Data oficjalnej publikacji ustawy federalnej o danych osobowych. Ochrona danych osobowych

Aleksiej Kondratow
Współzałożyciel i reżyser dział prawny serwis internetowy, specjalista w zakresie ochrony danych osobowych, wsparcie prawne startupy i ochronę sądową biznes.

Edukacja: Wydział Prawa pomorski uniwersytet państwowy. Wcześniej pracował jako dyrektor generalny w Iski Online.

Z dniem 1 lipca 2017 r. następuje zmiana w Kodeks rosyjski Przestępstwa administracyjne. Zwiększono wysokość kar za naruszenia przewidziane w ustawie nr 152-FZ „O ochronie danych osobowych”, a niektóre jej sformułowania uległy zmianie. Nowe zasady spowodowały, że wielu właścicieli serwisów internetowych zaczęło martwić się o to, czy ich zasoby są zgodne z prawem. Spróbujmy to rozgryźć.

Zacznijmy od kilku informacji ogólnych. 152-FZ - pierwszy w Rosji współczesne prawo o danych osobowych. Zaczęto go opracowywać w 2000 r. i wszedł w życie 27 lipca 2006 r. Głównym przepisem prawa była obowiązkowa zgoda osoby na przetwarzanie informacji o niej w jakimkolwiek celu. W trakcie prac nad 152-FZ wprowadzono dwa nowe terminy, których prawo używa do dziś – podmiot danych osobowych i podmiot danych osobowych. Łatwo się domyślić, że chodzi o osobę, której tożsamość można ustalić na podstawie określonych informacji. Operatorem może być osoba fizyczna lub prawna, która ma dostęp do danych osobowych podmiotu. Ostatnia definicja jest dla nas niezwykle ważny, dlatego przyjrzyjmy się temu bardziej szczegółowo.

Kto zgodnie z ustawą 152-FZ jest uważany za operatora danych osobowych?

Organy władza państwowa I samorząd miejski, sądowe, oświatowe i instytucje medyczne, pracodawcy, wszelkie firmy i organizacje świadczące usługi osobiste: banki, kancelarie prawne, operatorzy komunikacja mobilna, firmy budowlane Operatorami danych osobowych są wszyscy zasoby Internetu, ponieważ mają one dostęp do danych osobowych ludzi w różnym stopniu.

Jakie dane osobowe użytkowników mogą znajdować się na Twojej stronie?

Najczęściej przez dane osobowe (PD) rozumie się:

• nazwisko,
• wiek,
• miejsce urodzenia,
• zdjęcie,
• adres zamieszkania,
• numer telefonu.

Dane osobowe obejmują także informacje:

• o stanie cywilnym,
• religijne, filozoficzne i poglądy polityczne,
• życie intymne,
• stan zdrowia.

Zanonimizowane dane osobowe i informacje zbierane automatycznie:

• e-mail,
• adres IP,
• geolokalizacja,
• ciastka.

Jakie formy zbierania danych osobowych występują w serwisie?

• Formularz rejestracyjny.
• Formularz zamówienia.
• Formularz informacja zwrotna.
• Przycisk „Poproś o oddzwonienie”.
• Formularz zapisu na biuletyn e-mailowy.

Wysokość kar finansowych po zmianach od 1 lipca 2017 r

Numer artykułu	Możliwe naruszenia	Wysokość kary
Część 1 art. 13.11 Kodeksu wykroczeń administracyjnych	Żądanie skanów dokumentów od osób odwiedzających witrynę. Dystrybucja SMS-ów i e-maili bez zgody Klienta. Wszelkie dezinformacje użytkowników dotyczące celu wprowadzania danych do formularza w serwisie.	Dla fizycznego osoby - do 3 tr. Dla osób prawnych osoby – do 50 t.r.
Artykuł 13.11 Kodeks wykroczeń administracyjnych	Przetwarzanie, gromadzenie i przechowywanie jakichkolwiek danych osobowych, w tym adresów IP i plików cookies, bez podpis elektroniczny użytkownicy. Brak dokumentów „Polityka prywatności” i „ Umowa użytkownika». Niezgodność dokumentów z wymogami prawnymi, która może powstać na skutek błędów redakcyjnych. Brak zastrzeżeń, gdy użytkownik odwiedza witrynę po raz pierwszy.	Dla fizycznego osoby - do 5 tr. Dla osób prawnych osoby - do 75 tr.
Część 3 art. 13.11 kodeksu administracyjnego	Brak bezpłatny dostęp do Polityki Prywatności dla każdego odwiedzającego witrynę.	Dla fizycznego osoby - do 1,5 tr. Dla indywidualnych przedsiębiorców - do 10 tr. Dla osób prawnych osoby - do 30 tr.
Część 4 art. 13.11 kodeksu administracyjnego	Odmowa, ignorowanie lub kłamstwo w odpowiedzi na prośbę użytkownika pełna informacja o sposobie przechowywania i przetwarzania jego danych osobowych.	Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 15 tr. Dla osób prawnych osoby - do 40 tr.
Część 5 art. 13.11 kodeksu administracyjnego	Odmowa usunięcia PD z publicznego dostępu na żądanie użytkownika. Inne działania naruszające prawo podmiotu do wycofania zgody przetwarzanie danych osobowych.	Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 20 tr. Dla osób prawnych osoby - do 45 tr.
Część 6 Artykuł 13.11 Kodeks wykroczeń administracyjnych	Atak hakerski, włamanie do baz danych przez osoby trzecie, dystrybucja danych osobowych użytkowników.	Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 20 tr. Dla osób prawnych osoby - do 50 tr.

