Ochrana osobních údajů. Federální zákon "o osobních údajích" ze dne 27. července 2006 N 152-ФЗ: obsah a připomínky

4. 3. 2019

Právní otázky týkající se ochrany osobních údajů se týkají právníků, kteří působí v různých oblastech práva. To je způsobeno skutečností, že ve všech právních oblastech existuje určitý seznam informací, které vyžadují, aby jejich důvěrnost a nešíření třetím stranám zajistily ti, kterým byla pověřena při plnění jejich úředních povinností.

Takže budeme dále zvažovat, jaké informace patří do této skupiny, stejně jako vlastnosti systému ochrany osobních údajů. Jak pracuje v podnicích a organizacích? Kromě toho zvážit, co by mělo být zahrnuto do struktury nařízení o ochraně osobních údajů zaměstnanců (vzorek) a způsobu jeho přijetí.

Ochrana osobních údajů

Obecný koncept

Pokud mluvíme o obecném konceptu, pak důvěrnými informacemi jsou informace, které se přímo týkají konkrétního jednotlivce. Zpravidla se jedná o jeho osobní údaje. Pokud vysvětlíme právní pojem, bude tato osoba v praxi právníků označována za předmět osobních údajů.

Jaké údaje považuje zákonodárce za zvažované? Za prvé, toto je příjmení, jméno a příjmení osoby, jakož i datum a místo jeho narození. Kromě toho ke skupině patří informace o místě pobytu po faktu, stejně jako o registraci. Informace o rodinném stavu člověka, jeho společenském postavení, příjmu a vzdělání patří také do skupiny důvěrných informací.

Legislativní úprava práce s osobními údaji v Rusku. Základní předpisy

Pokud jde o ruskou legislativu, zajišťuje přiměřenou ochranu osobních údajů osob, které nejsou pouze občany země, ale z jakéhokoli důvodu také pobývají na svém území. Legislativa, která upravuje tyto otázky, představuje několik nařízení. Zejména základní zákon - Ústava, stejně jako federální zákon 152 "o ochraně osobních údajů" lze přičíst skupině takových. Změny v těchto předpisech nejsou prováděny velmi často, což umožňuje odborníkům podrobněji studovat každý nový pozměňovací návrh a provádět ho správně.

Kromě ruské legislativy se otázky spojené s ochranou osobních údajů řídí mezinárodními předpisy. Kromě toho se tato činnost provádí také na základě normativních aktů vydaných místními úřady, které existují ve státě. Zákonodárce konstatuje, že tato nařízení mohou obsahovat předpisy týkající se zpracování dat určitého typu, ale nemohou být stanovena pravidla pro omezení určitých práv subjektů, které jsou nositeli osobních údajů.

Všechny zákony a nařízení ve kterém jsou v souladu se zákonem předepsány požadavky na zpracování osobních údajů, jakož i zajištění jejich ochrany, musí být oficiálně zveřejněny na zdrojích, které jsou k dispozici veřejnosti. Toto pravidlo má jednu výjimku, která se týká dokumentů upravujících práci se tajnými informacemi - tyto informace by měly být chráněny před přístupem v poměrně přísném pořadí.

Zásady zpracování osobních údajů

Znění Federálního zákona 152 o ochraně osobních údajů uvádí, že práce s informacemi představujícími osobní informace by měla být prováděna výhradně v souladu s určitými zásadami. Co jsou to? Zvažte to podrobněji.

Za prvé, všechny akce zaměstnanců orgánů a služeb, které se zabývají zpracováním osobních údajů, by měly být prováděny s přihlédnutím k základnímu principu - zákonnosti. To znamená, že veškeré informace dostupné v databázi musí být získány legálně, v dobré víře a řádně zpracovány výhradně v rámci účelů, pro které byly poskytnuty. Navíc, úředník který se zabývá zpracováním informací, které mu byly svěřeny, musí používat údaje, které umožňují jeho autoritu.

Všechny metody zpracování informací, jakož i jejich povaha, rozsah, musí plně odpovídat účelům, pro které byla informace přijata. Během procesu nelze informace kombinovat a zpracovávat je v rámci několika cílů najednou. Výjimkou může být pouze práce v informačním systému.

Všechny osobní údaje, které jsou předkládány ke zpracování, musí být spolehlivé - to je také jeden ze základních principů práce s informacemi o dané povaze. Jejich objem by měl být dostatečný k tomu, aby operace mohla probíhat ve správné podobě, zákonodárce neumožňuje osobě požadovat nadbytečné informace, které nejsou nutné k provádění všech nezbytných kroků.

