Lista szczególnych danych osobowych. Szczególne kategorie danych osobowych i kto może żądać dostępu do nich

W codziennych czynnościach człowieka sytuacje pojawiają się, kiedy tego potrzebuje. Ważne jest, aby w przypadku, gdy podmiot poprosi o dostęp do nich, zgodę na przetwarzanie może wyrazić wyłącznie ich właściciel, poza pewnymi momentami przewidzianymi przez prawo.

Są to informacje dotyczące osoby fizycznej, które na tej podstawie ją identyfikują.

Do ustalenia tożsamości osoby wystarczy jedna lub więcej informacji, dane osobowe (PD) są poufne i przy przetwarzaniu przez operatora należy przestrzegać tego wymogu.

W roli operatorów mogą działać władze państwowe i miejskie, organizacje, a nawet zwykli ludzie. Przykładowo podczas tworzenia strony internetowej rejestracja wymaga podania wymaganych informacji: numeru telefonu, imienia i nazwiska czy adresu pocztowego. Właściciel tego zasobu otrzymuje do niego dostęp i utrzymuje go w tajemnicy.

Rodzaje danych osobowych:

• Informacje specjalne
• Informacje publiczne
• Informacje biometryczne
• Inne informacje

Dane specjalne

Szczególne kategorie danych osobowych – informacje wpływające na stosunek do rasy lub narodu, kwestie poglądów politycznych, religijnych i filozoficznych. Dotyczy to również informacji o stanie zdrowia jednostki i jej życiu intymnym. Operatorzy nie żądają ani nie rozpowszechniają tych informacji bez pisemnego potwierdzenia zgody właściciela.

Wyjątkiem są następujące przypadki:

Dane publiczne

Dane publiczne to informacje, które inny podmiot otrzymuje na temat danej osoby za zgodą tej osoby. Aby potwierdzić zgodę, wystarczy ograniczyć się do zgody ustnej, przy czym w przypadku kwestii kontrowersyjnych operator musi być w stanie tę zgodę udowodnić.

Dotyczy to danych znajdujących się w źródłach o otwartym dostępie. Należą do nich spisy adresowe i książki adresowe, jeżeli materiały są w nich umieszczone za zgodą wskazanej osoby. Dostępu do tych informacji nie da się kontrolować, każdy może się o nich dowiedzieć. Informacje stają się publicznie dostępne również wtedy, gdy podmiot osobiście umieścił je w domenie publicznej, ale nawet wtedy operator ma obowiązek wystąpić o pozwolenie na ich rozpowszechnianie.

Na żądanie podmiotu informacje te należy natychmiast usunąć z miejsc publicznych, jeżeli istnieje do tego odpowiednia władza lub inne władze.

Informacja publiczna obejmuje:

• Pełne imię i nazwisko
• Adres
• Data urodzenia
• Stan cywilny
• Edukacja jednostki
• Inne informacje

Dane biometryczne

Informacje biometryczne to informacje umożliwiające identyfikację osób na podstawie ich cech fizjologicznych. Na tej podstawie można ustalić tożsamość poszukiwanej osoby. Do uzyskania takich informacji zobowiązany jest właściciel, z wyjątkiem przypadków przewidzianych przez prawo.

Informacje tego typu obejmują przede wszystkim zdjęcia i. Jednakże obraz wideo z kamer znajdujących się na obszarze chronionym nie kwalifikuje się jako informacja biometryczna, dopóki nie zostanie wykorzystany do identyfikacji konkretnej osoby.

To samo można powiedzieć o danych zawartych w dokumentacji medycznej i historii choroby, gdyż placówki medyczne nie wykorzystują tych informacji w celu identyfikacji osoby i nikomu ich nie udostępniają. Jednak gdy tylko materiały te zostaną przekazane na żądanie uprawnionym organom do operacyjnych czynności dochodzeniowych, zmieniają swój status.

Na co zwrócić uwagę

Prawo ma niuanse, na które należy również zwrócić uwagę:

Podmiot danych osobowych może jedynie wyrazić zgodę lub nie wyrazić zgody na przetwarzanie swoich danych w formie dozwolonej przez przepisy prawa. Obowiązki zachowania poufności spoczywają na operatorze. , zwłaszcza te należące do specjalnej kategorii, są ścigane i regulowane przez Roskomnadzor.

