Data peribadi subjek dikelaskan mengikut jumlah maklumat peribadi tentang orang itu dan tahap kepentingannya. Sebarang transaksi dengan mereka dijalankan dengan ketat dalam rangka akta perundangan dan tertakluk kepada perlindungan. Walau bagaimanapun, terdapat kategori data peribadi yang tersedia secara umum yang hanya membawa maklumat cetek dan tidak peribadi tentang seseorang.

Dari artikel ini anda akan belajar:

• apakah data peribadi yang tersedia secara umum;
• senarai data peribadi yang tersedia secara umum;
• ciri bekerja dengan data peribadi yang tersedia untuk umum.

Apabila membuat sebarang pangkalan data, termasuk senarai semua pekerja perusahaan, pada peringkat awal adalah perlu untuk mengkategorikan data peribadi. Semua data peribadi pekerja dibahagikan kepada dua kumpulan - awam dan sulit.

Konsep dan klasifikasi data peribadi

Data peribadi (PD) ialah pelbagai jenis maklumat, daripada nama penuh, tarikh lahir, status perkahwinan dan sosial, kepada nombor pendaftaran dokumen yang dikeluarkan oleh agensi kerajaan dan pihak berkuasa komersial. Pengendali data peribadi ialah struktur negeri, persekutuan, komersial, entiti undang-undang atau individu yang mempunyai hak untuk menjalankan pelbagai aktiviti menggunakan data peribadi.

Dalam perhubungan buruh, pemilik/subjek data peribadi ialah pekerja, dan pengendali ialah majikan, kakitangan dan jabatan perakaunan yang terlibat dalam mendaftarkan pekerja untuk bekerja dan semua isu yang berkaitan dengan hal ehwal peribadi dan perhubungan undang-undang, senarai gaji, faedah, pampasan, dan lain-lain. Data peribadi subjek adalah perlu untuk majikan menghubungkan mereka dengan hubungan/perjanjian buruh (Perkara 85, 86 Kod Buruh Persekutuan Rusia).

Pemprosesan data peribadi merujuk kepada pelbagai operasi yang disediakan oleh perundangan Persekutuan Rusia. Jenis pemprosesan PD termasuk pengumpulan, sistematisasi, pengumpulan, penyimpanan, pengemaskinian, penggunaan, depersonalisasi, pemusnahan, yang dijalankan mengikut prosedur yang ditetapkan oleh peraturan. Negeri, persekutuan, badan perbandaran dan organisasi yang mempunyai hak sedemikian mengikut status boleh menjalankan transaksi dengan data peribadi.

Semua PD dibahagikan kepada bahagian berikut:

• Data peribadi khas;
• Data peribadi biometrik.

Apabila mencipta sistem maklumat data peribadi (ISPD), disyorkan untuk dipandu oleh Perintah FSTEC, FSB dan Kementerian Teknologi Maklumat dan Komunikasi Persekutuan Rusia No. 55/86/20 bertarikh 13 Februari 2008 "Pada kelulusan Prosedur untuk mengklasifikasikan sistem maklumat data peribadi.” Menurut akta kawal selia ini, PD dibahagikan kepada kategori:

1. Kategori 1 – data khas yang mentakrifkan kaum dan kewarganegaraan, kepercayaan agama dan politik, fakta kehidupan peribadi dan status kesihatan.
2. Kategori 2 – data yang memungkinkan untuk mengenal pasti subjek dan mendapatkan maklumat tambahan tentangnya, dengan pengecualian faktor yang berkaitan dengan kategori 1. Bahagian ini termasuk nama penuh, alamat rumah, data pasport, nombor siri dokumen (dasar perubatan, pencen sijil, SNILS, TIN), maklumat daripada rekod kerja dan perubatan.
3. Kategori 3 – data yang membolehkan untuk mengenal pasti subjek (nama pertama, nama keluarga, tarikh lahir).
4. Kategori 4 – data peribadi tanpa nama atau tersedia secara umum yang tidak mungkin mengenal pasti subjek.

Data peribadi yang tersedia secara umum: senarai

Senarai data peribadi yang tersedia secara umum termasuk faktor yang tidak mengandungi maklumat yang membolehkan seseorang dikenal pasti dalam pangkalan data. Data tanpa nama termasuk:

• Nama pertama, nama pertama dan patronimik;
• Nama panggilan/log masuk subjek di Internet;
• Alamat e-mel (tidak dipautkan dengan nama penuh);
• Jawatan, tempat kerja (tanpa maklumat tentang data peribadi).

Data awam termasuk maklumat tentang subjek yang boleh diperoleh daripada sumber maklumat terbuka, contohnya, dalam direktori telefon atau buku alamat. Data dimasukkan ke dalam pangkalan data yang boleh diakses secara umum dengan kebenaran bertulis subjek.

Data peribadi awam: ciri

Keanehan data peribadi yang tersedia secara umum ialah ia boleh disiarkan dalam sumber maklumat terbuka. Iaitu, jika direktori hubungan organisasi mengandungi maklumat hubungan untuk pegawai, contohnya, mereka yang terlibat dalam latihan dan pengambilan kakitangan, maka data tersebut dianggap tersedia untuk umum. Apabila penerbitan bercetak mengandungi nama dan nama keluarga ahli lembaga editorial, maklumat ini juga tersedia secara umum.

Ciri data yang tersedia secara umum yang membolehkannya diklasifikasikan dengan betul termasuk faktor berikut: tiga kategori pertama, pada satu darjah atau yang lain, perlu untuk memasukkan subjek dalam ISPD, dan kategori keempat kekal di luar keperluan sistem maklumat. . Jika hanya nama dan tempat kerja diketahui tentang seseorang, maka maklumat tersebut tersedia secara umum.

