Al colocar información sobre usted en las redes sociales, no a todos nuestros ciudadanos entienden que se puede usar para compilar su perfil. La recopilación y el procesamiento de dicha información se involucraron activamente en la Oficina Nacional de Historias de Créditos ("NBS").

El Tribunal de Arbitraje de la Ciudad de Moscú en mayo de 2017, consideró el caso No. A40-5250 / 17, en el que el Tribunal tuvo que evaluar la competencia de procesar dichos datos personales.

La esencia de la disputa

En agosto de 2016, se planificó la gestión de Roskomnadzor en el Distrito Federal Central en la Oficina Nacional de Historia de Crédito JSC ("NBKI") en términos de cumplimiento con el procesamiento de datos personales con los requisitos de la legislación.

Según los resultados de las pruebas, se elaboró \u200b\u200bun acto de verificación y se emitió un pedido para eliminar la violación identificada.

Con respecto al orden con respecto a la necesidad de incluir en la notificación de un organismo autorizado de individuos (clientes o clientes potenciales de una organización financiera) de fuentes abiertas de información transmitidas por la organización financiera recibida utilizando el servicio de doble vínculo social de datos. Resultado de encontrar un cliente o un cliente potencial, y duplicar los atributos sociales: procesar el perfil de la persona física deseada en fuentes abiertas de información (párrafo 1), así como en términos de indicación de violación de los requisitos de la ley en La forma de falta de consentimiento para el procesamiento de las fuentes abiertas (redes sociales: Vkontakte, Odnoklassnimi, Moirmir, Instragram, Twitter; Portales aéreos AVITO y AUTO.RU) Datos personales del cliente o un cliente potencial de una organización financiera , como parte de la provisión de servicios basados \u200b\u200ben el Servicio de Big Data ( esos. "Big Data") - Ilegal y violando los derechos y los intereses legítimos de la sociedad en el campo de la actividad empresarial y de otra actividad económica, este último apeló al tribunal de arbitraje.

Posición del Tribunal de Arbitraje de la Ciudad de Moscú.

Para este caso, el Tribunal señaló que el procesamiento de datos personales se permite en particular en los siguientes casos:

• El procesamiento de PD se lleva a cabo con el consentimiento de la entidad PDN para el procesamiento de sus datos personales (p. 1 parte 1);
• Se lleva a cabo el procesamiento de datos personales, el acceso de una gama ilimitada de personas a las que se proporciona el sujeto de PDN o a su solicitud (datos personales realizados por el sujeto PDN público) (párrafo 10 de la Parte 1);

Por lo tanto, hablando de datos personales realizados por la entidad PD con disponible públicamente, se necesitan dos condiciones:

• Los datos personales están disponibles para un círculo indefinido de personas;
• Informacion personal proporcionado directamente al sujeto.

Sin el consentimiento por escrito de la entidad PDN, no es posible argumentar que se les proporciona.

Según la Corte, los datos personales hechos por el sujeto de PDS accesibles públicamente solo se pueden encontrar en fuentes públicas de PDN.

El Tribunal concluyó que el tema del tema (incluidos los datos personales) contenidos en las redes sociales (en Internet) no se puede atribuir a las PDS hechas por el sujeto con públicamente disponible como las redes sociales no son una fuente de PDN PÚBLICO Con respecto a la regulación del artículo 8 de la Ley.

El Tribunal también señaló que la información realizada por sus propietarios en la red de Internet en el formato que permite el procesamiento automatizado sin cambios previos a la persona para reutilizarlo, se encuentra disponible públicamente la información publicada en forma de datos abiertos (artículo 7 de la ley federal No. 27.07.2006 №149-FZ "sobre información, tecnologías de la información y protección de la información").

Mi comentario:Bueno, aquí la corte ligeramente "barrido"; ¡Los datos abiertos son una ópera completamente diferente!

El Tribunal concluyó que los datos personales fueron procesados \u200b\u200bpor el NBKI JSC en las redes sociales no fueron hechas por el tema de PD disponible públicamente en relación con que las acciones del solicitante se ven mediante violaciones de la Parte 3 del artículo 2 y el párrafo 1 de la Parte 1 de la Federal de la Ley del 27 de julio de 2006 No. 152-FZ "sobre datos personales".

El tribunal de arbitraje rechazó la cantidad total para satisfacer la declaración de la NBKI JSC sobre la invalidación de los párrafos 1 y 4 de las recetas para la Oficina de Roskomnadzor en el Distrito Central Federal.

Posición del Noveno Corte de Arbitraje de Apelación

El noveno corte de arbitraje de apelación, julio de 2017, señaló que la Sociedad se incluyó en el Registro de Operadores involucrados en el procesamiento de datos personales, en el número 08-0031682.

Como parte de este tipo de actividad, la compañía procesa en fuentes abiertas (redes sociales: vkontakte, compañeros de clase, moirmir, instrumento, twitter; portales de Internet AVITO y AVto.RU) Datos personales de clientes, clientes potenciales de organizaciones financieras. La aceptación del cliente de dichos datos no tiene dichos datos.

La compañía cree que tiene el derecho de procesar datos personales sobre personas sin su consentimiento. Según el Tribunal, la sociedad no tiene en cuenta lo siguiente.

