Commento alla legge federale del 27 luglio 2006 n. N 152-FZ "Sui dati personali" Petrov Mikhail Igorevich
Fonti pubbliche di dati personali
Commento all'articolo 8
1. Ai sensi della citata legge, le fonti dei dati personali sono riconosciute come accessibili al pubblico, il cui accesso non è limitato e non richiede il preventivo consenso degli interessati. Le fonti di dati personali disponibili al pubblico possono essere utilizzate da qualsiasi persona a sua discrezione, fatte salve le restrizioni stabilite dalle leggi federali in merito alla diffusione di tali informazioni.
La creazione di fonti di dati personali accessibili al pubblico è dovuta alla necessità di supporto informativo. Un'analisi della legislazione attuale consente di notare che le fonti di dati personali accessibili al pubblico attualmente includono: elenchi, rubriche, enciclopedie, documenti accumulati in raccolte aperte di biblioteche e archivi, sistemi di informazione ah delle autorità pubbliche, delle amministrazioni locali, delle associazioni pubbliche, degli organismi di pubblico interesse o necessarie per l'attuazione dei diritti, delle libertà e dei doveri dei cittadini. Allo stesso tempo, la scienza e la pratica moderne non sono ancora state in grado di sviluppare criteri efficaci in base ai quali sarebbe possibile distinguere chiaramente tra segmenti di informazioni pubbliche e riservate.
Creazione di fonti di dati personali accessibili al pubblico, che dovrebbero includere cognome, nome, patronimico, anno e luogo di nascita, indirizzo, numero di abbonato, le informazioni sulla professione e altri dati personali forniti dall'oggetto dei dati personali vengono effettuate con il consenso obbligatorio di quest'ultimo. Inoltre, l'interessato ha il diritto di chiedere ai soggetti che divulgano tali informazioni di indicare se stessi come fonte delle stesse.
L'utilizzo di dati personali provenienti da fonti pubbliche implica, a sua volta, l'esclusione della possibilità di realizzare profitti.
In caso di trattamento di dati personali accessibili al pubblico, l’obbligo di dimostrare che i dati personali trattati sono accessibili al pubblico spetta all’operatore.
2. Al fine di tutelare i diritti e gli interessi legittimi del soggetto cui si riferiscono i dati personali, il legislatore prevede la possibilità di revocare i dati personali utilizzati in fonti pubbliche. La loro esclusione può essere effettuata sia su richiesta dell'interessato dei dati personali, sia per decisione del tribunale o di un ente statale appositamente autorizzato.
Articolo 74-1. Trattamento di dati personali in violazione della normativa in materia di protezione dei dati personali
Articolo 85. Il concetto di dati personali di un dipendente. Trattamento dei dati personali di un dipendente I dati personali di un dipendente sono informazioni richieste dal datore di lavoro in relazione al rapporto di lavoro e relative a un dipendente specifico.
Articolo 88. Trasferimento dei dati personali di un dipendente Quando trasferisce i dati personali di un dipendente, il datore di lavoro deve rispettare i seguenti requisiti: non divulgare i dati personali di un dipendente a terzi senza il consenso scritto del dipendente, tranne nei casi casi
Articolo 5. Principi del trattamento dei dati personali Commento all'articolo 51. L'articolo commentato stabilisce i principi fondamentali per lavorare con i dati personali, la cui raccolta e trattamento sono effettuati su basi legali. Ultimo
Articolo 6. Condizioni per il trattamento dei dati personali
Articolo 7. Riservatezza dei dati personali
Articolo 9. Consenso dell'interessato al trattamento dei propri dati personali Il legislatore lo sottolinea
Articolo 10. Categorie particolari di dati personali Commento all'articolo 101. L'articolo commentato individua categorie particolari di dati personali e stabilisce un divieto generale al loro trattamento. Una categoria speciale di dati personali include le informazioni che divulgano
Articolo 12. Trasferimento transfrontaliero di dati personali Commento all'articolo 121. Il disegno di legge definisce i principi del trasferimento transfrontaliero di dati personali. Questi principi sono armonizzati con i principali atti giuridici internazionali nel campo dei dati personali, i quali
Articolo 15
Articolo 16. Diritti degli interessati quando prendono decisioni basate esclusivamente sul trattamento automatizzato dei loro dati personali
Articolo 20
Articolo 21. Obblighi dell'operatore di eliminare le violazioni della legge commesse durante il trattamento dei dati personali, nonché di chiarire, bloccare e distruggere i dati personali
Articolo 22. Informativa sul trattamento dei dati personali
"Persona" - dati relativi a una persona, personalità, organismo biologico.
Cos'è, come raccogliere, dove conservare, come proteggere?
La carta con le impronte digitali è un dato personale oppure no?
Non contiene informazioni personali.
dati personali - qualsiasi informazione relativa a una persona fisica identificata o determinata sulla base di tali informazioni (oggetto dei dati personali), compreso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, sociale , stato patrimoniale, istruzione, professione, reddito, altre informazioni;
L'indirizzo è la registrazione nel luogo di residenza o di soggiorno.
