Date personale din surse deschise. Date personale disponibile publicului. Modalități de a proteja informațiile personale și măsurile de precauție
Nu toate informațiile despre o persoană și viața sa pot fi diseminate și publicate în surse deschise. De la începutul expansiunii internetului, granițele au fost șterse și datele care ar trebui transmise numai cu permisiunea unei persoane sunt literalmente „furate” de la aceasta. Să aruncăm o privire mai atentă la ce sunt datele personale, ce include acest concept, cum sunt stocate datele marcate cu „PD”, care sunt sancțiunile pentru încălcarea legii și difuzarea neautorizată a informațiilor personale?
Baza normativă
Lista legilor privind datele personale:
- legea federală Federația Rusă din 27 iulie 2006 N 149-FZ Despre informare, tehnologii informatice si protectia informatiei;
- Decretul președintelui Federației Ruse din 3 aprilie 1995 N 334;
- Decretul președintelui Federației Ruse din 17 martie 2008 N 351;
- Decretul Guvernului Federației Ruse din 26 iunie 1995 privind certificarea mijloacelor de securitate a informațiilor N 608;
- Decretul Guvernului Federației Ruse din 15 august 2006 N 504 privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale;
- Decretul Guvernului Federației Ruse din 31 august 2006 N 532 privind activitățile de licențiere pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale;
- Ordinul FSB al Federației Ruse din 9 februarie 2005 N 66 „Cu privire la aprobarea Regulamentelor privind dezvoltarea, producerea, implementarea și funcționarea mijloacelor de securitate a informațiilor de criptare (criptografice) (Regulamente PKZ-2005)”;
- Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 Moscova „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în structurile de informații cu caracter personal;
- GOST conform securitatea informatieiși protecția informațiilor;
- GOST R 34.10-2001 Tehnologia informației. Protecție criptografică informație;
- GOST R ISO 7498-2-99 Tehnologia informației. Arhitectura de securitate a informatiilor;
- GOST R 50739-95 Echipamente informatice. Protecție împotriva accesului neautorizat la informații. Cerințe tehnice generale;
- GOST R 50922-96 Protecția informațiilor. Termeni și definiții de bază;
- GOST R 52069.0-2003 Protecția informațiilor. Sistem de standarde. Prevederi de bază.;
- GOST 28147-89 Sisteme de prelucrare a informațiilor.
Legea federală „Cu privire la datele cu caracter personal” poate fi descărcată aici:
Clasificarea datelor cu caracter personal
Conform Legii federale „Cu privire la datele cu caracter personal”, aceasta este orice informație care se referă direct sau indirect la viața subiectului. Ce se aplică datelor cu caracter personal:
- detalii despre prenume și pașaport;
- locul si data nasterii;
- adresa de inregistrare sau de domiciliu;
- Statusul familiei;
- informatii despre venituri si datorii;
- specialitate, profesie,
- informatii de angajare;
- sursa de venit.
Aceasta poate include, de asemenea, informații despre conexiunile sociale, contacte, viața personală, achizițiile unui cetățean sau ale membrilor familiei acestuia.
În conformitate cu partea 1, articolul 85 din Codul civil al Federației Ruse, informațiile personale ale unui angajat al întreprinderii includ toate informațiile necesare managerului pentru a reglementa toate procesele de muncă asociate unui anumit angajat.
Un număr de telefon este informații personale în Federația Rusă, deoarece este legat de datele pașapoartelor.
PD general
Datele generale le includ pe cele care sunt „la suprafață”. Datele personale publice sunt numele care poate fi văzut pe ecusonul unui angajat al companiei, numărul de telefon al acestuia în chestionarul de pe site, specialitatea și funcția. Dacă o persoană însuși distribuie date care nu aparțin secțiunii „General”, acest lucru nu oferă cetățenilor dreptul de a dispune de ele sau de a le publica în surse deschise.
PD biometric
Acestea includ greutatea, înălțimea, culoarea părului și a ochilor, amprentele digitale, naționalitatea și caracteristicile speciale. Aceste date sunt folosite de ofițerii de informații pentru a crea clienți potențiali și pentru a căuta criminali în bazele de date.
Poliția și agențiile de aplicare a legii nu au dreptul de a da amprenta cetățenilor fără o cauză probabilă și de a introduce informațiile acestora într-o bază de date.
PD special
Acestea includ rasa și naționalitatea, opiniile politice, convingerile religioase sau filozofice, sănătatea și viața intimă. Diseminarea acestor informații nu este permisă, cu excepția celor prevăzute în partea 2 a Legii federale nr. 152.
Nicio circumstanță nu obligă un cetățean să dezvăluie aceste date polițiștilor sau public. Această cerere poate fi respinsă în circumstanțe legale.
PD anonimizat
Acestea sunt date a căror proprietate nu poate fi determinată. Depersonalizarea este procesul de „înstrăinare” a datelor care face publice informațiile personale.
Exemplu: O organizație are 2 angajați – un bărbat și o femeie. Bărbatul urmează un cod vestimentar, iar femeia poartă burqa. Dacă angajatorul furnizează statistici cu privire la numărul de credincioși și/sau de persoane religioase, și în special un ateu, un credincios, va fi ușor de calculat cine este cine.
Un astfel de exemplu stângaci nu este o încălcare directă a legii; cu toate acestea, transferă date cu caracter personal (și, în plus, date speciale) către terți.
Prelucrarea datelor cu caracter personal
Protecția informațiilor personale poate fi asigurată prin mai multe surse de drept:
- Prima sursă de protecție este Codul Muncii al Federației Ruse, care consacră garanții, norme, reguli pentru reglementarea schimburilor și publicație deschisă materialele angajaților;
- A doua sursă este sistemul de raporturi organizatorice și juridice, carta întreprinderii, politica de confidențialitate general acceptată în acest domeniu al muncii;
- Al treilea factor este dreptul la protecția informațiilor personale, garantat de Constituția Federației Ruse fiecărui cetățean.
Schimbul de informații și utilizarea datelor cu caracter personal are loc pe parcursul întregului proces de muncă, între angajator și angajat, între angajați, precum și terți. Codul Muncii al Federației Ruse are cea mai mare prioritate în soluționarea situațiilor de conflict, urmat de carta și normele legale ale organizației, iar apoi dreptul la protecție garantat de Constituția Federației Ruse. Un angajator nu poate cere pur și simplu unui angajat să furnizeze informații. Numai informațiile care sunt necesare pentru încheierea unui contract de muncă, întocmirea documentelor de reglementare, posibila soluționare a conflictelor și a situațiilor controversate, un acord colectiv sau corporativ cu terți (conform textului articolului 22 din Codul Muncii al Federației Ruse) sunt supuse dezvăluirii.
Modalități de a proteja informațiile personale și măsurile de precauție
Organizatoric:
- Acces limitat la spațiile de depozitare și arhivele materialelor;
- Verificarea solicitantului înainte de a furniza informații;
- Format introductiv pentru furnizarea de informații;
- Sancțiuni și amenzi pentru încălcarea regulilor.
Tehnic:
- Criptografia și criptarea datelor;
- Crearea de servere și canale de comunicații separate;
- Distrugerea materialelor învechite;
- Ecranarea spațiilor și a dispozitivelor de protecție împotriva efracției.
Un angajat își poate exercita dreptul la protecția informațiilor personale prin:
- Acces gratuit la documentele care conțin datele sale personale (poate necesita o copie a oricărui document de reglementare).
- O cerință în legătură cu angajatorul de a șterge sau modifica datele personale sau o parte a acestora.
- Prin contestarea procedurii de transmitere, prelucrare și publicare a informațiilor de către o organizație.
Instrucțiuni pas cu pas pentru protejarea datelor într-o organizație:
- Dezvoltarea unui proiect de algoritm pentru prelucrarea informațiilor personale;
- Dezvoltarea unui sistem de consimțământ și refuz pentru prelucrarea materialelor personale;
- Elaborarea unui proiect de mesaj de notificare despre includerea materialelor personale în fluxul general;
- Proiectarea unei structuri angajate în menținerea informațiilor cu acces restricționat;
- Publicarea ordinului de introducere a materialelor de la angajații întreprinderii în baza de date, stabilirea procedurii și metodei de prelucrare și transmitere a informațiilor, desemnarea responsabililor, desemnarea sancțiunilor și amenzilor pentru încălcarea cartei;
- Efectuarea de modificări sau completări la forța de muncă și descrierea postului angajații care sunt responsabili pentru stocarea, furnizarea și prelucrarea informațiilor personale.
Pe Internet, ca și alte surse deschise, datele utilizatorilor sunt, de asemenea, stocate și procesate. Din 2017, site-urile care utilizează tehnologia cookie sunt obligate să informeze utilizatorii despre acest lucru. Această tehnologie vă va permite să afișați reclame relevante, să optimizați procesul de lucru și să accelerați algoritmii tehnici. Cu toate acestea, ei colectează date despre cetățeni:
- istoricul de navigare;
- link-uri și tranziții (site-ul vede de pe ce pagină a ajuns utilizatorul la el);
- la ce conturi sunt legate cont(dacă vă autentificați pe site folosind profilul de rețea socială);
- interogări de căutare (nu numai pe o anumită resursă. Google, Yandex și alți giganți ai tehnologiei colectează toate informațiile de la utilizatori).
Colectarea, stocarea și prelucrarea datelor sunt obligatorii. Dacă utilizatorul este împotrivă, trebuie să părăsiți resursa care colectează informații. Continuând să lucreze cu site-ul, utilizatorul își dă acordul cu colectarea datelor.
Ce trebuie să faceți dacă datele dumneavoastră sunt folosite fără consimțământul dumneavoastră
În primul rând, verificați dacă sunt PD speciale și dacă distribuirea lor este interzisă. Dacă legea este încălcată, trebuie să contactați urgent poliția cu o declarație, care să indice clar circumstanțele și momentul furtului. Consultați articolul 137 din Codul penal al Federației Ruse. În funcție de clasificarea și elementele infracțiunii, vă puteți aștepta la despăgubiri sub forma unei plăți cuprinse între 1.000 și 50.000 de ruble. Pentru oficiali, amenda este mult mai mare. Răspunderea penală prevede pedeapsa închisorii de până la 2 ani (măsura maximă de reținere).