W przypadku popełnienia przestępstwa kara grzywny jest doliczana dodatkowe środki kary, obejmujące blokadę zasobu i aresztowanie sprawcy naruszenia.

Jak to działa?

Aby wykryć naruszenia, Roskomnadzor przeprowadza zaplanowane, nieplanowane (na żądanie obywateli) i dokumentacyjne (z prośbą o dokumenty) inspekcje obiektów. Na przykład podczas kontroli w 2016 r. w mieście Tambow kancelaria prawna» ukarany grzywną za opublikowanie formularza opinii bez dokumenty towarzyszące, a zimą 2017 r. kilka obiektów w Astrachaniu zostało ukaranych grzywną za podobne naruszenia.

Jak uniknąć kar i blokowania stron internetowych: 5 kroków

1. Przeprowadź migrację baz danych do Rosyjskie serwery. Jest to wymóg ustawy N149-FZ „O informacjach, technologia informacyjna oraz o ochronie informacji.” Naruszenie prawa może prowadzić do zablokowania zasobu - na przykład firma biznesowa zaprzestała działalności w Rosji sieć społecznościowa LinkedIn.
2. Przygotuj dwa dokumenty – „Politykę przetwarzania danych osobowych” i „Umowę użytkownika”. zauważ to oferta publiczna zastępuje dokument polityki prywatności. Niezwykle ważne jest, aby dokumenty nie zawierały faktów i błędy prawne. Tę pracę najlepiej powierzyć profesjonalny prawnik. Artykuł 9 ustawy stanowi, że dokument wirtualny jest równoważny dokumentowi na papierze, więc nie dokumenty fizyczne nie jest wymagane.
3. Połącz formularz ze zgodą na przetwarzanie danych osobowych i obowiązkowym checkboxem do wszystkich pól dotyczących gromadzenia danych osobowych w serwisie.
4. Upewnij się, że strona z „Polityką przetwarzania danych osobowych” jest dostępna do wglądu dla każdego użytkownika serwisu.
5. Wyślij papier i powiadomienie e-mailem do Roskomnadzoru w przepisanej formie– można go znaleźć na stronie internetowej Roskomnadzoru. Zgodnie z art. 22 ustawy ustęp ten jest obowiązkowy.

Jeśli wątpisz w swoje kompetencje prawne lub po prostu nie chcesz tracić czasu na formalności, istnieje prostsze i bardziej praktyczne rozwiązanie problemu - serwis. To proste, tanie i szybkie rozwiązanie dla Twojej witryny i firmy.

Wśród naszych ofert z pewnością będziesz mógł wybrać taką, która będzie Ci odpowiadać. Jeśli nie chcesz zwlekać z rozwiązaniem problemu, możesz to zrobić teraz. Powstające kwestie prawne można o to zapytać, dzwoniąc do naszego zespołu wsparcia 8 800 100 43 45 lub poniżej w formularzu komentarza.

Z rozwojem technologie cyfrowe Wiele organizacji staje przed problemem przechowywania i przetwarzania danych osobowych klientów. Przyjęte prawo o danych osobowych ma na celu zapewnienie praw i wolności obywatela w momencie, gdy jego dane osobowe są przechowywane lub wykorzystywane w różnych strukturach rządowych i komercyjnych.

Krótki przegląd prawa federalnego 152 FZ

Prawo definiuje dane osobowe; zgodnie z nim jest to zbiór informacji, które mogą pomóc w identyfikacji osoby.

Do tego typu informacji zaliczają się:

• Pełne imię i nazwisko;
• pełna data urodzenia;
• adres ;
• informacja o dochodach;
• informacje o statusie społecznym;
• osobiste numery telefonów;
• informacje o edukacji;
• dane bankowe;
• dane dostępowe do konta;
• korespondencja osobista;
• wskaźniki biometryczne.

Każdy formularz musi zawierać następujące informacje:

• Pełne imię i nazwisko;
• pełny adres;
• liczba dokumentów identyfikacyjnych;
• data wydania;
• organy, które wydały dokumenty identyfikacyjne;
• pełna nazwa operatora;
• jego adres rejestrowy;
• celów przetwarzania dane osobowe;
• wykaz danych osobowych podlegających przetwarzaniu;
• listę wszystkich działań, które zostaną wykonane na podstawie dostarczonych informacji;
• czas trwania umowy o przetwarzanie;
• sposoby odstąpienia od umowy;
• podpis i inicjały podmiotu.

Jeżeli podmiot jest ubezwłasnowolniony, wówczas jego przedstawiciel ustawowy może przekazać do przetwarzania jego dane osobowe.

Odpowiedzialność za naruszenie

Wiele ustaw zawiera artykuł dotyczący naruszeń przetwarzania i rozpowszechniania danych osobowych. Główną miarą wpływu na sprawców naruszenia jest płatność kara pieniężna. Jednak w każdym wymienione prawa Są też inne sankcje.

Kodeks wykroczeń administracyjnych	Jak już napisano powyżej, innowacje wpłyną na wysokość kar za naruszenia administracyjne. Minimalna ilość kara wyniesie 1500 rubli. dla osób fizycznych. Największa kwota będzie osoby prawne i wyniesie 75 000 rubli.
Kodeks karny	Kodeks karny za nielegalne przetwarzanie gromadzenia lub rozpowszechniania danych, takie jak: informacje o prywatność; tajemnica osobista lub rodzinna; korespondencja osobista. Odpowiedzialność jest przewidziana w formie grzywny w wysokości do 300 tysięcy rubli, praca przymusowa lub pozbawienia wolności do 4 lat.
Kodeks cywilny	Poszkodowany może wystąpić do sądu z roszczeniem o naprawienie szkody moralnej lub fizycznej oraz strat poniesionych w związku z naruszeniem przetwarzania jego danych osobowych. Sąd samodzielnie ustala wysokość odszkodowania, jednak wysokość ta nie podlega żadnym ograniczeniom.
Kodeks Pracy	W przypadku naruszenia zasad pracownik może otrzymać naganę lub naganę od pracodawcy. W zależności od rozmiaru wyrządzonych szkód pracownik może zostać zwolniony. Menedżer ma wszelkie prawo zwolnić pracownika za własna inicjatywa, jeżeli ujawnił informację dotyczącą tajemnicy prawnie chronionej lub danych osobowych innego pracownika.

