Thực đơn
trang chủKỹ thuật

Danh sách các nhà khai thác dữ liệu cá nhân Roskomnadzor. Cách thực hiện việc kiểm tra tuân thủ việc xử lý dữ liệu cá nhân. Duy trì sổ đăng ký của các nhà khai thác xử lý dữ liệu cá nhân

Yêu cầu pháp lý đối với nhà điều hành dữ liệu cá nhân

Nhà điều hành có nghĩa vụ đảm bảo tính bảo mật của dữ liệu cá nhân. Tại Điều 7 Luật liên bang RF ngày 27 tháng 7 năm 2006 N 152-FZ “Về dữ liệu cá nhân” (sau đây gọi là FZ-152) tuyên bố rằng nhà điều hành không có nghĩa vụ bảo vệ dữ liệu cá nhân nếu dữ liệu đó được ẩn danh hoặc công khai. Nhà điều hành dữ liệu cá nhân không có quyền xử lý dữ liệu mà không có sự đồng ý của chủ thể dữ liệu cá nhân, tức là người sở hữu dữ liệu này. Tuy nhiên, trong Nghệ thuật. 6 Phần 2 của Luật Liên bang-152 quy định một số trường hợp không cần có sự đồng ý của chủ thể.
Đặc biệt, không cần có sự đồng ý của chủ thể nếu dữ liệu cá nhân của anh ta được xử lý trên cơ sở Luật Liên bang xác định mục đích và nội dung của việc xử lý đó (Điều 6, đoạn 2, phần 2). Ví dụ: theo Luật Liên bang số FZ-3266-1 “Về giáo dục”, sinh viên tốt nghiệp các cơ sở giáo dục trung học không cần phải có sự đồng ý về việc xử lý dữ liệu cá nhân của họ để được nhận vào Kỳ thi Thống nhất của Bang. Các cơ quan, tổ chức liên quan đến việc tổ chức Kỳ thi cấp Nhà nước thống nhất thực hiện “...chuyển giao, xử lý và cung cấp kết quả nhận được liên quan đến việc tiến hành Kỳ thi cấp Nhà nước thống nhất<…>dữ liệu cá nhân của học sinh, người tham gia kỳ thi thống nhất<…>phù hợp với yêu cầu pháp lý Liên Bang Nga trong lĩnh vực dữ liệu cá nhân mà không có sự đồng ý của những người này để xử lý dữ liệu cá nhân của họ” (Điều 15, khoản 5.1). Số tháng 4 của tạp chí “Dữ liệu cá nhân” có một tài liệu lớn dành riêng cho vấn đề này.
Một trường hợp khác khi việc xử lý dữ liệu cá nhân không cần có sự đồng ý của chủ thể: việc thực hiện hợp đồng, một trong các bên là chủ thể của dữ liệu cá nhân. Ví dụ Bất cứ điều gì sẽ làm thỏa thuận giữa một công ty và một cá nhân về việc cung cấp dịch vụ. Khối thông tin hữu ích về chủ đề này có thể được tìm thấy trên báo chí chuyên ngành. Nhà điều hành cũng phải cung cấp các biện pháp tổ chức và kỹ thuật cần thiết để ngăn chặn các nỗ lực truy cập bất hợp pháp vào dữ liệu cá nhân.

Tài liệu cần thiết

Mỗi nhà khai thác dữ liệu cá nhân được yêu cầu phải có một gói tài liệu xác nhận việc bảo vệ dữ liệu cá nhân của nhân viên và khách hàng.

Cuộn tài liệu cần thiết có thể khác nhau tùy thuộc vào đặc thù xử lý dữ liệu cá nhân, cơ cấu tổ chức và các đặc điểm khác của từng doanh nghiệp.

Theo gói tài liệu này, doanh nghiệp phải thực hiện phương tiện kỹ thuật bảo vệ dữ liệu cá nhân.

Chuẩn bị các tài liệu cần thiết để bảo vệ dữ liệu cá nhân

Có một số cách để chuẩn bị tài liệu theo yêu cầu của 152-FZ “Về dữ liệu cá nhân”:

Phương tiện bảo vệ

Hầu hết mọi tổ chức đều có hệ thống thông tin dữ liệu cá nhân (viết tắt là ISPDn), chẳng hạn như họ, tên, dữ liệu hộ chiếu, TIN, v.v. của nhân viên. Nhà điều hành làm việc với hệ thống thông tin này. Tùy thuộc vào dữ liệu nào có trong ISPD của một tổ chức cụ thể, ISPD này có thể thuộc một trong bốn lớp, mỗi lớp cung cấp Nhiều nghĩađể bảo vệ dữ liệu cá nhân.

Xem thêm

Liên kết

  • www.rsoc.ru Sổ đăng ký nhà khai thác xử lý dữ liệu cá nhân
  • www.pd.rsoc.ru Cổng thông tin dữ liệu cá nhân của Cơ quan được ủy quyền bảo vệ quyền của chủ thể dữ liệu cá nhân
  • www.privacy-journal.ru Tạp chí thông tin và phân tích "Dữ liệu cá nhân"

Quỹ Wikimedia. 2010.