Sperăm că articolul nostru a ajutat cititorul să înțeleagă problemele PD. Amintiți-vă că legile și drepturile omului în Federația Rusă sunt încălcate în fiecare zi și doar câțiva apelează la agențiile de aplicare a legii pentru ajutor. Dacă un cititor a devenit victimă sau martor al furtului de informații personale, nu se poate păstra tăcerea. Astăzi acestea sunt drepturile altcuiva, mâine sunt ale tale.
Atunci când postează informații despre ei înșiși pe rețelele sociale, nu toți cetățenii noștri înțeleg că acestea pot fi folosite pentru a-și compila profilul. JSC Biroul Național de Istorie a Creditelor (NBKI) a fost implicat activ în colectarea și prelucrarea acestor informații.
În mai 2017, Curtea de Arbitraj de la Moscova a examinat cazul nr. A40-5250/17, în care instanța trebuia să evalueze legalitatea prelucrării acestor date cu caracter personal.
Esența disputei
În august 2016, Biroul Roskomnadzor pentru Districtul Federal Central a efectuat o inspecție programată la fața locului a Biroului Național de Istorie a Creditelor SA (NBKI) privind conformitatea activităților de prelucrare a datelor cu caracter personal cu cerințele legale.
Pe baza rezultatelor inspecției s-a întocmit un proces-verbal de inspecție și s-a emis ordin de eliminare a abaterii constatate.
Apreciind prescripția privind necesitatea includerii în notificarea către organismul autorizat a datelor persoanelor fizice (clienți sau potențiali clienți ai unei organizații financiare) din surse deschise de informații transmise organizației financiare, obținute prin intermediul serviciului Double Data Social Link - web link, rezultatul căutării despre client sau potențial client și serviciul Double Data Social Atributes - prelucrarea profilului persoanei dorite în surse deschise de informații (clauza 1), precum și în ceea ce privește indicarea unei încălcări a cerințelor legale în formă de lipsă de consimțământ la prelucrarea conținută în surse deschise (rețele sociale: VKontakte, Odnoklassnimi, MoiMir, Instragram, Twitter; portaluri de internet Avito și Avto.ru) datele personale ale unui client sau potențial client al unei organizații financiare, ca parte a furnizarea de servicii pe baza serviciului" Date mare» ( acestea. "Date mare") - ilegală și cu încălcarea drepturilor și intereselor legitime ale societății în domeniul afacerilor și altor activități economice, aceasta din urmă a formulat cerere în instanța de arbitraj.
Poziția Curții de Arbitraj de la Moscova
În legătură cu prezenta cauză, instanța a reținut că prelucrarea datelor cu caracter personal este permisă în special în următoarele cazuri:
- Prelucrarea PD se realizează cu consimțământul PD care face obiectul prelucrării datelor sale personale (clauza 1, partea 1);
- Prelucrarea datelor cu caracter personal se realizează, accesul la un număr nelimitat de persoane este asigurat de către subiectul PD sau la cererea acestuia (date cu caracter personal puse la dispoziția publicului de către subiectul PD) (clauza 10, partea 1);
- Datele personale sunt disponibile unui număr nedeterminat de persoane;
- Informații personale furnizate direct de entitate însăși.
Potrivit instanței, datele cu caracter personal puse la dispoziția publicului de către subiectul datelor cu caracter personal pot fi conținute numai în surse de date cu caracter personal accesibile publicului.
Instanța a ajuns la concluzia că informațiile despre subiect (inclusiv datele personale) conținute în rețelele de socializare (pe internet) nu pot fi clasificate drept date cu caracter personal puse la dispoziția publicului de către subiect, întrucât rețelele sociale nu sunt o sursă de date cu caracter personal publicîn raport cu prevederile art. 8 din Lege.
Instanța a mai reținut că informațiile postate de proprietarii săi pe internet într-un format care permite prelucrarea automată fără modificări prealabile de către o persoană în scopul reutilizarii lor sunt informații disponibile publicului, postat sub formă de date deschise (articolul 7 din Legea federală din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologii informaționale și protecția informațiilor”).
Comentariul meu: Ei bine, aici curtea ușor „îndoită”; date deschise este o cu totul altă poveste!
Instanța a concluzionat că datele cu caracter personal prelucrate de NBKI JSC pe rețelele sociale nu au fost puse la dispoziția publicului de către subiectul datelor cu caracter personal și, prin urmare, acțiunile reclamantului au constituit încălcări ale părții 3 a articolului 22 și clauzei 1 din partea 1 a articolului 6 din Legea federală. Legea din 27 iulie 2006 Nr.152-FZ „Cu privire la datele cu caracter personal”.
Instanța de arbitraj a refuzat în totalitate să satisfacă cererea NBKI JSC de a invalida paragrafele 1 și 4 din ordinul Oficiului Roskomnadzor pentru Districtul Federal Central.
Poziția Curții a IX-a de Arbitraj de Apel
Curtea a IX-a de Arbitraj a reținut în iulie 2017 că societatea a fost inclusă în registrul operatorilor care prelucrează date cu caracter personal sub numărul 08-0031682.
În cadrul acestui tip de activitate, compania prelucrează datele personale ale clienților și potențialilor clienți ai organizațiilor financiare conținute în surse deschise (rețele sociale: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; portaluri de internet Avito și Avto.ru). Publicul nu are consimțământul clienților pentru a prelucra astfel de date.
Compania consideră că are dreptul de a prelucra date cu caracter personal despre persoane fără consimțământul acestora. Potrivit instanței, societatea nu a ținut cont de următoarele.
Potrivit curții de apel, datele personale prelucrate de companie conținute în surse deschise (rețele sociale: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; portalurile de internet Avito și Avto.ru) nu sunt disponibile publicului. În sensul Legii cu privire la datele cu caracter personal, postarea datelor cu caracter personal în aceste surse deschise nu le face automat disponibile publicului. Prin urmare, prelucrarea acestor date fără acordul subiectului nu este permisă.
Curtea a IX-a de Arbitraj de Apel a menținut decizia Curții de Arbitraj de la Moscova, iar recursul nu a fost satisfăcut.
Curtea de Arbitraj a Districtului Moscovaîn noiembrie 2017, a lăsat neschimbate decizia Curții de Arbitraj din Moscova și decizia Curții a IX-a de Arbitraj de Apel, iar recursul în casație nu a fost satisfăcut.
Poziția Curții Supreme a Federației Ruse
În ianuarie 2018, un judecător al Curții Supreme a Federației Ruse (hotărârea nr. 305-KG17-21291) a refuzat să transfere recursul în casație Biroului Național de Istorie a Creditului SA pentru examinare în ședința de judecată a Colegiului Judiciar pentru Litigii Economice al Curtea Supremă a Federației Ruse.
Comentariul meu: Prelucrarea informațiilor de la retele sociale este o metodă răspândită de colectare și analiză a informațiilor despre oameni și organizații, iar doar cei lenesi nu colectează astfel de informații despre clienții și contrapărțile lor. Adevărul dur al vieții este că oricine nu își verifică potențialii angajați, clienți și contractori în acest fel, nu își exercită de fapt diligența în afaceri. Cei care sunt mai vicleni încearcă să vorbească mai puțin despre asta în public și, dacă este posibil, evită să rostească cuvintele „date personale”.
Colectarea de informații despre cetățeni implică inevitabil problema legalității unor astfel de acțiuni, întrucât orice informație despre cetățeni reprezintă datele lor personale.
Aș dori să menționez că, indiferent de ordinea problemelor Roskomnadzor, dacă obținerea unor astfel de informații permite organizațiilor comerciale să reducă serios riscurile de pierderi financiare, procesarea acesteia va continua. Ei bine, poate avocații care vin cu o „acoperire” legală pentru această activitate vor câștiga puțini bani în plus :)
În fiecare zi, indivizii furnizează informații personale diferitelor autorități. Operatorii de date cu caracter personal sunt responsabili pentru prelucrarea informațiilor. Acestea sunt bănci, angajatori, organizații medicale, site-uri de internet și alte structuri. Operatorii sunt obligați prin lege să protejeze informațiile personale. Ei creează surse care conțin date cu caracter personal disponibile public (PD).
Ce este PD public?
Informațiile publice includ informații despre o persoană pe care aceasta le oferă în mod independent autorităților. Pentru a deschide accesul liber la informații, este necesară acordul scris al persoanei care face obiectul datelor cu caracter personal. Subiectul este individual, din care PD este colectat, stocat și procesat de către operator. Un operator este o persoană juridică sau fizică, o autoritate municipală sau de stat.
PD public include informații despre subiect prin care poate fi identificat:
- Data și locul nașterii;
- adresa de acasa;
- număr de telefon;
- profesie;
- codul fiscal individual;
- locul de muncă sau de studiu și alte informații.
Datele publice pot include orice informații care nu sunt confidențiale conform legii. Datele personale ale subiectului pot fi clasificate în funcție de volumul și gradul de importanță al informațiilor personale.
Datele publice includ, de asemenea, informații personale care sunt furnizate:
- în timpul angajării, încheierii unui contract sau contract de muncă;
- în timpul recensământului populației;
- la formalizarea relaţiilor contractuale în timpul operaţiunilor comerciale şi a altor situaţii similare.
Datele personale ale subiectului, care sunt difuzate prin intermediul mass-media, nu sunt confidențiale, deoarece sunt disponibile public în conformitate cu „Lista de informații confidențiale”.
Consimțământul scris al subiectului pentru a primi, transfera, procesa și alte acțiuni cu PD nu este întotdeauna necesar. În unele cazuri, de exemplu, atunci când participați la un sondaj sau vă abonați la un buletin informativ, este suficient să bifați caseta care permite utilizarea PD.