Classificazione condizionale dei dati personali.
1) in base al grado di apertura:
dati personali disponibili al pubblico - dati personali il cui accesso è consentito a un numero illimitato di persone con il consenso dell'oggetto dei dati personali o ai quali, in conformità con le leggi federali, non si applica l'obbligo di riservatezza.
I dati personali pubblicamente disponibili sono dati ai quali viene dato il consenso volontario e resi di pubblico dominio.
Spesso alcuni proprietari di siti richiedono informazioni di registrazione che non desiderano fornire.
Informazioni riservate: le informazioni vengono fornite esclusivamente per scopi specifici. A volte possono essere raccolti all'insaputa della persona.
Il Ministero degli affari interni memorizza le informazioni nei centri di informazione
2) per accessorio
- personale - appartiene dalla nascita
- funzionario - nel corso del lavoro, del servizio - grado di classe, ecc.
3) a titolo di provvedimento
- informazioni fornite volontariamente
- fornite nelle modalità generali a norma di legge (obbligatorie)
- raccolti senza il consenso del cittadino in conformità con la legge
4) per natura dei dati
- biometrico (informazioni sulle impronte digitali)
Concetti di base utilizzati quando si lavora con i dati personali.
– trattamento dei dati personali- azioni (operazioni) con dati personali, tra cui raccolta, sistematizzazione, accumulazione, conservazione, chiarimento (aggiornamento, modifica), utilizzo, distribuzione (incluso il trasferimento), spersonalizzazione, blocco, distruzione dei dati personali;
— diffusione dei dati personali- azioni volte al trasferimento di dati personali a una determinata cerchia di persone (trasferimento di dati personali) o alla conoscenza dei dati personali di un numero illimitato di persone, compresa la divulgazione di dati personali nei media, l'inserimento in reti di informazione e telecomunicazione o fornire l'accesso ai dati personali a qualsiasi - in qualsiasi altro modo;
— utilizzo dei dati personali — azioni (operazioni) con dati personali eseguite dall'operatore al fine di prendere decisioni o eseguire altre azioni che danno origine a conseguenze legali in relazione all'oggetto dei dati personali o ad altre persone o che influiscono altrimenti sui diritti e sulle libertà dell'oggetto dei dati personali o altre persone;
— blocco dei dati personali- sospensione temporanea della raccolta, sistematizzazione, accumulazione, utilizzo, distribuzione dei dati personali, compreso il loro trasferimento;
Le informazioni pubblicate su Internet spesso non possono essere bloccate.
Dati più personali:
- memorizzati sul computer
- pubblicato online
Difficile controllare il posizionamento
— distruzione dei dati personali— azioni a seguito delle quali è impossibile ripristinare il contenuto dei dati personali nel sistema di informazione sui dati personali o a seguito delle quali vengono distrutti i supporti materiali dei dati personali; - situazioni in cui gli archivi sono bruciati
depersonalizzazione dei dati personali
— depersonalizzazione dei dati personali- azioni a seguito delle quali è impossibile determinare la titolarità dei dati personali da parte di uno specifico soggetto di dati personali;
— sistema informativo dei dati personali- un sistema informativo, che è una raccolta di dati personali contenuti nel database, nonché Tecnologie informatiche e mezzi tecnici che consentono il trattamento di tali dati personali con o senza l'uso di strumenti di automazione;
— riservatezza dei dati personali— l'obbligo per l'operatore o altra persona che ha avuto accesso ai dati personali di impedirne la diffusione senza il consenso dell'interessato o altri motivi giuridici;
— trasferimento transfrontaliero di dati personali– trasferimento dei dati personali da parte dell'operatore oltre il confine di Stato Federazione Russa ad un'autorità di uno Stato estero, una persona fisica o giuridica di uno Stato estero;
- dati personali accessibili al pubblico- dati personali, accesso a un numero illimitato di persone a cui è concesso con il consenso dell'interessato dei dati personali o che, in conformità con le leggi federali, non è soggetto all'obbligo di riservatezza.
Trattamento dei dati personali.
1) liceità delle finalità e modalità del trattamento dei dati personali e buona fede;
2) conformità delle finalità del trattamento dei dati personali con le finalità predeterminate e dichiarate al momento della raccolta dei dati personali, nonché l'autorità dell'operatore;
3) conformità dell'entità e della natura dei dati personali trattati, delle modalità del trattamento dei dati personali con le finalità del trattamento dei dati personali;
4) l'attendibilità dei dati personali, la loro sufficienza ai fini del trattamento, l'inammissibilità di trattamenti di dati personali eccessivi rispetto alle finalità dichiarate all'atto della raccolta dei dati personali;
5) l'inammissibilità dell'aggregazione di banche dati di sistemi informativi di dati personali creati per scopi reciprocamente incompatibili.
Se una volta qualcuno ha compilato una scheda con le impronte digitali, è nel centro informazioni nei loro database. Non possiamo, ad esempio, unire i database dei comuni cittadini e degli autori di un crimine.