Según el Tribunal de Apelación, no son accesibles públicamente por la Compañía, los datos personales contenidos en fuentes abiertas (redes sociales: Vkontakte, Odnoklassniki, Moirmir, Instragram, Twitter; Portales aéreos Avito y avto.ru). En el sentido de la Ley de Datos Personales, la colocación de datos personales en estas fuentes abiertas no los hace disponible automáticamente. En consecuencia, no se permite el procesamiento de dichos datos sin el consentimiento del sujeto.

El noveno corte de arbitraje de apelación dejó sin cambios la decisión del Tribunal de Arbitraje de Moscú y la apelación, sin satisfacción.

Tribunal de Arbitraje del Distrito de Moscú En noviembre de 2017, se dejó sin cambios, la decisión del Tribunal de Arbitraje de la Ciudad de Moscú y la resolución del Noveno Tribunal de Apelación del Arbitraje, y la queja de casación sin satisfacción.

Posición de la Corte Suprema de la Federación Rusa.

El juez del Tribunal Supremo de la Federación de Rusia en enero de 2018 (Definición No. 305-kg17-21291) rechazó la Oficina Nacional de Historia de Crédito en la transferencia de una queja de casación a considerar a la Junta judicial de la Junta judicial sobre las disputas económicas de El Tribunal Supremo de la Federación de Rusia.

Mi comentario: El procesamiento de la información de las redes sociales es un método generalizado para recopilar y analizar información sobre personas y organizaciones, y la recopilación de dicha información sobre sus clientes y contrapartes ahora no está involucrada en la perezosa. La dura verdad de la vida es que el que no comprueba de esta manera sus empleados potenciales, clientes y contrapartes, de hecho, no muestran la debida diligencia comercial. Aquellos que están peinando, intentan hablar menos sobre esto, y si es posible, no para pronunciar las palabras "Datos personales".

La recopilación de información sobre los ciudadanos provocó inevitablemente al problema de la legalidad de dichas acciones, ya que cualquier información sobre los ciudadanos es su información personal.

Observo que las regulaciones que emitieron Roskomnadzor, si la recepción de dicha información permite que las organizaciones comerciales reduzcan seriamente los riesgos de pérdidas financieras, aún continuará procesando. Bueno, a excepción de algunos abogados más que se presentan con "cobertura" legal para esta actividad :)

En todo el día, los individuos proporcionan información personal en diversos casos. Los operadores de datos personales son responsables de procesar información. Estos son bancos, empleadores, organizaciones médicas, sitios de Internet y otras estructuras. De acuerdo con la ley, los operadores deben proteger la información personal. Para crear fuentes donde se contengan datos personales disponibles públicamente (PD).

¿Qué es Public PD?

Información inevitable sobre la persona que él o ella proporciona de forma independiente en el caso. Para abrir el acceso gratuito a la información, se requiere el permiso por escrito de la persona, el tema de los datos personales. El sujeto es un individuo cuyo PD recopila, almacena y procesa al operador. El operador es una persona legal o natural, una autoridad municipal o estatal.

La PD pública incluye información sobre el tema en el que se puede identificar:

• fecha y lugar de nacimiento;
• direccion de casa;
• número de teléfono;
• profesión;
• número de impuesto individual;
• lugar de trabajo o estudio y otra información.

La composición de los datos públicos puede incluir cualquier información que no sea confidencial en términos de la ley. El sujeto de PD se puede clasificar por volumen y grado de importancia de la información personal.

La información personal también se incluye para los datos disponibles públicamente.

• con empleo, concluyendo un contrato o contrato de trabajo;
• durante el censo de la población;
• al hacer relaciones contractuales durante las operaciones comerciales y otras situaciones similares.

Los datos personales del sujeto, que se aplican a través de los medios, no se relacionan con la confidencial, ya que están disponibles públicamente de acuerdo con la "Lista de información confidencial".

El consentimiento por escrito de la entidad por recibo, transmisión, procesamiento y otras acciones con PD no siempre se requiere. En algunos casos, por ejemplo, con la participación en el cuestionario o la suscripción al boletín, es suficiente poner una garrapata en el gráfico que permita el uso de PD.

Los datos de tipo total permiten la colocación en fuentes que están disponibles públicamente. Esto significa que las fuentes analizan y utilizan una gran cantidad de partes interesadas. Un ejemplo de tales directorios telefónicos.

Procesando datos públicos

Los departamentos y las unidades se dedican al procesamiento de datos disponibles públicamente, cuyas responsabilidades incluyen recolección, sistematización, almacenamiento, cambio, uso y destrucción de PD. Los individuos tienen el derecho de solicitar información sobre la declaración de datos y averiguar qué objetivo es el operador al procesar PD.

El control del cumplimiento de las leyes durante el procesamiento se confía a Roskomnadzor. FSB y FSTECS tienen cierta autoridad de auditoría y control. Los operadores crean sistemas personales de protección de datos para sus propias necesidades, por lo tanto, en relación con esto, con licencia dichas actividades.

PD se trata con organizaciones que necesitan recopilar, acumular, procesar y almacenar información sobre empleados, proveedores y clientes. En ciertos casos, tales datos se incluyen al aire libre.

Los derechos de los temas de datos públicos disponibles.

Las entidades PD pueden aplicarse según lo requerido para bloquear, destruir, aclarar o cambiar los datos públicos si la información ha perdido la relevancia, está incompleta o no es necesario para fines de procesamiento. Los sujetos también tienen derecho a solicitar el acceso a su PD y averiguar qué medios usan el operador para procesarlos.

