Protezione dei dati personali. Legge federale "sui dati personali" del 27 luglio 2006 N 152-ФЗ: contenuto e commenti
Le questioni legali relative alla protezione dei dati personali riguardano gli avvocati che operano in vari settori della legge. Ciò è dovuto al fatto che in ogni area del diritto esiste un certo elenco di informazioni che richiede di garantire la riservatezza e la non proliferazione a terzi da parte di coloro ai quali è stata affidata nel corso delle sue funzioni ufficiali.
Quindi, considereremo ulteriormente quali informazioni appartengono a questo gruppo, così come le caratteristiche del sistema per la protezione dei dati personali. Come lavora in imprese e organizzazioni? Inoltre, considerare cosa dovrebbe essere incluso nella struttura del regolamento sulla protezione dei dati personali dei dipendenti (campione) e come è accettato.
Concetto generale
Se parliamo di un concetto generale, le informazioni riservate sono tutte quelle informazioni direttamente correlate a un individuo specifico. Di regola, questi sono i suoi dati personali. Se per spiegare un termine legale, questa persona nella pratica di specialisti legali è indicata come l'oggetto di dati personali.
Quali dati ritiene che il legislatore consideri? Prima di tutto, questo è il cognome, il nome e il patronimico della persona, così come la data e il luogo della sua nascita. Inoltre, al gruppo di quelli appartengono le informazioni sul suo luogo di residenza dopo il fatto, così come la registrazione. Le informazioni sullo stato civile di una persona, così come sul suo stato sociale, reddito e istruzione, appartengono anche al gruppo di informazioni riservate.
Regolamento legislativo del lavoro con dati personali in Russia. Regolamenti di base
Per quanto riguarda la legislazione russa, fornisce un'adeguata protezione dei dati personali di persone che non sono solo cittadini del paese, ma risiedono nel suo territorio per qualsiasi motivo. La legislazione che disciplina questi problemi è rappresentata da diversi regolamenti. In particolare, la legge di base - la Costituzione, così come la legge federale 152 "sulla protezione dei dati personali" può essere attribuita al gruppo di tali. Le modifiche a questi regolamenti non sono fatte molto spesso, il che consente agli specialisti di studiare ogni nuovo emendamento in modo più approfondito e metterlo in pratica correttamente.
Oltre alla legislazione russa, le questioni relative alla protezione dei dati personali sono regolate da regolamenti internazionali. Inoltre, questa attività viene svolta anche sulla base di atti normativi emessi dalle autorità locali esistenti nello stato. Il legislatore osserva che tali regolamenti possono contenere regolamenti relativi al trattamento di dati di un particolare tipo, ma non è possibile fornire regole per limitare alcuni diritti dei soggetti che sono portatori di dati personali.
Tutte le leggi e regolamenti, in cui le prescrizioni relative al trattamento dei dati personali, nonché la garanzia della loro protezione sono prescritte, in conformità con la legge, devono essere pubblicate ufficialmente sulle risorse disponibili al pubblico. Questa regola ha un'eccezione, che riguarda i documenti che regolano il lavoro con informazioni segrete: queste informazioni dovrebbero essere protette dall'accesso in un ordine abbastanza rigoroso.
Principi di elaborazione dei dati personali
Il testo della legge federale 152 "sulla protezione dei dati personali" stabilisce che il lavoro con informazioni che costituiscono informazioni personali dovrebbe essere svolto esclusivamente in conformità con determinati principi. Cosa sono? Considera questo ulteriormente in maggior dettaglio.
Prima di tutto, tutte le azioni dei dipendenti di organismi e servizi che si occupano del trattamento delle informazioni personali dovrebbero essere svolte tenendo conto del principio di base - legalità. Ciò significa che tutte le informazioni disponibili nel database devono essere ottenute legalmente, in buona fede e adeguatamente elaborate, esclusivamente nell'ambito delle finalità per le quali sono state fornite. Inoltre, ufficiale che è impegnato nel trattamento delle informazioni a lui affidate, deve utilizzare i dati che consentono la portata della sua autorità.
