Защита на личните данни. Федерален закон "За личните данни" от 27 юли 2006 г. N 152-ФЗ: съдържание и коментари
Правните въпроси, свързани със защитата на личните данни, се отнасят до адвокати, които работят в различни области на правото. Това се дължи на факта, че във всяка област на правото има определен списък с информация, който изисква да се гарантира нейната поверителност и неразпространение на трети лица от тези, на които е поверено в хода на техните служебни задължения.
Така ще разгледаме по-нататък каква информация принадлежи на тази група, както и характеристиките на системата за защита на личните данни. Как работи в предприятия и организации? Освен това, помислете какво следва да бъде включено в структурата на регламента относно защитата на личните данни на служителите (извадка) и как се приема.
Обща концепция
Ако говорим за обща концепция, тогава поверителната информация е цялата информация, която е пряко свързана с конкретен индивид. По правило това са неговите лични данни. Ако обясните юридически термин, то този човек в практиката на юридическите специалисти се нарича предмет на лични данни.
Какви данни счита за разглеждане от законодателя? На първо място, това е фамилията, името и бащиното име на лицето, както и датата и мястото на неговото раждане. Освен това към групата на тези лица се съдържа информация за мястото му на пребиваване след факта, както и за регистрация. Информация за семейното положение на дадено лице, както и за неговото социално положение, доходи и образование, също принадлежат към групата на поверителната информация.
Законодателно регулиране на работата с лични данни в Русия. Основни разпоредби
Що се отнася до руското законодателство, то осигурява адекватна защита на личните данни на хора, които са не само граждани на страната, но и живеят на нейна територия по някаква причина. Законодателството, което регулира тези въпроси, е представено от няколко регламента. По-специално, основният закон - Конституцията, както и Федералния закон 152 "За защита на личните данни" могат да бъдат приписани на групата на такива. Промените в тези регламенти не се правят много често, което позволява на специалистите да проучат всяко ново изменение по-задълбочено и да го приложат на практика.
Освен руското законодателство, въпросите, свързани със защитата на личните данни, се уреждат от международните разпоредби. Освен това тази дейност се извършва и на базата на нормативни актове, издадени от местните власти, съществуващи в държавата. Законодателят отбелязва, че такива разпоредби могат да съдържат регламенти относно обработката на данни от определен вид, но не могат да се предвидят правила за ограничаване на определени права на субекти, които са носители на лични данни.
Всички закони и наредби, в които изискванията за обработване на лични данни, както и осигуряването на тяхната защита са предвидени в съответствие със закона, трябва да бъдат публикувани официално на разположение на обществеността. Това правило има едно изключение, което се отнася до документи, регулиращи работата с тайна информация - тази информация трябва да бъде защитена от достъп в доста строг ред.
Принципи на обработка на лични данни
Текстът на Федералния закон 152 "За защита на личните данни" гласи, че работата с информация, съставляваща лична информация, трябва да се извършва изключително в съответствие с определени принципи. Какви са те? По-подробно разгледайте това.
На първо място, всички действия на служителите на органи и служби, които се занимават с обработката на лична информация, трябва да се извършват, като се вземе предвид основният принцип - законност. Това означава, че цялата налична информация в базата данни трябва да бъде получена законно, добросъвестно и правилно обработена, единствено в рамките на целите, за които са предоставени. Освен това, офицер която се занимава с обработката на поверената му информация, трябва да използва данните, които позволяват обхвата на неговите правомощия.
Всички методи за обработка на информацията, както и техният характер, обхват, трябва да отговарят напълно на целите, за които информацията е била приета. В процеса на дейност информацията не може да се комбинира, за да се обработи в рамките на няколко цели едновременно. Изключение може да бъде само работата, извършена в информационната система.
Всички лични данни, които се представят за обработка, трябва да са надеждни - това е и един от основните принципи на работа с информация от въпросния характер. Техният обем трябва да бъде достатъчен за провеждане на операцията в правилната форма, законодателят не позволява на лицето да изисква излишна информация, която не е необходима за извършване на всички необходими действия.