1) con il consenso del titolare del trattamento dei dati personali
2) senza il consenso del titolare del trattamento dei dati personali.
Questo vale per le persone che occupano una determinata posizione e posizione: personale militare, cadaveri
Riservatezza dei dati personali:
Quando non richiesto:
1) in caso di depersonalizzazione dei dati personali;
2) in relazione ai dati personali accessibili al pubblico.
— l'operatore che raccoglie e tratta i dati personali.
— limitare l'accesso all'interno della propria organizzazione
Il gestore è personalmente responsabile della diffusione dei dati personali
– impostazione delle restrizioni di accesso sia indoor che in rete (sistema di accesso, sistema di identificazione delle carte)
Per reti locali– login di sistema + password
È possibile limitare l'accesso tramite informazioni biometriche: impronta digitale, retina.
- sulla razza
- visioni politiche
sulle convinzioni religiose o filosofiche
- sullo stato di salute
sulla vita intima
Il loro trattamento è possibile solo con il consenso dei soggetti.
1) la presenza del consenso scritto dell'interessato al loro trattamento
2) se l'oggetto dei dati personali li ha resi pubblici
3) se questa informazione si riferisce alle informazioni necessarie per proteggere la vita, la salute e altri interessi vitali di una persona
Tali informazioni possono essere fornite per scopi medici e preventivi, ad esempio per un'infezione virale.
Una caratteristica del trattamento dei dati personali nei sistemi informativi statali o comunali per il trattamento dei dati personali.
- si applica solo ai dipendenti pubblici e comunali.
L'ente statale ha il proprio status, esistono sistemi indipendenti per l'elaborazione delle informazioni sui dipendenti statali o comunali.
1) viene stabilito quali informazioni siano necessarie e di sua competenza
2) esiste anche la legge federale “Sulla funzione pubblica statale”, cioè è regolata non solo dalla legislazione sui dati personali.
Le informazioni che caratterizzano le caratteristiche fisiologiche di una persona e sulla base delle quali è possibile stabilire la sua identità (dati personali biometrici) possono essere trattate solo con il consenso scritto dell'interessato, esclusi i seguenti casi:
1) commettere un reato
Il trattamento dei dati personali biometrici può essere effettuato senza il consenso dell'interessato in relazione all'amministrazione della giustizia, nonché nei casi previsti dalla legislazione della Federazione Russa in materia di sicurezza, dalla legislazione della Federazione Russa sulle attività di ricerca operativa, la legislazione della Federazione Russa sul servizio pubblico, la legislazione penitenziaria della Federazione Russa, la legislazione della Federazione Russa sulla procedura di uscita dalla Federazione Russa e di ingresso nella Federazione Russa.
- raccogliere informazioni da un sospettato è illegale
Trattamento delle informazioni transfrontaliere.
Può essere richiesto a tutela dei cittadini del Paese in cui viene trasferito, viene raccolto solo con il consenso scritto del soggetto.
Diritti dell'interessato.
1) Diritto dell'interessato di accedere ai propri dati personali
Non è possibile chiamare il centro informazioni del Ministero degli affari interni (centro informazioni principale e centro informazioni zonale)
2) Diritti dei soggetti titolari di dati personali al trattamento dei propri dati personali al fine di promuovere beni, opere, servizi sul mercato, nonché per finalità di campagna politica
L'accuratezza delle informazioni sarà verificata da altri.
3) prendere decisioni basate esclusivamente sul trattamento automatizzato di dati personali. Una persona potrebbe non fidarsi dell’elaborazione automatizzata. Puoi richiedere che le impronte digitali vengano archiviate non solo su un computer, ma anche su carta.
- Codice del lavoro della Federazione Russa: c'è un capitolo sui dati personali.
LEGGE FEDERALE SULLA REGISTRAZIONE DISTINTIVA STATALE NELLA FEDERAZIONE RUSSA del 25 luglio 1998 N 128-FZ
Informazione personale— qualsiasi informazione relativa ad un determinato o determinato sulla base di tali informazioni ad un individuo, Compreso:
Il suo cognome, nome, patronimico,
Anno, mese, data e luogo di nascita,
Indirizzo, stato familiare, sociale, patrimoniale, istruzione, professione, reddito,
— un altro informazioni (vedi FZ-152, art. 3).
Ad esempio: dettagli del passaporto, rendiconti finanziari, cartelle cliniche, anno di nascita (per le donne), dati biometrici, altre informazioni di identificazione personale.
IN pubblico fonti dei dati personali (rubriche, elenchi e altri supporti informativi) con consenso scritto un individuo può includere il suo cognome, nome, patronimico, anno e luogo di nascita, indirizzo, numero di abbonato e altro dati personali (vedi legge federale-152, articolo 8).
I dati personali sono classificati come informazioni ad accesso limitato e dovrebbero esserlo riservato in conformità con la legislazione della Federazione Russa. Quando si formano i requisiti per la sicurezza dei sistemi, i dati personali sono suddivisi in 4 categorie.
