Ustawa federalna nr 152 o danych osobowych. Federalna ustawa o danych osobowych

jesteś tutaj: Systemy podatkowe

FEDERACJA ROSYJSKA

PRAWO FEDERALNE

O DANYCH OSOBOWYCH

(ze zmianami wprowadzonymi ustawą federalną nr 266-FZ z dnia 25 listopada 2009 r.,

z dnia 27 grudnia 2009 r. nr 363-FZ, z dnia 28 czerwca 2010 r. nr 123-FZ,

z dnia 27 lipca 2010 r. nr 204-FZ, z dnia 27 lipca 2010 r. nr 227-FZ,

z dnia 29 listopada 2010 r. nr 313-FZ z dnia 23 grudnia 2010 r. nr 359-FZ,

z dnia 04.06.2011 nr 123-FZ, z dnia 25.07.2011 nr 261-FZ,

z dnia 05.04.2013 nr 43-FZ, z dnia 23.07.2013 nr 205-FZ)

Rozdział 1. POSTANOWIENIA OGÓLNE

Artykuł 1. Zakres niniejszej ustawy federalnej

1. Niniejsza ustawa federalna reguluje stosunki związane z przetwarzaniem danych osobowych przez organy rządu federalnego, organy rządowe podmiotów Federacji Rosyjskiej, inne organy rządowe (zwane dalej organami państwowymi), organy samorządu terytorialnego, inne organy miejskie (zwane dalej organami gmin), osoby prawne oraz osoby fizyczne korzystające z narzędzi automatyzacji, w tym w sieciach informatycznych i telekomunikacyjnych, albo bez użycia takich środków, jeżeli przetwarzanie danych osobowych bez użycia takich środków odpowiada charakterowi czynności (operacje) dokonywane na danych osobowych z wykorzystaniem narzędzi automatyzacji, tj. pozwalają, zgodnie z zadanym algorytmem, na wyszukiwanie danych osobowych zapisanych na nośniku materialnym i znajdujących się w szafach kartotekowych lub innych systematycznych zbiorach danych osobowych, oraz ( lub) dostępu do takich danych osobowych.

(Część 1 zmieniona ustawą federalną z dnia 25 lipca 2011 r. nr 261-FZ)

2. Niniejsza ustawa federalna nie ma zastosowania do stosunków powstałych, gdy:

1) przetwarzanie danych osobowych przez osoby fizyczne wyłącznie dla potrzeb osobistych i rodzinnych, chyba że naruszają prawa podmiotów danych osobowych;

2) organizowanie przechowywania, pozyskiwania, utrwalania i wykorzystywania dokumentów Funduszu Archiwalnego Federacji Rosyjskiej oraz innych dokumentów archiwalnych zawierających dane osobowe zgodnie z ustawodawstwem o sprawach archiwalnych Federacji Rosyjskiej;

3) utraciło ważność. - Ustawa federalna z dnia 25 lipca 2011 r. nr 261-FZ;

4) przetwarzanie danych osobowych niejawnych zgodnie z ustaloną procedurą jako informacja stanowiąca tajemnicę państwową;

5) udzielanie przez uprawnione organy informacji o działalności sądów Federacji Rosyjskiej zgodnie z ustawą federalną z dnia 22 grudnia 2008 r. nr 262-FZ „O zapewnieniu dostępu do informacji o działalności sądów Federacji Rosyjskiej”.

(Klauzula 5 wprowadzona ustawą federalną z dnia 28 czerwca 2010 r. nr 123-FZ)

Artykuł 2. Cel niniejszej ustawy federalnej

Celem tej ustawy federalnej jest zapewnienie ochrony praw i wolności człowieka i obywatela podczas przetwarzania jego danych osobowych, w tym ochrony prawa do prywatności, tajemnic osobistych i rodzinnych.

Artykuł 3. Podstawowe pojęcia stosowane w niniejszej ustawie federalnej

(zmieniona ustawą federalną nr 261-FZ z dnia 25 lipca 2011 r.)

Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:

1) dane osobowe – wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych);

2) operator – organ państwowy, organ gminy, osoba prawna lub fizyczna, samodzielnie lub wspólnie z innymi osobami organizujący i (lub) dokonujący przetwarzania danych osobowych, a także ustalający cele przetwarzania danych osobowych, skład danych osobowych, dane podlegające przetwarzaniu, czynności (operacje) transakcje dokonywane na danych osobowych;

3) przetwarzanie danych osobowych – oznacza każdą czynność (operację) lub zestaw czynności (operacji) dokonywaną przy użyciu narzędzi automatyzacji lub bez użycia takich środków na danych osobowych, obejmującą zbieranie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie) ), ekstrakcję, wykorzystanie, przekazywanie (dystrybucję, udostępnianie, dostęp), depersonalizację, blokowanie, usuwanie, niszczenie danych osobowych;

4) zautomatyzowane przetwarzanie danych osobowych – przetwarzanie danych osobowych przy wykorzystaniu technologii komputerowej;

5) rozpowszechnianie danych osobowych – działania zmierzające do udostępnienia danych osobowych nieokreślonej liczbie osób;

6) podanie danych osobowych – działania zmierzające do udostępnienia danych osobowych określonej osobie lub określonemu kręgowi osób;

7) blokowanie danych osobowych – czasowe zaprzestanie przetwarzania danych osobowych (z wyjątkiem przypadków, gdy przetwarzanie jest niezbędne do wyjaśnienia danych osobowych);

8) zniszczenie danych osobowych – działania, w wyniku których przywrócenie zawartości danych osobowych w systemie informatycznym danych osobowych staje się niemożliwe i (lub) w wyniku których ulegają zniszczeniu materialne nośniki danych osobowych;

9) depersonalizacja danych osobowych – działania, w wyniku których bez wykorzystania dodatkowych informacji staje się niemożliwe ustalenie własności danych osobowych wobec określonego podmiotu danych osobowych;

10) informatyczny system danych osobowych – zbiór danych osobowych zawartych w bazach danych oraz technologiach informatycznych i środkach technicznych zapewniających ich przetwarzanie;

11) transgraniczne przekazywanie danych osobowych – przekazanie danych osobowych na terytorium państwa obcego organowi państwa obcego, zagranicznej osobie fizycznej lub zagranicznej osobie prawnej.

Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w dziedzinie danych osobowych

1. Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych opiera się na Konstytucji Federacji Rosyjskiej oraz umowach międzynarodowych Federacji Rosyjskiej i składa się z niniejszej ustawy federalnej oraz innych ustaw federalnych określających przypadki i cechy przetwarzania danych osobowych .

2. Na podstawie i w wykonaniu ustaw federalnych organy państwowe, Bank Rosji, organy samorządu terytorialnego, w granicach swoich uprawnień, mogą uchwalać regulacyjne akty prawne, akty regulacyjne, akty prawne (zwane dalej regulacyjnymi aktami prawnymi) ustaw) w niektórych kwestiach związanych z przetwarzaniem danych osobowych. Akty takie nie mogą zawierać przepisów ograniczających prawa osób, których dane dotyczą, ustanawiających ograniczenia w działalności operatorów nieprzewidziane przez prawo federalne lub nakładających na operatorów obowiązki nieprzewidziane przez prawo federalne i podlegają urzędowej publikacji.

(Część 2 zmieniona ustawą federalną z dnia 25 lipca 2011 r. nr 261-FZ)

3. Cechy przetwarzania danych osobowych bez użycia narzędzi automatyzacji mogą być określone w ustawach federalnych i innych regulacyjnych aktach prawnych Federacji Rosyjskiej, z uwzględnieniem przepisów niniejszej ustawy federalnej.

4. Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia inne zasady niż przewidziane w niniejszej ustawie federalnej, stosuje się zasady umowy międzynarodowej.

Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:

1) dane osobowe – wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych);

4) zautomatyzowane przetwarzanie danych osobowych – przetwarzanie danych osobowych przy wykorzystaniu technologii komputerowej;

5) rozpowszechnianie danych osobowych – działania zmierzające do udostępnienia danych osobowych nieokreślonej liczbie osób;

6) podanie danych osobowych – działania zmierzające do udostępnienia danych osobowych określonej osobie lub określonemu kręgowi osób;

7) blokowanie danych osobowych – czasowe zaprzestanie przetwarzania danych osobowych (z wyjątkiem przypadków, gdy przetwarzanie jest niezbędne do wyjaśnienia danych osobowych);

10) informatyczny system danych osobowych – zbiór danych osobowych zawartych w bazach danych oraz technologiach informatycznych i środkach technicznych zapewniających ich przetwarzanie;

Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w dziedzinie danych osobowych

4. Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia inne zasady niż przewidziane w niniejszej ustawie federalnej, stosuje się zasady umowy międzynarodowej.

Rozdział 2. ZASADY I WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH

Artykuł 5. Zasady przetwarzania danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Przetwarzanie danych osobowych musi odbywać się w sposób zgodny z prawem i rzetelny.

2. Przetwarzanie danych osobowych musi ograniczać się do osiągnięcia konkretnych, z góry określonych i prawnie uzasadnionych celów. Przetwarzanie danych osobowych niezgodne z celami gromadzenia danych osobowych jest niedozwolone.

3. Niedopuszczalne jest łączenie baz danych zawierających dane osobowe, których przetwarzanie odbywa się w celach niezgodnych ze sobą.

4. Przetwarzaniu podlegają wyłącznie dane osobowe, które odpowiadają celom ich przetwarzania.

5. Treść i objętość przetwarzanych danych osobowych musi odpowiadać podanym celom przetwarzania. Przetwarzane dane osobowe nie powinny być zbędne w stosunku do podanych celów ich przetwarzania.

6. Przetwarzając dane osobowe należy zapewnić prawidłowość danych osobowych, ich wystarczalność oraz, jeżeli to konieczne, adekwatność w stosunku do celów przetwarzania danych osobowych. Operator musi podjąć niezbędne środki lub zapewnić ich podjęcie w celu usunięcia lub wyjaśnienia niekompletnych lub niedokładnych danych.

7. Przechowywanie danych osobowych musi odbywać się w formie umożliwiającej identyfikację podmiotu danych osobowych, nie dłużej niż jest to wymagane ze względu na cele przetwarzania danych osobowych, chyba że okres przechowywania danych osobowych jest określony w prawie federalnym , umowy, której podmiotem danych osobowych jest strona, beneficjent lub gwarant danych. Przetwarzane dane osobowe podlegają zniszczeniu lub depersonalizacji po osiągnięciu celów przetwarzania lub w przypadku utraty konieczności realizacji tych celów, chyba że prawo federalne stanowi inaczej.

Artykuł 6. Warunki przetwarzania danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami i regułami przewidzianymi w niniejszej ustawie federalnej. Przetwarzanie danych osobowych jest dozwolone w następujących przypadkach:

1) przetwarzanie danych osobowych odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych;

2) przetwarzanie danych osobowych jest niezbędne do osiągnięcia celów przewidzianych w umowie międzynarodowej Federacji Rosyjskiej lub prawie, w celu realizacji i wypełnienia funkcji, uprawnień i obowiązków przypisanych operatorowi przez ustawodawstwo Federacji Rosyjskiej;

3) przetwarzanie danych osobowych odbywa się w związku z udziałem osoby w postępowaniu konstytucyjnym, cywilnym, administracyjnym, karnym, postępowaniu przed sądami polubownymi; (zmieniona ustawą federalną z dnia 29 lipca 2017 r. N 223-FZ)

3.1) przetwarzanie danych osobowych jest niezbędne do wykonania czynności sądowej, czynności innego organu lub urzędnika, podlegającej wykonaniu zgodnie z ustawodawstwem Federacji Rosyjskiej dotyczącym postępowania egzekucyjnego (zwanego dalej wykonaniem czynności sądowej) ); (zmieniona ustawą federalną z dnia 29 lipca 2017 r. N 223-FZ)

4) przetwarzanie danych osobowych jest niezbędne do wykonywania uprawnień federalnych organów wykonawczych, organów państwowych funduszy pozabudżetowych, organów wykonawczych organów państwowych podmiotów Federacji Rosyjskiej, organów samorządu terytorialnego oraz funkcji organizacji zaangażowani w świadczenie odpowiednio usług państwowych i komunalnych, przewidzianych w ustawie federalnej z dnia 27 lipca 2010 r. N 210-FZ „O organizacji świadczenia usług państwowych i komunalnych”, w tym rejestracji przedmiotu danych osobowych na jednym portalu służb państwowych i gminnych i (lub) portalach regionalnych służb państwowych i gminnych; (zmieniona ustawą federalną z dnia 5 kwietnia 2013 r. N 43-FZ)

5) przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której podmiot danych osobowych jest stroną, beneficjentem lub poręczycielem, a także do zawarcia umowy z inicjatywy podmiotu danych osobowych lub umowy, na podstawie której podmiotem danych osobowych będzie beneficjent lub poręczyciel; (zmienione ustawą federalną z dnia 21 grudnia 2013 r. N 363-FZ, z dnia 3 lipca 2016 r. N 231-FZ)

6) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

7) przetwarzanie danych osobowych jest niezbędne do wykonywania praw i uzasadnionych interesów operatora lub osób trzecich, w tym w przypadkach przewidzianych w ustawie federalnej „W sprawie ochrony praw i uzasadnionych interesów osób fizycznych podczas wykonywania czynności mających na celu spłatę zaległe długi oraz o zmianie ustawy federalnej „O działalności mikrofinansowej i organizacjach mikrofinansowych” lub w celu osiągnięcia ważnych społecznie celów, pod warunkiem nienaruszania praw i wolności podmiotu danych osobowych; (zmieniona ustawą federalną z dnia 3 lipca 2016 r. N 231-FZ)

8) przetwarzanie danych osobowych jest niezbędne do wykonywania działalności zawodowej dziennikarza i (lub) zgodnej z prawem działalności środka masowego przekazu lub działalności naukowej, literackiej lub innej twórczej, pod warunkiem że nie naruszają praw i uzasadnionych interesów podmiotu danych osobowych nie są naruszane;

9) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach badawczych, z wyjątkiem celów określonych w niniejszej ustawie federalnej, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

10) odbywa się przetwarzanie danych osobowych, do których dostęp zapewnia nieograniczona liczba osób przez podmiot danych osobowych lub na jego wniosek (zwane dalej danymi osobowymi udostępnianymi publicznie przez podmiot danych osobowych);

11) odbywa się przetwarzanie danych osobowych podlegających publikacji lub obowiązkowemu ujawnieniu zgodnie z prawem federalnym.

