Ochrona danych osobowych. Ustawa federalna "O danych osobowych" z dnia 27 lipca 2006 r. N 152-ФЗ: treść i uwagi

Kwestie prawne związane z ochroną danych osobowych dotyczą prawników działających w różnych obszarach prawa. Wynika to z faktu, że w każdej dziedzinie prawa istnieje pewna lista informacji, które wymagają zapewnienia jej poufności i nieproliferacji osobom trzecim przez osoby, którym powierzono to zadanie w trakcie wykonywania obowiązków służbowych.

Zastanowimy się więc, jakie informacje należą do tej grupy, a także funkcje systemu ochrony danych osobowych. Jak pracuje w przedsiębiorstwach i organizacjach? Ponadto należy rozważyć, co należy uwzględnić w strukturze rozporządzenia w sprawie ochrony danych osobowych pracowników (próba) i jak jest ono akceptowane.

Ogólna koncepcja

Jeśli mówimy o ogólnej koncepcji, poufne informacje to wszystkie te informacje, które są bezpośrednio związane z konkretną osobą. Z reguły są to jego dane osobowe. Jeśli wyjaśnić termin prawny, to osoba ta w praktyce prawnych specjalistów jest określana jako przedmiot danych osobowych.

Jakie dane prawodawca uważa za wzięte pod uwagę? Przede wszystkim jest to nazwisko, imię i patronim osoby, a także data i miejsce jego urodzenia. Ponadto, do grupy tych należą informacje o jego miejscu zamieszkania po fakcie, a także rejestracji. Informacje na temat stanu cywilnego osoby, jej statusu społecznego, dochodów i wykształcenia również należą do grupy informacji poufnych.

Legislacyjna regulacja pracy z danymi osobowymi w Rosji. Podstawowe regulacje

Jeśli chodzi o rosyjskie ustawodawstwo, zapewnia odpowiednią ochronę danych osobowych osób, które są nie tylko obywatelami kraju, ale także zamieszkują na jego terytorium z jakiegokolwiek powodu. Prawodawstwo regulujące te kwestie jest reprezentowane przez kilka rozporządzeń. W szczególności podstawowe prawo - Konstytucja, a także Ustawa federalna 152 "O ochronie danych osobowych" można przypisać do grupy takich. Zmiany w tych przepisach nie są wprowadzane zbyt często, co umożliwia specjalistom dokładniejsze przestudiowanie każdej nowej poprawki i jej właściwe zastosowanie.

Oprócz ustawodawstwa rosyjskiego kwestie związane z ochroną danych osobowych podlegają przepisom międzynarodowym. Ponadto działalność ta jest prowadzona również na podstawie aktów normatywnych wydanych przez władze lokalne istniejące w państwie. Ustawodawca zauważa, że ​​takie regulacje mogą zawierać regulacje dotyczące przetwarzania danych określonego typu, ale nie można zapewnić zasad ograniczających niektóre prawa podmiotów będących nosicielami danych osobowych.

Wszystkie prawa i regulaminy w którym wymogi dotyczące przetwarzania danych osobowych, a także zapewnienia ich przestrzegania, zgodnie z prawem, muszą być oficjalnie opublikowane w odniesieniu do zasobów dostępnych publicznie. Ta reguła ma jeden wyjątek, który dotyczy dokumentów regulujących pracę z tajnymi informacjami - ta informacja powinna być chroniona przed dostępem w dość ścisłej kolejności.

Zasady przetwarzania danych osobowych

W tekście ustawy federalnej 152 "O ochronie danych osobowych" stwierdzono, że praca z informacjami stanowiącymi dane osobowe powinna być prowadzona wyłącznie zgodnie z określonymi zasadami. Czym one są? Rozważ to bardziej szczegółowo.

Przede wszystkim wszystkie działania pracowników organów i służb zajmujących się przetwarzaniem danych osobowych powinny być przeprowadzane z uwzględnieniem podstawowej zasady - legalności. Oznacza to, że wszystkie informacje dostępne w bazie danych muszą być legalnie, w dobrej wierze i właściwie przetworzone, wyłącznie w ramach celów, dla których zostały dostarczone. Ponadto urzędowy który jest zaangażowany w przetwarzanie powierzonych mu informacji, musi wykorzystywać dane, które pozwalają na zakres jego uprawnień.

