Protecția datelor cu caracter personal - se modifică în 2018

Trimitere e-mail

Întrebările referitoare la prelucrarea datelor cu caracter personal și protecția persoanelor fizice cu fiecare an ce trece devine tot mai urgentă, deoarece scopul principal al prezentei legi este protecția drepturilor și libertăților omului, inclusiv protecția drepturilor la viața privată a vieții private, personale și de familie. Practica arată că operatorii de date cu caracter personal nu pot pune în aplicare întotdeauna legea privind organizarea, stocarea, prelucrarea, și, mai important, pentru a proteja datele personale ale subiecților și sunt adesea aduse la răspundere administrativă pentru încălcarea acestor standarde. În acest articol vom vorbi despre inovațiile în domeniul protecției datelor cu caracter personal, în condiții noi, obligațiile operatorilor de date cu caracter personal.

Cele mai „populare“ încalcă informațiile nerespectării specificate în anunțul de tratament pentru PD, activitățile propriu-zise ale operatorului și tratamentul PD fără consimțământul subiecților PD.

Protecția datelor cu caracter personal

Cele mai „populare“ încalcă informațiile nerespectării specificate în anunțul de tratament pentru PD, activitățile propriu-zise ale operatorului și tratamentul PD fără consimțământul subiecților PD.

Domeniul de aplicare a legii și terminologia

Următorii termeni sunt afectate de modificările:

1. Introduceți noua definiție a „datelor personale“ - este orice informație referitoare la acestea, în mod direct sau indirect, la o persoană fizică identificată sau identificabilă (date personale supuse). După cum puteți vedea, definiția dispărut listare „detalii“ a unui individ, de exemplu. E. numele, prenumele, data nașterii și așa mai departe. N. În același timp, a clarificat faptul că ar trebui să ia în considerare orice informație legată direct sau indirect, la un individ.

3. Definițiile „tratament pentru PD.“ Având în vedere noua formulare a tratamentului PD - este orice acțiune (operațiune) sau un set de acțiuni, efectuate cu utilizarea de echipamente de automatizare sau fără utilizarea unor astfel de mijloace cu datele personale, inclusiv colectarea, înregistrarea, acumularea, stocarea, clarificare (actualizare, modificare), extracție , utilizarea, transferul (răspândirea, oferind acces), depersonalizare, blocarea, ștergerea, distrugerea datelor cu caracter personal.

4. simplificat în mod semnificativ termenul „distribuția datelor cu caracter personal.“ care este înțeleasă ca acțiuni care vizează divulgarea datelor cu caracter personal către public.

5. Noțiunea de „furnizarea de date cu caracter personal.“ t. e. acțiuni care vizează divulgarea datelor cu caracter personal către o anumită persoană sau un anumit grup de oameni.

6. schimba fundamental abordarea conceptului de „depersonalizării datelor cu caracter personal.“ În cazul în care, ținând seama de definiția utilizată anterior, am spus că, ca urmare a de-identificare nu este în nici un fel determina identitatea PD, având în vedere modificările pot fi următoarea oportunitate: folosind informațiile suplimentare, puteți determina identitatea anumitor date la subiectul specific al PD. E. Depersonalizarea nu pot fi considerate ca fiind exclusiv proces-un singur sens.

7. Un precizat mai clar conceptul de „sistem de informații date cu caracter personal.“ care este înțeleasă ca un set de PD conținute în bazele de date și pentru a asigura prelucrarea acestora a tehnologiilor informaționale și mijloace.

8. Se elimină conceptul de „vieții private cu caracter personal“ și „informații publice cu caracter personal.“

În plus, trebuie remarcat faptul că autoritatea de a face reglementări în domeniul legislației privind protecția datelor cu caracter personal furnizate de Banca România și autoritățile locale.

Consimțământul subiectului PD

Întrebările de consimțământ pentru tratamentul PD au fost supuse, de asemenea, unele modificări.