1.1. Przetwarzanie danych osobowych obiektów ochrony państwa i członków ich rodzin odbywa się z uwzględnieniem cech przewidzianych w ustawie federalnej z dnia 27 maja 1996 r. N 57-FZ „O ochronie państwa”.

(zmieniona ustawą federalną z dnia 1 lipca 2017 r. N 148-FZ)

3. Operator ma prawo powierzyć przetwarzanie danych osobowych innej osobie za zgodą podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej, na podstawie umowy zawartej z tą osobą, w tym stanową lub gminną umową albo poprzez przyjęcie odpowiedniej ustawy przez organ państwowy lub gminny (dalej – instrukcje operatora). Osoba przetwarzająca dane osobowe w imieniu operatora jest zobowiązana do przestrzegania zasad i zasad przetwarzania danych osobowych przewidzianych w niniejszej ustawie federalnej. Instrukcje operatora muszą określać listę działań (operacji) na danych osobowych, jakie będą dokonywane przez osobę przetwarzającą dane osobowe oraz cele przetwarzania, na tej osobie musi zostać ustanowiony obowiązek zachowania poufności danych osobowych i zapewnienia należy określić bezpieczeństwo danych osobowych podczas ich przetwarzania, a także wymagania dotyczące ochrony przetwarzanych danych osobowych zgodnie z niniejszą ustawą federalną.

4. Osoba przetwarzająca dane osobowe w imieniu operatora nie ma obowiązku uzyskiwania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych.

5. Jeżeli operator powierza przetwarzanie danych osobowych innej osobie, operator odpowiada wobec podmiotu danych osobowych za działania wskazanej osoby. Odpowiedzialność przed operatorem ponosi osoba przetwarzająca dane osobowe w imieniu operatora. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Operatorzy i inne osoby mające dostęp do danych osobowych są zobowiązane do nieujawniania osobom trzecim ani rozpowszechniania danych osobowych bez zgody podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej.”

Art. 8. Publicznie dostępne źródła danych osobowych

1. W celu wsparcia informacyjnego mogą być tworzone publicznie dostępne źródła danych osobowych (w tym spisy telefonów, książki adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimię, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe podawane przez podmiot danych osobowych. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

2. Informacje o przedmiocie danych osobowych muszą być w każdej chwili wyłączone z publicznie dostępnych źródeł danych osobowych na żądanie podmiotu danych osobowych lub na mocy orzeczenia sądu lub innego uprawnionego organu państwowego. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Art. 9. Zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Osoba, której dane dotyczą, decyduje się na podanie swoich danych osobowych i wyraża zgodę na ich przetwarzanie dobrowolnie, z własnej woli i we własnym interesie. Zgoda na przetwarzanie danych osobowych musi być konkretna, świadoma i świadoma. Zgoda na przetwarzanie danych osobowych może zostać wyrażona przez podmiot danych osobowych lub jego przedstawiciela w dowolnej formie umożliwiającej potwierdzenie faktu ich otrzymania, chyba że prawo federalne stanowi inaczej. W przypadku uzyskania zgody na przetwarzanie danych osobowych od przedstawiciela podmiotu danych osobowych, uprawnienia tego przedstawiciela do wyrażenia zgody w imieniu podmiotu danych osobowych są weryfikowane przez operatora.

2. Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez podmiot danych osobowych. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie danych osobowych, operator ma prawo kontynuować przetwarzanie danych osobowych bez zgody podmiotu danych osobowych, jeżeli zachodzą podstawy określone w ust. – część 1 art. 6, art. 10 oraz art. 11 niniejszej ustawy federalnej.

3. Obowiązek przedstawienia dowodu uzyskania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych lub dowodu istnienia podstaw określonych w art. 6 ust. - część 1, art. 10 i art. 11 niniejszej ustawy federalnej Prawo należy do operatora.

4. W przypadkach przewidzianych przez prawo federalne przetwarzanie danych osobowych odbywa się wyłącznie za pisemną zgodą podmiotu danych osobowych. Zgoda w formie dokumentu elektronicznego podpisanego zgodnie z prawem federalnym za pomocą podpisu elektronicznego jest uznawana za równoznaczną ze zgodą zawierającą własnoręczny podpis osoby, której dane dotyczą, w formie pisemnej na papierze. Pisemna zgoda osoby, której dane osobowe są przetwarzane, musi zawierać w szczególności:

1) nazwisko, imię, patronimik, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym;

2) nazwisko, imię, patronimik, adres przedstawiciela podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym, dane dotyczące uprawnień pełnomocnik lub inny dokument potwierdzający uprawnienia tego przedstawiciela (po uzyskaniu zgody przedstawiciela podmiotu danych osobowych);

3) imię lub nazwisko, imię, patronimikę i adres podmiotu otrzymującego zgodę podmiotu danych osobowych;

4) cel przetwarzania danych osobowych;

5) wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;

6) imię lub nazwisko, imię, patronimikę i adres osoby przetwarzającej dane osobowe w imieniu operatora, jeżeli przetwarzanie będzie powierzone takiej osobie;

7) wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów stosowanych przez operatora przy przetwarzaniu danych osobowych;

8) okres obowiązywania zgody podmiotu danych osobowych oraz sposób jej wycofania, chyba że prawo federalne stanowi inaczej;

9) podpis podmiotu danych osobowych.

5. Procedura uzyskania w formie dokumentu elektronicznego zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych w celu świadczenia usług państwowych i komunalnych oraz usług niezbędnych i obowiązkowych świadczenie usług państwowych i komunalnych ustanawia Rząd Federacji Rosyjskiej.

6. W przypadku niezdolności podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyraża przedstawiciel ustawowy podmiotu danych osobowych.

7. W przypadku śmierci podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyrażają spadkobiercy podmiotu danych osobowych, jeżeli podmiot danych osobowych takiej zgody nie wyraził za życia .

8. Dane osobowe operator może pozyskać od osoby niebędącej podmiotem danych osobowych, pod warunkiem przedstawienia operatorowi potwierdzenia o istnieniu podstaw, o których mowa w ust. 6 część 1, art. 10 i art. 11 tej ustawy federalnej.

Artykuł 10. Szczególne kategorie danych osobowych

1. Niedozwolone jest przetwarzanie szczególnych kategorii danych osobowych dotyczących rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, stanu zdrowia, życia intymnego, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.

2. Przetwarzanie szczególnych kategorii danych osobowych, o których mowa w ust. 1 niniejszego artykułu, jest dozwolone w przypadkach, gdy:

1) podmiot danych osobowych wyraził pisemną zgodę na przetwarzanie swoich danych osobowych;

2) dane osobowe są udostępniane publicznie przez podmiot danych osobowych; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

2.1) przetwarzanie danych osobowych jest niezbędne w związku z realizacją umów międzynarodowych Federacji Rosyjskiej o readmisji; (zmieniona ustawą federalną z dnia 25 listopada 2009 r. N 266-FZ)

2.2) przetwarzanie danych osobowych odbywa się zgodnie z ustawą federalną z dnia 25 stycznia 2002 r. N 8-FZ „O ogólnorosyjskim spisie ludności”; (zmieniona ustawą federalną z dnia 27 lipca 2010 r. N 204-FZ)

2.3) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem dotyczącym państwowej pomocy społecznej, prawem pracy, ustawodawstwem emerytalnym Federacji Rosyjskiej; (zmienione ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ, z dnia 21 lipca 2014 r. N 216-FZ)

3) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych lub życia, zdrowia lub innych żywotnych interesów innych osób, a uzyskanie zgody podmiotu danych osobowych jest niemożliwe; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

4) przetwarzanie danych osobowych odbywa się w celach leczniczych i profilaktycznych, w celu postawienia diagnozy lekarskiej, świadczenia usług medycznych, medycznych i społecznych, pod warunkiem że przetwarzania danych osobowych dokonuje osoba zawodowo zajmująca się działalnością leczniczą i zobowiązany zgodnie z ustawodawstwem Federacji Rosyjskiej do zachowania tajemnicy lekarskiej;

5) przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej odbywa się przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej, dla osiągnięcia celów prawnych przewidzianych przez ich dokumenty założycielskie, z zastrzeżeniem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

6) przetwarzanie danych osobowych jest niezbędne do ustalenia lub wykonywania praw podmiotu danych osobowych lub osób trzecich, a także w związku z sprawowaniem wymiaru sprawiedliwości; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

7) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej dotyczącym obronności, bezpieczeństwa, zwalczania terroryzmu, bezpieczeństwa transportu, zwalczania korupcji, operacyjnych czynności dochodzeniowych, postępowania egzekucyjnego oraz władzy karnej ustawodawstwo Federacji Rosyjskiej; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

7.1) przetwarzanie danych osobowych otrzymanych w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej odbywa się przez organy prokuratury w związku z wykonywaniem przez nie nadzoru prokuratorskiego; (zmieniona ustawą federalną z dnia 23 lipca 2013 r. N 205-FZ)

8) przetwarzanie danych osobowych odbywa się zgodnie z przepisami o obowiązkowych rodzajach ubezpieczeń, z przepisami ubezpieczeniowymi; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

9) przetwarzanie danych osobowych odbywa się w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej, organy państwowe, organy miejskie lub organizacje w celu umieszczenia dzieci pozostawionych bez opieki rodzicielskiej w rodzinach obywateli; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

10) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej dotyczącym obywatelstwa Federacji Rosyjskiej. (zmieniona ustawą federalną z dnia 4 czerwca 2014 r. N 142-FZ)

3. Przetwarzania danych osobowych znajdujących się w rejestrze karnym mogą dokonywać organy państwowe lub samorządowe w zakresie uprawnień przyznanych im zgodnie z ustawodawstwem Federacji Rosyjskiej, a także inne osoby w przypadkach i w sposób określony w art. zgodnie z prawem federalnym.

4. Przetwarzanie szczególnych kategorii danych osobowych w przypadkach przewidzianych w ust. 2 i 3 niniejszego artykułu należy natychmiast przerwać, jeżeli ustaną przyczyny, dla których przeprowadzono przetwarzanie, chyba że prawo federalne stanowi inaczej. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Artykuł 11. Biometryczne dane osobowe (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Informacje charakteryzujące cechy fizjologiczne i biologiczne osoby, na podstawie których można ustalić jej tożsamość (biometryczne dane osobowe) i które służą operatorowi do ustalenia tożsamości podmiotu danych osobowych, mogą być udostępniane wyłącznie przetwarzane za pisemną zgodą podmiotu danych osobowych, z wyjątkiem przypadków przewidzianych w części 2 niniejszego artykułu.

2. Przetwarzanie biometrycznych danych osobowych może odbywać się bez zgody podmiotu danych osobowych w związku z realizacją umów międzynarodowych Federacji Rosyjskiej o readmisji, w związku z sprawowaniem wymiaru sprawiedliwości i wykonywaniem czynności sądowych, w w związku z obowiązkową państwową rejestracją odcisków palców, a także w przypadkach przewidzianych przez prawo Federacji Rosyjskiej dotyczące obronności, bezpieczeństwa, zwalczania terroryzmu, bezpieczeństwa transportu, zwalczania korupcji, operacyjnej działalności dochodzeniowej, służby publicznej, ustawodawstwa karnego Federacji Rosyjskiej, ustawodawstwo Federacji Rosyjskiej dotyczące procedury opuszczania Federacji Rosyjskiej i wjazdu na terytorium Federacji Rosyjskiej, dotyczące obywatelstwa Federacji Rosyjskiej. (zmienione ustawą federalną z dnia 4 czerwca 2014 r. N 142-FZ, z dnia 31 grudnia 2017 r. N 498-FZ)

Artykuł 12. Transgraniczne przekazywanie danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Transgraniczne przekazywanie danych osobowych na terytorium państw obcych będących stronami Konwencji Rady Europy o ochronie osób fizycznych w przypadku automatycznego przetwarzania danych osobowych, a także innych państw obcych zapewniających odpowiednią ochronę praw osób osób, których dane osobowe dotyczą, odbywa się zgodnie z niniejszą ustawą federalną i może być zabronione lub ograniczone w celu ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, moralności, zdrowia, praw i uzasadnionych interesów obywateli, zapewnienia obrony kraju i bezpieczeństwa państwa.

2. Upoważniony organ ochrony praw osób, których dane osobowe dotyczą, zatwierdza wykaz państw obcych niebędących stronami Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych i zapewniających odpowiednią ochronę prawa osób, których dane osobowe dotyczą. Państwo niebędące stroną Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych może zostać umieszczone na liście państw obcych zapewniających odpowiednią ochronę praw osób, których dane dotyczą, pod warunkiem, że postanowienia tej Konwencji odpowiadają przepisom prawa obowiązującym w danym państwie oraz zastosowanym środkom bezpieczeństwa danych osobowych.

3. Operator ma obowiązek upewnić się, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, zapewnia odpowiednią ochronę praw podmiotów danych osobowych przed rozpoczęciem transgranicznego przekazywania danych osobowych.

4. Transgraniczne przekazywanie danych osobowych na terytorium obcych państw, które nie zapewniają odpowiedniej ochrony praw osób, których dane dotyczą, może nastąpić w następujących przypadkach:

1) obecność pisemnej zgody podmiotu danych osobowych na transgraniczne przekazywanie jego danych osobowych;

2) przewidziane w umowach międzynarodowych Federacji Rosyjskiej;

3) przewidziane w ustawach federalnych, jeżeli jest to niezbędne dla ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, zapewnienia obronności kraju i bezpieczeństwa państwa, a także zapewnienia bezpieczeństwa trwałego i bezpiecznego funkcjonowania kompleksu transportowego chronić interesy jednostki, społeczeństwa i państwa w zakresie kompleksu transportowego przed aktami nielegalnej ingerencji;

4) wykonania umowy, której stroną jest podmiot danych osobowych;

5) ochrona życia, zdrowia i innych żywotnych interesów podmiotu danych osobowych lub innych osób, jeżeli nie jest możliwe uzyskanie pisemnej zgody podmiotu danych osobowych.