Tutti i metodi di trattamento delle informazioni, nonché la loro natura e portata, devono essere pienamente conformi agli scopi per i quali sono state adottate le informazioni. Nel processo di attività, le informazioni non possono essere combinate per elaborarle all'interno di più obiettivi alla volta. Un'eccezione può essere solo il lavoro svolto nel sistema informativo.
Tutti i dati personali inviati per l'elaborazione devono essere affidabili: questo è anche uno dei principi fondamentali per lavorare con le informazioni sulla natura in questione. Il loro volume dovrebbe essere sufficiente per condurre l'operazione nella forma corretta, il legislatore non consente alla persona di richiedere informazioni ridondanti che non sono necessarie per eseguire tutte le azioni necessarie.
Condizioni alle quali è possibile il trattamento delle informazioni
Il regolamento sulla protezione dei dati personali prevede che tutto il lavoro con le informazioni fornite per il trattamento deve essere fatto legalmente. Cosa significa?
Prima di tutto, va ricordato che tutto il lavoro con i dati personali dovrebbe essere effettuato solo con il consenso della persona che lo possiede. Per quanto riguarda la persona che esegue la stessa procedura di lavoro, deve necessariamente essere autorizzata dalla legge o dalla persona giuridica separata in cui viene effettuato il trattamento. Nel caso in cui una persona che riceve informazioni durante il processo di elaborazione delle informazioni debba trasferirle a un altro dipendente di un'istituzione o organizzazione, l'altra persona è inoltre obbligata a garantire la loro sicurezza.
In alcuni casi, il legislatore prevede la possibilità di utilizzare i dati personali senza il consenso del soggetto, che è il loro vettore diretto. In particolare, ciò si applica al momento in cui i dati vengono utilizzati per compilare rapporti statistici, nonché per raggiungere obiettivi scientifici. Ciò vale anche nel caso in cui sia necessario garantire l'adempimento degli obblighi contrattuali, la tutela della vita e della salute di una persona o dell'intera società. Inoltre, l'autorizzazione del soggetto delle informazioni personali non è richiesta nel caso in cui le informazioni siano utilizzate nel lavoro di giornalisti, in attività creative o scientifiche. Tuttavia, il regolamento sulla protezione dei dati personali indica che le informazioni possono essere utilizzate esclusivamente per attività professionali e solo se la loro divulgazione non pregiudica l'oggetto di tali informazioni.
Obbligatorio per la pubblicazione senza il consenso dei vettori stessi sono soggetti a dati personali che appartengono a dipendenti comunali, persone che sostituiscono il primo ufficio pubblico, i candidati che partecipano alle elezioni.
Categorie speciali di informazioni personali
Il legislatore fornisce un certo elenco di informazioni personali, che sono alcune categorie di un tipo speciale. Questi includono informazioni sull'identità razziale di una persona, le sue convinzioni filosofiche e personali, la vita intima e lo stato di salute. Questi gruppi di informazioni sono specificamente protetti dalla legge e la loro divulgazione in nessun caso è consentita, tranne in alcuni casi. Cosa sono?
Prima di tutto, dovresti prestare attenzione al fatto che il consenso della persona alla divulgazione di dati personali relativi a categorie speciali non è richiesto se sono già disponibili pubblicamente. Per la maggior parte, questo riguarda personalità ben note, la cui vita in fonti disponibili al pubblico contiene una quantità considerevole di informazioni, incluse informazioni personali.
Nel caso in cui l'oggetto di informazioni personali di natura speciale dia il suo permesso scritto di divulgare informazioni, possono anche essere divulgate.