Ochrana osobních údajů vzorku zaměstnanců

Podmínky, za kterých je zpracování informací možné

Nařízení o ochraně osobních údajů stanoví, že veškerá práce s informacemi určenými pro zpracování musí být provedena legálně. Co to znamená?

Především je třeba si uvědomit, že veškerá práce s osobními údaji by měla být prováděna pouze se souhlasem osoby, která je vlastní. Pokud jde o osobu, která vykonává samotné pracovní postupy, musí být nutně schválena zákonem nebo samostatným právním subjektem, v němž se zpracování provádí. V případě, že osoba, která obdrží informace během procesu práce s informacemi, ji musí předat jinému zaměstnanci instituce nebo organizace, pak je druhá osoba povinna zajistit jejich bezpečnost.

V některých případech zákonodárce stanoví možnost použití osobních údajů bez souhlasu subjektu, který je jejich přímým dopravcem. Zejména se to týká okamžiku, kdy se údaje používají pro sestavování statistických zpráv a pro dosažení vědeckých cílů. To platí i pro případ, kdy je nutné zajistit plnění smluvních povinností, ochranu života a zdraví jedné osoby nebo celé společnosti. Kromě toho se povolení subjektu osobních údajů nevyžaduje v případě, že se informace používají v práci novinářů, v tvůrčích nebo vědeckých činnostech. Nařízení o ochraně osobních údajů nicméně naznačuje, že informace mohou být použity výhradně pro profesionální aktivity a pouze pokud jejich zveřejnění nepoškodí předmět těchto informací.

Povinné pro zveřejnění bez souhlasu samotných dopravců podléhají osobním údajům, které patří k obecním zaměstnancům, osobám, které nahrazují první veřejnou funkci, kandidátům účastnícím se voleb.

Zvláštní kategorie osobních údajů

Zákonodárce poskytuje určitý seznam osobních údajů, což je několik kategorií zvláštního typu. Patří k nim informace o rasové identitě člověka, jeho filozofické a osobní přesvědčení, intimní život a zdravotní stav. Tyto skupiny informací jsou chráněny zákonem a jejich zveřejnění v žádném případě není povoleno, s výjimkou určitých případů. Co jsou to?

Především byste měli věnovat pozornost skutečnosti, že souhlas osoby s odtajněním osobních údajů týkajících se zvláštních kategorií se nevyžaduje, pokud jsou již veřejně dostupné. Z větší části se jedná o známé osobnosti, jejichž život ve veřejně dostupných zdrojích obsahuje značné množství informací, včetně osobních informací.

V případě, že předmět osobních informací zvláštního charakteru dává písemné svolení k zveřejnění informací, mohou být také zveřejněny.

Pokud jde o informace týkající se stavu lidského zdraví, ochrana osobních údajů této skupiny se provádí zvláštním způsobem. V moderní právní praxi je taková věc jako "lékařské tajemství". Díky němu je zajištěno uchování lékařských informací o osobě. Osoby, které jsou na základě svých služebních povinností informovány o zdravotním stavu pacienta, nemají právo bez předchozího písemného souhlasu klienta zdravotnického zařízení sdělit obdržené informace třetím stranám. V opačném případě osoba, která nedodržuje toto pravidlo, je odpovědná. K získání osobních informací lékařem nebo jiným odborným zaměstnancem lékařské nebo profylaktické instituce není potřeba povolení, jelikož odborný nedostatek informací o stavu lidského zdraví může ohrozit jeho smrtí nebo výrazným zhoršením celkového stavu těla.

Nařízení o ochraně osobních údajů zaměstnanců

V moderní praxi je to také povoleno zpracování informací osobní povaha, zastoupená ve skupině zvláštních informací, která probíhá v procesu vedení vyšetřovacích akcí nebo v řízení ve věci samé.

Biometrické osobní údaje

V moderní éře špičkových technologií získává nový druh osobních informací rostoucí popularitu - biometrické údaje. Představují speciální skupinu informací. Zpracování a ochrana osobních údajů tohoto druhu se provádí také na základě zákona ruské federace "O osobních informacích".

Uvedený zákon stanoví, že zpracování biometrických údajů, které zahrnují veškeré informace, které charakterizují biologické vlastnosti určité osoby, lze provádět výlučně na základě písemného souhlasu, který musí být přímo předmětem osobních údajů.

