Ustawa federalna 152 FZ. Jak prawidłowo pracować z danymi osobowymi, aby nie złamać prawa? Opracowywanie Regulaminów i dokumentów z nimi związanych
Przyjęty przez Dumę Państwową 8 lipca 2006 r
Zatwierdzony przez Radę Federacji 14 lipca 2006 r
Rozdział 1. Postanowienia ogólne
Artykuł 1. Zakres niniejszej ustawy federalnej
1. Niniejsza ustawa federalna reguluje stosunki związane z przetwarzaniem danych osobowych przez organy federalne władza państwowa, władze publiczne podmiotów Federacja Rosyjska, inne organy rządowe (zwane dalej organami rządowymi), organy samorząd lokalny, nieobjętych systemem samorządu terytorialnego przez organy gmin (zwane dalej organami gmin), osoby prawne, osoby fizyczne korzystające z narzędzi automatyzacji lub nie korzystające z takich narzędzi, jeżeli przetwarzanie danych osobowych bez użycia takich narzędzi odpowiada charakter działań (operacji) dokonywanych na danych osobowych przy użyciu narzędzi automatyzacji.
2. Niniejsza ustawa federalna nie ma zastosowania do stosunków powstałych, gdy:
1) przetwarzanie danych osobowych przez osoby fizyczne wyłącznie dla potrzeb osobistych i rodzinnych, chyba że naruszają prawa podmiotów danych osobowych;
2) organizowanie przechowywania, pozyskiwania, utrwalania i wykorzystywania dokumentów zawierających dane osobowe Fundusz archiwalny Federacji Rosyjskiej i inne dokumenty archiwalne zgodnie z przepisami dot sprawy archiwalne w Federacji Rosyjskiej;
3) przetwarzanie pozycji podlegających wpisowi do jednolitego rejestru państwowego indywidualni przedsiębiorcy informacje o osobach fizycznych, jeżeli takie przetwarzanie odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w związku z działalnością osoby fizycznej jako indywidualnego przedsiębiorcy;
4) przetwarzanie danych osobowych niejawnych zgodnie z ustaloną procedurą jako informacja stanowiąca tajemnicę państwową.
Artykuł 2. Cel niniejszej ustawy federalnej
Celem tej ustawy federalnej jest zapewnienie ochrony praw i wolności człowieka i obywatela podczas przetwarzania jego danych osobowych, w tym ochrony prawa do prywatności, tajemnic osobistych i rodzinnych.
Artykuł 3. Podstawowe pojęcia stosowane w niniejszej ustawie federalnej
Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:
1) dane osobowe – wszelkie informacje dotyczące osoby zidentyfikowanej lub ustalonej na podstawie tych informacji (przedmiotu danych osobowych), w tym jej nazwisko, imię, patronimikę, rok, miesiąc, datę i miejsce urodzenia, adres, rodzina, sytuacja społeczna, stan majątkowy, wykształcenie, zawód, dochód, inne informacje;
2) operator – organ państwowy, gminny, osoba prawna lub osoba fizyczna, która organizuje i (lub) dokonuje przetwarzania danych osobowych, a także ustala cele i treść przetwarzania danych osobowych;
3) przetwarzanie danych osobowych – czynności (operacje) na danych osobowych, w tym gromadzenie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie danych osobowych;
4) rozpowszechnianie danych osobowych – działania mające na celu przekazanie danych osobowych określonemu kręgowi osób (przekazanie danych osobowych) lub zapoznanie się z danymi osobowymi nieograniczonej liczby osób, w tym publikacja danych osobowych w środkach masowego przekazu, zamieszczenie w sieci teleinformatyczne i telekomunikacyjne lub zapewnienie dostępu do danych osobowych w inny sposób;
5) wykorzystanie danych osobowych – czynności (operacje) na danych osobowych dokonywane przez Operatora w celu podejmowania decyzji lub wykonywania innych czynności generujących konsekwencje prawne w stosunku do podmiotu danych osobowych lub innych osób lub w inny sposób wpływający na prawa i wolności podmiotu danych osobowych lub innych osób;
6) blokowanie danych osobowych – czasowe zaprzestanie gromadzenia, systematyzacji, gromadzenia, wykorzystywania, rozpowszechniania danych osobowych, w tym ich przekazywania;
7) zniszczenie danych osobowych – działania, w wyniku których niemożliwe jest przywrócenie zawartości danych osobowych w systemie informatycznym danych osobowych lub w wyniku których ulegają zniszczeniu materialne nośniki danych osobowych;
8) depersonalizacja danych osobowych – działania, w wyniku których niemożliwe jest ustalenie własności danych osobowych przez konkretny podmiot danych osobowych;
9) system informatyczny danych osobowych – system informacyjny stanowiący zbiór danych osobowych zawartych w bazie danych oraz technologie informacyjne i środki techniczne umożliwiające przetwarzanie tych danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez użycia takich narzędzi;
10) poufność danych osobowych – obowiązkowy wymóg, aby operator lub inna osoba mająca dostęp do danych osobowych nie dopuściła do ich rozpowszechniania bez zgody podmiotu danych osobowych lub istnienia innej podstawy prawnej;
11) transgraniczne przekazywanie danych osobowych – przekazywanie danych osobowych przez operatora za pośrednictwem Granica państwowa Federacji Rosyjskiej organowi państwa obcego, osobie fizycznej lub prawnej państwa obcego;
12) publicznie dostępne dane osobowe – dane osobowe, do których dostęp nieograniczony krąg osób następuje za zgodą podmiotu danych osobowych lub do którego zgodnie z art. prawa federalne nie ma zastosowania żaden wymóg poufności.
Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych
1. Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych opiera się na Konstytucji Federacji Rosyjskiej oraz umowach międzynarodowych Federacji Rosyjskiej i składa się z niniejszej ustawy federalnej oraz innych ustaw federalnych określających przypadki i cechy przetwarzania danych osobowych .
2. Na podstawie i w wykonaniu ustaw federalnych organy państwowe, w granicach swoich uprawnień, mogą uchwalać regulacyjne akty prawne dotyczące indywidualne kwestie w sprawie przetwarzania danych osobowych. Regulacyjne akty prawne dotyczące niektórych zagadnień związanych z przetwarzaniem danych osobowych nie mogą zawierać przepisów ograniczających prawa podmiotów danych osobowych.
Podlegają określonym normatywnym aktom prawnym oficjalna publikacja, z wyjątkiem regulacyjnych aktów prawnych lub postanowienia indywidualne takie regulacyjne akty prawne zawierające informacje, do których dostęp jest ograniczony przez prawo federalne.
3. Funkcje przetwarzania danych osobowych bez użycia narzędzi automatyzacji mogą określać ustawy federalne i inne przepisy akty prawne Federacji Rosyjskiej, z uwzględnieniem przepisów niniejszej ustawy federalnej.
4. Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia inne zasady niż przewidziane w niniejszej ustawie federalnej, stosuje się zasady umowy międzynarodowej.
Rozdział 2. Zasady i warunki przetwarzania danych osobowych
Artykuł 5. Zasady przetwarzania danych osobowych S
1. Przetwarzanie danych osobowych musi odbywać się w oparciu o zasady:
1) legalność celów i sposobów przetwarzania danych osobowych oraz integralność;
2) zgodność celów przetwarzania danych osobowych z celami z góry określonymi i podanymi przy zbieraniu danych osobowych oraz z uprawnieniami operatora;
3) zgodność z ilością i charakterem przetwarzanych danych osobowych, sposobami przetwarzania danych osobowych w celach przetwarzania danych osobowych;
4) wiarygodność danych osobowych, ich wystarczalność do celów przetwarzania, niedopuszczalność przetwarzania danych osobowych w nadmiernej ilości w stosunku do celów, jakie przy zbieraniu danych osobowych;
5) niedopuszczalność łączenia baz danych systemów informatycznych danych osobowych stworzonych dla niezgodnych celów.
2. Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację podmiotu danych osobowych przez okres nie dłuższy niż wynika to z celów ich przetwarzania i podlegają zniszczeniu po osiągnięciu celów przetwarzania lub w przypadku utraty potrzeby ich osiągania.
Artykuł 6. Warunki przetwarzania danych osobowych
1. Przetwarzanie danych osobowych może odbywać się przez Operatora za zgodą podmiotów danych osobowych, z wyjątkiem przypadków przewidziane w części 2 tego artykułu.
2. Zgoda podmiotu danych osobowych, o której mowa w ust. 1 niniejszego artykułu, nie jest wymagana w następujących przypadkach:
1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;
2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;
3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;
4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;
5) przetwarzanie danych osobowych jest niezbędne w celu doręczania przesyłek pocztowych przez organizacje poczta, dla operatorów telekomunikacyjnych dokonywania rozliczeń z użytkownikami usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także rozpatrywania roszczeń użytkowników usług komunikacyjnych;
6) przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub na potrzeby działalności naukowej, literackiej lub innej działalności twórczej, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;
7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami federalnymi, w tym dane osobowe osób zastępujących stanowiska rządowe, stanowiska państwowej służby cywilnej, dane osobowe kandydatów na wybieralne stanowiska państwowe lub samorządowe.
3. Cechy przetwarzania specjalnych kategorii danych osobowych, a także biometrycznych danych osobowych są określone odpowiednio w art. 10 i 11 niniejszej ustawy federalnej.
4. Jeżeli operator na podstawie umowy powierza przetwarzanie danych osobowych innej osobie, warunek zasadniczy umową jest obowiązek określonej osoby do zapewnienia poufności danych osobowych i bezpieczeństwa danych osobowych podczas ich przetwarzania.
Artykuł 7. Poufność danych osobowych
1. Operatorzy oraz osoby trzecie uzyskujące dostęp do danych osobowych mają obowiązek zapewnić poufność tych danych, z wyjątkiem przypadków przewidzianych w części 2 niniejszego artykułu.
2. Zapewnienie poufności danych osobowych nie jest wymagane:
1) w przypadku depersonalizacji danych osobowych;
2) w odniesieniu do publicznie dostępnych danych osobowych.
Artykuł 8. Publiczne źródła danych osobowych
1. Do celów wsparcie informacyjne mogą być tworzone publicznie dostępne źródła danych osobowych (m.in. katalogi, książki adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimikę, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe przekazane przez podmiot danych osobowych.
2. Informacje o przedmiocie danych osobowych mogą zostać w każdej chwili usunięte z publicznie dostępnych źródeł danych osobowych na żądanie podmiotu danych osobowych lub na mocy orzeczenia sądu lub innego uprawnionego organu państwowego.
Artykuł 9. Zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych
1. Podmiot danych osobowych decyduje się na podanie swoich danych osobowych oraz wyraża zgodę na ich przetwarzanie zgodnie z własną wolą i we własnym interesie, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu. Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez podmiot danych osobowych.
2. Niniejsza ustawa federalna i inne ustawy federalne regulują przypadki przepis obowiązkowy podmiot danych osobowych swoich danych osobowych w celu ochrony podstaw podstawowych porządek konstytucyjny, moralność, zdrowie, prawa i uzasadnione interesy inne osoby zapewniające obronność i bezpieczeństwo państwa.
3. Obowiązek przedstawienia dowodu uzyskania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych obowiązek udowodnienia, że przetwarzane dane osobowe są publicznie dostępne, spoczywa na operatora.
4. W przypadkach przewidzianych w niniejszej ustawie federalnej przetwarzanie danych osobowych odbywa się wyłącznie za zgodą na piśmie przedmiot danych osobowych. Pisemna zgoda osoby, której dane osobowe są przetwarzane, musi zawierać:
1) nazwisko, imię, patronimik, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym;
2) imię i nazwisko (nazwisko, imię, nazwisko rodowe) i adres podmiotu otrzymującego zgodę podmiotu danych osobowych;
3) cel przetwarzania danych osobowych;
4) wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;
5) wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów stosowanych przez operatora przetwarzania danych osobowych;
6) okres ważności zgody i tryb jej wycofania.
5. Do przetwarzania danych osobowych zawartych w pisemnej zgodzie podmiotu na przetwarzanie jego danych osobowych nie jest wymagana dodatkowa zgoda.
6. W przypadku braku zdolności podmiotu danych osobowych, zgodę na przetwarzanie jego danych osobowych wyraża w formie pisemnej przedstawiciel ustawowy podmiotu danych osobowych.
7. W przypadku śmierci podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyrażają pisemnie spadkobiercy podmiotu danych osobowych, jeżeli podmiot danych osobowych takiej zgody nie wyraził w trakcie jego życie.
Artykuł 10. Kategorie specjalne dane osobowe
1. Przetwarzanie szczególnych kategorii danych osobowych związanych z rasą, narodowością, poglądami politycznymi, przekonaniami religijnymi lub filozoficznymi, stanem zdrowia, życie intymne, jest niedozwolone, z wyjątkiem przypadków przewidzianych w części 2 niniejszego artykułu.
2. Przetwarzanie szczególnych kategorii danych osobowych, o których mowa w ust. 1 niniejszego artykułu, jest dozwolone w przypadkach, gdy:
1) podmiot danych osobowych wyraził pisemną zgodę na przetwarzanie swoich danych osobowych;
2) dane osobowe są publicznie dostępne;
3) dane osobowe dotyczą stanu zdrowia podmiotu danych osobowych i ich przetwarzanie jest niezbędne do ochrony jego życia, zdrowia lub innych żywotnych interesów albo życia, zdrowia lub innych żywotnych interesów innych osób oraz uzyskania zgody podmiotu danych osobowych jest niemożliwe;
4) przetwarzanie danych osobowych odbywa się w celach leczniczych i profilaktycznych, w celu postawienia diagnozy lekarskiej, świadczenia usług medycznych, medycznych i socjalnych, pod warunkiem że przetwarzania danych osobowych dokonuje osoba zawodowo zajmująca się działalnością działalność medyczną i zobowiązany zgodnie z ustawodawstwem Federacji Rosyjskiej do zachowania tajemnicy lekarskiej;
5) przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej odbywa się przez właściwy organ stowarzyszenie publiczne lub organizację religijną działającą zgodnie z ustawodawstwem Federacji Rosyjskiej, w celu osiągnięcia uzasadnionych celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;
6) przetwarzanie danych osobowych jest niezbędne w związku z sprawowaniem wymiaru sprawiedliwości;
7) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej.