Apabila mensistemkan data, maklumat yang lebih tepat akan diperlukan, yang hanya boleh diperolehi dengan persetujuan bertulis subjek kepada pemprosesan data peribadi. Dalam kes ini, pengendali memikul tanggungjawab untuk melindungi dan mematuhi peraturan yang ditetapkan secara sah untuk pemprosesan dan penyimpanan data peribadi.

Apabila menyiarkan maklumat tentang diri mereka di rangkaian sosial, tidak semua rakyat kita memahami bahawa ia boleh digunakan untuk menyusun profil mereka. Biro Sejarah Kredit Negara JSC (NBKI) terlibat secara aktif dalam pengumpulan dan pemprosesan maklumat tersebut.

Pada Mei 2017, Mahkamah Timbang Tara Moscow menimbangkan kes No. A40-5250/17, di mana mahkamah perlu menilai kesahihan pemprosesan data peribadi tersebut.

Intipati pertikaian

Pada Ogos 2016, Pejabat Roskomnadzor bagi Daerah Persekutuan Tengah telah menjalankan pemeriksaan di tapak berjadual Biro Sejarah Kredit Negara (NBKI) JSC berhubung pematuhan aktiviti pemprosesan data peribadi dengan keperluan undang-undang.

Berdasarkan hasil pemeriksaan, laporan pemeriksaan telah disediakan dan perintah telah dikeluarkan untuk menghapuskan pelanggaran yang dikenal pasti.

Setelah menilai preskripsi berkenaan keperluan untuk memasukkan dalam pemberitahuan kepada data badan yang dibenarkan bagi individu (pelanggan atau bakal pelanggan organisasi kewangan) daripada sumber terbuka maklumat yang dihantar kepada organisasi kewangan, diperoleh menggunakan perkhidmatan Double Data Social Link - web pautan, hasil carian tentang pelanggan atau bakal pelanggan , dan perkhidmatan Atribut Sosial Data Berganda - memproses profil individu yang dikehendaki dalam sumber maklumat terbuka (klausa 1), serta dari segi menunjukkan pelanggaran keperluan undang-undang dalam bentuk kekurangan persetujuan untuk pemprosesan yang terkandung dalam sumber terbuka (rangkaian sosial: VKontakte, Odnoklassnimi, MoiMir , Instragram, Twitter; portal Internet Avito dan Avto.ru) data peribadi pelanggan atau bakal pelanggan organisasi kewangan, sebagai sebahagian daripada penyediaan perkhidmatan berdasarkan perkhidmatan "data besar" ( mereka. "data besar") - menyalahi undang-undang dan melanggar hak dan kepentingan sah masyarakat dalam bidang perniagaan dan aktiviti ekonomi lain, yang terakhir memfailkan tuntutan di mahkamah timbang tara.

Kedudukan Mahkamah Timbang Tara Moscow

Berhubung dengan kes ini, mahkamah menyatakan bahawa pemprosesan data peribadi dibenarkan khususnya dalam kes berikut:

• Pemprosesan PD dijalankan dengan persetujuan PD tertakluk kepada pemprosesan data peribadinya (klausa 1, bahagian 1);
• Pemprosesan data peribadi dijalankan, akses kepada bilangan orang yang tidak terhad disediakan oleh subjek PD atau atas permintaannya (data peribadi yang disediakan secara terbuka oleh subjek PD) (klausa 10, bahagian 1);

Oleh itu, bercakap tentang data peribadi yang disediakan secara terbuka oleh subjek PD, dua syarat diperlukan:

• Data peribadi tersedia untuk bilangan orang yang tidak ditentukan;
• Maklumat peribadi disediakan secara langsung oleh entiti itu sendiri.

Tanpa kebenaran bertulis subjek data peribadi, tidak mungkin untuk menegaskan bahawa mereka disediakan secara khusus olehnya.

Menurut mahkamah, data peribadi yang disediakan secara terbuka oleh subjek data peribadi hanya boleh terkandung dalam sumber data peribadi yang tersedia secara umum.

Mahkamah membuat kesimpulan bahawa maklumat mengenai subjek (termasuk data peribadi) yang terkandung dalam rangkaian sosial (di Internet) tidak boleh diklasifikasikan sebagai data peribadi yang disediakan secara terbuka oleh subjek, kerana rangkaian sosial bukan sumber data peribadi awam berhubung dengan peruntukan Perkara 8 Undang-undang.

Mahkamah juga menyatakan bahawa maklumat yang disiarkan oleh pemiliknya di Internet dalam format yang membenarkan pemprosesan automatik tanpa perubahan terdahulu oleh seseorang untuk tujuan penggunaan semula adalah maklumat yang tersedia secara umum yang disiarkan dalam bentuk data terbuka (Perkara 7 Undang-undang Persekutuan 27 Julai 2006 No. 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat").

Komen saya: Nah, di sini mahkamah sedikit "bengkok"; data terbuka adalah cerita yang sama sekali berbeza!

Mahkamah membuat kesimpulan bahawa data peribadi yang diproses oleh NBKI JSC di rangkaian sosial tidak disediakan secara terbuka oleh subjek data peribadi dan oleh itu tindakan pemohon merupakan pelanggaran Bahagian 3 Perkara 22 dan Fasal 1 Bahagian 1 Perkara 6 Persekutuan Undang-undang 27 Julai 2006 No. 152-FZ "Mengenai Data Peribadi".

Mahkamah timbang tara menolak sepenuhnya untuk memenuhi permohonan NBKI JSC untuk membatalkan perenggan 1 dan 4 perintah Pejabat Roskomnadzor untuk Daerah Persekutuan Tengah.

Kedudukan Mahkamah Rayuan Timbangtara Kesembilan

Mahkamah Rayuan Timbangtara Kesembilan menyatakan pada Julai 2017 bahawa syarikat itu dimasukkan dalam daftar pengendali yang memproses data peribadi di bawah nombor 08-0031682.

