Zaštita osobnih podataka. Savezni zakon "O osobnim podacima" od 27. srpnja 2006. N 152-FZ: sadržaj i komentari
Pravna pitanja vezana uz zaštitu osobnih podataka odnose se na odvjetnike koji djeluju u raznim područjima prava. To je zbog činjenice da u bilo kojem pravnom području postoji određeni popis informacija koje zahtijevaju osiguravanje njihove povjerljivosti i neproliferacije trećim osobama od strane onih kojima je povjereno u obavljanju svojih službenih dužnosti.
Stoga ćemo dalje razmotriti koje informacije pripada ovoj grupi, kao i značajke sustava za zaštitu osobnih podataka. Kako ona radi u poduzećima i organizacijama? Uz to, razmotrite što bi trebalo uključiti u strukturu Uredbe o zaštiti osobnih podataka zaposlenika (uzorak) i kako se ona prihvaća.
Opći koncept
Ako govorimo o općem konceptu, onda su povjerljive informacije sve informacije koje su izravno povezane s određenom osobom. U pravilu, to su njegovi osobni podaci. Ako se objasni pravni pojam, onda se ta osoba u praksi pravnih stručnjaka naziva predmetom osobnih podataka.
Koje podatke zakonodavac smatra razmatranim? Prije svega, ovo je prezime, ime i prezime osobe, kao i datum i mjesto rođenja. Osim toga, grupi tih osoba pripadaju informacije o mjestu prebivališta nakon činjenice, kao i registracija. U skupinu povjerljivih informacija spadaju i informacije o bračnom statusu osobe, kao i njegov socijalni status, dohodak i obrazovanje.
Zakonsko reguliranje rada s osobnim podacima u Rusiji. Osnovni propisi
Što se tiče ruskog zakonodavstva, on pruža adekvatnu zaštitu osobnih podataka osoba koje nisu samo državljani zemlje, već i iz bilo kojeg razloga borave na njenom teritoriju. Zakonodavstvo koje regulira ova pitanja zastupljeno je u nekoliko propisa. Konkretno, osnovni zakon - Ustav, kao i Savezni zakon 152 "o zaštiti osobnih podataka" može se pripisati skupini takvih. Promjene ovih propisa nisu vrlo česte, što stručnjacima omogućuje detaljnije proučavanje svakog novog amandmana i njegovo pravilno provođenje.
Osim ruskog zakonodavstva, pitanja vezana uz zaštitu osobnih podataka regulirana su međunarodnim propisima. Osim toga, ova se djelatnost provodi i na temelju normativnih akata koje izdaju lokalne vlasti koje postoje u državi. Zakonodavac primjećuje da takvi propisi mogu sadržavati propise o obradi podataka određene vrste, ali se ne mogu propisati pravila za ograničavanje određenih prava subjekata koji su nositelji osobnih podataka.
Svi zakoni i propisi, u kojoj su zahtjevi u vezi s obradom osobnih podataka, kao i propisivanje njihove zaštite, u skladu sa zakonom, službeno objavljeni na izvorima dostupnim javnosti. Ovo pravilo ima jednu iznimku, koja se odnosi na dokumente koji reguliraju rad s tajnim informacijama - te informacije trebaju biti zaštićene od pristupa u prilično strogom redu.
Načela obrade osobnih podataka
U tekstu Saveznog zakona 152 o zaštiti osobnih podataka navodi se da se rad s informacijama koje čine osobne podatke treba provoditi isključivo u skladu s određenim načelima. Što su oni? Razmotrite to detaljnije.
Prije svega, sve radnje zaposlenika tijela i službi koje se bave obradom osobnih podataka trebaju se provoditi uzimajući u obzir temeljno načelo - zakonitost. To znači da se sve informacije dostupne u bazi podataka moraju dobiti legalno, u dobroj vjeri i pravilno obrađene, isključivo u okvirima svrhe za koju su pružene. Osim toga, časnik koja se bavi obradom povjerljivih informacija, mora koristiti podatke koji dopuštaju opseg njegovih ovlasti.