Wideo: Ustawa o danych osobowych w Federacji Rosyjskiej: dbałość o użytkowników czy całkowita kontrola?

W jeszcze raz zaostrzyć odpowiedzialność za przetwarzanie danych osobowych. Od 1 lipca 2017 r. Będzie obowiązywać nowa wersja art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej. Lista naruszeń stała się bardziej szczegółowa, a wysokość kar znacznie wzrosła – do 75 tysięcy rubli. Przeczytaj artykuł o tym, jak chronić się przed naruszeniami.

Odpowiedzialność za naruszenia danych osobowych

Zmiany dotkną wszystkich bez wyjątku pracodawców, którzy zajmują się przetwarzaniem danych osobowych pracowników i poszczególnych kontrahentów. Co więcej, można powiedzieć, że zmiany dotyczą niemal całego środowiska biznesowego mającego kontakt z danymi osobowymi osób fizycznych (np. właścicieli stron internetowych gromadzących dane osobowe osób odwiedzających). Od 1 lipca ustawodawca zmienia art. 13.11 Kodeksu wykroczeń administracyjnych (ustawa federalna z dnia 7 lutego 2017 r. nr 13-FZ).

• dla osób prawnych - od 5 tysięcy do 10 tysięcy rubli;
• dla urzędników - od 500 do 1 tysiąca rubli.

Poniżej w tabeli podam zestawienie naruszeń oraz wysokość nowych kar za nie nałożonych od 1 lipca 2017 r.

Rodzaj naruszenia	Wysokość kary
	dla osób prawnych	dla urzędników
Przetwarzanie danych osobowych w przypadkach nie przewidziane przez prawo lub ich przetwarzanie niezgodne z celami zbierania danych osobowych*.	Od 30 tysięcy do 50 tysięcy rubli.	Od 5 tysięcy do 10 tysięcy rubli.
Przetwarzanie danych osobowych bez pisemnej zgody podmiotu danych osobowych na ich przetwarzanie*	Od 15 tysięcy do 75 tysięcy rubli.	Od 10 tysięcy do 20 tysięcy rubli.
Przetwarzanie danych osobowych z naruszeniem wymogów dotyczących składu informacji wyrażonych w pisemnej zgodzie podmiotu danych osobowych na ich przetwarzanie	Od 15 tysięcy do 75 tysięcy rubli.	Od 10 tysięcy do 20 tysięcy rubli.
Naruszenie przez operatora wymogów prawnych w zakresie przetwarzania, przechowywania i podawania danych osobowych	Od 15 tysięcy do 50 tysięcy rubli.	Od 3 tysięcy do 10 tysięcy rubli.

*Jeśli nie podano odpowiedzialność karna

Uprawnienia do wszczynania spraw o wykroczenia administracyjne w zakresie danych osobowych zostały przeniesione z prokuratorów do Roskomnadzoru. Przedawnienie dla odpowiedzialność administracyjna- trzy miesiące od daty naruszenia (część 1 art. 4.5 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Protokół włączony naruszenie administracyjne są pracownikami Roskomnadzor (klauzula 58 część 2, artykuł 28.3 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Inspekcja pracy ma również prawo ukarać za naruszenie zasad pracy z danymi osobowymi ustanowionych w prawie pracy (na przykład, jeśli księgowy wykorzystuje informacje o pracowniku do celów niezgodnych z prawem lub je utracił). Kara - grzywna od 1000 do 5000 rubli za powtórzyć naruszenie- grzywna od 10 000 do 20 000 rubli. lub dyskwalifikacja od jednego do trzech lat (części 1, 2 artykułu 5.27 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Przedawnienia odpowiedzialności za dane osobowe prawo pracy- jeden rok od daty naruszenia (część 1 art. 4.5 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Oprócz odpowiedzialności administracyjnej, naruszenia w zakresie przetwarzania danych osobowych mogą skutkować odpowiedzialnością dyscyplinarną, finansową, a nawet karną.

Sytuacje z praktyki: co się zmieni od 1 lipca

Przykład 1. Urzędnik bez zgody tej osoby ujawnił wynagrodzenie, premię, wynagrodzenie wynikające z umowy, przekazał dane dłużników kancelaria prawna komponować oświadczenia o roszczeniach lub umieścił kopię oświadczenia danej osoby jako próbkę na stojaku z próbkami innych oświadczeń. Od 1 lipca 2017 r. Inspektorzy Roskomnadzor kwalifikują takie naruszenie jako ujawnienie danych osobowych bez pisemnej zgody osoby lub przez pisemna zgoda, w którym ogłoszono naruszenia i zostanie wydana uchwała w sprawie wykroczenie administracyjne i nałożyć grzywnę: na instytucję - od 15 000 do 75 000 rubli, na urzędnika - od 10 000 do 20 000 rubli. (Część 2 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Przykład 2. Księgowy nie dostarczył pracownikowi odcinka wypłaty, zaświadczenia, informacji nt doświadczenie ubezpieczeniowe oraz inne dokumenty zawierające spersonalizowane informacje o danej osobie. Od 1 lipca 2017 r. Inspektorzy Roskomnadzor będą klasyfikować takie naruszenie jako ukrywanie danych osobowych przed osobą i nakładać grzywnę: dla instytucji - od 20 000 do 40 000 rubli, dla księgowego - od 4 000 do 6 000 rubli. (Część 4 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Przykład 3. Urzędnik odmówił przyjęcia do przetwarzania nowych danych paszportowych osoby, danych bankowych lub innych zmieniających się informacji - za takie naruszenie inspektorzy mogą nałożyć na instytucję grzywnę - od 25 000 do 45 000 rubli, a na urzędnika - od 4 000 do 10 000 ruble.

