หมายเลขทะเบียนของผู้ประมวลผลข้อมูลส่วนบุคคล การลงทะเบียนผู้ดำเนินการข้อมูลส่วนบุคคลเพื่อใช้ภายใน

บนเว็บไซต์ของที่ปรึกษา

ผู้ดำเนินการข้อมูลส่วนบุคคล - บริษัทและบุคคลที่รวบรวม จัดเก็บ และประมวลผลข้อมูลส่วนบุคคล ตัวอย่างเช่น พวกเขารวบรวมที่อยู่อีเมลสำหรับส่งไปรษณีย์หรือขอให้ลูกค้าฝากชื่อและหมายเลขโทรศัพท์เพื่อสั่งซื้อในร้านค้าออนไลน์ กฎหมายกล่าวไว้ว่า:

Zbagoyno: 152-FZ - ใน "เคส"

ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ เกี่ยวกับบุคคลที่สามารถระบุตัวตนได้ ตัวอย่างเช่น:

  • อีเมล;
  • โทรศัพท์,
  • ชื่อและนามสกุล;
  • วันเดือนปีเกิด;
  • ที่อยู่;
  • เชื่อมโยงไปยังเว็บไซต์

ชื่อเล่นที่ไม่มีข้อมูลอื่นไม่ถือเป็นข้อมูลส่วนบุคคล ไม่สามารถระบุตัวบุคคลได้

สถานการณ์เกี่ยวกับตำแหน่งทางภูมิศาสตร์และคุกกี้ยังเป็นข้อขัดแย้ง อย่างเป็นทางการไม่ถือเป็นข้อมูลส่วนบุคคลในตัวเอง ตัวอย่างเช่น เป็นการยากที่จะระบุได้ว่าใครอยู่ที่จุดนี้ด้วยตำแหน่งทางภูมิศาสตร์เท่านั้น ในความเป็นจริง Roskomnadzor ในปี 2559-2560 ได้พัฒนาคำแนะนำสำหรับการประมวลผลข้อมูลนี้และเริ่มดำเนินการตรวจสอบ

Roskomnadzor เชื่อว่าบริษัทจะกลายเป็นผู้ดำเนินการข้อมูลส่วนบุคคลทันทีที่เริ่มประมวลผลข้อมูล ไม่ว่าบริษัทจะแจ้งเรื่องนี้หรือไม่ก็ตามไม่สำคัญ ทันทีที่มีบุคคลหนึ่งกรอกแบบฟอร์มคำติชมบนเว็บไซต์ บริษัทก็กลายเป็นผู้ดำเนินการข้อมูลส่วนบุคคล ศาลมีจุดยืนเดียวกัน

ข้อมูลโซเชียลมีเดีย

โดยทั่วไปแล้ว ข้อมูลจากเพจที่เปิดอยู่บนโซเชียลเน็ตเวิร์กถือได้ว่าเปิดเผยต่อสาธารณะ ดูเหมือนว่าบุคคลที่ลงทะเบียนบนโซเชียลเน็ตเวิร์กและให้สิทธิ์เข้าถึงชื่อและหมายเลขโทรศัพท์ของเขา ซึ่งหมายความว่าสามารถนำข้อมูลไปได้ ในข้อเสนอกับผู้ใช้ VKontakte มีข้อระบุว่าผู้ใช้อินเทอร์เน็ตรายอื่นอาจมีข้อมูล:

ในความเป็นจริง มีเพียงไม่กี่คนที่อ่านข้อเสนอนี้ ดังนั้น Roskomnadzor กล่าวว่าข้อมูลจากโซเชียลเน็ตเวิร์กสามารถประมวลผลได้หากบุคคลนั้นให้ความยินยอม

ในปี 2560 VKontakte ฟ้อง Double Data และสำนักงานประวัติเครดิตแห่งชาติ พวกเขานำข้อมูลจากโปรไฟล์สาธารณะของผู้ใช้ ประเมินประวัติเครดิต และขายข้อมูลให้กับธนาคาร

ปรากฎว่าข้อมูลบนโซเชียลเน็ตเวิร์กไม่ถือว่าเปิดเผยต่อสาธารณะ คุณไม่สามารถนำโทรศัพท์ของผู้ใช้ไปขายหุ่นยนต์ดูดฝุ่นให้พวกเขาได้ ในกรณีนี้ โซเชียลเน็ตเวิร์กต้องการดึงความสนใจไปที่ปัญหา ดังนั้นการอ้างสิทธิ์จึงเป็นเงินรูเบิล แต่ในอีกกรณีหนึ่ง ผู้ใช้อาจฟ้องบริษัทด้วยเงินหนึ่งหรือสองล้าน

คำแนะนำของเราคือการได้รับอนุญาตจากลูกค้าให้ใช้ข้อมูลเปิดจากโซเชียลเน็ตเวิร์ก ตัวอย่างเช่นเมื่อลงทะเบียนในร้านค้าออนไลน์ด้วยข้อมูล VKontakte คุณสามารถแสดงข้อความต่อไปนี้:

“สำหรับการลงทะเบียน เราจะใช้ข้อมูลเปิดจากหน้า VKontakte ของคุณ: ชื่อ อีเมล โทรศัพท์ หากคุณเห็นด้วยกับสิ่งนี้ ให้คลิกที่ปุ่ม "ถัดไป"

หากผู้ใช้ตกลงจะไม่มีการเรียกร้องใด ๆ ต่อบริษัท

เมื่อไม่ต้องการการแจ้งเตือน

มีข้อยกเว้นตามกฎหมายเมื่อบริษัทประมวลผลข้อมูลแต่ไม่ได้เป็นผู้ดำเนินการข้อมูลส่วนบุคคล:

  • ประมวลผลเฉพาะข้อมูลพนักงานที่กฎหมายกำหนดเท่านั้น และจะไม่ถ่ายโอนข้อมูลดังกล่าวไปยังบุคคลอื่นโดยไม่ได้รับความยินยอมจากพนักงาน

    • ตัวอย่างเช่น เขากรอกคำสั่งจ้างงานและบัตรพนักงานแล้วเก็บไว้ในตู้นิรภัย

  • หากนักบัญชีต้องการถ่ายโอนข้อมูลของพนักงานไปยังธนาคารสำหรับโครงการเงินเดือน บริษัทจะกลายเป็นผู้ดำเนินการข้อมูลส่วนบุคคลและจะต้องได้รับความยินยอมจากพนักงานประมวลผลข้อมูลส่วนบุคคลบนกระดาษ
  • ในการออกบัตรส่วนลด ผู้ขายจะจดชื่อและหมายเลขโทรศัพท์ของลูกค้าลงในสมุดบันทึก แต่ไม่ได้ป้อนข้อมูลลงในคอมพิวเตอร์ใช้ข้อมูลที่เปิดเผยต่อสาธารณะ

- ผู้ที่บุคคลรายงานเกี่ยวกับตัวเอง ตัวอย่างเช่น ใช้ข้อมูลจากสมุดโทรศัพท์ของชาว Tula

