Contacts
le principal

Les sources de données personnelles sont liées à des sources accessibles au public. La loi sur les données personnelles, le concept, le stockage et le traitement des données à caractère personnel des travailleurs et des citoyens. Dans ce cas, ils sont inclus dans des sources ouvertes

En plaçant des informations sur vous sur vous-même sur les réseaux sociaux, tous nos citoyens ne comprennent pas qu'il peut être utilisé pour compiler leur profil. La collecte et le traitement de telles informations ont été activement impliqués dans le Bureau national des histoires de crédit («NBS»).

Le tribunal d'arbitrage de la ville de Moscou en mai 2017 a examiné le cas n ° A40-5250 / 17, dans lequel la Cour a dû évaluer la compétence du traitement de ces données personnelles.

L'essence du différend

En août 2016, la gestion de Roskomnadzor dans le district fédéral central a été prévue au Bureau national de l'historique de crédit JSC («NBCI») en termes de conformité au traitement des données à caractère personnel avec les exigences de la législation.

Selon les résultats des tests, un acte de vérification a été établi et une ordonnance a été émise pour éliminer la violation identifiée.

Concernant l'ordonnance concernant la nécessité d'inclure dans l'avis d'un organe autorisé des individus (clients ou clients potentiels d'une organisation financière) de sources ouvertes d'informations transmises par l'organisation financière reçue à l'aide du service de lien social Double Données - Web Link, Résultat de la recherche d'un client ou d'un client potentiel et des attributs sociaux à double données - traiter le profil de la personne physique souhaitée dans des sources d'informations ouvertes (paragraphe 1), ainsi que en termes d'indication de violation des exigences de la loi dans La forme d'un manque de consentement au traitement de sources ouvertes (réseaux sociaux: Vkontakte, Odnoklassnimi, Moirmir, Instragram, Twitter; Portails aériens AVITO et AUTO.RU) Données personnelles du client ou un client potentiel d'une organisation financière , dans le cadre de la fourniture de services basés sur le grand service de données ( ceux. "Big Data") - Illégal et violer les droits et les intérêts légitimes de la société dans le domaine de l'activité économique et d'une autre activité économique, ce dernier a fait appel à la cour d'arbitrage.

Position de la cour d'arbitrage de la ville de Moscou

Dans ce cas, la Cour a noté que le traitement des données à caractère personnel est autorisé en particulier dans les cas suivants:

  • Le traitement PD est effectué avec le consentement de l'entité PDN pour le traitement de ses données personnelles (p. 1 partie 1);
  • Le traitement des données à caractère personnel est effectué, l'accès d'un éventail illimité de personnes auquel le sujet des PDN est fourni ou à sa demande (données à caractère personnel effectuées par le sujet PDN public) (paragraphe 10 de la partie 1);
Ainsi, parlant de données personnelles fabriquées par l'entité PD avec des conditions publiques, deux conditions sont nécessaires:
  • Les données personnelles sont disponibles pour un cercle indéfini de personnes;
  • Renseignements personnels fourni directement au sujet.
Sans le consentement écrit de l'entité PDN, il n'est pas possible de faire valoir qu'ils leur sont fournis.

Selon la Cour, les données personnelles apportées par le sujet des PDS accessible au public ne peuvent être trouvées que dans les sources publiques de PDN.

La Cour a conclu que le sujet du sujet (y compris les données personnelles) contenus sur des réseaux sociaux (sur Internet) ne peut être attribué aux PDS effectués par le sujet avec le public officiel à la suite de les réseaux sociaux ne sont pas une source de PDN publique En ce qui concerne la réglementation de l'article 8 de la loi.

La Cour a également noté que les informations posées par ses propriétaires sur le réseau Internet dans le format permettant le traitement automatisé sans modification préalable à la personne afin de pouvoir réutiliser des informations publiquement disponibles sous forme de données ouvertes (article 7 de la loi fédérale N ° 27.07.2006 №149-FZ "sur l'information, les technologies de l'information et la protection de l'information").

Mon commentaire:Eh bien, voici légèrement la cour légèrement "balayée"; Ouvrir des données est un opéra complètement différent!

La Cour a conclu que les données à caractère personnel ont été traitées par la NBCI JSC dans les réseaux sociaux n'ayant pas été effectuée par le sujet de la PD publiquement disponible dans le cadre de laquelle les actions de la requérante sont perçues par des violations de la partie 3 de l'article 2 et 1 de la partie 1 de la partie 1. du gouvernement fédéral de la loi du 27 juillet 2006 n ° 152-FZ "sur les données personnelles".

Le tribunal d'arbitrage a refusé le montant total pour satisfaire à la déclaration de la NBCI JSC sur l'invalidation des paragraphes 1 et 4 des prescriptions pour le Bureau de Roskomnadzor sur le District fédéral central.

Position de la neuvième cour d'appel d'arbitrage

La neuvième cour d'appel d'arbitrage juillet 2017 a noté que la Société était incluse dans le registre des opérateurs engagés dans le traitement des données à caractère personnel, au numéro 08-0031682.

Dans le cadre de ce type d'activité, la société traite dans des sources ouvertes (réseaux sociaux: Vkontakte, camarades de classe, Moirmir, Instragram, Twitter; Portails Internet AVITO et AVTO.RU) Données personnelles des clients, clients potentiels d'organisations financières. L'acceptation de la clientèle de ces données n'a pas de données de ce type.

La société estime qu'il a le droit de traiter des données personnelles sur des personnes sans leur consentement. Selon la Cour, ce qui suit n'est pas pris en compte par la société.

Selon la Cour d'appel, ne sont pas accessibles au public par la Société, les données personnelles contenues dans des sources ouvertes (réseaux sociaux: Vkontakte, Odnoklassniki, Moirmir, Instragram, Twitter; Portails aériens AVITO et AVTO.RU). Au sens de la loi sur les données personnelles, le placement de données à caractère personnel dans ces sources ouvertes ne les rend pas automatiquement accessibles au public. Par conséquent, le traitement de telles données sans le consentement du sujet n'est pas autorisé.