La información debe utilizarse de acuerdo con los requisitos de la legislación y estar protegido, independientemente de si está confidencial o disponible públicamente. Las responsabilidades de los operadores incluyen garantizar la protección total del sujeto PD y limitar el acceso a las personas públicas.

El operador comienza a manejar los datos personales solo después de recibir el permiso por escrito de la entidad de procesamiento. El consentimiento incluye información sobre los datos físicos de la cara y del operador: nombre de la empresa, apellido, nombre y patrónímico del operador, posición. También en su consentimiento, es necesario especificar el propósito del procesamiento y una lista de datos con la descripción de las operaciones que se realizarán con información. El individuo tiene el derecho de retirar su PD y cancelar su consentimiento para procesar.

En caso de incapacidad o muerte del tema, consentimiento para el procesamiento y el uso de PD se solicita en herederos o representantes legales. Al mismo tiempo, es necesario ser guiado por la Ley Federal de Datos Personales.

En caso de violación de los requisitos de la legislación, los perpetradores son administrativos, criminales y otros tipos de responsabilidad. No importa si PD es confidencial o disponible públicamente, de conformidad con el artículo 8 del FZ-152 en datos personales, PDS disponibles públicamente se puede colocar en fuentes disponibles públicamente solo con el consentimiento de la entidad de datos. Los datos personales deben excluirse de las fuentes, si esto requiere un tema o organismos autorizados: Roskomnadzor, corte u otras estructuras estatales.

- Persona física que se les otorga sobre ellos mismos.

A los datos generales hay acceso gratuito en presencia de un permiso por escrito del sujeto.. Esto también puede incluir dicha información sobre el tema, que no se prevé por la ley.

El sujeto es un individuo, la información sobre la que recopila, las tiendas, los procesos y con cualquier propósito utiliza el operador (legal o individual, municipal o de autoridad estatal).

¿Qué tipo de información son?

La lista de información personal de la naturaleza disponible públicamente incluye:

Características

La información personal pública se presenta en tales fuentes como pasaporte u otra tarjeta de identidad, licencia de conducir, identificación militar, libro de trabajo, diploma de educación.

En todos los casos, existe la necesidad de un permiso por escrito para usarlos, a veces se muestran suficientes firmas o "marca de verificación" establecida en la columna deseada (por ejemplo, al completar las aplicaciones a través de Internet).

La información general se puede colocar en fuentes con acceso gratuito.. Contienen información sobre los sujetos, su número incluye una variedad de libros de referencia con números de teléfono o direcciones.

FSTEC - El servicio federal para el control técnico y de exportación emite una licencia a organizaciones que brindan servicios a otras personas para crear sistemas de protección de datos personales. El sistema de protección de datos se crea para sus necesidades, no se requiere la licencia.

Un individuo tiene derecho a obtener información sobre el operador, así como averiguar el propósito específico perseguido por el operador durante el procesamiento.

El sujeto tiene el derecho completo de presentar una solicitud, cuya aprobación le permite aclarar, bloquear o destruir información personal si están desactualizados, no válidos, incompletos o no se requieren disponibilidad cuando se procesa.

Además, una persona tiene derecho a solicitar acceso a su información personal del operador, así como familiarizarse con los medios de procesamiento de información. Los operadores son especialistas dedicados a procesar información sobre una persona..

Los organismos de procesamiento de datos personales son todas las organizaciones que recopilan, procesan, acumulan y almacenan información sobre empleados, clientes, proveedores.

Para obtener más información sobre cómo se necesita el procesamiento de datos personales, lea.

¿En qué caso se incluyen en fuentes abiertas?

La inclusión de información en las fuentes disponibles públicamente se produce en diversas situaciones, por ejemplo:

• en caso de empleo y conclusión del contrato de trabajo;
• en el proceso de censo;
• establecimiento de relaciones comerciales, etc.

Los datos personales del sujeto se clasifican por el volumen de información personal sobre el hombre y el grado de importancia. Cualquier operación con ellos se realiza estrictamente en el marco de los actos legales y están sujetos a protección.

Los operadores deben organizar la seguridad del proceso de trabajo.. Deben asegurar la información personal completa de los sujetos del acceso a las personas no autorizadas.

En el proceso de cobrar al operador está obligado a tomar un permiso por escrito para su posterior procesamiento. El procesamiento incluye información sobre el sujeto y el operador (nombre completo, dirección), el propósito del procesamiento y la lista de la información necesaria, así como la descripción de las operaciones que se realizarán con ellos.

"Persona": datos que conciernen a una persona, personalidad, organismo biológico.

¿Qué es cómo recoger dónde almacenar cómo proteger?

DactualCopic Map - ¿Es datos personales o no?

No tiene datos de identidad.

datos personales: cualquier información relacionada con una persona física particular o definida sobre la base de dicha información (tema de los datos personales), incluido su apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, familia, social, Situación de la propiedad, educación, profesión, ingresos, otra información;

La dirección es el registro en el lugar de residencia o en el lugar de estancia.

Clasificación condicional de datos personales.

1) Por grado de apertura:

datos personales disponibles públicamente: datos personales, el acceso de una gama ilimitada de personas a las que se proporciona con el consentimiento del tema de los datos personales o que de acuerdo con la ley federal no se aplica al cumplimiento de la confidencialidad.

Datos personales disponibles públicamente son los datos a los que se proporciona el consentimiento voluntario y se publican en acceso abierto.

A menudo, algunos propietarios de sitios solicitan información para registrarse que no desea proporcionar.