Napisz swoje pytanie w poniższym formularzu

Klasa 1 oznacza systemy informatyczne, które w przypadku naruszenia danej cechy bezpieczeństwa będą prowadzić do znaczących negatywnych konsekwencji dla podmiotu. Przeciwnie, naruszenie bezpieczeństwa przechowywania danych w klasie nie będzie prowadzić do negatywnych konsekwencji.

Przedmioty

Podmiot to osoba fizyczna zidentyfikowana i ustalona w trakcie przetwarzania danych osobowych. W zależności od celu tworzenia systemu, kategorie się różnią.

Rozważmy przykład klasyfikacji podmiotów na przykładzie banku(bez przetwarzania własnych danych):

• Klienci. Do tej kategorii zaliczają się osoby fizyczne (deponenci, kredytobiorcy) i osoby prawne (menedżerowie, którzy zawarli z bankiem umowy o świadczenie usług).
• Pracownicy. Do tej kategorii będą należeć wszyscy pracownicy banku, a także przedstawiciele świadczący usługi na podstawie umowy.
• Goście. Dotyczy to urzędników - przedstawicieli państwowych organów ustawodawczych, wymiaru sprawiedliwości, organizacji publicznych, różnych usług komercyjnych i non-profit.
• Inne tematy. Mogą to być akcjonariusze banku lub członkowie Zarządu.

Rodzaje przetwarzania

Przetwarzanie oznacza wszelkie działania (odczytywanie, gromadzenie, rozpowszechnianie, usuwanie, modyfikację) danych osobowych. Istnieją dwa rodzaje przetwarzania danych:

Jakie informacje są istotne?

• Specjalne – są to dane charakteryzujące poglądy, światopoglądy i przekonania, przynależności do różnych grup, czyli lista może zawierać informacje o narodowości, rasie, religii, filozofii i przekonaniach politycznych. Takie dane pozwalają nam wyobrazić sobie, jaka jest dana osoba.
• Ogólne – informacje dostępne publicznie. Z reguły są one dostarczane przez samą osobę i rozpowszechniane za ustną lub pisemną zgodą. Katalogi, strony internetowe, książki mogą zawierać imię i nazwisko, adres, numer telefonu, datę urodzenia, miejsce pracy lub nauki.

  WAŻNY! Zgodnie z art. 152 ustawy federalnej „O danych osobowych” w każdej chwili możesz zażądać usunięcia danych osobowych z publicznie dostępnych źródeł.

• Biometryczne to dane oparte na cechach fizjologicznych lub biologicznych, które umożliwiają identyfikację osobistą. Są niepowtarzalne i nie będą powtarzane. Do tej kategorii zaliczają się zdjęcia osób, odciski palców, kod DNA, wzór tęczówki, głos itp.
• Inne – w tej kategorii znajdują się dane nieujęte w trzech poprzednich. Może to obejmować wskaźniki medyczne, społeczne i inne.

Wniosek

Ochrona danych osobowych danej osoby jest najwyższym priorytetem. Powyższa klasyfikacja została opracowana przez czołowych ekspertów i jest z powodzeniem stosowana od kilku lat. Wielu pracowników zajmujących się przetwarzaniem systemu danych nadal z powodzeniem wykorzystuje go w swojej pracy.

Do niedawna wydawało mi się, że wraz z klasyfikacją wszystko już dawno się wyjaśniło. Okazało się, jak sugerowali starsi towarzysze z Nowosybirska RKN, nie. Po chwili namysłu zdecydowałem się złożyć wszystko w jedną całość, ograniczając się do poziomu 152-FZ.

Po pierwsze, w 152-FZ można prześledzić co najmniej dwa podejścia do klasyfikacji danych:

1. o treści przetwarzanych danych osobowych;
2. według rodzajów przetwarzania danych osobowych.

W takim przypadku ustawodawca w zależności od wyników klasyfikacji ustala:

1. dodatkowe ograniczenia w zakresie podstaw przetwarzania danych osobowych;
2. cechy przetwarzania PD.