Operatore dei dati personali- si tratta, di regola, di un'organizzazione, o meglio, di un ente statale o municipale, legale o individuale organizzare e (o) effettuare il trattamento dei dati personali, nonché determinare le finalità e il contenuto del trattamento dei dati personali.
Oggetto dei dati personaliè un individuo.
L'operatore è responsabile della protezione dei dati personali del soggetto in conformità con la legislazione vigente della Federazione Russa.
Per attribuire tipico sistema informativo dei dati personali (ISPD) per una determinata classe, è necessario:
II. Definire volume dati personali trattati nel sistema informativo:
volume 3— i dati sono trattati simultaneamente nel sistema informativo meno di 1000 soggetti dati personali o dati personali di interessati all'interno di una particolare organizzazione;
volume 2 da 1.000 a 100.000 entità dati personali o dati personali degli interessati che lavorano nel settore dell'economia della Federazione Russa, in un'autorità pubblica residente nel comune;
volume 1— i dati personali sono trattati contemporaneamente nel sistema informativo più di 100.000 enti dati personali o dati personali di soggetti che trattano dati personali nell'ambito della Federazione Russa o della Federazione Russa nel suo insieme;
III. Sulla base dei risultati dell'analisi dei dati iniziali tipico All'ISPD viene assegnato uno dei seguenti classi(Vedi la tabella):
Classe 4 (K4) – sistemi informativi per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati non comporta conseguenze negative per gli interessati;
Classe 3 (K3) - sistemi informativi per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può portare a conseguenze negative minori per gli interessati;
Classe 2 (K2) - sistemi informativi per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può portare a conseguenze negative per gli interessati;
Classe 1 (K1) - sistemi informativi per i quali una violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può portare a conseguenze negative significative per gli interessati.
I sistemi di informazione sui dati personali creati prima della data di entrata in vigore della legge federale della Federazione Russa n. 152 "sui dati personali" devono essere adeguati ai requisiti di questa legge federale entro il 1 gennaio 2010 (vedi Federale Legge-152, articolo 25).
Ciò significa che gli operatori di dati personali che non rispettano i severi requisiti della legge federale 152, a partire dal 1° gennaio 2010, incorreranno nelle opportune sanzioni civili, amministrative, disciplinari e forse (Dio non voglia) e penali. responsabilità .
Tutti i sistemi informativi che sono già stati messi in funzione dopo febbraio-aprile 2008 (da quando sono stati inviati i documenti metodologici dell'FSTEC russo e dell'FSB russo), ma che non soddisfano i requisiti della legislazione russa nel campo dei dati personali dati, potrebbero incorrere nella responsabilità specificata prima, ad esempio, domani mattina.
Nota. Dal 1° gennaio 2010 entreranno in vigore anche le modifiche al Codice penale della Federazione Russa, che inaspriranno notevolmente la responsabilità per le violazioni della privacy.
Ma come sempre accade, gli operatori dei dati personali si sono mossi poco, e pochi sono riusciti a fare tutto ciò che veniva richiesto. Il 16 dicembre 2009, la Duma di Stato ha adottato in terza lettura le modifiche agli articoli 19 e 25 della legge "sui dati personali" (152-FZ). Il termine per l'adeguamento dei sistemi di informazione dei dati personali (PDIS) a questa legge è stato posticipato di un anno, fino al 1 gennaio 2011. Inoltre, la legge esclude la norma che obbliga l'operatore a utilizzare mezzi di crittografia (crittografici) per proteggere i dati quando trattamento dei dati personali.
I principali requisiti obbligatori per l'organizzazione di un sistema di sicurezza delle informazioni, a seconda della classe di un tipico ISPD:
Per la classe ISPD 4:
L'elenco delle misure per proteggere i dati personali è determinato dall'operatore (a seconda del possibile danno)
Per la classe ISPD 3:
Dichiarazione di conformità O
Ottenimento di una licenza dall'FSTEC della Russia per attività correlate a protezione tecnica informazioni riservate (per sistemi distribuiti ISPDn K3)
Per la classe ISPD 2:
Certificazione obbligatoria per i requisiti di sicurezza delle informazioni
Ottenimento di una licenza dal FSTEC della Russia per la protezione tecnica delle informazioni riservate per i sistemi distribuiti
Per la classe ISPD 1:
Certificazione obbligatoria per i requisiti di sicurezza delle informazioni
Dovrebbero essere implementate misure per proteggere i dati personali dal PEMIN
Ottenimento di una licenza dall'FSTEC della Russia per la protezione tecnica delle informazioni riservate
La sequenza di azioni per soddisfare i requisiti della legislazione sul trattamento dei dati personali:
1) Notifica al Garante per la tutela dei diritti degli interessati della propria intenzione di trattare i dati personali mediante strumenti automatizzati;
2) Indagine pre-progetto del sistema informativo - raccolta dei primi dati;
3) Classificazione del sistema di trattamento dei dati personali;
4) Costruire un modello privato di minacce al fine di determinare la loro rilevanza per il sistema informativo;
5) Sviluppo di un incarico tecnico privato per un sistema di protezione dei dati personali;
6) Progettare un sistema di protezione dei dati personali;
Le persone colpevoli di violazione dei requisiti della legge federale 152-FZ "sui dati personali" portano:
- penale (vedi Codice Penale della Federazione Russa, artt. 137, 140, 155, 183, 272, 273, 274, 292, 293),
Amministrativo (vedi Codice della Federazione Russa sugli illeciti amministrativi, articoli 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
Disciplinare (vedi Codice del lavoro della Federazione Russa, Art. 81; Art. 90; Art. 195; Art. 237; Art. 391)
e altre responsabilità previste dalla legislazione della Federazione Russa (vedere lo statuto sul trattamento dei dati personali, pubblicato negli enti, dipartimenti e organizzazioni costituenti della Federazione Russa).