Nicméně i přes takovou přísnost zákona o ochraně důvěrnosti biometrických údajů osoby existuje výjimka z tohoto. Spočívá v neexistenci potřeby poskytnout písemný souhlas osoby na zpracování biometrických informací v případě provádění operativního vyhledávání, které mohou provádět donucovací orgány různých kategorií, jakož i úředníci pro hranice a přistěhovalectví.

Opatření pro zabezpečení dat

Po převzetí osobních údajů subjektů ke zpracování je provozovatel a osoby, které přijaly informace za úplatu, povinny zajistit jejich bezpečnost, která spočívá především v absenci možnosti přístupu k neoprávněným osobám. Jaké jsou požadavky na ochranu osobních údajů?

Postupy související se zachováním osobních údajů jednotlivců by se měly provádět od okamžiku, kdy byly informace obdrženy ke zpracování. Za tímto účelem musí provozovatel, který provádí tuto činnost, přijmout opatření technického a organizačního charakteru, která zajistí požadovaný cíl. Obvykle se to děje pomocí šifrovacích nástrojů (kryptografických), které zabraňují neoprávněnému a náhodnému přístupu k zadaným informacím, jejich kopírování, blokování, změnám a dalším operacím, které lze provést při zadávání dat do otevřeného formuláře.

V případě, že jsou údaje zpracovávány v informačních systémech, musí být zajištěna odpovídající bezpečnost. Určité požadavky jsou kladeny na materiály, na kterých jsou uloženy biometrické údaje, a na technologie, se kterými se tyto prvky zachovávají.

O těch osobách a službách, jejichž činnost souvisí se shromažďováním, zpracováváním a uchováváním osobních údajů osob, zákonodárce zavádí určitou kontrolu, která zajišťuje řádné provedení všech bodů předepsaných zákonem č. 152 "O ochraně osobních údajů". Jako kontrolní osoby a subjekty jsou především zástupci výkonných orgánů vyzváni, aby zajistili bezpečnost v různých oblastech činnosti. Mají právo vykonávat kontrolu pouze v mezích autority, kterou jim zákon předkládá, bez možnosti přímého přístupu k důvěrným informacím.

Veškeré kontrolní a dozorové činnosti oprávněných osob nebo subjektů mohou být prováděny na individuální žádost osoby, jejíž bezpečnost nebyla poskytnuta, a proto byly propuštěny. Řídící osoba je povinna zvážit předložené odvolání a následně provést inspekci, v jejímž důsledku je třeba přijmout opatření k dalšímu zajištění bezpečné bezpečnosti svěřených osobních informací a odstranit negativní důsledky jejich zpřístupnění. V případě, že provozovatel neoprávněně získal informace nebo požadované údaje, které jsou nadbytečné, je orgán dozoru povinen požadovat jejich úplné odstranění i zablokování.

Zpracování a ochrana osobních údajů

O důvěrnosti osobních údajů

Současný zákon o ochraně osobních údajů (FZ 152) stanoví potřebu zajistit důvěrnost všech informací poskytovaných subjekty za účelem zpracování. Tato odpovědnost je zpravidla ukládána samotnému provozovateli, který přijímá údaje pro zpracování, a u podniků - u některých osob stanovených zvláštním nařízením. Ve dvou případech však zákonodárce stále umožňuje odstranění důvěrnosti informací. První z nich je případ, kdy jsou údaje zcela anonymizovány. Jinými slovy, mohou být zveřejněny, ale pouze takovým způsobem, že podle informací poskytnutých třetím stranám nebylo možné určit, na koho se konkrétně vztahují osobní údaje.

Druhý případ odstranění důvěrnosti informací se týká již otevřených informací. Tyto osobní údaje zpravidla zahrnují jméno a příjmení osoby, rok narození, město a přesné bydliště, telefonní číslo, jakož i informace o vzdělání, profesi, dosažených kariérech atd. Je to však možné pouze tehdy, předmět osobních údajů poskytl písemné svolení k odstranění důvěrnosti informací.

Rozlišení předmětu

Jak již bylo uvedeno výše, zpracování osobních údajů subjektu vyžaduje jeho písemné povolení pracovat s informacemi poskytnutými provozovateli. Může být vyhotoven písemně a zajištěn osobním podpisem. Pokud je to požadováno, má subjekt právo kdykoli odvolat své oprávnění.