Sve metode obrade informacija, kao i njihova priroda, opseg, moraju u potpunosti biti u skladu sa svrhom za koju su informacije usvojene. U procesu aktivnosti, informacije se ne mogu kombinirati za obradu unutar nekoliko ciljeva odjednom. Iznimka može biti samo rad u informacijskom sustavu.
Svi osobni podaci koji se dostavljaju na obradu moraju biti pouzdani - to je također jedan od osnovnih principa rada s informacijama o prirodi o kojoj je riječ. Njihov opseg bi trebao biti dovoljan za vođenje operacije u ispravnom obliku, zakonodavac ne dopušta osobi da traži suvišne informacije koje nisu potrebne za provođenje svih potrebnih radnji.
Uvjeti pod kojima je moguća obrada informacija
Uredba o zaštiti osobnih podataka propisuje da se sav rad s informacijama koje se pružaju za obradu mora obaviti zakonito. Što to znači?
Prije svega, treba imati na umu da se sav rad s osobnim podacima mora obavljati isključivo uz pristanak osobe koja ga posjeduje. Što se tiče osobe koja sama obavlja radni postupak, ona mora biti nužno ovlaštena zakonom ili zasebnom pravnom osobom u kojoj se obavlja obrada. U slučaju da osoba koja prima informacije tijekom procesa rada s informacijama mora je prenijeti na drugog zaposlenika ustanove ili organizacije, druga je dužna osigurati njihovu sigurnost.
U nekim slučajevima zakonodavac predviđa mogućnost korištenja osobnih podataka bez pristanka subjekta, koji je njihov izravni nositelj. To se osobito odnosi na trenutak kada se podaci koriste za sastavljanje statističkih izvješća, kao i za postizanje znanstvenih ciljeva. To vrijedi i za slučaj kada je potrebno osigurati ispunjenje ugovornih obveza, zaštitu života i zdravlja jedne osobe ili cijelog društva. Osim toga, dopuštenje subjekta osobnih podataka nije potrebno u slučaju kada se informacije koriste u radu novinara, u kreativnim ili znanstvenim aktivnostima. Međutim, Uredba o zaštiti osobnih podataka upućuje na to da se informacije mogu koristiti isključivo za profesionalne aktivnosti i samo ako njihovo otkrivanje ne šteti predmetu tih informacija.
Obvezni za objavljivanje bez pristanka samih prijevoznika podliježu osobnim podacima koji pripadaju općinskim zaposlenicima, osobama koje zamjenjuju prvu javnu službu, kandidatima koji sudjeluju na izborima.
Posebne kategorije osobnih podataka
Zakonodavac osigurava određeni popis osobnih podataka, što je nekoliko kategorija posebne vrste. To uključuje informacije o rasnom identitetu osobe, njegova filozofska i osobna uvjerenja, intimni život, kao i zdravstveni status. Ove skupine informacija su posebno zaštićene zakonom i njihovo otkrivanje ni u kojem slučaju nije dopušteno, osim u određenim slučajevima. Što su oni?
Prije svega, obratite pozornost na činjenicu da pristanak osobe na otkrivanje osobnih podataka koji se odnose na posebne kategorije nije potreban ako su već javno dostupni. Većinom se to odnosi na poznate osobe, čiji život u javno dostupnim izvorima sadrži znatnu količinu informacija, uključujući osobne podatke.
U slučaju da subjekt osobnih podataka posebne prirode daje svoje pisano dopuštenje za otkrivanje informacija, oni se također mogu objaviti.