Datele generale pot fi plasate în surse care sunt disponibile publicului. Aceasta înseamnă că sursele sunt vizualizate și utilizate de un număr mare de părți interesate. Un exemplu de astfel de sursă sunt agendele telefonice.
Prelucrarea datelor disponibile publicului
Prelucrarea datelor disponibile publicului este efectuată de departamente și divizii ale căror responsabilități includ colectarea, sistematizarea, stocarea, modificarea, utilizarea și distrugerea datelor cu caracter personal. Persoanele fizice au dreptul de a solicita informații despre operatorul de date și de a afla ce scop urmărește operatorul în timpul prelucrării datelor cu caracter personal.
Monitorizarea respectării legilor în timpul procesării este încredințată Roskomnadzor. FSB și FSTEC au anumite competențe de audit și monitorizare. Operatorii creează sisteme de protecție a datelor cu caracter personal pentru propriile nevoi, prin urmare, în acest sens, licențiază astfel de activități.
PD este prelucrată de organizații care, pentru a-și desfășura activitățile, trebuie să colecteze, să acumuleze, să prelucreze și să stocheze informații despre angajați, furnizori și clienți. În anumite cazuri, astfel de date sunt incluse în datele publice.
Drepturile persoanelor vizate de date publice
Subiecții datelor cu caracter personal pot depune o cerere prin care solicită blocarea, distrugerea, clarificarea sau modificarea datelor disponibile public dacă informațiile nu mai sunt relevante, sunt incomplete sau nu sunt necesare în scopul prelucrării. Subiecții au, de asemenea, dreptul de a solicita acces la datele lor personale și de a afla ce instrumente folosește operatorul pentru a le prelucra.
Informațiile trebuie să fie utilizate în conformitate cu cerințele legale și să fie protejate, indiferent dacă sunt confidențiale sau publice. Este responsabilitatea operatorilor să asigure protecția completă a datelor cu caracter personal ale subiectului și să limiteze accesul la date al persoanelor neautorizate.
Operatorul începe să prelucreze datele cu caracter personal numai după ce a primit permisiunea scrisă de la subiect pentru prelucrare. Consimțământul include informații despre persoana fizică și datele operatorului: numele companiei, numele de familie, prenumele și patronimul operatorului, funcția. Consimțământul necesită, de asemenea, indicarea scopului prelucrării și o listă de date care descriu operațiunile care vor fi efectuate cu informațiile. O persoană are dreptul de a-și retrage datele personale și de a-și anula consimțământul pentru prelucrare.
În caz de incapacitate sau deces a subiectului, consimțământul pentru prelucrarea și utilizarea PD se solicită moștenitorilor sau reprezentanților legali. În acest caz, trebuie să vă ghidați de Legea federală privind datele cu caracter personal.
În cazul încălcării cerințelor legale, făptuitorii poartă răspundere administrativă, penală și de altă natură. Nu contează dacă PD este confidențial sau disponibil public, în conformitate cu articolul 8 din Legea federală nr. 152 privind datele cu caracter personal, PD disponibil public poate fi postat în surse disponibile public numai cu acordul persoanei vizate. Datele cu caracter personal trebuie excluse din surse dacă acest lucru este solicitat de către subiect sau organismele autorizate: Roskomnadzor, instanță sau alte agenții guvernamentale.
Datele anonimizate includ:
- Prenume, prenume și patronimic;
- Pseudonim/login al subiectului pe Internet;
- Adresă de e-mail (nu este legată de numele complet);
- Poziția, locul de muncă (fără informații despre datele personale).
Datele publice includ informații despre un subiect care pot fi obținute din surse deschise de informații, de exemplu, într-un agendă telefonică sau agendă de adrese. Datele sunt introduse în astfel de baze de date accesibile publicului cu acordul scris al subiectului. : caracteristici O caracteristică a datelor cu caracter personal disponibile publicului este că acestea pot fi postate în surse deschise de informații. Adică, dacă directorul de contact al organizației conține informații de contact pentru funcționari, de exemplu, cei implicați în formarea și angajarea personalului, atunci aceste date sunt considerate disponibile publicului.
Concept și tipuri de date cu caracter personal
Codul Muncii al Federației Ruse). Prelucrarea datelor cu caracter personal se referă la diferite operațiuni prevăzute de legislația Federației Ruse. Tipurile de prelucrare a PD includ colectarea, sistematizarea, acumularea, stocarea, actualizarea, utilizarea, depersonalizarea, distrugerea, care se efectuează conform procedurilor stabilite prin reglementări.
Organismele și organizațiile de stat, federale, municipale care au un astfel de drept prin statut pot efectua operațiuni cu date personale. Toate PD sunt împărțite în următoarele secțiuni:
- Date personale disponibile publicului;
- Date personale speciale;
- Date personale biometrice.
La crearea sistemelor de informare cu date cu caracter personal (ISPD), se recomandă să vă ghidați de Ordinul FSTEC, FSB și al Ministerului tehnologia Informatieiși comunicările Federației Ruse nr. 55/86/20 din 13.
02.
Date publice cu caracter personal
Folosirea abuzivă a acestor informații este pedepsită prin lege. Legea privind protecția datelor cu caracter personal are grijă nu numai de persoane, ci și de entitati legale Oh.
Atenţie
Puțină lume le va plăcea dacă informațiile despre situația financiară sau datele angajaților companiei sunt disponibile pentru toată lumea. Acest lucru ar face viața mult mai ușoară escrocilor, lucru pe care nici cetățenii obișnuiți, nici oamenii legii nu își doresc.
Ce date sunt considerate personale conform legii? Legea nu oferă o listă clară de informații care sunt considerate personale. Conţinut:
- Date publice cu caracter personal
- Articolul 8.
Datele personale publice sunt
De exemplu, legea nu definește în mod precis dacă un număr de telefon constituie date cu caracter personal. Roskomnadzor, ca răspuns la solicitările cetățenilor, a explicat că este imposibil să identifici cu exactitate o persoană numai după număr.
În sine, nu este personal, dar împreună cu numele complet al proprietarului și orașul de reședință, se referă la PD. Prin urmare, trimiterea nepersonalizată de mesaje SMS nu este considerată o încălcare a Legii federale nr. 152.
PD general este conținut într-un pașaport, legitimație militară, diplomă, cartea personală a angajatului, cartea de munca etc. Permisiunea scrisă nu este necesară pentru a obține aceste date, permisiunea indirectă este suficientă, de exemplu, o bifare lângă elementul corespunzător din chestionarul online.
Ușurința relativă de acces aduce adesea probleme subiecților datelor cu caracter personal - cetățenii de rând: de la publicitate intruzivă la șantaj și falsificarea cererilor de împrumut.
Ce date personale sunt considerate publice?
De exemplu, următoarele:
- trebuie depozitat copii de rezervăîntreaga bază de date;
- este nevoie de un specialist care va administra sistemul informatic;
- vor fi necesare cheltuieli pentru echipamente și software special concepute;
- angajatul care prelucrează date cu caracter personal trebuie să fie extrem de alfabetizat.
Ce metode sunt folosite pentru a proteja eficient informațiile personale ale angajaților?
- Faceți spațiile în care sunt prelucrate datele cu caracter personal complet închise accesului altor angajați.
- Pentru a obține orice informație, angajații trebuie să obțină o permisiune specială.
- Stocarea datelor trebuie să fie clar organizată.
Având în vedere prezența atât a dezavantajelor, cât și a avantajelor fiecărei metode, de regulă, angajatorii le combină.
Articolul 8. Surse publice de date cu caracter personal
Salariile nu pot fi un secret comercial din cauza faptului că se referă la sistemul de remunerare. Dar acest lucru nu o exclude din lista PD, pentru repartizarea căreia un angajat poate fi concediat conform Codului Muncii.
Și dacă angajatul începe să conteste această decizie în instanță, atunci angajatorul este obligat să dovedească că informațiile dezvăluite se referă la un secret, a cărui informație angajatul s-a angajat să nu le dezvăluie nimănui. înapoi la conținut Tipuri Tipurile de date cu caracter personal pot fi clasificate în funcție de:
- Conținutul conținut de acestea:
- Categoria, care include lista specificată la articolul 10: rasă, naționalitate, religie, sănătate, viață personală, convingeri politice. Cu toate acestea, conform Legii federale 152, aici există restricții, și anume, accesul poate fi efectuat numai cu permisiunea scrisă a proprietarului.
Sunt sau nu date personale despre salariu?
Important
În scopul sprijinirii informației, pot fi create surse de date cu caracter personal disponibile public (inclusiv directoare, agende cu adrese). Sursele publice de date cu caracter personal, cu acordul scris al subiectului de date cu caracter personal, pot include numele de familie, prenumele, patronimul, anul și locul nașterii, adresa, numărul de abonat, informații despre profesie și alte date personale raportate de subiect. a datelor personale.
(modificată prin Legea federală nr. 261-FZ din 25 iulie 2011) (vezi textul din ediția anterioară) 2. Informațiile despre subiectul datelor cu caracter personal trebuie excluse în orice moment din surse disponibile publicului datele cu caracter personal la cererea subiectului datelor cu caracter personal sau prin decizie a unei instanțe sau a altor organisme guvernamentale abilitate. (modificată prin Legea federală nr. 261-FZ din 25 iulie 2011) (a se vedea.
Conţinut
- Biometric. Caracterizați fiziologia.
- Nu biometric. Date care nu sunt biometrice.
Tipuri de date cu caracter personal În ce tipuri de date cu caracter personal sunt împărțite? Ce înseamnă acest lucru? Este important să înțelegem că toate informațiile care sunt stocate la întreprindere în legătură cu un anumit angajat pot fi vizualizate din două puncte de vedere diferite.
- Date privind starea civilă și familia salariatului (membri individuali), și anume: prezența persoanelor aflate în întreținere, prezența copiilor, vârsta și numărul acestora, starea de sănătate.