Información confidencial: la información se proporciona estrictamente para ciertos propósitos. A veces se puede montar sin un conocimiento facial.

Los centros de información se almacenan en el Ministerio de Asuntos Internos.

2) por accesorios

- Personal - Pertenece desde el nacimiento.

- Servicio - Durante el trabajo, Servicio - Rango fresco, etc.

3) Por el método de otorgamiento.

- Información voluntaria proporcionada

- concedido en el procedimiento general de acuerdo con la ley (por la fuerza)

- Recogido sin el consentimiento del ciudadano de acuerdo con la legislación.

4) por datos de caracteres

- biométrica (información dactiloscópica)

Los conceptos básicos utilizados al trabajar con datos personales.

- Procesamiento de datos personales.- Acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, refinamiento (actualización, cambio), uso, distribución (incluida la transmisión), depresonal, bloqueo, destrucción de datos personales;

- Distribución de datos personales. - acciones destinadas a transferir datos personales a un cierto círculo de personas (transferencia de datos personales) o familiarizarse con los datos personales de una gama de personas ilimitadas, incluida la publicación de datos personales en los medios de comunicación, alojamiento en redes de información y telecomunicaciones o proporcionando acceso a datos personales, o de otra manera;

- Usando datos personales - Las acciones (operaciones) con datos personales realizados por el operador para tomar decisiones o que cometen otras acciones que generen implicaciones legales con respecto al tema de los datos personales u otras personas, de otra manera afectan los derechos y libertades del tema de los datos personales u otras personas;

- Bloqueo de datos personales - Terminación temporal de recolección, sistematización, acumulación, uso, distribución de datos personales, incluida su transferencia;

La información publicada en Internet a menudo no puede ser bloqueada.

La mayoría de los datos personales:

- Almacenar en la computadora.

- Publicado en internet

Control de colocación duro

- Destrucción de datos personales. - acciones, como resultado de lo cual es imposible restaurar el contenido de los datos personales en el sistema de información de datos personales o como resultado de los cuales se destruyen los portadores de datos personales; - Situaciones cuando los archivos quemados.

definición de datos personales

- Agotamiento de datos personales. - acciones, como resultado de lo cual es imposible determinar la afiliación de datos personales a un tema específico de datos personales;

— sistema de información de datos personales - un sistema de información, que es un conjunto de datos personales contenidos en la base de datos, así como las tecnologías de la información y los medios técnicos para llevar a cabo el procesamiento de dichos datos personales utilizando herramientas de automatización o sin el uso de dichos fondos;

— política de privacidad- obligatorio para el cumplimiento del operador u otro acceso ganado a datos personales del requisito para evitar su difusión sin el consentimiento del tema de los datos personales o la presencia de una base legal diferente;

— transferencia transfronteriza de datos personales. - Transferencia de datos personales por parte del operador a través de la frontera estatal de la Federación de Rusia a la Autoridad de la Autoridad del Estado extranjero, la entidad física o jurídica del estado extranjero;

- Datos personales disponibles públicamente. - Datos personales, el acceso de una gama ilimitada de personas a las que se proporciona con el consentimiento del tema de los datos personales o que de acuerdo con las leyes federales no se aplica a la confidencialidad.

Procesando datos personales.

1) la legalidad de los objetivos y métodos de procesamiento de datos personales y la conciencia;

2) Cumplimiento del propósito de procesar datos personales a los objetivos, predeterminados y declarados al recopilar datos personales, así como los poderes del operador;

3) Cumplimiento del alcance y la naturaleza de los datos personales procesados, los métodos para procesar los objetivos de datos personales para procesar datos personales;

4) La precisión de los datos personales, su suficiencia con el fin de procesar, la inadmisibilidad de procesar datos personales, redundantes a los objetivos declarados al recopilar datos personales;

5) Inadmisibilidad de combinar los fines de los sistemas de información de datos personales creados para incompatibles entre ellos.

Si alguien ha llenado una vez un mapa dactiloscópico, entonces se encuentra en el centro de información en sus bases de datos. No podemos, por ejemplo, combinar las bases de datos sobre ciudadanos y caras ordinarias que cometieron un delito.

1) Con el consentimiento del propietario de datos personales.

2) Sin el consentimiento del propietario de datos personales.

Esto se refiere a personas que ocupan una cierta posición y posición: personal militar, cadáveres

Confidencialidad de datos personales:

Cuando no es necesario:

1) En caso de agotar datos personales;

2) En relación con los datos personales disponibles públicamente.

- Operador que recopila y procesa datos personales.

- Limitar el acceso dentro de su propia organización.

El operador es responsable personal de distribuir datos personales.

- Establecer restricciones de acceso tanto en interiores como en red (ancho de banda, sistema de identificación de tarjeta)

Para redes locales - Iniciar sesión + Contraseña

Puede restringir la información biométrica: huella digital, ojo de retina.

- Sobre la afiliación racial.

- Sobre puntos de vista políticos.

- Sobre creencias religiosas o filosóficas.

- sobre salud

- Sobre la vida íntima.

Su procesamiento es posible solo con el consentimiento de los sujetos.

1) La disponibilidad del consentimiento por escrito del tema en su procesamiento.

2) Si la entidad de datos personales los hizo disponible públicamente.

3) Si esta información se relaciona con la información necesaria para proteger la vida, la salud y otros intereses vitales de la persona.

Dicha información puede proporcionarse con fines médicos y profilácticos, por ejemplo, infección viral.