3. Przetwarzania danych osobowych znajdujących się w rejestrze karnym mogą dokonywać organy państwowe lub samorządowe w zakresie uprawnień przyznanych im zgodnie z ustawodawstwem Federacji Rosyjskiej, a także inne osoby w przypadkach i w sposób określony w art. zgodnie z prawem federalnym.
4. Przetwarzanie szczególnych kategorii danych osobowych w sprawach przewidziane w częściach 2 i 3 tego artykułu należy niezwłocznie zakończyć, jeżeli ustaną przyczyny, dla których dokonano przetwarzania.
Artykuł 11. Biometryczne dane osobowe
1. Informacje charakteryzujące cechy fizjologiczne osoby, na podstawie których można ustalić jej tożsamość (biometryczne dane osobowe) mogą być przetwarzane wyłącznie za pisemną zgodą podmiotu danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 tego artykułu.
2. Przetwarzanie biometrycznych danych osobowych może odbywać się bez zgody podmiotu danych osobowych w związku z wymiarem sprawiedliwości, a także w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej dotyczące bezpieczeństwa, ustawodawstwo Federacji Rosyjskiej Federacja w sprawie operacyjnych działań dochodzeniowych, ustawodawstwo Federacji Rosyjskiej dotyczące służby cywilnej, ustawodawstwo Federacji Rosyjskiej dotyczące egzekwowania prawa karnego, ustawodawstwo Federacji Rosyjskiej dotyczące procedury opuszczania Federacji Rosyjskiej i wjazdu do Federacji Rosyjskiej.
Artykuł 12. Transgraniczny transfer danych osobowych
1. Przed rozpoczęciem transgranicznego przekazywania danych osobowych operator ma obowiązek upewnić się, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, zapewnia odpowiednią ochronę praw podmiotów danych osobowych.
2. Transgraniczne przekazywanie danych osobowych na terytorium obce kraje, zapewniające odpowiednią ochronę praw osób, których dane dotyczą, jest realizowane zgodnie z niniejszą ustawą federalną i może być zabronione lub ograniczone w celu ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, moralności, zdrowia, praw i uzasadnionych interesów obywateli, zapewniając obronę kraju i bezpieczeństwo państwa.
3. Transgraniczne przekazywanie danych osobowych na terytorium obcych państw, które nie zapewniają odpowiedniej ochrony praw osób, których dane dotyczą, może nastąpić w następujących przypadkach:
1) obecność pisemnej zgody podmiotu danych osobowych;
2) przewidziane w umowach międzynarodowych Federacji Rosyjskiej w sprawie wiz, a także w umowach międzynarodowych Federacji Rosyjskiej w sprawie świadczenia pomocy prawnej w sprawach cywilnych, rodzinnych i karnych;
3) przewidziane w ustawach federalnych, jeżeli jest to konieczne dla ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, zapewnienia obronności kraju i bezpieczeństwa państwa;
4) wykonania umowy, której stroną jest podmiot danych osobowych;
5) ochrona życia, zdrowia i innych żywotnych interesów podmiotu danych osobowych lub innych osób, jeżeli nie jest możliwe uzyskanie pisemnej zgody podmiotu danych osobowych.
Artykuł 13. Cechy przetwarzania danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych
1. Organy państwowe i samorządowe tworzą, w granicach swoich uprawnień ustanowionych na podstawie ustaw federalnych, państwowe lub gminne systemy informacyjne danych osobowych.
2. Ustawy federalne mogą ustanawiać funkcje rejestrowania danych osobowych w stanowych i gminnych systemach informatycznych danych osobowych, w tym ich wykorzystywanie na różne sposoby oznaczenie własności danych osobowych zawartych w odpowiednim państwowym lub gminnym systemie informacji osobowej konkretnemu podmiotowi danych osobowych.
3. Prawa i wolności człowieka i obywatela nie mogą być ograniczone z przyczyn związanych ze stosowaniem różnych sposobów przetwarzania danych osobowych lub z wyznaczeniem własności danych osobowych zawartych w państwowych lub gminnych systemach teleinformatycznych danych osobowych na określony podmiot danych osobowych. dane. Niedozwolone jest używanie słów obraźliwych i poniżających godność człowieka sposoby wskazania własności danych osobowych zawartych w państwowych lub gminnych systemach informatycznych danych osobowych konkretnemu podmiotowi danych osobowych.
4. W celu zapewnienia realizacji praw osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych, rejestr państwowy populacja, stan prawny które i procedurę pracy z którymi określa prawo federalne.
Rozdział 3. Prawa podmiotu danych osobowych
Artykuł 14. Prawo osoby, której dane dotyczą, do dostępu do swoich danych osobowych
1. Podmiot danych osobowych ma prawo otrzymać informację o operatorze, jego lokalizacji, czy operator posiada dane osobowe dotyczące danego podmiotu danych osobowych, a także zapoznać się z tymi danymi osobowymi, z wyjątkiem przypadków przewidziane w części 5 tego artykułu. Podmiot danych osobowych ma prawo żądać od operatora wyjaśnienia swoich danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, nierzetelne, uzyskane nielegalnie lub nie są niezbędne do podanego celu przetwarzania, a także jako zaakceptować przewidziane przez prawośrodki mające na celu ochronę Twoich praw.
2. Informacja o dostępności danych osobowych musi być przekazana podmiotowi danych osobowych przez operatora w przystępnej formie i nie powinna zawierać danych osobowych dotyczących innych podmiotów danych osobowych.
3. Dostęp do Twoich danych osobowych podmiot danych osobowych lub jego przedstawiciel ustawowy zapewnia operator na wniosek lub po otrzymaniu żądania podmiotu danych osobowych lub jego przedstawiciela ustawowego. Żądanie musi zawierać numer głównego dokumentu identyfikującego podmiot danych osobowych lub jego przedstawiciela prawnego, informację o dacie wystawienia określonego dokumentu i organu wydającego oraz własnoręczny podpis podmiotu danych osobowych lub jego przedstawiciela prawnego. Żądanie może zostać przesłane w formie elektronicznej i opatrzone elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej.
4. Osoba, której dane dotyczą, ma prawo otrzymać w trakcie składania wniosku lub otrzymania żądania informację dotyczącą przetwarzania jej danych osobowych, zawierającą:
1) potwierdzenie faktu przetwarzania danych osobowych przez operatora oraz celu tego przetwarzania;
2) sposoby przetwarzania danych osobowych stosowane przez operatora;
3) informacje o osobach, które mają dostęp do danych osobowych lub mogą uzyskać taki dostęp;
4) wykaz przetwarzanych danych osobowych oraz źródło ich otrzymania;
5) zasady przetwarzania danych osobowych, w tym okresy ich przechowywania;
6) informację, jakie skutki prawne dla podmiotu danych osobowych może wiązać się z przetwarzaniem jego danych osobowych.
5. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych jest ograniczone w przypadku, gdy:
1) przetwarzanie danych osobowych, w tym danych osobowych uzyskanych w wyniku operacyjnej działalności dochodzeniowo-śledczej, kontrwywiadu i wywiadu, odbywa się na potrzeby obronności państwa, bezpieczeństwa państwa oraz egzekwowania prawa;
2) przetwarzanie danych osobowych odbywa się przez organy, które zatrzymały podmiot danych osobowych w związku z podejrzeniem popełnienia przestępstwa lub postawiły podmiotowi danych osobowych zarzut w sprawie karnej lub zastosowały wobec podmiotu środek zapobiegawczy dane przed postawieniem zarzutów, z wyjątkiem przypadków przewidzianych w przepisach postępowania karnego Federacji Rosyjskiej, w których podejrzany lub oskarżony może zapoznać się z takimi danymi osobowymi;
3) podanie danych osobowych narusza prawa konstytucyjne i wolności innych.
Artykuł 15. Prawa osób, których dane osobowe przetwarzają w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej
1. Przetwarzanie danych osobowych w celu promocji towarów, robót, usług na rynku poprzez nawiązywanie bezpośrednich kontaktów z potencjalnymi konsumentami za pomocą środków komunikacji, a także w celach propagandy politycznej, jest dozwolone wyłącznie za uprzednią zgodą podmiotu dane osobowe. Określone przetwarzanie danych osobowych uznaje się za dokonane bez uprzedniej zgody podmiotu danych osobowych, chyba że operator udowodni, że taką zgodę uzyskał.
2. Operator ma obowiązek niezwłocznie zaprzestać, na żądanie osoby, której dane dotyczą, przetwarzania jej danych osobowych, o którym mowa w ust. 1 niniejszego artykułu.
Artykuł 16. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych
1. Zabronione jest podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszających jego prawa i prawnie uzasadnione interesy, z wyjątkiem przypadków przewidzianych w części 2 niniejszego Regulaminu. artykuł.
2. Decyzja wywołująca skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób wpływająca na jego prawa i uzasadnione interesy może zostać podjęta na podstawie wyłącznie zautomatyzowanego przetwarzania jego danych osobowych wyłącznie za pisemną zgodą podmiotu danych osobowych lub w przypadkach przewidzianych przez przepisy federalne, które ustanawiają również środki zapewniające poszanowanie praw i uzasadnionych interesów podmiotu danych osobowych.
3. Operator ma obowiązek wyjaśnić osobie, której dane dotyczą, sposób podjęcia decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu jego danych osobowych oraz ewentualnych skutkach prawnych takiej decyzji, zapewnić możliwość wniesienia sprzeciwu od takiej decyzji, a także wyjaśnić procedurę obowiązującą osobę, której dane dotyczą, w celu ochrony jej praw i uzasadnionych interesów.
4. Operator ma obowiązek rozpatrzyć sprzeciw, o którym mowa w ust. 3 niniejszego artykułu, w terminie siedmiu dni roboczych od dnia jego otrzymania i powiadomić podmiot danych osobowych o wynikach rozpatrzenia takiego sprzeciwu.
Artykuł 17. Prawo do odwołania się od działań lub zaniechań operatora
1. Jeżeli podmiot danych osobowych uważa, że operator przetwarza jego dane osobowe z naruszeniem wymogów niniejszej ustawy federalnej lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo odwołać się od działań lub bierności podmiotu operatora do upoważnionego organu ochrony praw osób, których dane dotyczą, lub do postępowania sądowego.
2. Podmiot danych osobowych ma prawo do ochrony swoich praw i uzasadnionych interesów, w tym odszkodowania za straty i (lub) odszkodowania szkody moralne w sądzie.
Rozdział 4. Obowiązki operatora
Artykuł 18. Obowiązki operatora przy zbieraniu danych osobowych
1. Zbierając dane osobowe, operator jest zobowiązany do udzielenia podmiotowi danych osobowych, na jego żądanie, informacji przewidzianych w części 4 art. 14 niniejszej ustawy federalnej.
2. Jeżeli obowiązek podania danych osobowych przewiduje prawo federalne, operator ma obowiązek wyjaśnić podmiotowi danych osobowych skutki prawne odmowy udostępnienia jego danych osobowych.
3. Jeżeli od podmiotu danych osobowych nie otrzymano danych osobowych, z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub gdy dane osobowe są publicznie dostępne, operator przed przetwarzaniem tych danych osobowych jest zobowiązany do przekazania podmiotowi danych osobowych następujących informacji:
1) nazwę (nazwisko, imię, nazwisko rodowe) i adres operatora lub jego przedstawiciela;
2) cel przetwarzania danych osobowych i jego podstawa prawna;
3) zamierzeni użytkownicy danych osobowych;
4) prawa podmiotu danych osobowych określone w niniejszej ustawie federalnej.
Artykuł 19. Środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania
1. Operator podczas przetwarzania danych osobowych obowiązany jest podjąć niezbędne środki organizacyjne i techniczne, w tym stosowanie środków szyfrujących (kryptograficznych), zabezpieczające dane osobowe przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechniania danych osobowych, a także przed innymi nielegalnymi działaniami.
2. Rząd Federacji Rosyjskiej ustanawia wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologie przechowywania takich danych poza systemami informacji o danych osobowych.
3. Kontrola i nadzór nad spełnianiem wymagań, ustanowiony przez Rząd Federacji Rosyjskiej zgodnie z częścią 2 tego artykułu, są przeprowadzane przez organ federalny władza wykonawcza, upoważniony w dziedzinie bezpieczeństwa, oraz federalny organ wykonawczy upoważniony w dziedzinie zwalczania wywiadu technicznego i zabezpieczenie techniczne informacji, w granicach swoich uprawnień i bez prawa zapoznania się z danymi osobowymi przetwarzanymi w systemach informatycznych danych osobowych.
4. Wykorzystywanie i przechowywanie biometrycznych danych osobowych poza systemami informacji o danych osobowych może odbywać się wyłącznie na takich media materialne informacji i stosowania przy ich przechowywaniu takiej technologii, która zapewnia ochronę tych danych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem.
Art. 20. Obowiązki operatora przy składaniu lub otrzymywaniu wniosku od podmiotu danych osobowych lub jego przedstawiciela ustawowego, a także organu uprawnionego do ochrony praw podmiotów danych osobowych
1. Operator jest zobowiązany, w sposób przewidziany w art. 14 niniejszej ustawy federalnej, do poinformowania podmiotu danych osobowych lub informacji jego przedstawiciela prawnego o dostępności danych osobowych odnoszących się do odpowiedniego przedmiotu danych osobowych, a także zapewnić możliwość zapoznania się z nimi podczas kontaktu z podmiotem danych osobowych lub jego przedstawicielem prawnym, przedstawicielem lub w terminie dziesięciu dni roboczych od dnia otrzymania żądania podmiotu danych osobowych lub jego przedstawiciela prawnego.