Što se tiče informacija o stanju ljudskog zdravlja, zaštita osobnih podataka ove skupine vrši se na poseban način. U suvremenoj pravnoj praksi postoji takva stvar "medicinska tajna". Zahvaljujući njemu osigurano je čuvanje medicinskih podataka o osobi. Osobe koje su po službenoj dužnosti svjesne zdravstvenog stanja pacijenta, nemaju pravo priopćiti dobivene informacije trećim osobama bez pismene suglasnosti klijenta zdravstvene ustanove. U suprotnom, osoba koja se ne pridržava ovog pravila podliježe odgovornosti. Za dobivanje osobnih podataka od strane liječnika ili drugog stručnog djelatnika medicinske ili profilaktičke ustanove, subjekt ne treba dopuštenje, jer mu izostanak stručnjaka za dobivanje informacija o stanju ljudskog zdravlja može ugroziti smrt ili značajno pogoršanje općeg stanja tijela.
U suvremenoj praksi to je također dopušteno obrada informacija osobna priroda, zastupljena u skupini posebnih informacija, koja se provodi u postupku provođenja istražnih radnji ili postupanja u predmetu o meritumu.
Biometrijski osobni podaci
U modernoj eri visoke tehnologije, nova vrsta osobnih informacija dobiva sve veću popularnost - biometrijski podaci. Oni predstavljaju posebnu skupinu informacija. Obrada i zaštita osobnih podataka ove vrste vrši se i na temelju Zakona Ruske Federacije "O osobnim podacima".
Navedeni zakon navodi da se obrada biometrijskih podataka, koji uključuju sve podatke koji karakteriziraju biološke značajke određene osobe, može izvršiti isključivo na temelju pisane suglasnosti, koju subjekt osobnih podataka mora pružiti izravno.
Međutim, unatoč strogosti zakona koji se odnosi na zaštitu povjerljivosti biometrijskih podataka neke osobe, postoji iznimka od toga. Sastoji se od odsustva potrebe za davanjem pismene suglasnosti osobe za obradu biometrijskih podataka u slučaju obavljanja operativno-istražnih aktivnosti koje mogu provoditi agencije za provedbu zakona raznih kategorija, kao i službenici graničnih i imigracijskih službi.
Mjere sigurnosti podataka
Nakon što su osobni podaci subjekata prihvaćeni za obradu, operator i osobe koje prihvaćaju podatke na uvid dužne su osigurati njihovu sigurnost, koja se, prije svega, sastoji u nedostatku mogućnosti da dođu do neovlaštenih osoba. Koji su zahtjevi za zaštitu osobnih podataka?
Postupci koji se odnose na očuvanje osobnih podataka pojedinaca trebaju se provoditi od trenutka primitka informacija za obradu. Za to, operater koji obavlja ovu aktivnost mora poduzeti mjere tehničke i organizacijske prirode koje će osigurati željeni cilj. Obično se to radi pomoću alata za šifriranje (kriptografski) koji sprječavaju neovlašteni i slučajni pristup unesenim informacijama, njihovo kopiranje, blokiranje, izmjenu i druge operacije koje se mogu obaviti na podacima unesenim u otvorenom obliku.
U slučaju da se podaci obrađuju u informacijskim sustavima, mora se osigurati i odgovarajuća sigurnost. Izneseni su određeni zahtjevi za materijale na kojima se pohranjuju biometrijski podaci, kao i za tehnologije s kojima se elementi čuvaju.
U odnosu na one osobe i službe čije su aktivnosti povezane s prikupljanjem, obradom i pohranjivanjem osobnih podataka ljudi, zakonodavac uspostavlja određenu kontrolu koja osigurava pravilno izvršavanje svih točaka propisanih Zakonom br. 152 "O zaštiti osobnih podataka". Kao osobe koje kontroliraju i tijela, prije svega se pozivaju predstavnici izvršne vlasti da osiguraju sigurnost u različitim područjima djelovanja. Oni imaju pravo vršiti nadzor samo u granicama ovlasti koje im Zakon pruža, bez mogućnosti izravnog pristupa povjerljivim informacijama.