Per quanto riguarda le informazioni sullo stato della salute umana, la protezione delle informazioni personali di questo gruppo è fatta in modo speciale. Nella pratica legale moderna esiste una cosa come "segreto medico". È grazie a lui che è garantita la conservazione delle informazioni mediche relative a una persona. Le persone che, in virtù delle loro funzioni ufficiali, sono a conoscenza dello stato di salute del paziente, non hanno il diritto di divulgare le informazioni ricevute a terzi senza il consenso scritto del cliente dell'istituto medico. In caso contrario, una persona che non rispetta questa regola è soggetta a responsabilità. Per ottenere informazioni personali da un medico o da un altro professionista di un istituto medico o profilattico, il soggetto non ha bisogno di permesso, poiché l'incapacità dello specialista di ottenere informazioni riguardanti lo stato di salute può minacciarlo con la morte o un significativo deterioramento delle condizioni generali del corpo.
Nella pratica moderna è anche permesso elaborazione delle informazioni natura personale, rappresentata nel gruppo di informazioni speciali, effettuata nel processo di condurre azioni investigative o procedere nel caso nel merito.
Dati personali biometrici
Nell'era moderna dell'alta tecnologia, un nuovo tipo di informazioni personali sta guadagnando sempre più popolarità: i dati biometrici. Rappresentano un gruppo speciale di informazioni. Il trattamento e la protezione dei dati personali di questo tipo sono effettuati anche sulla base della legge della Federazione russa "Informazioni personali".
Il suddetto atto stabilisce che il trattamento dei dati biometrici, che includono tutte le informazioni che caratterizzano le caratteristiche biologiche di una determinata persona, può essere effettuato esclusivamente sulla base di un consenso scritto, che deve essere fornito direttamente dall'oggetto dei dati personali.
Tuttavia, nonostante tale rigore della legge in materia di protezione della riservatezza dei dati biometrici di una persona, c'è un'eccezione a questo. Consiste nell'assenza della necessità di fornire un consenso scritto della persona all'elaborazione delle informazioni biometriche nel caso di svolgimento di attività di ricerca operativa che possono essere svolte da organismi preposti all'applicazione della legge di varie categorie, nonché funzionari delle frontiere e dell'immigrazione.
Misure di sicurezza dei dati
Dopo che i dati personali dei soggetti sono stati accettati per l'elaborazione, l'operatore e le persone che accettano le informazioni per l'esame sono obbligati a garantire la loro sicurezza, che consiste, in primo luogo, in assenza della possibilità di raggiungere persone non autorizzate. Quali sono i requisiti per la protezione dei dati personali?
Le procedure relative alla conservazione dei dati personali degli individui dovrebbero essere eseguite dal momento in cui le informazioni vengono ricevute per l'elaborazione. Per questo, l'operatore che svolge questa attività deve adottare misure di natura tecnica e organizzativa che garantiscano l'obiettivo desiderato. In genere, questo viene fatto utilizzando strumenti di crittografia (crittografici), che impediscono l'accesso non autorizzato e accidentale alle informazioni inserite, la sua copia, il blocco, l'alterazione e altre operazioni che possono essere eseguite sui dati immessi nel modulo aperto.
Nel caso in cui i dati vengano elaborati all'interno dei sistemi informativi, deve essere garantita anche una sicurezza adeguata. Alcuni requisiti sono presentati per i materiali su cui sono archiviati i dati biometrici, nonché per le tecnologie con cui gli elementi sono conservati.
Al di sopra di quelle persone e servizi le cui attività sono connesse alla raccolta, al trattamento e alla memorizzazione di dati personali di persone, il legislatore stabilisce un certo controllo, che garantisce la corretta esecuzione di tutti i punti previsti dalla legge n. 152 "Sulla protezione dei dati personali". Come le persone e gli organi di controllo, in primo luogo, i rappresentanti dell'autorità esecutiva sono chiamati a garantire la sicurezza in vari campi di attività. Hanno il diritto di esercitare il controllo solo entro i limiti dell'autorità che la legge presenta loro, senza la possibilità di accedere direttamente alle informazioni riservate.