Sebagai sebahagian daripada jenis aktiviti ini, syarikat memproses data peribadi pelanggan dan bakal pelanggan organisasi kewangan yang terkandung dalam sumber terbuka (rangkaian sosial: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; portal Internet Avito dan Avto.ru). Orang ramai tidak mempunyai persetujuan pelanggan untuk memproses data tersebut.

Syarikat percaya bahawa ia mempunyai hak untuk memproses data peribadi tentang individu tanpa kebenaran mereka. Menurut mahkamah, syarikat itu tidak mengambil kira perkara berikut.

Menurut mahkamah rayuan, data peribadi yang diproses oleh syarikat yang terkandung dalam sumber terbuka (rangkaian sosial: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; portal Internet Avito dan Avto.ru) tidak tersedia secara umum. Dalam pengertian Undang-undang mengenai Data Peribadi, menyiarkan data peribadi dalam sumber terbuka ini tidak secara automatik menjadikannya tersedia secara terbuka. Oleh itu, pemprosesan data tersebut tanpa kebenaran subjek adalah tidak dibenarkan.

Mahkamah Rayuan Timbang Tara Kesembilan mengekalkan keputusan Mahkamah Timbang Tara Moscow, dan rayuan tidak berpuas hati.

Mahkamah Timbang Tara Daerah Moscow pada November 2017, ia tidak mengubah keputusan Mahkamah Timbang Tara Moscow dan keputusan Mahkamah Rayuan Timbang Tara Kesembilan, dan rayuan kasasi tidak berpuas hati.

Kedudukan Mahkamah Agung Persekutuan Rusia

Seorang hakim Mahkamah Agung Persekutuan Rusia pada Januari 2018 (keputusan No. 305-KG17-21291) enggan memindahkan rayuan kasasi kepada Biro Sejarah Kredit Nasional JSC untuk dipertimbangkan pada sesi mahkamah Kolegium Kehakiman untuk Pertikaian Ekonomi Mahkamah Agung Persekutuan Rusia.

Komen saya: Memproses maklumat daripada rangkaian sosial ialah kaedah yang meluas untuk mengumpul dan menganalisis maklumat tentang orang dan organisasi, dan hanya mereka yang malas tidak terlibat dalam mengumpul maklumat sedemikian tentang pelanggan dan rakan niaga mereka. Hakikat hidup yang pahit ialah sesiapa yang tidak memeriksa bakal pekerja, pelanggan dan kontraktor mereka dengan cara ini sebenarnya tidak menjalankan usaha yang wajar. Mereka yang lebih licik cuba kurangkan bercakap tentang perkara ini di khalayak ramai, dan, jika boleh, elakkan daripada menyebut perkataan "data peribadi."

Mengumpul maklumat tentang warganegara tidak dapat dielakkan melibatkan masalah kesahihan tindakan sedemikian, kerana sebarang maklumat tentang warganegara adalah data peribadi mereka.

Saya ingin ambil perhatian bahawa tidak kira apa pesanan yang dikeluarkan oleh Roskomnadzor, jika mendapatkan maklumat sedemikian membolehkan organisasi komersial mengurangkan risiko kerugian kewangan secara serius, pemprosesannya masih akan diteruskan. Nah, mungkin peguam yang membuat "perlindungan" undang-undang untuk aktiviti ini akan mendapat sedikit wang tambahan :)

"Orang" - data yang berkaitan dengan seseorang, personaliti, organisma biologi.

Apakah itu, bagaimana untuk mengumpulnya, di mana untuk menyimpannya, bagaimana untuk melindunginya?

Adakah data peribadi kad cap jari atau tidak?

Ia tidak mengandungi maklumat peribadi.

data peribadi - sebarang maklumat yang berkaitan dengan individu yang dikenal pasti atau ditentukan berdasarkan maklumat tersebut (subjek data peribadi), termasuk nama keluarga, nama pertama, patronimik, tahun, bulan, tarikh dan tempat lahir, alamat, keluarga, sosial , status harta , pendidikan, profesion, pendapatan, maklumat lain;

Alamat adalah pendaftaran di tempat kediaman atau tempat tinggal.

Klasifikasi bersyarat data peribadi.

1) mengikut tahap keterbukaan:

data peribadi yang tersedia secara umum - data peribadi yang boleh diakses oleh bilangan orang yang tidak terhad dengan persetujuan subjek data peribadi atau yang, menurut undang-undang persekutuan, tidak tertakluk kepada keperluan kerahsiaan.

Data peribadi awam ialah data yang mendapat kebenaran sukarela dan disiarkan dalam domain awam.

Selalunya, sesetengah pemilik tapak meminta maklumat pendaftaran yang mereka tidak mahu berikan.

Maklumat sulit – maklumat disediakan hanya untuk tujuan tertentu. Kadang-kadang boleh dikumpul tanpa pengetahuan orang tersebut.

Kementerian Dalam Negeri menyimpan maklumat di pusat maklumat

2) dengan gabungan

- peribadi - milik sejak lahir

- rasmi - dalam perjalanan kerja, perkhidmatan - pangkat kelas, dsb.

3) melalui kaedah peruntukan

- maklumat yang diberikan secara sukarela

- disediakan secara umum mengikut undang-undang (wajib)

— dikumpul tanpa persetujuan warganegara mengikut undang-undang

4) mengikut sifat data

— biometrik (maklumat cap jari)

Konsep asas yang digunakan semasa bekerja dengan data peribadi.