Условия, при които е възможно обработването на информация
Регламентът за защита на личните данни предвижда, че цялата работа с предоставената за обработка информация трябва да се извършва законно. Какво означава това?
На първо място, трябва да се помни, че цялата работа с лични данни трябва да се извършва само със съгласието на лицето, което я притежава. Що се отнася до самото лице, което извършва работната процедура, то трябва задължително да бъде упълномощено от закона или от отделното юридическо лице, в което се извършва обработката. В случай, че лице, което получава информация по време на работа с информация, трябва да го прехвърли на друг служител на институция или организация, тогава и другото лице е длъжно да осигури тяхната безопасност.
В някои случаи законодателят предвижда възможността за използване на лични данни без съгласието на субекта, който е техният пряк превозвач. По-специално, това се отнася за момента, в който данните се използват за съставяне на статистически отчети, както и за постигане на научни цели. Това важи и за случая, когато е необходимо да се осигури изпълнението на договорните задължения, защитата на живота и здравето на едно лице или на цялото общество. Освен това разрешението на субекта на лична информация не се изисква в случаите, когато информацията се използва в работата на журналисти, в творчески или в научни дейности. Правилникът за защита на личните данни обаче показва, че информацията може да се използва изключително за професионални дейности и само ако разкриването им не вреди на предмета на тази информация.
За задължителното публикуване без съгласието на самите превозвачи се прилагат лични данни, принадлежащи на общинските служители, лицата, които заменят първата публична длъжност, кандидатите, участващи в изборите.
Специални категории лична информация
Законодателят предоставя определен списък от лични данни, които са няколко категории от специален тип. Те включват информация за расовата идентичност на дадено лице, неговите философски и лични убеждения, интимен живот, както и здравен статус. Тези групи информация са специално защитени от закона и тяхното разкриване в никакъв случай не е позволено, освен в определени случаи. Какви са те?
На първо място, трябва да обърнете внимание на факта, че съгласието на лицето за разкриване на лични данни, свързани със специални категории, не се изисква, ако те вече са публично достъпни. В по-голямата си част това се отнася до известни личности, чийто живот в публично достъпни източници съдържа значително количество информация, включително лична информация.
В случай, че субектът на личната информация от специално естество даде писмено разрешение за разкриване на информация, те също могат да бъдат разкрити.
Що се отнася до информацията за състоянието на човешкото здраве, защитата на личната информация на тази група се извършва по специален начин. В съвременната правна практика има такова нещо като "медицинска тайна". Благодарение на него се гарантира запазването на медицинска информация за дадено лице. Лицата, които по силата на служебните си задължения са запознати със здравословното състояние на пациента, нямат право да предоставят получената информация на трети лица без писменото съгласие на клиента на медицинското заведение. В противен случай, лице, което не спазва това правило, подлежи на отговорност. За да получи лична информация от лекар или друг професионален служител на медицинско или профилактично заведение, субектът не се нуждае от разрешение, тъй като невъзможността на специалиста да получи информация за състоянието на човешкото здраве може да го застраши със смърт или значително влошаване на общото състояние на организма.
В съвременната практика също е позволено обработка на информация личен характер, представен в групата на специалната информация, извършена в процеса на провеждане на следствени действия или производство по делото по същество.
Биометрични лични данни
В съвременната епоха на високите технологии, новият вид лична информация придобива все по-голяма популярност - биометрични данни. Те представляват специална група информация. Обработването и защитата на лични данни от този вид се извършва и на базата на Закона на Руската федерация "За личната информация".
В посочения акт се посочва, че обработката на биометрични данни, които включват цялата информация, характеризираща биологичните характеристики на дадено лице, може да се извърши единствено въз основа на писмено съгласие, което трябва да бъде предоставено пряко от субекта на личните данни.