2. W przypadku odmowy udostępnienia podmiotowi danych osobowych lub jego przedstawicielowi prawnemu przy składaniu wniosku lub otrzymaniu żądania od podmiotu danych osobowych lub jego przedstawiciela ustawowego, informacji o dostępności danych osobowych o właściwym podmiocie danych osobowych, o ile a także takich danych osobowych, operator jest zobowiązany do złożenia uzasadnionego oświadczenia na piśmie w odpowiedzi zawierającej odniesienie do przepisu części 5 art. 14 niniejszej ustawy federalnej lub innej ustawy federalnej, która jest podstawą takiej odmowy, w terminie okres nieprzekraczający siedmiu dni roboczych od dnia złożenia wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela ustawowego albo od dnia otrzymania wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela ustawowego.
3. Operator ma obowiązek nieodpłatnego zapewnienia podmiotowi danych osobowych lub jego przedstawicielowi ustawowemu możliwości zapoznania się z danymi osobowymi dotyczącymi danego podmiotu danych osobowych, a także ich wprowadzenia niezbędne zmiany zniszczyć lub zablokować odpowiednie dane osobowe po dostarczeniu przez podmiot danych osobowych lub jego prawnego przedstawiciela informacji potwierdzającej, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora, są niekompletne, nieaktualne, niewiarygodne , uzyskane nielegalnie lub nie są niezbędne do deklarowanych celów przetwarzania. O wprowadzone zmiany i podjętych środkach, operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela prawnego oraz osoby trzecie, którym przekazano dane osobowe tego podmiotu.
4. Operator ma obowiązek udzielić uprawnionemu organowi ochrony praw osób, których dane osobowe dotyczą, na jego żądanie, informacji niezbędnych do prowadzenia działalności tego organu w terminie siedmiu dni roboczych od dnia otrzymania takiego wniosek.
Artykuł 21. Obowiązki operatora usunięcia naruszeń prawa popełnionych przy przetwarzaniu danych osobowych oraz wyjaśnienia, zablokowania i zniszczenia danych osobowych
1. W przypadku wykrycia przez Operatora nierzetelnych danych osobowych lub bezprawnych działań z nimi związanych podczas kontaktu lub na żądanie podmiotu danych osobowych lub jego przedstawiciela ustawowego lub organu uprawnionego do ochrony praw podmiotów danych osobowych, Operator ma obowiązek zablokować dane osobowe dotyczące odpowiadającego im przedmiotu danych osobowych, z chwilą złożenia takiego wniosku lub otrzymania takiego żądania, na okres weryfikacji.
2. W przypadku stwierdzenia faktu nierzetelności danych osobowych, operator, na podstawie dokumentów złożonych przez podmiot danych osobowych lub jego przedstawiciela ustawowego lub organ uprawniony do ochrony praw osób, których dane dotyczą, lub inny niezbędne dokumenty zobowiązany jest do wyjaśnienia danych osobowych i usunięcia ich blokady.
3. W przypadku wykrycia nielegalnych działań z danymi osobowymi Operator w terminie nie dłuższym niż trzy dni robocze od dnia wykrycia jest zobowiązany do usunięcia naruszeń. Jeżeli usunięcie popełnionych naruszeń nie będzie możliwe, Operator ma obowiązek zniszczyć dane osobowe w terminie nieprzekraczającym trzech dni roboczych od dnia wykrycia nielegalnych działań z danymi osobowymi. Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela ustawowego o usunięciu naruszeń lub zniszczeniu danych osobowych, a jeżeli odwołanie lub żądanie zostało wysłane przez uprawniony organ w celu ochrony praw osób, których dane dotyczą, także określony organ.
4. Jeżeli cel przetwarzania danych osobowych został osiągnięty, operator ma obowiązek niezwłocznie zaprzestać przetwarzania danych osobowych i zniszczyć odpowiadające im dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia osiągnięcia celu przetwarzania danych osobowych, chyba że określono inaczej przewidziane przez przepisy federalne i powiadomić podmiot danych osobowych o tych danych lub jego przedstawiciela prawnego, a jeżeli odwołanie lub wniosek został przesłany przez uprawniony organ do ochrony praw osób, których dane dotyczą, także wskazany organ.
5. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie swoich danych osobowych, operator ma obowiązek zaprzestać przetwarzania danych osobowych i zniszczyć dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia otrzymania oświadczenia o cofnięciu zgody, chyba że inaczej stanowi umowa pomiędzy operatorem a podmiotem danych osobowych. Operator ma obowiązek powiadomić podmiot danych osobowych o zniszczeniu danych osobowych.
Artykuł 22. Informacja o przetwarzaniu danych osobowych
1. Operator przed rozpoczęciem przetwarzania danych osobowych ma obowiązek powiadomić organ uprawniony do ochrony praw osób, których dane dotyczą, o swoim zamiarze przetwarzania danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.
2. Operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym organu uprawnionego do ochrony praw osób, których dane dotyczą:
1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;
2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane i nie są udostępniane osobom trzecim bez zgody podmiotu danych osobowych oraz wykorzystywane przez operatora wyłącznie do celów wykonawczych wspomniane porozumienie oraz zawieranie umów z przedmiotem danych osobowych;
3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;
4) które stanowią publicznie dostępne dane osobowe;
5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;
6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;
7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;
8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej, które ustanawiają wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą.
3. Powiadomienie, o którym mowa w ust. 1 niniejszego artykułu, musi zostać przesłane w formie pisemnej i podpisane przez osobę upoważnioną lub przesłane w formie elektronicznej i podpisane elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej. Zawiadomienie musi zawierać następujące informacje:
1) imię i nazwisko (nazwisko, imię, nazwisko rodowe), adres operatora;
2) cel przetwarzania danych osobowych;
5) podstawa prawna przetwarzania danych osobowych;
6) wykaz działań na danych osobowych, ogólny opis sposobów stosowanych przez operatora przetwarzania danych osobowych;
7) opis środków, które operator zobowiązuje się zastosować przy przetwarzaniu danych osobowych, aby zapewnić bezpieczeństwo danych osobowych podczas ich przetwarzania;
8) datę rozpoczęcia przetwarzania danych osobowych;
9) termin lub warunek zaprzestania przetwarzania danych osobowych.
4. Upoważniony organ ochrony praw osób, których dane dotyczą, w terminie trzydziestu dni od dnia otrzymania zawiadomienia o przetwarzaniu danych osobowych wprowadza informacje określone w ust. 3 niniejszego artykułu, a także informację o datę przesłania wskazanego zgłoszenia do rejestru przedsiębiorców. Informacje zawarte w rejestrze operatorów, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.
5. Operator nie może zostać obciążony kosztami w związku z rozpatrzeniem zgłoszenia o przetwarzaniu danych osobowych przez uprawniony organ do ochrony praw osób, których dane dotyczą, a także w związku z wpisaniem informacji do rejestru operatorzy.
6. W przypadku dostarczenia niekompletnego lub fałszywe informacje określone w części 3 tego artykułu, uprawniony organ ochrony praw osób, których dane dotyczą, ma prawo żądać od operatora wyjaśnienia podanych informacji przed wpisaniem ich do rejestru operatorów.
7. W przypadku zmiany informacji, o których mowa w ust. 3 niniejszego artykułu, operator ma obowiązek powiadomić o zmianach uprawniony organ do spraw ochrony praw osób, których dane dotyczą, w terminie dziesięciu dni roboczych od dnia zaistnienia tych zmian.
Rozdział 5. Kontrola i nadzór nad przetwarzaniem danych osobowych. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej
Artykuł 23. Upoważniony organ ochrony praw osób, których dane osobowe dotyczą
1. Organem uprawnionym do ochrony praw podmiotów danych osobowych, któremu powierzono kontrolę i nadzór nad zgodnością przetwarzania danych osobowych z wymogami niniejszej ustawy federalnej, jest federalny organ wykonawczy pełniący funkcje kontrola i nadzór w dziedzinie technologii informatycznych i komunikacji.
2. Uprawniony organ do ochrony praw podmiotów danych osobowych rozpatruje wnioski podmiotu danych osobowych dotyczące zgodności treści danych osobowych i sposobów ich przetwarzania z celami ich przetwarzania i podejmuje odpowiednią decyzję.
3. Upoważniony organ ochrony praw osób, których dane dotyczą, ma prawo:
1) żądanie od osób fizycznych lub osoby prawne informacji niezbędnych do wykonywania swoich uprawnień i nieodpłatnego otrzymywania takich informacji;
2) zweryfikować informacje zawarte w zawiadomieniu o przetwarzaniu danych osobowych lub zaangażować w granicach swoich uprawnień inne organy administracji publicznej do przeprowadzenia takiej weryfikacji;
3) żądania od operatora wyjaśnienia, zablokowania lub zniszczenia nieprawidłowych lub uzyskanych nielegalnie danych osobowych;
4) przyjąć ustanowione przez prawo Procedura Federacji Rosyjskiej dotycząca środków zawieszenia lub zakończenia przetwarzania danych osobowych z naruszeniem wymogów niniejszej ustawy federalnej;
5) występowania do sądu z roszczeniami w celu ochrony praw osób, których dane dotyczą, oraz reprezentowania przed sądem interesów osób, których dane dotyczą;
6) skierować wniosek do organu wydającego zezwolenia na działalność operatora z wnioskiem o rozważenie podjęcia działań w celu zawieszenia lub unieważnienia odpowiedniej licencji w sposób określony przez ustawodawstwo Federacji Rosyjskiej, jeżeli warunkiem uzyskania zezwolenia na prowadzenie tej działalności jest zakaz przekazywania danych osobowych podmiotom trzecim bez pisemnej zgody podmiotu danych osobowych;
7) przesyłać materiały do prokuratury i innych organów ścigania w celu rozstrzygnięcia kwestii wszczęcia spraw karnych o przestępstwa związane z naruszeniem praw osób, których dane dotyczą, zgodnie z właściwością;
8) przedstawiać Rządowi Federacji Rosyjskiej propozycje ulepszenia regulacji prawnych dotyczących ochrony praw osób, których dane dotyczą;
9) przyciągać odpowiedzialność administracyjna osoby winne naruszenia niniejszej ustawy federalnej.
4. W stosunku do danych osobowych, o których dowiedział się uprawniony organ do ochrony praw osób, których dane dotyczą, w toku swojej działalności, należy zapewnić poufność danych osobowych.
5. Organ uprawniony do ochrony praw osób, których dane dotyczą, jest obowiązany:
1) organizować, zgodnie z wymogami niniejszej ustawy federalnej i innych ustaw federalnych, ochronę praw osób, których dane dotyczą;
2) rozpatrywania skarg i odwołań obywateli lub osób prawnych w sprawach związanych z przetwarzaniem danych osobowych, a także podejmowania decyzji w granicach swoich uprawnień na podstawie wyników rozpatrzenia wspomniane skargi i apelacje;
3) prowadzenia rejestru operatorów;
4) wdrażać działania mające na celu poprawę ochrony praw osób, których dane osobowe dotyczą;
5) przyjąć w sposób określony przez ustawodawstwo Federacji Rosyjskiej po okazaniu organ federalny organ wykonawczy uprawniony w zakresie bezpieczeństwa lub federalny organ wykonawczy uprawniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, środków zawieszenia lub zakończenia przetwarzania danych osobowych;
6) informowania organów administracji rządowej, a także osób, których dane dotyczą, na ich żądania lub prośby, o stanie rzeczy w zakresie ochrony praw osób, których dane dotyczą;
7) wypełniać inne obowiązki przewidziane w ustawodawstwie Federacji Rosyjskiej.
6. Od decyzji uprawnionego organu ochrony praw osób, których dane dotyczą, przysługuje odwołanie do sądu.
7. Upoważniony organ ochrony praw osób, których dane dotyczą, corocznie przesyła sprawozdanie ze swojej działalności Prezydentowi Federacji Rosyjskiej, Rządowi Federacji Rosyjskiej i Zgromadzeniu Federalnemu Federacji Rosyjskiej. Niniejszy raport podlega publikacji w mediach.
8. Uprawniony organ ochrony praw osób, których dane osobowe dotyczą, finansowany jest z budżetu federalnego.
9. Pod organem uprawnionym do ochrony praw osób, których dane osobowe dotyczą, tworzony jest w dniu zasady publiczne rada doradcza, której tryb tworzenia i działania ustala uprawniony organ do spraw ochrony praw osób, których dane osobowe dotyczą.
Artykuł 24. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej
Osoby winne naruszenia wymogów niniejszej ustawy federalnej ponoszą kary cywilne, karne, administracyjne, dyscyplinarne i inne. przewidziane przez prawo Odpowiedzialność Federacji Rosyjskiej.
Rozdział 6. Postanowienia końcowe
Artykuł 25. Postanowienia końcowe
1. Niniejsza ustawa federalna wchodzi w życie sto osiemdziesiąt dni od dnia jej oficjalnej publikacji.
2. Po wejściu w życie niniejszej ustawy federalnej przetwarzanie danych osobowych zawartych w systemach informatycznych danych osobowych przed dniem jej wejścia w życie odbywa się zgodnie z niniejszą ustawą federalną.
3. Systemy informacyjne dotyczące danych osobowych utworzone przed wejściem w życie niniejszej ustawy federalnej muszą zostać dostosowane do wymogów niniejszej ustawy federalnej nie później niż 1 stycznia 2010 r.
4. Operatorzy, którzy przetwarzają dane osobowe przed datą wejścia w życie niniejszej ustawy federalnej i kontynuują takie przetwarzanie po dniu jej wejścia w życie, są zobowiązani przesłać do upoważnionego organu w celu ochrony praw danych osobowych tematy, z wyjątkiem przypadków przewidzianych w części 2 artykułu 22 niniejszej ustawy federalnej, powiadomienie przewidziane w części 3 artykułu 22 tej ustawy federalnej, nie później niż 1 stycznia 2008 roku.