Característica de procesar datos personales en sistemas de información estatal o municipal para procesar datos personales.

- Preocupa solo a los funcionarios públicos y empleados municipales.

La Autoridad del Estado tiene su propio estado, existen sistemas independientes para procesar información sobre los empleados estatales o municipales.

1) instalado qué información se necesita dentro de su competencia

2) Todavía hay FZ "en el servicio civil estatal", es decir, regulado no solo por la ley de datos personales.

La información que caracteriza las características fisiológicas de una persona y sobre la base de la cual se puede establecer su identidad (datos personales biométricos), solo se pueden procesar si hay un acuerdo en la forma escrita del tema de los datos personales, excepto los siguientes casos :

1) compromiso

El tratamiento de los datos personales biométricos se puede realizar sin el consentimiento del tema de los datos personales en relación con la implementación de la justicia, así como en los casos previstos por la legislación de la Federación de Rusia sobre la seguridad, la legislación de la Federación de Rusia en Actividades de investigación operativa, la legislación de la Federación de Rusia sobre Servicio Público, la legislación ejecutiva penal de la Federación de Rusia, legislación de la Federación de Rusia sobre el procedimiento de salida de la Federación de Rusia y la entrada en la Federación de Rusia.

- La recopilación de información del sospechoso es ilegal.

Procesando la información transfronteriza.

Es posible requerir para proteger a los ciudadanos del país donde se transmite, se recolecta solo con el consentimiento por escrito del sujeto.

Los derechos del tema de los datos personales.

1) El derecho al tema de los datos personales sobre el acceso a sus datos personales.

No se puede llamar al Centro de Asuntos Internos del Ministerio (Centro de Información y Centro de Información Zonal)

2) los derechos de los datos personales al procesamiento de sus datos personales para promover bienes, obras, servicios en el mercado, así como para la agitación política.

La precisión de la información será revisada por otras personas.

3) La toma de decisiones sobre la base del procesamiento exclusivamente automatizado de datos personales. Es posible que una persona no confíe en el procesamiento automatizado. Puede requerir que las huellas de sus dedos almacenadas no solo en la computadora, sino también en papel.

- El trabajo de la Federación de Rusia es un capítulo dedicado a los datos personales.

Ley Federal de Registro Dactilocópico Estatal en la Federación Rusa del 25 de julio de 1998 N 128-FZ

Datos personales disponibles públicamente

Informacion personal - cualquier información relacionada con un cierto o definido sobre la base de dicha información lamida física , incluyendo:

Su apellido, nombre, patronímico,

Año, mes, fecha y lugar de nacimiento,

Dirección, familia, social, situación de propiedad, educación, profesión, ingresos,

— otro Información (ver FZ-152, artículo 3).

Por ejemplo: detalles de pasaporte, estados financieros, mapas médicos, año de nacimiento (para mujeres), biométricos, Otra información de identificación de carácter personal.

EN disponible públicamente Fuentes de datos personales (Libros de direcciones, listas y otros apoyo informativo) con consentimiento por escrito Los individuos pueden incluirse en su apellido, nombre, patronímico, año y lugar de nacimiento, dirección, número de suscriptor y otro Datos personales (ver FZ-152, artículo 8).

Los datos personales se refieren a la información de acceso limitado y debe ser seguro De conformidad con la legislación de la Federación de Rusia. Al formar requisitos de seguridad, los datos personales se dividen en 4 categorías.

¿Cuál es el operador y el tema de los datos personales?

Operador de datos personales - Esto suele ser una organización, o más bien la autoridad estatal o municipal, una organización legal o individual, y (o) procesamos datos personales, así como la determinación de los objetivos y el mantenimiento del procesamiento de datos personales.

Entidad de datos personales - Esto es un individuo.

El operador es responsable de proteger los datos personales del sujeto de acuerdo con la legislación vigente de la Federación de Rusia.

¿Cómo clasificar el sistema de información de datos personales?

Para atribuir tipo Sistema de información de datos personales (CDN) a una clase particular necesaria:

II. Determinar volumen Datos personales procesados \u200b\u200ben el sistema de información:

volumen 3. - En el sistema de información, los datos se procesan simultáneamente. menos de 1000 sujetos Datos personales o datos personales de entidades de datos personales dentro de una organización en particular;

volumen 2. de 1000 a 100,000 sujetos. Datos personales o datos personales de entidades de datos personales que trabajan en la industria de la Federación de Rusia, en la autoridad pública que vive dentro del municipio;

volúmen 1. - En el sistema de información, los datos personales se procesan al mismo tiempo. más de 100.000 sujetos. Datos personales o datos personales de las entidades de datos personales dentro de la entidad constituyente de la Federación de Rusia o la Federación de Rusia en su conjunto;

III. Según los resultados del análisis de los datos de origen. típico Caiden se le asigna uno de los siguientes clases (Ver tabla.):

Clase 4 (K4) - Sistemas de información para los cuales la violación de las características de seguridad especificadas de los datos personales procesados \u200b\u200ben ellos no conduce a consecuencias negativas para las entidades de datos personales;

Clase 3 (K3) - Sistemas de información para los cuales la violación de las características de seguridad especificadas de los datos personales procesados \u200b\u200ben ellos puede llevar a consecuencias menores negativas para las entidades de datos personales;

Clase 2 (K2) - Sistemas de información para los cuales la violación de las características de seguridad especificadas de los datos personales procesados \u200b\u200ben ellos puede resultar en consecuencias negativas para las entidades de datos personales;

Clase 1 (K1) - Sistemas de información para los cuales la violación de las características de seguridad especificadas de los datos personales procesados \u200b\u200ben ellos puede resultar en consecuencias negativas significativas para las entidades de datos personales.