- Informații despre un anumit angajat, și anume: nume complet (pașaport), profesie, stare de sănătate, precum și orice circumstanțe speciale.
Conducătorul întreprinderii este obligat să formuleze un act juridic de reglementare de importanță locală, care are în vedere procedura de determinare a stocării datelor cu caracter personal.
Datele personale sunt disponibile public și ceea ce se aplică acestora
Responsabilitatea pentru dezvăluire Este important de menționat că Legea federală 152 „Cu privire la protecția datelor cu caracter personal” prevede doar responsabilitatea administrativă a unei întreprinderi pentru dezvăluirea datelor personale ale unui angajat. Aceasta înseamnă că, dacă o organizație nu poate garanta angajaților protecție absolută a informațiilor lor personale, atunci se va confrunta cu o amendă. Mai mult, sumele pedepsei bănești pentru stocarea incorectă a datelor cu caracter personal sunt absolut ridicole. În general, ele variază de la cinci la zece mii de ruble. Desigur, acest lucru este adevărat dacă vorbim doar de plăți unice. De regulă, în întreprinderile în care există probleme de acest gen, există multiple încălcări, ceea ce înseamnă că cuantumul amenzii crește semnificativ. Cu toate acestea, costurile bănești sunt departe de a fi cea mai importantă consecință a faptului că datele cu caracter personal sunt utilizate în mod greșit. Acest lucru dăunează foarte mult reputației companiei.
De exemplu, următoarele:
- disponibilitatea resurselor suplimentare de depozitare, cum ar fi spații speciale, echipamente, seifuri și așa mai departe;
- intensitatea muncii a procesului;
- Sunt necesare abilități speciale pentru a păstra înregistrările pe hârtie.
Uneori, departamentele de HR preferă să stocheze informații despre un angajat separat (în dosare tematice diferite). Astfel, toate contractele de muncă, chestionarele și alte documente pentru toți angajații sunt stocate separat. Sunt numerotate pentru o căutare mai ușoară. Această metodă necesită mai puțină muncă decât cea descrisă mai sus și nu necesită abilități speciale din partea angajatului departamentului de resurse umane. Cu toate acestea, nu este lipsită de deficiențele sale.
Notificare privind prelucrarea datelor cu caracter personal Foarte greseala comuna operatorii să notifice procesarea PD atunci când acest lucru nu s-ar fi putut face. Și dacă tot decideți să notificați Roskomnadzor, iată câteva recomandări:
- Citiți cu atenție Partea 2 a articolului 22 din Legea federală a Federației Ruse din 27 iulie 2006.
N 152-FZ „Cu privire la datele personale”.
- Uită-te la datele care sunt prelucrate pentru tine. Unele cazuri vă vor cere să faceți ajustări cu transportatorii PD.
Unul dintre motivele pentru care este posibil să nu notificați despre prelucrarea datelor cu caracter personal este indicat în clauza 2, partea 2, articolul 22 din Legea federală și este următorul: Să luăm ca exemplu stabilirea unei relații de afaceri cu o persoană fizică pentru efectua un serviciu.
Pentru a fi clar că totul este gata și nu trebuia să conduci doar câteva zeci de kilometri, maistrul ți-a luat cu prudență numărul de telefon pentru a anunța vestea bună.
Adoptată de Duma de Stat la 8 iulie 2006
Aprobat de Consiliul Federației la 14 iulie 2006
Capitolul 1. Dispoziții generale
Articolul 1. Domeniul de aplicare al acestei legi federale
1. Prezenta lege federală reglementează relațiile legate de prelucrarea datelor cu caracter personal efectuate de organele guvernamentale federale, organele guvernamentale ale entităților constitutive ale Federației Ruse, alte organisme guvernamentale (denumite în continuare organe de stat), organisme guvernamentale locale, neincluse în sistemul organelor administrației publice locale de către organele municipale (denumite în continuare organe municipale), persoane juridice, persoane fizice care utilizează instrumente de automatizare sau fără utilizarea unor astfel de instrumente, dacă prelucrarea datelor cu caracter personal fără utilizarea unor astfel de instrumente corespunde naturii acțiunile (operațiunile) efectuate cu date personale folosind instrumente de automatizare.
2. Prezenta lege federală nu se aplică relațiilor care apar atunci când:
1) prelucrarea datelor cu caracter personal de către persoane exclusiv pentru nevoi personale și familiale, cu excepția cazului în care drepturile subiecților datelor cu caracter personal sunt încălcate;
2) organizarea stocării, achiziționării, înregistrării și utilizării documentelor Fondului de arhivă al Federației Ruse și a altor documente de arhivă care conțin date cu caracter personal, în conformitate cu legislația privind afacerile de arhivă din Federația Rusă;
3) prelucrarea informațiilor despre persoanele care fac obiectul includerii în registrul unificat de stat al întreprinzătorilor individuali, dacă o astfel de prelucrare este efectuată în conformitate cu legislația Federației Ruse în legătură cu activitățile unei persoane fizice ca antreprenor individual;
4) prelucrarea datelor cu caracter personal clasificate conform procedurii stabilite drept informații constitutive de secret de stat.
Articolul 2. Scopul acestei legi federale
Scopul prezentei legi federale este de a asigura protecția drepturilor și libertăților omului și cetățeanului atunci când prelucrează datele sale cu caracter personal, inclusiv protecția drepturilor la viață privată, a secretelor personale și de familie.
Articolul 3. Concepte de bază utilizate în această lege federală
În sensul prezentei legi federale, se folosesc următoarele concepte de bază:
1) date cu caracter personal - orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia , social, stare de proprietate, educație, profesie, venituri, alte informații;
2) operator - organ de stat, organ municipal, persoană juridică sau persoană fizică care organizează și (sau) realizează prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal;
3) prelucrarea datelor cu caracter personal - acțiuni (operațiuni) cu date personale, inclusiv culegerea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal;
4) diseminarea datelor cu caracter personal - acțiuni care vizează transferarea datelor cu caracter personal către un anumit cerc de persoane (transferul datelor cu caracter personal) sau familiarizarea cu datele personale ale unui număr nelimitat de persoane, inclusiv publicarea datelor cu caracter personal în mass-media, postarea în rețelele de informații și telecomunicații sau furnizarea de acces la date personale în orice alt mod;
5) utilizarea datelor cu caracter personal - acțiuni (operațiuni) cu date cu caracter personal efectuate de către operator în scopul luării de decizii sau al efectuării altor acțiuni care dau naștere la consecințe juridice în raport cu subiectul datelor cu caracter personal sau alte persoane sau care afectează în alt mod drepturile și libertățile subiectului datelor cu caracter personal sau ale altor persoane;
6) blocarea datelor cu caracter personal - încetarea temporară a colectării, sistematizării, acumulării, utilizării, difuzării datelor cu caracter personal, inclusiv a transferului acestora;
7) distrugerea datelor cu caracter personal - acțiuni în urma cărora este imposibilă restabilirea conținutului datelor cu caracter personal în sistemul de informații cu caracter personal sau în urma cărora mediile materiale de date cu caracter personal sunt distruse;
8) depersonalizarea datelor cu caracter personal - acțiuni în urma cărora este imposibilă determinarea dreptului de proprietate asupra datelor cu caracter personal de către un anumit subiect al datelor cu caracter personal;
9) sistem informatic al datelor cu caracter personal - un sistem informatic care este un set de date cu caracter personal continut in baza de date, precum si tehnologii informatice si mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fara utilizarea unor astfel de instrumente;
10) confidențialitatea datelor cu caracter personal - o cerință obligatorie pentru operator sau altă persoană care are acces la datele cu caracter personal de a nu permite distribuirea acestora fără acordul subiectului datelor cu caracter personal sau prezența unui alt temei legal;
11) transfer transfrontalier de date cu caracter personal - transfer de date cu caracter personal de către operator peste frontiera de stat a Federației Ruse către o autoritate a unui stat străin, o persoană fizică sau juridică a unui stat străin;
12) date cu caracter personal accesibile publicului - date cu caracter personal, la care accesul este acordat unui număr nelimitat de persoane cu consimțământul subiectului datelor cu caracter personal sau cărora, în conformitate cu legile federale, nu sunt supuse cerințelor de confidențialitate.
Articolul 4. Legislația Federației Ruse în domeniul datelor cu caracter personal
1. Legislația Federației Ruse în domeniul datelor cu caracter personal se bazează pe Constituția Federației Ruse și pe tratatele internaționale ale Federației Ruse și constă în această lege federală și alte legi federale care definesc cazuri și caracteristici ale prelucrării datelor cu caracter personal. .
2. În baza și în temeiul legilor federale, organele de stat, în limitele competențelor lor, pot adopta reglementări cu privire la anumite aspecte legate de prelucrarea datelor cu caracter personal. Actele juridice de reglementare privind anumite aspecte legate de prelucrarea datelor cu caracter personal nu pot conține prevederi care să limiteze drepturile persoanelor vizate de date cu caracter personal.
Actele juridice de reglementare specificate sunt supuse publicării oficiale, cu excepția actelor juridice de reglementare sau a anumitor prevederi ale unor astfel de acte juridice de reglementare care conțin informații, accesul la care este limitat de legile federale.
3. Caracteristicile prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare pot fi stabilite prin legile federale și alte acte juridice de reglementare ale Federației Ruse, ținând cont de prevederile prezentei legi federale.
4. Dacă un tratat internațional al Federației Ruse stabilește alte reguli decât cele prevăzute de prezenta lege federală, se aplică regulile tratatului internațional.