Asigurarea respectării obligațiilor operatorului în conformitate cu Legea federală № 152-FZ

Legea federală № 152-FZ completat cu un nou articol 18.1, care definește compoziția și lista de măsuri care sunt necesare și suficiente pentru a se asigura că obligațiile prevăzute de legislația privind protecția PD. Astfel de măsuri pot include:

  • operatorul de atribuire este o persoană juridică responsabilă pentru organizarea tratamentul PD;
  • publicarea documentelor care definesc politica operatorului în ceea ce privește tratamentul PD;
  • utilizarea de măsuri juridice, organizatorice și tehnice pentru a asigura siguranța PD;
  • controale interne și (sau) tratamentul de audit conformitatea PD la ordinea stabilită;
  • evaluarea prejudiciului care pot fi cauzate subiecților PD;
  • familiariza angajații cu organizarea operatorului de a lucra cu PD.

Lista de măsuri obligatorii pentru operatorii care sunt autorități de stat și municipale însărcinate să stabilească Guvernului.

1. Definirea amenințărilor de securitate PD la prelucrarea acestora în cadrul sistemelor informaționale ale PD.

2. Aplicarea măsurilor organizatorice și tehnice pentru a asigura siguranța PD în timpul prelucrării acestora în sistemele informaționale de date cu caracter personal (în continuare - PDIuri) necesare pentru a îndeplini cerințele de protecție a PD, care prevede executarea garanției stabilite PravitelstvomRumyniyaurovni PD.

3. Utilizarea trecutului, în conformitate cu procedura stabilită de evaluare a soluțiilor de securitate a informațiilor.

4. Evaluarea eficacității măsurilor luate pentru a asigura securitatea datelor cu caracter personal pentru punerea în sistem de informații PD.

5. Purtătorii mașinii contabile ale PD.

6. Detectarea accesului neautorizat la PD și măsuri.

7. Recuperarea PD, modificate sau distruse ca urmare a accesului neautorizat la acestea.

8. Stabilirea unor reguli de acces la PD, prelucrate în sistemul informatic al PD, precum și furnizarea de înregistrare și de înregistrare a tuturor actelor comise cu PD în PDIuri.

9. Controlul măsurile luate pentru a asigura securitatea datelor cu caracter personal și nivelul de protecție a PDIuri.

După cum sa menționat mai sus, aplicarea unor măsuri organizatorice și tehnice pentru a asigura siguranța PD depinde de nivelul de securitate care urmează să fie stabilite de către Guvern.

De asemenea, administrarea PravitelstvomRumyniyapodlezhit cerințelor de protecție a PD în timpul prelucrării lor în PDIuri, a cărui execuție asigură niveluri de protecție stabilite PD și cererile pe suporturi materiale PD tehnologii biometrice și stocarea acestor date în PDIuri.

În încheierea acestei secțiuni, în conformitate cu logica articolului 19 din Legea federală № 152-FZ. da definițiile necesare pentru înțelegerea acestui articol:

notificare de trimitere

În special, tratamentul PD fără notificare prealabilă în cazul prevăzut de Transport de securitate zakonodatelstvomRumyniyao. În acest caz, este vorba despre crearea unui sistem de securitate unic de stat de transport de informații, care este proprietatea Federației Ruse, format din baze de date centralizate automate PD împotriva pasagerilor.

  • numele, prenumele, patronimicul;
  • data și locul nașterii;
  • tipul și numărul documentului de identitate prin care a achiziționat documentul de călătorie (bilet);
  • punctul de plecare, de destinație, tipul de traseu;
  • Data de călătorie.

O serie de dispoziții au fost corectate. În cazul în care datele cu caracter personal sunt prelucrate în conformitate cu legislația muncii, în acest caz, trebuie amintit că lista de informații care urmează să fie prezentate angajaților de la încheierea contractului de muncă este definit la articolul 65 din Codul muncii. atribuit acestora:

  • pașaportul sau alt document de identitate;
  • Istoricul ocupării forței de muncă, cu excepția cazurilor în care contractul de muncă este încheiat pentru prima dată sau un angajat merge să lucreze la condițiile de muncă la negru;
  • certificat de asigurare de asigurare de pensie de stat;
  • documente de înmatriculare militare - pentru serviciul militar și persoanele care fac obiectul militar obligatoriu;
  • certificat de învățământ, calificare sau cunoștințe speciale - atunci când se aplică pentru un loc de muncă care necesită cunoștințe speciale sau pregătire specială;
  • un certificat de prezență (absență) condamnări (în unele cazuri).