Wszystkie metody przetwarzania informacji, a także ich charakter, zakres muszą w pełni odpowiadać celom, dla których przyjęto te informacje. W procesie działania informacji nie można łączyć w celu przetworzenia jej w ramach kilku celów naraz. Wyjątkiem może być tylko praca wykonana w systemie informatycznym.

Wszystkie dane osobowe przekazywane do przetwarzania muszą być wiarygodne - jest to również jedna z podstawowych zasad pracy z informacjami o danej naturze. Ich ilość powinna być wystarczająca do przeprowadzenia operacji we właściwej formie, ustawodawca nie pozwala żądać nadmiarowych informacji, które nie są niezbędne do przeprowadzenia wszystkich koniecznych działań.

Warunki, w których przetwarzanie informacji jest możliwe

Rozporządzenie w sprawie ochrony danych osobowych stanowi, że wszystkie czynności związane z dostarczaniem informacji do przetwarzania muszą być wykonywane zgodnie z prawem. Co to znaczy?

Przede wszystkim należy pamiętać, że cała praca z danymi osobowymi powinna być prowadzona wyłącznie za zgodą osoby, która jest jej właścicielem. Co do osoby wykonującej samą procedurę pracy, musi ona być koniecznie autoryzowana przez prawo lub przez odrębny podmiot prawny, w którym odbywa się przetwarzanie. W przypadku, gdy osoba otrzymująca informacje w trakcie pracy z informacją musi przekazać ją innemu pracownikowi instytucji lub organizacji, wówczas druga osoba jest również zobowiązana do zapewnienia jej bezpieczeństwa.

W niektórych przypadkach ustawodawca przewiduje możliwość wykorzystania danych osobowych bez zgody podmiotu, który jest ich bezpośrednim przewoźnikiem. Dotyczy to w szczególności momentu, w którym dane są wykorzystywane do zestawiania raportów statystycznych, a także do osiągania celów naukowych. Dotyczy to również przypadku, gdy konieczne jest zapewnienie wypełnienia zobowiązań umownych, ochrona życia i zdrowia jednej osoby lub całego społeczeństwa. Ponadto zgoda podmiotu danych osobowych nie jest wymagana w przypadku, gdy informacje są wykorzystywane w pracy dziennikarzy, w twórczości lub w działalności naukowej. Jednakże rozporządzenia w sprawie ochrony danych osobowych wskazują, że informacje mogą być wykorzystywane wyłącznie do działalności zawodowej i tylko wtedy, gdy ich ujawnienie nie szkodzi przedmiotowi tej informacji.

Obowiązkowe do publikacji bez zgody samych przewoźników podlegają dane osobowe, które należą do pracowników miejskich, osób, które zastępują pierwszy urząd publiczny, kandydatów biorących udział w wyborach.

Specjalne kategorie danych osobowych

Ustawodawca podaje pewną listę danych osobowych, które są kilkoma kategoriami szczególnego rodzaju. Należą do nich informacje na temat tożsamości rasowej danej osoby, jej filozoficznych i osobistych przekonań, życia intymnego, a także stanu zdrowia. Te grupy informacji są szczególnie chronione prawem, a ich ujawnienie w żadnym wypadku nie jest dozwolone, z wyjątkiem niektórych przypadków. Czym one są?

Przede wszystkim należy zwrócić uwagę na to, że zgoda osoby na ujawnienie danych osobowych związanych ze specjalnymi kategoriami nie jest wymagana, jeżeli są one już publicznie dostępne. W przeważającej części dotyczy to dobrze znanych osobistości, których życie w publicznie dostępnych źródłach zawiera znaczną ilość informacji, w tym danych osobowych.

W przypadku, gdy przedmiot danych osobowych o szczególnym charakterze daje pisemną zgodę na ujawnienie informacji, mogą one również zostać ujawnione.