Capitolul 2. Principii și condiții de prelucrare a datelor cu caracter personal
Articolul 5. Principii de prelucrare a datelor cu caracter personal s
1. Prelucrarea datelor cu caracter personal trebuie efectuată pe baza principiilor:
1) legalitatea scopurilor și metodelor de prelucrare a datelor cu caracter personal și integritatea;
2) conformitatea scopurilor prelucrarii datelor cu caracter personal cu scopurile predeterminate si declarate la colectarea datelor cu caracter personal, precum si cu atributiile operatorului;
3) respectarea volumului și naturii datelor cu caracter personal prelucrate, metodelor de prelucrare a datelor cu caracter personal în scopul prelucrării datelor cu caracter personal;
4) fiabilitatea datelor cu caracter personal, suficiența acestora în scopul prelucrării, inadmisibilitatea prelucrării datelor cu caracter personal care este excesivă în raport cu scopurile declarate la colectarea datelor cu caracter personal;
5) inadmisibilitatea combinării bazelor de date cu sisteme informatice de date cu caracter personal create în scopuri incompatibile.
2. Datele cu caracter personal trebuie să fie stocate într-o formă care să permită identificarea subiectului datelor cu caracter personal pentru o perioadă nu mai lungă decât cea cerută de scopurile prelucrării lor și sunt supuse distrugerii la atingerea scopurilor prelucrării sau în eventualitatea a pierderii nevoii de a le realiza.
Articolul 6. Conditii de prelucrare a datelor cu caracter personal
1. Prelucrarea datelor cu caracter personal poate fi efectuată de către operator cu acordul subiecților datelor cu caracter personal, cu excepția cazurilor prevăzute la partea 2 a prezentului articol.
2. Consimțământul subiectului datelor cu caracter personal prevăzut în partea 1 a prezentului articol nu este necesar în următoarele cazuri:
1) prelucrarea datelor cu caracter personal se realizează pe baza unei legi federale care stabilește scopul acesteia, condițiile de obținere a datelor cu caracter personal și gama de subiecți ale căror date cu caracter personal fac obiectul prelucrării, precum și definirea puterilor operatorului;
2) prelucrarea datelor cu caracter personal se realizează în scopul îndeplinirii unui contract, una dintre părți la care face obiectul datelor cu caracter personal;
3) prelucrarea datelor cu caracter personal se realizează în scopuri statistice sau alte scopuri științifice, sub rezerva anonimizării obligatorii a datelor cu caracter personal;
4) prelucrarea datelor cu caracter personal este necesară pentru a proteja viața, sănătatea sau alte interese vitale ale subiectului datelor cu caracter personal, dacă obținerea consimțământului subiectului datelor cu caracter personal este imposibilă;
5) prelucrarea datelor cu caracter personal este necesară pentru livrare trimiteri poștale organizatii serviciu poștal, pentru ca operatorii de telecomunicații să efectueze decontări cu utilizatorii serviciilor de comunicații pentru serviciile de comunicații prestate, precum și să ia în considerare pretențiile de la utilizatorii serviciilor de comunicații;
6) prelucrarea datelor cu caracter personal se realizează în scopul activitate profesională un jurnalist sau în scopuri științifice, literare sau de altă natură creativă, cu condiția ca drepturile și libertățile subiectului datelor cu caracter personal să nu fie încălcate;
7) sunt prelucrate datele cu caracter personal care fac obiectul publicării în conformitate cu legile federale, inclusiv datele personale ale persoanelor care ocupă funcții guvernamentale, funcții în serviciul public de stat, datele personale ale candidaților pentru funcții alese de stat sau municipale.
3. Caracteristicile prelucrării categoriilor speciale de date cu caracter personal, precum și a datelor cu caracter personal biometrice, sunt stabilite în articolele 10 și 11 din prezenta lege federală.
4. În cazul în care operatorul, în baza unui contract, încredințează prelucrarea datelor cu caracter personal unei alte persoane, o condiție esențială a contractului este obligația persoanei specificate de a asigura confidențialitatea datelor cu caracter personal și securitatea datelor cu caracter personal pe durata prelucrarea acestora.
Articolul 7. Confidențialitatea datelor cu caracter personal
1. Operatorii și terții care obțin acces la date cu caracter personal trebuie să asigure confidențialitatea acestor date, cu excepția cazurilor prevăzute în partea 2 a prezentului articol.
2. Asigurarea confidențialității datelor cu caracter personal nu este necesară:
1) în cazul depersonalizării datelor cu caracter personal;
2) în legătură cu datele personale disponibile publicului.
Articolul 8. Surse publice de date cu caracter personal
1. În scopul sprijinirii informaționale, pot fi create surse publice de date cu caracter personal (inclusiv directoare, agende de adrese). Sursele publice de date cu caracter personal, cu acordul scris al subiectului de date cu caracter personal, pot include numele de familie, prenumele, patronimul, anul și locul nașterii, adresa, numărul de abonat, informații despre profesie și alte date personale furnizate de subiect. a datelor personale.
2. Informațiile despre subiectul datelor cu caracter personal pot fi excluse în orice moment din sursele publice de date cu caracter personal la cererea subiectului datelor cu caracter personal sau prin decizie a unei instanțe sau a altor organisme guvernamentale autorizate.
Articolul 9. Consimțământul datelor cu caracter personal care fac obiectul prelucrării datelor sale personale
1. Subiectul datelor cu caracter personal decide să furnizeze datele sale personale și își dă consimțământul pentru prelucrarea acestora din proprie voință și în interes propriu, cu excepția cazurilor prevăzute în partea 2 a prezentului articol. Consimțământul pentru prelucrarea datelor cu caracter personal poate fi retras de către subiectul datelor cu caracter personal.
2. Prezenta lege federală și alte legi federale prevăd cazuri de furnizare obligatorie de către subiectul datelor cu caracter personal a datelor sale cu caracter personal pentru a proteja fundamentele sistemului constituțional, moralitatea, sănătatea, drepturile și interesele legitime ale altor persoane, pentru a asigura apărarea țării și securitatea statului.
3. Obligația de a furniza dovezi privind obținerea consimțământului subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal, iar în cazul prelucrării datelor cu caracter personal disponibile publicului, obligația de a dovedi că datele cu caracter personal prelucrate sunt accesibile publicului revine operatorul.
4. În cazurile prevăzute de prezenta lege federală, prelucrarea datelor cu caracter personal se realizează numai cu acordul scris subiectul datelor cu caracter personal. Consimțământul scris al persoanei vizate cu privire la prelucrarea datelor sale cu caracter personal trebuie să includă:
1) numele, prenumele, patronimul, adresa subiectului datelor cu caracter personal, numărul documentului principal care dovedește identitatea acestuia, informații despre data eliberării documentului specificat și autoritatea emitentă;
2) numele (numele, prenumele, patronimicul) și adresa operatorului care primește consimțământul subiectului datelor cu caracter personal;
3) scopul prelucrării datelor cu caracter personal;
4) o listă de date cu caracter personal pentru prelucrarea cărora este dat consimțământul subiectului datelor cu caracter personal;
5) o listă de acțiuni cu date personale pentru care se acordă consimțământ, descriere generala metodele utilizate de operator pentru prelucrarea datelor cu caracter personal;
6) perioada în care consimțământul este valabil, precum și procedura de retragere a acestuia.
5. Pentru a prelucra datele cu caracter personal conținute în consimțământul scris al subiectului pentru prelucrarea datelor sale cu caracter personal, nu este necesar un consimțământ suplimentar.
6. În caz de incapacitate a subiectului datelor cu caracter personal, consimțământul pentru prelucrarea datelor sale cu caracter personal este dat în scris de către reprezentantul legal al subiectului datelor cu caracter personal.
7. În cazul decesului subiectului datelor cu caracter personal, consimțământul pentru prelucrarea datelor sale cu caracter personal este dat în scris de către moștenitorii subiectului datelor cu caracter personal, dacă acest consimțământ nu a fost dat de subiectul datelor cu caracter personal în timpul viata lui.
Articolul 10. Categorii speciale de date cu caracter personal
1. Nu este permisă prelucrarea unor categorii speciale de date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă, cu excepția cazurilor prevăzute la partea 2 a prezentului articol.
2. Prelucrarea categoriilor speciale de date cu caracter personal specificate în partea 1 a prezentului articol este permisă în cazurile în care:
1) subiectul datelor cu caracter personal și-a dat consimțământul în scris pentru prelucrarea datelor sale cu caracter personal;
2) datele personale sunt disponibile publicului;
3) datele cu caracter personal se referă la starea de sănătate a subiectului datelor cu caracter personal, iar prelucrarea acestora este necesară pentru a-i proteja viața, sănătatea sau alte interese vitale sau viața, sănătatea sau alte interese vitale ale altor persoane și pentru obținerea consimțământului subiectului; a datelor cu caracter personal este imposibil;
4) prelucrarea datelor cu caracter personal se efectuează în scopuri medicale și preventive, în scopul stabilirii unui diagnostic medical, prestării de servicii medicale și medicale și sociale, cu condiția ca prelucrarea datelor cu caracter personal să fie efectuată de o persoană care desfășoară activități medicale profesional. și obligat, în conformitate cu legislația Federației Ruse, să păstreze confidențialitatea medicală;
5) prelucrarea datelor cu caracter personal ale membrilor (participanților) unei asociații publice sau organizații religioase este efectuată de asociația publică sau organizația religioasă relevantă care operează în conformitate cu legislația Federației Ruse, pentru a atinge scopurile legale prevăzute de acestea. documentele constitutive, cu condiția ca datele cu caracter personal să nu fie difuzate fără acordul scris al subiecților datelor cu caracter personal;
6) prelucrarea datelor cu caracter personal este necesară în legătură cu administrarea justiției;
7) prelucrarea datelor cu caracter personal se desfășoară în conformitate cu legislația Federației Ruse privind securitatea, activităților operaționale de investigație, precum și în conformitate cu legislația executivă penală a Federației Ruse.
3. Prelucrarea datelor cu caracter personal din cazierul judiciar poate fi efectuată de organele de stat sau de organele municipale în limitele competențelor care le sunt acordate în conformitate cu legislația Federației Ruse, precum și de către alte persoane în cazurile și în modul stabilite în în conformitate cu legile federale.