ปรากฎว่าบริษัทเกือบทั้งหมดประมวลผลข้อมูลส่วนบุคคล ดังนั้นพวกเขาจึงต้องส่งการแจ้งเตือนไปยัง Roskomnadzor ยกเว้นช่างทำผมในหมู่บ้านหรือคนขายเนื้อที่ตลาด

การตรวจสอบ Roskomnadzor

เรารู้จักบริษัทที่ประมวลผลข้อมูลส่วนบุคคลและกลัวที่จะแจ้งให้ทราบ พวกเขาคิดว่าเนื่องจากก่อนหน้านี้พวกเขาประมวลผลข้อมูลโดยไม่มีการแจ้งเตือน พวกเขาจึงละเมิดกฎหมายและจะถูกปรับ พวกเขาฝ่าฝืนกฎหมายจริงๆ แต่ไม่ได้หมายความว่า Roskomnadzor จะมาตรวจสอบทันที

การลงทะเบียนของผู้ให้บริการข้อมูลส่วนบุคคลบนเว็บไซต์ Roskomnadzor

มีบริษัท 380,000 แห่งในการลงทะเบียน Roskomnadzor และมีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง:

Roskomnadzor ไม่สามารถตรวจสอบบริษัททั้งหมดในรายการได้ จากการสังเกตของเรา การตรวจสอบส่วนใหญ่มักเกิดขึ้นกับบริษัทที่พยายามซ่อนตัวและไม่ส่งการแจ้งเตือน สิ่งนี้ได้รับการยืนยันโดย Roskomnadzor ในวันเปิดทำการในช่วงฤดูร้อน เช็คไม่มาทันที ขั้นแรก Roskomnadzor ส่งจดหมายเพื่อขออธิบายว่าเหตุใดบริษัทจึงรวบรวมข้อมูลและไม่ได้ลงทะเบียนเป็นผู้ดำเนินการ

พนักงานแผนกสามารถสังเกตเว็บไซต์ของบริษัทบนอินเทอร์เน็ต ตรวจสอบผู้ขายอุปกรณ์อิเล็กทรอนิกส์ทั้งหมด หรือเลือกวิธีการอื่น มีกรณีที่บริษัททั้งหมดที่มีตัวอักษร A ถูกปรับใน Astrakhan ซึ่งประมวลผลข้อมูลส่วนบุคคลและไม่ได้ส่งการแจ้งเตือน

Roskomnadzor มักให้ความสำคัญกับบริษัทที่ใช้ข้อมูลส่วนบุคคลเพื่อ:

  • การจัดพนักงานเข้าทำงานและออกกรมธรรม์ประกันภัยหรือแผนเงินเดือนให้พวกเขา
  • บัตรสะสมคะแนน;
  • การส่งจดหมายโฆษณา
  • การให้บริการ
  • การลงทะเบียนบนเว็บไซต์
  • โทรหาผู้มีโอกาสเป็นลูกค้า

ค่าปรับสำหรับการละเมิดกฎหมายว่าด้วยข้อมูลส่วนบุคคลในประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียบนเว็บไซต์ของที่ปรึกษา

ดังนั้น เราขอแนะนำให้ส่งการแจ้งเตือนไปยัง Roskomnadzor ไปยังทุกบริษัทที่มีเว็บไซต์ที่มีแบบฟอร์มการลงทะเบียนหรือการสมัครรับจดหมายข่าว ค่าปรับสำหรับการประมวลผลข้อมูลส่วนบุคคลโดยไม่แจ้งให้ทราบคือ 5,000 รูเบิล นอกจากนี้ Roskomnadzor ยังสามารถบล็อกเว็บไซต์หรือระงับกิจกรรมของบริษัทได้ แต่สิ่งเหล่านี้เป็นมาตรการที่หาได้ยาก

หาก Roskomnadzor มีการตรวจสอบ อาจพบว่าบริษัทประมวลผลข้อมูลส่วนบุคคลไม่ถูกต้อง อาจมีค่าปรับสูงถึง 75,000 รูเบิล

ตั้งแต่วันที่ 1 กรกฎาคม 2017 ความรับผิดต่อการละเมิดกฎหมายว่าด้วยข้อมูลส่วนบุคคลมีความเข้มงวดมากขึ้น องค์กรการจัดการต้องจัดการกับข้อมูลส่วนบุคคลใดบ้าง ควรทำอย่างไรหากเจ้าของไม่ยินยอมให้ประมวลผลข้อมูลส่วนบุคคล

เราได้พูดคุยเกี่ยวกับเรื่องนี้กับ Dmitry Yuryevich Artyukhin หัวหน้าฝ่ายบริการกลางเพื่อการกำกับดูแลการสื่อสารเทคโนโลยีสารสนเทศและการสื่อสารมวลชนในสาธารณรัฐคาเรเลีย

เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

Dmitry Yuryevich บอกเราว่าข้อมูลส่วนบุคคลคืออะไรและมีอยู่ในภาคที่อยู่อาศัยและบริการชุมชนหรือไม่?

ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลใดบุคคลหนึ่งได้โดยไม่ซ้ำกัน

การประมวลผลข้อมูลส่วนบุคคลคือการดำเนินการใด ๆ ทั้งแบบอัตโนมัติหรือไม่อัตโนมัติที่ดำเนินการกับข้อมูลส่วนบุคคล นี่คือการรวบรวม การบันทึก การจัดระบบ การสะสม การจัดเก็บ และการชี้แจงข้อมูล

เรารวมนามสกุล ชื่อ นามสกุล วันที่และสถานที่เกิดของบุคคล และรายละเอียดของเอกสารประจำตัวเป็นข้อมูลส่วนบุคคล และข้อมูลอื่น ๆ อีกมากมายที่คุณสามารถระบุบุคคลใดบุคคลหนึ่งได้โดยตรงหรือโดยอ้อม

โปรดทราบว่าหากเป็นไปไม่ได้ที่จะระบุตัวบุคคลใดบุคคลหนึ่งโดยไม่ได้รับข้อมูลเพิ่มเติม ข้อมูลดังกล่าวจะไม่ใช่ข้อมูลส่วนบุคคล

เช่น การลงรายชื่อลูกหนี้ตามสื่อต่างๆ ประกอบด้วยนามสกุลและชื่อย่อ ไม่สามารถระบุบุคคลตามข้อมูลนี้ได้ เป็นเรื่องที่แตกต่างไปจากเดิมอย่างสิ้นเชิงหากองค์กรจัดการวางรายการเหล่านี้ไว้ที่ทางเข้าบ้านที่บุคคลนั้นอาศัยอยู่

แน่นอนว่ากิจกรรมการจัดการ MKD เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล การจัดการแต่ละรูปแบบ: องค์กรการจัดการ, HOA หรือแม้แต่การจัดการโดยตรงเกี่ยวข้องกับการรวบรวมและการประมวลผลข้อมูลส่วนบุคคล

องค์กรการจัดการทำข้อตกลงกับเจ้าของสถานที่เพื่อการจัดการอาคารอพาร์ตเมนต์ซึ่งจะต้องระบุข้อมูลส่วนบุคคล นอกจากนี้ บริษัทจัดการในฐานะนิติบุคคล มีความสัมพันธ์ทางกฎหมายกับพนักงานซึ่งอยู่ภายใต้การควบคุมของกฎหมายแรงงาน ดังนั้นองค์กรการจัดการจึงเป็นผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล

เกี่ยวกับผู้ดำเนินการในการประมวลผลข้อมูลส่วนบุคคล

ใครคือผู้ดำเนินการข้อมูลส่วนบุคคล?