La neuvième cour d'appel d'arbitrage a laissé la décision de la Cour d'arbitrage de Moscou et de l'appel - sans satisfaction.

Cour d'arbitrage du district de Moscou En novembre 2017, il a laissé inchangé, la décision de la Cour d'arbitrage de la ville de Moscou et de la résolution de la neuvième cour d'appel d'arbitrage et la plainte de cassation sans satisfaction.

Position de la Cour suprême de la Fédération de Russie

Le juge de la Cour suprême de la Fédération de Russie de Janvier 2018 (Définition n ° 305-kg17-21291) a refusé le Bureau national des antécédents de crédit dans le transfert d'une plainte de cassation visant à examiner le conseil judiciaire du Conseil de la magistrature sur les différends économiques de la Cour suprême de la Fédération de Russie.

Mon commentaire: Le traitement des informations des réseaux sociaux est une méthode généralisée de collecte et d'analyse d'informations sur les personnes et les organisations, et la collecte de telles informations sur leurs clients et leurs contreparties n'est désormais pas engagée dans le paresseux. La dure vérité de la vie est que celle qui ne vérifie pas de cette manière que ses employés potentiels, ses clients et ses contreparties ne montrent en fait pas de diligence d'activité. Ceux qui sont coiffés, essaient de parler moins de cela, et si possible, de ne pas prononcer les mots "Données personnelles".

La collecte d'informations sur les citoyens conduit inévitablement au problème de la légalité de telles actions, car toute information sur les citoyens est leur donnée personnelle.

Je note que, quel que soit le règlement Roskomnadzor publié, si la réception de ces informations permet aux organisations commerciales de réduire sérieusement les risques de pertes financières, il continuera toujours à traiter. Eh bien, à l'exception de certains plus d'avocats qui proposent une "couverture" légale pour cette activité :)

Par toute la journée, les individus fournissent des informations personnelles dans diverses instances. Les opérateurs de données personnelles sont responsables des informations de traitement. Ce sont des banques, des employeurs, des organisations médicales, des sites Internet et d'autres structures. Conformément à la loi, les opérateurs sont tenus de protéger les informations personnelles. Pour créer des sources où des données personnelles disponibles au public (PD) sont contenues.

Qu'est-ce que le PD public?

Informations inévitables sur la personne qui lui fournit de manière autonome. Pour ouvrir un accès gratuit à l'information, la permission écrite de la personne est requise - l'objet de données personnelles. Le sujet est un individu dont le PD recueille, stocke et traite l'opérateur. L'opérateur est une personne légale ou naturelle, une autorité municipale ou de l'État.

Le PD public comprend des informations sur le sujet sur lesquelles il peut être identifié:

  • date et lieu de naissance;
  • adresse du domicile;
  • numéro de téléphone;
  • profession;
  • numéro d'impôt individuel;
  • lieu de travail ou d'étude et autres informations.

La composition des données publiques peut inclure toute information qui n'est pas confidentielle en termes de droit. Le sujet PD peut être classé par volume et degré d'importance des informations personnelles.

Les informations personnelles sont également incluses aux données disponibles publiquement.

  • avec l'emploi, conclure un contrat ou un contrat de travail;
  • pendant le recensement de la population;
  • lors de la création de relations contractuelles pendant les opérations commerciales et d'autres situations similaires.

Les données personnelles du sujet, qui s'appliquent à travers les médias, ne sont pas liées à la confidentialité, car elles sont accessibles au public conformément à la "liste des informations confidentielles".

Le consentement écrit de l'entité pour la réception, la transmission, le traitement et d'autres actions avec PD n'est pas toujours requis. Dans certains cas, par exemple, avec la participation au questionnaire ou à l'abonnement à la newsletter, il suffit de mettre une coche dans le graphique qui permet l'utilisation de PD.

Les données de type total permettent de placer dans des sources accessibles au public. Cela signifie que les sources examinent et utilisent un grand nombre de parties intéressées. Un exemple de tels répertoires de téléphone.

Traitement des données publiques

Les ministères et les unités sont engagés dans le traitement des données accessibles au public, dont les responsabilités comprennent la collecte, la systématisation, le stockage, le changement, l'utilisation et la destruction de PD. Les personnes ont le droit de demander des informations sur la déclaration de données et de déterminer quel objectif est l'opérateur lors du traitement de la PD.

Le contrôle du respect des lois lors du traitement est chargé de Roskomnadzor. Les FSB et les FSTecs ont certaines autorités de vérification et de contrôle. Les opérateurs créent des systèmes de protection des données personnelles pour leurs propres besoins. Par conséquent, dans le respect de la licence de ces activités.

PD est traité avec des organisations qui doivent collecter, accumuler, traiter et stocker des informations sur les employés, les fournisseurs et les clients. Dans certains cas, ces données sont incluses dans l'open.

Les droits des sujets de données accessibles au public

Les entités PD peuvent s'appliquer au besoin pour bloquer, détruire, clarifier ou modifier les données publiques si les informations ont perdu la pertinence, sont incomplètes ou non requises à des fins de traitement. Les sujets ont également raison de demander l'accès à leur PD et de déterminer quels moyens utilise l'opérateur pour les traiter.

Les informations doivent être utilisées conformément aux exigences de la législation et être protégées indépendamment de la disponibilité ou du public. Les responsabilités des opérateurs incluent la protection complète du sujet PD et limiter l'accès aux personnes publiques.