W ten sposób możemy rozróżnić:

• Szczególne kategorie danych osobowych – zamknięta lista podana w art. 10 obejmująca: rasę, narodowość, poglądy polityczne, religię, filozofię, zdrowie, życie intymne. Przetwarzane na podstawie Prawa lub za zgodą podmiotu. Tutaj, w ramach ustawy federalnej 152, ustanawia się ograniczenia na podstawie podstawy przetwarzania: pisemnej zgody, podstawy prawnej lub publicznie dostępnego PD.
• Jest ich więcej super specjalna kategoria, które są przetwarzane tylko wtedy, gdy istnieje ustawa federalna określająca potrzebę przetwarzania, zgoda w tym przypadku nie stanowi podstawy do przetwarzania. Mówię o karalności (patrz część 3 artykułu 10). Właściwie specjalne wymagania zmuszają mnie do rozdzielenia tych PD w oddzielną klasę.
• Dane osobowe udostępnione publicznie przez osobę, której dane dotyczą. Ustawodawca wymaga tutaj pisemnej zgody podmiotu. Należy również zauważyć, że wymogi art. 19 nie są wyraźnie anulowane w przypadku tego typu danych.

2. według rodzajów i celów przetwarzania danych osobowych:

• Biometryczne dane osobowe to fizjologiczne i biologiczne cechy osoby, na podstawie których można ustalić jej tożsamość i które służą operatorowi do ustalenia jej tożsamości. Ograniczenia ustanowione przez prawo: pisemna zgoda i specjalna procedura przechowywania danych poza adresem IP.
• Transgraniczny transfer danych osobowych. Wyróżnia się trzy rodzaje transgranicznego przekazywania danych: kraje będące stronami Konwencji Rady Europy, kraje niebędące stronami Konwencji Rady Europy, ale zapewniające odpowiednią ochronę praw do danych osobowych oraz kraje niebędące stronami Konwencji Rady Europy Konwencji Rady Europy i nie zapewniają odpowiedniej ochrony praw do danych osobowych. W przypadku przekazania do krajów ostatniej grupy konieczna jest albo podstawa prawna (ustawa, umowa), albo zgoda podmiotu, albo ochrona żywotnych interesów podmiotu.
• PD w GIS i MIS. Przetwarzanie odbywa się zgodnie z właściwymi przepisami prawa federalnego, wprowadzane są także ograniczenia dotyczące sposobów wskazywania własności danych osobowych.
• PD przy promocji towarów, robót budowlanych, usług na rynku, a także w celach agitacji politycznej. Ograniczenia ustanowione przez prawo: nawet jeśli PD uzyskano z otwartych źródeł, wymagana jest zgoda dowodowa podmiotu, a nie pisemna.
• PD w systemie informatycznym z decyzjami podejmowanymi wyłącznie w drodze zautomatyzowanego przetwarzania. Zastrzeżenie: zgoda pisemna, wyjaśnienie skutków decyzji i sposoby odwołania.

Adnotacja: Wykład umożliwia zapoznanie się z podstawowymi pojęciami i podstawowymi przepisami Federacji Rosyjskiej w zakresie ochrony danych osobowych.

regulatory są organami rządowymi uprawnionymi do podejmowania działań kontrolnych i nadzorczych w związku z przestrzeganiem wymogów prawa federalnego. Ustawa federalna „O danych osobowych” ustanawia trzy organy regulacyjne:

• Roskomnadzor (ochrona praw osób, których dane dotyczą)
• FSB (wymagania w zakresie kryptografii)
• FSTEC Rosji (wymagania dotyczące ochrony informacji przed nieuprawnionym dostępem i wyciekiem kanałami technicznymi).

Ponieważ ustawa federalna „O danych osobowych” jest jedynie podstawą prawnego wsparcia w zakresie ochrony danych osobowych, jej wymagania zostały następnie określone w ustawach Rządu Federacji Rosyjskiej i Ministerstwa Komunikacji oraz dokumentach regulacyjnych i metodologicznych organów regulacyjnych .

2.2. Kategorie danych osobowych

Ustawa federalna „O danych osobowych” określa następujące kategorie danych osobowych.

Publiczna policja - dane, do których dostęp ma nieograniczona liczba osób za zgodą podmiotu PD lub w stosunku do których zgodnie z prawem federalnym nie obowiązują wymogi dotyczące poufności. Publiczne źródła danych osobowych tworzone są w celach informacyjnych (np. książki telefoniczne i adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimię, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe przekazane przez podmiot danych osobowych.

