) Organisation av lagring, förvärv, redovisning och användning, innehållande personuppgifter om dokument från Ryska federationens arkivfond och andra arkivdokument i enlighet med lagen om arkiv i Ryska federationen.

Vi påminner dig om två definitioner som lagts fram i lagen "om arkivfrågor i Ryska federationen" nr 125-ФЗ daterad den 10.2.2005:

• arkivdokument - ett konkret medium med information som registreras på den, som har detaljer, som gör att den kan identifieras och är föremål för lagring på grund av betydelsen av den angivna bäraren och informationen för medborgare, samhälle och staten.
• Dokumentet från Ryska federationens arkivfond är ett arkivdokument som har gått igenom granskningen av värdet av dokument, sätts på statsredovisning och är föremål för permanent lagring.
  Det visar sig att om en permanent lagringsperiod etableras för ett dokument eller en databas och de ingår i Ryska federationens arkivfond, gäller denna lag inte dem. Denna fel tillåter myndigheter med all seriös databas för att undvika genomförandet av den nya lagen om personuppgifter.

Här är ett exempel på hur detta kan göras. Enligt den federala lagen "om arkivfrågor i Ryska federationen" (del 2 i artikel 18) godkänner Ryska federationens regering listan över federala verkställande organ och organisationer som utför förvaring av dokument från Arkivfonden i Ryska federationen som är i federalt ägande. En ny lista över 5 av dessa avdelningar och organisationer godkändes i slutet av 2006. Samtidigt var dessa organisationer beordrade att ingå ett avtal om lagringsvillkoren för dokument med Rosarkhiv. Om det vid kontraktets slut anges att alla handlingar, utom operativa, anses vara handlingar som överförs för förvaring, då kan huvuddelen av dokumenten placeras under detta undantag.

För andra statliga organisationer kan ett av alternativen vara ett snabbt godkännande av ärenden med statliga arkiv, vilket i själva verket skulle innebära att dokument läggs in i Ryska federationens arkivfond och återigen lämnar "handlingsområdet" i lagen om personuppgifter.

EU-direktiven innehåller inte ett sådant undantag, det finns till exempel i US-kod 6, som innehåller mer korrekt ordalydelse som inte tillåter tvetydighet: Personuppgifter gäller inte generellt för dokument som redan har deponerats i statsarkiv, men gäller för handlingar som överförts till statsarkivet av någon myndighet för vårdnad.

Det är också oklart varför vår lag gjorde från våra många statliga databaser ett undantag för Unified State Register of Individual Entrepreneurs (EGRIP). Det skulle vara logiskt att utvidga undantaget till andra statliga register som också innehåller personuppgifter (till exempel innehåller inbyggnaden information om grundarna och första personer från alla juridiska personer i landet).

Personuppgifter och metoder för bearbetning

Personuppgifter - All information om en fysisk person (personuppgifter) som bestäms eller bestäms på grundval av sådan information, inklusive hans efternamn, förnamn, patronym, år, månad, datum och födelseort, adress, familj, social, egendomsstatus, utbildning, yrke, inkomst, annan information (enligt artikel 3 i lagen om personuppgifter).

Lagen föreskriver följande metoder för behandling av personuppgifter (för ett antal av dem beskrivs detaljerade förklaringar i artikel 3):

• samling;
• systematization;
• ackumulering;
• lagring;
• förtydligande (uppdatering, förändring);
• använda - "handlingar" med personuppgifter som utförs av operatören 7 för att fatta beslut eller utföra andra handlingar som ger upphov till rättsliga konsekvenser i fråga om personuppgifter eller andra personer eller på något annat sätt som påverkar rättigheter och friheter i ämnet personuppgifter eller andra personer "
• distribution (inklusive överföring) - "Åtgärder som syftar till att överföra personuppgifter till en viss personkrets (överföring av personuppgifter) eller bekanta med personuppgifter om ett obegränsat antal personer, inklusive offentliggörande av personuppgifter i media, placering i information och telekommunikation nät eller ge tillgång till personuppgifter på något annat sätt ";
• Depersonalisering - "Åtgärder, varför det är omöjligt att fastställa identiteten av personuppgifter till ett visst ämne för personuppgifter".
• blockering - "tillfällig upphävande av insamlingen, systematisering, ackumulering, användning, spridning av personuppgifter, inklusive överföring av dem"
• förstörelse av personuppgifter - "åtgärder som inte kunde återställa innehållet i personuppgifter i informationssystemet för personuppgifter eller resultera i förstörelse av materialbärare av personuppgifter".