L'opérateur commence à gérer des données personnelles uniquement après avoir reçu l'autorisation écrite de l'entité de traitement. Le consentement inclut des informations sur les données de la face physique et de l'opérateur: Nom de la société, Nom de famille, Nom et Patronyme de l'opérateur, position. Également en consentement, il est nécessaire de spécifier le but du traitement et une liste de données avec la description des opérations qui seront effectuées avec des informations. L'individu a le droit de retirer son PD et d'annuler votre consentement au traitement.

En cas d'incapacité ou de décès de la matière, le consentement au traitement et l'utilisation de PD est demandée dans les héritiers ou les représentants légaux. Dans le même temps, il est nécessaire d'être guidé par la loi fédérale sur les données personnelles.

En cas de violation des exigences de la législation, les auteurs sont des types de responsabilité administratifs, pénaux et autres. Peu importe que PD soit confidentiel ou accessible au public, conformément à l'article 8 du FZ-152 sur des données à caractère personnel, les PD disponibles au public ne peuvent être placés dans des sources disponibles publiquement avec le consentement de l'entité de données. Les données personnelles doivent être exclues des sources, si cela nécessite une matière ou des organismes autorisés: Roskomnadzor, tribunal ou autres structures d'État.

- une personne physique qui leur est accordée sur eux-mêmes.

Aux données générales, il y a un accès gratuit en présence d'une autorisation écrite du sujet. Cela peut également inclure de telles informations sur le sujet, qui ne sont pas prévues par la loi.

Le sujet est un individu, des informations sur lesquelles collecte, magasins, processus et à tout moment utilise l'opérateur (autorité juridique ou individuelle, municipale ou d'État).

Quels types d'informations sont-ils?

La liste des informations personnelles de la nature accessible au public comprend:

Caractéristiques

Les informations personnelles publiques sont présentées dans de telles sources qu'un passeport ou une autre carte d'identité, permis de conduire, ID militaire, classeur, diplôme d'éducation.

Pas dans tous les cas, une autorisation écrite est nécessaire de les utiliser, parfois assez de signatures ou de «cocher» définies dans la colonne souhaitée (par exemple, lors de la remplacement des applications via Internet).

Les informations générales peuvent être placées dans des sources avec accès gratuit.. Ils contiennent des informations sur les sujets, leur numéro comprend une variété de livres de référence avec des numéros de téléphone ou des adresses.

FSTEC - Service fédéral de contrôle technique et d'exportation Problèmes de licence aux organisations fournissant des services à d'autres personnes pour créer des systèmes de protection des données à caractère personnel. Le système de protection des données est créé pour ses besoins, la licence n'est pas requise..

Un individu a le droit d'obtenir des informations sur l'opérateur, ainsi que de déterminer l'objectif spécifique poursuivi par l'opérateur pendant le traitement.

Le sujet a le droit de soumettre une demande, dont l'approbation vous permet de clarifier, de bloquer ou de détruire des informations personnelles si elles sont obsolètes, non valides, incomplètes ou disponibles ne sont pas nécessaires lors du traitement.

En outre, une personne a le droit de demander l'accès à ses informations personnelles de l'opérateur, ainsi que de se familiariser avec les moyens d'information de traitement. Les opérateurs sont des spécialistes engagés dans le traitement des informations sur une personne..

Les organismes de traitement des données personnelles sont toutes des organisations qui collectent, traitent, accumulent et stockent des informations sur les employés, les clients, les fournisseurs.

Pour plus d'informations sur la manière dont le traitement des données personnelles est nécessaire, lisez.

Dans ce cas, ils sont-ils inclus dans des sources ouvertes?

L'inclusion d'informations sur des sources accessibles au public se produit dans diverses situations, par exemple:

  • en cas d'emploi et de conclusion du contrat de travail;
  • dans le processus de recensement;
  • établissement de relations commerciales, etc.

Les données personnelles du sujet sont classées par le volume d'informations personnelles sur l'homme et le degré d'importance. Toutes les opérations avec eux sont strictement faites dans le cadre des actes juridiques et sont soumis à une protection.

Les opérateurs sont tenus d'organiser la sécurité du processus de travail. Ils doivent garantir des informations personnelles complètes sur des sujets d'accès à des personnes non autorisées.

Dans le processus de collecte de l'opérateur, il est obligé de prendre une autorisation écrite pour un traitement ultérieur. Le traitement comprend des informations sur le sujet et l'opérateur (nom complet, adresse), objectif du traitement et de la liste des informations nécessaires, ainsi que la description des opérations à effectuer avec elles.

"Personne" - données qui concernent une personne, une personnalité, un organisme biologique.

Qu'est-ce que la façon de collecter où stocker comment protéger?

Carte dactualcopique - est-ce des données personnelles ou non?

Il n'a pas de données d'identité.

données personnelles - Toutes les informations relatives à une personne physique particulière ou définie sur la base de ces informations (sujet de données personnelles), y compris son nom de famille, son nom, son patronymique, une année, un mois, une date et lieu de naissance, adresse, famille, sociale, situation immobilière, éducation, profession, revenu, autres informations;

L'adresse est enregistrée au lieu de résidence ou au lieu de séjour.

Classification conditionnelle des données personnelles.

1) Par degré d'ouverture:

données personnelles disponibles publiquement - Données personnelles, l'accès d'un éventail illimité de personnes auxquels est fourni avec le consentement du sujet des données à caractère personnel ou qui, conformément à la loi fédérale, ne s'applique pas à la conformité de la confidentialité.

Les données personnelles disponibles au public sont les données auxquelles le consentement volontaire est donné et sont affichés en accès libre.

Souvent, certains propriétaires de site demandent des informations à enregistrer que vous ne souhaitez pas fournir.

Informations confidentielles - Les informations sont fournies strictement à certaines fins. Parfois, il peut être assemblé sans connaissances faciales.

Les centres d'information sont stockés au ministère des Affaires intérieures

2) par accessoires

- Personal - appartiennent de la naissance

- Service - pendant le travail, le service - Rank Cool, etc.