Jeśli chodzi o informacje dotyczące stanu zdrowia ludzi, ochrona danych osobowych tej grupy odbywa się w specjalny sposób. We współczesnej praktyce prawniczej istnieje coś takiego jak "tajemnica lekarska". To dzięki niemu zapewnia się zachowanie informacji medycznej o osobie. Osoby, które z racji swoich obowiązków służbowych są świadome stanu zdrowia pacjenta, nie mają prawa do ujawniania otrzymanych informacji stronom trzecim bez pisemnej zgody klienta instytucji medycznej. W przeciwnym razie osoba, która nie przestrzega tej zasady, ponosi odpowiedzialność. Aby uzyskać dane osobowe przez lekarza lub innego profesjonalnego pracownika instytucji medycznej lub profilaktycznej, podmiot nie potrzebuje pozwolenia, ponieważ brak uzyskania przez specjalistę informacji dotyczących stanu zdrowia człowieka może grozić mu śmiercią lub znacznym pogorszeniem ogólnego stanu organizmu.

We współczesnej praktyce jest to również dozwolone przetwarzanie informacji charakter osobisty, reprezentowany w grupie informacji specjalnych, przeprowadzany w procesie prowadzenia czynności dochodzeniowych lub postępowania w sprawie merytorycznej.

Biometryczne dane osobowe

W dobie nowoczesnej technologii coraz popularniejszy staje się nowy rodzaj informacji osobistych - dane biometryczne. Reprezentują specjalną grupę informacji. Przetwarzanie i ochrona danych osobowych tego typu odbywa się również na podstawie Ustawy Federacji Rosyjskiej "O danych osobowych".

Wspomniany akt stanowi, że przetwarzanie danych biometrycznych, które zawierają wszystkie informacje, które charakteryzują cechy biologiczne konkretnej osoby, może być dokonane wyłącznie na podstawie pisemnej zgody, która musi zostać przekazana bezpośrednio podmiotowi danych osobowych.

Jednak pomimo tak surowej ustawy dotyczącej ochrony poufności danych biometrycznych danej osoby istnieje wyjątek od tej zasady. Polega ona na braku konieczności pisemnej zgody danej osoby na przetwarzanie informacji biometrycznych w przypadku prowadzenia działań operacyjnych, które mogą być przeprowadzane przez organy ścigania różnych kategorii, a także przez funkcjonariuszy służb granicznych i imigracyjnych.

Środki bezpieczeństwa danych

Po zaakceptowaniu danych osobowych podmiotów do przetwarzania, operator i osoby, które przyjmują informacje do rozpatrzenia, są zobowiązane do zapewnienia ich bezpieczeństwa, co polega przede wszystkim na braku możliwości dotarcia do osób nieuprawnionych. Jakie są wymagania dotyczące ochrony danych osobowych?

Procedury związane z przechowywaniem danych osobowych osób powinny być wykonywane od momentu otrzymania informacji do przetwarzania. W tym celu operator, który wykonuje tę działalność, musi podjąć środki o charakterze technicznym i organizacyjnym, które zapewnią pożądany cel. Zazwyczaj odbywa się to za pomocą narzędzi typu szyfrowania (kryptograficznych), które zabezpieczają przed nieautoryzowanym i przypadkowym dostępem do wprowadzonych informacji, ich kopiowaniem, blokowaniem, zmianą i innymi operacjami, które mogą być wykonywane na danych wprowadzonych w otwartej formie.

W przypadku przetwarzania danych w systemach informatycznych należy również zapewnić odpowiednie bezpieczeństwo. Niektóre wymagania są zgłaszane do materiałów, na których przechowywane są dane biometryczne, a także do technologii, z którymi elementy są przechowywane.

W stosunku do osób i usług, których działalność wiąże się z gromadzeniem, przetwarzaniem i przechowywaniem danych osobowych osób, ustawodawca ustanawia pewną kontrolę, która zapewnia należytą realizację wszystkich punktów określonych w ustawie nr 152 "O ochronie danych osobowych". Jako osoby i organy kontrolujące przede wszystkim przedstawiciele władzy wykonawczej są wezwani do zapewnienia bezpieczeństwa w różnych dziedzinach działalności. Mają oni prawo sprawowania kontroli jedynie w granicach uprawnień, które Prawo przedstawia im, bez możliwości bezpośredniego dostępu do poufnych informacji.