ตามกฎหมาย ผู้ดำเนินการข้อมูลส่วนบุคคลคือหน่วยงานของรัฐ หน่วยงานเทศบาล นิติบุคคล หรือบุคคลที่ประมวลผลข้อมูลส่วนบุคคลโดยลำพังหรือร่วมกับบุคคลอื่น บุคคลดังกล่าวจะกำหนดวัตถุประสงค์ของการประมวลผล PD และองค์ประกอบ

นิติบุคคลใดๆ รวมถึงหน่วยงานการจัดการ สมาคมเจ้าของบ้าน และสหกรณ์ จะกลายเป็นผู้ดำเนินการข้อมูลส่วนบุคคลโดยอัตโนมัติ

MA ควรแจ้งใครว่าเป็นผู้ดำเนินการข้อมูลส่วนบุคคล?

ไม่จำเป็นต้องแจ้ง Roskomnadzor หากผู้ดำเนินการได้รับข้อมูลส่วนบุคคลภายใต้ข้อตกลงกับเรื่องของข้อมูลส่วนบุคคล โดยมีเงื่อนไขว่า PD จะไม่ถูกแจกจ่ายหรือถ่ายโอนไปยังบุคคลที่สาม

กฎเดียวกันนี้ใช้บังคับหากข้อมูลส่วนบุคคลเกี่ยวข้องกับสมาชิกของสมาคมสาธารณะหรือองค์กรทางศาสนา ซึ่งเปิดเผยต่อสาธารณะ และประกอบด้วยนามสกุล ชื่อจริง และนามสกุล สามารถอ่านรายการทั้งหมดได้ในส่วนที่ 2 ของมาตรา 22 N 152-FZ

การตัดสินใจส่งการแจ้งเตือนไปยังหน่วยงานที่ได้รับอนุญาตนั้นกระทำโดยผู้ดำเนินการข้อมูลส่วนบุคคล ไม่ว่าผู้ดำเนินการจะส่งหรือไม่ส่งการแจ้งเตือน เขาก็ยังคงเป็นผู้ดำเนินการข้อมูลส่วนบุคคล

เราเตือนนิติบุคคลอย่างสม่ำเสมอถึงความจำเป็นในการส่งการแจ้งเตือนถึงเรา (มาตรา 22 N 152-FZ) หากนิติบุคคลไม่รวมอยู่ในการลงทะเบียนของผู้ดำเนินการข้อมูลส่วนบุคคล จะไม่ได้รับการยกเว้นจากมาตรการควบคุมและการกำกับดูแล

ในทางกลับกัน นิติบุคคลเหล่านั้นที่อาจเป็นผู้ดำเนินการข้อมูลส่วนบุคคล ประมวลผลข้อมูลส่วนบุคคลและไม่รวมอยู่ในรายการที่ไม่รวมความจำเป็นในการส่งการแจ้งเตือนจากมุมมองของเรา แต่ไม่ได้ส่งการแจ้งเตือน มักจะรวมอยู่ในแผนการตรวจสอบ

ข้อกำหนดสำหรับการแจ้งต่อ Roskomnadzor แสดงอยู่ในส่วนที่ 3 ของมาตรา 22 N 152-FZ

เกี่ยวกับการยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคล

เมื่อใดที่คุณจะต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคล?

ผู้ดำเนินการข้อมูลส่วนบุคคลจะต้องเข้าใจว่าการประมวลผลข้อมูลส่วนบุคคลสามารถทำได้โดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น หรือหากมีเหตุทางกฎหมายอื่น ๆ ในขณะเดียวกันก็ควรสังเกตว่าแต่ละกรณีเป็นรายบุคคล

ใครเป็นผู้รับผิดชอบข้อมูลส่วนบุคคลหากบริษัทจัดการซึ่งประมวลผลข้อมูลส่วนบุคคลของเจ้าของได้ถ่ายโอนข้อมูลดังกล่าวภายใต้สัญญาไปยังบุคคลที่สาม?

หากองค์กรจัดการวางแผนที่จะมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลที่สาม จะต้องได้รับความยินยอมจากเรื่องของข้อมูลส่วนบุคคล หากไม่มีความยินยอมดังกล่าว ผู้ดำเนินการจะต้องรับผิดชอบ ไม่จำเป็นต้องได้รับความยินยอมหากสิ่งนี้กำหนดขึ้นโดยกฎหมายของรัฐบาลกลาง

บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการไม่จำเป็นต้องได้รับความยินยอมจากข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของเขา องค์กรจัดการต้องรับผิดชอบในสถานการณ์นี้

องค์กรจัดการควรทำอย่างไรหากเจ้าของไม่ยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคล?

ไม่มีทางที่จะบังคับเจ้าของได้ คุณต้องพยายามโน้มน้าวใจบอกสิ่งที่ตามมาที่อาจเกิดขึ้นกับเรื่องในกรณีที่ปฏิเสธที่จะให้ความยินยอม แต่ในกรณีใด ๆ การประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมในกรณีที่ไม่มีเหตุผลทางกฎหมายอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคลจะไม่ได้รับอนุญาต

ภาระในการพิสูจน์ความยินยอมในการประมวลผล PD ขึ้นอยู่กับผู้ดำเนินการข้อมูลส่วนบุคคล

เรื่องความรับผิดต่อการละเมิดกฎหมายว่าด้วยข้อมูลส่วนบุคคล

มีค่าปรับอะไรบ้างและใครเป็นผู้ออกค่าปรับ?

จนถึงวันที่ 1 กรกฎาคม 2017 ความรับผิดในการบริหารได้รับการจัดตั้งขึ้นภายใต้มาตรา 13.11 ของประมวลกฎหมายความผิดทางการบริหารของสหพันธรัฐรัสเซีย สำหรับการละเมิดขั้นตอนที่กำหนดไว้สำหรับการรวบรวม การจัดเก็บ การใช้ หรือการกระจายข้อมูลส่วนบุคคล สำหรับนิติบุคคลนี่เป็นคำเตือนหรือมีค่าปรับทางปกครองตั้งแต่ห้าพันถึงหนึ่งหมื่นรูเบิล

กลไกมีดังนี้: Roskomnadzor ดำเนินกิจกรรมควบคุมและกำกับดูแลในด้าน PD หากในระหว่างทำกิจกรรมพบการละเมิดก็แจ้งความไปยังสำนักงานอัยการเพื่อดำเนินการ สำนักงานอัยการได้ตรวจสอบรายงานแล้ว และหากพบว่ามีการละเมิด ก็จะมีคำตัดสินให้ดำเนินคดีปกครองและส่งเรื่องต่อศาล