Dotčené povolení musí nutně obsahovat určitý seznam informací o předmětu. Mezi nimi je uvedeno jméno, příjmení a priezvisko, místo pobytu, jakož i údaje dokladu vydaného státem, který totožnost potvrzuje. Kromě toho musí nutně uvést účel, pro který jsou informace poskytovány ke zpracování, a také konkrétní seznam informací, které provozovatel přijal. Také subjekt musí specifikovat způsob zpracování informací, ke kterému souhlasí.

Na konci dokumentu musí být upřesněno období, během něhož je souhlas subjektu platný a pořadí, v němž lze písemný dokument přezkoumat.

Po vyznačení všech výše uvedených údajů musí být předmětem osobních údajů uvedeno datum vystavení dokumentu a jeho podpis.

V případě, že osoba není schopna souhlasit se zpracováním údajů v souvislosti s jeho smrtí, dědici musí tak učinit. Pokud je osoba neschopná nebo z fyziologických důvodů není schopna napsat svůj vlastní souhlas, pak ji mohou právní zástupci učinit.

Vzorek ochrany osobních údajů

Odpovědnost provozovatele

FZ 152 "O ochraně osobních údajů" předkládá všem zainteresovaným stranám určitý seznam povinností, s nimiž se provozovatel musí zabývat, pracovat s osobními údaji subjektů.

Na základě první žádosti (ústní nebo písemné) je provozovatel povinen poskytnout subjektu, který je nositelem osobních údajů, veškeré informace o tom, za jakým účelem budou použity všechny údaje, které jsou jim poskytnuty, jak přesně budou zpracovány a jak dlouho postup bude proveden. V povinném pořadí by tyto informace měly být také poskytovány v okamžiku obdržení informací a jejich záznamu.

V případě, že musí být povinně poskytnuty osobní údaje, musí provozovatel tuto skutečnost oznámit a zároveň objasnit možné právní důsledky svého odmítnutí tohoto postupu.

V některých případech může provozovatel obdržet osobní údaje jednotlivců, nikoliv samy, ale prostřednictvím zprostředkovatelů. V takovém případě je povinen informovat subjekt o osobních informacích o tom, kdo poskytl své informace, ao účelu, pro který byla akce provedena.

Spracování a ochrana osobních údajů nese výhradně provozovatel, který obdrží informace od osoby. Je to ten, kdo je zodpovědný za nesprávné plnění této své přímé odpovědnosti.

Ochrana osobních údajů v organizacích a podnicích

Pro každou osobu, která provádí pracovní činnost v kterémkoli podniku nebo organizaci, je osobní podána v souladu s požadavky zákona, které odráží obrovské množství informací, které představují osobní informace. Jejich bezpečnost musí být zajištěna vhodnými prostředky. Všechny požadavky na tento proces se odrážejí v obsahu nařízení o ochraně osobních údajů zaměstnanců, které musí být sestaveno v každém podniku jednotlivě. Je třeba poznamenat, že existuje jediná doporučená forma tohoto normativního aktu, který má místní charakter, avšak z větší části obsahuje základní zásady a požadavky na obsah. V případě potřeby může každý podnik přijmout své vlastní nařízení o ochraně osobních údajů zaměstnanců. Vzorek tohoto dokumentu nezahrnuje specifika prováděných činností konkrétního podniku, které lze napravit, pokud je vypracován a přijat individuální dokument.

S ohledem na uchovávání informací a ochranu osobních údajů zaměstnanců lze tyto funkce provádět v pořadí zachování šifrované databáze, ve které jsou zadávány všechny jednotlivé údaje poskytované zaměstnanci. Takové informační systémy mají zpravidla místní nebo systémovou povahu, navíc mohou být v podniku několik. Data zadaná do těchto databází zpravidla obsahují údaje o pozici, platu, certifikátech, akademických titulů, ocenění, seznam jednotlivých klientů, sociální status atd.

152 FZ

Vypracování nařízení a souvisejících dokumentů

Proces vypracování zvažovaného nařízení je také stanoven ve federálním zákoně "o ochraně osobních údajů". Zákon konstatuje, že tento dokument by měl být vypracován a přijat souhlasem s každou věcí. Především by měl být vypracován návrh dokumentu, v němž by měly být uvedeny všechny hlavní předpisy, mezi něž je třeba stanovit postup pro zpracování osobních údajů o zaměstnancích.

