Заштита личних података. Савезни закон "О личним подацима" од 27.07.2006. Н 152-ФЗ: садржај и коментари
Правна питања у вези са заштитом личних података односе се на адвокате који раде у различитим областима закона. То је због чињенице да у било којој правној области постоји одређена листа информација која захтијева осигурање њене повјерљивости и непролиферације трећим странама од стране оних којима је повјерено у току својих службених дужности.
Дакле, даље ћемо размотрити које информације припадају овој групи, као и карактеристике система за заштиту личних података. Како она ради у предузећима и организацијама? Поред тога, размотрите шта би требало укључити у структуру Уредбе о заштити личних података запослених (узорак) и како се она прихвата.
Генерални концепт
Ако говоримо о општем концепту, онда су поверљиве информације све информације које се директно односе на одређену особу. По правилу, то су његови лични подаци. Ако се објасни правни термин, онда се та особа у пракси правних стручњака назива предметом личних података.
Које податке законодавац сматра разматраним? Пре свега, ово је презиме, име и презиме особе, као и датум и место његовог рођења. Поред тога, групи припадају и подаци о мјесту пребивалишта након чињенице, као и регистрација. Информације о брачном статусу особе, као ио његовом социјалном статусу, дохотку и образовању, припадају и групи повјерљивих информација.
Законско регулисање рада са личним подацима у Русији. Основни прописи
Што се тиче руског законодавства, он обезбеђује адекватну заштиту личних података људи који нису само држављани земље, већ и живе на њеној територији из било ког разлога. Законодавство које регулише ова питања заступљено је у неколико прописа. Конкретно, основни закон - Устав, као и Савезни закон 152 "О заштити личних података" могу се приписати групи таквих. Промене ових прописа се не врше често, што стручњацима омогућава да детаљније проуче сваки нови амандман и да га правилно примене у пракси.
Поред руског законодавства, питања која се односе на заштиту личних података уређују се међународним прописима. Поред тога, ова активност се спроводи и на основу нормативних аката које издају локалне власти које постоје у држави. Законодавац напомиње да такви прописи могу да садрже прописе који се односе на обраду података одређене врсте, али се не могу прописати правила за ограничавање одређених права субјеката који су носиоци личних података.
Сви закони и подзаконским актима у којима су услови у вези са обрадом личних података, као и прописивање њихове заштите, у складу са законом, службено објављени на расположивим средствима јавности. Ово правило има један изузетак, који се односи на документе који регулишу рад са тајним информацијама - ове информације треба да буду заштићене од приступа у прилично строгом реду.
Принципи обраде личних података
У тексту Савезног закона 152 "о заштити личних података" наводи се да се рад са информацијама које чине личне информације треба обављати искључиво у складу са одређеним принципима. Шта су они? Размотрите ово детаљније.
Пре свега, све радње запослених у органима и службама које се баве обрадом личних података треба да се обављају узимајући у обзир основни принцип - законитост. То значи да све информације које су доступне у бази података морају бити прибављене легално, у доброј вјери и правилно обрађене, искључиво у оквиру сврхе за коју су дате. Поред тога, службени која се бави обрадом повјерљивих информација, мора користити податке који допуштају опсег његових овласти.
Све методе обраде информација, као и њихова природа, обим, морају у потпуности бити у складу са сврхом за коју су информације усвојене. У процесу активности, информације се не могу комбиновати да би се обрадиле унутар неколико циљева одједном. Изузетак може бити само рад у информационом систему.
Сви лични подаци који се достављају на обраду морају бити поуздани - то је и један од основних принципа рада са информацијама о природи о којој се ради. Њихов обим треба да буде довољан да се операција спроведе у одговарајућој форми, законодавац не дозвољава особи да тражи сувишне информације које нису потребне за обављање свих потребних радњи.
Услови под којима је могућа обрада информација
Уредба о заштити личних података предвиђа да се сав рад са информацијама које се пружају за обраду мора обавити легално. Шта то значи?
Прије свега, треба имати на уму да би сав рад с особним подацима требао бити обављен искључиво уз пристанак особе која га посједује. Што се тиче самог лица које обавља саму радну процедуру, оно мора бити обавезно овлашћено законом или одвојеним правним лицем у коме се врши обрада. У случају да особа која прима информације у току рада са информацијама мора је пренијети на другог запосленог у институцији или организацији, онда је и друга особа дужна осигурати њихову сигурност.