Prezydent
Federacja Rosyjska
W. Putina
Obszar ochrony danych osobowych jest bardzo wrażliwy. Nawet państwa posiadające bardziej rozwinięte ustawodawstwo w tym zakresie są bardzo ostrożne i stale je udoskonalają. W przypadku Rosji kroki mające na celu poprawę przepisów federalnych dotyczących danych osobowych podejmowane są rzadko.
Od 1 lipca 2017 r. wprowadzono zaktualizowaną wersję 152-FZ, co wywołało poważny niepokój wśród właścicieli zasobów wirtualnych. Powiedzenie: „Wszystko, czego się nie robi, jest na lepsze” jest w tej sytuacji całkowicie niewłaściwe, ponieważ prawo jest mało przydatne. Grzywny znacznie wzrosły, wzrosła także liczba powodów ich ścigania.
Spróbujmy szczegółowo zrozumieć, co obiecuje właścicielom witryn, w których użytkownicy rejestrują się i pozostawiają informacje o sobie. Przecież niewiedza od niczego nie uwalnia, a na celowniku Temidy może znaleźć się każdy.
Jakie negatywne konsekwencje pociąga za sobą 152-FZ?
- Po pierwsze, nieuczciwym pracownikom służb kontrolnych znacznie łatwiej będzie zepsuć nerwy właścicielom firm. Podstawą tego będzie kwota grzywny dla osób prawnych sięga 75 tysięcy rubli.
- Po drugie, 152-FZ należy do kompetencji Roskomnadzoru. Poprzednie edycje miały być kontrolowane przez prokuraturę, ale ze względu na duże obciążenie pracą nie miały na to czasu. A najniebezpieczniejszy moment jest taki, że biznes wciąż nie widzi, jakie zagrożenie nad nim wisi.
Główne naruszenia, za które Roskomnadzor zostanie ukarany grzywną
Wymieniamy sześć głównych przypadków wynikających z kodeksu przepisów Kodeksu wykroczeń administracyjnych, pkt 3.11, który wchodzi w życie 1 lipca 2017 r. Warto od razu wspomnieć, że jest też sporo innych punktów, ale one tylko dotyczą agencje rządowe, więc nie będziemy o nich rozmawiać:
NARUSZENIE 1: Przetwarzanie danych w przypadkach nieprzewidzianych w obowiązujących przepisach lub stosowanie metody realizującej cele ukryte przed osobą prywatną lub organem regulacyjnym.
Grzywna: od 30 do 50 tysięcy rubli.
Klauzula ta będzie grozić przedsiębiorcom w następujących przypadkach:
- Jeżeli firma w sposób dorozumiany wskazuje cele gromadzenia danych osobowych lub stara się je wyrazić w sposób neutralny aby uniknąć odpowiedzialności. Duży wpływ na to może mieć także analfabetyzm osoby piszącej tekst.
- Jeżeli powiązanie pomiędzy osobami zbierającymi dane a firmą przetwarzającą dane jest niespójne warunki ogólne przetwarzanie danych osobowych.
- Błędy te pojawiają się najczęściej przy sporządzaniu kwestionariuszy na ulicach. Teraz, jeśli zrobisz to źle, możesz zostać ukarany grzywną. Twój sklep internetowy ma obowiązkową rejestrację w celu zbierania? baza klientów Od pierwszego lipca wy także jesteście atakowani. Sam cel sprzedaży nie pokrywa się z gromadzeniem danych osobowych. Na przykład, aby kupić coś na targu lub w sklepie, nie trzeba pokazywać paszportu. To samo dotyczy sprzedaż internetowa
. Najprawdopodobniej ten element będzie aktywnie sprawdzany. NARUSZENIE 2:
Zgodnie z nowym prawem przetwarzanie danych osobowych musi odbywać się wyłącznie za zgodą osoby, której dane będą przetwarzane.
Grzywna: od 15 do 75 tysięcy rubli. Jak dotąd dla większości nie jest jasne, jak będzie działać ten mechanizm, ale wszyscy bez wyjątku są zagrożeni. Nikt nie będzie mógł zapytać każdego odwiedzającego witrynę, czy wyraził zgodę, a tym bardziej zmusić go do wyrażenia jej w czystej postaci. Pozostać z checkboxami i linkami obok formularzy zbierania danych osobowych w serwisie.
W Internecie istnieją setki tysięcy witryn, z których większość nie jest nawet świadoma zagrożenia. Żadna służba rządowa nie będzie w stanie rozpatrzyć takiej liczby wykroczeń, ale czołowi liderzy rynku i wybrani „szczęśliwcy” na pewno to dostaną.
NARUSZENIE 3: Uniemożliwienie organom kontrolnym dostępu do polityki weryfikacji danych osobowych.
Grzywna: od 15 do 30 tysięcy rubli.
Dane osobowe to wszelkie informacje, które pozwalają na jednoznaczną identyfikację osoby fizycznej i uzyskanie o niej jakichkolwiek informacji dodatkowe informacje. Każda organizacja pracująca z indywidualnymi danymi ma obowiązek chronić systemy informatyczne i pozyskiwać dokumenty potwierdzające, że systemy te spełniają wymagania prawne.
Definicje
- Dane osobowe- wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych);
- Operator danych osobowych- organ państwowy, organ gminy, osoba prawna lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) przeprowadzającymi przetwarzanie danych osobowych, a także ustalającymi cele przetwarzania danych osobowych, skład przetwarzanych danych osobowych , czynności (operacje) dokonywane na danych osobowych;
- Przetwarzanie danych osobowych- każda czynność (operacja) lub zestaw czynności (operacji) wykonywana przy użyciu narzędzi automatyzacji lub bez użycia takich środków na danych osobowych, obejmująca gromadzenie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), wydobywanie, wykorzystywanie, przenoszenia (dystrybucji, udostępniania, dostępu), depersonalizacji, blokowania, usuwania, niszczenia danych osobowych.
Dlaczego Rosja potrzebuje tego prawa?
Powodem przyjęcia ustawy o ochronie danych osobowych była potrzeba usunięcia barier handel międzynarodowy z krajami Unii Europejskiej. Wymiana danych osobowych, często niezbędna przy dokonywaniu transakcji, możliwa jest jedynie pomiędzy państwami, które są w stanie zapewnić odpowiednią ochronę przesyłanych i otrzymywanych informacji. Dla porównania w Norwegii i Francji podobne prawa wprowadzono pod koniec XIX wieku. Jesienią 2005 roku Duma Państwowa ratyfikowała Konwencję Rady Europy „O ochronie jednostki w związku z automatycznym przetwarzaniem danych osobowych”.
Zgodnie z prawem każdemu systemowi informatycznemu, w którym przechowywane i przetwarzane są dane osobowe, należy przypisać klasę, zgodnie z którą będzie zapewniona ochrona tych danych. Ponadto systemy informacyjne mogą być standardowe lub specjalne, a te ostatnie wymagają obowiązkowych licencji na działanie. Za szczególne uważa się systemy, które zawierają informacje o stanie zdrowia oraz te, na podstawie których podejmowane są decyzje rodzące skutki prawne. Inaczej mówiąc, jeżeli dane pochodzące z takich systemów informatycznych, a dokładniej ich analiza i przetwarzanie, mogą mieć wpływ na życie lub zdrowie podmiotu danych osobowych. Klasę specjalnych systemów informatycznych ustala się na podstawie modelu zagrożeń bezpieczeństwa danych osobowych zgodnie z dokumentami regulacyjnymi i metodologicznymi organów regulacyjnych.
Jak uchwalono i zmieniono prawo
Planowane jest ograniczenie przekazywania danych osobowych na serwery zagraniczne
1 września 2015 roku w Rosji wszedł w życie przepis określony w ustawie federalnej nr 242, zobowiązujący operatorów danych osobowych do przetwarzania i przechowywania danych osobowych Rosjan za pomocą baz danych znajdujących się na terytorium Federacji Rosyjskiej. Z uwagi na to, że niektóre terminy i sformułowania użyte w tym przepisie na to pozwalają różne interpretacje Ministerstwo Telekomunikacji i Komunikacji Masowej przygotowało wyjaśnienia w tej sprawie. Lista wyjaśnień dostępna jest pod adresem.
2006-2010
W lipcu 2006 r. przyjęto ustawę federalną nr 152-FZ „O danych osobowych”. Ustawa weszła w życie w styczniu 2007 r.
Co stoi na przeszkodzie przestrzeganiu prawa?
Po pierwsze, poważną przeszkodą są problemy techniczne. Chociaż zniesiono obowiązek stosowania środków szyfrujących (kryptograficznych). nowe wydanie Zgodnie z prawem operatorzy mają obowiązek stosowania zestawu zabezpieczeń technicznych i organizacyjnych zgodnych z klasą posiadanego systemu. Ponadto, aby zorganizować odpowiednią ochronę, najczęściej firma musi niemal całkowicie zaktualizować swój tabor wyposażenia technicznego. Firmy wyspecjalizowane lub posiadające odpowiednią kadrę mogą samodzielnie wdrożyć systemy bezpieczeństwa chroniące informacje korporacyjne, w tym dane osobowe kontrahentów i pracowników. Inne firmy, które z jakiegoś powodu nie chcą samodzielnie zajmować się kwestiami bezpieczeństwa, zwracają się do wyspecjalizowanych firm. Ostatecznie jednak wybór sprzętu ochronnego spada na barki tych, którzy za niego płacą, a wojna o gospodarkę i bezpieczeństwo jest nieunikniona. Zgodność z wymogami formalnymi ustawy federalnej 152 nie zapewnia rzeczywistej ochrony informacje poufne, w tym danych osobowych, przed wyciekami i innymi zagrożeniami wewnętrznymi.
Po drugie, są problemy z certyfikacją. Rzeczywiście, z punktu widzenia legislacji, nacisk nie jest położony na samo bezpieczeństwo, ale na zgodność środków ochrony danych osobowych z określonymi w normie. I możliwe, że część firm ograniczy się jedynie do kosztów licencji. Już teraz, patrząc na pierwszą dziesiątkę firm z wyszukiwarki, które zajmują się outsourcingiem w zakresie bezpieczeństwa informacji, widać, że większość z nich nie koncentruje się na rozwoju systemów bezpieczeństwa, ale na pomocy w gromadzeniu dokumentów dla uzyskanie licencji.
Trzecim istotnym problemem na drodze do skutecznej implementacji prawa jest brak równowagi na rynku operatorskim. W rzeczywistości konieczne jest rozróżnienie wymagań bezpieczeństwa dla różnych źródeł danych. W tej sytuacji operatorzy danych mogą przypominać ślepe kocięta – całą gamę metod i metod ochrony informacji skupiają regulatorzy w jednym pędzie, a istniejące na rynku stowarzyszenia rozwiązują sprawy wąskiego kręgu firm i nie bronią interesów uczestników rynku jako całości.
Ochrona danych osobowych
Chronologia wydarzeń
2017
Facebook i Twitter będą zgodne z rosyjskim ustawodawstwem
Duży Firmy amerykańskie Facebook i Twitter będą przestrzegać wymogów Ustawy o danych osobowych. Facebook planuje utworzenie rosyjskiego przedstawicielstwa, a Twitter planuje przeniesienie serwerów z danymi osobowymi Rosjan na terytorium Federacji Rosyjskiej – informowała Izwiestia w listopadzie 2017 roku, powołując się na swoje źródła.
Rosyjskie Ministerstwo Telekomunikacji i Komunikacji Masowej chce zaostrzyć procedurę wyrażania zgody na przetwarzanie danych osobowych
Urzędnik podkreślił, że „nasi obywatele często udzielają tego rodzaju zgody bez jasnego zrozumienia konsekwencji prawnych i ich możliwych konsekwencji”. dalsze wykorzystanie" Z tego powodu ministerstwo podjęło taką inicjatywę – w ramach prawa, aby usprawnić zarówno samą procedurę, jak i procedurę wyrażania zgody na przetwarzanie danych osobowych. Co więcej, jak zauważył Sokołow, obecnie badana jest możliwość utworzenia zasobu państwowego, który prowadziłby ewidencję zgody obywateli na przetwarzanie danych osobowych w celu kontroli ich wykorzystania.
Ministerstwo Telekomunikacji i Komunikacji Masowej oferuje również poziom legislacyjny różnicowanie i rozwijanie podejść do regulacji prawnych przetwarzania danych osobowych, zanonimizowanego zbioru danych osobowych i wyników Internetu rzeczy. Oficjalna notatka: „Jednym z najczęściej dyskutowanych problemów jest tzw. Obowiązujące przepisy nie zawierają tego, ani pojęcia o podobnym znaczeniu, ale stanowią, że przetwarzanie danych osobowych jest dozwolone dla osiągnięcia określonych, z góry określonych celów, po czym ulegają one depersonalizacji lub zniszczeniu. W związku z tym serwisy internetowe gromadzą ogromną ilość zanonimizowanych danych osobowych, które nie pozwalają na osobistą identyfikację. Ponadto szybki rozwój Internetu rzeczy, różne typy liczniki, czujniki, sprzęt AGD generuje znaczną ilość innych rodzajów danych, których również nie można zakwalifikować jako dane osobowe. Biorąc to pod uwagę, konieczne jest wypracowanie zagadnienia delimitacji na poziomie legislacyjnym i wypracowanie różnych podejść do prawnej regulacji przetwarzania danych osobowych, zanonimizowanego zbioru danych osobowych oraz wyników Internetu Rzeczy. Nasze propozycje będą gotowe w pierwszej połowie 2017 roku.”
Uprawnienia w zakresie nadzoru nad przetwarzaniem danych osobowych Rosjan otrzyma RKN
Uczestnicy rynku argumentują, że chociaż środki te będą miały pozytywny wpływ na branżę jako całość, są one wyraźnie niewystarczające i nadal zbyt konserwatywne.