Wszelkie czynności kontrolne i nadzorcze upoważnionych osób lub organów mogą być przeprowadzane na indywidualne żądanie danej osoby, której bezpieczeństwo danych osobowych nie zostało przekazane, a zatem wyciekły. Podmiot kontrolujący jest zobowiązany rozpatrzyć wniesione odwołanie, a następnie dokonać inspekcji, w wyniku której należy podjąć środki w celu dalszego zapewnienia bezpieczeństwa powierzonych danych osobowych, a także w celu wyeliminowania negatywnych konsekwencji ich ujawnienia. W przypadku, gdy operator nielegalnie uzyskał informacje lub zażądał danych, które są zbędne, organ nadzoru jest zobowiązany zażądać ich całkowitego usunięcia, a także zablokowania.

W sprawie poufności danych osobowych

Obecna ustawa o ochronie danych osobowych (FZ 152) przewiduje potrzebę zapewnienia poufności wszystkich informacji dostarczanych przez podmioty do przetwarzania. Obowiązek ten z zasady nakłada się na samego operatora, który akceptuje dane do przetwarzania, oraz na przedsiębiorstwa - na niektóre osoby określone w specjalnym rozporządzeniu. Jednak w dwóch przypadkach ustawodawca nadal pozwala na usunięcie poufności z informacji. Pierwszy z nich ma miejsce, gdy dane są całkowicie anonimizowane. Innymi słowy, można je ujawnić, ale tylko w taki sposób, że zgodnie z informacjami przekazanymi stronom trzecim nie można było ustalić, do kogo odnoszą się konkretnie dane osobowe.

Drugi przypadek usunięcia poufności informacji dotyczy już otwartych informacji. Z reguły takie dane osobowe obejmują imię i nazwisko osoby, rok urodzenia, miejscowość i dokładne miejsce zamieszkania, numer telefonu, a także informacje o wykształceniu, zawodzie, osiągnięciach zawodowych itp. Jest to jednak możliwe tylko wtedy, gdy podmiot danych osobowych wyraził pisemną zgodę na usunięcie poufności z informacji.

Rozdzielczość przedmiotu

Jak wspomniano powyżej kilka razy, przetwarzanie danych osobowych podmiotu wymaga jego pisemnej zgody na pracę z informacjami przekazanymi operatorowi. Może być sporządzony na piśmie i zabezpieczony osobistym podpisem. W razie potrzeby podmiot ma prawo do wycofania swojej zgody w dowolnym momencie.

Zezwolenie, o którym mowa, musi koniecznie zawierać pewną listę informacji na ten temat. Wśród nich podane są imię, nazwisko i patronim, jego miejsce zamieszkania, a także dane dokumentu wydanego przez państwo, które poświadcza tożsamość. Ponadto musi koniecznie wskazywać cel, dla którego dostarczane są informacje do przetwarzania, a także konkretny wykaz informacji, które zostały zaakceptowane przez operatora. Ponadto podmiot musi określić metodę przetwarzania informacji, na którą się zgadza.

Na samym końcu dokumentu należy określić termin, w którym zgoda podmiotu jest ważna, oraz kolejność, w jakiej można dokonać przeglądu pisemnego dokumentu.

Po zaznaczeniu wszystkich powyższych danych podmiot danych osobowych musi podać datę sporządzenia dokumentu, a także jego podpis.

W przypadku, gdy dana osoba nie jest w stanie wyrazić zgody na przetwarzanie danych w związku ze swoją śmiercią, spadkobiercy muszą to uczynić. Jeśli dana osoba jest niezdolna do pracy lub, z przyczyn fizjologicznych, nie jest w stanie wyrazić swojej zgody, może to uczynić jego prawny przedstawiciel.

Obowiązki operatora

FZ 152 "W sprawie ochrony danych osobowych" przedstawia wszystkim zainteresowanym stronom listę obowiązków, z którymi operator musi się zmierzyć, pracując z danymi osobowymi uczestników.

Na pierwsze żądanie (ustne lub pisemne) operator jest zobowiązany do dostarczenia podmiotowi, który jest nosicielem danych osobowych, wszelkich informacji na temat tego, w jakim celu zostaną wykorzystane wszystkie dostarczone im dane, jak dokładnie będą one przetwarzane, a także jak długo zostanie przeprowadzona procedura. W kolejności obowiązkowej informacje te należy również podać w momencie otrzymywania informacji i ich utrwalania.