ตั้งแต่วันแรกของเดือนกรกฎาคมสถานการณ์ก็เปลี่ยนไป เวอร์ชันใหม่ของมาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียมีรายละเอียดมากขึ้น ขณะนี้มี 7 มาตรา ซึ่งทั้งหมดเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ค่าปรับเพิ่มขึ้น Roskomnadzor มีอำนาจในการจัดทำระเบียบการนั่นคือเริ่มต้นคดีความผิดทางปกครองโดยข้ามสำนักงานอัยการ

ค่าปรับสูงสุดที่กำหนดไว้ในมาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียซึ่งแก้ไขเพิ่มเติมคือ 75,000 รูเบิล เป็นไปได้ที่จะขอรับมันเพื่อการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษรหากกฎหมายกำหนดไว้

ตามกฎทั่วไป ผู้ดำเนินการข้อมูลส่วนบุคคลจะต้องส่งการแจ้งเตือนไปยัง Roskomnadzor ก่อนที่จะประมวลผลข้อมูลนี้ ในเวลาเดียวกันกฎหมายมีข้อยกเว้นหลายประการซึ่งไม่จำเป็นต้องแจ้งให้ Roskomnadzor ทราบ

หากบริษัทวางแผนที่จะรวบรวมข้อมูลเกี่ยวกับบุคคล บริษัทจะต้องแจ้ง Roskomnadzor เกี่ยวกับเรื่องนี้ทันทีหลังจากการลงทะเบียน นอกจากนี้ หน่วยงานจะต้องได้รับแจ้งถึงความตั้งใจที่จะประมวลผลข้อมูลส่วนบุคคลของพลเมืองก่อนที่จะเริ่มการประมวลผลข้อมูล (มาตรา 22 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ “เกี่ยวกับข้อมูลส่วนบุคคล”) เมื่อวันที่ 1 กรกฎาคม 2017 ได้มีการนำค่าปรับการบริหารเพิ่มขึ้นเนื่องจากการไม่ปฏิบัติตามข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 152-FZ

คุณสามารถส่งข้อความถึง Roskomnadzor ผ่านทางอินเทอร์เน็ตบนเว็บไซต์ทางการของแผนก ประกาศระบุพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ของการรวบรวมข้อมูล วันที่เริ่มต้นของการประมวลผล และมาตรการเพื่อความปลอดภัยของข้อมูลที่ได้รับ การรวบรวมข้อมูลถือเป็นการรวบรวมข้อมูลจากบุคคลใด ๆ ที่ช่วยให้สามารถระบุตัวตนได้

ในเวลาเดียวกันกฎหมายมีข้อยกเว้นหลายประการซึ่งไม่จำเป็นต้องแจ้งให้ Roskomnadzor ทราบ รายการข้อจำกัดดังกล่าวกำหนดไว้ในมาตรา มาตรา 22 แห่งกฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม พ.ศ. 2549 ฉบับที่ 152-FZ ไม่จำเป็นต้องแจ้งในกรณีต่อไปนี้:

  • เมื่อรวบรวมและประมวลผลข้อมูลส่วนบุคคลโดยไม่ต้องใช้เครื่องมืออัตโนมัติ หากการประมวลผลดำเนินการโดยไม่มีฐานข้อมูลคอมพิวเตอร์และอิเล็กทรอนิกส์ ไม่จำเป็นต้องแจ้ง Roskomnadzor ในเวลาเดียวกัน ผู้ดำเนินการข้อมูลจะต้องปฏิบัติตามข้อกำหนดของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 15 กันยายน 2551 ฉบับที่ 687 “ข้อบังคับเกี่ยวกับลักษณะเฉพาะของการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยไม่ต้องใช้เครื่องมืออัตโนมัติ” หากบริษัทใช้คอมพิวเตอร์ ไม่ได้หมายความว่าการประมวลผลข้อมูลจะดำเนินการโดยใช้เครื่องมืออัตโนมัติ การประมวลผลข้อมูลส่วนบุคคลที่ไม่อัตโนมัติคือการใช้ การชี้แจง การแจกจ่าย การทำลายข้อมูลส่วนบุคคลที่ดำเนินการโดยการมีส่วนร่วมโดยตรงของบุคคล
  • เมื่อเก็บรวบรวมข้อมูลส่วนบุคคลจากพนักงานโดยเป็นส่วนหนึ่งของความสัมพันธ์ในการจ้างงาน สิ่งนี้ใช้เฉพาะกับข้อมูลที่ต้องมอบให้แก่นายจ้างเมื่อจัดทำข้อตกลงการจ้างงานและข้อตกลงร่วม Roskomnadzor ต้องได้รับแจ้งเกี่ยวกับการรวบรวมและการประมวลผลข้อมูลที่ไม่เกี่ยวข้องกับแรงงานสัมพันธ์ คุณต้องแจ้งให้ทราบด้วยว่านายจ้างต้องการประมวลผลข้อมูลของพนักงานที่ถูกไล่ออกหรือไม่ (ข้อ 1 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ)
  • เมื่อบริษัทเข้าทำข้อตกลงกับบุคคล ในกรณีนี้ ไม่จำเป็นต้องแจ้ง Roskomnadzor หากผู้รับเหมา/ผู้ขาย/ซัพพลายเออร์ไม่ได้ตั้งใจที่จะถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม (ข้อ 2 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 หมายเลข 152- เอฟแซด) ข้อมูลส่วนบุคคลจะต้องใช้เพื่อการปฏิบัติตามสัญญาที่เกี่ยวข้องกับการได้มาเท่านั้น
  • เมื่อรวบรวมข้อมูลโดยสมาคมสาธารณะหรือองค์กรทางศาสนา การประมวลผลข้อมูลจากสมาชิกขององค์กรดังกล่าวจะดำเนินการโดยไม่มีการแจ้งเตือน เว้นแต่ข้อมูลส่วนบุคคลจะถูกแจกจ่ายหรือเปิดเผยไปยังบุคคลที่สามโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากเรื่องของข้อมูลส่วนบุคคล (ข้อ 3 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม , พ.ศ. 2549 เลขที่ 152-FZ)
  • เมื่อรวบรวมและประมวลผลข้อมูลที่บุคคลนั้นเปิดเผยต่อสาธารณะ (ข้อ 4 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ)
  • เมื่อรวบรวมข้อมูลส่วนบุคคลที่มีเฉพาะชื่อ นามสกุล และนามสกุลของแต่ละบุคคล (ข้อ 5 ส่วนที่ 2 มาตรา 22 ของกฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ)
  • เมื่อได้รับข้อมูลสำหรับการเข้าสู่อาณาเขตของผู้ดำเนินการข้อมูลเพียงครั้งเดียว (ข้อ 6 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ)
  • เมื่อประมวลผลข้อมูลที่รวมอยู่ในข้อมูลส่วนบุคคล ระบบข้อมูลที่มีสถานะของระบบข้อมูลอัตโนมัติของรัฐ (ข้อ 7 ส่วนที่ 2 บทความ 22 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ)
  • เมื่อรวบรวมข้อมูลโดยบริษัทขนส่งเพื่อให้มั่นใจถึงการทำงานที่ปลอดภัยของศูนย์การขนส่ง ปกป้องผลประโยชน์ของบุคคล สังคม และรัฐในด้านศูนย์การขนส่ง