Przykład 4. Urzędnik beztrosko obchodzi się z dokumentami, dane osobowe pracownika stały się znane innym osobom w związku z tym, że pozostawił on na stole świadectwa bez nadzoru lub zabrał je z miejsca pracy, odcinki wypłat, inne dokumenty zawierające dane osobowe lub utracone te dokumenty. Od 1 lipca 2017 r. Inspektorzy Roskomnadzor klasyfikują takie naruszenie jako niezastosowanie się do żądania osoby o wyjaśnienie, zablokowanie lub zniszczenie jej danych osobowych i nałożenie grzywny: dla instytucji - od 25 000 do 50 000 rubli, a dla księgowego - od 4000 do 10 000 rubli. (Część 6 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Przykład 5. Urzędnik przekazuje nazwiska, adresy, numery telefonów i inne dane pracowników organizacjom działającym w celach reklamowych, agencjom windykacyjnym lub innym osobom trzecim. Od 1 lipca 2017 r. Inspektorzy Roskomnadzor będą kwalifikować takie naruszenie jako przetwarzanie danych osobowych, gdy nie jest to przewidziane przez prawo i nie odpowiada celom gromadzenia danych osobowych, i nałożą na instytucję karę pieniężną - od 30 000 do 50 000 rubli, a dla księgowego - od 5 000 do 10 000 rubli. (Część 1 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

O innych rodzajach odpowiedzialności

DO odpowiedzialność dyscyplinarna kierownik instytucji może pociągnąć do odpowiedzialności pracownika za naruszenia, które są zobowiązane do przestrzegania zasad pracy z danymi osobowymi, ale je naruszyły (art. 192 Kodeksu pracy Federacji Rosyjskiej). Dla przewinienie dyscyplinarne kierownik może ukarać pracownika, udzielić nagany, nagany, a nawet zwolnić go (część 1 art. 192 Kodeksu pracy Federacji Rosyjskiej).

Odpowiedzialność finansowa pracownika może powstać, jeżeli jej naruszenie doprowadziło do szkody dla instytucji (art. 238 Kodeksu pracy Federacji Rosyjskiej). Przykładowo, pracownik odpowiedzialny za przetwarzanie danych osobowych rozpowszechnił dane osobowe pracowników w Internecie, a oni z kolei złożyli pozew przeciwko pracodawcy, który orzekł: „zapłacić poszkodowanym pracownikom rekompensatę pieniężną„Po 50 000 rubli każdy”. W takim przypadku zarządzający może nałożyć zarówno ograniczoną, jak i pełną odpowiedzialność finansową.

Najstraszniejszy rodzaj odpowiedzialności ma charakter karny. Może nadejść później nielegalne działania:

• zbieranie lub rozpowszechnianie informacji o życiu prywatnym pracownika, stanowiących jego tajemnicę osobistą lub rodzinną, bez jego zgody;
• rozpowszechnianie informacji o pracowniku w wystąpienia publiczne, publicznie wyświetlane dzieła lub media.

Jak chronić dane osobowe

Aby chronić i ograniczać dostęp do danych osobowych, pracodawca musi zapewnić wysoką jakość i nowoczesny system ich ochronę. Jak dokładnie to zrobić?

Każdy pracodawca decyduje o tej kwestii samodzielnie. Urzędnicy zatwierdzili środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania (art. 19 ustawy z dnia 27 lipca 2006 r. nr 152-FZ i wymagania, ustalone uchwałą Rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. nr 1119). Osoby atakujące mogą niszczyć, zmieniać, blokować, kopiować informacje i udostępniać je osobom trzecim. Czasami nieautoryzowany dostęp uzyskują przypadkowo osoby, które nie mają złych intencji. Nie wyklucza to jednak zagrożenia dla bezpieczeństwa danych osobowych.

Podejmij kroki, aby zapobiec nieautoryzowanemu dostępowi do danych osobowych w Twojej bazie danych.

1. Ogranicz dostęp pracowników do komputerów.

2. Wprowadź system indywidualnych haseł. Należy je okresowo zmieniać.

3. Przechowuj dyski i inne nośniki danych w zamkniętych szafkach.

4. Zabezpieczyć procedurę bezpieczeństwa informacji.

Regulamin przetwarzania danych osobowych

Pracodawca może pozyskać wszelkie dane osobowe pracownika wyłącznie od siebie. Instytucja nie ma prawa zbierać informacji niezwiązanych bezpośrednio z pracą jej personelu. Dlatego też menedżer nie powinien zmuszać pracowników do ujawniania informacji na temat ich religii, sympatii politycznych, warunki życia itp. Wszystko to dotyczy osobistych lub rodzinny sekret obywatel (klauzula 4 część 1 art. 86 Kodeksu pracy Federacji Rosyjskiej, art. 10 z 27 lipca 2006 r., ustawa nr 152-FZ).