Qualsiasi attività di controllo e supervisione delle persone o degli organismi autorizzati può essere effettuata su richiesta individuale di una persona, la cui sicurezza dei dati personali non è stata fornita, e quindi sono trapelate. L'entità controllante è obbligata a prendere in considerazione l'appello presentato e quindi a fare un'ispezione, a seguito della quale devono essere prese misure per garantire ulteriormente la sicurezza delle informazioni personali affidate, nonché per eliminare le conseguenze negative che la loro divulgazione ha causato. Nel caso in cui l'operatore abbia ottenuto illegalmente informazioni o richiesto dati superflui, l'autorità di vigilanza è obbligata a richiedere la rimozione completa e il blocco.
Sulla riservatezza dei dati personali
L'attuale legge sulla protezione dei dati personali (FZ 152) prevede la necessità di garantire la riservatezza di tutte le informazioni fornite dai soggetti per l'elaborazione. Di norma questa responsabilità è imposta al gestore stesso, che accetta i dati per il trattamento e alle imprese, su determinate persone previste in un regolamento speciale. Tuttavia, in due casi, il legislatore consente ancora di rimuovere la riservatezza dalle informazioni. Il primo di questi è il caso in cui i dati sono completamente anonimi. In altre parole, possono essere divulgati, ma solo in modo tale che, in base alle informazioni fornite a terze parti, è impossibile determinare a chi si riferiscono specificamente le informazioni personali.
Il secondo caso di rimozione della riservatezza delle informazioni si riferisce alle informazioni già aperte. Di norma, tali dati personali comprendono il nome e il cognome di una persona, anno di nascita, città e luogo di residenza esatto, numero di telefono, nonché informazioni su istruzione, professione, risultati di carriera, ecc. Tuttavia, ciò è possibile solo quando l'oggetto delle informazioni personali ha dato il suo permesso scritto di rimuovere la riservatezza dalle informazioni.
Risoluzione del soggetto
Come accennato più volte, il trattamento dei dati personali della persona richiede la sua autorizzazione scritta per lavorare con le informazioni fornite all'operatore. Può essere fatto per iscritto e protetto con una firma personale. Se lo si desidera, il soggetto ha il diritto di revocare la sua autorizzazione in qualsiasi momento.
L'autorizzazione in questione deve necessariamente includere un determinato elenco di informazioni sull'argomento. Tra questi vi sono il nome, il cognome e il patronimico, il suo luogo di residenza, nonché i dati del documento rilasciato dallo stato, che ne certifica l'identità. Inoltre, deve necessariamente indicare lo scopo per cui sono fornite le informazioni per l'elaborazione, nonché un elenco specifico di informazioni che è stato accettato dall'operatore. Inoltre, il soggetto deve specificare il metodo di elaborazione delle informazioni a cui è d'accordo.
Alla fine del documento, il periodo deve essere specificato, durante il quale il consenso del soggetto è valido, e l'ordine in cui il documento scritto può essere rivisto.
Dopo aver contrassegnato tutti i dati di cui sopra, l'oggetto delle informazioni personali deve riportare la data in cui il documento è stato redatto, nonché la sua firma.
Nel caso in cui una persona non sia in grado di acconsentire al trattamento dei dati in relazione alla sua morte, gli eredi devono farlo. Se la persona è incapace, o, per ragioni fisiologiche, non è in grado di scrivere il proprio consenso, allora i suoi rappresentanti legali possono farlo.
Responsabilità dell'operatore
FZ 152 "Sulla protezione dei dati personali" rappresenta per l'interessato di tutte le parti interessate un determinato elenco di compiti che l'operatore deve affrontare, lavorando con dati personali dei soggetti.
Alla prima richiesta (orale o scritta), l'operatore è obbligato a fornire all'entità che è il portatore di informazioni personali, tutte le informazioni riguardo a quale scopo verranno utilizzati tutti i dati forniti, come esattamente saranno elaborati e anche per quanto tempo verrà eseguita una procedura. In ordine obbligatorio, queste informazioni dovrebbero anche essere fornite al momento della ricezione delle informazioni e della loro fissazione.