Artykuł 13. Cechy przetwarzania danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych

1. Organy państwowe i samorządowe tworzą, w granicach swoich uprawnień ustanowionych na podstawie ustaw federalnych, państwowe lub gminne systemy informacyjne danych osobowych.

2. Ustawy federalne mogą ustanawiać funkcje rejestrowania danych osobowych w stanowych i gminnych systemach informacji o danych osobowych, w tym stosowanie różnych sposobów wskazywania własności danych osobowych zawartych w odpowiednim stanowym lub gminnym systemie informacji o danych osobowych do określonego podmiotu danych osobowych dane.

3. Prawa i wolności człowieka i obywatela nie mogą być ograniczone z przyczyn związanych ze stosowaniem różnych sposobów przetwarzania danych osobowych lub z wyznaczeniem własności danych osobowych zawartych w państwowych lub gminnych systemach teleinformatycznych danych osobowych na określony podmiot danych osobowych. dane. Niedopuszczalne jest stosowanie metod obrażających uczucia obywateli lub uwłaczających godności ludzkiej w celu wskazania, że dane osobowe zawarte w państwowych lub gminnych systemach teleinformatycznych danych osobowych należą do określonego podmiotu danych osobowych.

4. W celu zapewnienia realizacji praw osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych w państwowych lub gminnych systemach teleinformatycznych, można utworzyć państwowy rejestr ludności, którego status prawny i tryb z którymi współpracujemy, są określone przez prawo federalne.

Rozdział 3. PRAWA PODMIOTU DANYCH OSOBOWYCH

Artykuł 14. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Podmiot danych osobowych ma prawo otrzymać informacje określone w ust. 7 niniejszego artykułu, z wyjątkiem przypadków przewidzianych w ust. 8 tego artykułu. Podmiot danych osobowych ma prawo żądać od operatora wyjaśnienia swoich danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, niedokładne, uzyskane nielegalnie lub nie są niezbędne do podanego celu przetwarzania, a także jak podjąć środki przewidziane przez prawo w celu ochrony swoich praw.

2. Informacje, o których mowa w ust. 7 niniejszego artykułu, muszą być przekazane podmiotowi danych osobowych przez operatora w przystępnej formie i nie powinny zawierać danych osobowych dotyczących innych podmiotów danych osobowych, chyba że zachodzą podstawy prawne do ich ujawnienia takie dane osobowe.

3. Informacje określone w części 7 niniejszego artykułu są udzielane podmiotowi danych osobowych lub jego przedstawicielowi przez operatora na wniosek lub po otrzymaniu wniosku od podmiotu danych osobowych lub jego przedstawiciela. Żądanie musi zawierać numer głównego dokumentu identyfikującego podmiot danych osobowych lub jego przedstawiciela, informację o dacie wystawienia określonego dokumentu i organie wydającym, informację potwierdzającą udział podmiotu danych osobowych w relacjach z operatorem (numer umowy, data zawarcia umowy, umowne oznaczenie słowne i (lub) inne informacje) lub informacja w inny sposób potwierdzająca fakt przetwarzania danych osobowych przez operatora, podpis podmiotu danych osobowych lub jego przedstawiciela. Wniosek może zostać przesłany w formie dokumentu elektronicznego i opatrzony podpisem elektronicznym zgodnie z ustawodawstwem Federacji Rosyjskiej.

4. Jeżeli informacje określone w ust. 7 niniejszego artykułu, a także przetwarzane dane osobowe zostały przekazane podmiotowi danych osobowych do wglądu na jego żądanie, podmiot danych osobowych ma prawo ponownie skontaktować się z operatorem lub wyślij mu powtórną prośbę w celu uzyskania informacji określonych w części 7 tego artykułu i zapoznaj się z tymi danymi osobowymi nie wcześniej niż trzydzieści dni od złożenia wstępnego wniosku lub wysłania wstępnego wniosku, chyba że prawo federalne przewiduje krótszy okres , regulacyjny akt prawny przyjęty zgodnie z nim lub umowa, której jest stroną, beneficjentem lub gwarantem, którego dotyczą dane osobowe.

5. Podmiot danych osobowych ma prawo ponownie skontaktować się z operatorem lub skierować do niego powtórne żądanie w celu uzyskania informacji, o których mowa w ust. 7 niniejszego artykułu, a także w celu zapoznania się z przetwarzanymi danymi osobowymi przed wygaśnięciem okresu określonego w części 4 tego artykułu, w przypadku gdy takie informacje i (lub) przetwarzane dane osobowe nie zostały mu przekazane do wglądu w całości na podstawie wyników rozpatrzenia wniosku wstępnego. Ponowne żądanie wraz z informacjami określonymi w części 3 niniejszego artykułu musi zawierać uzasadnienie przesłania powtórnego żądania.

6. Operator ma prawo odmówić podmiotowi danych osobowych realizacji powtórnego żądania, które nie spełnia warunków przewidzianych w ust. 4 i 5 niniejszego artykułu. Taka odmowa musi być uzasadniona. Obowiązek przedstawienia dowodu zasadności odmowy spełnienia powtórnego żądania spoczywa na Operatorze.

7. Osoba, której dane dotyczą, ma prawo otrzymać informację dotyczącą przetwarzania jej danych osobowych, w tym zawierającą:

1) potwierdzenie faktu przetwarzania danych osobowych przez operatora;

2) podstawy prawne i cele przetwarzania danych osobowych;

3) cele i sposoby przetwarzania danych osobowych, z których korzysta operator;

4) nazwę i lokalizację operatora, informacje o osobach (z wyjątkiem pracowników operatora), które mają dostęp do danych osobowych lub którym dane osobowe mogą zostać ujawnione na podstawie umowy z operatorem lub na podstawie prawa federalnego;

5) przetwarzane dane osobowe związane z przedmiotem danych osobowych, źródłem ich otrzymania, chyba że prawo federalne przewiduje inny sposób przedstawiania tych danych;

6) zasady przetwarzania danych osobowych, w tym okresy ich przechowywania;

7) tryb korzystania przez podmiot danych osobowych z praw przewidzianych w niniejszej ustawie federalnej;

8) informację o dokonanym lub zamiarze transgranicznego przekazania danych;

9) imię lub nazwisko, imię, patronimikę i adres osoby przetwarzającej dane osobowe w imieniu operatora, jeżeli przetwarzanie zostało lub zostanie powierzone takiej osobie;

10) inne informacje przewidziane w niniejszej ustawie federalnej lub innych ustawach federalnych.

8. Prawo podmiotu danych osobowych do dostępu do jego danych osobowych może zostać ograniczone zgodnie z przepisami federalnymi, w tym jeżeli:

1) przetwarzanie danych osobowych, w tym danych osobowych uzyskanych w wyniku poszukiwań operacyjnych, działań kontrwywiadowczych i wywiadowczych, odbywa się na potrzeby obronności państwa, bezpieczeństwa państwa oraz egzekwowania prawa;

2) przetwarzanie danych osobowych odbywa się przez organy, które zatrzymały podmiot danych osobowych w związku z podejrzeniem popełnienia przestępstwa lub postawiły podmiotowi danych osobowych zarzut w sprawie karnej lub zastosowały wobec podmiotu środek zapobiegawczy dane przed postawieniem zarzutów, z wyjątkiem przypadków przewidzianych w przepisach postępowania karnego Federacji Rosyjskiej, w których podejrzany lub oskarżony może zapoznać się z takimi danymi osobowymi;

3) przetwarzanie danych osobowych odbywa się zgodnie z przepisami dotyczącymi zwalczania legalizacji (prania) dochodów z przestępstwa oraz finansowania terroryzmu;

4) dostęp osoby, której dane dotyczą, do jej danych osobowych narusza prawa i uzasadnione interesy osób trzecich;

5) przetwarzanie danych osobowych odbywa się w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej dotyczące bezpieczeństwa transportu, w celu zapewnienia zrównoważonego i bezpiecznego funkcjonowania kompleksu transportowego, ochrony interesów jednostki, społeczeństwa i państwa na terenie kompleksu transportowego przed aktami nielegalnej ingerencji.

Artykuł 15. Prawa osób, których dane osobowe przetwarzają w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej

1. Przetwarzanie danych osobowych w celu promocji towarów, robót, usług na rynku poprzez nawiązywanie bezpośrednich kontaktów z potencjalnymi konsumentami za pomocą środków komunikacji, a także w celach propagandy politycznej, jest dozwolone wyłącznie za uprzednią zgodą przedmiot danych osobowych. Określone przetwarzanie danych osobowych uznaje się za dokonane bez uprzedniej zgody podmiotu danych osobowych, chyba że operator udowodni, że taką zgodę uzyskał.

2. Operator ma obowiązek niezwłocznie zaprzestać, na żądanie osoby, której dane dotyczą, przetwarzania jej danych osobowych, o którym mowa w ust. 1 niniejszego artykułu.

Artykuł 16. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych

1. Zabronione jest podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszających jego prawa i prawnie uzasadnione interesy, z wyjątkiem przypadków przewidzianych w części 2 niniejszego Regulaminu. artykuł.

2. Decyzja wywołująca skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób wpływająca na jego prawa i uzasadnione interesy może zostać podjęta na podstawie wyłącznie zautomatyzowanego przetwarzania jego danych osobowych wyłącznie za pisemną zgodą podmiotu danych osobowych lub w przypadkach przewidzianych przez przepisy federalne, które ustanawiają również środki zapewniające poszanowanie praw i uzasadnionych interesów podmiotu danych osobowych.

3. Operator ma obowiązek wyjaśnić osobie, której dane dotyczą, sposób podjęcia decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu jej danych osobowych oraz ewentualnych skutkach prawnych takiej decyzji, zapewnić możliwość wniesienia sprzeciwu od takiej decyzji, a także wyjaśnić procedurę obowiązującą osobę, której dane dotyczą, w celu ochrony jej praw i uzasadnionych interesów.

4. Operator ma obowiązek rozpatrzyć sprzeciw, o którym mowa w ust. 3 niniejszego artykułu, w terminie trzydziestu dni od dnia jego otrzymania i powiadomić podmiot danych osobowych o wynikach rozpatrzenia takiego sprzeciwu. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Artykuł 17. Prawo do skargi na działania lub zaniechania operatora

1. Jeżeli podmiot danych osobowych uważa, że operator przetwarza jego dane osobowe z naruszeniem wymogów niniejszej ustawy federalnej lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo odwołać się od działań lub bierności podmiotu operatora do upoważnionego organu ochrony praw osób, których dane dotyczą, lub do postępowania sądowego.

2. Podmiot danych osobowych ma prawo do ochrony swoich praw i uzasadnionych interesów, w tym naprawienia strat i (lub) naprawienia szkody moralnej przed sądem.

Rozdział 4. OBOWIĄZKI OPERATORA

Artykuł 18. Obowiązki operatora przy zbieraniu danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Zbierając dane osobowe, operator jest zobowiązany do udzielenia podmiotowi danych osobowych, na jego żądanie, informacji przewidzianych w art. 14 niniejszej ustawy federalnej.

2. Jeżeli podanie danych osobowych jest obowiązkowe zgodnie z prawem federalnym, operator ma obowiązek wyjaśnić podmiotowi danych osobowych skutki prawne odmowy udostępnienia jego danych osobowych.

3. W przypadku nieotrzymania danych osobowych od podmiotu danych osobowych, operator, z wyjątkiem przypadków przewidzianych w ust. 4 niniejszego artykułu, przed rozpoczęciem przetwarzania tych danych osobowych jest obowiązany przekazać podmiotowi danych osobowych następujące informacje:

1) imię lub nazwisko, imię, patronimikę i adres operatora lub jego przedstawiciela;

2) cel przetwarzania danych osobowych i jego podstawa prawna;

3) zamierzeni użytkownicy danych osobowych;

4) prawa podmiotu danych osobowych określone w niniejszej ustawie federalnej;

5) źródło pozyskania danych osobowych.

4. Operator jest zwolniony z obowiązku przekazania podmiotowi danych osobowych informacji, o których mowa w ust. 3 niniejszego artykułu, w przypadku gdy:

1) podmiot danych osobowych został powiadomiony o przetwarzaniu jego danych osobowych przez odpowiedniego operatora;

2) dane osobowe zostały otrzymane przez operatora na podstawie prawa federalnego lub w związku z realizacją umowy, której podmiotem danych osobowych jest strona, beneficjent lub poręczyciel;

3) dane osobowe są udostępniane publicznie przez podmiot danych osobowych lub pozyskiwane z publicznie dostępnego źródła;

4) operator przetwarza dane osobowe w celach statystycznych lub innych celach badawczych, w celu wykonywania działalności zawodowej dziennikarza lub działalności naukowej, literackiej lub innej działalności twórczej, chyba że naruszają prawa i uzasadnione interesy podmiotu danych osobowych;

5) podanie podmiotowi danych osobowych informacji, o których mowa w ust. 3 niniejszego artykułu, narusza prawa i uzasadnione interesy osób trzecich.