— pemprosesan data peribadi— tindakan (operasi) dengan data peribadi, termasuk pengumpulan, sistematisasi, pengumpulan, penyimpanan, penjelasan (kemas kini, perubahan), penggunaan, pengedaran (termasuk pemindahan), penyahperibadian, penyekatan, pemusnahan data peribadi;

— pengedaran data peribadi- tindakan yang bertujuan untuk memindahkan data peribadi kepada kalangan orang tertentu (pemindahan data peribadi) atau membiasakan diri dengan data peribadi bilangan orang yang tidak terhad, termasuk penerbitan data peribadi dalam media, menyiarkan dalam maklumat dan rangkaian telekomunikasi atau menyediakan akses kepada data peribadi kepada mana-mana -atau dengan cara lain;

— penggunaan data peribadi — tindakan (operasi) dengan data peribadi yang dilakukan oleh pengendali untuk tujuan membuat keputusan atau melakukan tindakan lain yang menimbulkan akibat undang-undang berhubung dengan subjek data peribadi atau orang lain atau sebaliknya menjejaskan hak dan kebebasan subjek peribadi data atau orang lain;

- menyekat data peribadi— pemberhentian sementara pengumpulan, sistematisasi, pengumpulan, penggunaan, penyebaran data peribadi, termasuk pemindahannya;

Maklumat yang disiarkan di Internet selalunya tidak boleh disekat.

Kebanyakan data peribadi:

- disimpan pada komputer

- disiarkan di Internet

Sukar untuk mengawal penempatan

— pemusnahan data peribadi— tindakan akibatnya adalah mustahil untuk memulihkan kandungan data peribadi dalam sistem maklumat data peribadi atau akibatnya media material data peribadi dimusnahkan; — situasi apabila arkib terbakar

penyahperibadian data peribadi

— depersonalisasi data peribadi— tindakan akibatnya adalah mustahil untuk menentukan pemilikan data peribadi kepada subjek data peribadi tertentu;

— sistem maklumat data peribadi— sistem maklumat, yang merupakan koleksi data peribadi yang terkandung dalam pangkalan data, serta teknologi maklumat dan cara teknikal yang membenarkan pemprosesan data peribadi tersebut menggunakan alat automasi atau tanpa menggunakan alat tersebut;

— kerahsiaan data peribadi— keperluan untuk pengendali atau orang lain yang telah mendapat akses kepada data peribadi untuk mematuhi keperluan untuk tidak membenarkan pengedaran mereka tanpa persetujuan subjek data peribadi atau kehadiran asas undang-undang lain;

— pemindahan data peribadi merentas sempadan— pemindahan data peribadi oleh pengendali merentasi sempadan Negeri Persekutuan Rusia kepada pihak berkuasa negara asing, individu atau entiti undang-undang negara asing;

— data peribadi yang tersedia untuk umum— data peribadi, akses kepada bilangan orang yang tidak terhad yang diberikan dengan persetujuan subjek data peribadi atau yang, menurut undang-undang persekutuan, tidak tertakluk kepada keperluan kerahsiaan.

Pemprosesan data peribadi.

1) kesahihan tujuan dan kaedah pemprosesan data peribadi dan integriti;

2) pematuhan tujuan pemprosesan data peribadi dengan matlamat yang telah ditetapkan dan dinyatakan semasa mengumpul data peribadi, serta dengan kuasa pengendali;

3) pematuhan dengan jumlah dan sifat data peribadi yang diproses, kaedah pemprosesan data peribadi untuk tujuan pemprosesan data peribadi;

4) kebolehpercayaan data peribadi, kecukupannya untuk tujuan pemprosesan, ketidakbolehterimaan memproses data peribadi yang berlebihan berhubung dengan tujuan yang dinyatakan semasa mengumpul data peribadi;

5) ketidakbolehterimaan menggabungkan pangkalan data sistem maklumat data peribadi yang dicipta untuk tujuan yang tidak serasi.

Jika pada suatu ketika seseorang mengisi kad cap jari, maka ia berada di pusat maklumat dalam pangkalan data mereka. Kita tidak boleh, sebagai contoh, menggabungkan pangkalan data rakyat biasa dan mereka yang telah melakukan jenayah.

1) dengan persetujuan pemilik data peribadi

2) tanpa kebenaran pemilik data peribadi.

Ini terpakai kepada orang yang menduduki jawatan dan kedudukan tertentu: anggota tentera, mayat

Kerahsiaan data peribadi:

Apabila tidak diperlukan:

1) dalam kes depersonalisasi data peribadi;

2) berhubung dengan data peribadi yang tersedia untuk umum.

- pengendali yang mengumpul dan memproses data peribadi.

— hadkan akses dalam organisasi anda sendiri

Pengendali bertanggungjawab secara peribadi untuk penyebaran data peribadi

— mewujudkan sekatan akses di dalam dan dalam talian (sistem pas, sistem pengenalan kad)

Untuk rangkaian tempatan – sistem log masuk + kata laluan

Anda boleh menyekat akses menggunakan maklumat biometrik: cap jari, retina.

- tentang bangsa

- tentang pandangan politik

- tentang kepercayaan agama atau falsafah

- tentang keadaan kesihatan

- tentang kehidupan intim

Pemprosesan mereka hanya boleh dilakukan dengan persetujuan subjek.

1) kehadiran kebenaran bertulis subjek untuk pemprosesan mereka

2) jika subjek data peribadi telah menyediakannya untuk umum

3) jika maklumat ini berkaitan dengan maklumat yang diperlukan untuk melindungi nyawa, kesihatan dan kepentingan penting lain seseorang

Maklumat sedemikian mungkin disediakan untuk tujuan perubatan dan pencegahan - contohnya, jangkitan virus.

Ciri pemprosesan data peribadi dalam sistem maklumat negeri atau perbandaran untuk memproses data peribadi.

- hanya terpakai kepada penjawat awam dan pekerja perbandaran.