Día del juicio retrasado hasta el 1 de enero de 2011.

Los sistemas de información de datos personales creados antes del día de entrada en vigor de la Ley Federal de la Federación Rusa No. 152 "sobre datos personales" deben alinearse con los requisitos de esta ley federal a más tardar el 1 de enero de 2010 (ver FZ- 152, artículo 25).

Esto significa que los operadores de datos personales que no cumplieron con los requisitos altamente estrictos del FZ-152, del 1 de enero de 2010 llevarán a los relevantes, administrativos, disciplinarios, y tal vez (Dios prohíben) y el criminal. una responsabilidad .

Todos los sistemas de información que se han encargado después de febrero-abril de 2008 (a partir de la fecha de distribución de documentos metodológicos de FSTEC de Rusia y el FSB de Rusia), pero no relevantes para los requisitos de la legislación rusa en el campo de los datos personales pueden sufrir el Responsabilidad especificada y anterior, por ejemplo, mañana por la mañana..

Nota. Los cambios en el Código Penal de la Federación de Rusia, sustancialmente más difícil la responsabilidad de las violaciones que afectan la privacidad, también entrarán en vigencia el 1 de enero de 2010.

Pero como sucede siempre, los operadores de datos personales no se movieron particularmente, y pocas personas lograron hacer todo lo que se requiere. El 16 de diciembre de 2009, la Duma estatal tomó las enmiendas de la tercera lectura a los artículos 19 y 25 de la ley "sobre datos personales" (152-фз). El término de aportar sistemas de información de datos personales (CDN) en línea con esta ley se pospuso al año: hasta el 1 de enero de 2011. Además, la norma elimina la norma, lo que obliga al operador al procesar datos personales para usar el cifrado (criptográfico ) Herramientas de protección de datos.

Requisitos obligatorios para la protección de los sistemas de información de datos personales.

Principales requisitos obligatorios para la organización del sistema de protección de la información, dependiendo del CD estándar de la clase:

Para la clase 4:

La lista de medidas para proteger los datos personales está determinada por el operador (dependiendo de los posibles daños)

Para la clase 3:

Declaración de conformidad o

Obtención de una licencia de FSTEC de Rusia sobre protección técnica de información confidencial (para sistemas distribuidos CP3)

Para la clase 2:

Certificación obligatoria para requisitos de seguridad de la información.

Obtención de una licencia de FSTEEC RUSIA para la protección técnica de la información confidencial para los sistemas distribuidos

Para la clase 1:

Certificación obligatoria para requisitos de seguridad de la información.

Los eventos sobre la protección de los datos personales de Pamin deben implementarse.

Recibiendo una licencia de FSTEC de Rusia para la protección técnica de la información confidencial.

Procedimiento para la protección del sistema de información de datos personales.

Secuencia de acciones al realizar los requisitos de la legislación de procesamiento de datos personales:

1) Notificación al organismo autorizado para proteger los derechos de los datos personales de los datos personales sobre su intención de procesar datos personales utilizando herramientas de automatización;

2) el examen previo al proyecto del sistema de información: recopilar datos de origen;

3) Clasificación del sistema de procesamiento de datos personales;

4) la construcción de un modelo privado de amenazas para determinar su relevancia para el sistema de información;

5) el desarrollo de una tarea técnica privada en el sistema de protección de datos personal;

6) Diseño de un sistema de protección de datos personal;

Responsabilidad por violaciones del procesamiento de datos personales.

Personas culpables de violar los requisitos de la Ley Federal 152-FZ "sobre datos personales", Carry:

- criminal (ver Código Penal de la Federación Rusa, Artículo 137, 140, 155, 183, 272, 273, 274, 292, 293)

Administrativo (consulte el Código de la Federación de Rusia sobre delitos administrativos, art. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinario (ver Código de Trabajo de la Federación de Rusia, Artículo 81; Artículo 90; Artículo 195; Artículo 237; Artículo 391)

y otra responsabilidad prevista por la legislación de la Federación de Rusia (ver actos hechos en vigilancia sobre el trabajo con datos personales, que se publican en los temas de la Federación, Departamentos y Organizaciones de Rusia).

FSTEC - Servicio federal para control técnico y de exportación.

Pamin - Radiación electromagnética lateral y punta.

Protección de la información personal.

En diciembre de 2014, la Duma estatal en la tercera lectura adoptó un proyecto de ley sobre el almacenamiento de datos personales de los ciudadanos tratados en Internet, en servidores en Rusia. Según un miembro del Comité sobre Informar a Polithika Roman Chuychenko, el objetivo principal del proyecto de ley es fortalecer la seguridad de la información del país y sus ciudadanos. Tal medida se adoptó en relación con la complicación de la situación internacional. Este proyecto de ley entrará en vigor el 1 de septiembre de 2015.

La entrada en vigor de la nueva disposición sobre la protección de los datos personales implica proporcionar a los operadores de datos personales:

• detección oportuna de acceso no autorizado a PDN;
• evitar el impacto en los medios técnicos que realizan el procesamiento automático de PD;
• las posibilidades de respuesta operativa al hecho del acceso no autorizado y la recuperación inmediata de PDN en casos de su destrucción o cambio;
• seguimiento continuo del nivel de seguridad de los datos personales.