Nel caso in cui le informazioni personali debbano essere fornite su base obbligatoria, l'operatore deve comunicare l'oggetto di questo, nonché spiegare le possibili conseguenze legali del suo rifiuto di questa procedura.
In alcuni casi, l'operatore può ricevere dati personali di persone non da loro stessi, ma attraverso intermediari. In questo caso, è obbligato a comunicare all'oggetto informazioni personali su chi ha fornito le sue informazioni, nonché lo scopo per cui l'azione è stata eseguita.
Il trattamento e la protezione dei dati personali sono interamente a carico dell'operatore, che riceve informazioni da una persona. È lui che è responsabile per l'esecuzione impropria di questa sua responsabilità diretta.
Protezione dei dati personali in organizzazioni e imprese
Per qualsiasi persona che svolge attività lavorativa in qualsiasi impresa o organizzazione, vi è un deposito personale in conformità con i requisiti della legge, che riflette un'enorme quantità di informazioni che rappresentano informazioni personali. La loro sicurezza deve essere garantita anche con mezzi adeguati. Tutti i requisiti per questo processo si riflettono nel contenuto del regolamento sulla protezione dei dati personali dei dipendenti, che deve essere compilato individualmente da ciascuna impresa. Va notato che esiste un'unica forma di raccomandazione di questo atto normativo, che ha un carattere locale, tuttavia, per la maggior parte, contiene i principi e i requisiti di base per il contenuto. Se lo si desidera, qualsiasi impresa può adottare il proprio regolamento individuale sulla protezione dei dati personali dei dipendenti. Un campione di questo documento non fornisce le specifiche delle attività di conduzione di una particolare impresa, che può essere corretto se un singolo documento è sviluppato e adottato.
Per quanto riguarda la conservazione delle informazioni e la protezione dei dati personali dei dipendenti, queste funzioni possono essere eseguite nell'ordine di mantenere un database crittografato, nel quale vengono inseriti tutti i dati individuali forniti dai dipendenti. Tali sistemi di informazione, di regola, hanno natura locale o sistemica, inoltre, possono esserci molti di essi in un'impresa. I dati inseriti in tali database, di norma, contengono dati su posizione, stipendio, certificati, titoli accademici, premi, elenco di singoli clienti, stato sociale, ecc.
Sviluppo di regolamenti e documenti correlati
Il processo di sviluppo del regolamento in esame è anche prescritto nella legge federale "sulla protezione dei dati personali". La legge rileva che questo documento dovrebbe essere sviluppato e adottato concordando su ciascun articolo. Prima di tutto, dovrebbe essere sviluppata una bozza di documento in cui dovrebbero essere annotate tutte le principali disposizioni, tra le quali è necessario prevedere la procedura per il trattamento delle informazioni personali sui dipendenti.
A causa del fatto che qualsiasi soggetto di informazioni personali deve concedere il permesso di elaborare i propri dati personali, devono essere sviluppati due progetti aggiuntivi presso tutte le imprese e organizzazioni: consenso al trattamento delle informazioni fornite, nonché notifiche che tutti i dati saranno inclusi in una base comune. Inoltre, la società è obbligata a creare un documento, il cui contenuto sarà dato l'obbligo di archiviare correttamente le informazioni che hanno uno stato di accesso limitato.
Il fatto che la società gestirà il database in questione deve essere emesso un ordine, che deve essere firmato dal gestore o dalla persona autorizzata a farlo. Nel suo testo è necessario indicare il nome del database stesso, approvare la disposizione che viene introdotta nell'unità strutturale o l'intera impresa nel suo complesso, nonché identificare innovazioni nelle attività dei funzionari le cui attività sono direttamente correlate al trattamento delle informazioni personali e alla loro conservazione.