Należy pamiętać, że informacja o przedmiocie danych osobowych może zostać w każdej chwili wykluczona ze źródeł publicznie dostępnych na wniosek podmiotu lub na mocy decyzji sądu lub uprawnionych organów rządowych.

Specjalne kategorie PD - dane osobowe dotyczące rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, zdrowia, życia intymnego. Ich przetwarzanie jest dozwolone wyłącznie w następujących przypadkach:

• osoba, której dane dotyczą wyraziła pisemną zgodę na przetwarzanie swoich danych osobowych;
• dane osobowe są publicznie dostępne;
• dane osobowe dotyczą stanu zdrowia podmiotu danych osobowych i uzyskanie jego zgody jest niemożliwe lub przetwarzanie danych osobowych odbywa się przez osobę zawodowo zajmującą się działalnością medyczną i zobowiązaną zgodnie z ustawodawstwem Federacji Rosyjskiej do zachować tajemnicę lekarską;
• przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej, z zastrzeżeniem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;
• przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej lub jest niezbędne w związku z wymiarem sprawiedliwości.

Wspólne zarządzenie FSTEC, FSB i Ministerstwa Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej z dnia 13 lutego 2008 r. N 55/86/20 „W sprawie zatwierdzenia Procedury klasyfikacji systemów informatycznych danych osobowych” określa, co następuje: kategorie danych osobowych, które są przetwarzane w ISPD:

Definicja danych biometrycznych w ustawodawstwie rosyjskim zapewnia podmiotowi przetwarzającemu dane osobowe możliwość podjęcia niezależnej decyzji o zakwalifikowaniu niektórych danych jako biometrycznych. Wywołało to wiele kontrowersji. Spójrzmy na przykład ze zdjęciem. Z jednej strony charakteryzuje fizjologiczne cechy człowieka. Jednak z biegiem czasu dana osoba może się bardzo zmienić, a atakujący może sfałszować zewnętrzne oznaki legalnego podmiotu. Czy w tym przypadku identyfikacja jest aż tak oczywista? Organy regulacyjne potwierdzają obecnie, że zdjęcia i obrazy wideo są klasyfikowane jako dane biometryczne.

2.3. Prawa podmiotu danych osobowych

Osoba, której dane dotyczą, to osoba fizyczna, którą można jednoznacznie zidentyfikować na podstawie danych osobowych, czyli de facto osoba, której dane wymagają ochrony. Rozważmy podstawowe prawa podmiotu danych osobowych ustanowione w ustawie federalnej nr 152.

1. Prawo osoby, której dane dotyczą, do dostępu do swoich danych osobowych. Zakłada to prawo podmiotu do otrzymania informacji o operatorze danych osobowych i jakie PD związane z tym podmiotem przetwarza, a także bezpośredni dostęp do tego PD. Podmiot ma prawo żądać od operatora wyjaśnienia PD, jego zablokowania lub zniszczenia, jeżeli jest nieaktualny, niekompletny lub nie jest niezbędny do wskazanego celu przetwarzania. Dostęp do Twoich danych osobowych uzyskuje podmiot (lub jego przedstawiciel) w trakcie kontaktu lub na podstawie wniosku. Otrzymane informacje mogą zawierać następujące informacje:
   • cel przetwarzania PD
   • Metody przetwarzania WNZ
   • Ramy czasowe przetwarzania PD
   • lista osób dopuszczonych do przetwarzania PD
   • lista przetworzonych PD i źródło ich otrzymania
   • informację o możliwych konsekwencjach prawnych przetwarzania PD dla podmiotu PD.

   Ustawa określa przypadki, w których to prawo podmiotu danych osobowych jest ograniczone, np. gdy chodzi o bezpieczeństwo państwa, naruszenie konstytucyjnych praw i wolności innych osób lub operacyjne czynności dochodzeniowe.