Särskild uppmärksamhet bör ägnas åt sådana behandlingsmetoder som att blockera och förstöra personuppgifter. Lagen säger ganska bra om förstörelse - det här är det tillvägagångssätt som nu rekommenderas av inhemska och utländska standarder. När det gäller blockeringen av personuppgifter infördes denna metod för behandling av hushållspraxis för första gången och genomförandet kan väsentligt komplicera organisationernas liv med hjälp av tidigare utvecklade informationssystem och databaser där en sådan operation inte tillhandahålls.

Principer och villkor för behandling av personuppgifter

Bestämmelserna i lagen syftar främst till att förhindra olaglig insamling och användning av personuppgifter. Denna önskan av lagstiftaren har lett till att en ny ställning för rekordhantering har uppstått:

Klausul 2 i artikel 5 i Ryska federationens federala lag "om personuppgifter" av den 27 juli. 2006 nr 152-FZ

Personuppgifter ska lagras i en form som gör det möjligt att bestämma ämnet, inte längre än vad målen för behandling kräver, och bör förstöras när man når målen för personlig databehandling eller förlusten av behovet av att uppnå dem.

I det här fallet anger lagen för första gången kanske information och dokumenterar den maximala och dessutom villkorade lagringsperioden - "när målen uppnås". Organisationer måste fastställa lagringsperioder för dokument som innehåller personuppgifter, och det är nödvändigt att i förväg tänka på motiveringen för de valda lagringsperioderna. Det här är en ganska komplicerad fråga som kan orsaka en hel del kontroverser och problem.

Dessutom måste DOE-specialister uppmärksamma följande: Eftersom målen för insamling och behandling av personuppgifter, enligt lagens krav, måste bestämmas innan arbetet påbörjas, är det nödvändigt att noggrant överväga formuleringen. Annars kan organisationen själv "ersätta" sig själv: målen kommer att uppfyllas och personuppgifter kommer inte att förstöras.

En av de mest obehagliga för organisationer som samlar in och behandlar personuppgifter är kravet i artikel 6 om behovet av att få samtycke från ämnet för behandling. Samtycke krävs endast i följande fall:

• på grundval av federal lagstiftning
• för att uppfylla kontraktet med ämnet för personuppgifter
• för statistiska eller vetenskapliga ändamål
• att skydda livets och hälsan hos ämnet för personuppgifter
• för leverans av postartiklar av postorganisationer
• i samband med professionell verksamhet hos en journalist, forskare, etc.
• Uppgifter som ska offentliggöras i enlighet med federala lagar
• för att skydda grunden för den konstitutionella ordningen, moral, hälsa, rättigheter och legitima intressen för andra, för att försvara landet och statens säkerhet.

Vi har redan ett antal federala lagar som beskriver behandling av personuppgifter, till exempel vid upprätthållande av Unified State Register of Taxpayers (EGRN) och juridiska personer (USR). Det enda villkoret för att använda undantaget från det allmänna samtycket är att ange följande frågor i relevant lagstiftning:

• mål,
• Villkor för att erhålla personuppgifter
• cirkel av ämnen vars personuppgifter är föremål för behandling,
• operatörens befogenheter att samla in uppgifterna.

Det är ännu inte klart vad som kommer att hända med de lagar som innehåller normer relaterade till insamling och behandling av personuppgifter, men uppfyller inte det angivna villkoret.