ในกรณีอื่นๆ ทั้งหมด จำเป็นต้องแจ้งการประมวลผลข้อมูล หากต้องการชี้แจงว่าองค์กรของคุณจำเป็นต้องส่งการแจ้งเตือนหรือไม่ คุณสามารถติดต่อ Roskomnadzor

หากต้องการเรียนรู้วิธีปกป้องธุรกิจของคุณจากค่าปรับภายใต้กฎหมายหมายเลข 152-FZ โปรดอ่านบทความ

ไม่ใช่ทุกบริษัทและผู้ประกอบการแต่ละรายจะทราบว่าพวกเขาเป็นผู้ดำเนินการข้อมูลส่วนบุคคลหรือไม่ และจำเป็นต้องถ่ายโอนข้อมูลเกี่ยวกับตนเองไปยัง Roskomnadzor หรือไม่ มาดูกันว่าใครคือผู้ให้บริการที่ติดตามอย่างใกล้ชิดมากขึ้นและจะแจ้งให้ประชาชนทราบเกี่ยวกับการเริ่มต้นการประมวลผลข้อมูลส่วนบุคคลได้อย่างไร

ใครคือผู้ดำเนินการข้อมูลส่วนบุคคลและพวกเขาทำอะไร?

คนส่วนใหญ่ทราบว่าข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่า PD) รวมถึงข้อมูลเกี่ยวกับนามสกุลของพลเมือง ชื่อจริง และนามสกุล ข้อมูลจากหนังสือเดินทาง หมายเลขโทรศัพท์มือถือ ที่อยู่อาศัย อีเมล ข้อมูลอื่นใดที่อาจรวมอยู่ในรายการนี้? ปรากฎว่ามีรายการใดรายการหนึ่งที่ไม่ครบถ้วนสมบูรณ์และโดยหลักการแล้วจะไม่มีรายการใดรายการหนึ่ง นี่คือการยืนยันโดยสูตรใน กฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม 2549 ฉบับที่ 152-FZ:

ข้อมูลส่วนบุคคล - ข้อมูลใด ๆ ที่เกี่ยวข้องกับการระบุหรือระบุตัวบุคคลโดยตรงหรือโดยอ้อม (เรื่องของข้อมูลส่วนบุคคล)

ปรากฎว่าในบางกรณี นามสกุล ชื่อ และหมายเลขรถก็เพียงพอที่จะระบุตัวพลเมืองได้ ในขณะที่ในกรณีอื่นๆ คุณจะต้องมีหมายเลขใบอนุญาตขับขี่และที่อยู่จดทะเบียนด้วย

ผู้ดำเนินการข้อมูลส่วนบุคคลคือหน่วยงานของรัฐหรือเทศบาล นิติบุคคล หรือบุคคลที่:

  • อิสระหรือร่วมกับบุคคลอื่นจัดและ/หรือดำเนินการประมวลผลข้อมูลส่วนบุคคล
  • กำหนดวัตถุประสงค์ในการทำงานกับข้อมูลส่วนบุคคล องค์ประกอบ ตลอดจนการดำเนินการ (การดำเนินการ) กับข้อมูลดังกล่าว

นั่นคือใครก็ตามที่ร้องขอและใช้ข้อมูลส่วนบุคคลคือผู้ดำเนินการ และทุกคนที่สามารถเข้าถึงและประมวลผลข้อมูลที่สามารถระบุตัวพลเมืองได้นั้น ใช้งานได้จริงกับข้อมูลส่วนบุคคล และต้องรับผิดชอบต่อการไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองพวกเขา

ลองจินตนาการว่าใครบ้างที่อาจจัดเป็นผู้ดำเนินการ PD ธนาคาร? ใช่! เว็บไซต์ที่รวบรวมเนื้อหาเกี่ยวกับสมาชิก? ใช่! บริษัทกฎหมายและบัญชีที่ให้บริการต่างๆ? ใช่! ร้านค้าและร้านเสริมสวยเสนอซื้อบัตรโบนัส? ใช่อีกแล้ว! สมาคมเจ้าของบ้าน มหาวิทยาลัย โรงเรียนอนุบาล บริษัทนำเที่ยว สถาบันการแพทย์ ระบบอัตโนมัติ รวมถึงหน่วยงานภาครัฐ? ใช่ ใช่ ใช่! ผู้ปฏิบัติงาน PD - ทุกที่ ทุกสาขา!

ภาระหน้าที่ของผู้ปฏิบัติงานเมื่อประมวลผลข้อมูลส่วนบุคคล

ทุกคนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีหน้าที่ปฏิบัติตามกฎเกณฑ์บางประการในการรวบรวม รับรองความปลอดภัย ชี้แจง ปิดกั้น และทำลายข้อมูลประเภทนี้ ตามกฎหมายหมายเลข 152-FZ ผู้ประกอบการจะต้อง:

  • ดำเนินการอธิบายเกี่ยวกับข้อมูลส่วนบุคคลตลอดจนได้รับความยินยอมล่วงหน้าจากเขาในการประมวลผลข้อมูลส่วนบุคคล
  • นำเสนอนโยบายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลต่อสาธารณะ
  • ให้มาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยไม่ได้ตั้งใจ การทำลาย การดัดแปลง การบล็อก การคัดลอก การแจกจ่าย
  • ทำลายบันทึกหากเรื่องของข้อมูลส่วนบุคคลพิสูจน์ได้ว่าข้อมูลนั้นได้มาอย่างผิดกฎหมายหรือไม่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ระบุไว้
  • บล็อกการเข้าถึงข้อมูลตามคำขอของหน่วยงานที่ได้รับอนุญาตหรือเรื่องของข้อมูลส่วนบุคคล (ตัวแทน)
การลงทะเบียนกับ Roskomnadzor ในฐานะผู้ดำเนินการข้อมูลส่วนบุคคล

กฎหมายกำหนดว่าก่อนที่จะเริ่มทำงานกับข้อมูลส่วนบุคคลจำเป็นต้องติดต่อหน่วยงานกำกับดูแลที่ได้รับอนุญาตและแจ้งเกี่ยวกับการเริ่มทำงานกับข้อมูลส่วนบุคคล นี่ไม่ได้หมายความว่าทุกบริษัทจะต้องรวมอยู่ในทะเบียน Roskomnadzor ของผู้ดำเนินการข้อมูลส่วนบุคคล รายการนี้ไม่รวมองค์กรและบุคคลที่จัดการกับข้อมูลที่:

  • รวบรวมและจัดเก็บตามกฎหมายแรงงาน
  • ได้รับเพียงเพื่อการให้บริการการสื่อสารภายใต้ข้อตกลงสรุป แต่จะไม่มีการแจกจ่ายหรือจัดหาให้กับบุคคลที่สามโดยไม่ได้รับความยินยอมจากหัวข้อ PD
  • หมายถึงสมาชิก (ผู้เข้าร่วม) ของสมาคมสาธารณะหรือองค์กรทางศาสนาเพื่อให้บรรลุเป้าหมายที่กำหนดไว้ในเอกสารประกอบของพวกเขา
  • ทำให้เปิดเผยต่อสาธารณะโดยหัวข้อ PD;
  • รวมเฉพาะนามสกุล ชื่อ และนามสกุลของข้อมูลส่วนบุคคลเท่านั้น
  • จำเป็นสำหรับการได้รับบัตรผ่านครั้งเดียวไปยังอาณาเขตขององค์กร
  • รวมอยู่ในระบบที่มีสถานะของระบบข้อมูลอัตโนมัติของรัฐตลอดจนในระบบ PD ของรัฐที่สร้างขึ้นเพื่อปกป้องความมั่นคงของรัฐและความสงบเรียบร้อยของสาธารณะ
  • ประมวลผลโดยไม่ต้องใช้เครื่องมืออัตโนมัติ (คอมพิวเตอร์)
  • ประมวลผลเพื่อให้แน่ใจว่าการทำงานที่ปลอดภัยของศูนย์การขนส่ง

เมื่อคำนึงถึงสูตรดังกล่าว องค์กรหลายแห่งจะไม่รวมอยู่ในทะเบียนของผู้ปฏิบัติงานที่ประมวลผลข้อมูลส่วนบุคคลที่ดูแลโดย Roskomnadzor อีกต่อไป นั่นคือ นายจ้าง บริษัทที่ให้บริการด้านการสื่อสาร องค์กรทางศาสนา บุคคลที่ได้รับข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามสัญญาเท่านั้น และอื่นๆ อีกมากมายไม่ควรแจ้งให้ทราบเกี่ยวกับการรวบรวมและการประมวลผลข้อมูลส่วนบุคคล ผู้ที่ไม่มีข้อยกเว้นจะต้องอยู่ในรายชื่อหน่วยงานกำกับดูแล

ขั้นตอนการลงทะเบียนประกอบด้วยการยื่นหนังสือแจ้งในรูปแบบใดแบบหนึ่ง สามารถพบได้ผ่านการลงทะเบียนข้อมูลส่วนบุคคล Roskomnadzor พอร์ทัลบริการของรัฐ หรือใช้ คำสั่งกระทรวงโทรคมนาคมและสื่อสารมวลชนของรัสเซียลงวันที่ 21 ธันวาคม 2554 N 346- คุณสามารถดาวน์โหลดเอกสารที่จำเป็นได้ฟรีที่ท้ายบทความนี้

  • ชื่อเต็มและตัวย่อของบริษัทที่ระบุรูปแบบองค์กรและกฎหมาย รวมถึงที่อยู่ทางกฎหมายและทางไปรษณีย์ TIN
  • วัตถุประสงค์ของการประมวลผลที่ระบุไว้ในเอกสารประกอบหรือดำเนินการจริง
  • ประเภทของ PD ที่จะได้รับการประมวลผล
  • หัวข้อที่มีการวางแผนที่จะดำเนินการ PD รวมถึงความสัมพันธ์กับบุคคลเหล่านั้น เช่น ผู้โดยสาร ผู้ยืม ผู้สมัครสมาชิก ผู้ฝาก ผู้ถือกรมธรรม์
  • พื้นฐานที่มีสิทธิในการประมวลผล (เช่น บทความ รหัสอากาศของสหพันธรัฐรัสเซียหรือ กฎหมายสถานะพลเมืองเกี่ยวกับการกระทำของสถานภาพทางแพ่ง) รวมถึงความพร้อมของใบอนุญาตสำหรับประเภทของกิจกรรมที่กำลังดำเนินอยู่
  • คำอธิบายวิธีการประมวลผล PD ที่ใช้และรายการ: การประมวลผลแบบแมนนวล อัตโนมัติ หรือแบบผสม
  • ข้อมูลเกี่ยวกับบุคคลที่รับผิดชอบในการจัดการประมวลผลข้อมูลส่วนบุคคล หมายเลขโทรศัพท์ ที่อยู่ไปรษณีย์ อีเมล
  • ข้อมูลเกี่ยวกับการเข้ารหัส (cryptographic) หมายถึง;
  • วันที่เริ่มต้น ตลอดจนเงื่อนไขและข้อกำหนดสำหรับการยุติการประมวลผล PD
  • ข้อมูลเกี่ยวกับตำแหน่งที่ข้อมูลถูกจัดเก็บในระหว่างการประมวลผล รวมถึงเกี่ยวกับประเทศที่ฐานข้อมูลพร้อมข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลของพลเมืองของสหพันธรัฐรัสเซียตั้งอยู่
  • ข้อมูลเกี่ยวกับการรับรองความปลอดภัยของข้อมูลส่วนบุคคลตามข้อกำหนดที่กำหนด คำสั่งของรัฐบาลสหพันธรัฐรัสเซียลงวันที่ 1 พฤศจิกายน 2555 N 1119.

โปรดทราบว่าการลงทะเบียนของผู้ดำเนินการข้อมูลส่วนบุคคลบนเว็บไซต์ Roskomnadzor จะดำเนินการภายใน 30 วัน หากมีการส่งใบสมัครทางอิเล็กทรอนิกส์ บริษัทจะต้องส่งสำเนาการแจ้งเตือนไปยังหน่วยงานในอาณาเขตเพิ่มเติม หากข้อมูลไม่เพียงพอเจ้าหน้าที่จะส่งคำร้องขอชี้แจงเอกสารที่ส่งมา เป็นไปไม่ได้ที่จะปฏิเสธที่จะยอมรับการแจ้งเตือนและป้อนข้อมูลเกี่ยวกับองค์กรลงในทะเบียน

หากวัตถุประสงค์ขององค์กรในการประมวลผล PD มีการเปลี่ยนแปลงด้วยเหตุผลหลายประการหรือจำเป็นต้องทำการเปลี่ยนแปลงอื่น ๆ องค์กรจะส่งจดหมายถึง Roskomnadzor ตามแบบฟอร์มที่กำหนดภายใน 10 วัน เอกสารสามารถพบได้ด้านล่าง นอกจากนี้ ผู้อ่าน PPT.ru ยังสามารถดาวน์โหลดแบบฟอร์มของเอกสารที่จำเป็นในการแยกบริษัทออกจากการลงทะเบียนได้

บริการทั้งหมดที่ Roskomnadzor ในกรณีนี้ให้บริการฟรี

ความรับผิดชอบในการปฏิเสธที่จะลงทะเบียนในทะเบียน

กฎหมายปัจจุบันกำหนดให้มีความรับผิดทางการบริหารสำหรับการละเมิดข้อกำหนดในการปกป้องข้อมูลส่วนบุคคล ตาม กฎหมายของรัฐบาลกลางลงวันที่ 02/07/2017 ฉบับที่ 13-FZซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม พ.ศ. 2560 เป็นต้นไป บทความ 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียมีความผิดหลายประการที่ผู้ดำเนินการข้อมูลส่วนบุคคลอาจถูกปรับ ค่าปรับสำหรับนิติบุคคลภายใต้บทความนี้แตกต่างกันไปตั้งแต่ 15 ถึง 75,000 รูเบิลและสำหรับผู้ประกอบการแต่ละราย - ตั้งแต่ 5 ถึง 20,000 รูเบิล