Ambiguu este o întrebare cu privire la furnizarea de date de către candidați la locurile de muncă și furnizarea de informații care nu este numit în Codul Muncii. Într-adevăr, atunci când se aplică pentru un loc de muncă necesită cel puțin să furnizeze un număr de identificare fiscală și, de multe ori, informațiile numit în formă de T-2, lista care depășește în mod semnificativ lista definită în Codul Muncii. În acest sens, se poate recomanda pentru notificarea la Roskomnadzor în cazul datelor în format electronic, în partea a informațiilor despre candidați pentru locurile vacante și piese de informații pentru lucrători, prin acordarea „îmbunătățită“, în comparație cu obligatoriu, lista de informații.

De asemenea, nu au nevoie de o notificare de recomandare atunci când procesarea PD referitoare la membrii (participanți) ai asociațiilor obștești sau organizații religioase, în cazul în care datele cu caracter personal nu vor fi distribuite sau dezvăluite unor terți fără consimțământul subiectului PD și în tratamentul PD, pus la dispoziția publicului, sub rezerva.

Schimbările au afectat compoziția informațiilor care urmează să fie precizat în anunțul. În plus, următoarele informații trebuie incluse în anunțul:

În plus față de introducerea unor coloane suplimentare sub forma unui anunț în partea a informațiilor enumerate mai sus, este necesar să se acorde o atenție la următoarele modificări.

2. Mai multe detalii necesare în descrierea măsurilor luate de către operator pentru a asigura siguranța PD. În acest scop, a introdus un grafic suplimentar, în care informațiile trebuie să fie listate cu privire la măsurile prevăzute la art. Art. 18.1 și 19 Legea federală № 152-FL. date privind persoana fizică responsabilă pentru procesarea clasei ISPDn de date, precum și măsurile organizatorice și tehnice utilizate pentru a proteja PD împotriva accesului neautorizat sau accidentale, distrugerea, modificarea, blocarea, copierea, difuzarea datelor cu caracter personal.

De asemenea, în acest domeniu sunt supuse unor informații cu privire la utilizarea de criptare de raportare (criptografice) înseamnă, inclusiv:

  • numele, numărul de înregistrare și producători utilizează mijloace criptografice;
  • nivelul de protecție criptografică a PD;
  • protecție specială nivel împotriva scurgerilor prin canale parazite și interferență;
  • nivel de protecție împotriva accesului neautorizat.

3. Procedura de umplere câmpul „data începerii prelucrării datelor cu caracter personal.“ Aceasta a adăugat că, în acest domeniu, este necesar să se specifice o anumită dată, care este zi, luna, an de la începutul oricărei acțiuni (operațiune).

În plus, trebuie remarcat, Legea federală № 152-FL distinge tratamentul PD folosind echipamente de automatizare sau fără utilizarea unor astfel de mijloace, în timp ce în Recomandările pentru finalizarea procesului de notificare are trei prelucrare PD:

  • procesare neautomatizata a PD;
  • PD exclusiv automatizat de prelucrare cu informațiile primite de transmitere prin rețea sau fără;
  • Tratamentul mixt al PD.

În plus, modificări semnificative au fost făcute în articolul 7 Legea federală № 152-FZ „date cu caracter personal“. Inovațiile cu condiția necesitatea autorității teritoriale notificat de Roskomnadzor nu numai în cazul modificărilor de date indicate în anunțul, dar în cazul încetării prelucrării datelor cu caracter personal.

Termenul limită pentru transmiterea informațiilor în această situație prevăzută în termen de 10 zile lucrătoare de la data terminării prelucrării datelor cu caracter personal.