Vzhledem k tomu, že jakýkoli subjekt osobních údajů musí dát povolení ke zpracování svých osobních údajů, musí být vyvinuty dva další projekty ve všech podnicích a organizacích: souhlas se zpracováním poskytnutých informací a oznámení, že budou zahrnuty všechny údaje na společném základě. Dále je společnost povinna vytvořit dokument, jehož obsah bude mít povinnost řádně ukládat informace, které omezují přístup.

Skutečnost, že společnost bude vést danou databázi, musí být vystavena příkazem, který musí být podepsán vedoucím nebo oprávněným osobou. Ve svém textu je nutné uvést název samotné databáze, schválit ustanovení, které se zavádí do strukturální jednotky nebo celého podniku jako celku, a také identifikovat inovace v činnostech úředníků, jejichž činnost přímo souvisí se zpracováním osobních údajů a jejich uchováváním.

Po vyhotovení všech výše uvedených dokumentů by měla společnost získat komisi pro projednání ustanovení uvedených v nich. Teprve poté, co jsou všechny osoby uvedené v komisi uspokojeny s každým ustanovením, mohou být dokumenty podepsány a uvedeny do platnosti.

K ochraně osobních údajů lze provádět změny strukturálních jednotek podniků. Často se zavádějí nové zavedené funkce nebo se změní odpovědnost osob zastávajících stávající pozice. Zákon "o ochraně osobních údajů" nestanoví konkrétní seznam zaměstnanců odpovědných za bezpečnost svěřených informací. Obecně platí, že takový okruh osob je stanoven nařízením v každém podniku zvlášť.

Struktura statutu o ochraně osobních údajů (vzorek)

Osobní údaje zaměstnanců každého podniku musí být řádně chráněny. Za tímto účelem je při vytváření ustanovení o podniku nutné jasně vědět, jaké body v něm by měly být vzaty v úvahu. Zvažte tedy přibližnou strukturu statutu o ochraně osobních údajů (vzorek).

pozice vzorku

Osobní údaje, které jsou chráněny a klasifikovány jako osobní, musí být v tomto dokumentu přesně definovány. Obecně platí, že v místních aktech většiny podniků je jejich seznam uveden ihned po úvodní části, ve kterém je třeba uvést obecná ustanovení a základní pojmy, které lze použít v dokumentu. Předpisy by měly jasně definovat pořadí, v jakém budou údaje přístupné, stejně jako okruh oprávněných osob. V případě, že podnik nebo organizace mají konkrétní seznam osobních údajů, jimž byl přidělen status zvláštního utajení, musí být přístup k nim stanoven zvlášť.

Předpisy musí stanovit jasný soubor opatření a opatření, kterými budou chráněna data, odpovědnost za porušení stanovených požadavků, trest za zveřejnění osobních údajů, jakož i nedbalostní postoj k jejich úředním povinnostem souvisejícím s přijímáním, zpracováváním informací a zajišťováním jejich bezpečnosti .

Vzorek statutu o ochraně osobních údajů také uvádí, že jeho struktura by měla obsahovat oddíl o právech a povinnostech zaměstnanců v souvislosti se zpracováním jejich osobních údajů.

Pokud je to nezbytné, v souvislosti se zvláštnostmi podniku mohou předpisy obsahovat další požadavky a koncepce.

Ochrana osobních údajů

Odstranění nesrovnalostí při zpracování poskytovaných osobních údajů

Veškerá zodpovědnost za nedostatečnou bezpečnost osobních informací o předmětu v souladu s federálním zákonem "o ochraně osobních údajů" spočívá výlučně u samotného provozovatele, který přijal informace a zpracoval. V případě porušení zákonných požadavků je povinen přijmout veškerá opatření nezbytná k odstranění porušení.

V souladu s federálním zákonem "o ochraně osobních údajů", pokud účetní jednotka požádá regulační orgány o stížnost týkající se nesprávné práce provozovatele, který obdržel osobní údaje, měly by být tyto údaje okamžitě zablokovány po dobu provádění auditu. Po zjištění porušení je provozovatel povinen odstranit všechny nedostatky - mělo by to být provedeno do tří dnů ode dne rozhodnutí dohlížejícího orgánu. Zákon "o ochraně osobních údajů" uvádí, že odstranění porušení by mělo být provedeno smazáním informací o předmětu. Totéž by mělo být provedeno, pokud subjekt odvolal své povolení zpracovávat osobní údaje. Například každé nařízení o ochraně osobních údajů zaměstnanců (vzorek) musí ve svém obsahu obsahovat pravidla týkající se vymazání informací o zaměstnance, který odvolal své povolení zpracovávat své osobní údaje.