Agensi kerajaan mempunyai statusnya sendiri; terdapat sistem bebas untuk memproses maklumat tentang pekerja negeri atau perbandaran.

1) ia ditubuhkan maklumat apa yang diperlukan dalam kecekapannya

2) terdapat juga Undang-undang Persekutuan "Mengenai Perkhidmatan Awam Negeri", iaitu, ia dikawal bukan sahaja oleh undang-undang mengenai data peribadi.

Maklumat yang mencirikan ciri fisiologi seseorang dan berdasarkan identitinya boleh ditubuhkan (data peribadi biometrik) hanya boleh diproses dengan persetujuan bertulis subjek data peribadi, kecuali untuk kes berikut:

1) melakukan jenayah

Pemprosesan data peribadi biometrik boleh dilakukan tanpa persetujuan subjek data peribadi berkaitan dengan pentadbiran keadilan, serta dalam kes-kes yang diperuntukkan oleh undang-undang Persekutuan Rusia mengenai keselamatan, perundangan Persekutuan Rusia mengenai aktiviti penyiasatan operasi, perundangan Persekutuan Rusia mengenai perkhidmatan awam, perundangan eksekutif jenayah Persekutuan Rusia, perundangan Persekutuan Rusia mengenai prosedur untuk meninggalkan Persekutuan Rusia dan memasuki Persekutuan Rusia.

- mengumpul maklumat daripada suspek adalah haram

Pemprosesan maklumat rentas sempadan.

Ia boleh dituntut, untuk melindungi rakyat negara yang mana ia dipindahkan, bahawa ia dikumpulkan hanya dengan persetujuan bertulis subjek.

Hak subjek data peribadi.

1) Hak subjek data peribadi untuk mengakses data peribadinya

Anda tidak boleh menghubungi pusat maklumat Kementerian Dalam Negeri (pusat maklumat utama dan pusat maklumat zon)

2) Hak data peribadi tertakluk kepada pemprosesan data peribadi mereka untuk mempromosikan barangan, kerja, perkhidmatan di pasaran, serta untuk tujuan propaganda politik

Ketepatan maklumat akan disahkan oleh orang lain.

3) membuat keputusan berdasarkan pemprosesan automatik data peribadi semata-mata. Seseorang mungkin tidak mempercayai pemprosesan automatik. Anda boleh meminta cap jari disimpan bukan sahaja dalam komputer, tetapi juga di atas kertas.

— Kod Buruh Persekutuan Rusia - terdapat satu bab yang dikhaskan untuk data peribadi.

UNDANG-UNDANG PERSEKUTUAN TENTANG PENDAFTARAN CAP JARI NEGERI DALAM PERSEKUTUAN RUSIA bertarikh 25 Julai 1998 N 128-FZ

Data peribadi awam ialah

Maklumat peribadi- sebarang maklumat yang berkaitan dengan sesuatu yang tertentu atau ditentukan berdasarkan maklumat tersebut kepada seseorang individu, termasuk:

Nama belakangnya, nama pertama, patronimik,

Tahun, bulan, tarikh dan tempat lahir,

Alamat, keluarga, sosial, status harta, pendidikan, profesion, pendapatan,

— lain maklumat (lihat Undang-undang Persekutuan-152, Perkara 3).

Contohnya: data pasport, penyata kewangan, rekod perubatan, tahun lahir (untuk wanita), biometrik, maklumat pengenalan peribadi yang lain.

DALAM awam sumber data peribadi (buku alamat, senarai dan sokongan maklumat lain) dengan persetujuan bertulis seseorang individu boleh termasuk nama keluarga, nama pertama, patronimik, tahun dan tempat lahir, alamat, nombor pelanggan dan yang lain data peribadi (lihat Undang-undang Persekutuan-152, Perkara 8).

Data peribadi diklasifikasikan sebagai maklumat terhad dan mesti dilindungi mengikut undang-undang Persekutuan Rusia. Apabila membangunkan keperluan keselamatan sistem, data peribadi dibahagikan kepada 4 kategori.

Apakah pengendali dan subjek data peribadi?

pengendali data peribadi- ini, sebagai peraturan, organisasi, atau lebih tepat lagi, badan negeri atau perbandaran, entiti undang-undang atau individu yang menganjurkan dan (atau) menjalankan pemprosesan data peribadi, serta menentukan tujuan dan kandungan pemprosesan data peribadi.

Subjek data peribadi adalah seorang individu.

Pengendali bertanggungjawab untuk melindungi data peribadi subjek mengikut undang-undang semasa Persekutuan Rusia.

Bagaimana untuk mengklasifikasikan sistem maklumat data peribadi?

Untuk atribut tipikal Sistem maklumat data peribadi (PDIS) untuk kelas tertentu memerlukan:

II. takrifkan isipadu data peribadi yang diproses dalam sistem maklumat:

jilid 3— data diproses serentak dalam sistem maklumat kurang daripada 1000 mata pelajaran data peribadi atau data peribadi subjek data peribadi dalam organisasi tertentu;

jilid 2 daripada 1000 hingga 100,000 mata pelajaran data peribadi atau data peribadi subjek data peribadi yang bekerja di sektor ekonomi Persekutuan Rusia, dalam badan kerajaan, yang tinggal dalam perbandaran;

jilid 1— data peribadi diproses serentak dalam sistem maklumat lebih daripada 100,000 mata pelajaran data peribadi atau data peribadi subjek data peribadi dalam subjek Persekutuan Rusia atau Persekutuan Rusia secara keseluruhan;

III. Berdasarkan hasil analisis data awal tipikal ISPDn diberikan salah satu daripada yang berikut kelas(lihat jadual):

Kelas 4 (K4) - sistem maklumat yang pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya tidak membawa kepada akibat negatif bagi subjek data peribadi;

Kelas 3 (K3) - sistem maklumat yang mana pelanggaran ciri keselamatan tertentu bagi data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif kecil bagi subjek data peribadi;

Kelas 2 (K2) - sistem maklumat yang pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif untuk subjek data peribadi;

Kelas 1 (K1) - sistem maklumat yang pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif yang ketara bagi subjek data peribadi.