Въпреки това, въпреки строгостта на закона относно защитата на поверителността на биометричните данни на дадено лице, има изключение от това. Тя се състои в липсата на необходимост от предоставяне на писмено съгласие на лицето за обработване на биометрична информация в случай на провеждане на оперативно-издирвателни дейности, които могат да се извършват от правоприлагащи органи от различни категории, както и от гранични и имиграционни служители.
Мерки за сигурност на данните
След приемането на личните данни на субектите за обработване, операторът и лицата, които приемат информацията за разглеждане, са длъжни да гарантират тяхната безопасност, която се състои, на първо място, при липса на възможност за получаване до неоторизирани лица. Какви са изискванията за защита на личните данни?
Процедурите, свързани със запазването на личните данни на физическите лица, трябва да се извършват от момента на получаване на информацията за обработка. За тази цел операторът, който извършва тази дейност, трябва да предприеме мерки от технически и организационен характер, които да осигурят желаната цел. Обикновено това се прави с помощта на инструменти за криптиране (криптографски), които предотвратяват неоторизиран и инцидентен достъп до въведената информация, нейното копиране, блокиране, промяна и други операции, които могат да бъдат извършени върху данни, въведени в отворената форма.
В случай, че данните се обработват в рамките на информационни системи, трябва да се осигури и подходяща сигурност. Изложени са някои изисквания към материалите, върху които се съхраняват биометричните данни, както и към технологиите, с които се съхраняват елементите.
За лицата и службите, чиято дейност е свързана със събирането, обработването и съхранението на лични данни на хора, законодателят установява определен контрол, който осигурява правилното изпълнение на всички точки, предвидени в Закон № 152 "За защита на личните данни". Като контролиращи лица и органи, на първо място, представителите на изпълнителната власт са призовани да осигурят сигурност в различни области на дейност. Те имат право да упражняват контрол само в рамките на правомощията, които законът им предоставя, без възможност за пряк достъп до поверителна информация.
Всяка контролна и надзорна дейност на упълномощени лица или органи може да се извършва по индивидуално искане на лице, чиято безопасност на личните данни не е била предоставена, поради което те са изтекли. Контролиращият орган е длъжен да разгледа подадената жалба и след това да извърши проверка, в резултат на което трябва да се вземат мерки за по-нататъшно осигуряване на безопасната безопасност на поверената лична информация, както и за премахване на негативните последици от тяхното разкриване. В случай, че операторът е получил неправомерно информация или поискали данни, които са излишни, надзорният орган е длъжен да изисква тяхното пълно отстраняване, както и блокиране.
Относно поверителността на личните данни
Действащият Закон за защита на личните данни (ФЗ 152) предвижда необходимостта да се гарантира поверителността на цялата информация, която се предоставя от субектите за обработка. Тази отговорност, като правило, се налага на самия оператор, който приема данните за обработка, а в предприятията - на определени лица, предвидени в специален регламент. В два случая обаче законодателят все още позволява да се премахне поверителността от информацията. Първият от тях е случаят, когато данните са напълно анонимни. С други думи, те могат да бъдат разкрити, но само по такъв начин, че според информацията, предоставена на трети страни, е невъзможно да се определи кой конкретно се отнася за личната информация.
Вторият случай на премахване на поверителността на информацията се отнася до вече откритата информация. По правило такива лични данни включват име и фамилия на лице, година на раждане, град и точно местоживеене, телефонен номер, както и информация за образование, професия, професионални постижения и т.н. Това обаче е възможно само когато предметът на личната информация е дал писмено разрешение да премахне поверителността от информацията.
Резолюция на обекта
Както е споменато по-горе няколко пъти, обработката на лични данни на субекта изисква писменото му разрешение да работи с информацията, предоставена на оператора. Тя може да бъде направена писмено и обезпечена с личен подпис. Ако желаете, субектът има право да оттегли разрешението си по всяко време.
Въпросното разрешение трябва задължително да включва определен списък с информация за темата. Сред тях са дадени името, фамилията и бащиното име, мястото му на пребиваване, както и данните на документа, издаден от държавата, който удостоверява самоличността. Освен това трябва задължително да посочва целта, за която се предоставя информацията за обработката, както и конкретен списък с информация, която е била приета от оператора. Също така, субектът трябва да посочи метода за обработка на информацията, с която той е съгласен.