Xem “Nhà điều hành dữ liệu cá nhân” là gì trong các từ điển khác:

    Nhà điều hành dữ liệu cá nhân- 2) toán tử cơ quan chính phủ, cơ quan thành phố, hợp pháp hoặc cá nhân, độc lập hoặc cùng với những người khác tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích xử lý... ... Thuật ngữ chính thức

    Bất kỳ hành động (thao tác) hoặc tập hợp hành động (thao tác) nào được thực hiện bằng các công cụ tự động hóa hoặc không sử dụng các phương tiện đó với dữ liệu cá nhân, bao gồm thu thập, ghi âm, hệ thống hóa, tích lũy, lưu trữ, ... ... Wikipedia

    Chủ thể của dữ liệu cá nhân là một cá nhân được nhận dạng hoặc xác định trực tiếp hoặc gián tiếp bằng cách sử dụng dữ liệu cá nhân. Nội dung 1 Tương tác với chủ đề dữ liệu cá nhân ... Wikipedia

    Một tập hợp các biện pháp mang tính chất kỹ thuật, tổ chức và kỹ thuật nhằm bảo vệ thông tin liên quan đến một cá nhân cụ thể hoặc được xác định dựa trên thông tin đó của cá nhân (chủ đề cá nhân ... ... Wikipedia

    Bài viết hoặc phần này mô tả tình hình liên quan đến chỉ một khu vực. Bạn có thể giúp Wikipedia bằng cách thêm thông tin về các quốc gia và khu vực khác. Nội dung 1 Định nghĩa ... Wikipedia

    Số: 152 Luật Liên bang Thông qua: bởi Duma Quốc gia vào ngày 26 tháng 7 năm 2006 Có hiệu lực: ngày 26 tháng 1 năm 2007 Luật Liên bang của Liên bang Nga ngày 27 tháng 7 năm 2006 Số 152 Luật liên bang “Về dữ liệu cá nhân” là luật liên bang quy định hoạt động xử lý (sử dụng ... Wikipedia

    Mô hình cơ bản về các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân (trích xuất)- Thuật ngữ Mô hình cơ bản các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân (trích xuất): Hệ thống tự động một hệ thống bao gồm con người và một bộ thiết bị tự động hóa... ...

    QUYỀN CỦA CÁC ĐỐI TƯỢNG DỮ LIỆU CÁ NHÂN KHI ĐƯA RA QUYẾT ĐỊNH DỰA TRÊN VIỆC XỬ LÝ DỮ LIỆU CÁ NHÂN ĐỘC QUYỀN TỰ ĐỘNG- theo Luật Liên bang “Về dữ liệu cá nhân” ngày 27 tháng 7 năm 2006 số 152 FZ, bao gồm việc cấm chấp nhận chỉ trên cơ sở xử lý tự động các quyết định về dữ liệu cá nhân làm phát sinh hậu quả pháp lý liên quan đến... ...

    nhà điều hành- Toán tử 4.22: Bất kỳ đối tượng nào thực hiện các hoạt động của hệ thống. Lưu ý 1 Vai trò người vận hành và vai trò người dùng có thể được chỉ định đồng thời hoặc tuần tự cho cùng một người hoặc tổ chức. Lưu ý 2 Trong bối cảnh này... ... Sách tham khảo từ điển thuật ngữ quy chuẩn và tài liệu kỹ thuật

    NHÀ ĐIỀU HÀNH- theo Luật Liên bang “Về dữ liệu cá nhân” ngày 27 tháng 7 năm 2006 số 152 FZ, - cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân tổ chức và/hoặc thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích... Quản lý và lưu trữ hồ sơ theo thuật ngữ và định nghĩa

1. Quy định này về việc duy trì sổ đăng ký của các nhà khai thác thực hiện xử lý (sau đây gọi là Quy định) được xây dựng theo Luật Liên bang ngày 27 tháng 7 năm 2006 N “Về dữ liệu cá nhân” (sau đây gọi là Luật) (Được thu thập Pháp luật Liên bang Nga, ngày 31 tháng 7 năm 2006, N 31 (phần 1), Điều 3451), thực hiện quyền duy trì sổ đăng ký các nhà điều hành xử lý dữ liệu cá nhân (sau đây gọi là Nhà điều hành), được giao cho Dịch vụ Liên bang để Giám sát các phương tiện thông tin đại chúng, thông tin liên lạc và bảo vệ di sản văn hóa (sau đây gọi là Dịch vụ) theo Quy định về Dịch vụ, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 06.06.2007 N 354 (Bộ sưu tập Pháp luật Liên bang Nga, 06.11 .2007, N 24, Điều 2923; N 52, Điều 6462).


2. Quy định này thiết lập quy trình duy trì sổ đăng ký các nhà khai thác xử lý dữ liệu cá nhân (sau đây gọi là Sổ đăng ký).

3. Các khái niệm được sử dụng trong Quy định này:

đăng ký - danh sách, danh sách các nhà khai thác xử lý dữ liệu cá nhân;

duy trì sổ đăng ký nhà khai thác - các hoạt động của Dịch vụ, bao gồm thu thập, ghi âm, xử lý, lưu trữ và cung cấp dữ liệu cấu thành hệ thống duy trì sổ đăng ký nhà khai thác xử lý dữ liệu cá nhân;

nhà điều hành - cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân;

xử lý dữ liệu cá nhân - hành động (thao tác) với dữ liệu cá nhân, bao gồm thu thập, hệ thống hóa, tích lũy, lưu trữ, làm rõ (cập nhật, thay đổi), sử dụng, phân phối (bao gồm cả chuyển giao), cá nhân hóa, chặn, hủy dữ liệu cá nhân.

II. Thành phần thông tin có trong sổ đăng ký

4. Sổ đăng ký chứa các thông tin sau về Người vận hành:

MỘT) số đăng ký;

b) Tên (họ, tên, chữ viết tắt), địa chỉ của người điều hành;

c) địa chỉ chi nhánh (văn phòng đại diện) của người điều hành xử lý dữ liệu cá nhân (nếu có);

d) ngày gửi thông báo;

e) mục đích xử lý dữ liệu cá nhân;

h) cơ sở pháp lý để xử lý dữ liệu cá nhân;

i) danh sách các hành động với dữ liệu cá nhân, mô tả chung các phương pháp được nhà điều hành sử dụng để xử lý dữ liệu cá nhân;

j) mô tả các biện pháp mà nhà điều hành cam kết thực hiện khi xử lý dữ liệu cá nhân để đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý;

k) ngày bắt đầu xử lý dữ liệu cá nhân;

m) điều khoản hoặc điều kiện để chấm dứt việc xử lý dữ liệu cá nhân;

m) ngày và lý do đưa vào sổ đăng ký người khai thác;

o) ngày và lý do loại khỏi danh sách người khai thác;

o) những thay đổi được thực hiện.