3) par la méthode d'octroi

- Informations volontaires fournies

- accordé en procédure générale conformément à la loi (de force)

- collecté sans le consentement du citoyen conformément à la législation

4) Par les données de caractères

- biométrique (informations dactyloscopiques)

Les concepts de base utilisés lors de la collaboration avec des données personnelles.

- Traitement des données personnelles- actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, le raffinement (mise à jour, le changement), l'utilisation, la distribution (y compris la transmission), la dépersonnelle, le blocage, la destruction des données à caractère personnel;

- Répartition des données personnelles - actions visant à transférer des données personnelles à un certain cercle de personnes (transfert de données à caractère personnel) ou à se familiariser avec les données personnelles d'un éventail illimité de personnes, y compris la publication de données à caractère personnel dans les médias, l'hébergement dans les réseaux d'information et de télécommunication ou en fournissant accès aux données personnelles - ou d'autre part;

- Utiliser des données personnelles - actions (opérations) avec des données à caractère personnel effectuées par l'opérateur afin de prendre des décisions ou de commettre d'autres actions générant des implications juridiques sur le sujet des données à caractère personnel ou d'autres personnes ayant une incidence sur les droits et libertés du sujet des données à caractère personnel ou d'autres personnes;

- Blocage de données personnelles - terminaison temporaire de la collecte, de la systématisation, de l'accumulation, de l'utilisation, de la distribution de données à caractère personnel, y compris de leur transfert;

Les informations publiées sur Internet ne peuvent souvent pas être bloquées.

La plupart des données personnelles:

- Conserver sur l'ordinateur

- Publié sur Internet

Placement du contrôle dur

- Destruction de données personnelles - des actions, à la suite desquelles il est impossible de restaurer le contenu des données à caractère personnel dans le système d'information des données à caractère personnel ou à la suite de laquelle des transporteurs de documents de données à caractère personnel sont détruits; - situations lorsque les archives ont brûlé

définition des données personnelles

- épuisement des données personnelles - des actions, à la suite desquelles il est impossible de déterminer l'affiliation de données à caractère personnel à un sujet spécifique de données à caractère personnel;

système d'information sur les données personnelles - un système d'information, qui est un ensemble de données personnelles contenues dans la base de données, ainsi que des technologies de l'information et des moyens techniques pour effectuer le traitement de ces données à caractère personnel à l'aide d'outils d'automatisation ou sans l'utilisation de ces fonds;

politique de confidentialité- obligatoire pour le respect de l'opérateur ou d'un autre accès à une donnée à caractère personnel de l'obligation de prévenir leur diffusion sans le consentement de l'objet de données à caractère personnel ni de la présence d'une base juridique différente;

transfert transfrontalier de données personnelles - transfert de données à caractère personnel par l'opérateur par le biais de la frontière d'État de la Fédération de Russie à l'autorité de l'État étranger, de l'entité physique ou juridique de l'État étranger;

- Données personnelles accessibles au public - Données personnelles, l'accès d'un éventail illimité de personnes auxquels est fourni avec le consentement de l'objet de données à caractère personnel ou qui, conformément aux lois fédérales, ne s'applique pas à la confidentialité.

Traiter des données personnelles.

1) la légalité des objectifs et des méthodes de traitement de données personnelles et de conscience;

2) la conformité de l'objectif de traitement des données personnelles aux objectifs, prédéterminées et déclarées lors de la collecte de données personnelles, ainsi que des pouvoirs de l'opérateur;

3) se conformer à la portée et à la nature des données personnelles traitées, les méthodes de traitement des objectifs de données à caractère personnel pour le traitement des données à caractère personnel;

4) l'exactitude des données à caractère personnel, leur suffisance à des fins de traitement, de l'inadmissibilité de la transformation des données personnelles, redondantes aux objectifs déclarés lors de la collecte de données personnelles;

5) IMPRÉMISSIBILITÉ DE LA COMBINATION DES UTILISATION DES SYSTÈMES D'INFORMATION DE DONNÉES PERSONNELLES Créé pour incompatible entre eux.

Si une personne a une fois remplie une carte dactyloscopique, elle est dans le centre d'information dans leurs bases de données. Nous ne pouvons pas, par exemple, combiner les bases de données sur les citoyens ordinaires et les visages qui ont commis un crime.

1) Avec le consentement du propriétaire des données personnelles

2) Sans le consentement du propriétaire des données personnelles.

Cela fait référence aux personnes occupant une certaine position et une certaine position: le personnel militaire, les cadavres

Confidentialité des données personnelles:

Lorsqu'il n'est pas requis:

1) En cas d'appauvrissement des données personnelles;

2) En ce qui concerne les données personnelles disponibles publiquement.

- Opérateur qui recueille et traite des données personnelles.

- Limiter l'accès au sein de votre propre organisation

L'opérateur est responsable de la distribution de données personnelles.

- Établir des restrictions d'accès à l'intérieur et au réseau (bande passante, système d'identification de carte)

Pour les réseaux locaux - Connexion + mot de passe

Vous pouvez limiter les informations biométriques: empreinte digitale, œil de rétine.

- À propos de l'affiliation raciale

- À propos des vues politiques

- À propos des croyances religieuses ou philosophiques

- À propos de la santé

- À propos de la vie intime

Leur traitement n'est possible qu'avec le consentement des sujets.

1) la disponibilité d'un consentement écrit du sujet sur leur traitement

2) Si l'entité de données personnelle les a rendues publiquement disponibles

3) Si ces informations concernent les informations nécessaires pour protéger la vie, la santé et d'autres intérêts vitaux de la personne

Ces informations peuvent être fournies à des fins médicales et prophylactiques - par exemple, infection virale.

Caractéristique du traitement des données personnelles dans des systèmes d'information de l'état ou des municipalités pour le traitement des données personnelles.

- Ne concerne que les fonctionnaires et les employés municipaux.