Den första till problemen i samband med överensstämmelse med den nya lagen uppmärksammade försäkringsbolagen. Enligt deras uppfattning kan lagen om personuppgifter på allvar försvåra genomförandet av lagen om tvångsförsäkringsskydd för tredje man på grund av förbudet att överlåta kundens personuppgifter som erhållits vid avslutandet av MTPL-avtalet till tredje part utan sitt samtycke. Som ett resultat kommer försäkringsbolaget inte att kunna få fullständig information om sina kunder från en enda databas (och upprätthållandet av en sådan databas är också ifrågasättande), i så fall ökar riskerna med försäkringsgivare.

Redan försäkrar försäkringsbolagen att lösa detta viktiga problem för dem genom att överväga följande alternativ:

• Ändringar av lagen om OSAGO och försäkringsgivarnas skyldighet att utbyta uppgifter om försäkrade händelser.
• Definition av en del av personuppgifter som allmän. Den information som en individ anger när man gör ett OSAGO-kontrakt är enligt försäkringsgivarna offentliga. Lagen "On Personal Data" kräver dock att samtycke erhålls för insamling av offentliga data.
• Utskottet för försäkringskassans försäkringskommitté (ARIA) för att bekämpa försäkringsbedrägerier har redan utarbetat två räkningar som planeras skickas till statsduman i början av 2007. Enligt chefen för utskottet, Yevgeny Potapov, kommer en av dessa räkningar att ändra lagen "om organisationen av försäkringsverksamheten i Ryska federationen." Det kommer att göra det möjligt för försäkringsgivarna att skapa automatiserade informationssystem baserat på deras föreningar och föreningar, som innehåller uppgifter om försäkringsfordringar och betalningar 8.

Artikel 6 § 6 om att ge rätt till att behandla personuppgifter till journalister, forskare och företrädare för andra kreativa yrken utan att ämnet godkänns är i tvivel. Det är ganska realistiskt (särskilt i kommersiella strukturer) att införa en heltidsposition för "en representant för det kreativa yrket" och "skriva till det" alla databaser som innehåller personuppgifter.

Till exempel i England, i en liknande lagbestämmelse, föreskrivs dessutom att i detta fall syftet med databehandling bör vara offentliggörandet av det relevanta materialet, att en sådan publikation måste vara av allmänt intresse (inbegripet vid utövandet av rätten till självuttryck av en representant för det kreativa yrket) 9.

Dessutom är det intressant hur vi bestämmer vem som är journalist eller författare, och vem är det inte. Det är ingen hemlighet att många av de skriftliga bröderna inte har lämpliga examensbevis eller officiella ID-nummer. Här kan den metod som används i USA vara användbar för oss: journalister känner igen alla som skriver artiklar för offentlig distribution, även om de bara publiceras på Internet.

I Förenta staterna i januari 2007 började försöket med tidigare ledare George Bush Lewis "Scooter" Libby-administrationen. Ett hundra platser var avsedda för pressen i rättssalen och två av dem mottogs officiellt av författarna till Internet dagböckerna.

American Society of Newspaper Editors, när man utarbetar en federal lag om att ge journalister rätt att inte avslöja konfidentiell information under rättsliga förfaranden, föreslår att denna lag gäller alla utan undantag och täcker dem som samlar information för vidare distribution. Och författarna till Internet dagböcker, "bloggare", omfattas också av denna definition 10.

Låt oss nu se hur den nya lagen innebär att samtycke från ämnet till behandling av hans personuppgifter.

Artikel 1 i artikel 9 i Ryska federationens federala lag "om personuppgifter" av den 27 juli. 2006 nr 152-FZ

Personuppgifterna beslutar om tillhandahållande av personuppgifter och godkänner deras behandling av egen vilja och i eget intresse. Samtycket till behandling av personuppgifter kan återkallas av personuppgifterna.