การปฏิเสธที่จะลงทะเบียนในการลงทะเบียนอาจถือได้ว่าเป็นความล้มเหลวในการให้ข้อมูลแก่หน่วยงานกำกับดูแล การลงโทษสำหรับสิ่งนี้มีระบุไว้ใน มาตรา 19.7 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย- ตามที่กล่าวไว้เจ้าหน้าที่จะถูกปรับ 300 ถึง 500 รูเบิล และนิติบุคคล - 3,000 ถึง 5,000 รูเบิล

ซึ่งกลายเป็นเรื่องสำคัญที่สุดทั้งในด้านบัญชีและการพิจารณาขอสินเชื่อ เป็นต้น

แต่สิ่งนี้คืออะไรและใครยังคงมีสิทธิ์ประมวลผลข้อมูลดังกล่าวและใครบ้างที่ไม่ได้กล่าวถึง แม้จะฝืนใจก็ตาม

ส่งผลให้บางครั้งเป็นการยากที่จะเข้าใจว่าใครคือผู้ควบคุมข้อมูลส่วนบุคคล

– เป็นข้อมูลเกี่ยวกับบุคคลที่ระบุว่าเขาเป็นบุคคลใดบุคคลหนึ่ง ไม่ใช่ข้อมูลทั่วไป และไม่สามารถนำไปใช้กับกลุ่มบุคคลได้ ในกรณีส่วนใหญ่ เรากำลังพูดถึงนามสกุล ชื่อ นามสกุล วันเกิด ที่อยู่ที่บุคคลนั้นจดทะเบียนและอาศัยอยู่ สถานภาพการสมรส ฯลฯ

แนวคิดเรื่องข้อมูลส่วนบุคคลถูกนำมาใช้ในการหมุนเวียนทางธุรกิจหลังจากการนำ "ข้อมูลส่วนบุคคล" มาใช้ในปี 2549 ที่นั่นได้มีการแบ่งข้อมูลออกเป็นหลายประเภท ซึ่งทำให้สามารถกำหนดระดับความละเอียดในการประมวลผลสำหรับสถานการณ์ต่างๆ ได้

  1. ข้อมูลเกี่ยวกับเชื้อชาติและสัญชาติ ความเชื่อทางศาสนา สถานะสุขภาพ และรายละเอียดเกี่ยวกับชีวิตส่วนตัวของพลเมือง
  2. ข้อมูลที่นอกเหนือจากการระบุตัวพลเมืองแล้ว ยังช่วยให้คุณได้รับข้อมูลต่างๆ เกี่ยวกับเขาด้วย เช่น หมายเลขโทรศัพท์ สถานที่อยู่อาศัย เป็นต้น
  3. ข้อมูลที่ทำให้บุคคลหนึ่งโดดเด่นจากบุคคลอื่น - นามสกุล ชื่อ และวันเดือนปีเต็ม
  4. ข้อมูลสาธารณะตามกฎแล้วจะไม่เปิดเผยชื่อ แต่บางครั้งก็เป็นข้อมูลที่กฎหมายกำหนดให้เปิดเผยต่อสาธารณะด้วย เช่น รายได้ของเจ้าหน้าที่ของรัฐ หมวดหมู่ที่แยกต่างหากรวมถึงข้อมูลที่พลเมืองให้ความยินยอม เช่น ที่อยู่และหมายเลขโทรศัพท์ในแผนกช่วยเหลือ 09

โดยทั่วไป กฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" ได้รับการออกแบบมาเพื่อรับรองสิทธิของพลเมืองทุกคนในความเป็นส่วนตัวและการป้องกันในกรณีที่เกิดการละเมิด จากการจำแนกประเภทข้างต้น มีการกำหนดข้อกำหนดต่างๆ เพื่อรับรองความปลอดภัยของข้อมูล สำหรับหมวดหมู่แรก ข้อกำหนดจะเข้มงวดกว่าหมวดหมู่อื่นๆ ทั้งหมด

ใครเป็นผู้ดำเนินการข้อมูลส่วนบุคคล

ผู้ดำเนินการข้อมูลส่วนบุคคลเป็นนิติบุคคลที่เกี่ยวข้องกับข้อมูลเกี่ยวกับลูกค้าและพนักงานในปัจจุบันและที่มีศักยภาพ ขนาดขององค์กรไม่สำคัญเลย และไม่ได้คำนึงถึงรูปแบบการเป็นเจ้าของด้วย

ในทางปฏิบัติ ผู้ปฏิบัติงานคือองค์กรใดๆ ที่จ้างแรงงานจ้าง ท้ายที่สุดแล้วการจ้างงานเป็นไปไม่ได้โดยไม่ต้องกรอกแบบฟอร์มใบสมัครพร้อมรายการข้อมูลโดยละเอียดเกี่ยวกับตัวคุณตลอดจนการส่งเอกสารส่วนตัวและทำสำเนาทั้งหมดข้อมูลจะถูกป้อนเข้าสู่โปรแกรมบัญชี ฯลฯ

ข้อกำหนดหลักของกฎหมายของสหพันธรัฐรัสเซียสำหรับผู้ปฏิบัติงานคือเพื่อความปลอดภัยของข้อมูลที่องค์กรได้รับระหว่างกิจกรรม

มาตรฐานที่รับรองการป้องกันนั้นกำหนดไว้ในกฎหมายดังกล่าวและสามารถระบุได้ตามข้อบังคับของหน่วยงานกำกับดูแลที่เรียกว่า

มีขั้นตอนบางอย่างที่ควบคุมกรณีที่องค์กรได้รับสิทธิ์ในการทำงานกับข้อมูลส่วนบุคคลโดยไม่ต้องแจ้งให้ทราบ:

  • หากบริษัทประมวลผลเฉพาะข้อมูลที่จำเป็นสำหรับแรงงานสัมพันธ์
  • เมื่อมีการประมวลผลข้อมูลที่เปิดเผยต่อสาธารณะ
  • หากมีการประมวลผลเฉพาะนามสกุล ชื่อ นามสกุลเท่านั้น
  • เมื่อใช้ครั้งเดียวเช่นเพื่อออกบัตร;
  • หากไม่ใช้เทคโนโลยีคอมพิวเตอร์ในการประมวลผล

องค์กรอื่นๆ ทั้งหมดจำเป็นต้องลงทะเบียน ซึ่งส่งผลให้พวกเขาได้รับหมายเลขการลงทะเบียนเฉพาะซึ่งพวกเขาจะต้องลงทะเบียนในการลงทะเบียนพิเศษ


สามารถชี้แจงได้ตลอดเวลาว่านิติบุคคลใดมีสิทธิ์ขอหรือจัดเก็บข้อมูลส่วนบุคคลหรือไม่

ตัวอย่างเช่น คำถามดังกล่าวมักเกิดขึ้นเกี่ยวกับสถาบันสินเชื่อ ผู้ให้บริการโทรศัพท์มือถือ ฯลฯ