Dopo aver redatto tutti i documenti di cui sopra, la società dovrebbe avere una commissione per discutere le disposizioni presentate in essi. Solo dopo che tutte le persone incluse nella commissione sono soddisfatte con ciascuna disposizione, i documenti possono essere firmati e messi in atto.
Al fine di proteggere i dati personali, è possibile apportare modifiche alle unità strutturali delle imprese. Spesso vengono introdotti nuovi posti stabiliti per questo scopo, oppure vengono modificate le responsabilità delle persone che occupano posizioni esistenti. La legge "Sulla protezione dei dati personali" non stabilisce un elenco specifico di dipendenti che sono responsabili per la sicurezza delle informazioni affidate. Di norma, una tale cerchia di persone è determinata dai regolamenti di ciascuna impresa separatamente.
La struttura dello statuto sulla protezione dei dati personali (campione)
I dati personali dei dipendenti di qualsiasi azienda devono essere adeguatamente protetti. A questo scopo, quando si crea la fornitura su un'impresa, è necessario sapere chiaramente quali punti devono essere considerati. Quindi, considera la struttura approssimativa dello statuto sulla protezione dei dati personali (campione).
I dati personali che sono protetti e classificati come personali devono essere esattamente definiti in questo documento. Di norma, negli atti locali della maggior parte delle imprese, la loro lista è indicata immediatamente dopo la parte introduttiva, in cui devono essere enunciati le disposizioni generali ei concetti di base che possono essere utilizzati nel documento. I regolamenti dovrebbero definire chiaramente l'ordine in cui i dati saranno accessibili, nonché la cerchia delle persone autorizzate a farlo. Nel caso in cui un'impresa o un'organizzazione abbia un elenco specifico di informazioni personali a cui è stato assegnato uno speciale stato di segretezza, l'accesso ad esso deve essere determinato separatamente.
I Regolamenti devono prevedere un insieme chiaro di azioni e misure con cui i dati saranno protetti, la responsabilità per violazione dei requisiti stabiliti, la punizione per la divulgazione di dati personali, nonché l'attitudine negligente ai loro doveri ufficiali relativi al ricevimento, all'elaborazione delle informazioni e alla loro sicurezza .
Il campione dello statuto sulla protezione dei dati personali afferma inoltre che la sua struttura dovrebbe includere una sezione sui diritti e gli obblighi dei dipendenti relativi al trattamento delle loro informazioni personali.
Se necessario, in relazione alle specifiche dell'impresa, i regolamenti possono includere requisiti e concetti aggiuntivi.
Eliminazione delle irregolarità nel trattamento delle informazioni personali fornite
Ogni responsabilità per la mancanza di sicurezza delle informazioni personali del soggetto, in conformità con la legge federale "sulla protezione dei dati personali", spetta interamente all'operatore stesso, che ha effettuato la ricezione delle informazioni e il loro trattamento. In caso di violazione dei requisiti di legge, è tenuto a prendere tutte le misure necessarie per eliminare la violazione.
In conformità con la legge federale "sulla protezione dei dati personali", se un'entità applica alle autorità regolatorie un reclamo in merito al lavoro improprio dell'operatore che ha ricevuto le sue informazioni personali, questi dati dovrebbero essere immediatamente bloccati per il periodo durante la verifica. Dopo che la violazione è stata stabilita, l'operatore è tenuto a eliminare tutte le carenze - ciò dovrebbe essere fatto entro tre giorni dalla data della decisione da parte dell'autorità di vigilanza. La legge "sulla protezione dei dati personali" afferma che l'eliminazione delle violazioni dovrebbe essere effettuata eliminando le informazioni sull'argomento. Lo stesso dovrebbe essere fatto se il soggetto ha ritirato il suo permesso di elaborare informazioni personali. Ad esempio, qualsiasi regolamento sulla protezione dei dati personali dei dipendenti (campione) deve contenere nelle sue norme relative al contenuto la cancellazione di informazioni su un dipendente che ha revocato il suo permesso di trattare i suoi dati personali.