III. Điều kiện để bao gồm các toán tử trong sổ đăng ký

5. Người vận hành được đưa vào Sổ đăng ký nếu đáp ứng các điều kiện sau:

Gửi thông báo về việc xử lý (ý định xử lý) dữ liệu cá nhân đến cơ quan quản lý Dịch vụ theo lãnh thổ (sau đây gọi là Thông báo). Các thông tin nêu trong Thông báo phải tuân thủ Phần 3 Điều 22 của Luật;

Đăng ký Thông báo nhận được trong cơ quan quản lý lãnh thổ của Dịch vụ, quá trình xử lý để đưa ra quyết định phê duyệt hoặc từ chối;

Ký lệnh của người đứng đầu Dịch vụ hoặc phó người đứng đầu để đưa Nhà điều hành vào Sổ đăng ký.

6. Bản gốc Thông báo do Nhà điều hành gửi kèm theo tất cả các tài liệu nhận được phải được lưu trữ tại bộ phận lãnh thổ liên quan của Dịch vụ.

IV. Quy trình bao gồm các toán tử trong sổ đăng ký

7. Dịch vụ dựa trên kết quả phân tích xử lý các tỉnh lãnh thổ Dịch vụ thông báo có quyền xác minh tính chính xác và đầy đủ của thông tin có trong Thông báo do Nhà điều hành cung cấp hoặc yêu cầu các cơ quan chính phủ khác trong thẩm quyền của họ thực hiện việc xác minh đó. Dịch vụ cũng có quyền yêu cầu từ các cá nhân hoặc pháp nhân thông tin cần thiết để thực hiện quyền hạn của mình và nhận thông tin đó miễn phí, bao gồm cả trường hợp cần làm rõ hoặc bổ sung thông tin còn thiếu.

8. Dựa trên kết quả kiểm tra thông tin có trong Thông báo đã xử lý, Dịch vụ, trong vòng ba mươi ngày kể từ ngày nhận được Thông báo, sẽ đưa ra quyết định đưa Nhà điều hành vào Sổ đăng ký, được ban hành dưới hình thức lệnh của người đứng đầu Dịch vụ hoặc phó người đứng đầu Dịch vụ để đưa Người điều hành vào Sổ đăng ký.

9. Dựa trên lệnh đã ban hành, một mục nhập về Nhà điều hành sẽ được thực hiện trong Sổ đăng ký, được gán số đăng ký.

10. Ngày Người vận hành ghi vào Sổ đăng ký là ngày ký lệnh.

11. Thông tin về việc đưa Nhà điều hành vào Sổ đăng ký phải được công bố trên trang web chính thức của Dịch vụ không quá ba ngày kể từ ngày ký đơn đặt hàng.

V. Thủ tục duy trì Sổ đăng ký

12. Sổ đăng ký được duy trì bằng cách sử dụng một hệ thống thông tin(sau đây gọi là UIS) ở dạng điện tử.

13. Sổ đăng ký được duy trì bởi Dịch vụ, tuân theo các điều kiện được xác định bởi các Quy định này, bao gồm Người vận hành trong Sổ đăng ký bằng cách thực hiện các mục nhập thích hợp trong Sổ đăng ký, thay đổi thông tin có trong các mục nhập được chỉ định, loại trừ Nhà điều hành khỏi Sổ đăng ký bằng cách thêm trước đó mục được thực hiện thông tin về việc loại trừ Người vận hành khỏi Sổ đăng ký.

14. Nếu thông tin trong Thông báo thay đổi sau khi Nhà điều hành được đưa vào Sổ đăng ký, thì người đó có nghĩa vụ thông báo cho Dịch vụ về những thay đổi đó trong vòng mười ngày làm việc kể từ ngày có những thay đổi đó. Việc thực hiện những thay đổi này đối với Sổ đăng ký được thực hiện trên cơ sở lệnh của người đứng đầu Cơ quan hoặc phó trưởng phòng và không dẫn đến thay đổi số đăng ký của mục tương ứng trong Sổ đăng ký.

15. Thông tin có trong Sổ đăng ký, ngoại trừ tiểu đoạn “k” của đoạn 4 của Quy định này, được công bố công khai.

16. Thông tin về Sổ đăng ký được công bố trên trang web chính thức của Dịch vụ.

17. Các nhà khai thác có trong Sổ đăng ký có quyền nhận được bản trích xuất từ ​​Sổ đăng ký khi có đơn đăng ký Dịch vụ bằng văn bản không quá ba mươi ngày.

VI. Quy trình loại trừ người vận hành khỏi Sổ đăng ký

18. Việc loại trừ Nhà điều hành khỏi Sổ đăng ký được xem xét trong các trường hợp sau:

Dịch vụ hoặc các bộ phận lãnh thổ của Dịch vụ nhận được đơn đăng ký bằng văn bản (đơn đăng ký) từ Nhà điều hành có trong Sổ đăng ký để loại trừ kèm theo lý do giải thích;

Dịch vụ hoặc các bộ phận lãnh thổ của Dịch vụ thực hiện các biện pháp để đình chỉ hoặc chấm dứt việc Nhà điều hành xử lý dữ liệu cá nhân được thực hiện vi phạm các yêu cầu của Pháp luật.