L'autorité de l'État a son propre statut, il existe des systèmes indépendants pour traiter des informations sur les employés de l'État ou des municipalités.

1) installé quelles informations sont nécessaires dans sa compétence

2) Il reste encore FZ "sur la fonction publique de l'État", c'est-à-dire réglé non seulement par la loi sur les données personnelles.

Informations qui caractérisent les caractéristiques physiologiques d'une personne et sur la base de laquelle son identité peut être établie (données à caractère personnel biométrique) ne peut être traitée que s'il existe un accord sur la forme écrite du sujet des données à caractère personnel, à l'exception des cas suivants :

1) engagement

Le traitement des données à caractère personnel biométrique peut être effectué sans le consentement du sujet des données à caractère personnel liés à la mise en œuvre de la justice, ainsi que dans les cas prévus par la législation de la Fédération de Russie sur la sécurité, la législation de la Fédération de Russie sur Activités d'enquête opérationnelles, la législation de la Fédération de Russie sur la fonction publique, la législation de la Fédération de Russie, la législation de la Fédération de Russie sur la procédure de départ de la Fédération de Russie et de l'entrée dans la Fédération de Russie.

- La collecte d'informations du suspect est illégale

Traitement des informations transfrontalières.

Il est possible d'exiger afin de protéger les citoyens du pays où est transmis, n'est collecté qu'avec le consentement écrit du sujet.

Les droits du sujet des données personnelles.

1) Le droit au sujet des données personnelles sur l'accès à ses données personnelles

Impossible d'appeler le Ministère du Centre des affaires internes (centre d'information en chef et centre d'information zonal)

2) les droits des données à caractère personnel au traitement de leurs données personnelles afin de promouvoir des biens, des travaux, des services sur le marché, ainsi que pour l'agitation politique

L'exactitude des informations sera vérifiée par d'autres personnes.

3) prise de décision sur la base d'un traitement exclusivement automatisé de données à caractère personnel. Une personne peut ne pas faire confiance au traitement automatisé. Vous pouvez exiger que les traces de vos doigts stockés non seulement dans l'ordinateur, mais également sur papier.

- La main-d'œuvre de la Fédération de Russie est un chapitre dédié aux données personnelles.

Droit fédéral sur l'enregistrement dactylocopique de l'État dans la Fédération de Russie du 25 juillet 1998 N 128-FZ

Données personnelles disponibles publiquement

Renseignements personnels - Toute information relative à une certaine ou définie sur la base de ces informations lécher physique , comprenant:

Son nom de famille, nom, patronymique,

Année, mois, date et lieu de naissance,

Adresse, famille, sociale, situation immobilière, éducation, profession, revenu,

autre Informations (voir FZ-152, article 3).

Par exemple: Détails du passeport, états financiers, cartes médicales, année de naissance (pour les femmes), biométrie, autres informations d'identification du caractère personnel.

DANS disponible publiquement Sources de données personnelles (livres d'adresses, listes et autres services d'information) avec consentement écrit Les personnes peuvent être incluses dans son nom de famille, nom, patronymique, année et lieu de naissance, adresse, numéro d'abonné et autre Données personnelles (voir FZ-152, article 8).

Les données personnelles font référence à des informations d'accès limitées et doivent être sécurise Conformément à la législation de la Fédération de Russie. Lors de la formation des exigences de sécurité, les données personnelles sont divisées en 4 catégories.

Quel est l'opérateur et le sujet des données personnelles?

Opérateur de données personnelles - Il s'agit généralement d'une organisation, ou plutôt de l'État ou de l'autorité municipale, d'une organisation légale ou individuelle et (ou) de traitement des données à caractère personnel, ainsi que de déterminer les objectifs et la maintenance du traitement des données à caractère personnel.

Entité de données personnelles - C'est un individu.

L'opérateur est responsable de la protection des données personnelles du sujet conformément à la législation en vigueur de la Fédération de Russie.

Comment classer le système d'information de données personnelles?

Afin d'attribuer taper Système d'information de données personnelles (CDN) à une classe particulière nécessaire:

II. Déterminer le volume Données personnelles traitées dans le système d'information:

volume 3. - Dans le système d'information, les données sont traitées simultanément. moins de 1000 sujets données personnelles ou données personnelles des entités de données personnelles au sein d'une organisation donnée;

2ieme volume. de 1000 à 100 000 matières données personnelles ou données personnelles des entités de données personnelles travaillant dans l'industrie de la Fédération de Russie, dans l'autorité publique vivant dans la municipalité;

volume 1. - Dans le système d'information, les données personnelles sont traitées en même temps. plus de 100 000 matières données personnelles ou données personnelles des entités de données personnelles au sein de l'entité constitutive de la Fédération de Russie ou de la Fédération de Russie dans son ensemble;

III. Selon les résultats de l'analyse des données source typique Caiden est affecté à l'un des éléments suivants des classes (Voir le tableau.):

Classe 4 (K4) - Systèmes d'information pour lesquels la violation des caractéristiques de sécurité spécifiées des données à caractère personnel traitées ne conduit pas à des conséquences négatives pour les entités de données à caractère personnel;

Classe 3 (K3) - Systèmes d'information pour lesquels la violation des caractéristiques de sécurité spécifiées des données à caractère personnel traitées peut entraîner des conséquences négatives mineures pour les entités de données à caractère personnel;

Classe 2 (K2) - Systèmes d'information pour lesquels la violation des caractéristiques de sécurité spécifiées des données à caractère personnel traitées peut entraîner des conséquences négatives pour les entités de données à caractère personnel;

Classe 1 (K1) - Systèmes d'information pour lesquels la violation des caractéristiques de sécurité spécifiées des données à caractère personnel traitées peut entraîner des conséquences négatives importantes pour les entités de données à caractère personnel.