5. Gromadząc dane osobowe, w tym za pośrednictwem sieci informacyjno-telekomunikacyjnej „Internet”, operator ma obowiązek zapewnić utrwalanie, usystematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), odzyskiwanie danych osobowych obywateli Federacji Rosyjskiej za pomocą baz danych zlokalizowane na terytorium Federacji Rosyjskiej, z wyjątkiem przypadków określonych w paragrafach , , część 1 artykułu 6 niniejszej ustawy federalnej. (zmieniona ustawą federalną z dnia 21 lipca 2014 r. N 242-FZ)

Artykuł 18.1. Środki mające na celu zapewnienie, że operator wywiąże się z obowiązków przewidzianych w niniejszej ustawie federalnej (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Operator jest zobowiązany do podjęcia niezbędnych i wystarczających środków, aby zapewnić wypełnienie obowiązków przewidzianych w niniejszej ustawie federalnej i regulacyjnych aktach prawnych przyjętych zgodnie z nią. Operator samodzielnie określa skład i listę środków niezbędnych i wystarczających, aby zapewnić wypełnienie obowiązków przewidzianych w niniejszej ustawie federalnej i regulacyjnych aktach prawnych przyjętych zgodnie z nią, chyba że niniejsza ustawa federalna lub inne przepisy federalne stanowią inaczej. Środki takie mogą obejmować w szczególności:

1) wyznaczenie przez operatora będącego osobą prawną odpowiedzialnego za organizację przetwarzania danych osobowych;

2) publikację przez operatora będącego osobą prawną dokumentów określających politykę operatora w zakresie przetwarzania danych osobowych, miejscowych ustaw o przetwarzaniu danych osobowych, a także lokalnych aktów prawnych ustanawiających procedury mające na celu zapobieganie i identyfikację naruszeń przepisów prawa Federacja Rosyjska, eliminując konsekwencje takich naruszeń;

3) zastosowanie środków prawnych, organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z niniejszą ustawą federalną;

4) wdrożenie kontroli wewnętrznej i (lub) audyt zgodności przetwarzania danych osobowych z niniejszą ustawą federalną i przyjętymi zgodnie z nią regulacyjnymi aktami prawnymi, wymogami ochrony danych osobowych, polityką operatora dotyczącą przetwarzania danych osobowych dane, lokalne akty operatora;

5) ocena szkody, jaką mogą wyrządzić podmioty danych osobowych w przypadku naruszenia niniejszej ustawy federalnej, związek między tą szkodą a środkami podjętymi przez operatora w celu zapewnienia wypełnienia obowiązków przewidzianych w niniejszej ustawie federalnej Prawo;

6) zapoznanie pracowników Operatora bezpośrednio zaangażowanych w przetwarzanie danych osobowych z przepisami ustawodawstwa Federacji Rosyjskiej o danych osobowych, w tym z wymogami ochrony danych osobowych, dokumentami określającymi politykę Operatora w zakresie przetwarzania danych osobowych, lokalnych ustaw dotyczących przetwarzania danych osobowych i (lub) szkolenia tych pracowników.

2. Operator ma obowiązek opublikować lub w inny sposób zapewnić nieograniczony dostęp do dokumentu określającego jego politykę w zakresie przetwarzania danych osobowych, do informacji o wdrożonych wymaganiach w zakresie ochrony danych osobowych. Operator zbierający dane osobowe za pomocą sieci informacyjno-telekomunikacyjnych jest obowiązany opublikować we właściwej sieci informacyjno-telekomunikacyjnej dokument określający jego politykę w zakresie przetwarzania danych osobowych oraz informację o wdrożonych wymaganiach w zakresie ochrony danych osobowych, a także podać możliwość dostępu do wskazanego dokumentu za pomocą środków odpowiedniej sieci informacyjno-telekomunikacyjnej.

3. Rząd Federacji Rosyjskiej ustala wykaz środków mających na celu zapewnienie wypełnienia obowiązków przewidzianych w niniejszej ustawie federalnej i regulacyjnych aktach prawnych przyjętych zgodnie z nią przez operatorów będących organami państwowymi lub gminnymi.

4. Operator jest obowiązany przedłożyć dokumenty i akty lokalne określone w części 1 niniejszego artykułu i (lub) w inny sposób potwierdzić podjęcie środków określonych w części 1 tego artykułu, na żądanie uprawnionego organu do ochrony prawa osób, których dane dotyczą.

Art. 19. Środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Operator, przetwarzając dane osobowe, ma obowiązek podjąć niezbędne środki prawne, organizacyjne i techniczne lub zapewnić ich przyjęcie w celu ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem danych osobowych danych, a także z innych niezgodnych z prawem działań w stosunku do danych osobowych.

2. Zapewnienie bezpieczeństwa danych osobowych, w szczególności:

1) identyfikację zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych;

2) zastosowanie środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, niezbędnych do spełnienia wymagań w zakresie ochrony danych osobowych, których wdrożenie zapewnia poziom bezpieczeństwa danych osobowych określony przez Rząd Federacji Rosyjskiej;

3) stosowania środków bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą;

4) ocenę skuteczności środków podjętych w celu zapewnienia bezpieczeństwa danych osobowych przed uruchomieniem systemu informacji o danych osobowych;

5) uwzględnianie komputerowych nośników danych osobowych;

6) wykrywanie faktów nieuprawnionego dostępu do danych osobowych i podejmowanie działań;

7) przywrócenie danych osobowych zmodyfikowanych lub zniszczonych na skutek nieuprawnionego dostępu do nich;

8) ustalanie zasad dostępu do danych osobowych przetwarzanych w systemie informacji o danych osobowych, a także zapewnienie rejestracji i rozliczania wszelkich czynności dokonywanych na danych osobowych w systemie informacji o danych osobowych;

9) kontrolę nad środkami podjętymi w celu zapewnienia bezpieczeństwa danych osobowych oraz poziomu bezpieczeństwa systemów informatycznych danych osobowych.

3. Rząd Federacji Rosyjskiej, biorąc pod uwagę możliwą szkodę dla podmiotu danych osobowych, ilość i treść przetwarzanych danych osobowych, rodzaj działalności, w ramach której przetwarzane są dane osobowe, a także znaczenie zagrożeń dla bezpieczeństwo danych osobowych, ustala:

1) poziomy bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, w zależności od zagrożeń bezpieczeństwa tych danych;

2) wymagania dotyczące ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, których realizacja zapewnia ustalony poziom ochrony danych osobowych;

3) wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologii przechowywania tych danych poza systemami teleinformatycznymi danych osobowych.

4. Skład i treść niezbędne do spełnienia wymogów ochrony danych osobowych ustanowionych przez Rząd Federacji Rosyjskiej zgodnie z częścią 3 niniejszego artykułu dla każdego poziomu bezpieczeństwa, środki organizacyjne i techniczne zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych ustanawiają organ federalny organ wykonawczy uprawniony w zakresie bezpieczeństwa oraz federalny organ wykonawczy upoważniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, w granicach swoich uprawnień.

5. Federalne władze wykonawcze wykonujące funkcje opracowywania polityki państwa i regulacji prawnych w ustalonym zakresie działalności, władze państwowe podmiotów wchodzących w skład Federacji Rosyjskiej, Bank Rosji, organy państwowych funduszy pozabudżetowych i inne organy państwowe w granicach swoich uprawnień przyjmują normatywne akty prawne, które określają zagrożenia dla bezpieczeństwa danych osobowych istotne przy przetwarzaniu danych osobowych w systemach informatycznych danych osobowych eksploatowanych przy realizacji odpowiednich rodzajów działalności, z uwzględnieniem treści dane osobowe, charakter i sposoby ich przetwarzania.

6. Oprócz zagrożeń bezpieczeństwa danych osobowych, określonych w przepisach wydanych zgodnie z ust. 5 niniejszego artykułu, stowarzyszenia, związki i inne zrzeszenia przedsiębiorców, w drodze swoich decyzji, mają prawo określić dodatkowe zagrożenia bezpieczeństwa danych osobowych dane istotne przy przetwarzaniu danych osobowych w systemach informacji osobowej dane wykorzystywane przy realizacji określonego rodzaju działalności przez członków takich stowarzyszeń, związków i innych stowarzyszeń przedsiębiorców, z uwzględnieniem treści danych osobowych, charakteru i sposobów ich przetwarzania przetwarzanie.

7. Projekty regulacyjnych aktów prawnych, o których mowa w ust. 5 niniejszego artykułu, podlegają zatwierdzeniu przez federalny organ wykonawczy uprawniony w dziedzinie bezpieczeństwa oraz federalny organ wykonawczy uprawniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji. Projekty decyzji, o których mowa w części 6 tego artykułu, podlegają zatwierdzeniu przez federalny organ wykonawczy uprawniony w dziedzinie bezpieczeństwa oraz federalny organ wykonawczy upoważniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, w sposób określony przez Rząd Federacji Rosyjskiej. Decyzja federalnego organu wykonawczego upoważnionego w dziedzinie bezpieczeństwa oraz federalnego organu wykonawczego upoważnionego w dziedzinie zwalczania wywiadu technicznego i technicznej ochrony informacji o odmowie zatwierdzenia projektów decyzji określonych w części 6 tego artykułu musi być uzasadniona.

8. Kontrolę i nadzór nad wdrażaniem środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych ustanowionych zgodnie z niniejszym artykułem przy przetwarzaniu danych osobowych w państwowych systemach informatycznych danych osobowych sprawuje federalny organ wykonawczy upoważniony w dziedzinie bezpieczeństwa oraz federalne organy wykonawcze uprawnione w zakresie przeciwdziałania wywiadowi technicznemu i technicznej ochrony informacji, w granicach swoich uprawnień i bez prawa zapoznania się z danymi osobowymi przetwarzanymi w systemach informatycznych danych osobowych.

9. Federalny organ wykonawczy uprawniony w dziedzinie bezpieczeństwa oraz federalny organ wykonawczy uprawniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, decyzją Rządu Federacji Rosyjskiej, biorąc pod uwagę znaczenie i treść przetwarzane dane osobowe, mogą być nadawane uprawnienia do kontroli wdrożenia środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych ustanowionych zgodnie z niniejszym artykułem, przetwarzanych w systemach informatycznych danych osobowych funkcjonujących przy realizacji niektórych rodzajów działalności oraz niebędące państwowymi systemami teleinformatycznymi danych osobowych, bez prawa zapoznania się z danymi osobowymi przetwarzanymi w systemach teleinformatycznych.

10. Wykorzystywanie i przechowywanie biometrycznych danych osobowych poza systemami teleinformatycznymi danych osobowych może odbywać się wyłącznie na takich nośnikach materialnych i przy użyciu takich technologii przechowywania, które zapewniają ochronę tych danych przed nieuprawnionym lub przypadkowym dostępem do nich, ich zniszczeniem, modyfikacją, blokowanie, kopiowanie, udostępnianie, dystrybucja.

11. Na potrzeby niniejszego artykułu przez zagrożenia bezpieczeństwa danych osobowych rozumie się zespół warunków i czynników stwarzających niebezpieczeństwo nieuprawnionego, w tym przypadkowego, dostępu do danych osobowych, co może skutkować zniszczeniem, modyfikacją, zablokowaniem , kopiowania, udostępniania, rozpowszechniania danych osobowych, a także innych niezgodnych z prawem działań podczas ich przetwarzania w systemie teleinformatycznym danych osobowych. Poziom bezpieczeństwa danych osobowych rozumiany jest jako złożony wskaźnik charakteryzujący wymagania, których realizacja zapewnia neutralizację niektórych zagrożeń dla bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych.

Art. 20. Obowiązki operatora w przypadku kontaktu z nim osoby, której dane dotyczą, lub po otrzymaniu wniosku od podmiotu danych osobowych lub jego przedstawiciela, a także organu uprawnionego do ochrony praw podmiotów danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Operator jest zobowiązany do poinformowania podmiotu danych osobowych lub jego przedstawiciela w sposób określony w niniejszej ustawie federalnej o dostępności danych osobowych dotyczących odpowiedniego przedmiotu danych osobowych, a także zapewnienia możliwości zapoznania się się z tymi danymi osobowymi podczas kontaktu z podmiotem danych osobowych lub jego przedstawicielem albo w terminie trzydziestu dni od dnia otrzymania żądania podmiotu danych osobowych lub jego przedstawiciela.

2. W przypadku odmowy udzielenia informacji o dostępności danych osobowych o właściwym przedmiocie danych osobowych lub danych osobowych podmiotowi danych osobowych lub jego przedstawicielowi w trakcie kontaktu z nim lub po otrzymaniu żądania od podmiotu danych osobowych lub jego przedstawiciela, operator jest zobowiązany do udzielenia uzasadnionej odpowiedzi na piśmie zawierającej odniesienie do przepisu art. 14 niniejszej ustawy federalnej lub innej ustawy federalnej, która jest podstawą takiej odmowy, w terminie nieprzekraczającym trzydziestu dni od daty złożenia wniosku przez podmiot danych osobowych lub jego przedstawiciela albo od dnia otrzymania żądania podmiotu danych osobowych lub jego przedstawiciela.

3. Operator ma obowiązek nieodpłatnego zapewnienia podmiotowi danych osobowych lub jego przedstawicielowi możliwości zapoznania się z danymi osobowymi dotyczącymi tego podmiotu danych osobowych. W terminie nie dłuższym niż siedem dni roboczych od dnia, w którym podmiot danych osobowych lub jego przedstawiciel przekazał informację potwierdzającą, że dane osobowe są niekompletne, nieprawidłowe lub nieistotne, operator ma obowiązek dokonać w nich niezbędnych zmian. W terminie nie dłuższym niż siedem dni roboczych od dnia, w którym podmiot danych osobowych lub jego przedstawiciel przekaże informację potwierdzającą, że dane osobowe zostały uzyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania, operator ma obowiązek zniszczyć te dane osobowe. Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela o dokonanych zmianach i podjętych środkach oraz podjąć rozsądne działania w celu powiadomienia osób trzecich, którym przekazano dane osobowe tego podmiotu.

4. Operator ma obowiązek udzielić uprawnionemu organowi ochrony praw osób, których dane dotyczą, na żądanie tego organu, niezbędnych informacji w terminie trzydziestu dni od dnia otrzymania takiego żądania.

Artykuł 21. Obowiązki operatora usunięcia naruszeń prawa popełnionych przy przetwarzaniu danych osobowych, wyjaśnienia, zablokowania i zniszczenia danych osobowych (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. W przypadku wykrycia niezgodnego z prawem przetwarzania danych osobowych na wniosek podmiotu danych osobowych lub jego przedstawiciela albo na żądanie podmiotu danych osobowych lub jego przedstawiciela lub uprawnionego organu ochrony praw podmiotów danych osobowych , operator ma obowiązek zablokować niezgodnie z prawem przetwarzane dane osobowe dotyczące tego przedmiotu danych osobowych lub zapewnić ich zablokowanie (jeżeli przetwarzania danych osobowych dokonuje inna osoba działająca w imieniu operatora) od chwili wniesienia takiego odwołania lub otrzymania określonego żądania na okres weryfikacji. Jeżeli podczas kontaktu z podmiotem danych osobowych lub jego przedstawicielem lub na jego żądanie lub na żądanie uprawnionego organu do ochrony praw podmiotów danych osobowych zostaną zidentyfikowane nieprawidłowe dane osobowe, operator ma obowiązek zablokować dane osobowe dotyczące tego przedmiotu danych osobowych lub zapewnienia ich zablokowania (jeżeli przetwarzanie danych osobowych odbywa się przez inną osobę działającą na zlecenie operatora) od chwili złożenia takiego wniosku lub otrzymania określonego żądania na okres weryfikacji, jeżeli zablokowanie danych osobowych nie narusza praw i uzasadnionych interesów podmiotu danych osobowych lub osób trzecich.