FSTEC - Servizio federale per il controllo tecnico e delle esportazioni.
PEMIN- Radiazioni elettromagnetiche spurie e captazioni
Nel dicembre 2014 la Duma di Stato ha adottato in terza lettura un progetto di legge sulla conservazione dei dati personali dei cittadini trattati su Internet su server in Russia. Secondo Roman Chuichenko, membro della commissione per la politica dell'informazione, l'obiettivo principale del disegno di legge è il rafforzamento informazioni di sicurezza paese e i suoi cittadini. Questa misura è stata presa in connessione con la complicazione della situazione internazionale. Il disegno di legge entrerà in vigore il 1° settembre 2015.
L’entrata in vigore del nuovo regolamento in materia di protezione dei dati personali comporta il conferimento da parte dei gestori dei dati personali di:
Il trattamento dell'ISPD può essere effettuato anche in base al parametro “volume di dati personali trattati”, che implica il numero di soggetti trattati nel sistema informativo, e può assumere i seguenti valori:
La divisione in categorie consente non solo di determinare la classe dell'ISPD, ma anche di stabilire una serie di misure volte a garantire la sicurezza e la protezione dei dati personali su Internet, quando trattati nei sistemi informativi.
Ogni dipendente ha il diritto alla protezione dei propri dati personali (clausola 9, articolo 86 del Codice del lavoro della Federazione Russa).
In conformità con l'art. 89 del Codice del lavoro della Federazione Russa, ciascun dipendente può esercitare il proprio diritto alla tutela e alla tutela del PD attraverso le seguenti azioni:
Sulla base della clausola 2 dell'articolo 86 del Codice del lavoro della Federazione Russa, la portata e il contenuto dei dati personali del dipendente sono determinati dal datore di lavoro in conformità con la Costituzione della Federazione Russa, il Codice del lavoro e altre leggi federali. Di norma, l'attività di qualsiasi organizzazione prevede l'utilizzo da parte del datore di lavoro nel flusso di lavoro di due tipi principali di documenti:
Va notato che alcune sanzioni per la violazione di determinati elementi di reato si applicano sia a individui che a funzionari, sia a persone giuridiche.
Ai sensi dell'articolo 150 del Codice Civile della Federazione Russa, la privacy, i segreti personali e familiari rientrano tra i diritti immateriali inalienabili tutelati dalle leggi applicabili.
Va notato che i diritti e gli obblighi di un dipendente che sono direttamente correlati alla PD di altri dipendenti sono determinati dai termini del contratto di lavoro e dalla composizione degli atti normativi locali che stabiliscono le funzioni lavorative del dipendente e l'elenco dei suoi mansioni.
Responsabilità amministrativa per violazione della procedura di raccolta, archiviazione e distribuzione dei dati personali comporta un avvertimento o un'ammenda per un importo di: da 300 a 500 rubli - per le persone fisiche; da 500 a 1000 rubli - per funzionari, da 5 a 10 mila rubli - per persone giuridiche(Articolo 13.11 del Codice degli illeciti amministrativi della Federazione Russa). La responsabilità amministrativa per la diffusione di informazioni tutelate dalla legge nell'esercizio delle funzioni ufficiali e professionali comporta una sanzione pecuniaria pari a: da 500 a 1000 rubli - per le persone fisiche, da 4 a 5mila rubli - per i funzionari (articolo 13.14 del Codice degli illeciti amministrativi della Federazione Russa).
La violazione della privacy, in particolare dei dati personali, da parte di una persona nell'esercizio della sua posizione ufficiale prevede punizioni sotto forma di:
Ogni giorno, le persone forniscono informazioni personali a varie autorità. Gli operatori dei dati personali sono responsabili del trattamento delle informazioni. Si tratta di banche, datori di lavoro, organizzazioni mediche, siti Web e altre strutture. Gli operatori sono tenuti per legge a proteggere le informazioni personali. Creare fonti che contengano dati personali pubblicamente disponibili (PD).
Le informazioni pubbliche includono informazioni su una persona che questa fornisce in modo indipendente alle autorità. Per consentire il libero accesso alle informazioni è necessaria l'autorizzazione scritta della persona oggetto dei dati personali. Il soggetto è un individuo i cui DPD sono raccolti, conservati ed elaborati dall'operatore. Un operatore è una persona fisica o giuridica, un'autorità comunale o statale.