Despre evenimentele companiei „1C“ în ceea ce privește protecția datelor cu caracter personal

Pentru operatorii de date cu caracter personal ca un suport metodologic „1C“, pot fi oferite:

Prelucrarea datelor cu caracter personal

  • Tratamentul trebuie efectuată pe bază legală și echitabilă;
  • Tratamentul PD ar trebui să se limiteze la atingerea obiectivelor specifice;
  • PD prelucrate nu trebuie să fie excesive în raport cu obiectivele lor de tratament;
  • operatorul trebuie să ia măsuri, sau pentru a asigura angajamentul lor de a elimina sau de a clarifica datele incomplete sau inexacte.

O inovație importantă prevăzută la alineatul 3 al articolului 6 din Legea federală № 152-FZ. care prevede că un operator are dreptul de a încredința manipularea PD către o altă persoană, cu consimțământul subiectului PD, pe baza contractului.

O persoană însărcinată cu punerea în aplicare a tratamentului PD este obligat să respecte toate principiile și regulile de tratament pentru PD stabilite. Lista de acțiuni cu PD care urmează să fie stabilită în ordinea operatorului. În acordul privind subiectul PD trebuie să specifice persoana care efectuează tratamentul PD, în cazul în care un astfel de tratament este încredințată operatorului oricărei alte persoane.

Este important de remarcat faptul că a fost operatorul este răspunzător față de obiectul PD pentru acțiunile persoanei respective, iar acea persoană trebuie, la rândul său, este responsabil pentru operatorul PD.

Persoana responsabilă de organizarea tratamentului PD

Noul Articolul 22.1 din Legea federală № 152-FZ prevede obligația operatorului de a desemna o persoană responsabilă de organizarea de prelucrare a datelor. Sarcinile persoanei menționate:

  • controlul intern asupra respectării de către operator și angajații săi zakonodatelstvaRumyniyao PD, inclusiv cerințele pentru protecția PD;
  • aducând în atenția poziției operatorului de angajați zakonodatelstvaRumyniyao PD, acte locale cu privire la tratamentul cerințelor de protecție a PD, PD;
  • cererile de organizare și primirea și procesarea solicitărilor de subiecți PD sau reprezentanții acestora și (sau) pentru a monitoriza primirea și prelucrarea acestor cereri și anchete.
  • perioadă a crescut de la 10 la 30 de zile lucrătoare pentru a raporta operatorul care face obiectul disponibilității PD PD referitoare la acest subiect al PD. În aceeași perioadă, operatorul are dreptul să pregătească un refuz motivat, care conține baza pentru refuzul de a furniza astfel de informații;
  • în cazul că datele personale sunt incomplete, inexacte sau irelevante, operatorul, în termen de șapte zile lucrătoare pentru a face modificări pentru a le, t. e. informațiile fiabile necesare, și notifică modificările relevante la subiectul PD (sau reprezentantului acestuia) (Sec. 3 al articolului 20 legea federală № 152-FL);
  • în cazul subiectului PD sau a reprezentantului său, pentru a confirma că acestea PD sunt obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării, operatorul este obligat să distrugă astfel de PD într-o perioadă de cel mult 7 zile (p. 3 al art. 20 din numărul Legea federală 152-FL);
  • în cazul PD de procesare ilicită la cererea entității PD (reprezentantului acestuia), sau organism autorizat să protejeze subiecții operatorului PD este obligat să efectueze blocarea PD procesate necorespunzător în legătură cu acest subiect PD, deoarece un astfel de tratament sau primirea respectivei perioade de verificare cerere (n. 1 lingura . 21 legea federală № 152-FL);
  • Informații la cererea organismului autorizat să protejeze drepturile subiecților PD necesare pentru activitățile organismului, trebuie să fie, de asemenea, depusă în termen de 30 de zile de la data primirii cererii;
  • a crescut de 3-30 zile lucrătoare termenul limită pentru distrugerea PD / încetarea tratamentului în caz de revocare a consimțământului subiectului PD.

Trimitere e-mail