W przypadku, gdy dane osobowe muszą być przekazywane w sposób obowiązkowy, operator musi powiadomić o tym fakcie, a także wyjaśnić możliwe konsekwencje prawne swojej odmowy tej procedury.

W niektórych przypadkach operator może otrzymywać dane osobowe osób nie od siebie, ale za pośrednictwem pośredników. W takim przypadku jest on zobowiązany do powiadomienia podmiotu danych osobowych o tym, kto przekazał jego informacje, a także o celu, dla którego została wykonana.

Przetwarzanie i ochrona danych osobowych należy w całości do obowiązków operatora, który otrzymuje informacje od osoby. To on jest odpowiedzialny za niewłaściwe wykonanie tej swojej bezpośredniej odpowiedzialności.

Ochrona danych osobowych w organizacjach i przedsiębiorstwach

Dla każdej osoby wykonującej pracę w jakimkolwiek przedsiębiorstwie lub organizacji istnieje osobiste zgłoszenie zgodne z wymogami prawa, które odzwierciedla ogromną ilość informacji reprezentujących dane osobowe. Ich bezpieczeństwo musi być zapewnione również za pomocą odpowiednich środków. Wszystkie wymagania dotyczące tego procesu znajdują odzwierciedlenie w treści rozporządzenia w sprawie ochrony danych osobowych pracowników, które musi być zestawiane indywidualnie dla każdego przedsiębiorstwa. Należy zauważyć, że istnieje jedna zalecająca forma tego aktu normatywnego, który ma charakter lokalny, jednak w przeważającej części zawiera podstawowe zasady i wymagania dotyczące treści. W razie potrzeby każde przedsiębiorstwo może przyjąć własne rozporządzenie w sprawie ochrony danych osobowych pracowników. Próbka tego dokumentu nie uwzględnia specyfiki prowadzenia działalności określonego przedsiębiorstwa, którą można poprawić, jeśli opracowany i przyjęty zostanie indywidualny dokument.

W odniesieniu do zachowania informacji i ochrony danych osobowych pracowników, funkcje te mogą być wykonywane w kolejności utrzymywania zaszyfrowanej bazy danych, w której wprowadzane są wszystkie indywidualne dane wprowadzone przez pracowników. Takie systemy informacyjne mają z reguły charakter lokalny lub systemowy, a ponadto może ich być kilka w przedsiębiorstwie. Dane wprowadzane do takich baz danych zawierają z reguły dane o pozycji, wynagrodzeniu, certyfikatach, tytułach akademickich, nagrodach, wykazie poszczególnych klientów, statusie społecznym itp.

Opracowanie rozporządzeń i związanych z nimi dokumentów

Proces opracowywania przedmiotowego rozporządzenia jest również przewidziany w ustawie federalnej "O ochronie danych osobowych". Ustawa stwierdza, że ​​dokument ten powinien zostać opracowany i przyjęty poprzez uzgodnienie każdej pozycji. Przede wszystkim należy opracować projekt dokumentu, w którym należy odnotować wszystkie główne przepisy, wśród których należy przewidzieć procedurę przetwarzania danych osobowych pracowników.

Ze względu na to, że każdy podmiot danych osobowych musi wyrazić zgodę na przetwarzanie jego danych osobowych, muszą zostać opracowane dwa dodatkowe projekty we wszystkich przedsiębiorstwach i organizacjach: wyrażenie zgody na przetwarzanie dostarczonych informacji, a także powiadomienia o uwzględnieniu wszystkich danych we wspólnej bazie. Ponadto, firma jest zobowiązana do stworzenia dokumentu, którego treść będzie zobowiązana do właściwego przechowywania informacji, które mają ograniczony status dostępu.

Fakt, że firma będzie prowadziła daną bazę danych, musi otrzymać zamówienie, które musi zostać podpisane przez kierownika lub osobę do tego upoważnioną. W tekście należy podać nazwę samej bazy danych, zatwierdzić przepis wprowadzony w jednostce strukturalnej lub całym przedsiębiorstwie jako całości, a także wskazać innowacje w działaniach urzędników, których działania są bezpośrednio związane z przetwarzaniem danych osobowych i ich przechowywaniem.