2. W przypadku potwierdzenia faktu niedokładności danych osobowych, operator, na podstawie informacji przekazanych przez podmiot danych osobowych lub jego przedstawiciela lub uprawniony organ do spraw ochrony praw osób, których dane dotyczą, lub inne niezbędne dokumenty ma obowiązek doprecyzować dane osobowe lub zapewnić ich doprecyzowanie (jeżeli przetwarzanie danych osobowych odbywa się przez inną osobę działającą na zlecenie operatora) w terminie siedmiu dni roboczych od dnia przekazania tych informacji oraz usunąć blokadę danych osobowych dane.

4. Jeżeli cel przetwarzania danych osobowych został osiągnięty, operator ma obowiązek zaprzestać przetwarzania danych osobowych lub zapewnić jego zakończenie (jeżeli przetwarzania danych osobowych dokonuje inna osoba działająca w imieniu operatora) oraz zniszczyć dane osobowe lub zapewnienia ich zniszczenia (jeżeli przetwarzania danych osobowych dokonuje inna osoba działająca w imieniu operatora) w terminie nieprzekraczającym trzydziestu dni od dnia osiągnięcia celu przetwarzania danych osobowych, chyba że umowa stanowi inaczej której podmiotem danych osobowych jest strona, beneficjent lub gwarant, inna umowa pomiędzy operatorem a podmiotem danych osobowych, lub jeżeli operator nie ma prawa przetwarzać danych osobowych bez zgody podmiotu danych osobowych na z przyczyn przewidzianych w niniejszej ustawie federalnej lub innych przepisach federalnych.

5. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie swoich danych osobowych, operator ma obowiązek zaprzestania ich przetwarzania lub zapewnienia zakończenia takiego przetwarzania (jeżeli przetwarzania danych osobowych dokonuje inna osoba działająca w imieniu operatora) oraz w przypadku, gdy zachowanie danych osobowych nie jest już wymagane do celów przetwarzania danych osobowych, zniszczyć dane osobowe lub zapewnić ich zniszczenie (jeżeli przetwarzania danych osobowych dokonuje inna osoba działająca w imieniu operatora ) w terminie nie dłuższym niż trzydzieści dni od dnia otrzymania przedmiotowej odpowiedzi, chyba że umowa, której beneficjent lub gwarant jest podmiotem danych osobowych stanowi inaczej, inna umowa pomiędzy operatorem a podmiotem danych osobowych danych osobowych lub jeśli operator nie ma prawa przetwarzać danych osobowych bez zgody podmiotu danych osobowych na podstawie przewidzianej w niniejszej ustawie federalnej lub innych ustawach federalnych.

6. Jeżeli zniszczenie danych osobowych w terminie określonym w ust. 3 – 5 niniejszego artykułu nie będzie możliwe, operator blokuje takie dane osobowe lub zapewnia ich zablokowanie (jeżeli przetwarzanie danych osobowych odbywa się w imieniu innej osoby operatora) i zapewnia zniszczenie danych osobowych w terminie nie dłuższym niż sześć miesięcy, chyba że prawo federalne przewiduje inny termin.

Artykuł 22. Zawiadomienie o przetwarzaniu danych osobowych

1. Operator przed rozpoczęciem przetwarzania danych osobowych ma obowiązek powiadomić organ uprawniony do ochrony praw osób, których dane dotyczą, o swoim zamiarze przetwarzania danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.

2. Operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym organu uprawnionego do ochrony praw osób, których dane dotyczą:

1) przetwarzane zgodnie z przepisami prawa pracy; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i są wykorzystywane przez operator wyłącznie w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane ani udostępniane podmiotom trzecim bez pisemnej zgody osób, których dane osobowe dotyczą; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

4) udostępnione publicznie przez podmiot danych osobowych; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status państwowych zautomatyzowanych systemów informatycznych, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej, które ustanawiają wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą.

9) przetwarzane w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej dotyczące bezpieczeństwa transportu, w celu zapewnienia zrównoważonego i bezpiecznego funkcjonowania kompleksu transportowego, ochrony interesów jednostki, społeczeństwa i państwa w zakresie kompleksu transportowego przed aktami nielegalnej ingerencji. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

3. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, przesyła się w formie dokumentu w formie papierowej albo w formie dokumentu elektronicznego i podpisuje przez osobę upoważnioną. Zawiadomienie musi zawierać następujące informacje: (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1) imię i nazwisko (nazwisko, imię, nazwisko rodowe), adres operatora;

2) cel przetwarzania danych osobowych;

5) podstawa prawna przetwarzania danych osobowych;

6) wykaz działań na danych osobowych, ogólny opis sposobów stosowanych przez operatora przy przetwarzaniu danych osobowych;

10) informację o występowaniu lub braku transgranicznego przekazywania danych osobowych w procesie ich przetwarzania; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

10.1) informacja o lokalizacji bazy informacyjnej zawierającej dane osobowe obywateli Federacji Rosyjskiej; (zmieniona ustawą federalną z dnia 21 lipca 2014 r. N 242-FZ)

11) informacje dotyczące zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami ochrony danych osobowych ustanowionymi przez Rząd Federacji Rosyjskiej. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

4. Upoważniony organ ochrony praw osób, których dane dotyczą, w terminie trzydziestu dni od dnia otrzymania zawiadomienia o przetwarzaniu danych osobowych wprowadza informacje określone w ust. 3 niniejszego artykułu, a także informację o datę przesłania wskazanego zgłoszenia do rejestru przedsiębiorców. Informacje zawarte w rejestrze operatorów, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.

5. Operator nie może zostać obciążony kosztami w związku z rozpatrzeniem zgłoszenia o przetwarzaniu danych osobowych przez uprawniony organ do ochrony praw osób, których dane dotyczą, a także w związku z wpisaniem informacji do rejestru operatorzy.

6. W przypadku podania niepełnych lub nierzetelnych informacji, o których mowa w ust. 3 niniejszego artykułu, uprawniony organ do spraw ochrony praw osób, których dane dotyczą, ma prawo żądać od operatora wyjaśnienia podanych informacji przed ich wprowadzeniem do rejestr operatorów.

7. W przypadku zmiany informacji, o których mowa w ust. 3 niniejszego artykułu, a także w przypadku zaprzestania przetwarzania danych osobowych, operator ma obowiązek powiadomić uprawniony organ do spraw ochrony dóbr osobistych osób, których dane dotyczą, w terminie dziesięciu dni roboczych od dnia wystąpienia takich zmian lub od dnia zakończenia przetwarzania danych osobowych. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Artykuł 22.1. Osoby odpowiedzialne za organizację przetwarzania danych osobowych w organizacjach (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

1. Operator będący osobą prawną wyznacza osobę odpowiedzialną za organizację przetwarzania danych osobowych.

2. Osoba odpowiedzialna za organizację przetwarzania danych osobowych otrzymuje polecenia bezpośrednio od organu wykonawczego organizacji będącej operatorem i przed nim odpowiada.

3. Operator jest zobowiązany do przekazania osobie odpowiedzialnej za organizację przetwarzania danych osobowych informacji określonych w art. 22 niniejszej ustawy federalnej.

4. Osoba odpowiedzialna za organizację przetwarzania danych osobowych jest zobowiązana w szczególności do:

1) sprawuje wewnętrzną kontrolę nad przestrzeganiem przez operatora i jego pracowników ustawodawstwa Federacji Rosyjskiej dotyczącego danych osobowych, w tym wymogów dotyczących ochrony danych osobowych;

2) zwrócić uwagę pracowników operatora na przepisy ustawodawstwa Federacji Rosyjskiej dotyczące danych osobowych, lokalne ustawy dotyczące przetwarzania danych osobowych, wymogi ochrony danych osobowych;

3) organizować przyjmowanie i przetwarzanie wniosków i wniosków od podmiotów danych osobowych lub ich przedstawicieli i (lub) sprawować kontrolę nad przyjmowaniem i przetwarzaniem takich wniosków i wniosków.

Rozdział 5. KONTROLA PAŃSTWA I NADZÓR PRZETWARZANIA DANYCH OSOBOWYCH. ODPOWIEDZIALNOŚĆ ZA NARUSZENIE WYMOGÓW NINIEJSZEGO PRAWA FEDERALNEGO (zmieniona ustawą federalną nr 16-FZ z dnia 22 lutego 2017 r.)

Art. 23. Organ uprawniony do ochrony praw osób, których dane osobowe dotyczą

1. Organem uprawnionym do ochrony praw osób, których dane dotyczą, jest federalny organ wykonawczy, który pełni funkcje kontrolne i nadzorcze nad zgodnością przetwarzania danych osobowych z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych. (zmieniona ustawą federalną nr 16-FZ z dnia 22 lutego 2017 r.)

1.1. (zmieniona ustawą federalną nr 16-FZ z dnia 22 lutego 2017 r.)

Upoważniony organ ds. ochrony praw osób, których dane dotyczą, zapewnia, organizuje i przeprowadza kontrolę państwową i nadzór nad zgodnością przetwarzania danych osobowych z wymogami niniejszej ustawy federalnej oraz przyjętymi zgodnie z nią regulacyjnymi aktami prawnymi ( kontrola państwa i nadzór nad przetwarzaniem danych osobowych). Procedura organizowania i przeprowadzania kontroli osób prawnych i przedsiębiorców indywidualnych będących operatorami, uprawnionym organem do ochrony praw osób, których dane dotyczą, a także procedura organizacji i wdrażania kontroli państwa i nadzoru nad przetwarzaniem danych osobowych przez inne osoby będące operatorami, ustala Rząd Federacji Rosyjskiej.

2. Uprawniony organ do ochrony praw podmiotów danych osobowych rozpatruje wnioski podmiotu danych osobowych dotyczące zgodności treści danych osobowych i sposobów ich przetwarzania z celami ich przetwarzania i podejmuje odpowiednią decyzję.

3. Upoważniony organ ochrony praw osób, których dane dotyczą, ma prawo:

1) żądania od osób fizycznych lub prawnych informacji niezbędnych do wykonywania ich uprawnień i otrzymywania ich nieodpłatnie;

2) zweryfikować informacje zawarte w zawiadomieniu o przetwarzaniu danych osobowych lub zaangażować w granicach swoich uprawnień inne organy administracji publicznej do przeprowadzenia takiej weryfikacji;

3) żądania od operatora wyjaśnienia, zablokowania lub zniszczenia nieprawidłowych lub uzyskanych nielegalnie danych osobowych; (zmieniona ustawą federalną z dnia 21 lipca 2014 r. N 242-FZ)

3.1) ograniczyć dostęp do informacji przetwarzanych z naruszeniem ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych, w sposób określony przez ustawodawstwo Federacji Rosyjskiej;

4) podjąć działania, zgodnie z procedurą ustanowioną przez ustawodawstwo Federacji Rosyjskiej, w celu zawieszenia lub zakończenia przetwarzania danych osobowych prowadzonego z naruszeniem wymogów niniejszej ustawy federalnej; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

5.1) przesyłać federalnemu organowi wykonawczemu uprawnionemu w dziedzinie bezpieczeństwa oraz federalnemu organowi wykonawczemu uprawnionemu w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, w zależności od zakresu ich działania, informacje określone w części 3 ust. Artykuł 22 niniejszej ustawy federalnej; (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

6) skierować wniosek do organu wydającego zezwolenia na działalność operatora z wnioskiem o rozważenie podjęcia działań w celu zawieszenia lub unieważnienia odpowiedniej licencji w sposób określony przez ustawodawstwo Federacji Rosyjskiej, jeżeli warunkiem uzyskania zezwolenia na prowadzenie tej działalności jest zakaz przekazywania danych osobowych podmiotom trzecim bez pisemnej zgody podmiotu danych osobowych;

7) przesyłać materiały do prokuratury i innych organów ścigania w celu rozstrzygnięcia kwestii wszczęcia spraw karnych o przestępstwa związane z naruszeniem praw osób, których dane dotyczą, zgodnie z właściwością;

8) przedstawiać Rządowi Federacji Rosyjskiej propozycje ulepszenia regulacji prawnych dotyczących ochrony praw osób, których dane dotyczą;

9) pociągnąć do odpowiedzialności administracyjnej osoby winne naruszenia niniejszej ustawy federalnej.

4. W stosunku do danych osobowych, o których dowiedział się uprawniony organ do ochrony praw osób, których dane dotyczą, w toku swojej działalności, należy zapewnić poufność danych osobowych.

5. Organ uprawniony do ochrony praw osób, których dane dotyczą, jest obowiązany:

1) organizować, zgodnie z wymogami niniejszej ustawy federalnej i innych ustaw federalnych, ochronę praw osób, których dane dotyczą;

2) rozpatrywania skarg i odwołań obywateli lub osób prawnych w sprawach związanych z przetwarzaniem danych osobowych, a także podejmowania decyzji, w granicach swoich uprawnień, na podstawie wyników rozpatrzenia tych skarg i odwołań;

3) prowadzenia rejestru operatorów;

4) wdrażać działania mające na celu poprawę ochrony praw osób, których dane osobowe dotyczą;

5) przyjmować, w sposób określony przez ustawodawstwo Federacji Rosyjskiej, na wniosek federalnego organu wykonawczego uprawnionego w dziedzinie bezpieczeństwa, federalny organ wykonawczy w dziedzinie ochrony państwa lub federalny organ wykonawczy upoważniony w dziedzinie przeciwdziałania wywiadowi technicznemu i technicznej ochronie informacji, możliwości zawieszenia lub zakończenia przetwarzania danych osobowych; Przetwarzanie danych osobowych obiektów ochrony państwa i członków ich rodzin odbywa się z uwzględnieniem cech przewidzianych w ustawie federalnej z dnia 27 maja 1996 r. N 57-FZ „O ochronie państwa”.