Svaka kontrolna i nadzorna aktivnost ovlaštenih osoba ili tijela može se provesti na pojedinačni zahtjev osobe, čija sigurnost osobnih podataka nije osigurana, te su zbog toga procurili. Kontrolni je subjekt dužan razmotriti podnesenu žalbu, a zatim izvršiti inspekciju, zbog čega se moraju poduzeti mjere kako bi se dodatno osigurala sigurna sigurnost povjerljivih osobnih podataka, kao i eliminiranje negativnih posljedica koje je njihovo objavljivanje prouzročilo. U slučaju da je operator nezakonito pribavio informacije ili tražio podatke koji su suvišni, nadzorno tijelo je dužno zahtijevati njihovo potpuno uklanjanje, kao i blokiranje.
O povjerljivosti osobnih podataka
Važeći Zakon o zaštiti osobnih podataka (FZ 152) predviđa potrebu da se osigura povjerljivost svih informacija koje pružaju subjekti za obradu. Ta se odgovornost, u pravilu, nameće samom operatoru, koji prihvaća podatke za obradu, au poduzećima - na određene osobe predviđene posebnim propisom. Međutim, u dva slučaja zakonodavac još uvijek dopušta uklanjanje povjerljivosti iz informacija. Prvi od njih je slučaj kada su podaci potpuno anonimni. Drugim riječima, mogu se otkriti, ali samo na takav način da je prema informacijama koje su dostavljene trećim stranama nemoguće utvrditi tko se osobno odnosi na osobne podatke.
Drugi slučaj uklanjanja povjerljivosti podataka odnosi se na već otvorene informacije. U pravilu, takvi osobni podaci uključuju ime i prezime osobe, godinu rođenja, grad i mjesto prebivališta, broj telefona, kao i podatke o obrazovanju, zanimanju, karijeri itd. Međutim, to je moguće samo kada predmet osobnih podataka dao je svoje pismeno odobrenje za uklanjanje povjerljivosti iz informacija.
Razlučivost objekta
Kao što je već nekoliko puta spomenuto, obrada osobnih podataka o subjektu zahtijeva njegovo pismeno dopuštenje za rad s informacijama dostavljenim operatoru. Može se izraditi u pisanom obliku i osigurati osobnim potpisom. Po želji, subjekt ima pravo povući svoje dopuštenje u bilo kojem trenutku.
Dozvola o kojoj je riječ mora nužno sadržavati određeni popis informacija o predmetu. Među njima se navode ime, prezime i patronim, njegovo mjesto stanovanja, kao i podaci o dokumentu koji izdaje država, koji potvrđuje identitet. Osim toga, mora nužno naznačiti svrhu za koju se informacije pružaju za obradu, kao i poseban popis informacija koje je operater prihvatio. Također, subjekt mora odrediti način obrade informacija s kojima se slaže.
Na samom kraju dokumenta mora se odrediti razdoblje tijekom kojeg je pristanak subjekta valjan i redoslijed kojim se pisani dokument može pregledati.
Nakon označavanja svih navedenih podataka, subjekt osobnih podataka mora navesti datum sastavljanja dokumenta, kao i njegov potpis.
U slučaju da osoba nije u mogućnosti dati pristanak na obradu podataka u vezi s njegovom smrću, nasljednici to moraju učiniti. Ako je osoba onesposobljena ili, iz fizioloških razloga, nije u stanju napisati vlastiti pristanak, tada to mogu učiniti njegovi zakonski zastupnici.
Odgovornosti operatora
FZ 152 "O zaštiti osobnih podataka" predstavlja pažnju svih zainteresiranih strana određeni popis dužnosti s kojima se operater mora baviti, radeći s osobnim podacima subjekata.
Nakon prvog zahtjeva (usmeno ili pismeno), operator je dužan pružiti subjektu koji je nositelj osobnih podataka sve informacije o tome u koju svrhu će se koristiti svi podaci koji su im dostavljeni, kako će se točno obraditi, kao i koliko dugo postupak će biti izvršen. U obveznom redoslijedu, te se informacije također trebaju dostaviti u trenutku primanja informacija i njihovog fiksiranja.