Dessutom innehåller klausul 3 i artikel 9 ett ganska obehagligt tillstånd för operatörerna. De måste antingen samla bevis för att de uppgifter som samlas in av dem tas från offentligt tillgängliga källor eller erhålla samtycke från ämnet för personuppgifter och sedan lagra detta dokument om "ämnet" beslutar att stämma operatören för brott mot sina rättigheter.

Med allmänt tillgängliga data är det inte så enkelt. Artikel 8, som definierar vad som menas med offentligt tillgängliga källor till personuppgifter (referensböcker, adressböcker, etc.), betonar att personuppgifter endast kan ingå där med skriftligt medgivande av ämnet. Dessutom kan "information om ämnet för personuppgifter när som helst uteslutas från offentligt tillgängliga källor till personuppgifter på begäran av ämnet för personuppgifter eller av en domstol eller andra auktoriserade myndigheter."

Å andra sidan, om en organisation använde offentligt tillgängliga källor till personuppgifter vid insamling av information, skulle den behöva dokumentera var den mottog denna information och se till att källan har det skriftliga medgivandet som krävs enligt lag.

Ryska federationens federala lag "På personuppgifter" av den 27 juli. 2006 nr 152-FZ

Artikel 12 i artikel 3. Grundläggande villkor som används i denna federala lag

Allmänt tillgängliga personuppgifter är personuppgifter som ett obegränsat antal personer har tillgång till med samtycke av ämnet för personuppgifter eller till vilket kravet på sekretess inte är tillämpligt i enlighet med federala lagar.

Artikel 1 § 1. Allmänt tillgängliga källor till personuppgifter

För att tillhandahålla informationsstöd kan offentligt tillgängliga källor till personuppgifter (inklusive referensböcker, adressböcker) skapas. Allmänt tillgängliga källor till personuppgifter med skriftligt medgivande av ämnet för personuppgifter kan innehålla hans efternamn, förnamn, mellannamn, år och födelseort, adress, abonnentnummer, information om yrket och annan personlig information som tillhandahålls av personuppgifterna.

Klausul 3 i artikel 9. Samtycke om ämnet för personuppgifter om behandling av personuppgifter

Skyldigheten att bevisa samtycke från personuppgifter till behandling av personuppgifter och vid behandling av allmänt tillgänglig personuppgifter är operatören skyldig att bevisa att personuppgifter som behandlas är offentligt tillgängliga.

Det visar sig att för att skydda sig själva måste organisationer be om officiell bekräftelse för varje medborgare.

Hur ska ämnes skriftliga samtycke lämnas in? Det visar sig att en medborgares underskrift under den allmänna frasen "Jag håller med om insamling och behandling av mina personuppgifter" kommer inte att räcka till.

Artikel 4 i artikel 9 i Ryska federationens federala lag "om personuppgifter" av den 27 juli. 2006 nr 152-FZ

... det skriftliga medgivandet av ämnet av personuppgifter till behandling av deras personuppgifter bör innehålla:

1. efternamn, namn, patronym, adress på ämnet för personuppgifter, numret på huvuddokumentet som bevisar sin identitet, uppgifter om datum för utfärdande av det angivna dokumentet och utfärdande myndighet
2. Namnet (efternamn, namn, patronym) och adress till operatören som erhåller samtycke från ämnet för personuppgifter.
3. Syftet med behandlingen av personuppgifter
4. En förteckning över personuppgifter för behandling av vilka samtycke från ämnet för personuppgifter ges.
5. Förteckningen över handlingar med personuppgifter för vilka samtycke ges, en allmän beskrivning av de metoder som användaren använder för behandling av personuppgifter.
6. den period under vilken samtycket är giltigt, liksom förfarandet för återkallandet.

Detta innebär att operatören måste ta fram en särskild form av dokumentet som skulle innehålla all nödvändig information innan han "hämtar" ämnet för personuppgifter och försöker få sitt samtycke.