Rozporządzenie rządowe ustanawia cztery poziomy ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych oraz wymagania dla każdego z nich. Systemom informatycznym przypisuje się określony poziom bezpieczeństwa w zależności od rodzaju danych osobowych przetwarzanych przez system informatyczny (specjalne, biometryczne, publicznie dostępne itp.), rodzaju aktualne zagrożenia(1., 2., 3.), liczbę osób, których dane dotyczą, przetwarzanych przez system informatyczny oraz czy przetwarzane są dane osobowe pracowników operatora.
Dekret ustanawia również wymóg stosowania narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadkach, gdy użycie takich środków jest niezbędne do zneutralizowania bieżących zagrożeń .
Dokument umożliwi operatorom systemów informatycznych przetwarzających dane osobowe określenie wymaganego poziomu ochrony danych osobowych, co w dalszej kolejności znacząco uprości procedurę ustalania niezbędnych i wystarczających środków ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją , blokowania, kopiowania, rozpowszechniania danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.
Według czołowego inżyniera bezpieczeństwa informacji w dziale integracji systemów firmy Microtest Siergieja Borysowa, nowy dekret rządowy zmniejszył liczbę wymagania obowiązkowe do 14 w porównaniu z 34 w poprzednim dokumencie. „Jednak moim zdaniem nowa uchwała nie ułatwiła życia firmom” – stwierdził Siergiej Borysow. - najbardziej uciążliwy wymóg – potrzeba certyfikacji systemów bezpieczeństwa informacji – pozostaje obowiązkowy dla wszystkich ISPD.”
„Następnym punktem jest klasyfikacja ISPD” – kontynuował. - Jeśli wcześniej operator mógł zdecydować się na klasyfikację standardowego ISPD na podstawie tabeli lub na sklasyfikowanie specjalnego ISPD na podstawie wyników modelu zagrożenia, teraz nie ma wyboru. Poziom bezpieczeństwa jest zawsze ustalany na podstawie istotności zagrożeń. Operator raczej nie będzie w stanie samodzielnie ich ustalić – będzie musiał skontaktować się z wyższą organizacją lub konsultantem.”
Kolejnym problemem nowej uchwały Siergiej Borisow widzi utratę mocy prawnej większości dokumentów FSTEC R i FSB R, opracowanych na podstawie uchylonej uchwały. „Bez nowych dokumentów nie będzie nawet możliwe ustalenie poziomów bezpieczeństwa. Oznacza to, że PP nr 1119 jest nadal bezużyteczny” – podsumował Borysow.
Siergiej Borysow widzi w nowym dekrecie rządowym potencjalny wzrost wydatków firm na ochronę danych osobowych ze względu na fakt, że bardzo dane, które wcześniej uważano za mało wartościowe, zostały obecnie przeniesione do innej kategorii, która wymaga więcej wysoki stopień ochrona.
Eksperci Stowarzyszenie Rosyjskie komunikacji elektronicznej mają pewność, że obecnie przepisy dotyczące danych osobowych nie uwzględniają ich nowoczesny poziom rozwój Internetu i znacząco spowalnia rozwój handlu elektronicznego oraz usługi w chmurze w Federacji Rosyjskiej.
RAEC w dalszym ciągu nalega na utworzenie zespołu międzyresortowego grupa robocza przy udziale przedstawicieli branży internetowej, ekspertów ds. bezpieczeństwa informacji, przedstawicieli Ministerstwa Telekomunikacji i Komunikacji Masowej Federacji Rosyjskiej, Ministerstwa Rozwoju Gospodarczego Federacji Rosyjskiej, FSB, FSTEC, Roskomnadzor w celu jaśniejszego sformułowania wymagań branży stanowiska w sprawie legislacji i jej zmian. W szczególności wnosząc zgodnie z ustawodawstwo międzynarodowe i standardy istniejące dokumenty i uchwały.
2011
Kodeks mieszkaniowy i dane osobowe
16 czerwca 2011 r. Ustawa federalna nr 123-FZ z dnia 4 czerwca 2011 r. „W sprawie zmian w kodeksie mieszkaniowym Federacji Rosyjskiej i niektórych akty prawne Federacja Rosyjska”, której art. 5 wprowadził kolejną nowość do ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”.
Część 2 art. 6 ustawy federalnej nr 152 została dostosowana i uzupełniona nowym akapitem o następującej treści:
„5.1) przetwarzanie danych osobowych jest niezbędne dla organizacji zarządzających, wspólnot mieszkaniowych, spółdzielni mieszkaniowych, spółdzielni budownictwa mieszkaniowego lub innych wyspecjalizowanych spółdzielnie konsumenckie którzy zgodnie z Kodeksem mieszkaniowym Federacji Rosyjskiej zarządzają budynkami mieszkalnymi lub osoby, z którymi powiązani są właściciele lokali w apartamentowcu zarządzanie bezpośrednie apartamentowiec zawarł umowy o świadczenie usług i (lub) wykonanie prac konserwacyjnych i naprawczych wspólna własność w tym budynku lub osobom, z którymi właściciele lokali w apartamentowcu będącym w bezpośrednim zarządzie lub właściciele budynków mieszkalnych zawarli umowy o świadczenie narzędzia lub osoby zajmujące się na podstawie umów o prowadzenie rozliczeń z właścicielami lokali w budynku wielorodzinnym, właścicielami budynków mieszkalnych, najemcami lokali mieszkalnych państwowych lub komunalnych zasoby mieszkaniowe na utrzymanie i remonty mienia wspólnego w budynku mieszkalnym, budynki mieszkalne i media;…”
W powyższym akapicie dodano szereg sytuacji, w których operator danych osobowych nie ma obowiązku uzyskiwania zgody podmiotu na przetwarzanie danych osobowych.
Z jednej strony poprawka ta logicznie wpisuje się w nową reżim prawny zarządzanie apartamentowcami, które jest na poziomie ustawodawstwo federalne konsoliduje prawa i obowiązki uczestników odpowiednich relacji społecznych oraz określa specyfikę tych relacji. Z punktu widzenia ustawodawstwa dotyczącego danych osobowych przedmiotowa zmiana nie wprowadza zasadniczych zmian w dotychczasowym systemie regulacji przetwarzania i ochrony danych osobowych, ale w pewnym stopniu ułatwia życie wielu organizacjom zarządzającym apartamentowcami, a także jako świadczenie usług komunalnych i dokonywanie płatności na rzecz właścicieli nieruchomości.Z drugiej strony pojawienie się kolejnego wyjątku skłania do smutnych przemyśleń na temat integralności i stosowalności norm instytucji zgody podmiotów na przetwarzanie ich danych osobowych. W tekście nowelizacji wyraźnie określono warunek braku konieczności uzyskania zgody: przetwarzanie danych osobowych następuje w związku z przepisami Kodeks mieszkaniowy Federacji Rosyjskiej lub w związku z postanowieniami odpowiednią umowę. Ale powyższy warunek w rzeczywistości powiela treść ust. 1 i 2 części 2 art. 6 ustawy federalnej nr 152. Ustawodawca schodzi zatem z poziomu regulacji sytuacji typowych (np. przetwarzania danych osobowych w związku z realizacją postanowień umowy) do poziomu regulacji sytuacji konkretnych ( stosunki umowne w zakresie mieszkalnictwa i usług komunalnych). Ponadto następuje dewaluacja znaczenia i wartości innych norm instytucji zgody podmiotów na przetwarzanie ich danych osobowych (w szczególności ust. 1 i 2 części 2 art. 6 ustawy federalnej nr 152) .
Projekt ustawy federalnej „O zmianie niektórych aktów prawnych Federacji Rosyjskiej” nr 535056-5
Projekt ustawy federalnej „O zmianie niektórych aktów prawnych Federacji Rosyjskiej” nr 535056-5 proponuje dostosowanie ustawodawstwa Federacji Rosyjskiej do postanowień art. 7 ust. 2 ustawy federalnej nr 210-FZ, które weszły w życie 1 lipca 2011 r. „W sprawie organizacji świadczenia usług państwowych i komunalnych”. Zgodnie z tą normą, organy świadczące usługi rządowe, a podmioty świadczące usługi komunalne nie mają prawa żądać od wnioskodawcy przedstawienia dokumentów i informacji, którymi dysponują organy państwowe i organy samorządu terytorialnego.
1 ust. 2 powyższego projektu ustawy określa tryb i warunki przetwarzania danych osobowych wnioskodawców i innych osób w związku ze świadczeniem usług państwowych lub komunalnych. W szczególności proponuje się zapisanie w art. 7 ustawy federalnej „O organizacji świadczenia usług państwowych i komunalnych” norma, zgodnie z którą: „W przypadku przetwarzania przez organy państwowe, organy samorządu terytorialnego i organizacje zaangażowane w świadczenie usług państwowych i komunalnych, o których mowa w części 1 art. 1 tej ustawy federalnej, dane osobowe dostępne w dyspozycji takich organów i organizacji, w celu przekazania takich danych osobowych organowi (organizacji) świadczącej usługi państwowe lub komunalne na żądanie wnioskodawcy, nie jest niezbędne do uzyskania zgody podmiotu danych osobowych, na którego żądanie odbywa się przetwarzanie, zgodnie z wymogami ust. 1 części 2 art. 6 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „W sprawie Dane osobowe”.
Wniosek wnioskodawcy do organu (organizacji) o świadczenie usługi państwowej lub komunalnej jest równoznaczny ze zgodą takiego wnioskodawcy na przetwarzanie jego danych osobowych w celu świadczenia odpowiedniej usługi państwowej lub komunalnej przez organ (organizację) .
Jeżeli świadczenie usługi państwowej lub komunalnej wymaga dostarczenia dokumentów i informacji o innych osobach niebędących wnioskodawcą, wówczas ubiegając się o świadczenie usługi państwowej lub komunalnej, wnioskodawca przedkłada dodatkowo dokumenty potwierdzające jego umocowanie do działania w imieniu tych osób (ich przedstawiciele prawni), oraz wyrażenie zgody przez te osoby (ich przedstawicieli prawnych) na przetwarzanie danych osobowych tych osób.”Aleksiej Kondratow
Współzałożyciel i reżyser dział prawny serwis serwisowy, specjalista z zakresu ochrony danych osobowych, wsparcia prawnego dla start-upów oraz ochrony sądowej przedsiębiorstw.
Edukacja: Pomorski Wydział Prawa uniwersytet państwowy. Wcześniej pracował jako dyrektor generalny w Iski Online.
Z dniem 1 lipca 2017 r. następuje zmiana w Kodeks rosyjski Przestępstwa administracyjne. Zwiększono wysokość kar za naruszenia przewidziane w ustawie nr 152-FZ „O ochronie danych osobowych”, a niektóre jej sformułowania uległy zmianie. Nowe zasady spowodowały, że wielu właścicieli serwisów internetowych zaczęło martwić się o to, czy ich zasoby są zgodne z prawem. Spróbujmy to rozgryźć.
Zacznijmy od kilku informacji ogólnych. 152-FZ - pierwszy w Rosji współczesne prawo o danych osobowych. Zaczęto go opracowywać w 2000 r. i wszedł w życie 27 lipca 2006 r. Głównym przepisem prawa była obowiązkowa zgoda osoby na przetwarzanie informacji o niej w jakimkolwiek celu. Podczas opracowywania 152-FZ wprowadzono dwa nowe terminy, których prawo używa do dziś: podmiot danych osobowych i operator danych osobowych. Łatwo się domyślić, że chodzi o osobę, której tożsamość można ustalić na podstawie określonych informacji. Operatorem może być osoba fizyczna lub prawna, która ma dostęp do danych osobowych podmiotu. Ostatnia definicja jest dla nas niezwykle ważny, dlatego przyjrzyjmy się temu bardziej szczegółowo.
Kto zgodnie z ustawą 152-FZ jest uważany za operatora danych osobowych?
Władze państwowe i samorząd miejski, sądy, placówki oświatowe i medyczne, pracodawcy, wszelkie firmy i organizacje świadczące usługi osobiste: banki, kancelarie prawne, operatorzy komórkowi, firmy budowlane Operatorami danych osobowych są wszyscy zasoby Internetu, ponieważ mają one dostęp do danych osobowych ludzi w różnym stopniu.
Jakie dane osobowe użytkowników mogą znajdować się na Twojej stronie?
Najczęściej przez dane osobowe (PD) rozumie się:
- nazwisko,
- wiek,
- miejsce urodzenia
- zdjęcie,
- adres zamieszkania,
- numer telefonu.
Dane osobowe obejmują także informacje:
- O stan cywilny,
- poglądy religijne, filozoficzne i polityczne,
- życie intymne,
- stan zdrowia.
Zanonimizowane dane osobowe i informacje zbierane automatycznie:
- e-mail,
- adres IP,
- geolokalizacja,
- ciastka.
Jakie formy zbierania danych osobowych występują w serwisie?
- Formularz rejestracyjny.
- Formularz zamówienia.
- Formularz opinii.
- Przycisk „Poproś o oddzwonienie”.
- Formularz zapisu na biuletyn e-mailowy.
Wysokość kar finansowych po zmianach od 1 lipca 2017 r
|
Numer artykułu |
Możliwe naruszenia |
Wysokość kary |
|
Część 1 art. 13.11 Kodeksu wykroczeń administracyjnych |
|
Dla fizycznego osoby - do 3 tr. Dla osób prawnych osoby – do 50 t.r. |
|
Artykuł 13.11 Kodeks wykroczeń administracyjnych |
|
Dla fizycznego osoby - do 5 tr. Dla osób prawnych osoby - do 75 tr. |
|
Część 3 art. 13.11 kodeksu administracyjnego |
|
Dla fizycznego osoby - do 1,5 tr. Dla indywidualnych przedsiębiorców - do 10 tr. Dla osób prawnych osoby - do 30 tr. |
|
Część 4 art. 13.11 kodeksu administracyjnego |
|
Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 15 tr. Dla osób prawnych osoby - do 40 tr. |
|
Część 5 art. 13.11 kodeksu administracyjnego |
|
Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 20 tr. Dla osób prawnych osoby - do 45 tr. |
|
Część 6 Artykuł 13.11 Kodeks wykroczeń administracyjnych |
|
Dla fizycznego osoby - do 2 tr. Dla indywidualnych przedsiębiorców - do 20 tr. Dla osób prawnych osoby - do 50 tr. |
W przypadku popełnienia przestępstwa kara grzywny jest doliczana dodatkowe środki kary, obejmujące blokadę zasobu i aresztowanie sprawcy naruszenia.