Hari Penghakiman ditangguhkan sehingga 1 Januari 2011

Sistem maklumat data peribadi yang dibuat sebelum berkuatkuasanya Undang-undang Persekutuan Persekutuan Rusia No. 152 "Mengenai Data Peribadi" mesti dibawa ke dalam pematuhan dengan keperluan Undang-undang Persekutuan ini tidak lewat dari 1 Januari 2010 (lihat Undang-undang Persekutuan No. 152, Perkara 25).

Ini bermakna bahawa pengendali data peribadi yang gagal mematuhi keperluan yang sangat ketat Undang-undang Persekutuan No. 152 akan, mulai 1 Januari 2010, menghadapi hukuman jenayah sivil, pentadbiran, tatatertib, dan mungkin (Allah melarang). tanggungjawab .

Semua sistem maklumat yang telah digunakan selepas Februari-April 2008 (dari saat pengedaran dokumen metodologi oleh FSTEC Rusia dan FSB Rusia), tetapi tidak mematuhi keperluan perundangan Rusia dalam bidang data peribadi, mungkin menanggung liabiliti yang dinyatakan lebih awal, contohnya, pagi esok .

Catatan. Perubahan kepada Kanun Jenayah Persekutuan Rusia, mengetatkan liabiliti dengan ketara bagi pelanggaran yang menjejaskan privasi, juga akan berkuat kuasa pada 1 Januari 2010.

Tetapi seperti biasa berlaku, pengendali data peribadi tidak banyak bergerak, dan hanya sedikit yang berjaya melakukan semua yang diperlukan. Pada 16 Disember 2009, Duma Negeri menerima pakai dalam bacaan ketiga pindaan kepada Artikel 19 dan 25 Undang-undang "Mengenai Data Peribadi" (152-FZ). Tarikh akhir untuk membawa sistem maklumat data peribadi (PDIS) mematuhi undang-undang ini telah ditangguhkan selama setahun - sehingga 1 Januari 2011. Di samping itu, undang-undang yang mewajibkan pengendali menggunakan penyulitan (kriptografi) bermaksud untuk melindungi data semasa memproses data peribadi telah dikecualikan daripada undang-undang.

Keperluan mandatori untuk perlindungan sistem maklumat data peribadi

Keperluan mandatori asas untuk mengatur sistem keselamatan maklumat bergantung pada kelas ISPD biasa:

Untuk ISPD kelas 4:

Senarai langkah untuk melindungi data peribadi ditentukan oleh pengendali (bergantung kepada kemungkinan kerosakan)

Untuk ISPD kelas 3:

Pengisytiharan pematuhan atau

Mendapatkan lesen daripada FSTEC Rusia untuk aktiviti yang berkaitan dengan perlindungan teknikal maklumat sulit (untuk sistem ISPDn K3 yang diedarkan)

Untuk ISPD kelas 2:

Pensijilan mandatori untuk keperluan keselamatan maklumat

Mendapatkan lesen daripada FSTEC Rusia untuk aktiviti yang berkaitan dengan perlindungan teknikal maklumat sulit untuk sistem yang diedarkan

Untuk ISPD kelas 1:

Pensijilan mandatori untuk keperluan keselamatan maklumat

Langkah-langkah mesti dilaksanakan untuk melindungi data peribadi daripada PEMIN

Mendapatkan lesen daripada FSTEC Rusia untuk aktiviti yang berkaitan dengan perlindungan teknikal maklumat sulit

Prosedur untuk melindungi sistem maklumat data peribadi

Urutan tindakan apabila memenuhi keperluan undang-undang untuk pemprosesan data peribadi:

1) Pemberitahuan kepada badan yang diberi kuasa untuk melindungi hak subjek data peribadi tentang niat anda untuk memproses data peribadi menggunakan alat automasi;

2) Tinjauan pra-projek sistem maklumat - pengumpulan data awal;

3) Klasifikasi sistem pemprosesan data peribadi;

4) Pembinaan model ancaman persendirian untuk menentukan kaitannya dengan sistem maklumat;

5) Pembangunan spesifikasi teknikal persendirian untuk sistem perlindungan data peribadi;

6) Reka bentuk sistem perlindungan data peribadi;

Tanggungjawab untuk pelanggaran pemprosesan data peribadi

Orang yang bersalah kerana melanggar keperluan Undang-undang Persekutuan 152-FZ “Mengenai Data Peribadi” menanggung:

- jenayah (lihat Kanun Jenayah Persekutuan Rusia, Seni. 137, 140, 155, 183, 272, 273, 274, 292, 293),

Pentadbiran (lihat Kod Persekutuan Rusia mengenai Kesalahan Pentadbiran, Artikel 5.27, 5.39, 11.13-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Tatatertib (lihat Kod Buruh Persekutuan Rusia, Art. 81; Art. 90; Art. 195; Art. 237; Art. 391)

dan tanggungjawab lain yang diperuntukkan oleh perundangan Persekutuan Rusia (lihat undang-undang kecil mengenai bekerja dengan data peribadi, yang diterbitkan dalam entiti konstituen Persekutuan Rusia, jabatan dan organisasi).

FSTEC- Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport.

PEMIN- Sinaran dan Gangguan Elektromagnet Sisi

Perlindungan maklumat peribadi

Pada Disember 2014, Duma Negeri menerima pakai dalam bacaan ketiga rang undang-undang untuk menyimpan data peribadi rakyat yang diproses di Internet pada pelayan di Rusia. Menurut Roman Chuychenko, ahli jawatankuasa dasar maklumat, matlamat utama rang undang-undang itu adalah untuk mengukuhkan keselamatan maklumat negara dan rakyatnya. Langkah ini diambil kerana kerumitan situasi antarabangsa. Rang undang-undang ini akan berkuat kuasa pada 1 September 2015.