У неким случајевима законодавац предвиђа могућност коришћења личних података без сагласности субјекта, који је њихов директни носилац. Ово се посебно односи на тренутак када се подаци користе за састављање статистичких извјештаја, као и за постизање научних циљева. Ово се односи и на случај када је потребно осигурати испуњење уговорних обавеза, заштиту живота и здравља једне особе или цијелог друштва. Осим тога, дозвола субјекта личних информација није потребна у случају када се информације користе у раду новинара, у креативним или научним активностима. Међутим, Правилник о заштити личних података указује да се информације могу користити искључиво за професионалне активности и само ако њихово откривање не штети предмету ове информације.
Обавезни за објављивање без сагласности самих превозника подлежу личним подацима који припадају општинским запосленима, лицима која замењују прву јавну функцију, кандидатима који учествују на изборима.
Посебне категорије личних информација
Законодавац обезбеђује одређену листу личних података, што је неколико категорија посебног типа. То укључује информације о расном идентитету особе, његова филозофска и лична увјерења, интимни живот, као и здравствени статус. Ове групе информација су посебно заштићене законом и њихово откривање ни у ком случају није дозвољено, осим у одређеним случајевима. Шта су они?
Прво, треба обратити пажњу на чињеницу да пристанак особе на откривање личних података који се односе на посебне категорије није потребна ако су већ јавно доступни. То се углавном односи на познате личности, чији живот у јавно доступним изворима садржи значајну количину информација, укључујући и личне податке.
У случају да субјект личних података посебне природе даје своју писмену дозволу за објављивање информација, они се могу открити.
Што се тиче информација о стању људског здравља, заштита личних података ове групе врши се на посебан начин. У савременој правној пракси постоји нешто као "медицинска тајна". Захваљујући њему осигурано је чување медицинских информација о особи. Лица која су, по службеној дужности, свесна здравственог стања пацијента, немају право да открију добијене информације трећим лицима без писмене сагласности клијента здравствене установе. У супротном, особа која се не придржава овог правила подлијеже одговорности. За прибављање личних података од стране лекара или другог професионалног радника медицинске или профилактичке установе, субјекту није потребна дозвола, јер неуспех стручњака да добије информације о стању људског здравља може му угрозити смрт или значајно погоршање општег стања организма.
У савременој пракси то је такође дозвољено обрада информација лична природа, заступљена у групи посебних информација, спроведена у поступку вођења истражних радњи или поступања у меритуму предмета.
Биометријски лични подаци
У модерној ери високе технологије, нова врста личних информација добија све већу популарност - биометријски подаци. Они представљају посебну групу информација. Обрада и заштита личних података ове врсте врши се и на основу Закона Руске Федерације "О личним подацима".
Наведени закон наводи да се обрада биометријских података, који укључују све информације које карактеришу биолошке карактеристике одређене особе, може извршити искључиво на основу писмене сагласности, коју субјект личних података мора дати непосредно.
Међутим, упркос таквој строгости закона који се односи на заштиту поверљивости биометријских података неке особе, постоји изузетак од тога. Састоји се из одсуства потребе за давањем писмене сагласности особе за обраду биометријских информација у случају обављања оперативно-истражних активности које могу обављати агенције за провођење закона разних категорија, као и службеници граничне и имиграционе службе.
Мјере сигурности података
Након што су лични подаци субјеката прихваћени за обраду, оператор и лица која прихватају податке на разматрање дужни су осигурати своју сигурност, која се, прије свега, састоји у недостатку могућности да дођу до неовлаштених особа. Који су захтеви за заштиту личних података?
Процедуре које се односе на очување личних података појединаца треба да буду спроведене од тренутка добијања информација за обраду. За то, оператер који обавља ову активност мора предузети мјере техничке и организационе природе које ће осигурати жељени циљ. Типично, то се ради помоћу алата типа шифрирања (криптографских), који спречавају неовлаштени и случајни приступ унесеним информацијама, њихово копирање, блокирање, измјене и друге операције које се могу обавити на подацима унесеним у отвореном облику.
У случају да се подаци обрађују у информационим системима, мора се осигурати и одговарајућа сигурност. Одређени захтјеви се постављају на материјале на којима се чувају биометријски подаци, као и на технологије с којима се елементи чувају.
У односу на лица и службе чије су активности повезане са прикупљањем, обрадом и чувањем података о личности, законодавац утврђује одређену контролу која осигурава правилно извршавање свих тачака прописаних Законом бр. 152 "О заштити личних података". Као контролна лица и тијела, прије свега, представници извршне власти су позвани да осигурају сигурност у разним областима дјеловања. Они имају право да врше контролу само у границама овлашћења које им Закон пружа, без могућности директног приступа повјерљивим информацијама.