6) informowania organów administracji rządowej, a także osób, których dane dotyczą, na ich żądania lub prośby, o stanie rzeczy w zakresie ochrony praw osób, których dane dotyczą;

7) wypełniać inne obowiązki przewidziane w ustawodawstwie Federacji Rosyjskiej.

5.1. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Upoważniony organ do ochrony praw podmiotów danych osobowych współpracuje z organami uprawnionymi do ochrony praw podmiotów danych osobowych za granicą, w szczególności w zakresie międzynarodowej wymiany informacji w zakresie ochrony praw podmiotów danych osobowych, zatwierdza listę obcych państw, które zapewniają odpowiednią ochronę praw osób, których dane osobowe dotyczą.

6. Od decyzji uprawnionego organu ochrony praw osób, których dane dotyczą, przysługuje odwołanie do sądu.

7. Upoważniony organ ochrony praw osób, których dane osobowe dotyczą, corocznie przesyła sprawozdanie ze swojej działalności Prezydentowi Federacji Rosyjskiej, Rządowi Federacji Rosyjskiej i Zgromadzeniu Federalnemu Federacji Rosyjskiej. Niniejszy raport podlega publikacji w mediach.

8. Uprawniony organ ochrony praw osób, których dane osobowe dotyczą, finansowany jest z budżetu federalnego.

9. Przy uprawnionym organie do spraw ochrony praw osób, których dane osobowe dotyczą, na zasadzie dobrowolności tworzy się radę doradczą, której tryb tworzenia i działania ustala uprawniony organ do spraw ochrony praw osób fizycznych osoby, których dane dotyczą.

Artykuł 24. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

2. Szkoda moralna wyrządzona podmiotowi danych osobowych w wyniku naruszenia jego praw, naruszenia zasad przetwarzania danych osobowych ustanowionych w niniejszej ustawie federalnej, a także wymogów ochrony danych osobowych ustanowionych zgodnie z niniejszą ustawą federalną Zgodnie z prawem, podlega rekompensacie zgodnie z ustawodawstwem Federacji Rosyjskiej. Zadośćuczynienie za szkodę moralną następuje niezależnie od zadośćuczynienia za szkody majątkowe i straty poniesione przez podmiot danych osobowych. (zmieniona ustawą federalną z dnia 25 lipca 2011 r. N 261-FZ)

Rozdział 6. POSTANOWIENIA KOŃCOWE

Artykuł 25. Postanowienia końcowe

1. Niniejsza ustawa federalna wchodzi w życie sto osiemdziesiąt dni od dnia jej oficjalnej publikacji.

2. Po wejściu w życie niniejszej ustawy federalnej przetwarzanie danych osobowych zawartych w systemach informatycznych danych osobowych przed dniem jej wejścia w życie odbywa się zgodnie z niniejszą ustawą federalną.

2.1.

Operatorzy, którzy przetwarzali dane osobowe przed 1 lipca 2011 r., są zobowiązani do przekazania upoważnionemu organowi w celu ochrony praw osób, których dane dotyczą, informacji określonych w art. 22 ust. 3 części tej ustawy federalnej nie później niż 1 stycznia 2008 r. . (zmieniona ustawą federalną z dnia 5 kwietnia 2013 r. N 43-FZ)

5. Stosunki związane z przetwarzaniem danych osobowych przez organy państwowe, osoby prawne, osoby fizyczne w zakresie świadczenia usług państwowych i komunalnych, wykonywania funkcji państwowych i komunalnych w podmiocie Federacji Rosyjskiej – federalnym mieście Moskwie , są regulowane przez niniejszą ustawę federalną, chyba że przewidziano inaczej Ustawa federalna „W sprawie specyfiki uregulowania niektórych stosunków prawnych w związku z przyłączeniem terytoriów do podmiotu Federacji Rosyjskiej – federalnego miasta Moskwa oraz w sprawie wprowadzenia zmian w niektórych aktach ustawodawczych Federacji Rosyjskiej.”
Prezydent Federacji Rosyjskiej

W.PUTIN

Moskwa, Kreml

Ustawodawstwo nie stoi w miejscu, a od 1 lipca 2017 r. wprowadzono nowe kary za nieprzestrzeganie wymogów ustawy federalnej „O danych osobowych” z dnia 27 lipca 2006 r. nr 152-FZ (zwanej dalej ustawą nr 152). Co należy zrobić już dziś, aby uniknąć odpowiedzialności administracyjnej?

Kto może zostać ukarany?
Operator – organ państwowy, organ samorządowy, osoba prawna lub fizyczna, samodzielnie lub wspólnie z innymi osobami organizujący i (lub) dokonujący przetwarzania danych osobowych, a także ustalający cele przetwarzania danych osobowych, skład danych osobowych do być przetwarzane, czynności (operacje) dokonywane na danych osobowych.
Przetwarzanie danych osobowych – każda czynność lub zestaw czynności wykonywanych z wykorzystaniem lub bez użycia narzędzi automatyzacji danych osobowych: gromadzenie, utrwalanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wydobywanie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie) , dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.
Przepisy prawa nie określają wprost, jakie dane są danymi osobowymi, ale ze sformułowania wynika, że są to „wszelkie informacje” dotyczące osoby fizycznej, w tym:
- Imię i nazwisko (razem, a nawet osobno);
- data urodzenia;
- adres;
- telefon;
- e-mail;
- zdjęcie;
- link do osobistej strony internetowej;
- link do profilu w sieciach społecznościowych.
Jednym słowem mówimy o wszelkich danych, które mogą posłużyć do identyfikacji osoby. Jeżeli więc w jakiś sposób otrzymasz takie dane w dowolnej kombinacji, to jesteś operatorem danych osobowych. W rzeczywistości każdy właściciel strony internetowej, który ma formularz opinii, lub każdy pracodawca jest operatorem danych osobowych, w związku z czym jest zobowiązany do przestrzegania wymogów ustawy nr 152, ponieważ podlega odpowiedzialności administracyjnej.
Należy też rozróżnić: jeśli osoba fizyczna zapisuje w notesie kontakty swoich znajomych, żeby nie zapomnieć złożyć im gratulacji z okazji urodzin, nie jest to zbieranie danych osobowych. Jeżeli ta sama osoba działa jako indywidualny przedsiębiorca, świadcząc usługi prywatne w domu, np. wykonując manicure, i prowadzi taką ewidencję, jest to zbieranie danych osobowych. W takim przypadku klienci muszą zostać poproszeni o wyrażenie na to zgody i poniesienie odpowiedzialności za ujawnienie, jeśli do tego dojdzie.

Za co mogą zostać ukarani?

Kto może ukarać?

Organem uprawnionym do ochrony praw podmiotów danych osobowych, któremu powierzono zapewnienie kontroli i nadzoru nad zgodnością przetwarzania danych osobowych, jest federalny organ wykonawczy pełniący funkcje kontrolne i nadzorcze w zakresie technologii informatycznych i komunikacja. Obecnie jest to Federalna Służba Nadzoru w Sferze Łączności, Technologii Informacyjnych i Komunikacji Masowej (Roskomnadzor) (uchwała Rządu Federacji Rosyjskiej z dnia 16 marca 2009 r. nr 228 „W sprawie Federalnej Służby Nadzoru w Sferze Komunikacji, Technologii Informacyjnych i Komunikacji Masowej”).
Planowe inspekcje Roskomnadzor przeprowadzane są nie częściej niż raz na 3 lata. Jeśli zatem w określonym terminie Twoja firma przeprowadziła audyt i nie dopuściłeś się w przyszłości żadnych naruszeń, nie powinieneś spodziewać się kontroli w najbliższej przyszłości. Jeśli inspektorzy nie odwiedzili Cię przez ostatnie 3 lata, czas przygotować się do ich wizyty. Nigdy jednak nie należy zapominać o niezaplanowanych kontrolach na podstawie wniosku lub skargi osób fizycznych. Roskomnadzor ostrzega o niezaplanowanej kontroli z 24-godzinnym wyprzedzeniem.
Dla Twojej wiadomości. Oprócz Roskomnadzor Rostrud może zweryfikować przestrzeganie przez pracodawcę wymogów przepisów w zakresie danych osobowych. Przepisy rozdz. 14 Kodeksu pracy Federacji Rosyjskiej (wraz z ustawą nr 152-FZ) określa wymagania dotyczące przetwarzania danych osobowych pracowników i gwarancje ich ochrony. Inspektorzy pracy są uprawnieni do sporządzania protokołów dotyczących naruszeń administracyjnych, w tym przewidzianych w art. 5.27 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej, w przypadkach naruszenia prawa pracy (klauzula 16 część 2, artykuł 28.3 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).
Federalna Służba Kontroli Technicznej i Eksportu (FSTEC) nadzoruje techniczne środki przetwarzania danych osobowych, z wyjątkiem środków kryptograficznych. Ponadto FSB Federacji Rosyjskiej posiada uprawnienia do monitorowania wdrażania środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych.
Prokuratura posiada uprawnienia nadzorcze w zakresie danych osobowych na mocy art. 1 ustawy federalnej „O prokuraturze Federacji Rosyjskiej” z dnia 17 stycznia 1992 r. nr 2202-1.

Jakie dane osobowe ma prawo otrzymać pracodawca?

Zgodnie z częścią 1 art. 57 Kodeksu pracy Federacji Rosyjskiej umowa o pracę musi zawierać nazwisko, imię, patronimię pracownika, informacje o dokumentach potwierdzających jego tożsamość, NIP. Oznacza to, że każdy pracodawca zawierając umowę o pracę otrzymuje informacje związane z danymi osobowymi. Informacje takie znajdują się w dokumentach przedstawianych przez pracownika podczas ubiegania się o pracę:
- w paszporcie;
- na legitymacji wojskowej (dla osób odbywających służbę wojskową);
- w certyfikacie nadania NIP;
- w zaświadczeniu o ubezpieczeniu emerytalnym;
- w dokumentach edukacyjnych;
- na prawie jazdy i dokumentach samochodu, jeżeli jest to wymagane w związku z pełnieniem funkcji zawodowej;
- w zaświadczeniu lekarskim potwierdzającym przeprowadzenie badań lekarskich (dokumentacji lekarskiej), jeżeli jest to niezbędne w związku z wykonywaniem przez pracownika funkcji służbowej.
Wszystkie te informacje są uważane za dane osobowe i można je uzyskać wyłącznie od pracownika. Jeżeli dane osobowe można pozyskać wyłącznie od osób trzecich, należy najpierw powiadomić o tym pracownika i uzyskać od niego pisemną zgodę. Jednocześnie poinformuj pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych. Ponadto poinformuj pracownika o charakterze danych osobowych, które mają być zbierane oraz o konsekwencjach odmowy wyrażenia przez pracownika zgody na ich otrzymywanie. Procedura ta jest przewidziana w art. 86 ust. 3 części 1 Kodeksu pracy Federacji Rosyjskiej.
Pracodawca nie ma prawa zbierać danych osobowych niezwiązanych bezpośrednio z działalnością zawodową pracownika, np. informacji o religii, przekonaniach politycznych, warunkach życia itp. Informacje te stanowią tajemnicę osobistą lub rodzinną obywatela, którą posiada prawo nie ujawniać nikomu. Jest to określone w art. 86 ust. 4 części 1 Kodeksu pracy Federacji Rosyjskiej i art. 10 ustawy nr 152.
Po otrzymaniu danych osobowych pracodawca zobowiązuje się nie rozpowszechniać ich ani nie ujawniać osobom trzecim bez zgody pracownika (art. 7 ustawy nr 152-FZ).

Notatka:
Wszelkie dokumenty zawierające dane osobowe pracowników, takie jak akta osobowe, kartoteki, dzienniki księgowe, należy przechowywać w specjalnie wyposażonych szafach lub sejfach, które są zamykane na klucz i opieczętowane. Dokumentację pracy pracowników należy przechowywać w sejfie oddzielnie od akt osobowych.

Jak zapewnić pracodawcy ochronę danych osobowych?