Rättsinnehav av personuppgifter

För det första har ämnet för personuppgifter rätt att få följande information:

• information om operatören,
• information om operatörens plats,
• Information om operatörens personuppgifter om det relevanta ämnet för personuppgifter,
• Ämnet har också rätt att bekanta sig med hans personuppgifter som innehas av operatören.

Från operatören kan ämnet för personuppgifter kräva:

• klargöra dina personuppgifter
• deras blockering eller förstörelse i händelse av att personuppgifter är ofullständiga, föråldrade, felaktiga, olagligt erhållna eller inte nödvändiga för det angivna syftet med behandlingen.

Många svårigheter för operatörsorganisationer kommer att skapa klausul 2 i artikel 14 i lagen som kräver att information om tillgängligheten av personuppgifter lämnas till operatören i en tillgänglig form och att de inte innehåller information om andra ämnen i personuppgifter.

Case 11 "Durant vs. Financial Services Authority", som behandlades i Court of Appeal i England i december 2003, fick ett brett svar. Domstolens beslut begränsade väsentligt tolkningen av begreppet "personuppgifter". I synnerhet ansåg domstolen att den enda omnämnandet av denna person i texten i dokumentet inte räcker till för att överväga det dokument som innehåller personuppgifter. Dessutom bekräftade domstolen att rätten att få tillgång till sina personuppgifter inte skulle bryta mot tredje parts rättigheter och att personuppgifter från tredje part därför bör tas bort från kopior av handlingar som lämnats på begäran (med undantag för speciella fallssituationer).

I november 2004 nekade regeringen att arbetstagare i Förenade kungariket har rätt att få tillgång till deras personuppgifter, oavsett om deras arbetsgivare håller dem i papper eller elektronisk form om de lagras i ett system som inte klart strukturerar informationen för varje person. Lagringssystemen för pappersfiler (med undantag för personliga filer) avlägsnades således faktiskt från lagens handling om tillgång till personlig information, eftersom De är svåra att isolera information om en viss person.

För att komma åt deras personuppgifter måste våra landsmän:

• Ansök personligen eller
• skicka förfrågan, som ska innehålla:
  • nummeret på huvuddokumentet som intygar identiteten hos ämnet för personuppgifter eller hans juridiska ombud,
  • Information om datum för utfärdande av det angivna dokumentet och utfärdande myndighet och
  • Handskriven signatur av ämnet för personuppgifter eller hans juridiska ombud.

Denna förfrågan kan skickas i elektronisk form och signeras med en digital signatur. Således ger lagen formellt möjlighet att söka personuppgifter via elektroniska kommunikationskanaler. Vi har ännu inte personer som har egna EDS som uppfyller lagen om EDS (i de överväldigande fallen används EDS i vårt land i enlighet med artikel 160 i civillagen, som föreskriver parternas preliminära överenskommelse).

Mängden information som ett ämne för personuppgifter kan begära visar oro för våra medborgare. Organisationer som leder databasen med personuppgifter rekommenderas att ägna särskild uppmärksamhet åt artikel 14 i den nya lagen för att tänka över och konsolidera förfarandet för att tillhandahålla information i interna föreskrifter:

1. det faktum att operatören behandlar personuppgifter, liksom syftet med sådan behandling
2. om metoderna för behandling av personuppgifter som används av operatören
3. om personer som har tillgång till personuppgifter eller som får beviljas sådan tillgång (för att kunna rapportera om vem och vilka personuppgifter som lämnats, är det nödvändigt att organisera arbetet med registrering av personuppgifter och kontrollera åtkomst till dem, annars är operatörsorganisationen ganska svårt att uppfylla detta krav)
4. Förteckning över behandlade personuppgifter och mottagningskällor
5. Behandlingstiden för personuppgifter, inklusive lagringstiden (särskild uppmärksamhet bör ägnas åt detta krav, eftersom det faktiskt förplikar operatören att fastställa bearbetnings- och lagringstiderna, som kan variera beroende på syftet med personlig databehandling, genom interna regleringsdokument).
6. Information om vilka juridiska konsekvenser för ämnet personuppgifter kan medföra behandling av hans personuppgifter (för att uppfylla detta krav bör organisationer på förhand instruera sina advokater att formulera motiveringar för alla möjliga rättsliga konsekvenser av personuppgifter)