Свака контролна и надзорна активност овлашћених лица или органа може се обавити на појединачни захтјев лица, чија сигурност личних података није обезбијеђена, те су због тога процурили. Контролни субјекат је дужан да размотри поднету жалбу, а затим да изврши инспекцију, због чега се морају предузети мере да се даље обезбеди безбедна безбедност поверљивих личних података, као и да се елиминишу негативне последице које је њихово откривање изазвало. У случају да је оператор незаконито прибавио информације или тражио податке који су сувишни, надзорни орган је дужан захтијевати њихово потпуно уклањање као и блокирање.
О поверљивости личних података
Важећи Закон о заштити личних података (ФЗ 152) предвиђа потребу да се осигура повјерљивост свих информација које субјекти дају на обраду. Ова одговорност се, по правилу, намеће самом оператору, који прихвата податке за обраду, а код предузећа - на одређеним лицима предвиђеним посебним прописом. Међутим, у два случаја законодавац још увек дозвољава да се повуче поверљивост информација. Први од њих је случај када су подаци потпуно анонимни. Другим ријечима, оне се могу открити, али само на такав начин да је према информацијама које су пружене трећим странама немогуће утврдити на кога се конкретно односе особне информације.
Други случај уклањања повјерљивости информација односи се на већ отворене информације. По правилу, такви лични подаци укључују име и презиме особе, годину рођења, град и место пребивалишта, број телефона, као и информације о образовању, занимању, каријери, итд. Међутим, то је могуће само када предмет личних информација је дао писмену дозволу да уклони поверљивост информација.
Резолуција објекта
Као што је већ неколико пута поменуто, обрада личних података субјекта захтева његово писмено одобрење за рад са информацијама које се дају оператеру. Може се саставити у писаној форми и осигурати са личним потписом. По жељи, субјект има право да повуче своју дозволу у било ком тренутку.
Дозвола о којој је ријеч мора нужно садржавати одређену листу информација о предмету. Међу њима се наводе име, презиме и патронимак, његово пребивалиште, као и подаци о документу који издаје држава, који потврђује идентитет. Поред тога, она мора обавезно да означи сврху за коју се информације дају за обраду, као и специфичну листу информација које је оператер прихватио. Такође, субјект мора да наведе начин обраде информација на које се слаже.
На самом крају документа мора се навести период, током којег је сагласност субјекта валидна, и редослед којим се писани документ може прегледати.
Након обележавања свих наведених података, субјект личних података мора навести датум састављања документа, као и његов потпис.
У случају да особа није у могућности да пристане на обраду података у вези са његовом смрћу, наследници морају то учинити. Ако је особа онеспособљена или, из физиолошких разлога, није у стању да напише свој пристанак, тада то могу учинити његови законски заступници.
Одговорности оператора
ФЗ 152 "О заштити података о личности" представља пажњу свих заинтересованих страна одређену листу дужности са којима се оператер мора бавити, радећи са личним подацима субјеката.
Након првог захтјева (усмено или писмено), оператер је дужан да пружи субјекту који је носилац личних података, све информације о томе у коју сврху ће се користити сви подаци који су им достављени, како ће се тачно обрадити, као и колико дуго процедура ће бити направљена. У обавезном редоследу, ове информације треба да се доставе у тренутку пријема информација и њиховог фиксирања.
У случају да се лични подаци обавезно достављају, оператер мора да обавести субјекта о томе, као и да објасни могуће правне последице свог одбијања ове процедуре.
У неким случајевима, оператер може примати личне податке појединаца не од себе, већ преко посредника. У овом случају, он је дужан да субјекта обавести о личним подацима о томе ко је дао информације, као ио сврси због које је акција извршена.
Обрада и заштита личних података у потпуности је одговорност оператера који прима информације од особе. Он је тај који је одговоран за неправилно обављање ове директне одговорности.
Заштита личних података у организацијама и предузећима
За свако лице које обавља радну активност у било ком предузећу или организацији постоји лично поднесено у складу са захтјевима закона, који одражава велику количину информација које представљају личне податке. Њихова сигурност мора бити осигурана и правилним средствима. Сви захтеви за овај процес се огледају у садржају Уредбе о заштити личних података запослених, која мора бити састављена у сваком појединачном предузећу. Треба напоменути да постоји један препоручени облик овог нормативног акта, који има локални карактер, али у највећем дијелу садржи основне принципе и захтјеве за садржај. По жељи, свако предузеће може усвојити властиту Уредбу о заштити личних података запослених. Узорак овог документа не предвиђа специфичности обављања дјелатности одређеног предузећа, што се може исправити ако се изради и усвоји појединачни документ.