Datos personales Categorías

El manejo de CDN también se puede realizar mediante el parámetro "Alcance de los datos personales procesados", que implica el número de sujetos procesados \u200b\u200ben el sistema de información, y puede tomar los siguientes valores:

• tratamiento simultáneo de más de 100 mil entidades PD (realizadas tanto dentro del tema de la Federación de Rusia como en la Federación de Rusia en su conjunto);
• el tratamiento simultáneo de PDS de 1 a 100 mil sujetos (realizados en el estado del Estado, trabajando en el campo de la economía de la Federación de Rusia);
• el tratamiento simultáneo de PDS es inferior a 1 mil sujetos (realizados dentro de una organización en particular).

La división en categorías permite no solo determinar la clase de MDL, sino también establecer un conjunto de medidas de seguridad y proteger los datos personales en Internet, al procesar en infosistemas.

Empleado de datos personales

El derecho a proteger sus datos personales tiene todos los trabajadores (párrafo 9 del art. 86 del Código de Trabajo de la Federación de Rusia).

De acuerdo con el arte. 89 Código de trabajo de la Federación de Rusia, cada empleado puede ser implementado por las siguientes acciones:

• acceso gratuito gratuito a sus datos personales, incluida la recepción de una copia de cualquier registro, en el que figuran los PDN del empleado;
• definir un representante personal para proteger sus datos personales;
• obteniendo información completa sobre PDN y su procesamiento;
• establecer los requisitos para la exclusión o la corrección de datos personales que contienen información incorrecta o si se procesaron en violación de los requisitos de la legislación;
• apelación en el Tribunal de Acciones Ilegales del Empleador, así como su inacción durante el procesamiento y protección de PDN.

La composición de los datos personales del empleado.

Basado en el párrafo 2 del artículo 86 del Código Laboral de la Federación de Rusia, el volumen y el mantenimiento de datos personales del empleado están determinados por el empleador de conformidad con la Constitución de la Federación de Rusia, el Código del Trabajo y otras leyes federales. Como regla general, las actividades de cualquier organización implica el uso del empleador en el flujo de documentos Dos tipos principales de documentos:

1. Documentos que proporcionan un empleado al finalizar un contrato de trabajo (artículo 65 del Código de Trabajo de la Federación de Rusia). Esta categoría incluye documentos que contienen la imagen fotográfica del empleado, el nombre, la información sobre el lugar y la fecha de nacimiento, la ciudadanía, el estado civil, lugar de registro, educación, especialidad (pasaporte, seguro de seguro de seguro de pensiones, identificación militar, etc. ).
2. Documentos que están formados por el empleador de forma independiente (documentación de contabilidad primaria para la contabilidad laboral y el pago). Esta categoría incluye pedidos u órdenes para la admisión de un empleado, terminación del contrato de trabajo, la promoción de un empleado, una tarjeta personal, documentos salariales.

Protección de datos personales, responsabilidad por violación de la legislación.

Cabe señalar que algunas sanciones por la violación de los compuestos individuales de los delitos se aplican tanto en individuos como a funcionarios como en legal.

De conformidad con el artículo 150 del Código Civil de la Federación de Rusia, la privacidad, los secretos personales y familiares se aplican a la cantidad de derechos intangibles inalienables bajo la protección de las leyes existentes.

Cabe señalar que los derechos y obligaciones del empleado que están directamente relacionados con los PDN de otros empleados están determinados por los términos del contrato de trabajo y la composición de los actos regulatorios locales que establecen las funciones de empleo del empleado y la lista de Sus deberes oficiales.

Responsabilidad administrativa Porque la violación del procedimiento para recopilar, almacenar y distribuir datos personales conlleva una advertencia o penalización en la cantidad: de 300 a 500 rublos, para individuos; De 500 a 1000 rublos, funcionarios, de 5 a 10 mil rublos, para entidades legales (artículo 13.11 del Código Administrativo de la Federación de Rusia). La responsabilidad administrativa de la difusión de la información protegida por la ley, en el desempeño de los deberes oficiales y profesionales, conlleva una sanción en la cantidad: de 500 a 1000 rublos para individuos, de 4 a 5 mil rublos, para funcionarios (art. 13.14 de la CODECHA DE LA FEDERACIÓN RUSA).

Una violación de la privacidad, en particular los datos personales, una persona al usar su posición oficial proporciona un castigo en forma de:

• bien en la cantidad de 100 a 300 mil rublos, salarios u otros ingresos del delincuente durante 1-2 años;
• privación del derecho a ocupar ciertas posiciones por un período de 2 a 5 años;
• arresto por un período de 4 a 6 meses.

Comentario sobre la ley federal del 27 de julio de 2006. N 152-FZ "En Datos personales" Petrov Mikhail Igorevich

Artículo 8. Fuentes públicas de datos personales.

Fuentes públicas de datos personales.

Comentario sobre el artículo 8

1. En el sentido de la ley comentada, las fuentes de datos personales son indexables, el acceso a las cuales no está limitado y no requiere el consentimiento previo de las entidades de datos personales. Las fuentes de datos personales disponibles públicamente pueden ser utilizadas por cualquier persona a su discreción sujeta a las restricciones establecidas por las leyes federales con respecto a la difusión de dicha información.