La PD disponibile al pubblico include informazioni sull'argomento mediante il quale può essere identificata:
I dati pubblici possono includere qualsiasi informazione che non sia legalmente riservata. La PD del soggetto può essere classificata in base al volume e al grado di importanza delle informazioni personali.
Sono compresi anche i dati pubblici informazione personale che viene fornito:
I dati personali dell'interessato, diffusi attraverso i media, non sono classificati come riservati, poiché sono accessibili al pubblico in conformità con l'"Elenco delle informazioni riservate".
Non sempre è richiesto il consenso scritto del soggetto a ricevere, trasferire, elaborare e altre azioni con PD. IN singoli casi, ad esempio, quando si partecipa ad un sondaggio o ci si iscrive ad una newsletter, è sufficiente spuntare la casella che consente l'utilizzo di PD.
I dati generici possono essere inseriti in fonti disponibili al pubblico. Ciò significa che le fonti vengono visualizzate e utilizzate da un numero enorme di parti interessate. Un esempio di tale fonte sono gli elenchi telefonici.
Il trattamento dei dati pubblici è effettuato da dipartimenti e divisioni le cui responsabilità comprendono la raccolta, la sistematizzazione, la conservazione, la modifica, l'utilizzo e la distruzione dei PD. Gli interessati hanno il diritto di richiedere informazioni sul titolare del trattamento e scoprire quale finalità persegue l'operatore durante il trattamento dei dati personali.
Il controllo sul rispetto delle leggi durante il trattamento è affidato a Roskomnadzor. L'FSB e l'FSTEC hanno determinati poteri di audit e supervisione. Gli operatori creano sistemi di protezione dei dati personali per le proprie esigenze, pertanto, in relazione a ciò, concedono in licenza tali attività.
I PD vengono trattati da organizzazioni che, per svolgere le proprie attività, hanno bisogno di raccogliere, accumulare, elaborare e archiviare informazioni su dipendenti, fornitori e clienti. In alcuni casi, tali dati sono inclusi negli open data.
I soggetti PD possono presentare un'istanza con una richiesta di blocco, distruzione, chiarimento o modifica dei dati disponibili al pubblico se le informazioni non sono più pertinenti, incomplete o non necessarie ai fini del trattamento. Gli interessati hanno inoltre il diritto di richiedere l'accesso ai propri DPI e di conoscere quali mezzi utilizza l'operatore per trattarli.
Le informazioni devono essere utilizzate in conformità con i requisiti legali ed essere protette sia che siano private che pubbliche. È responsabilità degli operatori garantire la piena protezione dei dati personali del soggetto e limitare l'accesso ai dati da parte di persone non autorizzate.
L'operatore inizia a trattare i dati personali solo dopo aver ricevuto il consenso scritto dell'interessato al trattamento. Il consenso comprende informazioni sui dati personali e dell'operatore: ragione sociale, cognome, nome e patronimico dell'operatore, posizione. Inoltre, nel consenso, è richiesto di indicare la finalità del trattamento e un elenco di dati che descrivano le operazioni che verranno eseguite con l'informativa. L'interessato ha il diritto di revocare i propri DPI e di revocare il consenso al trattamento.
In caso di incapacità o decesso dell'interessato, il consenso al trattamento e all'utilizzo dei D.P. è richiesto agli eredi o ai legali rappresentanti. In questo caso, devi essere guidato dalla legge federale sui dati personali.
In caso di violazione dei requisiti di legge, gli autori del reato si assumono responsabilità amministrativa, penale e di altro tipo. Non importa se la PD è confidenziale o pubblica, ai sensi dell'articolo 8 della legge federale 152 sui dati personali, la PD pubblica può essere inserita in fonti pubbliche solo con il consenso dell'interessato. I dati personali devono essere esclusi dalle fonti se richiesto dal soggetto o da organismi autorizzati: Roskomnadzor, tribunale o altri enti governativi.
La conferma del consenso al trattamento dei dati personali viene ora richiesta al momento della conclusione di contratti, della compilazione di questionari, della registrazione sui siti web. La maggior parte dei cittadini è automaticamente d'accordo, sebbene le informazioni personali su una persona nelle mani di individui senza scrupoli siano un'arma potente e pericolosa. L'articolo spiega cosa è necessario sapere sui dati personali, aprendone l'accesso a terze parti.
Lo Stato regola la sfera dei dati personali attraverso una serie di regolamenti. La base è la Costituzione della Federazione Russa, la base è la legge federale n. 152 del 27 gennaio 2006. La legge spiega cosa sono i dati personali e cosa si applica ad essi. Con questo termine si intendono le informazioni che caratterizzano direttamente o indirettamente il soggetto affetto da PD: un individuo. parlando linguaggio semplice, è possibile determinare esattamente cosa noi stiamo parlando su una persona specifica.