2. Prawa podmiotów PD przy przetwarzaniu ich danych osobowych w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej. W takim przypadku przetwarzanie odbywa się wyłącznie za uprzednią zgodą podmiotu. Co ważne, przetwarzanie uznaje się za dokonane bez zgody podmiotu, chyba że operator udowodni inaczej. Operator ma obowiązek natychmiastowego zaprzestania przetwarzania PD na żądanie podmiotu.
3. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych. Prawo zabrania podejmowania decyzji dotyczących przedmiotu danych osobowych wyłącznie na podstawie zautomatyzowanego przetwarzania, chyba że uzyskana zostanie jego zgoda na piśmie lub w przypadkach przewidzianych przez prawo federalne.
4. Prawo do odwołania się od działań lub zaniechań operatora. Jeżeli podmiot PD uważa, że ​​operator przetwarza jego PD w sposób niewłaściwy, czyli narusza jego prawa, może zwrócić się do uprawnionego organu w celu ochrony praw osób, których dane dotyczą, lub do sądu.

Należy zaznaczyć, że podmiot danych osobowych ma prawo do odszkodowania za straty oraz naprawienia szkody materialnej przed sądem.

2.4. Obowiązki operatora danych osobowych

Wcześniej przyglądaliśmy się koncepcji operatora danych osobowych i działania, które są przetwarzanie danych osobowych. Na podstawie definicji możemy stwierdzić, że wszystkie organizacje bez wyjątku są operatorami PD, ponieważ gromadzą, gromadzą i przetwarzają informacje o swoich pracownikach w ramach Kodeksu pracy Federacji Rosyjskiej. Ponadto wiele organizacji gromadzi informacje o swoich klientach, kontrahentach, dostawcach i partnerach w ramach swojej podstawowej działalności. Do głównych obowiązków operatora PD należy powiadamianie Roskomnadzor o przetwarzaniu PD i w rzeczywistości ochrona PD.

Prawo przewiduje przypadki, w których operator nie jest zobowiązany do powiadamiania Roskomnadzor o przetwarzaniu danych osobowych:

1. jeżeli jest związany z podmiotem stosunkami pracy;
2. jeżeli pomiędzy operatorem a podmiotem istnieje umowa, a dane są niezbędne do wywiązania się z wynikających z niej obowiązków;
3. jeżeli dane dotyczą członków związków wyznaniowych i organizacji publicznych i są przetwarzane zgodnie z dokumentami założycielskimi i przepisami prawa.
4. jeżeli dane są publicznie dostępne;
5. jeśli zawierają tylko imię i nazwisko;
6. dane są niezbędne do jednorazowego przejazdu na teren operatora lub do podobnych celów;
7. jeżeli dane są zawarte w federalnych zautomatyzowanych systemach informacyjnych i stanowych systemach informacji o danych osobowych;
8. jeżeli dane są przetwarzane bez użycia narzędzi automatyzacji zgodnie z prawem Federacji Rosyjskiej.

Należy pamiętać, że operator ma obowiązek nie nadawać dane osobowe osobom trzecim.

Jednocześnie wiele organizacji popełnia błąd, że jeśli nie mają obowiązku powiadamiania uprawnionego organu o przetwarzaniu PD, to mogą nie dopełnić obowiązków nałożonych przez prawo na operatorów PD. Takie działania są nielegalne, są jednoznacznie interpretowane jako nieprzestrzeganie wymogów prawa i podlegają karze środków przewidzianych przez ustawę.

Rozważmy główne obowiązki operatora danych osobowych przewidziane w ustawie federalnej nr 152:

1. Zapewnienie bezpieczeństwa przetwarzania danych osobowych, co oznacza obowiązek „podjęcia niezbędnych środków organizacyjnych i technicznych ochrona danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.”
2. Zgłoszenie charakteru przetwarzania danych osobowych. Zgodnie z art. 2 ustawy federalnej nr 152 przed rozpoczęciem przetwarzania danych osobowych operator jest zobowiązany powiadomić upoważniony organ ds. ochrony praw podmiotów danych osobowych (Roskomnadzor) o swoim zamiarze przetwarzania danych osobowych. Roskomnadzor wprowadza informacje o operatorze do rejestru operatorów. Informacje zawarte w rejestrze, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.
3. Otrzymując dane osobowe (w tym od osób trzecich) operator PD, przed rozpoczęciem przetwarzania, zobowiązany jest uzyskać pisemną zgodę podmiotu tego PD na ich przetwarzanie (z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub jeżeli są one publicznie dostępne). Należy pamiętać, że podmiot ma prawo odwołać tę zgodę.
4. Operator ma obowiązek na żądanie podmiotu PD udzielić wszelkich dostępnych informacji o nim, celach i warunkach przetwarzania oraz sposobach ochrony jego danych osobowych.