Journal Jour Daily jusqu'au 1er janvier 2011

Systèmes d'information des données à caractère personnel créés avant la date d'entrée en vigueur de la loi fédérale de la Fédération de Russie n ° 152 "sur les données personnelles" devrait être alignée sur les exigences de la présente loi fédérale au plus tard le 1er janvier 2010 (voir FZ- 152, article 25).

Cela signifie que les opérateurs de données personnels qui n'ont pas rempli les exigences très strictes du FZ-152, à compter du 1er janvier 2010 porteront la disciplinaire de la Civil, administrative, disciplinaire et peut-être (que Dieu interdit) et le criminel une responsabilité .

Tous les systèmes d'information qui ont été commandés après février-avril 2008 (à compter de la date de répartition des documents méthodologiques de la FSTEC de la Russie et de la FSB de la Russie), mais non pertinentes pour les exigences de la législation russe dans le domaine des données à caractère personnel peuvent souffrir de la Responsabilité déterminée et plus tôt, par exemple demain matin..

Noter. Changements dans le Code criminel de la Fédération de Russie, la responsabilité substantiellement plus difficile des violations affectant la vie privée, prendra également effet le 1 er janvier 2010.

Mais comme cela se produit toujours, les opérateurs de données personnelles ne bougeaient pas particulièrement et peu de personnes ont réussi à faire tout ce qui est requis. Le 16 décembre 2009, l'État Douma a pris la troisième lecture des amendements aux articles 19 et 25 de la loi "sur les données personnelles" (152-фЗ). La durée d'apporter des systèmes d'information de données à caractère personnel (CDN) conformément à cette loi a été reportée à l'année - jusqu'au 1er janvier 2011. En outre, la norme élimine la norme, obligeant l'opérateur lors du traitement des données personnelles à utiliser le cryptage (cryptographique) ) Outils de protection des données.

Exigences obligatoires pour la protection des systèmes d'information sur les données à caractère personnel

Principales exigences obligatoires pour l'organisation du système de protection de l'information, en fonction du CD standard de classe:

Pour Dot Class 4:

La liste des mesures visant à protéger les données personnelles est déterminée par l'opérateur (en fonction des dommages possibles)

Pour Dot Class 3:

Déclaration de conformité ou alors

Obtention d'une licence de FSTEC de Russie sur la protection technique des informations confidentielles (pour les systèmes distribués CP3)

Pour Dot Class 2:

Certification obligatoire pour les exigences de sécurité de l'information

Obtention d'une licence de FSTec Russie pour une protection technique des informations confidentielles pour les systèmes distribués

Pour Dot Class 1:

Certification obligatoire pour les exigences de sécurité de l'information

Les événements sur la protection des données à caractère personnel de Pamin doivent être mis en œuvre

Recevoir une licence de FSTEC de Russie pour une protection technique des informations confidentielles

Procédure de protection du système d'information des données à caractère personnel

Séquence d'actions lors de l'exécution des exigences de la législation de traitement des données à caractère personnel:

1) notification à l'organisme autorisé de protéger les droits des données à caractère personnel des données à caractère personnel sur son intention de traiter les données à caractère personnel à l'aide d'outils d'automatisation;

2) l'examen préalable du projet du système d'information - collecte des données de source;

3) Classification du système de traitement des données personnelles;

4) construction d'un modèle privé de menaces afin de déterminer leur pertinence pour le système d'information;

5) le développement d'une tâche technique privée sur le système de protection des données personnelles;

6) conception d'un système de protection des données personnelles;

Responsabilité des violations du traitement des données à caractère personnel

Les personnes coupables de violation des exigences de la loi fédérale 152-FZ "sur les données personnelles", portent:

- criminel (voir Code criminel de la Fédération de Russie, article 137, 140, 155, 183, 272, 273, 274, 292, 293)

Administratif (voir le code de la Fédération de Russie sur les infractions administratives, art. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinaire (voir Code du travail de la Fédération de Russie, article 81; article 90; article 195; article 237; article 391)

et une autre responsabilité prévue par la législation de la Fédération de Russie (voir Actes de surveillance sur le travail avec des données à caractère personnel, publiés dans les sujets de la Fédération, des ministères et des Organisations de Russie).

Fstec - Service fédéral pour le contrôle technique et à l'exportation.

Pamin - rayonnement électromagnétique latérale et pointe

Protection des informations personnelles

En décembre 2014, la Douma d'État de la troisième lecture a adopté un projet de loi sur le stockage de données à caractère personnel des citoyens traités sur Internet, sur des serveurs en Russie. Selon un membre du Comité sur Informer Polithika Roman Chuychenko, l'objectif principal du projet de loi est de renforcer la sécurité de l'information du pays et de ses citoyens. Une telle mesure a été adoptée dans le cadre de la complication de la situation internationale. Ce projet de loi entrera en vigueur le 1er septembre 2015.

L'entrée en vigueur de la nouvelle disposition sur la protection des données à caractère personnel consiste à fournir aux opérateurs de données personnelles:

  • détection opportune de l'accès non autorisé aux PDNS;
  • empêcher l'impact sur les moyens techniques effectuant une transformation de la PD automatisée;
  • les possibilités de réponse opérationnelle au fait de l'accès non autorisé et de la récupération immédiate du PDN en cas de destruction ou de changement;
  • surveillance continue du niveau de sécurité des données à caractère personnel.

Catégories de données personnelles

La manipulation CDN peut également être effectuée par le paramètre "Portée des données personnelles traitées", qui implique le nombre de sujets traités dans le système d'information et peut prendre les valeurs suivantes:

  • traitement simultané de plus de 100 000 entités PD (effectuées à la fois dans le cadre de la Fédération de Russie et de la Fédération de Russie dans son ensemble);
  • le traitement simultané des PDS de 1 à 100 000 sujets (réalisés dans l'état de l'État, travaillant dans le domaine de l'économie de la Fédération de Russie);
  • le traitement simultané des PDS est inférieur à 1 000 sujets (effectués dans une organisation particulière).