Po sporządzeniu wszystkich powyższych dokumentów, firma powinna mieć komisję do omówienia przedstawionych w nich postanowień. Dopiero gdy wszystkie osoby uwzględnione w komisji są usatysfakcjonowane z każdego przepisu, dokumenty mogą zostać podpisane i wprowadzone w życie.

W celu ochrony danych osobowych można wprowadzać zmiany w jednostkach strukturalnych przedsiębiorstw. Często w tym celu wprowadza się nowe ustalone stanowiska lub zmienia się zakres odpowiedzialności osób zajmujących istniejące stanowiska. Ustawa "O ochronie danych osobowych" nie ustanawia konkretnej listy pracowników odpowiedzialnych za bezpieczeństwo powierzonych informacji. Co do zasady, taki krąg osób jest określony w Regulacjach w każdym przedsiębiorstwie osobno.

Struktura statutu w zakresie ochrony danych osobowych (przykład)

Dane osobowe pracowników każdego przedsiębiorstwa muszą być odpowiednio chronione. W tym celu, tworząc rezerwę dla przedsiębiorstwa, należy wyraźnie wiedzieć, jakie punkty należy uwzględnić. Weźmy pod uwagę przybliżoną strukturę Statutu w zakresie ochrony danych osobowych (próbka).

Dane osobowe chronione i klasyfikowane jako osobowe muszą być dokładnie zdefiniowane w tym dokumencie. Z reguły w aktach lokalnych większości przedsiębiorstw ich wykaz jest wskazywany bezpośrednio po części wstępnej, w której należy sformułować ogólne przepisy i podstawowe pojęcia, które można wykorzystać w dokumencie. Regulamin powinien jasno określać kolejność, w jakiej dane będą dostępne, a także krąg uprawnionych osób. W przypadku, gdy przedsiębiorstwo lub organizacja ma określoną listę informacji osobistych, którym nadano specjalny status poufności, dostęp do niej należy ustalić osobno.

Regulamin musi przewidywać jasny zestaw działań i środków, za pomocą których dane będą chronione, odpowiedzialność za naruszenie ustalonych wymogów, kar za ujawnienie danych osobowych, a także za zaniedbanie w wypełnianiu ich obowiązków służbowych związanych z otrzymywaniem, przetwarzaniem informacji i zapewnieniem ich bezpieczeństwa .

W próbie Statutu dotyczącej ochrony danych osobowych stwierdzono również, że jej struktura powinna zawierać rozdział dotyczący praw i obowiązków pracowników związanych z przetwarzaniem ich danych osobowych.

W razie potrzeby, w związku ze specyfiką przedsiębiorstwa, Regulamin może zawierać dodatkowe wymagania i koncepcje.

Eliminacja nieprawidłowości w przetwarzaniu danych osobowych

Wszelka odpowiedzialność za brak bezpieczeństwa danych osobowych podmiotu, zgodnie z ustawą federalną "O ochronie danych osobowych", ponosi wyłącznie sam operator, który dokonał odbioru informacji i jej przetwarzania. W przypadku naruszenia wymogów prawa, jest on zobowiązany do podjęcia wszelkich środków niezbędnych do wyeliminowania naruszenia.

Zgodnie z ustawą federalną "O ochronie danych osobowych", jeżeli podmiot wystąpi do organów regulacyjnych z wnioskiem o niewłaściwą pracę operatora, który otrzymał jego dane osobowe, dane te należy niezwłocznie zablokować na czas przeprowadzania audytu. Po stwierdzeniu naruszenia operator jest zobowiązany do usunięcia wszystkich braków - należy to zrobić w ciągu trzech dni od daty podjęcia decyzji przez organ nadzorujący. Ustawa "O ochronie danych osobowych" stanowi, że eliminację naruszeń należy wprowadzić poprzez usunięcie informacji na ten temat. To samo należy zrobić, jeśli podmiot wycofał swoje zezwolenie na przetwarzanie danych osobowych. Na przykład każde rozporządzenie w sprawie ochrony danych osobowych pracowników (próba) musi zawierać w treści zasady dotyczące usuwania informacji o pracowniku, który wycofał swoje zezwolenie na przetwarzanie swoich danych osobowych.