Po otrzymaniu danych osobowych pracodawca zobowiązuje się nie rozpowszechniać ich ani nie ujawniać osobom trzecim bez zgody pracownika (art. 7 z 27 lipca 2006 r., ustawa nr 152-FZ). Aby zapobiec wyciekowi informacji, utwórz system bezpieczeństwa. Tryb otrzymywania, przetwarzania, przekazywania i przechowywania informacji określa lokalna ustawa, np. rozporządzenie w sprawie pracy z danymi osobowymi pracowników.

Regulamin zatwierdza kierownik placówki. Zapoznaj pracowników z postanowieniami dotyczącymi podpisu (klauzula 8 część 1, artykuł 86 Kodeksu pracy Federacji Rosyjskiej). Menedżer określa, kto będzie odpowiedzialny za pracę z danymi osobowymi (część 5 art. 88 Kodeksu pracy Federacji Rosyjskiej). W praktyce taką pracę powierza się pracownikom działu personalnego, a w księgowości - księgowemu ds. płac, gdyż to on najczęściej ma do czynienia z danymi osobowymi pracowników.

Przetwarzanie danych bez zgody pracownika

Czasami możliwe jest przetwarzanie danych osobowych pracownika bez jego zgody. Na przykład w przypadkach bezpośrednio przewidzianych w układzie zbiorowym, a także akty lokalne instytucji (wyjaśnienia Roskomnadzoru z dnia 14 grudnia 2012 r.).

Nie jest konieczne uzyskanie zgody danej osoby na przetwarzanie danych osobowych w przypadkach, gdy takie przetwarzanie jest przewidziane przez przepisy prawa. Do takich przypadków zalicza się przekazanie informacji następującym organom:

• Fundusz emerytalny Federacji Rosyjskiej (art. 9 ustawy z dnia 1 kwietnia 1996 r. nr 27-FZ);
• inspekcja podatkowa (art. 24 kodeksu podatkowego Federacji Rosyjskiej);
• komisariaty wojskowe (art. 4 ustawy z dnia 28 marca 1998 r. nr 53-FZ);
• inne organy (na przykład sądy, prokuratura, inspekcja pracy itp.).

Ponadto nie wymagają zgody pracownika na przekazanie danych osobowych do banku przy otwieraniu i obsłudze karta płatnicza dla płac:

• jeśli umowa o wydanie karta bankowa zawarta bezpośrednio z pracownikiem, a umowa przewiduje przekazanie danych osobowych pracownika do banku;
• jeżeli organizacja wydała pełnomocnictwo do reprezentowania interesów pracownika przy zawieraniu umowy instytucja kredytowa za wydanie karty bankowej i jej późniejsze utrzymanie;
• jeżeli odpowiednią formę i system wynagradzania określa art układ zbiorowy instytucje (pkt 10 ust. 4 wyjaśnień Roskomnadzoru z dnia 14 grudnia 2012 r.).

Dane osobowe obejmują wszelkie informacje, które pozwalają na jednoznaczną identyfikację indywidualny i zdobyć o nim trochę informacji dodatkowe informacje. Każda organizacja pracująca z danymi osób fizycznych ma obowiązek chronić systemy informatyczne i pozyskiwać dokumenty potwierdzające, że systemy te spełniają wymogi prawne.

Definicje

• Dane osobowe- wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych);
• Operator danych osobowych- organ rządowy, organ miejski, osoba prawna lub osoba fizyczna, która samodzielnie lub wspólnie z innymi osobami organizuje i (lub) przetwarza dane osobowe, a także ustala cele przetwarzania danych osobowych, skład przetwarzanych danych osobowych, działania ( operacje) dokonywane na danych osobowych;
• Przetwarzanie danych osobowych- każda czynność (operacja) lub zestaw czynności (operacji) wykonywana przy użyciu narzędzi automatyzacji lub bez użycia takich środków na danych osobowych, obejmująca gromadzenie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), wydobywanie, wykorzystywanie, przenoszenia (dystrybucji, udostępniania, dostępu), depersonalizacji, blokowania, usuwania, niszczenia danych osobowych.

Dlaczego Rosja potrzebuje tego prawa?

Powodem przyjęcia ustawy o ochronie danych osobowych była potrzeba usunięcia barier handel międzynarodowy z krajami Unii Europejskiej. Wymiana danych osobowych, często niezbędna przy dokonywaniu transakcji, możliwa jest jedynie pomiędzy państwami, które są w stanie zapewnić odpowiednią ochronę przesyłanych i otrzymywanych informacji. Dla porównania w Norwegii i Francji podobne prawa wprowadzono pod koniec XIX wieku. Jesień 2005 Duma Państwowa ratyfikowała Konwencję Rady Europy o ochronie osobowości w związku z automatycznym przetwarzaniem danych osobowych.

Zgodnie z prawem każdemu systemowi informatycznemu, w którym przechowywane i przetwarzane są dane osobowe, należy przypisać klasę, zgodnie z którą będzie zapewniona ochrona tych danych. Ponadto systemy informacyjne mogą być standardowe lub specjalne, a te ostatnie wymagają obowiązkowej licencji na działanie. Przykładowo systemy zawierające informacje o stanie zdrowia oraz te, na podstawie których podejmowane są decyzje generujące skutki prawne. Innymi słowy, jeśli dane z np systemy informacyjne, a raczej ich analiza i przetwarzanie, może mieć wpływ na życie lub zdrowie podmiotu danych osobowych. Klasę specjalnych systemów informatycznych ustala się na podstawie modelu zagrożeń bezpieczeństwa danych osobowych zgodnie z dokumentami regulacyjnymi i metodologicznymi organów regulacyjnych.