ดังนั้นจึงเป็นเรื่องปกติที่จะเรียกองค์กร "ผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล" เนื่องจากกิจกรรมทางวิชาชีพของพวกเขา รวบรวมและประมวลผลไม่เพียงแต่ข้อมูลที่เปิดเผยต่อสาธารณะเท่านั้น แต่ยังรวมถึงซีรี่ส์ หมายเลขหนังสือเดินทาง ที่พักอาศัย ฯลฯ

การได้รับสิทธิ์ในการประมวลผลข้อมูลส่วนบุคคล

เพื่อให้มั่นใจในความปลอดภัยของการจัดเก็บและการถ่ายโอนข้อมูลส่วนบุคคล จึงมีการกำหนดขั้นตอนการรับรองและการขอรับใบอนุญาตสำหรับองค์กรที่เกี่ยวข้องกับการรวบรวมและจัดเก็บข้อมูลดังกล่าว

ในการได้รับใบอนุญาต องค์กรต้องไม่เพียงแต่ฝึกอบรมพนักงานเท่านั้น แต่ยังต้องซื้ออุปกรณ์ป้องกันทางเทคนิคด้วย

ขั้นตอนประกอบด้วยหลายขั้นตอน ซึ่งสามารถระบุขั้นตอนที่สำคัญที่สุดได้

  • แจ้งหน่วยงานที่เกี่ยวข้องถึงความตั้งใจในการประมวลผลข้อมูลโดยใช้วิธีการ (คอมพิวเตอร์)
  • เข้ารับการตรวจสอบระบบสารสนเทศที่มีอยู่เบื้องต้น
  • ออกแบบระบบป้องกันโดยคำนึงถึงโครงสร้างพื้นฐานของอุปกรณ์คอมพิวเตอร์และอุปกรณ์อัตโนมัติอื่น ๆ
  • จัดหาและใช้อุปกรณ์ป้องกัน
  • ทำให้สถานที่ทั้งหมดสอดคล้องกับความปลอดภัยจากอัคคีภัย การรักษาความปลอดภัย ข้อกำหนดด้านแหล่งจ่ายไฟ ฯลฯ
  • ดำเนินการฝึกอบรมขั้นสูงของพนักงานในด้านการคุ้มครองข้อมูลส่วนบุคคลและการรับรอง

เป็นผลให้สามารถรับประกันได้ว่ามีระบบการทำงานสำหรับการปกป้องข้อมูลเมื่อส่งข้อมูลผ่านสายสื่อสาร

เป็นที่น่าสังเกตว่าการดำเนินการทั้งหมดที่อธิบายไว้ข้างต้นสามารถนำไปใช้กับการประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์เท่านั้น ซึ่งอาจไม่ปลอดภัยสำหรับข้อมูลที่จัดเก็บหรือถ่ายโอน

ตรวจสอบกิจกรรมของผู้ปฏิบัติงานข้อมูลส่วนบุคคล

งานของผู้ดำเนินการข้อมูลส่วนบุคคลทั้งหมดไม่เพียงแต่ถูกควบคุมโดยกฎหมายเท่านั้น แต่ยังต้องได้รับการตรวจสอบเป็นประจำ ทั้งที่วางแผนไว้และแบบสุ่ม เช่น ตามคำร้องขอของพลเมืองที่ได้รับผลกระทบจากกิจกรรมของพวกเขา

หน่วยงานกำกับดูแลและการบังคับใช้กฎหมายหลายแห่งควรมีส่วนร่วมในการติดตามการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล แต่เนื่องจากลักษณะเฉพาะของงาน จึงมีเพียงสามหน่วยงานเท่านั้นที่โดดเด่น (เรียกว่าหน่วยงานกำกับดูแล):

  • Roskomnadzor - หน้าที่ของมันรวมถึงการตรวจสอบการปฏิบัติตามข้อกำหนดด้านกฎระเบียบของกฎหมายตลอดจนการดำเนินการตรวจสอบ
  • FSTEC (Federal Service for Technical and Export Control) - งานของมันรวมถึงประการแรกคือการปกป้องข้อมูลที่อยู่ในคอมพิวเตอร์ขององค์กรตลอดจนช่องทางการส่งข้อมูลเมื่อจัดเก็บและส่งโดยไม่มีการเข้ารหัส
  • FSB (Federal Security Service) – ควบคุมการใช้วิธีการเข้ารหัสสำหรับการประมวลผลและการส่งข้อมูลส่วนบุคคล รวมถึงการพัฒนาและการเผยแพร่ข้อมูลดังกล่าว

คุณสามารถตรวจสอบทัศนคติขององค์กรใดองค์กรหนึ่งต่อผู้ดำเนินการข้อมูลส่วนบุคคลได้ด้วยตัวเอง

เว็บไซต์ Roskomnadzor มีสิทธิ์เข้าถึงทะเบียนของผู้ให้บริการที่ประมวลผลข้อมูลส่วนบุคคล มีอยู่ที่ลิงก์นี้

หากต้องการดูข้อมูล เพียงป้อนชื่อหรือหมายเลขทะเบียนของวิสาหกิจที่สนใจ หรือหมายเลขประจำตัวผู้เสียภาษี (TIN) ในช่องที่เหมาะสม

วิธีนี้ช่วยให้คุณทราบว่ามีการร้องขอข้อมูลอย่างถูกกฎหมายหรือไม่ หากองค์กรไม่อยู่ในรายชื่อ Roskomnadzor ควรดูแลเรื่องนี้และรวมไว้ในทะเบียนหรือห้ามไม่ให้มีการรวบรวมข้อมูลเกี่ยวกับพลเมืองอย่างผิดกฎหมาย

การตรวจสอบผู้ดำเนินการข้อมูลส่วนบุคคลจะดำเนินการตามคำขอของประชาชนหรือตามความคิดริเริ่มเช่นสำนักงานอัยการซึ่งสามารถติดต่อ Roskomnadzor โดยเป็นส่วนหนึ่งของการตรวจสอบกิจกรรมขององค์กร

มีการรับผิดชอบต่อการละเมิดในการประมวลผลข้อมูลของพลเมือง ขึ้นอยู่กับความรุนแรงของการกระทำที่กระทำ อาจมีการลงโทษทางปกครอง วินัย หรือทางอาญา

โดยทั่วไป ก่อนที่จะให้สิทธิ์ในการประมวลผลข้อมูลส่วนบุคคลในเครดิตหรือองค์กรอื่นที่ขอสิทธิ์ดังกล่าว ควรตรวจสอบให้แน่ใจก่อนว่าได้ลงทะเบียนเป็นผู้ดำเนินการแล้ว จึงมีทุกอย่างสำหรับการจัดเก็บที่ปลอดภัย

สิ่งนี้อาจนำไปใช้กับธุรกิจขนาดเล็กโดยเฉพาะ เช่น ธุรกิจที่ให้สินเชื่อขนาดเล็ก

แน่นอนว่าหากไม่ได้รับความยินยอมดังกล่าว องค์กรดังกล่าวมักจะปฏิเสธการให้บริการ แต่ก็ไม่มีอะไรผิดปกติเพราะว่า การแข่งขันค่อนข้างสูงและคุณสามารถหาตัวเลือกอื่นที่เหมาะสมได้เสมอ



บทความที่เกี่ยวข้อง