Kemasukan berkuat kuasa peraturan baharu mengenai perlindungan data peribadi memerlukan pengendali data peribadi menyediakan:

• pengesanan tepat pada masanya terhadap akses tanpa kebenaran kepada data peribadi;
• menghalang pengaruh ke atas cara teknikal yang menjalankan pemprosesan automatik data peribadi;
• keupayaan untuk bertindak balas dengan segera kepada fakta akses tanpa kebenaran dan segera memulihkan data peribadi sekiranya berlaku kemusnahan atau pengubahsuaian;
• pemantauan berterusan tahap keselamatan data peribadi.

Kategori data peribadi

Pemprosesan ISPD juga boleh dijalankan mengikut parameter "volume data peribadi yang diproses", yang menganggap bilangan subjek yang diproses dalam sistem maklumat dan boleh mengambil nilai berikut:

• pemprosesan serentak lebih daripada 100 ribu subjek data peribadi (dilakukan dalam subjek Persekutuan Rusia dan di Persekutuan Rusia secara keseluruhan);
• pemprosesan data peribadi secara serentak dari 1 hingga 100 ribu subjek (dilakukan di agensi kerajaan yang bekerja dalam bidang ekonomi Rusia);
• pemprosesan serentak data peribadi kurang daripada 1 ribu subjek (dilakukan dalam organisasi tertentu).

Pembahagian kepada kategori membolehkan bukan sahaja untuk menentukan kelas ISPD, tetapi juga untuk mewujudkan satu set langkah untuk memastikan keselamatan dan perlindungan data peribadi di Internet, apabila diproses dalam sistem maklumat.

Data peribadi pekerja

Setiap pekerja mempunyai hak untuk melindungi data peribadi mereka (fasal 9 Perkara 86 Kanun Buruh Persekutuan Rusia).

Selaras dengan Art. 89 Kanun Buruh Persekutuan Rusia, setiap pekerja boleh menggunakan haknya untuk perlindungan dan perlindungan data peribadi melalui tindakan berikut:

• akses percuma percuma kepada data peribadi anda, termasuk mendapatkan salinan mana-mana rekod yang mengandungi data peribadi pekerja;
• menentukan wakil peribadi untuk melindungi data peribadi anda;
• mendapatkan maklumat lengkap tentang data peribadi dan pemprosesannya;
• mengeluarkan tuntutan untuk pengecualian atau pembetulan data peribadi yang mengandungi maklumat yang salah atau jika ia diproses melanggar keperluan undang-undang;
• merayu di mahkamah terhadap tindakan menyalahi undang-undang majikan, serta ketidaktindakannya dalam memproses dan melindungi data peribadi.

Komposisi data peribadi pekerja

Berdasarkan fasal 2 Perkara 86 Kanun Buruh Persekutuan Rusia, jumlah dan kandungan data peribadi pekerja ditentukan oleh majikan mengikut Perlembagaan Persekutuan Rusia, Kod Buruh dan undang-undang persekutuan yang lain. Sebagai peraturan, aktiviti mana-mana organisasi memerlukan majikan menggunakan dua jenis dokumen utama dalam aliran dokumen:

1. Dokumen yang disediakan oleh pekerja semasa membuat kontrak pekerjaan (Perkara 65 Kanun Buruh Persekutuan Rusia). Kategori ini termasuk dokumen yang mengandungi gambar pekerja, nama penuh, maklumat tentang tempat dan tarikh lahir, kewarganegaraan, status perkahwinan, tempat pendaftaran, pendidikan, kepakaran (pasport, sijil insurans insurans pencen negara, ID tentera, dsb. ).
2. Dokumen yang dijana oleh majikan secara bebas (dokumentasi perakaunan utama untuk merekod buruh dan pembayarannya). Kategori ini termasuk pesanan atau arahan untuk mengambil pekerja, menamatkan kontrak pekerjaan, memberi ganjaran kepada pekerja, kad peribadi dan dokumen tentang imbuhan.

Perlindungan data peribadi, liabiliti kerana melanggar undang-undang

Mari kita ambil perhatian bahawa beberapa sekatan untuk pelanggaran kesalahan tertentu dikenakan kepada individu dan pegawai, serta entiti undang-undang.

Selaras dengan Perkara 150 Kanun Sivil Persekutuan Rusia, ketakbolehcabulan kehidupan peribadi, rahsia peribadi dan keluarga adalah antara hak tidak ketara yang tidak boleh dipisahkan yang dilindungi oleh undang-undang semasa.

Mari kita ambil perhatian bahawa hak dan kewajipan pekerja yang berkaitan secara langsung dengan data peribadi pekerja lain ditentukan oleh syarat kontrak pekerjaan dan komposisi peraturan tempatan yang menetapkan fungsi buruh pekerja dan senarai tanggungjawab pekerjaannya.

Tanggungjawab pentadbiran Pelanggaran prosedur untuk mengumpul, menyimpan dan mengedarkan data peribadi memerlukan amaran atau denda dalam jumlah: dari 300 hingga 500 rubel - untuk individu; dari 500 hingga 1000 rubel - untuk pegawai, dari 5 hingga 10 ribu rubel - untuk entiti undang-undang (Perkara 13.11 Kod Kesalahan Pentadbiran Persekutuan Rusia). Liabiliti pentadbiran untuk penyebaran maklumat yang dilindungi oleh undang-undang dalam melaksanakan tugas rasmi dan profesional memerlukan denda dalam jumlah: dari 500 hingga 1000 rubel - untuk individu, dari 4 hingga 5 ribu rubel - untuk pegawai (Perkara 13.14 Kod Kesalahan Pentadbiran Persekutuan Rusia) .