Jak uchwalono i zmieniono prawo

Planowane jest ograniczenie przekazywania danych osobowych na serwery zagraniczne

1 września 2015 roku w Rosji wszedł w życie przepis określony w ustawie federalnej nr 242, zobowiązujący operatorów danych osobowych do przetwarzania i przechowywania danych osobowych Rosjan za pomocą baz danych znajdujących się na terytorium Federacji Rosyjskiej. Z uwagi na to, że niektóre terminy i sformułowania użyte w tym przepisie na to pozwalają różne interpretacje Ministerstwo Telekomunikacji i Komunikacji Masowej przygotowało wyjaśnienia w tej sprawie. Lista wyjaśnień dostępna jest pod adresem.

2006-2010

W lipcu 2006 r. przyjęto ustawę federalną nr 152-FZ „O danych osobowych”. Ustawa weszła w życie w styczniu 2007 r.

Co stoi na przeszkodzie przestrzeganiu prawa?

Po pierwsze, poważną przeszkodą są problemy techniczne. Chociaż zniesiono obowiązek stosowania środków szyfrujących (kryptograficznych). nowe wydanie Zgodnie z prawem operatorzy mają obowiązek stosowania zestawu zabezpieczeń technicznych i organizacyjnych zgodnych z klasą posiadanego systemu. Ponadto, aby zorganizować odpowiednią ochronę, najczęściej firma musi niemal całkowicie odnowić swój tabor środki techniczne. Firmy wyspecjalizowane lub posiadające odpowiednią kadrę mogą samodzielnie wdrożyć systemy bezpieczeństwa chroniące informacje korporacyjne, w tym dane osobowe kontrahentów i pracowników. Zwracają się do innych firm, które z tego czy innego powodu nie chcą same zajmować się kwestiami bezpieczeństwa wyspecjalizowane firmy. Ale ostatecznie wybór środków ochrony spada na barki tego, kto za nie płaci, a wojna o gospodarkę i bezpieczeństwo jest nieunikniona. Spełnienie wymogów formalnych ustawy federalnej 152 nie gwarantuje prawdziwą ochronę informacje poufne, w tym danych osobowych, przed wyciekami i innymi zagrożeniami wewnętrznymi.

Po drugie, są problemy z certyfikacją. Rzeczywiście, z punktu widzenia legislacji, nacisk nie jest położony na samo bezpieczeństwo, ale na zgodność środków ochrony danych osobowych z określonymi w normie. I możliwe, że część firm ograniczy się jedynie do kosztów licencji. Już teraz, po przejrzeniu pierwszych dziesięciu firm z wyszukiwarka zajmujących się outsourcingiem w zakresie bezpieczeństwa informacji, można zauważyć, że większość z nich nie koncentruje się na rozwoju systemów bezpieczeństwa, ale na pomocy w zbieraniu dokumentów do uzyskania licencji.

Trzecim istotnym problemem na drodze do skutecznej implementacji prawa jest brak równowagi na rynku operatorskim. W rzeczywistości konieczne jest rozróżnienie wymagań bezpieczeństwa dla różnych źródeł danych. W tej sytuacji operatorzy danych mogą przypominać ślepe kocięta – całą gamę metod i metod ochrony informacji skupiają regulatorzy w jednym pędzie, a istniejące na rynku stowarzyszenia rozwiązują sprawy wąskiego kręgu firm i nie bronią interesów uczestników rynku jako całości.

Ochrona danych osobowych

Chronologia wydarzeń

2017

Facebook i Twitter będą zgodne z rosyjskim ustawodawstwem

Duży Firmy amerykańskie Facebook i Twitter będą przestrzegać wymogów Ustawy o danych osobowych. Facebook planuje utworzenie rosyjskiego przedstawicielstwa, a Twitter planuje przeniesienie serwerów z danymi osobowymi Rosjan na terytorium Federacji Rosyjskiej – informowała Izwiestia w listopadzie 2017 roku, powołując się na swoje źródła.

Ministerstwo Telekomunikacji i Komunikacji Masowej Rosji chce zaostrzyć procedurę wyrażania zgody na przetwarzanie danych osobowych

Urzędnik podkreślił, że „nasi obywatele często udzielają tego rodzaju zgody bez jasnego zrozumienia skutki prawne i możliwe w nich dalsze wykorzystanie" Z tego powodu ministerstwo podjęło taką inicjatywę – w ramach prawa, aby usprawnić zarówno samą procedurę, jak i procedurę wyrażania zgody na przetwarzanie danych osobowych. Co więcej, jak zauważył Sokołow, dalej w tej chwili możliwość tworzenia zasób państwowy, która prowadziłaby ewidencję wyrażonych przez obywateli zgody na przetwarzanie danych osobowych w celu kontroli ich wykorzystania.

Ministerstwo Telekomunikacji i Komunikacji Masowej oferuje również poziom legislacyjny różnicowanie i rozwijanie podejść do regulacji prawnych przetwarzania danych osobowych, zanonimizowanego zbioru danych osobowych i wyników Internetu rzeczy. Oficjalna notatka: „Jednym z najczęściej dyskutowanych problemów jest tzw. Obowiązujące ustawodawstwo nie zawiera tego lub podobnego pojęcia, ale stanowi, że przetwarzanie danych osobowych jest dozwolone dla osiągnięcia określonych, z góry określonych celów, po czym ulegają one depersonalizacji lub zniszczeniu. W związku z tym serwisy internetowe gromadzą ogromną ilość zanonimizowanych danych osobowych, które nie pozwalają na osobistą identyfikację. Ponadto szybki rozwój Internetu rzeczy, różne typy liczniki, czujniki, sprzęt AGD generuje znaczną ilość innych rodzajów danych, których również nie można zakwalifikować jako dane osobowe. Biorąc to pod uwagę, konieczne jest wypracowanie i rozwinięcie kwestii delimitacji na poziomie legislacyjnym różne podejścia regulacje prawne dotyczące przetwarzania danych osobowych, zanonimizowanego zbioru danych osobowych oraz skutków działania Internetu Rzeczy. Nasze propozycje będą gotowe w pierwszej połowie 2017 roku.”