Jak to działa?
Aby wykryć naruszenia, Roskomnadzor przeprowadza zaplanowane, nieplanowane (na żądanie obywateli) i dokumentacyjne (z prośbą o dokumenty) inspekcje obiektów. Na przykład podczas kontroli w 2016 r. w mieście Tambow kancelaria prawna» ukarany grzywną za opublikowanie formularza opinii bez dokumenty towarzyszące, a zimą 2017 r. kilka obiektów w Astrachaniu zostało ukaranych grzywną za podobne naruszenia.
Jak uniknąć kar i blokowania stron internetowych: 5 kroków
- Przeprowadź migrację baz danych do Rosyjskie serwery. Jest to wymóg ustawy N149-FZ „O informacjach, technologiach informacyjnych i ochronie informacji”. Naruszenie prawa może skutkować zablokowaniem zasobu – np. biznesowy portal społecznościowy LinkedIn zaprzestał swojej działalności w Rosji.
- Przygotuj dwa dokumenty – „Politykę przetwarzania danych osobowych” i „Umowę użytkownika”. zauważ to oferta publiczna zastępuje dokument polityki prywatności. Niezwykle ważne jest, aby dokumenty nie zawierały faktów i błędy prawne. Tę pracę najlepiej powierzyć profesjonalnemu prawnikowi. Artykuł 9 ustawy stanowi, że dokument wirtualny jest równoważny dokumentowi na papierze, więc nie dokumenty fizyczne nie jest wymagane.
- Połącz formularz ze zgodą na przetwarzanie danych osobowych i obowiązkowym checkboxem do wszystkich pól dotyczących gromadzenia danych osobowych w serwisie.
- Upewnij się, że strona z „Polityką przetwarzania danych osobowych” jest dostępna do wglądu dla każdego użytkownika serwisu.
- Wyślij papier i powiadomienie e-mailem do Roskomnadzoru w przepisanej formie– można go znaleźć na stronie internetowej Roskomnadzoru. Zgodnie z art. 22 ustawy ustęp ten jest obowiązkowy.
Jeśli wątpisz w swoje kompetencje prawne lub po prostu nie chcesz spędzać dużo czasu na formalnościach, istnieje prostsze i bardziej praktyczne rozwiązanie problemu - serwis. To proste, tanie i szybkie rozwiązanie dla Twojej witryny i firmy.
Wśród naszych ofert z pewnością będziesz mógł wybrać taką, która będzie Ci odpowiadać. Jeśli nie chcesz zwlekać z rozwiązaniem problemu, możesz to zrobić teraz. Wszelkie pytania prawne można rozwiązać, dzwoniąc do naszego zespołu wsparcia 8 800 100 43 45 lub poniżej w formularzu komentarza.
Dane osobowe każdego obywatela Federacji Rosyjskiej są chronione przez ustawodawstwo rosyjskie. Jak zapobiec rozpowszechnianiu informacji o danych osobowych, jaka odpowiedzialność istnieje za naruszenie wymogów prawa – o tym porozmawiamy w naszym artykule.
Dane osobowe (dalej – PD)- są to wszelkie informacje o osobie fizycznej, w szczególności imię i nazwisko, miejsce i data urodzenia, miejsce zamieszkania i zameldowania, stan społeczny, majątkowy i cywilny, zawód, wykształcenie, dochody itp. (klauzula 1 art. 3 ust. Ustawa federalna „O danych osobowych” „).
System prawny, na podstawie którego spełnione są wymagania ustawodawstwa Federacji Rosyjskiej dotyczące przechowywania, przetwarzania i przekazywania danych osobowych obywateli. Operatorem danych osobowych może być organ państwowy lub gminny, a także osoba prawna lub fizyczna, posiadająca uprawnienia do ustalania celu i treści, a także dokonywania szeregu czynności organizacyjnych i wydarzenia techniczne dotycząca ochrony danych osobowych przed blokowaniem, zniszczeniem, kopiowaniem i innymi nielegalnymi działaniami (Ustawa federalna nr 152 z dnia 27 lipca 2006 r. „O danych osobowych”).
W grudniu 2014 r. Duma Państwowa przyjęła w trzecim czytaniu projekt ustawy o przechowywaniu na serwerach w Rosji danych osobowych obywateli przetwarzanych w Internecie. Według Romana Chuychenko, członka komisji ds. polityki informacyjnej, głównym celem projektu ustawy jest wzmocnienie bezpieczeństwa informacyjnego kraju i jego obywateli. Rozwiązanie to zostało podjęte ze względu na skomplikowaną sytuację międzynarodową. Ten rachunek weszło w życie 1 września 2015 roku.
Wejście w życie nowego rozporządzenia o ochronie danych osobowych wymaga od operatorów danych osobowych zapewnienia:
- terminowe wykrywanie nieuprawnionego dostępu do danych osobowych;
- zapobieganie wpływom na działanie środków technicznych automatyczne przetwarzanie PDn;
- możliwość szybkiego zareagowania na fakt nieuprawnionego dostępu i natychmiastowego przywrócenia danych osobowych w przypadku ich zniszczenia lub modyfikacji;
- stałe monitorowanie poziom ochrony danych osobowych.
Kategorie danych osobowych
W ustawodawstwo rosyjskie Definiuje się różne kategorie danych osobowych, do których zalicza się:
1. Publiczny PD - dane nie objęte klauzulą poufności lub za zgodą podmiotu Federacji Rosyjskiej są dostępne dla nieograniczonej liczby osób (książki telefoniczne, książki adresowe itp.). Można je wyłączyć ze źródeł na wniosek sądu lub samego podmiotu.
2. Szczególne kategorie danych osobowych - dane dotyczące narodowości i rasy, stanu zdrowia, przekonań filozoficznych i religijnych, poglądów politycznych. Przetwarzanie tej kategorii danych osobowych dozwolone jest wyłącznie za pisemną zgodą podmiotu (niedozwolone), w przypadkach publicznego udostępnienia danych i braku możliwości uzyskania zgody podmiotu ze względu na jego stan zdrowia, a także w przypadki przetwarzania danych osobowych na potrzeby operacyjnych czynności dochodzeniowo-śledczych lub zgodnie z wymogami ustawodawstwa karno-wykonawczego Federacji Rosyjskiej
4. Biometryczne dane osobowe - informacje o cechach fizjologicznych osoby, które pozwalają na jej identyfikację. Biometryczne PD są przetwarzane zgodnie z art. 11 ustawy federalnej Federacji Rosyjskiej z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych” oraz zgodnie z art. pisemna zgoda podmiotu PD (z wyjątkiem spraw związanych z zapewnieniem sprawiedliwości, prowadzeniem operacyjnych czynności dochodzeniowych związanych ze służbą publiczną, prawem karnym). Biometryczne dane osobowe obejmują zdjęcia i obrazy wideo osób.
Dane osobowe pracownika
W ustawodawstwie cywilnym Federacji Rosyjskiej istnieje koncepcja danych osobowych pracownika, która zakłada ogólne informacje o osobie, konieczne dla pracodawcy w związku z pojawieniem się stosunki pracy. Podobnie, ochronę danych osobowych pracownika regulują artykuły obowiązującego Kodeksu cywilnego Federacji Rosyjskiej i można ją rozpatrywać w kilku aspektach:
- Gwarancje to zbiór norm i zasad regulujących relacje dotyczące danych osobowych pracownika.
- Zespół środków organizacyjno-prawnych mających na celu wdrożenie aktów prawnych w celu wyrażenia polityki pracodawcy.
- Bezpieczeństwo prawo subiektywne pracownika do ochrony danych osobowych.
Każdy pracownik ma prawo do ochrony swoich danych osobowych (klauzula 9 art. 86 Kodeksu pracy Federacji Rosyjskiej).
Zgodnie z art. 89 Kodeks Pracy Federacji Rosyjskiej jej prawo do ochrony i Ochrona WNZ Każdy pracownik może realizować poprzez następujące działania:
- bezpłatny, bezpłatny dostęp do swoich danych osobowych, w tym uzyskanie kopii ewentualnej ewidencji zawierającej dane osobowe pracownika;
- wyznaczenie osobistego przedstawiciela do ochrony Twoich danych osobowych;
- otrzymujący pełne informacje o danych osobowych i ich przetwarzaniu;
- wystawienia żądania usunięcia lub sprostowania danych osobowych zawierających nieprawidłowe informacje lub jeżeli były przetwarzane z naruszeniem wymogów prawa;
- zaskarżenia do sądu niezgodnych z prawem działań pracodawcy, a także jego bierności w przetwarzaniu i ochronie danych osobowych.
Skład danych osobowych pracownika
Na podstawie klauzuli 2 art. 86 Kodeksu pracy Federacji Rosyjskiej ilość i treść danych osobowych pracownika ustala pracodawca zgodnie z Konstytucją Federacji Rosyjskiej, Kodeksem pracy i innymi przepisami federalnymi. Z reguły działalność każdej organizacji wymaga od pracodawcy stosowania dwóch głównych typów dokumentów w obiegu dokumentów:
- Dokumenty dostarczane przez pracownika przy zawieraniu umowy o pracę (art. 65 Kodeksu pracy Federacji Rosyjskiej). Do tej kategorii zalicza się dokumenty zawierające fotografię pracownika, imię i nazwisko, informację o miejscu i dacie urodzenia, obywatelstwo, stan cywilny, miejsce rejestracji, wykształcenie, specjalność (paszport, zaświadczenie o ubezpieczeniu państwowym ubezpieczenie emerytalne, dowód wojskowy itp.).
- Dokumenty generowane samodzielnie przez pracodawcę (podstawowa dokumentacja księgowa do rejestrowania pracy i jej płatności). Ta kategoria obejmuje polecenia lub dyspozycje dotyczące zatrudnienia pracownika, rozwiązania umowy o pracę, nagradzania pracownika, karty imiennej oraz dokumenty dotyczące wynagrodzenia.
Ochrona danych osobowych, odpowiedzialność za naruszenie prawa
Podobnie jak dane osobowe każdego obywatela Rosji chronione są obowiązującymi ramami prawnymi Federacji Rosyjskiej, które przewidują kilka rodzajów odpowiedzialności za naruszenie wymogów przepisów prawa w zakresie ochrony danych osobowych, w szczególności cywilnych, odpowiedzialność dyscyplinarną, materialną, administracyjną i karną.
Należy pamiętać, że niektóre sankcje za naruszenie poszczególne pociągi przestępstwa dotyczą zarówno osób fizycznych i urzędników, jak i osób prawnych.
Zgodnie z art. 150 Kodeksu cywilnego Federacji Rosyjskiej nienaruszalność życia prywatnego, tajemnic osobistych i rodzinnych należy do niezbywalnych prawa niematerialne chronione obowiązującymi przepisami.
Odpowiedzialność cywilna ma bezpośredni związek z kategorią krzywdy moralnej, to znaczy, jeżeli obywatel doznał krzywdy moralnej wyrażającej się w działaniach naruszających jego dobro osobiste prawa moralne ma on prawo żądać od sprawcy zapłaty rekompensatę pieniężną w sądzie. Wysokość odszkodowania za szkodę moralną ustala sąd, biorąc pod uwagę wszystkie istotne okoliczności. Zadośćuczynienie wypłacane jest w gotówce.
Zgodnie z paragrafem 7 art. 243 Kodeks pracy Federacji Rosyjskiej odpowiedzialność finansowa pracownikowi za ujawnienie informacji mających bezpośredni związek z danymi osobowymi innych osób, za które odpowiada sprawca pełny rozmiar wyrządzone szkody.
Odpowiedzialność może ponieść pracownik, który rozpowszechnił dane osobowe innego pracownika odpowiedzialność dyscyplinarna w formie zwolnienia. Na podstawie art. 1 92 Kodeksu pracy Federacji Rosyjskiej pracodawca ma prawo pociągnąć pracownika, który naruszył prawo, do odpowiedzialności. Ponadto, w zależności od stopnia i nasilenia popełnione przestępstwo zwolnienie może zostać zastąpione innym kara dyscyplinarna na przykład w formie nagany lub uwagi.
Należy pamiętać, że prawa i obowiązki pracownika, które są bezpośrednio związane z danymi osobowymi innych pracowników, określają warunki umowy o pracę oraz treść lokalnych przepisów ustanawiających funkcje pracy pracownika oraz wykaz jego obowiązków służbowych.
Odpowiedzialność administracyjna Naruszenie procedury gromadzenia, przechowywania i rozpowszechniania danych osobowych skutkuje ostrzeżeniem lub karą pieniężną w wysokości: od 1000 do 3000 rubli – dla osób fizycznych; od 5 000 do 10 000 rubli - dla urzędników, od 20 tysięcy do 50 tysięcy rubli - dla osób prawnych (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Odpowiedzialność administracyjna za rozpowszechnianie informacji prawnie chronionych w związku z wykonywaniem czynności urzędowych i obowiązki zawodowe, pociąga za sobą karę grzywny w wysokości: od 500 do 1000 rubli - dla osób fizycznych, od 4 do 5 tysięcy rubli - dla urzędników (art. 13.14 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).