4. Prelucrarea categoriilor speciale de date cu caracter personal efectuată în cazurile prevăzute la părțile 2 și 3 din prezentul articol trebuie să fie imediat oprită dacă se înlătură motivele pentru care s-a efectuat prelucrarea.
Articolul 11. Date personale biometrice
1. Informațiile care caracterizează caracteristicile fiziologice ale unei persoane și pe baza cărora se poate stabili identitatea acesteia (date cu caracter personal biometrice) pot fi prelucrate numai cu acordul în scris al subiectului datelor cu caracter personal, cu excepția cazurilor prevăzute la partea 2 a acestui articol.
2. Prelucrarea datelor cu caracter personal biometrice poate fi efectuată fără acordul subiectului datelor cu caracter personal în legătură cu administrarea justiției, precum și în cazurile prevăzute de legislația Federației Ruse privind securitatea, legislația Rusă. Federația privind activitățile operaționale de investigație, legislația Federației Ruse privind serviciul public, legislația de executare penală a Federației Ruse, legislația Federației Ruse privind procedura de părăsire a Federației Ruse și de intrare în Federația Rusă.
Articolul 12. Transfer transfrontalier de date cu caracter personal
1. Înainte de începerea transferului transfrontalier de date cu caracter personal, operatorul este obligat să se asigure că statul străin pe al cărui teritoriu se efectuează transferul de date cu caracter personal asigură o protecție adecvată a drepturilor subiecților datelor cu caracter personal.
2. Transferul transfrontalier de date cu caracter personal pe teritoriul statelor străine care asigură o protecție adecvată a drepturilor persoanelor vizate de date cu caracter personal se efectuează în conformitate cu prezenta lege federală și poate fi interzis sau limitat pentru a proteja fundamentele constituționale. Sistemul Federației Ruse, moralitatea, sănătatea, drepturile și interesele legitime ale cetățenilor, asigurând apărarea țării și securitatea statului.
3. Transferul transfrontalier de date cu caracter personal către teritoriul statelor străine care nu asigură o protecție adecvată a drepturilor persoanelor vizate se poate efectua în următoarele cazuri:
1) prezența consimțământului scris al subiectului datelor cu caracter personal;
2) prevăzute de tratatele internaționale ale Federației Ruse privind eliberarea vizelor, precum și de tratatele internaționale ale Federației Ruse privind acordarea de asistență juridică în cauze civile, familiale și penale;
3) prevăzute de legile federale, dacă este necesar pentru a proteja fundamentele sistemului constituțional al Federației Ruse, pentru a asigura apărarea țării și securitatea statului;
4) executarea unui contract la care subiectul datelor cu caracter personal este parte;
5) protecția vieții, a sănătății și a altor interese vitale ale subiectului datelor cu caracter personal sau ale altor persoane dacă este imposibil să se obțină consimțământul în scris de la subiectul datelor cu caracter personal.
Articolul 13. Caracteristici ale prelucrării datelor cu caracter personal în sistemele informaționale de date cu caracter personal de stat sau municipale
1. Organismele de stat și organele municipale creează, în limitele competențelor lor stabilite în conformitate cu legile federale, sisteme de informații de stat sau municipale de date cu caracter personal.
2. Legile federale pot stabili caracteristici de înregistrare a datelor cu caracter personal în sistemele de informații de stat și municipale ale datelor cu caracter personal, inclusiv utilizarea în diverse moduri desemnarea dreptului de proprietate asupra datelor cu caracter personal conținute în sistemul de informații cu caracter personal de stat sau municipal relevant pentru un anumit subiect de date cu caracter personal.
3. Drepturile și libertățile unei persoane și ale unui cetățean nu pot fi limitate din motive legate de utilizarea diferitelor metode de prelucrare a datelor cu caracter personal sau de desemnarea dreptului de proprietate asupra datelor cu caracter personal conținute în sistemele de informare cu date cu caracter personal de stat sau municipale unui anumit subiect de date. Nu este permisă utilizarea unor metode care jignesc sentimentele cetățenilor sau degradează demnitatea umană pentru a indica dreptul de proprietate asupra datelor cu caracter personal conținute în sistemele de informații cu date cu caracter personal de stat sau municipale unui anumit subiect de date cu caracter personal.
4. Pentru a asigura implementarea drepturilor persoanelor vizate cu caracter personal în legătură cu prelucrarea datelor cu caracter personal ale acestora în sistemele informaționale de date cu caracter personal de stat sau municipale, poate fi creat un registru al populației de stat al cărui statut juridic și procedura de lucru cu care sunt stabilite prin legea federală.
Capitolul 3. Drepturile subiectului datelor cu caracter personal
Articolul 14. Dreptul persoanei vizate de date cu caracter personal de a accesa datele sale personale
1. Subiectul datelor cu caracter personal are dreptul de a primi informații despre operator, locația acestuia, dacă operatorul deține date cu caracter personal referitoare la subiectul relevant al datelor cu caracter personal, precum și să se familiarizeze cu aceste date cu caracter personal, cu excepția cazurilor prevăzute în partea 5 a acestui articol. Subiectul datelor cu caracter personal are dreptul de a cere operatorului clarificarea datelor sale cu caracter personal, blocarea sau distrugerea acestora în cazul în care datele cu caracter personal sunt incomplete, depășite, nesigure, obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării, precum și ca să ia măsurile prevăzute de lege pentru protejarea drepturilor sale .
2. Informațiile despre disponibilitatea datelor cu caracter personal trebuie furnizate subiectului datelor cu caracter personal de către operator într-o formă accesibilă și nu ar trebui să conțină date cu caracter personal legate de alte subiecte de date cu caracter personal.
3. Accesul la datele dumneavoastră cu caracter personal este oferit subiectului datelor cu caracter personal sau reprezentantului său legal de către operator la cererea sau la primirea unei solicitări din partea subiectului datelor cu caracter personal sau a reprezentantului său legal. Cererea trebuie să conțină numărul documentului principal de identificare a subiectului datelor cu caracter personal sau a reprezentantului său legal, informații despre data emiterii documentului specificat și autoritatea emitentă și semnătura de mână a subiectului datelor cu caracter personal sau a reprezentantului său legal. Cererea poate fi transmisă electronic și semnată electronic semnatura digitalaîn conformitate cu legislația Federației Ruse.
4. Subiectul datelor cu caracter personal are dreptul de a primi, atunci când aplică sau primește o solicitare, informații privind prelucrarea datelor sale cu caracter personal, inclusiv care conțin:
1) confirmarea faptului prelucrării datelor cu caracter personal de către operator, precum și a scopului acestei prelucrări;
2) metode de prelucrare a datelor cu caracter personal utilizate de operator;
3) informații despre persoanele care au acces la date cu caracter personal sau cărora li se poate acorda un astfel de acces;
4) o listă a datelor cu caracter personal în curs de prelucrare și sursa primirii acestora;
5) termenii de prelucrare a datelor cu caracter personal, inclusiv perioadele de stocare a acestora;
6) informații despre consecințele juridice pe care le poate presupune pentru subiectul datelor cu caracter personal prelucrarea datelor sale cu caracter personal.
5. Dreptul subiectului datelor cu caracter personal de a accesa datele sale personale este limitat dacă:
1) prelucrarea datelor cu caracter personal, inclusiv a datelor cu caracter personal obținute ca urmare a activităților operaționale de investigare, contrainformații și informații, se efectuează în scopuri de apărare națională, securitatea statului și aplicarea legii;
2) prelucrarea datelor cu caracter personal este efectuată de autoritățile care au reținut subiectul datelor cu caracter personal sub suspiciunea de săvârșire a unei infracțiuni sau au introdus acuzații împotriva subiectului datelor cu caracter personal într-un dosar penal sau au aplicat o măsură preventivă subiectului date înainte de introducerea acuzațiilor, cu excepția celor prevăzute de legislația de procedură penală a Federației Ruse cazurile în care suspectului sau acuzatului i se permite să se familiarizeze cu astfel de date cu caracter personal;
3) furnizarea datelor cu caracter personal încalcă drepturile și libertățile constituționale ale altor persoane.
Articolul 15. Drepturile persoanelor vizate la prelucrarea datelor lor personale în scopul promovării de bunuri, lucrări, servicii pe piață, precum și în scopuri de propagandă politică
1. Prelucrarea datelor cu caracter personal în scopul promovării bunurilor, lucrărilor, serviciilor pe piață prin realizarea de contacte directe cu potențialii consumatori folosind mijloace de comunicare, precum și în scopuri de propagandă politică, este permisă numai cu acordul prealabil al subiectul datelor cu caracter personal. Prelucrarea specificată a datelor cu caracter personal este recunoscută ca fiind efectuată fără consimțământul prealabil al subiectului datelor cu caracter personal, cu excepția cazului în care operatorul dovedește că acest consimțământ a fost obținut.
2. Operatorul este obligat să înceteze imediat, la cererea persoanei vizate, prelucrarea datelor sale cu caracter personal specificate în partea 1 a prezentului articol.
Articolul 16. Drepturile persoanelor vizate de date cu caracter personal atunci când iau decizii bazate exclusiv pe prelucrarea automată a datelor lor personale
1. Este interzisă luarea deciziilor bazate exclusiv pe prelucrarea automată a datelor cu caracter personal care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau care îi afectează în alt mod drepturile și interesele legitime, cu excepția cazurilor prevăzute în partea 2 a prezentului articol.
2. O decizie care dă naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime poate fi luată pe baza prelucrării exclusiv automatizate a datelor sale cu caracter personal numai cu acordul scris al subiectului datelor cu caracter personal. sau în cazurile prevăzute de legile federale, care stabilesc și măsuri pentru a asigura respectarea drepturilor și intereselor legitime ale subiectului datelor cu caracter personal.