19. Người vận hành bị loại khỏi Sổ đăng ký khi xảy ra một trong các điều kiện sau:

Thanh lý của nhà điều hành;

Chấm dứt hoạt động của Nhà điều hành do việc tổ chức lại, ngoại trừ việc tổ chức lại dưới hình thức chuyển đổi;

Hủy bỏ giấy phép thực hiện các hoạt động được cấp phép của Nhà điều hành, nếu điều kiện của giấy phép thực hiện các hoạt động đó là cấm chuyển dữ liệu cá nhân cho bên thứ ba mà không có sự đồng ý viết chủ đề của dữ liệu cá nhân;

Khi đến thời hạn hoặc điều kiện chấm dứt xử lý dữ liệu cá nhân được nêu trong Thông báo;

Quyết định của tòa án về việc nhà điều hành chấm dứt các hoạt động liên quan đến việc xử lý dữ liệu cá nhân;

Những người khác được thành lập theo luật pháp của Liên bang Nga trong lĩnh vực dữ liệu cá nhân.

20. Quyết định loại Người điều hành khỏi Sổ đăng ký được chính thức hóa theo lệnh của Giám đốc Sở hoặc Phó Giám đốc Sở.

Dựa trên lệnh đã ban hành, thông tin về việc loại trừ Nhà điều hành khỏi Sổ đăng ký sẽ được nhập vào Sổ đăng ký. Sau khi Nhà điều hành bị loại khỏi Sổ đăng ký, số đăng ký của mục tương ứng sẽ không được sử dụng trong tương lai.

21. Thông tin về việc loại trừ Nhà điều hành khỏi Sổ đăng ký phải được công bố trên trang web chính thức của Dịch vụ trên Internet không quá ba ngày kể từ ngày ký đơn đặt hàng.

Làm việc với dữ liệu cá nhân đặt ra một số trách nhiệm cho người vận hành. Chúng ta hãy xem xét một vài trong số những điều quan trọng nhất trong số họ.

Thông báo cho Roskomnadzor về việc bắt đầu xử lý dữ liệu cá nhân (). Thông báo như vậy phải được gửi đến cơ quan trước khi bắt đầu xử lý dữ liệu, trong đó nêu rõ:

  • tên (tên đầy đủ), địa chỉ người điều hành;
  • mục đích xử lý dữ liệu cá nhân;
  • danh mục dữ liệu cá nhân;
  • loại đối tượng có dữ liệu cá nhân được xử lý;
  • cơ sở pháp lý để xử lý dữ liệu cá nhân;
  • danh sách các hành động với dữ liệu cá nhân, mô tả chung về các phương pháp được nhà điều hành sử dụng để xử lý dữ liệu cá nhân;
  • các biện pháp bảo vệ dữ liệu cá nhân;
  • Tên đầy đủ của cá nhân hoặc tên của pháp nhân chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân và mã số của họ số liên lạc, địa chỉ bưu chính và địa chỉ E-mail;
  • ngày bắt đầu xử lý dữ liệu cá nhân;
  • điều khoản hoặc điều kiện chấm dứt xử lý dữ liệu cá nhân;
  • dữ liệu về sự hiện diện hay vắng mặt của việc truyền dữ liệu cá nhân xuyên biên giới trong quá trình xử lý chúng;
  • thông tin về vị trí của cơ sở dữ liệu thông tin chứa dữ liệu cá nhân của người Nga;
  • thông tin về việc đảm bảo an toàn dữ liệu cá nhân theo các yêu cầu bảo vệ dữ liệu cá nhân do Chính phủ Liên bang Nga thiết lập (cụ thể là chúng ta đang nói về dữ liệu cá nhân tùy thuộc vào các mối đe dọa bảo mật, dữ liệu cá nhân, việc thực hiện chúng được đảm bảo bởi thiết lập mức độ bảo mật dữ liệu cá nhân, cũng như các công nghệ lưu trữ dữ liệu đó bên ngoài hệ thống thông tin dữ liệu cá nhân).

Đồng thời, có những trường hợp không cần thiết phải thông báo cho Roskomnadzor về việc xử lý dữ liệu cá nhân. Ví dụ, đây là việc nhà tuyển dụng xử lý dữ liệu nhân viên, việc nhà điều hành nhận dữ liệu của khách hàng khi ký kết thỏa thuận với anh ta (nếu thông tin này không được cung cấp cho bên thứ ba mà không có sự đồng ý của chủ thể và được sử dụng riêng để thực hiện thỏa thuận đã chỉ định), xử lý dữ liệu cá nhân có sẵn công khai, cấp thẻ một lần đến lãnh thổ cá nhân của nhà điều hành, chỉ sử dụng tên đầy đủ của chủ thể, v.v. ().

Đảm bảo tính bảo mật của dữ liệu cá nhân. Điều này có nghĩa là chúng không thể được phân phối nếu không có sự đồng ý của chủ thể (). Nhiệm vụ này những người có quyền truy cập vào dữ liệu cá nhân là một trong những người chính. Đặc biệt, khi chuyển giao dữ liệu cá nhân của người lao động, người sử dụng lao động có nghĩa vụ:

  • không tiết lộ dữ liệu cá nhân của nhân viên cho bên thứ ba mà không có sự đồng ý bằng văn bản của họ (trừ trường hợp điều này là cần thiết để ngăn chặn mối đe dọa đến tính mạng và sức khỏe của nhân viên và trong các trường hợp khác do pháp luật quy định - ví dụ: khi chuyển dữ liệu đến Quỹ bảo hiểm xã hội, Quỹ hưu trí Liên bang Nga, cơ quan thuế, ủy viên quân sự, văn phòng công tố, cơ quan thực thi pháp luật, GIT, v.v.);
  • cảnh báo những người nhận dữ liệu cá nhân của nhân viên rằng thông tin này chỉ có thể được sử dụng cho các mục đích đã được truyền đạt - hơn nữa, người sử dụng lao động thậm chí có thể yêu cầu những người đó xác nhận rằng quy tắc này đã được tuân thủ;
  • chuyển dữ liệu cá nhân của nhân viên trong một tổ chức, từ một tổ chức doanh nhân cá nhân theo quy định của địa phương mà nhân viên phải làm quen với chữ ký của mình;
  • chỉ cho phép truy cập vào dữ liệu cá nhân của nhân viên một cách cụ thể người được ủy quyền và họ chỉ có quyền nhận những dữ liệu nhân viên cần thiết để thực hiện các chức năng cụ thể;
  • không yêu cầu thông tin về tình trạng sức khỏe của nhân viên, ngoại trừ thông tin liên quan đến vấn đề khả năng thực hiện chức năng công việc của nhân viên;
  • giới hạn thông tin được truyền đến đại diện nhân viên chỉ ở những dữ liệu nhân viên cần thiết để những người đại diện nói trên thực hiện chức năng của họ ().

Thực hiện các biện pháp để đảm bảo an toàn cho dữ liệu cá nhân (). Để làm điều này, tổ chức nên chỉ định một người chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân (). Người như vậy có nghĩa vụ thực hiện kiểm soát nội bộ đối với việc nhà điều hành và nhân viên của mình tuân thủ các yêu cầu bảo vệ dữ liệu cá nhân, lưu ý nhân viên về các quy định và quy định của địa phương về xử lý dữ liệu cá nhân, cũng như tổ chức tiếp nhận và xử lý các yêu cầu, yêu cầu từ các chủ thể dữ liệu cá nhân. Ngoài ra, với các mục đích tương tự, cần áp dụng các biện pháp kỹ thuật để đảm bảo an toàn khi xử lý, cũng như ban hành các tài liệu xác định chính sách của công ty về việc xử lý dữ liệu cá nhân, v.v.

Đồng thời, tổ chức phải công khai chính sách xử lý dữ liệu cá nhân của mình (). Hầu hết Cách tốt nhất có thể là đăng tài liệu lên trang web của nhà điều hành. Nhưng trong những trường hợp không thể thực hiện được, việc cài đặt một “túi” có chính sách trên giấy ở bất kỳ nơi nào mà khách truy cập vào tổ chức là đủ. Ngoại lệ dành cho các nhà khai thác thu thập dữ liệu cá nhân trực tiếp qua Internet - họ cần công bố chính sách trên trang web và cung cấp khả năng truy cập tài liệu được chỉ định. Trên trang web chính thức của Roskomnadzor, bạn có thể tìm thấy các đề xuất để xây dựng chính sách liên quan đến việc xử lý dữ liệu cá nhân.

Đừng nhầm lẫn chính sách, chủ yếu áp dụng cho bên thứ ba (đối tác, khách hàng, v.v.), với Quy định về bảo vệ, lưu trữ, xử lý và truyền dữ liệu cá nhân của nhân viên - tài liệu này, không giống như chính sách, là quy định địa phương hành động nên không cần công khai nhưng bắt buộc phải cho nhân viên làm quen với chữ ký ().

TÀI LIỆU VỀ CHỦ ĐỀ

Đọc về những vấn đề mà nhà điều hành có thể gặp phải khi tuân thủ các yêu cầu về bản địa hóa dữ liệu cá nhân và cách giải quyết chúng một cách hiệu quả nhất trong tài liệu của chúng tôi "".

Tuân thủ các yêu cầu bản địa hóa dữ liệu cá nhân của người Nga. Từ ngày 1 tháng 9 năm 2015, tất cả các nhà khai thác khi thu thập dữ liệu cá nhân đều phải đảm bảo việc xử lý bằng cơ sở dữ liệu đặt tại Nga (). Cái gọi là bản địa hóa dữ liệu cá nhân ban đầu đã gây được tiếng vang lớn giữa các chuyên gia và nhà điều hành - các yêu cầu của luật được xây dựng theo cách khiến các chuyên gia đặt ra rất nhiều câu hỏi. Trong số đó là sự thiếu rõ ràng về dữ liệu cá nhân nào sẽ được bảo vệ. yêu cầu này, điều này sẽ ảnh hưởng đến những nhà khai thác nào, liệu việc xử lý dữ liệu cá nhân có được phép đồng thời trên máy chủ của Nga và nước ngoài hay không, cách xác định quyền công dân của đối tượng, v.v. Roskomnadzor đã trả lời hầu hết các câu hỏi này ngay cả trước khi các yêu cầu pháp lý mới có hiệu lực. Ví dụ: cơ quan này đã trao cho các nhà khai thác quyền quyết định độc lập vấn đề xác định quyền công dân của người có dữ liệu đang được xử lý hoặc áp dụng yêu cầu bản địa hóa cho dữ liệu cá nhân của tất cả các đối tượng. Ngoài ra, Roskomnadzor làm rõ rằng trong trường hợp dữ liệu cá nhân được ghi lại trong căn cứ Nga dữ liệu, chúng có thể được xử lý thêm trong cơ sở dữ liệu điện tử nằm ở ngoài nước.

Cả trong chính sách xử lý dữ liệu cá nhân và trong Quy định về bảo vệ, lưu trữ, xử lý và truyền dữ liệu cá nhân của nhân viên, cần nêu rõ rằng khi thu thập dữ liệu cá nhân, nhà điều hành cam kết đảm bảo việc ghi chép, hệ thống hóa, tích lũy, lưu trữ, làm rõ (cập nhật, thay đổi), truy xuất dữ liệu cá nhân của người Nga bằng cơ sở dữ liệu nằm trên lãnh thổ Nga và cũng cho biết vị trí của cơ sở dữ liệu đó.