Odpowiedzialność karna za naruszenie prywatności, w szczególności danych osobowych, reguluje art. 137 Kodeksu karnego Federacji Rosyjskiej i przewiduje karę w postaci:
- kara w wysokości 200 tysięcy rubli, wynagrodzenie lub inny dochód sprawcy przez 18 miesięcy przymusowej pracy przez okres od 120 do 180 godzin;
- prace wykonawcze do 12 miesięcy;
- areszt na okres do 4 miesięcy.
Naruszenie prywatności, w szczególności danych osobowych, przez osobę wykorzystującą swoje stanowisko służbowe zagrożone jest karą:
- grzywna w wysokości od 100 do 300 tysięcy rubli, wynagrodzenie lub inny dochód sprawcy na 1-2 lata;
- pozbawienie prawa do zajmowania określonych stanowisk na okres od 2 do 5 lat;
- aresztu na okres od 4 do 6 miesięcy.
Aleksander
Cześć! Przyjrzałem się mojej historii kredytowej, która jest zbierana na podstawie danych z biura historii kredytowej. Widzę, że dwa banki zwróciły się w moją stronę do BKI bez mojej zgody. Jeden z nich nie powinien mieć moich danych osobowych. Czy wnioski do BKI tych dwóch banków są legalne? Co robić?
Siergiej (starszy prawnik)
Witaj, Aleksandrze! Zgodnie z ustawą o historie kredytowe banki mogą pytać o historię kredytową obywateli tylko za ich zgodą. Jest to wyraźnie określone w art. 6 wspomniane prawo. Dlatego bez uzyskania Twojej zgody takie żądania są nielegalne.
Dmitrij
Cześć. Pewne „ulepszenie” LLC wysyła karty płatnicze z podaniem mojego imienia i nazwiska, adresu, liczby zarejestrowanych i zarejestrowanych osób, przy czym nie podpisałem ani umowy o świadczenie usług, ani umowy na przetwarzanie danych osobowych. łamią prawo?
Siergiej (starszy prawnik)
Witaj, Dmitrij! Rozpowszechnianie danych osobowych osób w taki sposób, że stają się one dostępne dla nieograniczonej liczby osób, stanowi naruszenie prawa. W zależności od okoliczności sprawy można to zakwalifikować jako wykroczenie administracyjne lub przestępstwo.
Anna
Dzień dobry Proszę mi powiedzieć, przedstawiciel firmy zarządzającej stworzył grupa ogólna w WhatsApp, gdzie dodano wszystkich mieszkańców naszego domu. W związku z tym w tej grupie znajdują się informacje o numerach telefonów wszystkich mieszkańców. Czy spółka zarządzająca ma prawo tworzyć takie grupy i udostępniać dane dotyczące numerów telefonów mieszkańców, a także ich imion i nazwisk bez ich zgody? Na mocy umowy z firmą zarządzającą ma ona prawo przekazywać informacje o danych osobowych podmiotom trzecim wyłącznie w celu wykonania swoich obowiązków wynikających z umowy
Siergiej (starszy prawnik)
Witaj Anno! Każdy obywatel ma prawo do tworzenia grup na portalach społecznościowych i komunikatorach internetowych, zgodnie z warunkami korzystania z komunikatorów internetowych i portali społecznościowych. Najprawdopodobniej do tej grupy zaproszono mieszkańców budynku, jednak zawsze mogą odmówić udziału w takiej grupie. Ponadto nie udowodniono, że utworzenie grupy nie ma na celu osiągnięcia celów w postaci wypełnienia obowiązków spółki zarządzającej wobec rezydentów. Dlatego też w tej sytuacji istnienie naruszenia przepisów dotyczących danych osobowych budzi duże kontrowersje.
Dmitrij
Witam, byłem już karany, czy pracodawca może żądać informacji od policji?
Siergiej (starszy prawnik)
Witaj, Dmitrij! Oczywiście może złożyć wniosek, ale może zostać odrzucony, ponieważ nie ma prawa otrzymać tych poufnych informacji. Jednak pracodawca zawsze ma możliwość uzyskania informacji o Tobie nieoficjalnymi kanałami. Dlatego jeśli chce, zawsze może dostać niezbędne informacje o kandydacie do pracy.
Jewgienij
Witam, pracuję jako kierowca transport publiczny kierownictwo zobowiązuje pasażerów do ogłoszenia przez głośnik swojego imienia i nazwiska przy wejściu do kabiny, czy jest to naruszenie ustawy o ochronie danych osobowych? Czy mogę odmówić zrobienia tego?
Siergiej (starszy prawnik)
Witaj, Evgeniy! Jeżeli wyrazisz na to zgodę, nie będzie to stanowić naruszenia, ponieważ dobrowolnie podałeś odpowiednie informacje. Ale możesz odmówić, jeśli umowa o pracę lub inne dokumenty, które są dla Ciebie obowiązkowe (np. opis stanowiska) nie ma takiego obowiązku. O ile nam wiadomo, na poziom federalny Kierowcy nie mają takiego obowiązku.
Igor
Dzień dobry, mamy zamkniętą grupę WhatsApp osób związanych z określonym zawodem. Aby zidentyfikować i zrozumieć, z kim się komunikujemy, poprosiliśmy wszystkich uczestników o podanie imienia i nazwiska oraz o przesłanie zdjęcia. Czy to jest legalne? Wyjaśnienie Grupa została utworzona, aby komunikować się i pomagać sobie nawzajem w pracy. Jest też w grupie pewne zasady np. o zakazie przekazywania korespondencji i danych użytkowników podmiotom trzecim.
Siergiej (starszy prawnik)
Witaj, Igorze! Jeśli obywatele samodzielnie opublikują swoje dane (które mogą być niewiarygodne), wówczas nie dojdzie do naruszenia danych osobowych.
Aleksiej
Cześć! Niedawno w aplikacji Tinkoff Bank na iPhone'a znalazłem możliwość zaproszenia znajomych do wydania karty. Funkcjonalność aplikacji polegała po prostu na kliknięciu przycisku „zaproś” obok kontaktów z książki telefonicznej, po czym numery telefonów, jak rozumiem, zostały przesłane do banku, a operatorzy banku dzwonili na te numery i oferowali wydanie kart. Przed wysłaniem zaproszeń nigdy nie poproszono mnie o zaznaczenie jakichkolwiek pól dotyczących przesyłania moich danych osobowych. danych, jednak operatorzy banku powiedzieli osobom, do których dzwonili, nie tylko, że Aleksiej podał bankowi ich numer telefonu, ale także zadzwonił do mnie po nazwisku. Pragnę od razu zaznaczyć, że moje nazwisko jest w moim regionie bardzo rzadkie ( Obwód Niżny Nowogród) Jestem jedynym nosicielem tego nazwiska, a w Rosji zbyt mało osób nosi takie nazwisko. Następnego dnia zacząłem dostawać skargi od znajomych, że (oczywiście zorientowali się, że to ja) dałem ich numery bankowi. Skontaktowałem się z bankiem z roszczeniem o naruszenie ustawy 152-FZ, ale prawnicy banku powiedzieli mi, że nazwisko nie jest danymi osobowymi, które pozwalają na identyfikację osoby jako osoby fizycznej, że oni (bank) niczego nie naruszają i moi znajomi po skontaktowaniu się z operatorami bank zidentyfikował mnie jedynie na podstawie „osobistych przypuszczeń” – oto ich cytat: „To są osobiste przypuszczenia Twoich znajomych, skąd dowiedzieli się, że to Ty podałeś numer, nie wiadomo. ”, oto ich pierwsza odpowiedź: „Zgodnie z ustawą federalną nr 152 dane osobowe oznaczają wszelkie informacje dotyczące konkretnej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych) Nazwisko i imię nie wystarczą, aby zakwalifikować dane jako dane . do konkretnej osoby. Nie ma zatem mowy o naruszeniu prawa, o czym już wcześniej informowali pracownicy.” Proszę o informację czy tak jest w tym przypadku naruszenie ustawy 152-FZ i czy ma sens zwrócenie się do sądu i zaangażowanie w sprawę osób, które po rozmowie z operatorami banków ustaliły moją tożsamość jako świadków w tej sprawie.
Siergiej (starszy prawnik)
Witaj, Aleksiej! Możliwe, że już wyraziłeś zgodę na przetwarzanie swoich danych osobowych instalując aplikację Tinkoff Bank. Prosimy o dokładne zapoznanie się z warunkami umowy licencyjnej. tę aplikację. Myślę, że będziesz niemile zaskoczony. Dlatego z dużym prawdopodobieństwem możemy stwierdzić, że w Twojej sytuacji nie dochodzi do formalnego naruszenia prawa o danych osobowych.
Aleksander
Zadzwonił do mnie pewien pracownik firmy konsultingowej, przedstawił się i powiedział, że kiedyś pracował w pewnym banku i kiedy się skontaktowałem infolinia ten bank pomógł mi w niektórych transakcjach. Był wówczas pracownikiem banku i w związku z tym miał dostęp do moich danych osobowych. Powiedz mi, że jego telefon jako przedstawiciela firmy, w której moje dane (imię i nazwisko, numer telefonu) pojawiły się nielegalnie, nie potwierdza faktu nieuprawnionego przekazania moich danych osobowych, tj. naruszenie ustawy o danych osobowych.
Siergiej (starszy prawnik)
Witaj, Aleksandrze! W tym przypadku mówimy raczej o bezprawnym działaniu konkretnego pracownika, który mógł skorzystać z jego dostępu do bazy danych osobowych klienta banku. W każdym razie nie miał prawa kopiować bazy danych klientów banku i wykorzystywać jej do pracy w organizacji komercyjnej.
Anna
Cześć. Proszę mi powiedzieć, czy zgoda na przetwarzanie danych osobowych jest podpisana jednorazowo przy korzystaniu z jakiejkolwiek usługi w szpitalu, czy przy każdym zapytaniu?
Siergiej (starszy prawnik)
Witaj Anno! Do ścisłego przestrzegania prawa wymagane jest, aby każdorazowe podanie danych osobowych przez pacjenta wyraziło zgodę na ich przetwarzanie. Ale jednocześnie ustawa o danych osobowych pozwala stwierdzić, że jeśli dana osoba wielokrotnie kontaktowała się już z określonym operatorem przetwarzania danych osobowych i podała już odpowiednie dane osobowe, to w przypadku braku nowych danych osobowych zgoda nie jest wymagany. Natomiast w przypadku reasekuracji szpitale mogą wymagać każdorazowo podpisania zgody na przetwarzanie danych osobowych.
Michał
Wysyłam alimenty pocztą, jest tytuł egzekucyjny, bez wskazania miejsca pracy, jest miesięczny dług, bez opóźnień, czy jest podstawa do otwarcia mojej bazy danych osobowych, była żona, jeśli nie jestem złośliwym niepłatnikiem?
Siergiej (starszy prawnik)
Witaj, Michaił! Strona postępowania egzekucyjnego ma prawo zapoznać się z materiałami tego postępowania, w tym zawartymi w nich danymi osobowymi dłużnika. Ale jednocześnie powód postępowanie egzekucyjne nie ma prawa udostępniać takich informacji osobom trzecim.
Elena
Cześć! W Internecie w Internecie różne grupy V otwarty dostęp obywatel, z którym mam postępowanie prawne, przesyła materiały fotograficzne ze sprawy, zawierające moje dane osobowe, imię i nazwisko, adres, rok urodzenia. Czy można w jakiś sposób pociągnąć tego obywatela do odpowiedzialności np. za ujawnienie moich danych osobowych? Dziękuję
Siergiej (starszy prawnik)
Witaj, Eleno! Działania obywatela wskazują na naruszenie Twoich danych osobowych. Możesz skontaktować się z prokuraturą lub policją w celu rozwiązania kwestii wszczęcia sprawy karnej lub pociągnięcia obywatela do odpowiedzialności administracyjnej.
Iwan Iwanowicz
Czy przekazanie danych z kamer wideo przez administrację rynku osobie prywatnej stanowi naruszenie ustawy o danych osobowych mnie dotyczących?
Siergiej (starszy prawnik)
Witaj, Iwanie Iwanowiczu! Zależy w jakim celu nagranie zostało przesłane. Jeżeli ma to na celu rozwiązanie przestępstwa lub przestępstwa, wówczas takie działania nie są nielegalne. Ponadto sam obraz wideo terytorium, na którym się znajdują pewne osoby, nie zawiera żadnych danych osobowych i nie pozwala na identyfikację osoby po nazwisku, imieniu, adresie itp.
Aleksander
Cześć! Pewna organizacja, która uważa, że jestem jej winien pieniądze, choć nie zawieraliśmy żadnych umów, wysłała mi reklamację list otwarty na kartce papieru, która nie była moja skrzynka pocztowa, w przypadku długu uzasadnionego, ze wskazaniem imienia i nazwiska, adresu oraz kwoty długu wraz z karami. Czy stanowi to naruszenie moich praw do ochrony danych osobowych?
Siergiej (starszy prawnik)
Witaj, Aleksandrze! Nie doszło do naruszenia przepisów dotyczących danych osobowych, ponieważ niniejsze pismo było skierowane specjalnie do Ciebie i nie ma dowodów na celowe rozpowszechnianie danych osobowych. Ponadto nie wiadomo dokładnie, dlaczego list trafił do cudzej skrzynki pocztowej. Może to błąd handlarza.
Aleksander
Witaj, Siergiej! Czy jednak urzędnik, opieczętowując list danymi osobowymi, nie stwarza celowo warunków do ich ujawnienia?
Siergiej (starszy prawnik)
NIE. List był zaadresowany do Ciebie i nie został opublikowany do wglądu publicznego. Oczywiście możesz spróbować udowodnić coś przeciwnego, ale zajmie to dużo czasu i pieniędzy.
Oleg Bogorodski
Na jednej z giełd handlujących giełdami wymagają one weryfikacji konta poprzez dostarczenie kserokopii paszportu na pierwszej stronie oraz przy rejestracji, a także dokumentu potwierdzającego rejestrację. Czy to jest legalne?