3. Operatorul este obligat să explice persoanei vizate cu caracter personal procedura de luare a unei decizii bazată exclusiv pe prelucrarea automată a datelor sale cu caracter personal și posibilele consecințe juridice ale unei astfel de decizii, să ofere posibilitatea de a se opune unei astfel de decizii și, de asemenea, explicați procedura pentru ca persoana vizată a datelor cu caracter personal să își protejeze drepturile și interesele legitime.
4. Operatorul este obligat să ia în considerare obiecția specificată în partea 3 a prezentului articol în termen de șapte zile lucrătoare de la data primirii acesteia și să notifice subiectul datelor cu caracter personal despre rezultatele luării în considerare a unei astfel de obiecții.
Articolul 17. Dreptul de a contesta acțiunile sau inacțiunile operatorului
1. În cazul în care subiectul datelor cu caracter personal consideră că operatorul prelucrează datele sale cu caracter personal încălcând cerințele prezentei legi federale sau îi încalcă în alt mod drepturile și libertățile, subiectul datelor cu caracter personal are dreptul de a contesta acțiunile sau inacțiunea operator la organismul autorizat pentru protecția drepturilor persoanelor vizate sau la procedura judiciară.
2. Subiectul datelor cu caracter personal are dreptul de a-și proteja drepturile și interesele legitime, inclusiv compensarea pierderilor și (sau) compensarea prejudiciului moral în instanță.
Capitolul 4. Responsabilitățile operatorului
Articolul 18. Obligațiile operatorului la colectarea datelor cu caracter personal
1. La colectarea datelor cu caracter personal, operatorul este obligat să furnizeze subiectului datelor cu caracter personal, la cererea acestuia, informațiile prevăzute în Partea 4 a articolului 14 din prezenta lege federală.
2. În cazul în care obligația de furnizare a datelor cu caracter personal este stabilită de legea federală, operatorul este obligat să explice subiectului datelor cu caracter personal consecințele juridice ale refuzului de a furniza datele sale personale.
3. În cazul în care nu au fost primite date cu caracter personal de la subiectul datelor cu caracter personal, cu excepția cazurilor în care datele cu caracter personal au fost furnizate operatorului în baza legii federale sau dacă datele cu caracter personal sunt disponibile publicului, operatorul, înainte de prelucrarea acestor date cu caracter personal, este obligat să furnizeze subiectului datelor cu caracter personal următoarele informații:
1) numele (numele, prenumele, patronimicul) și adresa operatorului sau reprezentantului acestuia;
2) scopul prelucrării datelor cu caracter personal și temeiul legal al acesteia;
3) utilizatorii vizați ai datelor cu caracter personal;
4) drepturile subiectului datelor cu caracter personal stabilite prin prezenta lege federală.
Articolul 19. Măsuri pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora
1. La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile organizatorice și tehnice necesare, inclusiv utilizarea mijloacelor de criptare (criptografice), pentru a proteja datele cu caracter personal de accesul neautorizat sau accidental la acestea, distrugere, modificare, blocare, copiere, distribuirea datelor cu caracter personal, precum și din alte acțiuni ilegale.
2. Guvernul Federației Ruse stabilește cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, cerințe pentru mediile materiale de date cu caracter personal biometrice și tehnologii pentru stocarea acestor date în afara sistemelor de informații cu date cu caracter personal.
3. Controlul și supravegherea respectării cerințelor stabilite de Guvernul Federației Ruse în conformitate cu partea 2 a prezentului articol sunt efectuate de organul executiv federal autorizat în domeniul securității și de organul executiv federal autorizat în domeniu de contracarare a informațiilor tehnice și de protecție tehnică a informațiilor, în limita competențelor lor și fără dreptul de a se familiariza cu datele cu caracter personal prelucrate în sistemele informatice de date cu caracter personal.
4. Utilizarea și stocarea datelor cu caracter personal biometrice în afara sistemelor informatice de date cu caracter personal poate fi efectuată numai pe astfel de suporturi de stocare materiale și folosind o astfel de tehnologie de stocare care asigură protecția acestor date împotriva accesului neautorizat sau accidental la acestea, distrugere, modificare, blocare, copiere, distribuire.
Articolul 20. Obligațiile operatorului atunci când aplică sau primește o solicitare de la o persoană vizată de date cu caracter personal sau de la reprezentantul său legal, precum și de la organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal
1. Operatorul este obligat, în modul prevăzut la articolul 14 din prezenta lege federală, să informeze subiectul datelor cu caracter personal sau despre informațiile reprezentantului său legal despre disponibilitatea datelor cu caracter personal referitoare la subiectul relevant al datelor cu caracter personal, precum și oferă posibilitatea de a se familiariza cu acestea atunci când contactează subiectul datelor cu caracter personal sau reprezentantul său legal sau în termen de zece zile lucrătoare de la data primirii cererii subiectului datelor cu caracter personal sau reprezentantul său legal.
2. În cazul refuzului de a furniza subiectului datelor cu caracter personal sau reprezentantului său legal atunci când aplică sau primește o solicitare din partea subiectului datelor cu caracter personal sau a reprezentantului său legal, informații despre disponibilitatea datelor cu caracter personal despre subiectul relevant al datelor cu caracter personal, precum precum și astfel de date cu caracter personal, operatorul este obligat să dea o declarație motivată în scris, un răspuns care să conțină o trimitere la prevederea părții 5 a articolului 14 din prezenta lege federală sau la o altă lege federală, care stă la baza unui astfel de refuz, în o perioadă care nu depășește șapte zile lucrătoare de la data aplicării subiectului datelor cu caracter personal sau a reprezentantului său legal sau de la data primirii cererii subiectului datelor cu caracter personal sau a reprezentantului său legal.
3. Operatorul este obligat să ofere subiectului datelor cu caracter personal sau reprezentantului său legal, în mod gratuit, posibilitatea de a se familiariza cu datele cu caracter personal referitoare la subiectul corespunzător al datelor cu caracter personal, precum și să le facă modificările necesare, să distrugă sau să blocheze datele cu caracter personal relevante la furnizarea de informații de către subiectul datelor cu caracter personal sau de către reprezentantul său legal, confirmând că datele cu caracter personal care se referă la subiectul relevant și care sunt prelucrate de operator sunt incomplete, depășite, nesigure, obținute ilegal sau nu este necesar pentru scopul declarat al prelucrării. Operatorul este obligat să notifice subiectul datelor cu caracter personal sau reprezentantul său legal și terții cărora le-au fost transferate datele personale ale acestui subiect despre modificările efectuate și măsurile luate.
4. Operatorul este obligat să furnizeze organismului autorizat pentru protecția drepturilor persoanelor vizate, la cerere, informațiile necesare desfășurării activităților organismului menționat în termen de șapte zile lucrătoare de la data primirii unui astfel de cerere.
Articolul 21. Obligațiile operatorului de a elimina încălcările legii comise în timpul prelucrării datelor cu caracter personal, precum și de a clarifica, bloca și distruge datele cu caracter personal
1. În cazul detectării unor date cu caracter personal nesigure sau a unor acțiuni ilegale cu acestea de către operator la contactarea sau la solicitarea subiectului datelor cu caracter personal sau a reprezentantului său legal sau a organismului autorizat pentru protecția drepturilor persoanelor vizate, operatorul este obligat să blocheze datele cu caracter personal legate de subiectul corespunzător al datelor cu caracter personal, odată cu momentul solicitării sau primirii unei astfel de solicitări pentru perioada verificării.
2. În cazul în care se confirmă faptul nefiabilității datelor cu caracter personal, operatorul, pe baza documentelor prezentate de subiectul datelor cu caracter personal sau de reprezentantul legal al acestuia sau de un organism autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal, sau alte documente necesare documentelor, este obligat să clarifice datele cu caracter personal și să elimine blocarea acestora.
3. În cazul în care sunt depistate acțiuni ilegale cu date personale, operatorul, într-un termen care nu depășește trei zile lucrătoare de la data detectării, este obligat să elimine încălcările. În cazul în care este imposibilă eliminarea încălcărilor comise, operatorul este obligat să distrugă datele cu caracter personal într-un termen care nu depășește trei zile lucrătoare de la data descoperirii acțiunilor ilegale cu date personale. Operatorul este obligat să notifice subiectul datelor cu caracter personal sau reprezentantul său legal despre eliminarea încălcărilor sau distrugerea datelor cu caracter personal, iar dacă contestația sau cererea a fost transmisă de către organismul abilitat pentru protecția drepturilor persoanelor vizate de date cu caracter personal, de asemenea corpul specificat.
4. În cazul în care scopul prelucrării datelor cu caracter personal este atins, operatorul este obligat să înceteze imediat prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal corespunzătoare într-un termen care nu depășește trei zile lucrătoare de la data atingerii scopului prelucrării datelor cu caracter personal, cu excepția cazului în care este altfel. prevăzute de legile federale și să notifice subiectul datelor cu caracter personal despre aceste date sau reprezentantul său legal, iar în cazul în care contestația sau cererea a fost transmisă de către organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal, de asemenea, organismul specificat.
5. În cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea datelor cu caracter personal, operatorul este obligat să înceteze prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal într-un termen care nu depășește trei zile lucrătoare de la data primirii retragerii menționate, cu excepția cazului în care altfel prevăzut printr-un acord între operator și subiectul datelor cu caracter personal. Operatorul este obligat să notifice subiectul datelor cu caracter personal despre distrugerea datelor cu caracter personal.
Articolul 22. Notificare despre prelucrarea datelor cu caracter personal
1. Înainte de a începe prelucrarea datelor cu caracter personal, operatorul este obligat să notifice organismului autorizat pentru protecția drepturilor persoanelor vizate intenția sa de a prelucra datele cu caracter personal, cu excepția cazurilor prevăzute la partea 2 a prezentului articol.