Zastanówmy się, co należy zrobić w gospodarstwie w związku z ochroną danych osobowych pracowników i innych osób.
1. Przed przetwarzaniem danych osobowych pracowników pracodawca ma obowiązek powiadomić organ terytorialny Roskomnadzor o zamiarze przetwarzania. Wyjątkiem są przypadki przetwarzania danych osobowych:
- przetwarzane zgodnie z przepisami prawa pracy;
- udostępnione publicznie przez pracowników;
- otrzymane przez organizację w związku z zawarciem umowy, której stroną jest pracownik (pod warunkiem, że dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody pracownika i są wykorzystywane przez pracodawcę wyłącznie w celu realizacji określonego umowa i zawarcie innych umów z pracownikiem);
- dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej;
- w tym wyłącznie nazwiska, imiona i patronimiki pracowników;
- niezbędne w celu jednorazowego wjazdu pracownika na terytorium pracodawcy oraz w innych podobnych celach;
- zawarte w systemach informacji o danych osobowych, które zgodnie z prawem federalnym mają status państwowych zautomatyzowanych systemów informatycznych, a także w państwowych systemach informacji o danych osobowych stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;
- przetwarzane bez użycia narzędzi automatyzacji zgodnie z aktami prawnymi ustanawiającymi wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych w trakcie ich przetwarzania oraz poszanowania praw osób, których dane dotyczą;
- przetwarzane w przypadkach przewidzianych przez rosyjskie ustawodawstwo dotyczące bezpieczeństwa transportu.
Formularz zgłoszenia zamiaru przetwarzania danych osobowych oraz tryb jego wypełniania zostały zatwierdzone Zarządzeniem Roskomnadzor nr 94 z dnia 30 maja 2017 r. Ponadto szczegółową listę informacji, które należy podać w powiadomieniu, podano w części 3 art. 22 ustawy nr 152-FZ. Pracodawca może wysłać zawiadomienie w formie papierowej do organu terytorialnego Roskomnadzor lub elektronicznie za pośrednictwem portalu danych osobowych (część 3 art. 22 ustawy nr 152-FZ).
2. Ustal procedurę otrzymywania, przetwarzania, przekazywania i przechowywania danych osobowych w lokalnym akcie organizacji. Na przykład w przepisie dotyczącym przetwarzania danych osobowych pracowników (art. 8, 87 Kodeksu pracy Federacji Rosyjskiej, klauzula 2 część 1, art. 18.1 ustawy federalnej nr 152-FZ).
Brak w organizacji lokalnego aktu prawnego ustanawiającego procedurę przetwarzania danych osobowych pracowników stanowi naruszenie prawa pracy i pociąga za sobą odpowiedzialność administracyjną na podstawie art. 5.27 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej (dekrety Sądu Miejskiego w Moskwie z dnia 29 sierpnia 2011 r. Nr 4a-1743/11, 4a-1742/11, FAS MO z dnia 27 listopada 2006 r. Nr KA-A40/11424- 06 w sprawie nr A40-17389/06-146-165 z dnia 01.11.2006, 08.11.2006 nr KA-A40/10787-06 w sprawie nr A40-32068/06-96-156).
3. Wyznacz pracownika odpowiedzialnego za pracę z danymi osobowymi (część 5 art. 88 Kodeksu pracy Federacji Rosyjskiej). Może to być pracownik działu kadr, który wchodzi w interakcję z aktami personalnymi pracowników. Uzyska zgodę pracownika na przetwarzanie danych osobowych, prowadzenie kart pracowniczych itp.
4. Przygotuj wzór zgody na przetwarzanie danych osobowych. Bez tego nie można żądać danych osobowych od osób fizycznych. Taka zgoda musi zawierać następujące informacje (część 4 art. 9 ustawy nr 152-FZ):
- imię i nazwisko, adres pracownika, dane paszportowe (inny dokument potwierdzający jego tożsamość), w tym informację o dacie i miejscu wydania dokumentu;
- imię i nazwisko lub pełna nazwa i adres pracodawcy, który otrzymuje zgodę pracownika;
- cel przetwarzania danych osobowych;
- wykaz danych osobowych, na przetwarzanie których wyrażana jest zgoda;
- imię i nazwisko lub imię i nazwisko oraz adres osoby przetwarzającej dane osobowe w imieniu pracodawcy, jeżeli przetwarzanie będzie powierzone takiej osobie;
- wykaz działań z danymi osobowymi, na które wyrażana jest zgoda, ogólny opis sposobów stosowanych przez pracodawcę przy przetwarzaniu danych osobowych;
- okres ważności zgody pracownika i sposób jej wycofania, chyba że prawo federalne stanowi inaczej;
- podpis pracownika.
Zgoda pracownika na przekazanie jego danych osobowych nie jest wymagana:
- osobom trzecim w celu zapobieżenia zagrożeniu życia i zdrowia pracownika;
- organom podatkowym;
- komisariaty wojskowe;
- na wniosek związków zawodowych w celu monitorowania przestrzegania przez pracodawcę przepisów prawa pracy;
- na uzasadniony wniosek prokuratury;
- na umotywowany wniosek organów ścigania i organów bezpieczeństwa;
- na wniosek państwowych inspektorów pracy przy wykonywaniu czynności nadzorczych i kontrolnych;
- władzom i organizacjom, które należy powiadomić o poważnym wypadku, w tym śmiertelnym;
- w sprawach związanych z wykonywaniem przez pracownika obowiązków służbowych, w tym także w przypadku delegowania w podróż służbową;
- w celu przekazania informacji bankowi obsługującemu karty bankowe pracowników, pod warunkiem, że umowa o wydanie kart (układ zbiorowy, lokalny akt prawny organizacji) zawiera klauzulę dotyczącą prawa pracodawcy do przeniesienia
danych osobowych pracowników lub pracodawca działa na podstawie pełnomocnictwa do reprezentowania interesów pracowników.
We wszystkich pozostałych przypadkach przekazanie danych osobowych odbywa się za pisemną zgodą pracownika, od której musi być jasne, komu i w jakim celu zostaną przekazane jego dane osobowe.
Ponadto pracodawca ma obowiązek uprzedzić osoby otrzymujące dane osobowe, że informacje te mogą być wykorzystane wyłącznie w celu, w jakim zostały przekazane, i zażądać od tych osób potwierdzenia, że zasada ta została spełniona.

Jak pracować z danymi osobowymi na stronie?

Działania są właściwie takie same.
1. Złóż powiadomienie o przetwarzaniu danych osobowych do Roskomnadzor.
2. Jeżeli na swojej stronie internetowej posiadasz jakiekolwiek formy gromadzenia danych osobowych, to pod każdą z nich musisz umieścić zdanie „Wyrażam zgodę na przetwarzanie moich danych osobowych” oraz zaznaczyć pole wyboru.
3. Do zdania „Wyrażam zgodę na przetwarzanie moich danych osobowych” należy dołączyć hiperłącze do dokumentu określającego warunki przetwarzania danych osobowych. Może to być albo umowa użytkownika, zgoda na przetwarzanie danych osobowych, albo umowa, polityka prywatności, albo część oferty – nazwa nie jest aż tak istotna.
4. Przygotuj tekst dokumentu zawierającego warunki przetwarzania danych osobowych. (zgodnie z art. 9 ustawy nr 152-FZ, opisanej powyżej).
5. Przygotuj dokument zatytułowany Polityka przetwarzania danych osobowych (ten obowiązek operatora jest wyraźnie określony
w ust. 2 art. 18.1 ustawy federalnej nr 152-FZ) i zamieścić go na stronie internetowej w celu uzyskania bezpłatnego dostępu.

Co jeszcze pomoże Ci uniknąć łamania prawa?

1. Poinformuj, na żądanie osoby, jakie dane na jej temat posiadasz, w jaki sposób i dlaczego są one przetwarzane oraz komu je przekazałeś.
2. Usuń dane na pierwsze żądanie osoby, której dane osobowe znajdują się w Twojej bazie.
3. Przechowuj bazy danych w bezpiecznym miejscu, chroń je przed włamaniem i wyciekiem (wymagania określa prawo!).
4. Przeszkol pracowników w zakresie pracy z danymi osobowymi.
5. Nie używaj dokumentów innych firm bez przetworzenia. Można je wykorzystać jako szablon, jednak należy podać własne zestawienie danych i cele wykorzystania danych osobowych. To, czego potrzebuje drukarnia do złożenia zamówienia lub sklep internetowy do dostarczenia towaru, nie będzie potrzebne do dystrybucji e-mailowej. Żądanie niepotrzebnych danych może zostać uznane za naruszenie prawa i skutkować karą grzywny.
6. A co najważniejsze: lepiej zaangażować specjalistów, którzy przeanalizują działania firmy, zidentyfikują wszystkie niedociągnięcia i naruszenia, pomogą sporządzić wszystkie niezbędne dokumenty i powiadomić organ terytorialny Roskomnadzor.

Materiał został przygotowany przy pomocy Konsultanta SPS Plus.
Partner w sekcji „Prawo rolne”.

FEDERACJA ROSYJSKA
PRAWO FEDERALNE
O DANYCH OSOBOWYCH

(zmienione ustawą federalną z dnia 25 listopada 2009 r. N 266-FZ, z dnia 27 grudnia 2009 N 363-FZ z dnia 28 czerwca 2010 N 123-FZ z dnia 27 lipca 2010 N 204-FZ z dnia 27 lipca 2010 N 227-FZ z dnia 29 listopada 2010 N 313-FZ, z dnia 23 grudnia 2010 N 359 -FZ, z dnia 04.06.2011 N 123-FZ, z dnia 25.07.2011 N 261-FZ)

Rozdział 1. Postanowienia ogólne

Artykuł 1. Zakres niniejszej ustawy federalnej

Niniejsza ustawa federalna reguluje stosunki związane z przetwarzaniem danych osobowych przez organy rządu federalnego, organy rządowe podmiotów Federacji Rosyjskiej, inne organy rządowe (zwane dalej organami państwowymi), organy samorządu terytorialnego, inne organy miejskie (zwane dalej zwane organami gmin), legalne przez osoby i osoby fizyczne korzystające z narzędzi automatyzacji, w tym w sieciach informatycznych i telekomunikacyjnych, albo bez użycia takich środków, jeżeli przetwarzanie danych osobowych bez użycia takich środków odpowiada charakterowi działań (operacje) dokonywane na danych osobowych z wykorzystaniem narzędzi automatyzacji, tj. umożliwiają, zgodnie z zadanym algorytmem, wyszukiwanie danych osobowych zapisanych na nośniku materialnym i znajdujących się w kartotekach lub innych usystematyzowanych zbiorach danych osobowych oraz (lub) dostęp do do takich danych osobowych.
Niniejsza ustawa federalna nie ma zastosowania do stosunków powstałych, gdy:
- przetwarzanie danych osobowych przez osoby fizyczne wyłącznie dla potrzeb osobistych i rodzinnych, chyba że naruszone zostaną prawa podmiotów danych osobowych;
- organizowanie przechowywania, pozyskiwania, utrwalania i wykorzystywania dokumentów Funduszu Archiwalnego Federacji Rosyjskiej oraz innych dokumentów archiwalnych zawierających dane osobowe zgodnie z ustawodawstwem o sprawach archiwalnych Federacji Rosyjskiej;
- stracił moc. - Ustawa federalna z dnia 25 lipca 2011 r. N 261-FZ;
- przetwarzanie danych osobowych niejawnych zgodnie z ustaloną procedurą jako informacja stanowiąca tajemnicę państwową;
- udzielanie przez uprawnione organy informacji o działalności sądów Federacji Rosyjskiej zgodnie z ustawą federalną z dnia 22 grudnia 2008 r. N 262-FZ „W sprawie zapewnienia dostępu do informacji o działalności sądów Federacji Rosyjskiej”.

Artykuł 2. Cel niniejszej ustawy federalnej

Artykuł 3. Podstawowe pojęcia stosowane w niniejszej ustawie federalnej

Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:

dane osobowe – wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych);
operator – organ państwowy, samorządowy, osoba prawna lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami organizujący i (lub) dokonujący przetwarzania danych osobowych, a także ustalający cele przetwarzania danych osobowych, skład danych osobowych do być przetwarzane, czynności (operacje) dokonywane na danych osobowych;
przetwarzanie danych osobowych – każda czynność (operacja) lub zestaw czynności (operacji) wykonywana przy użyciu narzędzi automatyzacji lub bez użycia takich środków na danych osobowych, obejmująca zbieranie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), pobieranie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych;
zautomatyzowane przetwarzanie danych osobowych – przetwarzanie danych osobowych przy wykorzystaniu technologii komputerowej;
rozpowszechnianie danych osobowych – działania mające na celu udostępnienie danych osobowych nieokreślonej liczbie osób;
udostępnienie danych osobowych – działania zmierzające do udostępnienia danych osobowych określonej osobie lub określonemu kręgowi osób;
blokowanie danych osobowych – czasowe zaprzestanie przetwarzania danych osobowych (z wyjątkiem przypadków, gdy przetwarzanie jest niezbędne do wyjaśnienia danych osobowych);
zniszczenie danych osobowych – działania, w wyniku których przywrócenie zawartości danych osobowych w systemie informatycznym danych osobowych staje się niemożliwe i (lub) w wyniku których ulegają zniszczeniu materialne nośniki danych osobowych;
depersonalizacja danych osobowych – działania, w wyniku których bez wykorzystania dodatkowych informacji staje się niemożliwe ustalenie własności danych osobowych wobec konkretnego podmiotu danych osobowych;
system informacyjny danych osobowych – zbiór danych osobowych zawartych w bazach danych oraz technologiach informatycznych i środkach technicznych zapewniających ich przetwarzanie;
transgraniczne przekazywanie danych osobowych – przekazanie danych osobowych na terytorium państwa obcego do organu państwa obcego, zagranicznej osoby fizycznej lub zagranicznej osoby prawnej.

Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w dziedzinie danych osobowych

Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych opiera się na Konstytucji Federacji Rosyjskiej i traktatach międzynarodowych Federacji Rosyjskiej i składa się z niniejszej ustawy federalnej oraz innych ustaw federalnych określających przypadki i cechy przetwarzania danych osobowych.
Na podstawie i na podstawie ustaw federalnych organy państwowe, Bank Rosji i organy samorządu terytorialnego, w granicach swoich uprawnień, mogą przyjmować regulacyjne akty prawne, akty regulacyjne, akty prawne (zwane dalej regulacyjnymi aktami prawnymi) w niektórych kwestiach związanych z przetwarzaniem danych osobowych. Akty takie nie mogą zawierać przepisów ograniczających prawa osób, których dane dotyczą, ustanawiających ograniczenia w działalności operatorów nieprzewidziane przez prawo federalne lub nakładających na operatorów obowiązki nieprzewidziane przez prawo federalne i podlegają urzędowej publikacji.
Cechy przetwarzania danych osobowych bez użycia narzędzi automatyzacji mogą być określone w ustawach federalnych i innych regulacyjnych aktach prawnych Federacji Rosyjskiej, z uwzględnieniem przepisów niniejszej ustawy federalnej.
Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia zasady inne niż te przewidziane w niniejszej ustawie federalnej, zastosowanie mają zasady umowy międzynarodowej.