Ngừng xử lý dữ liệu cá nhân một cách kịp thời. Nếu mục đích xử lý dữ liệu cá nhân đạt được hoặc chủ thể đã rút lại sự đồng ý xử lý dữ liệu của họ, nhà điều hành phải ngừng xử lý dữ liệu này và xóa nó trong vòng 30 ngày, trừ khi một khoảng thời gian khác được chỉ định trong thỏa thuận ().

Ngày 21 tháng 2 năm 2014 lúc 11:45 chiều

Hoặc có thể không thông báo về việc xử lý dữ liệu cá nhân?

  • Bảo mật thông tin

Phần một của Điều 22 Luật Liên bang ngày 27 tháng 7 năm 2006 N 152-FZ “Về dữ liệu cá nhân” (sau đây trong điều khoản - Luật) quy định nghĩa vụ của người điều hành xử lý dữ liệu cá nhân phải thông báo cho cơ quan Roskomnadzor trước khi bắt đầu xử lý . Ngay (ở phần 2 bài viết) Luật đề xuất các căn cứ để người vận hành có quyền không thông báo về việc xử lý. Những trường hợp này khá phổ biến. Nhưng vì Luật không cấm thông báo ngay cả khi có những trường hợp như vậy nên một số nhà khai thác chọn cách thông báo. Có thể không nên đưa ra thông báo hoặc thậm chí suy nghĩ về cách đủ điều kiện cho “các trường hợp ngoại lệ”. Có ít nhất 3 lý do cho việc này.

Thật khó để trả lời câu hỏi “Tại sao?” dành cho tất cả những người đã quyết định gửi thông báo đến cơ quan Roskomnadzor nếu không thể thực hiện việc này. Tất nhiên, không thể loại trừ các chiến dịch tiếp thị (hình ảnh, độ mở). Tuy nhiên, trong một số trường hợp họ thông báo một cách thiếu hiểu biết hoặc dựa trên quan điểm “Tốt hơn hết là nên chơi an toàn”. Tôi muốn thu hút sự chú ý đến quyền nổi tiếng của các nhà khai thác xử lý dữ liệu cá nhân là không thông báo cho chính quyền Roskomnadzor về việc xử lý và đây là một số lý do giải thích cho điều này.

  1. Người gửi thông báo về việc xử lý dữ liệu cá nhân phải chịu trách nhiệm cập nhật liên tục thông tin đã gửi. Nghĩa vụ này được quy định tại Phần 7. Nghệ thuật. 22 Luật. Nếu nhà điều hành xử lý dữ liệu cá nhân không gửi thông báo về thay đổi thông tin (thay đổi địa chỉ của nhà điều hành, thay đổi danh mục dữ liệu cá nhân đang được xử lý, thay đổi người chịu trách nhiệm xử lý dữ liệu cá nhân và địa chỉ liên hệ của anh ta, v.v.), thì anh ta có thể phải chịu trách nhiệm hành chính. Có vẻ như điều đó thật khó khăn: có gì đó thay đổi trong tổ chức, tôi đã lấy và gửi một lá thư. Như thực tế cho thấy, trong hầu hết các trường hợp, điều này bị lãng quên. Ví dụ: những người đã đăng ký Sổ đăng ký (Sổ đăng ký bao gồm tất cả những người đã gửi thông báo về việc xử lý) của các nhà khai thác xử lý dữ liệu cá nhân trước ngày 1 tháng 7 năm 2011 phải gửi thêm thông tin được cung cấp tại các khoản 5, 7.1, 10 và 11 trước tháng 1 1, 2013 3 Điều 22 của Luật (cơ sở pháp lý cho việc xử lý dữ liệu cá nhân, tên đầy đủ của người chịu trách nhiệm, v.v.). Như có thể thấy từ sổ đăng ký Roskomnadzor của các nhà khai thác dữ liệu cá nhân, cho đến nay hơn một nửa số nhà khai thác đã không làm điều này. Ý kiến ​​​​cho rằng tất cả các tổ chức này chưa trải qua bất kỳ thay đổi nội bộ nào liên quan đến việc xử lý dữ liệu cá nhân cũng là một vấn đề đáng nghi ngờ. Tôi khuyên bạn nên suy nghĩ xem liệu bạn có theo dõi kịp thời mức độ liên quan của các mục trong Sổ đăng ký về lâu dài hay không, nếu có cơ hội để không làm điều này?
  2. Chính quyền Roskomnadzor lên kế hoạch kiểm tra các nhà khai thác xử lý dữ liệu cá nhân bằng hệ thống thông tin thống nhất của bộ - UIS. Tất cả các nhà khai thác đã gửi thông báo đều đã có trong đó và do đó khả năng được đưa vào kế hoạch kiểm tra sẽ tăng lên gấp nhiều lần. Các tổ chức được Roskomnadzor kiểm tra trong các lĩnh vực khác (dịch vụ truyền thông, mạng phân phối, truyền thông, phát thanh truyền hình) sẽ tự động được kiểm tra xem có tuân thủ pháp luật trong lĩnh vực dữ liệu cá nhân hay không nếu họ đã thông báo cho Roskomnadzor về việc xử lý.
  3. Nếu người điều hành dữ liệu cá nhân quyết định thông báo cho cơ quan Roskomnadzor về việc xử lý, mặc dù anh ta có quyền không làm như vậy, thì sẽ không thể bị loại khỏi Sổ đăng ký do anh ta hoàn toàn không thể thông báo. Khả năng này không được Luật hoặc các Quy định hành chính liên quan quy định. Hay đúng hơn, nó chỉ được cung cấp vì những lý do chung.
Nếu bạn định gửi thông báo nhưng bằng cách nào đó thông tin trên đã thu hút sự chú ý của bạn, khuyến nghị chungđơn giản.
  1. Đọc kỹ (hiểu) Phần 2 của Nghệ thuật. 22 của Luật Liên bang Liên bang Nga ngày 27 tháng 7 năm 2006 N 152-FZ “Về dữ liệu cá nhân”.
  2. Xem dữ liệu cá nhân nào được xử lý về bạn và liên quan đến những gì.
  3. Trong một số trường hợp, có thể cần phải điều chỉnh công việc của bạn với người cung cấp dữ liệu cá nhân. Tôi sẽ đưa ra một ví dụ để làm rõ ý tôi.
Một trong những khả năng không thông báo về việc xử lý dữ liệu cá nhân được quy định tại khoản 2, phần 2, nghệ thuật. Luật 22 diễn ra như thế này
mà nhà điều hành nhận được liên quan đến việc ký kết thỏa thuận mà chủ thể dữ liệu cá nhân là một bên, nếu dữ liệu cá nhân không được phân phối hoặc cung cấp cho bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu cá nhân và chỉ được nhà điều hành sử dụng để thực hiện thỏa thuận đã chỉ định và ký kết hợp đồng với chủ thể dữ liệu cá nhân