2. Operatorul are dreptul de a prelucra datele cu caracter personal fără notificarea organismului autorizat pentru protecția drepturilor persoanelor vizate:
1) referitoare la subiecții datelor cu caracter personal care au un raport de muncă cu operatorul;
2) primite de operator în legătură cu încheierea unui acord la care subiectul datelor cu caracter personal este parte, dacă datele cu caracter personal nu sunt distribuite sau furnizate unor terți fără acordul subiectului datelor cu caracter personal și sunt utilizate de către operator exclusiv pentru executarea acordului specificat și încheierea de contracte cu subiectul datelor cu caracter personal;
3) referitoare la membrii (participanții) unei asociații publice sau organizații religioase și procesate de asociația publică sau organizația religioasă relevantă care operează în conformitate cu legislația Federației Ruse, pentru a atinge scopurile legitime prevăzute de documentele lor constitutive, cu condiția ca datele cu caracter personal nu vor fi diseminate fără acordul scris al subiecților datelor cu caracter personal;
4) care sunt date cu caracter personal disponibile publicului;
5) includerea numai a numelor de familie, prenumelor și patronimilor subiecților datelor cu caracter personal;
6) necesare în scopul introducerii unice a subiectului datelor cu caracter personal pe teritoriul pe care se află operatorul sau în alte scopuri similare;
7) incluse în sistemele informaționale cu date cu caracter personal care, în conformitate cu legile federale, au statut de sisteme informatice automate federale, precum și în sistemele informaționale cu date cu caracter personal de stat create pentru a proteja securitatea statului și ordinea publică;
8) prelucrate fără utilizarea instrumentelor de automatizare în conformitate cu legile federale sau cu alte acte juridice de reglementare ale Federației Ruse care stabilesc cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora și pentru respectarea drepturilor persoanelor vizate de date cu caracter personal.
3. Notificarea prevăzută în partea 1 a prezentului articol trebuie trimisă în scris și semnată de o persoană autorizată sau trimisă în formă electronică și semnată cu o semnătură digitală electronică în conformitate cu legislația Federației Ruse. Anunțul trebuie să conțină următoarele informații:
1) numele (nume, prenume, patronim), adresa operatorului;
2) scopul prelucrării datelor cu caracter personal;
5) temeiul legal pentru prelucrarea datelor cu caracter personal;
6) o listă de acțiuni cu date personale, o descriere generală a metodelor utilizate de operator pentru prelucrarea datelor cu caracter personal;
7) o descriere a măsurilor pe care operatorul se angajează să le implementeze atunci când prelucrează datele cu caracter personal pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora;
8) data începerii prelucrării datelor cu caracter personal;
9) termenul sau condiția de încetare a prelucrării datelor cu caracter personal.
4. Organismul autorizat pentru protecția drepturilor persoanelor vizate, în termen de treizeci de zile de la data primirii notificării privind prelucrarea datelor cu caracter personal, introduce informațiile specificate în Partea 3 a prezentului articol, precum și informații despre data trimiterii notificării specificate la registrul operatorilor. Informațiile cuprinse în registrul operatorilor, cu excepția informațiilor despre mijloacele de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora, sunt disponibile publicului.
5. Operatorul nu poate fi imputat cu cheltuieli legate de luarea în considerare a unei notificări despre prelucrarea datelor cu caracter personal de către organismul abilitat pentru protecția drepturilor persoanelor vizate, precum și în legătură cu introducerea de informații în registrul operatori.
6. În cazul furnizării de informații incomplete sau nesigure specificate în partea 3 a prezentului articol, organismul autorizat pentru protecția drepturilor persoanelor vizate are dreptul de a solicita operatorului să clarifice informațiile furnizate înainte de a fi introduse în registrul operatorilor.
7. În cazul modificărilor informațiilor specificate în partea 3 a prezentului articol, operatorul este obligat să notifice organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal asupra modificărilor în termen de zece zile lucrătoare de la data acestor modificări.
Capitolul 5. Controlul și supravegherea prelucrării datelor cu caracter personal. Răspunderea pentru încălcarea cerințelor prezentei legi federale
Articolul 23. Organism autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal
1. Organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal, căruia i se încredințează controlul și supravegherea conformității prelucrării datelor cu caracter personal cu cerințele prezentei legi federale, este organul executiv federal care exercită funcțiile de control şi supraveghere în domeniul tehnologiei informaţiei şi comunicaţiilor.
2. Organismul autorizat pentru protecția drepturilor subiecților datelor cu caracter personal ia în considerare cererile din partea subiectului datelor cu caracter personal privind conformitatea conținutului datelor cu caracter personal și a metodelor de prelucrare a acestora cu scopurile prelucrării acestora și ia o decizie corespunzătoare.
3. Organismul autorizat pentru protecția drepturilor persoanelor vizate are dreptul:
1) să solicite de la persoane fizice sau juridice informații necesare exercitării atribuțiilor lor și să primească aceste informații în mod gratuit;
2) să verifice informațiile conținute în notificare despre prelucrarea datelor cu caracter personal sau să implice alte organisme guvernamentale în limita competențelor lor pentru a efectua o astfel de verificare;
3) cere operatorului clarificarea, blocarea sau distrugerea datelor cu caracter personal inexacte sau obținute ilegal;
4) să ia măsuri, în conformitate cu procedura stabilită de legislația Federației Ruse, pentru a suspenda sau a înceta prelucrarea datelor cu caracter personal efectuată cu încălcarea cerințelor prezentei legi federale;
5) depune cereri în instanță pentru a proteja drepturile persoanelor vizate de date cu caracter personal și pentru a reprezenta interesele persoanelor vizate în instanță;
6) trimiteți o cerere către organismul care acordă licențe pentru activitățile operatorului pentru a lua în considerare luarea de măsuri pentru suspendarea sau anularea licenței relevante în modul stabilit de legislația Federației Ruse, dacă condiția licenței pentru a desfășura astfel de activități este interzicerea transferul datelor cu caracter personal către terți fără consimțământul în formă scrisă al subiectului datelor cu caracter personal;
7) trimite materiale către parchet și alte organe de drept pentru soluționarea problemei pornirii cauzelor penale întemeiate pe infracțiuni legate de încălcarea drepturilor persoanelor vizate de date cu caracter personal, în conformitate cu competența;
8) să facă propuneri Guvernului Federației Ruse cu privire la îmbunătățirea reglementării legale a protecției drepturilor persoanelor vizate de date cu caracter personal;
9) aduce la răspundere administrativă persoanele vinovate de încălcarea prezentei legi federale.
4. În ceea ce privește datele cu caracter personal care au devenit cunoscute organismului autorizat pentru protecția drepturilor persoanelor vizate în cursul activităților sale, confidențialitatea datelor cu caracter personal trebuie să fie asigurată.
5. Organismul autorizat pentru protecția drepturilor persoanelor vizate este obligat să:
1) organizează, în conformitate cu cerințele prezentei legi federale și ale altor legi federale, protecția drepturilor persoanelor vizate de date cu caracter personal;
2) examinează plângerile și contestațiile cetățenilor sau persoanelor juridice cu privire la aspecte legate de prelucrarea datelor cu caracter personal și, de asemenea, iau decizii, în limita competențelor lor, pe baza rezultatelor examinării acestor plângeri și contestații;
3) ține un registru al operatorilor;
4) implementarea măsurilor care vizează îmbunătățirea protecției drepturilor persoanelor vizate de date cu caracter personal;
5) acceptă în modul stabilit de legislația Federației Ruse la prezentare organism federal autoritatea executivă autorizată în domeniul securității sau autoritatea executivă federală autorizată în domeniul contracarării informațiilor tehnice și protecției tehnice a informațiilor, măsuri de suspendare sau încetare a prelucrării datelor cu caracter personal;
6) informează organele guvernamentale, precum și persoanele vizate cu caracter personal la solicitările sau solicitările acestora, despre starea de fapt în domeniul apărării drepturilor persoanelor vizate;
7) îndeplinește alte atribuții prevăzute de legislația Federației Ruse.
6. Deciziile organului abilitat pentru protecția drepturilor persoanelor vizate pot fi atacate în instanță.
7. Organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal trimite anual un raport cu privire la activitățile sale Președintelui Federației Ruse, Guvernului Federației Ruse și Adunării Federale a Federației Ruse. Acest raport este supus publicării în mass-media.
8. Organismul autorizat pentru protecția drepturilor persoanelor vizate este finanțat de la bugetul federal.
9. Se creează în mod voluntar un consiliu consultativ în cadrul organismului abilitat pentru protecția drepturilor persoanelor vizate, a cărui procedură de formare și funcționare este stabilită de organismul abilitat pentru protecția drepturilor datelor cu caracter personal. subiecte.
Articolul 24. Răspunderea pentru încălcarea cerințelor prezentei legi federale
Persoanele vinovate de încălcarea cerințelor prezentei legi federale poartă răspundere civilă, penală, administrativă, disciplinară și de altă natură prevăzute de legislația Federației Ruse.
Capitolul 6. Dispoziții finale
Articolul 25. Dispoziții finale
1. Prezenta lege federală intră în vigoare la o sută optzeci de zile de la data publicării sale oficiale.
2. După ziua intrării în vigoare a prezentei legi federale, prelucrarea datelor cu caracter personal incluse în sistemele de informare cu date cu caracter personal înainte de ziua intrării în vigoare a acesteia se realizează în conformitate cu prezenta lege federală.
3. Sisteme de informare datele cu caracter personal create înainte de intrarea în vigoare a prezentei legi federale trebuie aduse în conformitate cu cerințele prezentei legi federale până la 1 ianuarie 2010.
4. Operatorii care prelucrează date cu caracter personal înainte de data intrării în vigoare a prezentei legi federale și continuă să efectueze o astfel de prelucrare după ziua intrării în vigoare a acesteia sunt obligați să trimită către organismul autorizat pentru protecția drepturilor datelor cu caracter personal subiecte, cu excepția cazurilor prevăzute în partea 2 a articolului 22 din prezenta lege federală, notificarea prevăzută în partea 3 a articolului 22 din prezenta lege federală, cel târziu la 1 ianuarie 2008.
Presedintele
Federația Rusă
V. Putin