Rozdział 2. Zasady i warunki przetwarzania danych osobowych

Artykuł 5. Zasady przetwarzania danych osobowych

Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem i rzetelnie.
Przetwarzanie danych osobowych musi ograniczać się do osiągnięcia konkretnych, z góry określonych i prawnie uzasadnionych celów. Przetwarzanie danych osobowych niezgodne z celami gromadzenia danych osobowych jest niedozwolone.
Niedopuszczalne jest łączenie baz danych zawierających dane osobowe, których przetwarzanie odbywa się w celach niezgodnych ze sobą.
Przetwarzaniu podlegają wyłącznie dane osobowe, które odpowiadają celom ich przetwarzania.
Treść i ilość przetwarzanych danych osobowych musi odpowiadać podanym celom przetwarzania. Przetwarzane dane osobowe nie powinny być zbędne w stosunku do podanych celów ich przetwarzania.
Podczas przetwarzania danych osobowych należy zapewnić prawidłowość danych osobowych, ich wystarczalność oraz, w razie potrzeby, przydatność w odniesieniu do celów przetwarzania danych osobowych. Operator musi podjąć niezbędne środki lub zapewnić ich podjęcie w celu usunięcia lub wyjaśnienia niekompletnych lub niedokładnych danych.
Przechowywanie danych osobowych musi odbywać się w formie umożliwiającej identyfikację podmiotu danych osobowych, nie dłużej niż jest to wymagane ze względu na cele przetwarzania danych osobowych, chyba że okres przechowywania danych osobowych jest określony w ustawie federalnej, umowa, której stroną, beneficjentem lub gwarantem jest podmiot danych osobowych. Przetwarzane dane osobowe podlegają zniszczeniu lub depersonalizacji po osiągnięciu celów przetwarzania lub w przypadku utraty konieczności realizacji tych celów, chyba że prawo federalne stanowi inaczej.

Artykuł 6. Warunki przetwarzania danych osobowych

Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami i regułami przewidzianymi w niniejszej ustawie federalnej. Przetwarzanie danych osobowych jest dozwolone w następujących przypadkach:
- przetwarzanie danych osobowych odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych;
- przetwarzanie danych osobowych jest niezbędne do osiągnięcia celów przewidzianych w umowie międzynarodowej Federacji Rosyjskiej lub prawie, w celu realizacji i wypełnienia funkcji, uprawnień i obowiązków przypisanych operatorowi przez ustawodawstwo Federacji Rosyjskiej;
- przetwarzanie danych osobowych jest niezbędne do wymierzania sprawiedliwości, wykonania czynności sądowej, czynności innego organu lub urzędnika, z zastrzeżeniem wykonania zgodnie z ustawodawstwem Federacji Rosyjskiej dotyczącym postępowania egzekucyjnego (zwanego dalej egzekucją) aktu sądowego);
- przetwarzanie danych osobowych jest niezbędne do świadczenia usług państwowych lub komunalnych zgodnie z ustawą federalną z dnia 27 lipca 2010 r. N 210-FZ „O organizacji świadczenia usług państwowych i komunalnych”, w celu zapewnienia świadczenia takich usług, do rejestracji podmiot danych osobowych w jednym portalu usług państwowych i komunalnych, usług komunalnych;
- przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której podmiot danych osobowych jest stroną, beneficjentem lub gwarantem, a także do zawarcia umowy z inicjatywy podmiotu danych osobowych lub umowy, na podstawie której podmiot danych osobowych danych osobowych będzie beneficjentem lub gwarantem;
- przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;
- przetwarzanie danych osobowych jest niezbędne do realizacji praw i prawnie uzasadnionych interesów Operatora lub osób trzecich lub do osiągnięcia ważnych społecznie celów, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;
- przetwarzanie danych osobowych jest niezbędne do wykonywania czynności zawodowych dziennikarza i (lub) zgodnej z prawem działalności środka masowego przekazu lub działalności naukowej, literackiej lub innej działalności twórczej, pod warunkiem że nie naruszają praw i uzasadnionych interesów podmiotu danych osobowych nie są naruszane;
- przetwarzanie danych osobowych odbywa się do celów statystycznych lub innych celów badawczych, z wyjątkiem celów określonych w art. 15 niniejszej ustawy federalnej, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;
- przetwarzanie danych osobowych odbywa się, dostęp do nieograniczonej liczby osób zapewnia podmiot danych osobowych lub na jego wniosek (zwane dalej danymi osobowymi udostępnianymi publicznie przez podmiot danych osobowych);
- odbywa się przetwarzanie danych osobowych podlegających publikacji lub obowiązkowemu ujawnieniu zgodnie z prawem federalnym.
Specyfika przetwarzania szczególnych kategorii danych osobowych, a także biometrycznych danych osobowych określają odpowiednio art. 10 i 11 niniejszej ustawy federalnej.
Operator ma prawo powierzyć przetwarzanie danych osobowych innej osobie za zgodą podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej, na podstawie umowy zawartej z tą osobą, w tym umowy państwowej lub gminnej, albo w drodze przyjęcia odpowiedniej ustawy przez organ państwowy lub gminny (zwany dalej operatorem przypisania). Osoba przetwarzająca dane osobowe w imieniu operatora jest zobowiązana do przestrzegania zasad i zasad przetwarzania danych osobowych przewidzianych w niniejszej ustawie federalnej. Instrukcje operatora muszą określać listę działań (operacji) na danych osobowych, jakie będą dokonywane przez osobę przetwarzającą dane osobowe oraz cele przetwarzania, na tej osobie musi zostać ustanowiony obowiązek zachowania poufności danych osobowych i zapewnienia bezpieczeństwo danych osobowych podczas ich przetwarzania, a także wymagania dotyczące ochrony przetwarzanych danych osobowych muszą zostać określone zgodnie z art. 19 tej ustawy federalnej.
Osoba przetwarzająca dane osobowe w imieniu operatora nie ma obowiązku uzyskiwania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych.
Jeżeli Operator powierza przetwarzanie danych osobowych innej osobie, Operator odpowiada wobec podmiotu danych osobowych za działania wskazanej osoby. Odpowiedzialność przed operatorem ponosi osoba przetwarzająca dane osobowe w imieniu operatora.

„O danych osobowych” (ustawa federalna nr 152)? Jakie są główne wymagania i postanowienia zawarte w tym projekcie? Odpowiedzi na wszystkie te pytania zostaną zawarte w artykule.

Postanowienia ogólne

Jakie są cele rozpatrywanego projektu ustawy? Pierwszą i najbardziej podstawową rzeczą jest regulacja relacji związanych z przetwarzaniem informacji. Mowa tu o narzędziach automatyzacji, sieciach informatycznych i telekomunikacyjnych, nośnikach materialnych i szafach aktowych. Ustawa nie reguluje ochrony danych w konkretnej sferze domowej, rodzinnej czy osobistej. Najważniejszym obszarem prac prezentowanej ustawy jest ochrona wolności i praw obywateli poprzez wysokiej jakości przetwarzanie ich danych osobowych. Jest to konieczne, aby zapewnić wysokiej jakości nienaruszalność życia prywatnego, rodzinnego i osobistego.

Ustawa „O danych osobowych” ma na celu ochronę praw obywateli. Co należy rozumieć przez dane osobowe? Krótko mówiąc, są to absolutnie wszelkie informacje, które są pośrednio lub bezpośrednio związane z konkretną osobą. Proces przetwarzania tych danych to szereg operacji mających na celu przechowywanie, blokowanie, usuwanie lub usystematyzowanie informacji.

Zasady

nr 152) zawiera szereg podstawowych zasad, na których opiera się cały proces przetwarzania informacji. Jakie są te zasady? Tutaj możemy wyróżnić następujące kwestie:

Wszelkie działania muszą być prowadzone w oparciu o uczciwą i legalną podstawę. Istnienie rozpatrywanego projektu ustawy potwierdza tę zasadę.
Należy ustalić konkretny, jasny cel. Jakiekolwiek odstępstwa od tego celu są niedopuszczalne (celem jest ochrona praw obywateli).
Należy zapewnić dokładność, wystarczalność i przydatność określonych celów. Treść musi być ustalona (ustawa o danych osobowych to przewiduje).
Przechowywanie wszystkich niezbędnych danych musi odbywać się zgodnie ze wszystkimi terminami, wymaganiami i celami.

Zatem rozpatrywany akt prawny zawiera wszystkie niezbędne zasady, na których można oprzeć działania w zakresie ochrony informacji.

Warunki

Przetwarzanie danych osobowych musi odbywać się nie tylko zgodnie z określonymi zasadami, ale także ściśle pod określonymi warunkami. Jakie są te warunki i jak są pogrupowane? Oto co warto podkreślić:

Obowiązkowa zgoda obywatela na przetwarzanie jego danych jest najważniejszym warunkiem zawartym w ustawie „O danych osobowych” (ustawa federalna nr 152).
Wszelkie przetwarzanie danych ma na celu przede wszystkim osiągnięcie określonych celów regulowanych przepisami prawa i traktatami Federacji Rosyjskiej.
Przetwarzanie danych osobowych ma na celu wymierzenie sprawiedliwości lub dokonanie jakichkolwiek czynności prawnych.
Jeżeli uzyskanie zgody od obywatela jest niemożliwe, przetwarzanie jego danych powinno odbywać się nadal w przypadkach, gdy życie lub zdrowie tej osoby jest zagrożone.

Warto również zaznaczyć, że przetwarzaniem wszystkich niezbędnych danych osobowych muszą zajmować się specjalni, uprawnieni operatorzy. Obowiązki tych specjalistów zostaną podane poniżej.

Kategorie

Rozporządzenie o ochronie danych osobowych zawiera określone rodzaje i kategorie elementów informacji, które podlegają przetwarzaniu. O czym dokładnie mówimy? Krótko mówiąc, główne kategorie można scharakteryzować jako przekonania rasowe, narodowe, religijne lub inne przekonania przewidziane w odpowiedniej ustawie. Ich przetwarzanie powinno odbywać się wyłącznie za bezpośrednią zgodą obywatela i zgodnie z wszelkimi normami, standardami i zasadami.

Trzeba przyznać, że bardzo trudno jest bardziej szczegółowo ujawnić główne kategorie danych osobowych. Ale z reguły są to poufne informacje dotyczące różnego rodzaju osób, urzędników państwowych, personelu wojskowego itp. Wszystko, czego obywatel nie chciałby ujawniać publicznie, musi znajdować się pod ochroną państwa. Są to dane paszportu osobistego, numery świadectwa lub prawa jazdy, przekonania ideologiczne itp.

Prawa podmiotów

Ustawa „O danych osobowych” (ustawa federalna nr 152) stanowi, że każdy obywatel, którego dane są przetwarzane, ma prawo w dowolnym momencie otrzymać wszystkie niezbędne informacje zarówno o jego danych, jak i poziomie ich ochrony. Każda osoba może złożyć specjalną prośbę, po czym każdy dostępny operator musi podać wszystkie niezbędne dane.

W takim przypadku podmiot ma prawo:

aby wyświetlić wszystkie niezbędne dane;
zniszczenia przetwarzanych informacji;
dokonać pewnych zmian w informacjach.

W celu uzyskania wszelkich niezbędnych informacji podmiot musi złożyć wniosek podając swój numer personalny (dowód osobisty). Ponadto każdy obywatel ma prawo zwracać się z wielokrotnymi żądaniami do niezbędnych organów.

Warto również zaznaczyć, że operator ma prawo odmówić podmiotowi przeglądania niezbędnych informacji. Odmowa ta musi być jednak uzasadniona. Z reguły głównymi powodami są błędnie wypełniony wniosek, niedokończone przetwarzanie danych lub ograniczony status prawny samego podmiotu.

Obowiązki operatora

Kim są operatorzy? Pracownicy ci zostali już omówieni powyżej, ale nigdy nie zidentyfikowano ich głównych funkcji. Odpowiednie rozporządzenie o ochronie danych osobowych reguluje, co następuje:

operator ma obowiązek poinformować podmiot o swoim stanowisku, nazwisku i imieniu oraz adresie;
musi pracować w ścisłej zgodzie z prawem, w oparciu o określone akty prawne;
ma obowiązek poinformować podmiot o wszelkich niezbędnych zasadach korzystania z danych osobowych;
ma obowiązek zapewnić wysoką jakość rejestrowania, przechowywania, systematyzacji, gromadzenia i modyfikacji wszelkich chronionych i przetwarzanych danych osobowych.

Warto również zauważyć, że operator ma prawo nie przekazywać obywatelowi danych osobowych, jeśli są one aktywnie przetwarzane lub jeśli sam podmiot nie spełnił wszystkich niezbędnych zasad i warunków uzyskania danych osobowych.

Środki bezpieczeństwa

Główne funkcje i obowiązki operatorów – pracowników w zakresie przetwarzania danych osobowych – zostały opisane powyżej. Jedną z najważniejszych funkcji każdego operatora pozostaje zapewnienie bezpiecznego przechowywania informacji w odpowiednich zasobach. Ustawa federalna Federacji Rosyjskiej z dnia 27 lipca 2006 r. (nr 152, ustawa federalna) reguluje podstawowe środki i metody zapewniające wysoką jakość bezpieczeństwa wszelkich danych osobowych. Oto, co możemy tutaj wyróżnić:

skuteczna i szybka identyfikacja zagrożeń bezpieczeństwa oraz ich szybka eliminacja;
jasne stosowanie różnorodnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przechowywania;
sporządzanie szacunków dla odpowiednich procedur, analiza prac magazynowych i akumulacyjnych;
zapewnienie wysokiej jakości nośników komputerowych oraz różnego rodzaju elementów technicznych;
szybkie przywrócenie dostępu do wszystkich danych osobowych w przypadku ich wycieku lub utraty.

Ponadto niektóre zmiany w prawie dotyczą także ustanowienia określonych poziomów bezpieczeństwa, według których możliwa jest jakościowa ocena pracy nad przetwarzaniem danych osobowych.

Upoważniony organ

Wreszcie trzeba mówić o uprawnionym organie, do którego obowiązków należy kontrola nad przetwarzaniem danych osobowych niektórych obywateli. Łatwo się domyślić, że organem uprawnionym jest władza wykonawcza. Do jego obowiązków należy kontrola jakości i nadzór nad efektywną pracą przetwarzania informacji. Do czego uprawniony organ ma prawo?

Reguluje to ustawa nr 152 (FZ) „O danych osobowych”.

Wybór redaktora

Pomiar szybkości umysłowej i czasu reakcji

Celem pracy jest określenie czasu reakcji człowieka. Zapoznanie z obróbką statystyczną wyników pomiarów i...

Jak sprawdzić wyniki ujednoliconego egzaminu państwowego na podstawie danych paszportowych

Wyniki jednolitego egzaminu państwowego. Kiedy publikowane są wyniki Jednolitego Egzaminu Państwowego, Jednolitego Egzaminu Państwowego i Egzaminu Państwowego oraz jak je znaleźć. Jak długo utrzymują się rezultaty...