La division en catégories permet non seulement de déterminer la classe CDM, mais également d'établir un ensemble de mesures de sécurité et de protéger les données personnelles sur Internet, lors du traitement des infosystèmes.

Employé de données personnelles

Le droit de protéger leurs données personnelles a tous les travailleurs (paragraphe 9 de l'art. 86 du Code du travail de la Fédération de Russie).

Conformément à l'art. 89 Code du travail de la Fédération de Russie, chaque employé peut être mis en œuvre par les actions suivantes:

  • accès gratuit gratuit à ses données personnelles, y compris la réception d'une copie de tout enregistrement, dans laquelle les PDN de l'employé sont contenus;
  • définir un représentant personnel pour protéger ses données personnelles;
  • obtenir des informations complètes sur les PDN et leur traitement;
  • définir les exigences d'exclusion ou de correction des données à caractère personnel contenant des informations incorrectes ou si elles ont été traitées en violation des exigences de la législation;
  • appel à la Cour des actions illégales de l'employeur, ainsi que son inaction lors du traitement et de la protection des PDN.

La composition des données personnelles de l'employé

Sur la base du paragraphe 2 de l'article 86 du Code du travail de la Fédération de Russie, le volume et la maintenance des données à caractère personnel de l'employé est déterminé par l'employeur conformément à la Constitution de la Fédération de Russie, du Code du travail et des autres lois fédérales. En règle générale, les activités de toute organisation impliquent l'utilisation de l'employeur dans Document Flow Deux types principaux de documents:

  1. Documents fournis par un employé à la conclusion d'un contrat de travail (article 65 du Code du travail de la Fédération de Russie). Cette catégorie comprend des documents contenant l'image photo de l'employé, le nom, des informations sur la place et la date de naissance, la citoyenneté, l'état matrimonial, le lieu d'enregistrement, l'éducation, la spécialité (passeport, certificat d'assurance d'assurance d'État, ID militaire, etc. ).
  2. Documents formés par l'employeur indépendamment (documentation comptable principale pour la comptabilité de travail et le paiement). Cette catégorie comprend des commandes ou des commandes pour l'admission d'un employé, la résiliation du contrat de travail, la promotion d'un employé, une carte personnelle, des documents de salaire.

Protection des données à caractère personnel, responsabilité de violation de la législation

Il convient de noter que certaines sanctions pour violation des composés individuels d'infractions sont appliquées à la fois sur des individus et des responsables et sur le droit.

Conformément à l'article 150 du Code civil de la Fédération de Russie, la vie privée, les secrets personnels et familiaux sont appliqués au nombre de droits intangibles inaliénables en vertu de la protection des lois existantes.

Il convient de noter que les droits et obligations de l'employé qui sont directement liés aux PDN d'autres employés sont déterminés par les conditions du contrat de travail et la composition des actes de réglementation locaux qui établissent les fonctions d'emploi de l'employé et de la liste des ses fonctions officielles.

Responsabilité administrative Pour violation de la procédure de collecte, de stockage et de distribution de données à caractère personnel implique un avertissement ou une pénalité du montant: de 300 à 500 roubles - pour les individus; De 500 à 1000 roubles - fonctionnaires, de 5 à 10 000 roubles - pour des entités juridiques (article 13.11 du Code administratif de la Fédération de Russie). Responsabilité administrative de la diffusion des informations protégées par la loi, dans la performance des tâches officielles et professionnelles, implique une pénalité du montant: de 500 à 1000 roubles pour les individus, de 4 à 5 000 roubles - pour les fonctionnaires (art. 13.14 de la Codecha de la Fédération de Russie).

Une violation de la vie privée, en particulier des données personnelles, une personne lors de l'utilisation de sa position officielle prévoit une punition sous la forme de:

  • amende dans la quantité de 100 à 300 mille roubles, salaires ou autres revenus du délinquant pendant 1-2 ans;
  • privation du droit d'occuper certaines positions pour une période de 2 à 5 ans;
  • arrestation pour une période de 4 à 6 mois.
Commentaire sur la loi fédérale du 27 juillet 2006 N 152-FZ "sur les données personnelles" Petrov Mikhail Igorevich

Article 8. Sources publiques de données personnelles

Sources publiques de données personnelles

Commentaire sur l'article 8

1. Dans le sens de la loi commentée, les sources de données à caractère personnel sont inadaptées, accès auxquelles ne sont pas limités et ne nécessitent pas le consentement préalable des entités de données personnelles. Les sources de données personnelles disponibles au public peuvent être utilisées par toute personne à leur discrétion sous réserve des restrictions établies par des lois fédérales concernant la diffusion de ces informations.

La création de sources de données à caractère personnel disponibles publiquement est due à la nécessité d'un support d'information. L'analyse de la législation en vigueur oblige à noter que le nombre de sources de données personnelles accessibles au public est actuellement: des livres de référence, des livres ciblés, des encyclopédies, des documents accumulés dans des fonds ouverts de bibliothèques et d'archives, systèmes d'information des autorités de l'État, des gouvernements locaux, Associations publiques, organisations, organisations, organisations représentant l'intérêt public ou nécessaire à la réalisation des droits, libertés et devoirs des citoyens. Dans le même temps, la science et la pratique modernes n'ont pas encore réussi à développer des critères efficaces, avec lesquels il serait possible de distinguer clairement des segments d'information disponibles sur le marché public et confidentiel.

La création de sources de données personnelles disponibles publiquement, sujettes à l'inclusion du nom, du nom, du patronymique, de l'année et du lieu de naissance, de l'adresse, du numéro d'abonné, des informations sur la profession et d'autres données personnelles fournies par le sujet des données personnelles sont effectués avec le consentement obligatoire de ce dernier. En outre, l'entité de données personnelles a le droit de demander des personnes qui distribuent de telles informations, indiquent une source de ces informations.