Uprawnienia w zakresie nadzoru nad przetwarzaniem danych osobowych Rosjan zostaną przekazane RKN

Uczestnicy rynku argumentują, że chociaż środki te będą miały pozytywny wpływ na branżę jako całość, są one wyraźnie niewystarczające i nadal zbyt konserwatywne.

Rozporządzenie rządowe ustanawia cztery poziomy ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych oraz wymagania dla każdego z nich. Systemom informatycznym przypisuje się określony poziom bezpieczeństwa w zależności od rodzaju danych osobowych przetwarzanych przez system informatyczny (specjalne, biometryczne, publicznie dostępne itp.), rodzaju aktualne zagrożenia(1., 2., 3.), liczbę osób, których dane dotyczą, przetwarzanych przez system informatyczny oraz czy przetwarzane są dane osobowe pracowników operatora.

Uchwała wprowadza także obowiązek stosowania narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami prawa. Federacja Rosyjska w zakresie bezpieczeństwa informacji, w przypadkach, gdy zastosowanie takich środków jest niezbędne do zneutralizowania bieżących zagrożeń.

Dokument umożliwi operatorom systemów informatycznych przetwarzających dane osobowe określenie wymaganego poziomu ochrony danych osobowych, co w konsekwencji znacznie uprości procedurę ustalania niezbędnych i wystarczających środków ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją , blokowania, kopiowania, rozpowszechniania danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

Według wiodącego inżyniera bezpieczeństwa informacji w dziale integracji systemów firmy Microtest Siergieja Borysowa, nowy dekret rządowy zmniejszył liczbę wymagania obowiązkowe do 14 w porównaniu z 34 w poprzednim dokumencie. „Jednak moim zdaniem nowa uchwała nie ułatwiła życia firmom” – stwierdził Siergiej Borysow. - najbardziej uciążliwy wymóg – potrzeba certyfikacji systemów bezpieczeństwa informacji – pozostaje obowiązkowy dla wszystkich ISPD.”

„Następnym punktem jest klasyfikacja ISPD” – kontynuował. - Jeśli wcześniej operator mógł zdecydować się na klasyfikację standardowego ISPD na podstawie tabeli lub na sklasyfikowanie specjalnego ISPD na podstawie wyników modelu zagrożenia, teraz nie ma wyboru. Poziom bezpieczeństwa jest zawsze ustalany na podstawie istotności zagrożeń. Operator raczej nie będzie w stanie samodzielnie ich ustalić – będzie musiał się skontaktować organizacja macierzysta lub do konsultanta.”

Kolejnym problemem nowej uchwały Siergiej Borisow widzi utratę prawnego znaczenia większości uchwał Dokumenty FSTEC R i FSB R, opracowane na podstawie uchylonej uchwały. „Bez nowych dokumentów nie będzie nawet możliwe ustalenie poziomów bezpieczeństwa. Oznacza to, że PP nr 1119 jest nadal bezużyteczny” – podsumował Borysow.

Siergiej Borysow widzi w nowym dekrecie rządowym potencjalny wzrost wydatków przedsiębiorstw na ochronę danych osobowych ze względu na fakt, że bardzo dane, które wcześniej uważano za mało wartościowe, zostały obecnie przeniesione do innej kategorii, która wymaga więcej wysoki stopień ochrona.

Eksperci Stowarzyszenie Rosyjskie komunikacji elektronicznej mają pewność, że obecnie przepisy dotyczące danych osobowych nie uwzględniają ich nowoczesny poziom rozwój Internetu i znacząco spowalnia rozwój handlu elektronicznego oraz usługi w chmurze w Federacji Rosyjskiej.

RAEC w dalszym ciągu nalega na utworzenie zespołu międzyresortowego grupa robocza z udziałem przedstawicieli branży internetowej, ekspertów ds bezpieczeństwo informacji, przedstawiciele Ministerstwa Telekomunikacji i Komunikacji Masowej Federacji Rosyjskiej, Ministerstwa Rozwoju Gospodarczego Federacji Rosyjskiej, FSB, FSTEC, Roskomnadzor w celu jaśniejszego sformułowania stanowiska branży w sprawie ustawodawstwa i jego zmian. W szczególności wnosząc zgodnie z ustawodawstwo międzynarodowe i standardy istniejące dokumenty i uchwały.

2011

Kodeks mieszkaniowy i dane osobowe

16 czerwca 2011 r. Ustawa federalna nr 123-FZ z dnia 4 czerwca 2011 r. „W sprawie zmian w kodeksie mieszkaniowym Federacji Rosyjskiej i niektórych akty prawne Federacja Rosyjska”, której art. 5 wprowadził kolejną innowację do ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”.