Frågan om personlig databehandling "för att främja varor, verk, tjänster på marknaden genom direkta kontakter med en potentiell konsument via kommunikationsverktyg och för politisk kampanjer" ägnas åt en särskild artikel (artikel 15). Nu måste kommersiella och politiska organisationer, innan de skickar reklam, erhålla medborgarens medgivande och behandlingen av PD "erkänns utförd utan föregående samtycke av personuppgifterna om operatören inte bevisar att sådant samtycke erhölls." För vissa kommersiella strukturer kan detta krav vara mycket obekvämt!

Från och med nu "är det förbjudet att fatta beslut på grundval av enbart automatiserad behandling av personuppgifter, vilket medför rättsliga konsekvenser vad gäller personuppgifter eller på annat sätt påverkar hans rättigheter och legitima intressen" (artikel 16).

Denna bestämmelse är nödvändig och aktuell. Men våra lagstiftare förklarade två olika begrepp: "automatisk" (det vill säga utan mänskligt deltagande) och "automatiserad" (det vill säga med mänskligt deltagande). Som en följd av denna artikel, istället för att införa ytterligare restriktioner för dem och endast när informationssystemet fattar beslut utan mänsklig delaktighet (till exempel böter, förbud mot resor utanför landet etc.) kan tolkas som att införa restriktioner för alla typer av personuppgifter, eftersom även användningen av en kalkylator kan förstås som automatisk bearbetning!

I samma artikel i den nya lagen anges att operatören kommer att kunna fatta beslut baserade endast på "automatiserad" bearbetning, om:

• få skriftligt samtycke från den personuppgifter som berörs eller
• om dessa regler fastställs genom federala lagar.

I vissa regleringsdokument har dessa lagkrav redan beaktats. I proverna av ansökningar om utfärdande av en ny generation av pass finns således en särskild sektion där sökanden samtycker till "automatiserad" behandling av de uppgifter som anges i ansökan. Det låter som följer: "Jag håller med den automatiska bearbetningen, överföringen och lagringen av de uppgifter som anges i ansökan för tillverkning, bearbetning och kontroll av ett pass under sin giltighetsperiod" 12.

Operatören måste också i förväg ge följande information till medborgaren:

• beslutsordern på grundval av enbart "automatiserad" behandling av hans personuppgifter och
• eventuella rättsliga konsekvenser av ett sådant beslut
• förfarandet för skydd av ämnet för personuppgifter om sina rättigheter och berättigade intressen
• möjlighet att invända mot ett sådant beslut.

I händelse av tvist är det operatören som måste bevisa att han har uppfyllt alla lagkrav. Det innebär att han måste noga samla in och lagra stöddokument.

Operatörsansvar

Operatörens skyldigheter, i enlighet med artikel 18, omfattar i första hand tillhandahållandet av personuppgifter på begäran av medborgaren. Dessutom måste operatören "förklara personliga uppgifter om de rättsliga följderna av att vägra att lämna sina personuppgifter", om denna skyldighet är upprättad enligt federal lag.

I artikel 20 fastställs mycket strikta tidsfrister för operatörer att uppfylla förfrågningar från ämnen av personuppgifter (de är mycket tuffare, till exempel de som föreskrivs i den nyligen utfärda lagen "om förfarandet för att betrakta medborgare i Ryska federationen"):

• Dataförsörjning - inom 10 arbetsdagar från dagen för mottagandet av begäran.
• motiverat vägran - inom 7 arbetsdagar.