Crear fuentes de datos personales disponibles públicamente se debe a la necesidad de soporte de información. El análisis de la legislación actual hace que sea necesario señalar que la cantidad de fuentes de datos personales disponibles públicamente es actualmente: libros de referencia, libros específicos, enciclopedias, documentos acumulados en fondos abiertos de bibliotecas y archivos, sistemas de información de las autoridades estatales, gobiernos locales, Asociaciones públicas, organizaciones, organizaciones, organizaciones que representan interés público o necesarios para la realización de los derechos, libertades y deberes de los ciudadanos. Al mismo tiempo, la ciencia y la práctica modernas aún no han logrado desarrollar criterios efectivos, con los cuales sería posible distinguir claramente entre los segmentos de información públicamente disponibles y confidenciales.

La creación de fuentes de datos personales disponibles públicamente, que está sujeta a la inclusión del nombre, nombre, patronímico, año y lugar de nacimiento, dirección, número de suscriptor, información sobre la profesión y otros datos personales proporcionados por el tema de los datos personales. Se llevan a cabo con el consentimiento obligatorio de este último. Además, la entidad de datos personales tiene derecho a la demanda de individuos que distribuyen dicha información, se indiquen como una fuente de dicha información.

El uso de datos personales de fuentes públicas implica, a su vez, la eliminación de la capacidad de recuperar las ganancias.

En el caso de procesar datos personales disponibles públicamente, la obligación de pruebas de que los datos personales procesados \u200b\u200bestán disponibles públicamente para el operador.

2. Para proteger los derechos y los intereses legítimos de la entidad de datos personales, el legislador prevé la posibilidad de recordar datos personales utilizados en las fuentes disponibles públicamente. Su excepción se puede realizar tanto a solicitud del tema de los datos personales como por la Decisión del Tribunal o un organismo estatal especialmente autorizado.

Artículo 74-1. Procesamiento de datos personales con violación de la legislación sobre la protección de los datos personales (1) incumplimiento de los requisitos para garantizar la seguridad de los datos personales cuando el procesamiento en sistemas de información de datos personales implica la imposición de una multa

Artículo 85. El concepto de datos personales del empleado. Procesamiento de los datos personales de los datos personales de los empleados del empleado: la información necesaria para el empleador en relación con las relaciones laborales y relacionadas con un empleado en particular. Problema los datos personales del empleado

Artículo 88. Transferencia de datos personales del empleado Al transferir datos personales al empleado, el empleador debe cumplir con los siguientes requisitos: no para informar los datos personales del empleado a un tercero sin el consentimiento por escrito del empleado, excepto en los casos.

Artículo 5. Principios de procesamiento de datos personales Comentarios sobre el artículo 51. El artículo comentado del legislador establece los principios fundamentales para trabajar con datos personales, la recopilación y el procesamiento de los cuales se lleva a cabo sobre motivos legales. Último

Artículo 6. Condiciones para el procesamiento de datos personales Comentarios sobre el artículo 61. El cumplimiento de los principios de procesamiento de datos personales presentados por el artículo anterior no es la única condición de garantizar la protección de los derechos y los intereses legítimos de los ciudadanos cuyo

Artículo 7. Privacidad de los datos personales Comentarios sobre el artículo 71. Asegurar la confidencialidad de los datos personales en el proceso de su procesamiento junto con los principios establecidos de trabajar con ellos y recibir el consentimiento para el procesamiento es un requisito previo,

Artículo 9. Consentimiento del tema de los datos personales sobre el procesamiento de sus datos de datos personales sobre el artículo 91. El artículo comentado determina el procedimiento, las condiciones y los motivos para obtener el consentimiento del tema de los datos personales sobre su procesamiento. El legislador enfatiza que

Artículo 10. Categorías de datos personales especiales Comentarios sobre el artículo 101. El artículo comentado asigna categorías especiales de datos personales y establece una prohibición general sobre su procesamiento. La categoría especial de datos personales incluye información reveladora.

Artículo 12. Transmisión transfronteriza de los datos personales Comentarios sobre el artículo 121. El proyecto de ley determina los principios de la transferencia transfronteriza de datos personales. Estos principios están armonizados con los principales actos legales internacionales en el campo de los datos personales que

Artículo 15. Los derechos de las entidades de datos personales en el procesamiento de sus datos personales para promover bienes, obras, servicios en el mercado, así como para los fines de los comentarios de campaña política sobre el artículo 151. El artículo comentó sobre sus apelaciones de contenido. A las disposiciones del artículo.150 GK.

Artículo 16. Derechos de las entidades de datos personales al tomar decisiones sobre la base del procesamiento exclusivamente automatizado de sus comentarios de datos personales sobre el Artículo 161. El artículo comentado determina los derechos de los temas de datos personales en relación con la adopción.

Artículo 20. Deberes del operador al aplicar o al recibir una solicitud de la materia de los datos personales o su representante legal, así como un organismo autorizado para proteger los derechos de los temas de los datos personales de los comentarios sobre el artículo 201. Normas del artículo comentado en

Artículo 21. Deberes del operador para eliminar las violaciones de la legislación realizada en el procesamiento de datos personales, así como para aclarar, bloquear y destruir los comentarios de datos personales sobre el Artículo 211. Las disposiciones del artículo comentó determinan el procedimiento.

Artículo 22. Notificación del procesamiento de los datos personales Comentario sobre el Artículo 221. El procedimiento para la notificación del procesamiento de datos personales en el sentido de la ley comentada es una de las garantías de respeto por los derechos y los intereses legítimos de las entidades de datos personales en