Część 2 art. 6 ustawy federalnej nr 152 została dostosowana i uzupełniona nowym akapitem o następującej treści:

„5.1) przetwarzanie danych osobowych jest niezbędne organizacjom zarządzającym, stowarzyszeniom właścicieli domów, spółdzielnie mieszkaniowe, spółdzielni budownictwa mieszkaniowego lub innych wyspecjalizowanych spółdzielnie konsumenckie, który zgodnie z Kodeksem mieszkaniowym Federacji Rosyjskiej zarządza budynki mieszkalne, lub osobom, z którymi zamieszkują właściciele lokali w apartamentowcu bezpośrednia kontrola apartamentowiec zawarł umowy o świadczenie usług i (lub) wykonanie prac konserwacyjnych i naprawczych wspólna własność w tym budynku lub osobom, z którymi właściciele lokali w apartamentowcu będącym w bezpośrednim zarządzie lub właściciele budynków mieszkalnych zawarli umowy o świadczenie narzędzia, lub osobom zatrudnionym na podstawie umów do prowadzenia rozliczeń z właścicielami lokali w budynku wielorodzinnym, właścicielami budynków mieszkalnych, najemcami lokali mieszkalnych państwowych lub komunalnych zasoby mieszkaniowe na utrzymanie i remonty mienia wspólnego w budynku mieszkalnym, budynki mieszkalne i media;…”

W powyższym akapicie dodano szereg sytuacji, w których operator danych osobowych nie ma obowiązku uzyskiwania zgody podmiotu na przetwarzanie danych osobowych.

Z jednej strony poprawka ta logicznie wpisuje się w nową reżim prawny zarządzanie apartamentowcami, które jest na poziomie ustawodawstwo federalne określa prawa i obowiązki uczestników danego postępowania public relations i określa specyfikę tych relacji. Z punktu widzenia przepisów dotyczących danych osobowych, przedmiotowa zmiana nie wprowadza zasadniczych zmian istniejący reżim regulacje dotyczące przetwarzania i ochrony danych osobowych, ale w pewnym stopniu ułatwiają życie licznym organizacjom zarządzającym apartamentowcami, a także dostarczającym media i dokonującym płatności właścicielom nieruchomości.

Z drugiej strony pojawienie się kolejnego wyjątku skłania do smutnych przemyśleń na temat integralności i stosowalności norm instytucji zgody podmiotów na przetwarzanie ich danych osobowych. W tekście nowelizacji wyraźnie określono warunek braku konieczności uzyskania zgody: przetwarzanie danych osobowych następuje w związku z przepisami Kodeks mieszkaniowy Federacji Rosyjskiej lub w związku z postanowieniami odpowiednią umowę. Ale powyższy warunek w rzeczywistości powiela treść ust. 1 i 2 części 2 art. 6 ustawy federalnej nr 152. Ustawodawca schodzi zatem z poziomu regulacji typowe sytuacje(przykładowo przetwarzanie danych osobowych w związku z realizacją postanowień umowy) do poziomu regulacji konkretne sytuacje (stosunki umowne w zakresie mieszkalnictwa i usług komunalnych). Ponadto następuje dewaluacja znaczenia i wartości innych norm instytucji zgody podmiotów na przetwarzanie ich danych osobowych (w szczególności ust. 1 i 2 części 2 art. 6 ustawy federalnej nr 152) .

Projekt ustawy federalnej „O zmianie niektórych aktów prawnych Federacji Rosyjskiej” nr 535056-5

Projekt ustawy federalnej „O zmianie niektórych aktów prawnych Federacji Rosyjskiej” nr 535056-5 proponuje dostosowanie ustawodawstwa Federacji Rosyjskiej do postanowień art. 7 ust. 2 ustawy federalnej nr 210-FZ, które weszły w życie 1 lipca 2011 r. „W sprawie organizacji świadczenia usług państwowych i komunalnych”. Według określona norma, Organy świadczące usługi rządowe, a organy świadczące usługi komunalne nie mają prawa żądać od wnioskodawcy przedstawienia dokumentów i informacji, którymi dysponują organy państwowe, organy samorząd lokalny.

1 ust. 2 powyższego projektu ustawy określa tryb i warunki przetwarzania danych osobowych wnioskodawców i innych osób w związku ze świadczeniem usług państwowych lub komunalnych. W szczególności proponuje się zapisanie w art. 7 ustawy federalnej „W sprawie organizacji świadczenia usług państwowych i komunalnych” norma, zgodnie z którą: „Do przetwarzania agencje rządowe, samorządy lokalne i organizacje zaangażowane w świadczenie przewidziane w części 1 art. 1 niniejszej ustawy federalnej o usługach stanowych i komunalnych, dane osobowe dostępne takim organom i organizacjom, w celu przekazania takich danych osobowych organowi (organizacji) świadczącej usługi państwowe lub komunalne na żądanie wnioskodawcy, zgoda podmiotu danych osobowych nie jest wymagane, według którego wniosek jest przetwarzany zgodnie z wymogami ust. 1 części 2 artykułu 6 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”.

Wniosek wnioskodawcy do organu (organizacji) o zapewnienie stanu lub usługi komunalne jest równoznaczne ze zgodą takiego wnioskodawcy na przetwarzanie jego danych osobowych w celu świadczenia odpowiedniej usługi państwowej lub komunalnej przez organ (organizację).

Jeżeli świadczenie usługi państwowej lub komunalnej wymaga dostarczenia dokumentów i informacji o innych osobach niebędących wnioskodawcą, wówczas ubiegając się o świadczenie usługi państwowej lub komunalnej, wnioskodawca przedkłada dodatkowo dokumenty potwierdzające jego umocowanie do działania w imieniu tych osób (ich przedstawiciele prawni), oraz wyrażenie zgody przez te osoby (ich przedstawicieli prawnych) na przetwarzanie danych osobowych tych osób.”