Operatören kommer att ha ännu fler frågor om det är nödvändigt att eliminera brott mot lagen inom den tidsram som anges i artikel 21 i den nya lagen. Datablockering ska utföras från det att begäran begärs eller från det att mottagandet mottogs och eliminering av överträdelser - inom tre arbetsdagar.

I vissa fall är operatören skyldig att förstöra personuppgifter inom tre arbetsdagar, nämligen:

• i händelse av misslyckande att eliminera överträdelserna
• vid uppnåendet av målet att behandla personuppgifter,
• i händelse av att personuppgifterna återkallar sitt samtycke till behandlingen av hans personuppgifter.

Både blockering och förstöring av personuppgifter kan vara svårt (och ibland omöjligt) att genomföra i nuvarande informationssystem och databaser som tidigare inte tillhandahöll en sådan möjlighet.

Det kommer att bli ännu svårare för operatören om han mottog personuppgifter inte från en medborgare, men från en tredje part.

Artikel 3 i artikel 18 i Ryska federationens federala lag "om personuppgifter" av den 27 juli. 2006 nr 152-FZ

Om personuppgifter inte erhölls från den personuppgifter som berörs, om inte personuppgifterna lämnades till operatören enligt federal lagstiftning eller om personuppgifter är offentligt tillgängliga, måste operatören tillhandahålla följande uppgifter till personuppgifterna innan de behandlar sådana personuppgifter:

1. namn (efternamn, förnamn, mellannamn) och adress för operatören eller hans representant
2. Syftet med behandlingen av personuppgifter och dess rättsliga grund
3. avsedda användare av personuppgifter
4. rättigheter för ämnet av personuppgifter som upprättats genom denna federala lag.

Bakom dessa ord är det mer tidskrävande arbete. Till exempel kan frågan uppstå: Hur ska informationen lämnas till ämnet? Är det möjligt att skicka det via post och kommer informationen att övervägas ges om ämnet inte har fått motsvarande brev?

Operatörens skyldighet enligt artikel 19 är också att säkerställa säkerheten för personuppgifter under bearbetningen. För att undvika problem bör operatörsorganisationen utveckla och konsolidera i alla regleringsdokument alla de organisatoriska och tekniska informationssäkerhetsåtgärder som den är beredd att vidta för att skydda personuppgifterna i sina informationssystem.

Statlig registrering av system för personlig databehandling

Lagen föreskriver att alla operatörer som utför behandling av personuppgifter måste anmäla den behöriga organen i förväg (artikel 22), som kommer att behålla register över operatörer i ett särskilt register. Den behöriga myndigheten, enligt artikel 23, är Ryska federationens informations- och kommunikationsteknik, som för närvarande utför "kontroll- och övervakningsfunktioner inom informationsteknik och kommunikation". Meddelandet måste stavas ut i detalj vad som är planerat att göra med personuppgifter. Eventuella förändringar i samband med behandling av personuppgifter måste också rapporteras till den behöriga myndigheten.

Det är tillåtet att behandla personuppgifter utan att anmäla den behöriga organen i följande fall:

• i närvaro av arbetsrelationer
• vid ingåendet av ett avtal till vilket personuppgifterna är parti
• om personuppgifter tillhör medlemmar (deltagare) i en offentlig förening eller religiös organisation och behandlas av relevant offentlig organisation eller religiös organisation
• om personuppgifter är offentligt tillgängliga
• om personuppgifter endast innehåller efternas namn, efternamn och patronymic;
• vid registrering av antagning;
• om personuppgifter ingår i informationssystem som enligt federala lagar har status som federala automatiserade informationssystem samt statliga informationssystem för personuppgifter skapade för att skydda statens och allmän ordningens säkerhet,

Sammanfattningsvis kommer vi att ge ett antal rekommendationer till operatörerna. Det kommer inte vara mycket svårt att uppfylla kraven i lagen om personuppgifter om detta arbete påbörjas nu utan att vänta på de första klagomålen och klagomålen. Du kan börja med följande självklara åtgärder:

• Det är lämpligt att utse en ansvarig tjänsteman för att se över alla frågor som rör genomförandet av denna lag i organisationen, och för stora företag kan skapandet av en särskild kommission vara motiverad.
• För alla informationsresurser i organisationen som innehåller personuppgifter måste du:
  • bestämma sin status (på grundval av vilken de skapades: i enlighet med lagstiftningen, för utförande av kontraktet, på eget initiativ etc.)
  • klargöra och registrera sammansättningen av personuppgifter och deras mottagningskällor (från en medborgare, från offentliga källor, från tredje part etc.);
  • fastställa lagringsperiod och behandlingstid för data i varje informationsresurs
  • bestämma bearbetningsmetoder;
  • identifiera personer med tillgång till data
  • formulera rättsliga konsekvenser
  • bestämma förfarandet för att svara på förfrågningar, möjliga svar och åtgärder, bedöma verkligheten i överensstämmelse med de fastställda svarstiderna.

I den här artikeln görs en analys av den nya lagen om skydd av personuppgifter från synpunkter från specialister inom registerhantering, vilket kommer att skämma bort mycket blod. Dess effektivitet kommer att visas av praktiken, men för närvarande, som en "personuppgifter", uppskattar jag listan över offentliga myndigheter som jag kunde skicka en begäran om att ge mig relevant information i enlighet med lagens krav. Nu har jag rätt!

1 Artikel 25 i kapitel IV i Europaparlamentets och rådets direktiv 95/46 / EG av den 24 oktober 1995 om skydd för enskilda personers rättigheter i fråga om behandling av personuppgifter och om fri rörlighet för sådana uppgifter.

2 Det är intressant att även USA inte följer strikta europeiska krav och amerikanska företag tvingas använda de så kallade "paraply" -avtalen.

3 Personuppgifterna är en person vars personuppgifter behandlas.

4 "personuppgifter arkiveringssystem"

5 Förteckningen över federala förvaltningsmyndigheter och organisationer som arbetar med förvaring av dokument från arkivfonden i Ryska federationen som är i federalt ägande omfattar 18 organisationer: Rysslands inrikesministerium, Rysslands utrikesdepartement, Rysslands försvarsdepartement, Rysslands SVR, Rysslands FSB, Rysslands federala drogkontrolltjänst, Roskartografiya, Ryska akademin för lantbruksvetenskaper, Ryska akademin för medicinska vetenskaper, Ryska akademiska utbildningsakademin, Ryska konstakademin, Ryska akademin för arkitektur och byggnadsvetenskap, Stat Stiftelsen: All-Russian Research Institute of Hydrometeorological Information - World Data Center, Federal State Institution "State Fund for Television and Radio Programs", Federal State Unitary Scientific-Production Enterprise "Ryska federala geologiska fonden", Federal State Unitary Enterprise "Ryska vetenskapliga tekniska center information om standardisering, mätning och bedömning av överensstämmelse ".

6 5 U.S. C. § 552a (k) (1) "Dokument till individer - Särskilda undantag - Arkivdokument".

7 Operatör - En statlig myndighet, en kommunal myndighet, en juridisk eller fysisk person, organisering och (eller) behandling av personuppgifter, samt att definiera syftet och innehållet i personuppgifter.

9 Data Protection Act 1998, artikel 32.

11 Durant vs Financial Services Authority (FSA).

12 Bilaga nr 1 till anvisningarna om förfarandet för behandling och utfärdande av pass av en medborgare i Ryska federationen, ett diplomatpass och servicepass, som är huvudhandlingarna som bekräftar identiteten för en medborgare i Ryska federationen utanför Ryska federationens territorium innehållande elektroniska medier (godkänd av Ryska federationens inrikesministerium, Ryska federationens utrikesdepartement och Rysslands federala säkerhetstjänst daterad den 6 oktober 2006 nr 785/14133/461).