L'utilisation de données à caractère personnel provenant de sources publiques implique, à son tour, l'élimination de la capacité à extraire des bénéfices.

Dans le cas de la transformation des données personnelles disponibles au public, l'obligation de prouver que les données personnelles traitées sont accessibles au public à l'opérateur.

2. Afin de protéger les droits et les intérêts légitimes de l'entité de données personnelles, le législateur prévoit la possibilité de rappeler des données personnelles utilisées dans des sources accessibles au public. Leur exception peut être effectuée à la demande des données à caractère personnel et de la décision de la Cour ou d'un organe d'État spécialement autorisé.

Article 74-1. Traitement des données à caractère personnel avec violation de la législation sur la protection des données à caractère personnel (1) Non-respect des exigences relatives à la sécurité des données à caractère personnel lors du traitement des systèmes d'information des données à caractère personnel impliquant l'imposition d'une amende

Article 85. Le concept de données à caractère personnel de l'employé. Traitement des données personnelles des données personnelles des employés de l'employé - Les informations nécessaires à l'employeur dans le cadre des relations de travail et de la relation avec un employé particulier. Problème Les données personnelles de l'employé

Article 88. Transfert de données à caractère personnel de l'employé lors du transfert de données personnelles à l'employé, l'employeur doit respecter les exigences suivantes: ne pas informer les données personnelles de l'employé à une tierce partie sans le consentement écrit de l'employé, sauf dans les cas.

Article 5. Principes de traitement des données à caractère personnel Commentaires sur l'article 51. L'article commenté par le législateur établit les principes fondamentaux en matière de travail avec des données à caractère personnel, de la collecte et de la transformation desquelles est réalisée sur des motifs juridiques. Durer

Article 6. Conditions de traitement des données à caractère personnel Commentaires sur l'article 61. Le respect des principes de traitement des données à caractère personnel présenté par l'article précédent n'est pas la seule condition de garantir la protection des droits et des intérêts légitimes des citoyens dont

Article 7. Confidentialité des données à caractère personnel Commentaires sur l'article 71. Assurer la confidentialité des données à caractère personnel dans le processus de traitement avec les principes établis de travailler avec eux et de recevoir le consentement à la transformation est une condition préalable,

Article 9. Consentement du sujet des données à caractère personnel sur le traitement de ses données à caractère personnel sur l'article 91. L'article commenté détermine la procédure, les conditions et les motifs d'obtenir le consentement du sujet des données à caractère personnel sur leur traitement. Le législateur souligne que

Article 10. Spécial Catégories de données personnelles Commentaires sur l'article 101. L'article commenté attribue des catégories spéciales de données à caractère personnel et établit une interdiction générale de leur traitement. La catégorie spéciale de données personnelles comprend des informations qui décrivent

Article 12. Transmission transfrontière de données à caractère personnel Commentaires sur l'article 121. Le projet de loi détermine les principes du transfert transfrontalier de données à caractère personnel. Ces principes sont harmonisés avec les principaux actes juridiques internationaux dans le domaine des données à caractère personnel

Article 15. Les droits des entités de données à caractère personnel dans le traitement de leurs données personnelles afin de promouvoir des biens, des travaux, des services sur le marché, ainsi que des fins des commentaires de campagne politiques sur l'article 151. L'article commenté sur ses appels de contenu aux dispositions de l'article.150 gk

Article 16. Droits des entités de données à caractère personnel Lors de la prise de décisions sur la base d'un traitement exclusivement automatisé de leurs données à caractère personnel sur l'article 161. L'article commenté détermine les droits des sujets de données à caractère personnel par rapport à l'adoption

Article 20. Fonctions de l'opérateur Lors de l'application ou à la réception d'une demande d'une demande de données personnelles ou de son représentant légal, ainsi qu'un organisme autorisé de protéger les droits des sujets de données à caractère personnel des commentaires sur l'article 201. Normes de l'article commenté dans

Article 21. Fonctions de l'opérateur d'éliminer les violations de la législation effectuées dans le traitement des données à caractère personnel, ainsi que de clarifier, de bloquer et de détruire les commentaires des données à caractère personnel sur l'article 211. Les dispositions de l'article commenté déterminent la procédure

Article 22. Notification du traitement des données de données à caractère personnel sur l'article 221. La procédure de notification du traitement des données à caractère personnel au sens du droit commenté est l'une des garanties du respect des droits et des intérêts légitimes des entités de données personnelles dans



Avez-vous aimé l'article? Partagez-le
Articles recommandés sur le sujet
Programme Privazer pour le nettoyage de l'ordinateur au profit de la performance et afin de remarquer des pistes d'activitéProgramme Privazer pour le nettoyage de l'ordinateur au profit de la performance et afin de remarquer des pistes d'activité
Comment changer Adobe Reader en russe comment mettre en russe dans Adobe ReaderComment changer Adobe Reader en russe comment mettre en russe dans Adobe Reader
Tir vidéo professionnel sur smartphoneTir vidéo professionnel sur smartphone
Les visiteurs discutent actuellement
Pilotes de Kies Samsung gratuits en Russe pour ordinateur avec OS Microsoft WindowsPilotes de Kies Samsung gratuits en Russe pour ordinateur avec OS Microsoft Windows Bluetooth
Comment créer une chaîne sur YouTube et faire de l'argent - étape par étapeComment créer une chaîne sur YouTube et faire de l'argent - étape par étape D-link
Comment supprimer complètement le navigateur YandexComment supprimer complètement le navigateur Yandex Problèmes
Mise à jour gratuite Anti-Virus 360 Total Security Ne mettez pas de vulnérabilitésMise à jour gratuite Anti-Virus 360 Total Security Ne mettez pas de vulnérabilités Android