U slučaju da se osobni podaci moraju dostaviti na obveznoj osnovi, operator mora o tome obavijestiti subjekta, kao i objasniti moguće pravne posljedice odbijanja tog postupka.
U nekim slučajevima, operater može primati osobne podatke pojedinaca ne od sebe, već preko posrednika. U tom slučaju dužan je osobu obavijestiti o osobnim podacima o tome tko je dao podatke, kao io svrsi zbog koje je radnja izvršena.
Obrada i zaštita osobnih podataka u potpunosti je odgovornost operatera koji prima informacije od neke osobe. On je taj koji je odgovoran za nepropisno izvršavanje svoje izravne odgovornosti.
Zaštita osobnih podataka u organizacijama i poduzećima
Za svaku osobu koja obavlja radnu aktivnost u bilo kojem poduzeću ili organizaciji postoji osobna dokumentacija u skladu sa zahtjevima zakona, koja odražava veliku količinu informacija koje predstavljaju osobne podatke. Njihova sigurnost također mora biti osigurana na odgovarajući način. Svi zahtjevi za taj proces odražavaju se u sadržaju Uredbe o zaštiti osobnih podataka zaposlenika, koja se mora sastaviti u svakom pojedinačnom poduzeću. Treba napomenuti da postoji jedan preporučeni oblik ovog normativnog akta, koji ima lokalni karakter, ali u najvećem dijelu sadrži temeljna načela i zahtjeve za sadržaj. Po želji, svako poduzeće može usvojiti vlastitu Uredbu o zaštiti osobnih podataka zaposlenika. Uzorak ovog dokumenta ne predviđa specifičnosti obavljanja djelatnosti pojedinog poduzeća, što se može ispraviti ako se izradi i usvoji pojedinačni dokument.
S obzirom na očuvanje informacija i zaštitu osobnih podataka zaposlenika, te se funkcije mogu provoditi redoslijedom održavanja šifrirane baze podataka u koju se unose svi pojedinačni podaci zaposlenika. Takvi informacijski sustavi, u pravilu, imaju lokalnu ili sustavnu prirodu, osim toga, postoji nekoliko njih u poduzeću. Podaci uneseni u takve baze podataka, u pravilu, sadrže podatke o položaju, plaći, potvrdama, akademskim naslovima, nagradama, popisu pojedinih klijenata, socijalnom statusu itd.
Izrada propisa i srodnih dokumenata
Proces izrade propisa koji se razmatra propisan je iu Federalnom zakonu "o zaštiti osobnih podataka". Zakon navodi da ovaj dokument treba izraditi i usvojiti dogovorom o svakoj točki. Prije svega, potrebno je izraditi nacrt dokumenta u kojem bi trebalo istaknuti sve glavne odredbe, među kojima je potrebno predvidjeti postupak obrade osobnih podataka o zaposlenicima.
Budući da svaki subjekt osobnih podataka mora dati dopuštenje za obradu njegovih osobnih podataka, moraju se razviti dva dodatna projekta u svim poduzećima i organizacijama: pristanak na obradu dostavljenih informacija, kao i obavijesti da će svi podaci biti uključeni u zajedničkoj bazi. Osim toga, tvrtka je dužna izraditi dokument, čiji će sadržaj biti obvezan pravilno pohranjivati informacije koje imaju status ograničenog pristupa.
Činjenica da će poduzeće održavati dotičnu bazu podataka mora dobiti nalog koji mora potpisati upravitelj ili osoba ovlaštena za to. U tekstu je potrebno navesti naziv same baze podataka, odobriti odredbu koja se uvodi u strukturnu jedinicu ili cijelo poduzeće u cjelini, te identificirati inovacije u djelatnostima službenika čije su aktivnosti izravno povezane s obradom osobnih podataka i njegovim pohranjivanjem.