   Operator ma także obowiązek zniszczyć lub zablokować odpowiednie dane osobowe, dokonać w nich niezbędnych zmian po przekazaniu przez podmiot PD lub jego prawnego przedstawiciela informacji potwierdzającej, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora są niekompletne, nieaktualne, nierzetelne, otrzymane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania.

   Ponadto operator PD ma obowiązek przedstawić dowód uzyskania zgody PD na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych ma obowiązek wykazać, że przetwarzane PD jest publicznie dostępne.

5. Kontrola i nadzór nad działalnością operatorów danych osobowych przez agencje rządowe. Oznacza to obowiązek operatora zgłaszania uprawnionemu organowi ochrony praw osób, których dane dotyczą, na jego żądanie, informacji niezbędnych do realizacji działań tego organu. Państwo powierzyło funkcje kontrolne i nadzorcze Roskomnadzorowi, FSTEC i FSB.

Prawo przewiduje także przypadki, w których nie jest wymagana zgoda podmiotu danych osobowych na przetwarzanie informacji o nim:

1. przetwarzanie danych osobowych odbywa się na podstawie innych przepisów federalnych, na przykład niektóre ustawy federalne przewidują przypadki obowiązkowego podania przez podmiot danych osobowych swoich danych osobowych w celu ochrony podstaw ustroju konstytucyjnego, moralności , zdrowie, prawa i uzasadnione interesy innych osób, zapewniające obronę kraju i bezpieczeństwo państwa;
2. operatora i podmiot danych osobowych łączy umowa o dokonaniu czynności wymagających przetwarzania danych osobowych tego podmiotu, np. umowa, na mocy której biuro podróży (operator) ma prawo do korzystania z danych osobowych podmiotu dane do rezerwacji hotelu;
3. przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie jego zgody jest niemożliwe, np. hospitalizacja osoby w wyniku nieszczęśliwego wypadku;
4. przetwarzanie danych osobowych jest niezbędne do doręczania przesyłek pocztowych przez organizacje pocztowe, do dokonywania przez operatorów telekomunikacyjnych płatności na rzecz użytkowników usług komunikacyjnych za świadczone usługi komunikacyjne, a także do rozpatrywania roszczeń użytkowników usług komunikacyjnych;
5. przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub na potrzeby działalności naukowej, literackiej lub innej twórczej, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;
6. przetwarzane są dane osobowe podlegające publikacji zgodnie z prawem federalnym, w tym dane osobowe osób zajmujących stanowiska rządowe, stanowiska w państwowej służbie cywilnej, dane osobowe kandydatów na wybieralne stanowiska stanowe lub samorządowe.

We wszystkich pozostałych przypadkach operator musi przestrzegać wymogów rosyjskiego ustawodawstwa dotyczących przetwarzania danych osobowych. Prawo przewiduje odpowiedzialność cywilną, karną, administracyjną, dyscyplinarną i inną za naruszenie jego wymagań.

Zatem Kodeks wykroczeń administracyjnych przewiduje maksymalną karę grzywny w wysokości 500 000 rubli za nieprzestrzeganie porządku prawnego Roskomnadzor (art. 19 ust. 5 kodeksu administracyjnego). Ten sam Kodeks przewiduje zawieszenie działalności organizacji na okres do 90 dni w przypadku prowadzenia działań mających na celu ochronę danych osobowych bez licencji (art. 19.20 Kodeksu administracyjnego).

Kodeks karny przewiduje karę grzywny w wysokości 300 000 rubli, pracę przymusową do 1 roku, areszt do 6 miesięcy i pozbawienie prawa sprawowania urzędu do 5 lat w przypadku popełnienia ochrona danych osobowych bez zezwolenia, jeżeli czyn ten wyrządził obywatelom poważną szkodę (art. 171 k.k.).

W przypadku systematycznych i rażących naruszeń Roskomnadzor ma prawo wystąpić z wnioskiem o cofnięcie licencji na główny rodzaj działalności.