C'è una menzione indiretta dei dati personali nella Costituzione russa. Gli articoli 23-24 della Legge fondamentale conferiscono ai cittadini il diritto alla riservatezza, all'inviolabilità e alla protezione. Tutto ciò che rientra nel concetto di dati personali appartiene solo al loro vettore e non può essere controllato dal governo o da terze parti. I cittadini stessi sono liberi di disporre di queste informazioni, impedirne la diffusione o, al contrario, trasmetterle ad altri. Lo Stato, dal canto suo, garantisce e tutela questa possibilità.
La legge federale n. 152 determina chi ha il diritto di utilizzare i dati personali diversi dal proprio portatore, a quali condizioni, secondo quali regole. Solo gli operatori con il suo consenso possono ricevere e trattare le informazioni personali sull'argomento. Un cittadino firma un consenso alla verifica del PD quando richiede un prestito, compila questionari o fa domanda per un lavoro.
Gli operatori hanno accesso alla quantità di dati necessari per risolvere i loro compiti. Non hanno il diritto di conservarli e utilizzarli una volta raggiunto l'obiettivo. Ad esempio, il datore di lavoro deve distruggere i registri, i questionari e tutto ciò che riguarda i dati personali del dipendente dopo il suo licenziamento. In caso contrario, sarai responsabile
Le norme della legge federale n. 152 devono essere seguite da tutte le persone giuridiche e fisiche. Si applicano norme speciali quando il PD:
Altri atti legislativi chiariscono le disposizioni sulla PD in relazione a diverse situazioni, introducono un sistema e una classificazione dei mezzi di protezione. Ad esempio, il capitolo 14 del Codice del lavoro della Federazione Russa rivela il concetto di dati personali di un dipendente. Si tratta di informazioni che consentono di caratterizzarlo come dipendente di una particolare organizzazione (stipendio, anzianità di servizio, qualifiche, informazioni dal Servizio fiscale federale e dalla Cassa pensione della Federazione Russa, ecc.), Le sue qualità imprenditoriali. Essi devono essere utilizzati e custoditi per assistere il dipendente nello svolgimento delle proprie mansioni lavorative, per accrescere esperienza e conoscenza, per avanzare nel servizio, per tutelare il personale ed i beni dell'azienda.
La legge federale n. 152 identifica diversi tipi di dati personali. Puoi ordinarli in base al grado di "segretezza", alla difficoltà di raccolta e utilizzo da parte di 3 persone:
I dati personali generali sono informazioni di base su una persona. Questi includono:
Trattamento dei dati personali in un'organizzazione
Lo scopo del trattamento dei dati personali in un'organizzazione è formalizzare un rapporto di lavoro con un dipendente. Senza un consenso firmato al trattamento dei dati personali, il datore di lavoro non ha il diritto di stipulare un contratto di lavoro. Leggi di più in questo
Non tutti individualmente possono essere attribuiti al PD. Ad esempio, la legge non definisce con precisione Il numero di telefono è privato?. Roskomnadzor, in risposta agli appelli dei cittadini, ha spiegato che è impossibile identificare con precisione una persona solo in base al numero. Di per sé non è personale, ma insieme al nome del titolare e alla città di residenza si riferisce al PD. Pertanto, l'invio non personalizzato di messaggi SMS non è considerato una violazione della legge federale n. 152.
Il PD generale è contenuto in un passaporto, una carta d'identità militare, un diploma, una carta personale di un dipendente, un libro di lavoro, ecc. Per ottenere questi dati non è necessaria l'autorizzazione scritta, sufficientemente indiretta, ad esempio un segno di spunta davanti alla voce corrispondente sul questionario online. La relativa facilità di accesso porta spesso problemi ai soggetti PD - comuni cittadini: dalla pubblicità invadente ai ricatti e alle false richieste di prestito.
La vita personale di un cittadino, che include anche diversi tipi i segreti (medici, fiscali, di adozione e altri) sono protetti dalla divulgazione dall'articolo 137 del codice penale della Federazione Russa. Puoi leggere di più in questo.
I dati biometrici sono le caratteristiche fisiologiche e biologiche del soggetto: immagini delle impronte digitali, gruppo sanguigno, altezza, colore degli occhi, peso, analisi del DNA, ecc. Ciò include anche le informazioni che possono essere ottenute da una foto o da una registrazione video con una persona. La PD biometrica è spesso necessaria per cure o impiego in agenzie governative, per ottenere passaporti e visti stranieri.
Razza e nazionalità, religione, convinzioni filosofiche, stato di salute, precedenti penali, vita intima, preferenze sessuali sono dati speciali. Sono contenuti in certificati medici, cartelle personali, ecc.
Per partecipare ad attività politiche e arruolarsi nelle forze armate è necessario un documento d'identità speciale. Terze parti possono accedere a questi dati solo con il permesso del soggetto.
Perché abbiamo bisogno di una legge sui dati personali? Guarda il video per la risposta:
Il PD anonimizzato è disponibile per qualsiasi persona interessata. Le fonti di informazione possono essere:
Le informazioni pubblicamente disponibili che sono considerate dati personali sono, ad esempio, i redditi di politici, rappresentanti delle autorità federali o municipali, funzionari in posizioni di rilievo.