Nakon izrade svih gore navedenih dokumenata, tvrtka bi trebala imati komisiju za razmatranje odredbi koje su u njima predstavljene. Tek nakon što sve osobe uključene u komisiju budu zadovoljne svakom odredbom, dokumenti se mogu potpisati i stupiti na snagu.
Radi zaštite osobnih podataka mogu se izvršiti promjene u strukturnim jedinicama poduzeća. Često se u tu svrhu uvode nova radna mjesta ili se mijenjaju odgovornosti osoba koje zauzimaju postojeća radna mjesta. Zakon "o zaštiti osobnih podataka" ne uspostavlja poseban popis zaposlenika koji su odgovorni za sigurnost povjerljivih informacija. Takav krug osoba u pravilu se određuje Pravilnikom u svakom poduzeću zasebno.
Struktura Statuta o zaštiti osobnih podataka (uzorak)
Osobni podaci zaposlenika bilo kojeg poduzeća moraju biti propisno zaštićeni. U tu svrhu, prilikom izrade Odredbe o poduzeću, potrebno je jasno znati koje točke u njemu treba razmotriti. Stoga razmotrite približnu strukturu Statuta o zaštiti osobnih podataka (uzorak).
Osobni podaci koji su zaštićeni i klasificirani kao osobni podaci moraju biti točno definirani u ovom dokumentu. U pravilu, u lokalnim aktima većine poduzeća njihov se popis navodi odmah nakon uvodnog dijela, u kojem se moraju navesti opće odredbe i osnovni pojmovi koji se mogu koristiti u dokumentu. Pravilnikom treba jasno odrediti redoslijed kojim će se pristupiti podacima, kao i krug osoba koje imaju pravo na to. U slučaju da neko poduzeće ili organizacija ima određeni popis osobnih podataka kojima je dodijeljen poseban status tajnosti, pristup do njega mora biti određen odvojeno.
Pravilnikom se mora predvidjeti jasan skup radnji i mjera kojima će se štititi podaci, odgovornost za kršenje utvrđenih zahtjeva, kazna za otkrivanje osobnih podataka, kao i za nemarno stajalište o njihovim službenim dužnostima u svezi s primanjem, obradom informacija i osiguravanjem njihove sigurnosti. ,
Uzorak Statuta o zaštiti osobnih podataka također navodi da njegova struktura treba sadržavati odjeljak o pravima i obvezama zaposlenika koji se odnose na obradu njihovih osobnih podataka.
Po potrebi, u vezi sa specifičnostima poduzeća, Pravilnik može sadržavati dodatne zahtjeve i koncepte.
Uklanjanje nepravilnosti u obradi dostavljenih osobnih podataka
Sva odgovornost za nedostatak osobnih podataka o subjektu, u skladu sa Saveznim zakonom "o zaštiti osobnih podataka", u potpunosti leži na samom operateru koji je primio informacije i njihovu obradu. U slučaju kršenja zakona, dužan je poduzeti sve mjere koje su potrebne za otklanjanje povrede.
U skladu sa Saveznim zakonom "o zaštiti osobnih podataka", ako subjekt podnese prigovore regulatornim tijelima na nepravilan rad operatora koji je primio njegove osobne podatke, te podatke treba odmah blokirati za vrijeme trajanja revizije. Nakon što je povreda utvrđena, operator je dužan otkloniti sve nedostatke - to treba učiniti u roku od tri dana od dana donošenja odluke nadzornog tijela. Zakon "o zaštiti osobnih podataka" navodi da bi uklanjanje povreda trebalo izvršiti brisanjem informacija o predmetu. Isto bi trebalo učiniti ako je subjekt povukao svoje dopuštenje za obradu osobnih podataka. Na primjer, svaka Uredba o zaštiti osobnih podataka zaposlenika (uzorak) mora sadržavati u svom sadržaju pravila o brisanju podataka o zaposleniku koji je povukao svoje dopuštenje za obradu njegovih osobnih podataka.