Vì vậy, bạn đã ký kết thỏa thuận với một cá nhân về một số dịch vụ. Đã lấy số của một người điện thoại di độngđể thông báo cho bạn rằng dịch vụ đã sẵn sàng. Trong hầu hết các trường hợp, số điện thoại di động là không cần thiết để thực hiện hợp đồng. Nếu số điện thoại di động của khách hàng bị lấy cắp thì cần phải có thêm sự đồng ý của khách hàng đối với việc xử lý dữ liệu cá nhân. Tuy nhiên, trong trường hợp này, bạn không thuộc trường hợp ngoại lệ của Luật cho phép bạn không thông báo về việc xử lý dữ liệu cá nhân.
Nếu hợp đồng với cá nhân này quy định cần phải có số điện thoại di động để thực hiện hợp đồng, thì bạn đã có quyền được hưởng ngoại lệ.
Bạn có thể thử thách nhu cầu có số điện thoại di động cho mục đích thực hiện hợp đồng, chẳng hạn như: “Tổ chức cam kết thông báo cho khách hàng qua số điện thoại x... x về sự sẵn sàng…”.

Từ ngày 1 tháng 7 năm 2017, trách nhiệm pháp lý đối với hành vi vi phạm pháp luật về dữ liệu cá nhân đã trở nên chặt chẽ hơn. Tổ chức quản lý phải xử lý những dữ liệu cá nhân nào, nếu chủ sở hữu dữ liệu không đồng ý xử lý dữ liệu cá nhân thì phải làm gì?

Chúng tôi đã nói chuyện về vấn đề này với Dmitry Yuryevich Artyukhin, Trưởng phòng dịch vụ liên bangđể giám sát trong lĩnh vực truyền thông, công nghệ thông tin và truyền thông đại chúng ở Cộng hòa Karelia.

Về việc xử lý dữ liệu cá nhân

Dmitry Yuryevich, hãy cho chúng tôi biết dữ liệu cá nhân là gì và nó có sẵn trong lĩnh vực nhà ở và dịch vụ xã không?

Dữ liệu cá nhân là bất kỳ thông tin nào trên cơ sở đó bạn có thể nhận dạng duy nhất người cụ thể.

Xử lý dữ liệu cá nhân là bất kỳ hành động nào, tự động hoặc không tự động, được thực hiện với dữ liệu cá nhân. Đây là việc thu thập, ghi chép, hệ thống hóa, tích lũy, lưu trữ và làm rõ số liệu.

Chúng tôi bao gồm họ, tên, tên đệm, ngày và nơi sinh của một người cũng như các chi tiết của tài liệu nhận dạng dưới dạng dữ liệu cá nhân. Và rất nhiều thông tin khác trên cơ sở đó bạn có thể trực tiếp hoặc gián tiếp xác định được một người cụ thể.

Cần lưu ý rằng nếu không nhận được thông tin thêm Không thể xác định được một người cụ thể thì thông tin đó không phải là dữ liệu cá nhân.

Ví dụ, danh sách con nợ được công bố trên các phương tiện truyền thông. Chúng chứa họ và tên viết tắt. Người đó không thể được xác định dựa trên thông tin này. Sẽ là một vấn đề hoàn toàn khác nếu tổ chức quản lý đặt những danh sách này ở lối vào ngôi nhà nơi một người sinh sống.

Tất nhiên, hoạt động quản lý MKD gắn liền với việc xử lý dữ liệu cá nhân. Mỗi hình thức quản lý: tổ chức quản lý, HOA hay thậm chí quản lý trực tiếp đều liên quan đến việc thu thập và xử lý dữ liệu cá nhân.

Tổ chức quản lý ký kết thỏa thuận với chủ sở hữu cơ sở quản lý MKD, trong đó dữ liệu cá nhân phải được chỉ định. Ngoài ra, các công ty quản lý, với tư cách là pháp nhân, có quan hệ pháp lý với nhân viên của mình và được điều chỉnh bởi pháp luật lao động. Do đó, các tổ chức quản lý là người điều hành việc xử lý dữ liệu cá nhân.

Về nhà điều hành xử lý dữ liệu cá nhân

Ai là người điều hành dữ liệu cá nhân?

Theo quy định của pháp luật, nhà khai thác dữ liệu cá nhân là cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân, một mình hoặc cùng với người khác, xử lý dữ liệu cá nhân. Người như vậy xác định mục đích xử lý PD và thành phần của chúng.

Bất kỳ pháp nhân nào, bao gồm các tổ chức quản lý, hiệp hội chủ nhà và hợp tác xã, đều tự động trở thành bên vận hành dữ liệu cá nhân.