Siergiej (starszy prawnik)
Witaj, Olegu! Identyfikacja użytkownika nie jest niczym nielegalnym. Ponadto przepisy dotyczące przeciwdziałania praniu pieniędzy dochody z przestępstwa zobowiązuje poszczególne organizacje podjąć działania mające na celu weryfikację swoich klientów.
Ewgienia
Dzień dobry Pracuję jako księgowy w SNT. W toku prokuratorskiego śledztwa przewodniczący zażądał ode mnie i kasjera not wyjaśniających, w których podaliśmy nasze nazwiska i stanowiska. W rezultacie urzędnik zamieścił nasze wyjaśnienia na ogólnym czacie SNT bez naszej zgody i powiadomienia. Czy w tej sprawie doszło do naruszenia danych osobowych oraz honoru i godności urzędnika?
Siergiej (starszy prawnik)
Witaj Evgenio! Formalnie mamy do czynienia z naruszeniem przepisów dotyczących danych osobowych, jednak fakt ten nie może mówić o naruszeniu honoru i godności. Musi być ku temu więcej przekonujących powodów.
Andriej
Dzień dobry Eleno. Kolega ubiegał się o pracę nowe stanowisko. Po zapoznaniu się z jego CV firma zaproponowała mu rozmowę kwalifikacyjną. Podczas tej interakcji z pracownikami obsługa personelu firmie, jak się później okazało, nagrywali wszystkie rozmowy telefoniczne bez wiedzy kolegi. Efektem współpracy z oficerami personalnymi były wstępne ustalenia dotyczące warunków pracy na nowym stanowisku. Kiedy nadszedł czas, aby odejść ze swojej starej pracy, obecne kierownictwo zaproponowało koledze awans lub wyższy poziom. korzystne warunki i zdecydował się pozostać w swojej dawnej pracy. Pracownik poinformował firmę o swojej decyzji, a po pewnym czasie do jego dawnego miejsca pracy dotarło pismo od firmy wraz z załącznikiem. rozmowy telefoniczne kolegów oraz list wyjaśniający okoliczności tych negocjacji. Pytanie: Czy możliwe jest pociągnięcie urzędników spółki do odpowiedzialności za popełnione czyny? Jeśli to możliwe, jaki rodzaj odpowiedzialności przewiduje prawo? Pozdrawiam, Andriej
Siergiej (starszy prawnik)
Witaj, Andriej! Działania tej organizacji i jej urzędników noszą znamiona przestępstwa z części 2 art. 138 Kodeksu karnego Federacji Rosyjskiej, czyli naruszenie tajemnicy rozmowy telefoniczne. Musisz napisać oświadczenie do komisja śledcza RF o wszczęciu sprawy karnej.
Julia
Powiedz mi proszę. Mój były mąż w toku zatrucie alkoholem staranował mój samochód swoim SUV-em. W tym czasie mój syn nagrywał wszystko swoim telefonem. Wezwano policję. Policja poprosiła o przesłanie nagranego filmu na pendrive. Następnego dnia w Kontaktach pojawiła się fałszywa strona i opublikowano ten film. Nasze miasteczko jest małe, zhańbiliśmy się, nasza 12-letnia córka ma załamanie nerwowe. Nikt inny poza policjantami nie pokazał ani nie udostępnił tego filmu; było to ewidentnie dzieło gliniarzy. Powiedzcie mi czy ich działania są zgodne z prawem, jeśli nie to gdzie się udać?
Siergiej (starszy prawnik)
Witaj, Julio! Działania są wyraźnie nielegalne. Należy skontaktować się z komendantem miejscowej komendy policji w celu zorganizowania wewnętrznego śledztwa w sprawie rozpowszechniania materiałów stanowiących tajemnicę. wstępne dochodzenie. Ze skargą na działania funkcjonariuszy Policji możesz także zwrócić się do prokuratury.
Aleksander
Policjanci przeglądając materiały dotyczące sprawdzenia mojego wniosku odmawiają mi wyjaśnienia osoby, o której pisałem wniosek do rozpatrzenia, powołując się na ustawę o danych osobowych. Czy policjanci postępują w tej sytuacji zgodnie z prawem? Jeśli nie, czy istnieje za to jakakolwiek odpowiedzialność? Dziękuję.
Siergiej (starszy prawnik)
Witaj, Aleksandrze! Działania funkcjonariuszy policji są nielegalne, ponieważ zgodnie z Kodeksem postępowania karnego Federacji Rosyjskiej masz prawo zapoznać się ze wszystkimi materiałami kontroli, które Cię osobiście dotyczą. Takie działania funkcjonariuszy Policji co najmniej naruszają Kodeks postępowania karnego Federacji Rosyjskiej, co może stanowić podstawę do pociągnięcia ich do odpowiedzialności dyscyplinarnej.
Natalia
Cześć! W pracy sprawy się skomplikowały nieprzyjemna sytuacja!!! Mój bezpośredni przełożony zlecił mi wypisanie do protokołu informacji o imieniu i nazwisku, dacie urodzenia, miejscu zamieszkania i numerze telefonu z kart personalnych formularza T-2 poszczególnych pracowników. Wypisu dokonano w obecności pracownika personelu. Dyrektor prowadzi obecnie audyt wewnętrzny i stara się narzucić postępowanie dyscyplinarne za pracę z” sprawy osobiste". Nie są brane pod uwagę wyjaśnienia mojego szefa i moje - potrzebna jest "krew". Przy zatrudnieniu wszyscy pracownicy podpisują zgodę na przetwarzanie danych osobowych. Czy grozi mi wszczęcie postępowania dyscyplinarnego w przypadku wycofania informacji ustnym poleceniem bezpośredniego przełożonego? za wygenerowanie raportu. Ujawnianie informacji osobom trzecim nie leżało w moim OSOBIstym interesie! regulamin, aby zapewnić prowizję za ocenę wyników. Dziękuję!
Siergiej (starszy prawnik)
Witaj, Natalio! Formalnie ty i twoje bezpośredni przełożony naruszył prawo, gdyż dostęp do danych osobowych pracowników może być wyłącznie konkretny osoba upoważniona. Jest to przewidziane w art. 88 Kodeksu pracy Federacji Rosyjskiej. Dlatego, aby zbudować swoją pozycję obronną, musisz przestudiować wszystko dokumenty lokalne dotyczące danych osobowych i Twoich opis stanowiska oraz umowę o pracę.
Oksana
Cześć. W pracy zostawiłem CV na stole. Pracownica bez mojej wiedzy wzięła jeden egzemplarz i oddała go kierownikowi. Miesiąc później menadżerka powiedziała mi, że „przypadkowo” znalazła CV w Internecie, choć jest to kompletne kłamstwo, to podsumowanie Mam to tylko jako plik. Czy mogę pociągnąć pracownika do odpowiedzialności?
Siergiej (starszy prawnik)
Witaj Oksano! Nie ma podstaw do pociągnięcia pracownika do odpowiedzialności, gdyż celowo nie zebrała ona informacji na temat Twojego życia prywatnego i nie przekazała szerokiemu gronu osób uzyskanych informacji na Twój temat. Ponadto możliwość rozpowszechnienia Twoich danych osobowych powstała na skutek Twojego zaniedbania. A w sądzie nie będziesz w stanie udowodnić, że to ten pracownik przyjął i przekazał Twoje CV kierownictwu, chyba że sam się do tego przyzna.
Svetoana
Moja mama skontaktowała się z urzędem dzielnicy fundusz emerytalny otrzymać dodatek do emerytury. Tam powiedziano jej, że potrzebne są oryginały aktów urodzenia dzieci. Jednocześnie mówi się, że „jeśli to nie zadziała, to dokumenty zostaną wyrzucone”. Gdzie można pociągnąć pracownika do odpowiedzialności w przypadku utraty dokumentów? Może przy składaniu dokumentów trzeba? spisać listę dostarczonych dokumentów, bo inaczej nie będziesz w stanie udowodnić, że tam były. Jaka jest odpowiedzialność za utratę dokumentów?
Siergiej (starszy prawnik)
Witaj, Swietłano! Co najmniej fakt utraty dokumentów będzie stanowić przewinienie dyscyplinarne, za co winny musi zostać pociągnięty do odpowiedzialności przez swoich przełożonych, aż do zwolnienia włącznie. W najbardziej niekorzystnych przypadkach możesz spróbować pociągnąć urzędnika do odpowiedzialności karnej za zaniedbanie, ale jest to mało prawdopodobne, ponieważ konieczne będzie udowodnienie istnienia faktu spowodowania znaczne szkody prawa i interesy obywateli chronione przez prawo.
Irina
Cześć! Pracuję w prywatnej firmie. Na jednym z punktów kontrolnych zainstalowano kamerę monitoringu; w tym samym punkcie kontrolnym doszło do naruszenia reżimu kontroli dostępu. Pojawiłem się na nagraniu. Pracodawca zebrał wszystkich ochroniarzy i pokazał ten film! Czy jego działania są legalne? Podpisałem dokument dotyczący danych osobowych, ale 2 lata temu! Nikt nie pytał mnie o zgodę na obejrzenie tego filmu... Co mogę pokazać mojemu pracodawcy?
Siergiej (starszy prawnik)
Witaj, Irino! Nie ma żadnego naruszenia w działaniach pracodawcy, ponieważ ten film nie ujawnia żadnych Twoich danych osobowych. Ponadto wideo najprawdopodobniej nie uchwyci konkretnie Ciebie, ale punkt kontrolny, który jest w centrum uwagi. Dlatego szanse na pozwanie pracodawcy o coś są praktycznie zerowe.
talia
pracownik wpadł do mojego biura, nazwał mnie starą wiedźmą, wężem i życzył mi, abym przeszła na emeryturę i napiła się herbaty z mężem. Kierownik nie podaje mi adresu domowego tego pracownika, żebym mógł go wskazać oświadczenie o żądaniu o obrazę osobowości, powołując się na ochronę danych osobowych. Co powinienem zrobić?
Siergiej (starszy prawnik)
Cześć! Działania szefa są zgodne z prawem, ponieważ jego dane osobowe nie mogą zostać ujawnione bez zgody tej osoby. Aby uzyskać adres domowy można najpierw napisać oświadczenie na policję, która po wyjaśnieniach tej kobiety pozna jej adres domowy. Następnie możesz zapoznać się z materiałami weryfikacyjnymi.
Dmitrij
Cześć. Pracuję w systemie edukacji. Niedawno władze regionalne wydały powyższe instrukcje dotyczące gromadzenia informacji o rodzicach niektórych uczniów, imion i nazwisk oraz danych paszportowych w celu zrekompensowania kosztów wyżywienia w placówce. To dobrze, ale na ile legalne jest gromadzenie takich danych?
Siergiej (starszy prawnik)
Witaj, Dmitrij! Gromadzenie takich danych nie będzie wskazywało na jakiekolwiek nieprawidłowości, jeśli rodzice dobrowolnie zgodzą się na podanie takich informacji. Jeśli wyjaśnisz im, do jakich celów potrzebne są te informacje, myślę, że wszyscy rodzice zrozumieją cię poprawnie.
Olga
Cześć! Jestem głównym księgowym w przedsiębiorstwie. Pracownica zaciągnęła pożyczkę i oprócz własnego podała numer telefonu swojego zastępcy. Pożyczka nie została spłacona. Podczas kolejnej rozmowy w sprawie zadłużenia, pracownica zmiany podała mi prywatny numer telefonu komórkowego. Bez szkody. Teraz ściągają ode mnie kredyt. Ciągłe telefony i SMS-y. Nie reagują na moje wyjaśnienia. Nie mam absolutnie nic wspólnego z kredytami. Jak to zatrzymać? Co powiedzieć lub napisać do banku? Możliwe jest także pociągnięcie konkretnej osoby do odpowiedzialności za ujawnienie mojego numeru telefonu. Dziękuję!
Siergiej (starszy prawnik)
Witaj Olgo! Podczas kolejnej rozmowy telefonicznej możesz powiedzieć, że zwrócisz się do uprawnionych organów z oświadczeniem o pociągnięciu banku do odpowiedzialności administracyjnej za naruszenie przepisów o ochronie danych osobowych. Możesz także napisać do banku wniosek o zaprzestanie przetwarzania Twoich danych osobowych. Od pracownika, który zostawił Twój numer telefonu, możesz żądać w sądzie naprawienia szkody moralnej.
- Konfitura morelowa „Pyatiminutka” bez nasion: przygotowana szybko i smacznie
- Pomiar szybkości umysłowej i czasu reakcji
- Jak sprawdzić wyniki ujednoliconego egzaminu państwowego na podstawie danych paszportowych
- Wersja demonstracyjna części ustnej OGE w języku rosyjskim
- Wolfgang Amadeusz Mozart – biografia, zdjęcia, twórczość, życie osobiste kompozytora
- Liczby angielskie z transkrypcją i wymową rosyjską, edukacja, przykłady
- Udomowienie, czyli jak człowiek zmienił zwierzęta
- Prezentacja na temat „Kanada” Slajdy o Kanadzie w języku angielskim
- Czym jest Psałterz i dlaczego warto go czytać?
- Znaczenie słowa „dobry” w rosyjskiej prawosławnej literaturze teologicznej
- Wykresy i terminologia Rodzaje wierzchołków grafów
- Zapiekanka ziemniaczana z wątróbką Zapiekanka z wątróbki
- Najsmaczniejsze chude sałatki z kapusty pekińskiej: proste przepisy ze zdjęciami Prosta sałatka z kapustą pekińską i kukurydzą
- Dlaczego marzysz o czerwonej poduszce?
- Pomóż w interpretacji wymarzonej książki
- Wróżenie na fusach kawy
- Owsianka mleczna z wermiszelem
- Jak zrobić domowego szampana z liści winogron
- Pożyczka dla przedsiębiorców indywidualnych z zerową sprawozdawczością
- Rolada z mięsa mielonego z jajkami na twardo