Што се тиче очувања информација и заштите личних података запослених, ове функције се могу обављати редоследом одржавања шифроване базе података, у коју се уносе сви појединачни подаци које достављају запослени. Такви информациони системи, по правилу, имају локалну или системску природу, поред тога, у предузећу их може бити више. Подаци који се уносе у такве базе података, по правилу, садрже податке о позицији, плаћи, потврдама, академским називима, наградама, листи појединачних клијената, социјалном статусу итд.
Израда прописа и сродних докумената
Процес израде прописа који се разматра прописан је иу Федералном закону "о заштити података о личности". Закон наводи да овај документ треба да буде развијен и усвојен тако што ће се договорити о свакој тачки. Пре свега, требало би израдити нацрт документа у коме би требало да се наведу све главне одредбе, међу којима је потребно предвидети процедуру за обраду личних информација о запосленима.
С обзиром на чињеницу да сваки предмет личних информација мора дати дозволу за обраду својих личних података, морају се развити два додатна пројекта у свим предузећима и организацијама: пристанак на обраду достављених информација, као и обавјештења да ће сви подаци бити укључени у заједничкој бази. Поред тога, предузеће је дужно да креира документ, чији ће садржај бити обавезан да правилно чува информације које имају ограничен статус приступа.
Чињеница да ће компанија одржавати предметну базу података мора бити издата налогом, који мора бити потписан од стране менаџера или особе овлаштене за то. У тексту је потребно навести назив саме базе података, одобрити одредбу која се уводи у структурну јединицу или цјелокупно предузеће у цјелини, као и идентифицирати иновације у активностима службеника чије су активности директно везане за обраду личних података и њихово чување.
Након израде свих горе наведених докумената, компанија треба да има комисију за разматрање одредби које су у њима представљене. Тек након што су све особе укључене у комисију задовољне сваком одредбом, документи се могу потписати и ступити на снагу.
Да би се заштитили лични подаци, промјене се могу вршити у структурним јединицама предузећа. Често се у ту сврху уводе нова радна мјеста или се мијењају одговорности особа које заузимају постојеће позиције. Закон "о заштити личних података" не успоставља посебну листу запослених који су одговорни за сигурност повјерљивих информација. Такав круг особа се, по правилу, одређује Правилником за свако предузеће посебно.
Структура Статута о заштити личних података (узорак)
Лични подаци запослених у било ком предузећу морају бити прописно заштићени. У ту сврху, приликом израде Одредбе о предузећу, потребно је јасно знати које тачке у њему треба размотрити. Дакле, размотрите приближну структуру Статута о заштити личних података (узорак).
Лични подаци који су заштићени и класификовани као лични морају бити тачно дефинисани у овом документу. По правилу, у локалним актима већине предузећа, њихова листа је назначена одмах након уводног дијела, у којем треба навести опће одредбе и основне концепте који се могу користити у документу. Правилником треба јасно дефинисати редослед којим ће се приступити подацима, као и круг особа које то имају право. У случају да предузеће или организација има специфичну листу личних података којима је додијељен посебан статус тајности, приступ се мора одредити одвојено.
Правилник мора да обезбиједи јасан сет радњи и мјера којима ће се подаци штитити, одговорност за кршење утврђених захтјева, казна за откривање особних података, као и за немарно понашање према њиховим службеним дужностима везаним за пријем, обраду информација и осигурање њихове сигурности. .
Узорак Статута о заштити личних података такође наводи да би његова структура требала укључивати дио о правима и обавезама запослених у вези с обрадом њихових личних података.
По потреби, у вези са специфичностима предузећа, Правилник може садржати додатне захтјеве и концепте.
Уклањање неправилности у обради достављених личних информација
Сва одговорност за недостатак безбедности личних података субјекта, у складу са Савезним законом "о заштити личних података", у потпуности лежи на самом оператеру, који је извршио пријем информација и њихову обраду. У случају кршења закона, дужан је да предузме све мјере које су потребне за отклањање повреде.
У складу са Савезним законом "о заштити личних података", ако субјекат поднесе жалбу регулаторном органу на неправилан рад оператора који је примио његове личне податке, ови подаци треба одмах бити блокирани за период док се ревизија спроводи. Након утврђивања прекршаја, оператор је дужан да отклони све недостатке - то треба учинити у року од три дана од дана доношења одлуке надзорног органа. Законом о заштити података о личности наводи се да би елиминисање кршења требало да буде учињено брисањем информација о предмету. Исто би требало урадити ако је субјект повукао дозволу за обраду личних информација. На пример, свака Уредба о заштити личних података запослених (узорак) мора садржати у свом садржају правила која се односе на брисање информација о запосленом који је повукао своју дозволу за обраду његових личних података.