Pelanggaran privasi, khususnya data peribadi, oleh seseorang yang menggunakan kedudukan rasminya boleh dihukum dengan:

• denda dalam jumlah 100 hingga 300 ribu rubel, gaji atau pendapatan lain pesalah selama 1-2 tahun;
• pelucutan hak untuk memegang jawatan tertentu untuk tempoh 2 hingga 5 tahun;
• tangkapan untuk tempoh 4 hingga 6 bulan.

Adakah undang-undang untuk mencipta pangkalan data awam data peribadi?

Pada penghujung tahun 2015, saya mengambil bahagian dalam perbincangan artikel menarik dalam LiveJournal, yang ditumpukan kepada keperluan untuk mencipta satu pangkalan data pemohon pekerjaan yang tidak bertanggungjawab yang boleh diakses secara umum.

Ia mesti dikatakan bahawa idea itu bukan baru dan, pastinya, beberapa syarikat mempunyai pangkalan data dalaman pemohon. Dengan bantuan pangkalan data sedemikian, pegawai kakitangan menyingkirkan calon yang tidak sesuai dengan jumlah masa yang minimum. Jika kita secara teorinya menganggap bahawa semua HR di negara ini boleh mempunyai asas sedemikian, maka alangkah baiknya untuk semua orang. Nah, betul? Alhamdulillah, tidak, bukan begitu. Seperti yang dinyatakan oleh pengulas artikel ini dengan betul, potensi faedah boleh diimbangi dengan mudah oleh negatif yang pasti akan timbul daripada penyalahgunaan data daripada pangkalan data, kemasukan/pengecualian yang tidak munasabah orang dalam pangkalan data sedemikian, dan isu reputasi, kehormatan dan maruah. orang yang termasuk dalam pangkalan data.

Nasib baik, sejak 2006, undang-undang persekutuan "Mengenai Data Peribadi" telah berkuat kuasa di Rusia, yang dengan jelas mentakrifkan syarat-syarat di mana pangkalan data tersebut boleh wujud:

2. Perkara 6 undang-undang persekutuan "Mengenai Data Peribadi" menentukan bahawa "pemprosesan data peribadi dijalankan dengan persetujuan subjek data peribadi untuk pemprosesan data peribadinya."

3. Perkara 7 undang-undang persekutuan "Mengenai Data Peribadi" menentukan bahawa "Pengendali dan orang lain yang mempunyai akses kepada data peribadi diwajibkan untuk tidak mendedahkan kepada pihak ketiga atau mengedarkan data peribadi tanpa persetujuan subjek data peribadi, melainkan sebaliknya. diperuntukkan oleh undang-undang persekutuan.”

4. Perkara 8 undang-undang persekutuan “Mengenai Data Peribadi” menentukan bahawa: “1. Untuk tujuan sokongan maklumat, sumber data peribadi yang tersedia secara terbuka (termasuk direktori, buku alamat) boleh dibuat. Sumber awam data peribadi, dengan kebenaran bertulis subjek data peribadi, mungkin termasuk nama keluarga, nama pertama, patronimik, tahun dan tempat lahir, alamat, nombor pelanggan, maklumat tentang profesion dan data peribadi lain yang dilaporkan oleh subjek data peribadi. 2. Maklumat mengenai subjek data peribadi mesti dikecualikan pada bila-bila masa daripada sumber data peribadi yang tersedia secara umum atas permintaan subjek data peribadi atau melalui keputusan mahkamah atau badan kerajaan yang diberi kuasa yang lain.”

5. Dan akhirnya, artikel 13.11. Kod Persekutuan Rusia mengenai Pelanggaran Pentadbiran menentukan bahawa "Pelanggaran prosedur yang ditetapkan oleh undang-undang untuk mengumpul, menyimpan, menggunakan atau mengedarkan maklumat mengenai warganegara (data peribadi) - memerlukan amaran atau pengenaan denda pentadbiran ke atas warganegara dalam jumlah daripada tiga ratus hingga lima ratus rubel; untuk pegawai - dari lima ratus hingga seribu rubel; untuk entiti undang-undang - dari lima ribu hingga sepuluh ribu rubel."

Dengan kata lain dan ringkasnya:

1. Sebarang data yang berkaitan dengan individu (termasuk hanya nombor telefon) adalah peribadi.

2. Untuk memproses data peribadi, anda mesti mendapatkan persetujuan, yang boleh ditarik balik pada bila-bila masa.

3. Jika seseorang mempunyai akses undang-undang kepada data peribadi, maka adalah dilarang untuk mendedahkannya kepada sesiapa atau berkongsinya dengan sesiapa sahaja tanpa kebenaran subjek data peribadi, melainkan jika diperuntukkan sebaliknya oleh perundangan semasa.

4. Borang kebenaran bertulis disediakan khas untuk mereka yang ingin mencipta sumber data peribadi yang tersedia secara umum.

5. Liabiliti disediakan untuk pelanggaran prosedur yang ditetapkan untuk mengumpul dan menyimpan data peribadi.

Kesimpulannya sangat mudah dan jelas - penciptaan pangkalan data tunggal pencari kerja cuai yang boleh diakses secara terbuka hanya mungkin dengan persetujuan bertulis daripada pekerja cuai yang sama ini, yang, secara semula jadi, mengurangkan kepada sifar kemungkinan penciptaan pangkalan data sedemikian. . Bagi mereka yang membuat keputusan untuk mencipta pangkalan data sedemikian dan berkongsinya dengan rakan, syarikat kami mengesyorkan agar anda membiasakan diri dengan penalti yang sedang berkuat kuasa.