MA nên thông báo cho ai rằng họ là người điều hành dữ liệu cá nhân?

Không cần thông báo cho Roskomnadzor nếu nhà điều hành nhận dữ liệu cá nhân theo thỏa thuận với chủ thể dữ liệu cá nhân, với điều kiện là PD không được phân phối hoặc chuyển giao cho bên thứ ba.

Quy tắc tương tự được áp dụng nếu dữ liệu cá nhân liên quan đến thành viên của một hiệp hội công cộng hoặc tổ chức tôn giáo, được cung cấp công khai và bao gồm họ, tên và tên đệm. Danh sách đầy đủ có thể được đọc trong Phần 2 của Điều 22 N 152-FZ.

Quyết định gửi thông báo đến cơ quan có thẩm quyền được đưa ra bởi người điều hành dữ liệu cá nhân. Cho dù người điều hành gửi hay không gửi thông báo thì người đó vẫn là người điều hành dữ liệu cá nhân.

Chúng tôi thường xuyên nhắc nhở các pháp nhân về sự cần thiết phải gửi thông báo cho chúng tôi (Điều 22 N 152-FZ). Nếu một pháp nhân không có trong sổ đăng ký của người khai thác dữ liệu cá nhân thì điều này không miễn trừ các biện pháp kiểm soát và giám sát.

Ngược lại, những pháp nhân đó, theo quan điểm của chúng tôi, có thể là người khai thác dữ liệu cá nhân, xử lý dữ liệu cá nhân và không nằm trong danh sách loại trừ nhu cầu gửi thông báo nhưng không gửi thông báo, rất có thể sẽ được đưa vào kế hoạch kiểm tra.

Các yêu cầu thông báo cho Roskomnadzor được liệt kê trong Phần 3 của Điều 22 N 152-FZ.

Về sự đồng ý xử lý dữ liệu cá nhân

Khi nào bạn cần có được sự đồng ý để xử lý dữ liệu cá nhân?

Người điều hành dữ liệu cá nhân phải hiểu rằng việc xử lý dữ liệu cá nhân chỉ có thể được thực hiện khi có sự đồng ý của chủ thể dữ liệu cá nhân hoặc nếu có căn cứ pháp lý khác. Đồng thời, cần lưu ý rằng mỗi trường hợp là cá nhân.

Ai chịu trách nhiệm về dữ liệu cá nhân nếu công ty quản lý xử lý dữ liệu cá nhân của chủ sở hữu chuyển dữ liệu đó theo hợp đồng cho bên thứ ba?

Nếu tổ chức quản lý dự định ủy thác việc xử lý dữ liệu cá nhân cho bên thứ ba thì phải có sự đồng ý của chủ thể dữ liệu cá nhân. Nếu không có sự đồng ý như vậy, nhà điều hành sẽ phải chịu trách nhiệm. Không cần phải có sự đồng ý nếu điều này được luật pháp liên bang quy định.

Người xử lý dữ liệu cá nhân thay mặt cho nhà điều hành không cần phải có sự đồng ý của chủ thể dữ liệu cá nhân để xử lý dữ liệu cá nhân của mình. Cơ quan quản lý phải chịu trách nhiệm trong tình huống này.

phải làm gì tổ chức quản lý, nếu chủ sở hữu không đồng ý xử lý dữ liệu cá nhân?

Không có cách nào để ép buộc chủ sở hữu; bạn cần cố gắng thuyết phục, cho biết những hậu quả có thể phát sinh đối với đối tượng trong trường hợp từ chối đồng ý. Nhưng trong mọi trường hợp, việc xử lý dữ liệu cá nhân mà không có sự đồng ý trong trường hợp không có căn cứ pháp lý khác để xử lý dữ liệu cá nhân đều không được phép.

Trách nhiệm chứng minh sự đồng ý xử lý PD thuộc về người điều hành dữ liệu cá nhân.

Về trách nhiệm vi phạm pháp luật về dữ liệu cá nhân

Có những mức phạt nào và ai ban hành chúng?

Đến ngày 01/07/2017 đối với hành vi vi phạm trật tự được thiết lập trách nhiệm hành chính được thiết lập đối với việc thu thập, lưu trữ, sử dụng hoặc phổ biến dữ liệu cá nhân theo Điều 13.11 của Bộ luật vi phạm hành chính của Liên bang Nga. Đối với các pháp nhân, đây là cảnh cáo hoặc phạt tiền hành chính từ năm nghìn đến mười nghìn rúp.

Cơ chế như sau: Roskomnadzor thực hiện các hoạt động kiểm soát, giám sát trong lĩnh vực PD. Nếu trong quá trình hoạt động phát hiện vi phạm thì tố cáo cơ quan công tố để xử lý. Cơ quan công tố đã xem xét báo cáo và nếu phát hiện hành vi vi phạm sẽ ra quyết định khởi kiện vụ án hành chính và gửi vụ án ra tòa.

Kể từ đầu tháng 7, tình hình đã thay đổi. Phiên bản mới của Điều 13.11 của Bộ luật Vi phạm Hành chính của Liên bang Nga chi tiết hơn; hiện có bảy điều khoản, tất cả đều liên quan đến việc xử lý dữ liệu cá nhân. Tiền phạt ngày càng tăng, Roskomnadzor có thẩm quyền soạn thảo các giao thức, tức là khởi tố các vụ vi phạm hành chính, bỏ qua văn phòng công tố.

Mức phạt tối đa quy định tại Điều 13.11 của Bộ luật vi phạm hành chính Liên bang Nga đã sửa đổi là 75.000 rúp. Có thể lấy nó để xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu cá nhân bằng văn bản, nếu nó được pháp luật quy định.