В самия край на документа трябва да се посочи срокът, през който съгласието на субекта е валидно, и реда, в който писменият документ може да бъде преразгледан.
След маркиране на всички горепосочени данни, предметът на личната информация трябва да посочи датата на съставяне на документа, както и неговия подпис.
В случай, че дадено лице не е в състояние да даде съгласие за обработката на данните във връзка със смъртта му, наследниците трябва да го направят. Ако лицето е недееспособно или поради физиологични причини не е в състояние да напише своето съгласие, тогава неговите законни представители могат да го направят.
Отговорности на оператора
ФЗ 152 "За защита на личните данни" представлява на вниманието на всички заинтересовани страни определен списък от задължения, с които операторът трябва да се справи, като работи с лични данни на субектите.
При първото искане (устно или писмено), операторът е длъжен да предостави на лицето, което е носител на лична информация, цялата информация за това, за каква цел ще бъдат използвани всички предоставени им данни, как точно ще бъдат обработени, както и за колко време ще бъде направена процедура. В задължителна заповед тази информация трябва да бъде предоставена и в момента на получаване на информацията и тяхното фиксиране.
В случай, че личната информация трябва да бъде предоставена задължително, операторът трябва да уведоми субекта за това, както и да обясни възможните правни последици от отказа си за тази процедура.
В някои случаи операторът може да получава лични данни на физически лица не от себе си, а чрез посредници. В този случай той е длъжен да уведоми субекта за лична информация за това кой е предоставил информацията му, както и целта, за която е извършено действието.
Обработката и защитата на личните данни е изцяло отговорност на оператора, който получава информация от лице. Той е този, който е отговорен за неправилното изпълнение на тази пряка отговорност.
Защита на личните данни в организации и предприятия
За всяко лице, което извършва трудова дейност в което и да е предприятие или организация, има лично, подадено в съответствие с изискванията на закона, което отразява огромно количество информация, която представлява лична информация. Тяхната безопасност също трябва да бъде осигурена с подходящи средства. Всички изисквания за този процес са отразени в съдържанието на Наредбата за защита на личните данни на служителите, която трябва да бъде съставена на всяко предприятие поотделно. Трябва да се отбележи, че има един единствен препоръчителен формуляр на този нормативен акт, който има местен характер, но в по-голямата си част съдържа основните принципи и изисквания за съдържанието. При желание всяко предприятие може да приеме свой индивидуален регламент за защита на личните данни на служителите. Пример на този документ не предвижда спецификата на провеждане на дейностите на конкретно предприятие, които могат да бъдат коригирани, ако се разработи и приеме отделен документ.
По отношение на запазването на информацията и защитата на личните данни на служителите, тези функции могат да се извършват по реда на поддържане на криптирана база данни, в която се въвеждат всички индивидуални данни, предоставени от служителите. Подобни информационни системи по правило имат местен или системен характер, като в предприятието може да има и няколко такива. Въведените в такива бази данни данни по правило съдържат данни за позицията, заплатата, удостоверенията, научните звания, наградите, списъка на индивидуалните клиенти, социалния статус и др.
Разработване на регламенти и свързани документи
Процесът на разработване на разглеждания регламент е предписан и във Федералния закон "За защита на личните данни". Законът отбелязва, че този документ трябва да бъде разработен и приет чрез договаряне по всеки въпрос. Преди всичко трябва да се разработи проект на документ, в който да се отбележат всички основни разпоредби, сред които е необходимо да се предвиди процедура за обработване на лична информация за служителите.
Поради факта, че всеки предмет на лична информация трябва да даде разрешение за обработване на неговите лични данни, трябва да бъдат разработени два допълнителни проекта във всички предприятия и организации: съгласие за обработване на предоставената информация, както и уведомяване, че всички данни ще бъдат включени в обща база. Освен това, компанията е длъжна да създаде документ, чието съдържание ще бъде задължено да съхранява информацията, която има статут на ограничен достъп.