Nel novembre 2016 si è tenuto il primo incontro gruppo di lavoro Amministrazione del Presidente della Federazione Russa sul problema dell'utilizzo delle disposizioni della Legge Federale n. 152 ai cosiddetti grandi dati. Si tratta di dati che entrano nella rete dall'utente: indirizzo IP, moduli di autorizzazione, cronologia del browser, informazioni che i gadget e gli elettrodomestici intelligenti accumulano sul proprietario.
I Big Data, da un lato, puntano direttamente o indirettamente a una persona, cioè rientrano nella definizione di PD. Allo stesso tempo, i legislatori non considerano i dati Internet come proprietà di un individuo, poiché non può controllarli.
Tutte le domande di interesse possono essere poste nei commenti all'articolo.
I dati personali dell'interessato sono classificati in base alla quantità di informazioni personali sulla persona e al grado di importanza. Qualsiasi operazione con loro viene eseguita rigorosamente nel quadro degli atti legislativi e è soggetta a protezione. Tuttavia, esiste una categoria di dati personali pubblicamente disponibili che trasmette a una persona solo informazioni superficiali e impersonali.
Da questo articolo imparerai:
Quando si crea un database, incluso un elenco di tutti i dipendenti dell'azienda, nella fase iniziale è necessario classificare i dati personali. Tutti i dati personali dei dipendenti sono divisi in due gruppi: pubblici e riservati.
I dati personali (PD) sono informazioni di vario tipo, dal nome completo, data di nascita, stato civile e sociale, ai numeri di registrazione di documenti emessi da enti governativi e istanze commerciali. L'operatore dei dati personali è una struttura statale, federale, commerciale, una persona giuridica o un individuo che ha il diritto di svolgere varie attività utilizzando i dati personali.
Nei rapporti di lavoro, il titolare/interessato dei dati personali è il dipendente, e l'operatore è il datore di lavoro, il personale e l'ufficio contabilità coinvolti nella registrazione del dipendente per il lavoro e in tutte le questioni relative a affari personali e rapporti giuridici, buste paga, benefici, compensi, ecc. La PD del soggetto è necessaria affinché il datore di lavoro possa collegarli con rapporti / accordi di lavoro (articoli 85, 86 del Codice del lavoro della Federazione Russa).
Il trattamento dei dati personali si riferisce a diverse operazioni previste dalla legislazione della Federazione Russa. Le tipologie di trattamento dei PD comprendono la raccolta, la sistematizzazione, l'accumulazione, la conservazione, l'aggiornamento, l'utilizzo, la spersonalizzazione, la distruzione, che vengono effettuati secondo le modalità stabilite dalle disposizioni normative. Le operazioni con PD possono essere eseguite da enti e organizzazioni statali, federali, municipali che hanno tale diritto per status.
Tutti i PD sono suddivisi nelle seguenti sezioni:
Quando si formano sistemi di informazione sui dati personali (PDIS), si raccomanda di seguire l'Ordine dell'FSTEC, dell'FSB e del Ministero delle tecnologie dell'informazione e delle comunicazioni della Federazione Russa n. 55/86/20 del 13 febbraio 2008 " Sull'approvazione della procedura di classificazione dei sistemi informativi sui dati personali”. Secondo tale atto normativo i PD sono suddivisi in categorie:
L'elenco dei dati personali disponibili al pubblico include fattori che non contengono informazioni che consentano di identificare l'identità di una persona nel database. I dati anonimi includono:
I dati pubblici includono informazioni sull'argomento che possono essere ottenute da fonti pubbliche di informazione, come un elenco telefonico o una rubrica. L'accesso a tali banche dati pubbliche avviene previo consenso scritto del soggetto.
La particolarità dei dati personali disponibili al pubblico è che possono essere inseriti in fonti di informazione aperte. Cioè, se la directory dei contatti di un'organizzazione elenca i dettagli di contatto dei funzionari, come quelli coinvolti nella formazione e nell'assunzione del personale, tali dati sono considerati disponibili al pubblico. Quando nella pubblicazione cartacea sono indicati nomi e cognomi dei componenti della redazione, tale informazione si riferisce anche al pubblico.
A questo fattore può essere attribuita la particolarità dei dati disponibili al pubblico, che consente loro di essere correttamente classificati: le prime tre categorie sono in una certa misura necessarie per inserire l'argomento nell'ISPD e la quarta categoria rimane al di fuori dei requisiti di informazione sistemi. Se da tutti i dati si conosce solo il nome e il luogo di lavoro di una persona, tali informazioni sono disponibili al pubblico.
Durante la sistematizzazione dei dati saranno necessarie informazioni più precise, che possono essere ottenute solo con il consenso scritto del soggetto al trattamento dei dati personali. In questo caso, l'operatore si assume l'obbligo di proteggere e rispettare le norme stabilite dalla legge per il trattamento e la conservazione dei dati personali.