Фактът, че компанията ще поддържа въпросната база данни, трябва да бъде издадена заповед, която трябва да бъде подписана от управителя или от лицето, упълномощено за това. В текста е необходимо да се посочи самото наименование на базата данни, да се одобри разпоредбата, въведена в структурното звено или цялото предприятие като цяло, както и да се идентифицират нововъведенията в дейността на длъжностните лица, чиято дейност е пряко свързана с обработването на личната информация и нейното съхранение.
След изготвянето на всички горепосочени документи, дружеството трябва да има комисия, която да обсъжда представените в тях разпоредби. Само след като всички лица, включени в комисията, са доволни от всяка разпоредба, документите могат да бъдат подписани и приведени в действие.
С цел защита на личните данни могат да се правят промени в структурните звена на предприятията. Често за тази цел се въвеждат нови установени длъжности или се променят отговорностите на лицата, заемащи съществуващи длъжности. Законът за защита на личните данни не съдържа конкретен списък на служителите, които отговарят за безопасността на поверената информация. По правило такъв кръг от лица се определя от Правилника на всяко предприятие поотделно.
Структурата на Устава за защита на личните данни (извадка)
Личните данни на служителите на всяко предприятие трябва да бъдат надлежно защитени. За тази цел при създаването на разпоредбата за дадено предприятие е необходимо да се знае ясно кои точки в него трябва да се вземат предвид. Затова разгледайте приблизителната структура на Устава за защита на личните данни (извадка).
Личните данни, които са защитени и класифицирани като лични, трябва да бъдат точно определени в този документ. По правило в местните актове на повечето предприятия списъкът им се посочва непосредствено след встъпителната част, в която трябва да бъдат изложени общите разпоредби и основните понятия, които могат да бъдат използвани в документа. Правилникът трябва ясно да определи реда, в който ще бъдат достъпни данните, както и кръга на лицата, които имат право да го направят. В случай, че дадено предприятие или организация има специален списък с лична информация, на която е бил предоставен специален статут на тайна, достъпът до него трябва да се определя отделно.
Правилникът трябва да предвижда ясен набор от действия и мерки, чрез които данните ще бъдат защитени, отговорност за нарушаване на установени изисквания, наказание за разкриване на лични данни, както и за небрежно отношение към служебните им задължения, свързани с получаване, обработване на информация и осигуряване на тяхната безопасност. ,
В извадката на Устава за защита на личните данни се посочва също, че структурата му трябва да включва раздел относно правата и задълженията на служителите, свързани с обработването на личната им информация.
При необходимост, във връзка със спецификата на предприятието, Правилникът може да включва допълнителни изисквания и концепции.
Премахване на нередности при обработването на предоставената лична информация
Цялата отговорност за липсата на безопасност на личната информация на субекта, в съответствие с Федералния закон "За защита на личните данни", почива изцяло на самия оператор, който е извършил получаването на информация и нейната обработка. В случай на нарушение на изискванията на закона, той е длъжен да предприеме всички необходими мерки за отстраняване на нарушението.
В съответствие с Федералния закон "За защита на личните данни", ако предприятието подаде до регулаторните органи жалба за неправилна работа на оператора, който е получил личната му информация, тези данни следва незабавно да бъдат блокирани за периода, през който се провежда одитът. След установяване на нарушението, операторът е длъжен да отстрани всички недостатъци - това трябва да стане в тридневен срок от датата на решението на надзорния орган. Законът за защита на личните данни гласи, че отстраняването на нарушенията трябва да се извършва чрез заличаване на информация по въпроса. Същото трябва да се направи, ако субектът е оттеглил разрешението си да обработва лична информация. Например, всеки регламент относно защитата на личните данни на служителите (извадка) трябва да съдържа в съдържанието си правила относно заличаването на информация за служител, който е оттеглил разрешението си да обработва неговите лични данни.