Noe som viste seg å være det viktigste både i regnskap og ved vurdering av lånesøknader mv.

Men hva det er og hvem som fortsatt har rett til å behandle slik informasjon og hvem som ikke gjør det nevnes sjelden, selv med motvilje.

Som et resultat er det noen ganger vanskelig å forstå hvem som er behandlingsansvarlig for personopplysninger.

– dette er informasjon om en person som karakteriserer ham som et spesifikt individ, er ikke generalisert, og kan ikke brukes på en gruppe mennesker. I de fleste tilfeller er det snakk om etternavn, fornavn, patronym, fødselsdato, adresse hvor personen er folkeregistrert og bor, sivilstand mv.

Konseptet med personopplysninger ble introdusert i virksomhetens sirkulasjon etter innføringen av "On Personal Data" i 2006. Der ble det innført en inndeling av informasjon i en rekke kategorier, som gjør det mulig å bestemme nivåer for behandlingsoppløsning for ulike situasjoner.

1. Informasjon om rase og nasjonalitet, religiøs tro, helsestatus og detaljer om en borgers intime liv.
2. Informasjon som i tillegg til å identifisere en borger, også lar deg få ulike opplysninger om vedkommende, for eksempel telefonnummer, bosted mv.
3. Informasjon som gjør at én person skiller seg ut fra andre – etternavn, fornavn og full fødselsdato.
4. Offentlig informasjon er som regel anonymisert, men noen ganger også informasjon som er lovpålagt å være offentlig, for eksempel inntekter til myndighetspersoner. En egen kategori inkluderer de dataene som innbyggeren selv har gitt samtykke til, for eksempel adresse og telefonnummer i 09 helpdesk.

Generelt er loven "om personopplysninger" utformet for å sikre enhver borgers rett til privatliv og beskyttelse i tilfelle brudd. Basert på klassifiseringen ovenfor, stilles det ulike krav for å sikre informasjonssikkerhet. For den første kategorien er kravene strengere enn for alle andre.

Hvem er operatør for personopplysninger

Personopplysningsoperatør er en juridisk enhet som i kraft av sin virksomhet behandler informasjon om nåværende og potensielle kunder og ansatte. Størrelsen på organisasjonen spiller ingen rolle i det hele tatt, ei heller formen på dens eierskap.

I praksis er en operatør enhver organisasjon som ansetter innleid arbeidskraft. Tross alt er ansettelse umulig uten å fylle ut et søknadsskjema med en ganske detaljert liste over informasjon om deg selv, samt sende inn personlige dokumenter, og det lages kopier av dem alle, informasjonen legges inn i regnskapsprogrammer, etc.

Hovedkravet i lovgivningen til den russiske føderasjonen for operatører er å sikre sikkerheten til dataene som organisasjonen mottok i løpet av sin virksomhet.

Standardene som er sikret etter, er fastsatt i nevnte lov, de kan også spesifiseres av forskrifter fra de såkalte regulatorene

Det er en viss prosedyre som regulerer tilfeller når en organisasjon får rett til å arbeide med personopplysninger uten varsel til:

• hvis selskapet kun behandler informasjonen som er nødvendig for arbeidsforhold;
• når offentlig tilgjengelige data behandles;
• hvis bare etternavn, fornavn, patronym blir behandlet;
• når de brukes én gang, for eksempel til å utstede et pass;
• dersom datateknologi ikke brukes til behandling.

Alle andre organisasjoner er pålagt å registrere seg, som et resultat av at de får et unikt registreringsnummer som de blir registrert under.

Den kan alltid avklare om en bestemt juridisk enhet har rett til å be om eller lagre personopplysninger.

Slike spørsmål dukker for eksempel ofte opp i forhold til kredittinstitusjoner, mobiloperatører mv.

Derfor er det vanlig å kalle «persondatabehandlingsoperatører» organisasjoner som på grunn av sin profesjonelle virksomhet samler inn og behandler ikke bare offentlig tilgjengelig informasjon, men også som serier, passnummer, bostedsadresse osv.

Oppnå rett til å behandle personopplysninger

For å sikre sikkerheten for lagring og overføring av personopplysninger, er det gitt en prosedyre for sertifisering og innhenting av lisens for organisasjoner som er involvert i innsamling og lagring av slik informasjon.

For å få en lisens må en bedrift ikke bare trene ansatte, men også kjøpe teknisk verneutstyr.

Prosedyren består av flere stadier, hvorav de viktigste kan identifiseres.

• varsle relevante myndigheter om intensjonen om å behandle data ved bruk av midler (datamaskiner);
• gjennomgå en foreløpig undersøkelse av eksisterende informasjonssystemer;
• utforme et beskyttelsessystem som tar hensyn til infrastrukturen til datautstyr og annet automasjonsutstyr;
• anskaffe og implementere verneutstyr;
• bringe alle lokaler i samsvar med brannsikkerhet, sikkerhet, strømforsyningskrav osv.
• gjennomføre avansert opplæring av ansatte innen personvern og deres sertifisering.

Som et resultat er det mulig å garantere tilstedeværelsen av et fungerende system for å beskytte informasjon når den overføres gjennom kommunikasjonslinjer.

Det er verdt å merke seg at alle handlingene beskrevet ovenfor kun kan brukes til behandling av personopplysninger i elektronisk form, som er potensielt usikker for lagret eller overført informasjon.

Kontrollere aktivitetene til personopplysningsoperatører

Arbeidet til alle personopplysningsoperatører er ikke bare regulert av lovverk, men er også gjenstand for regelmessige inspeksjoner, både planlagte og tilfeldige, for eksempel på forespørsel fra borgere som er berørt av deres aktiviteter.

Mange tilsyns- og rettshåndhevelsesbyråer bør være involvert i å overvåke overholdelse av loven om beskyttelse av personopplysninger, men på grunn av spesifikasjonene til arbeidet skiller bare tre av dem seg ut (de kalles regulatorer):

• Roskomnadzor - funksjonene inkluderer å verifisere overholdelse av eventuelle regulatoriske krav i loven, samt å utføre inspeksjoner;
• FSTEC (Federal Service for Technical and Export Control) - dens oppgaver inkluderer først og fremst beskyttelse av data som ligger på datamaskinene til selve organisasjonen, så vel som deres overføringskanaler, når de lagres og overføres uten kryptering;
• FSB (Federal Security Service) - kontrollerer bruken av krypteringsmidler for behandling og overføring av personopplysninger, inkludert utvikling og distribusjon av disse.

Du kan selv sjekke holdningen til en bestemt organisasjon til operatører av personlig informasjon.

Nettstedet Roskomnadzor har tilgang til registeret over operatører som behandler personopplysninger, det er tilgjengelig på denne lenken.

For å se informasjonen, skriv inn navnet eller registreringsnummeret til foretaket av interesse, eller dets skattebetalers identifikasjonsnummer (TIN), i det aktuelle feltet.

På denne måten kan du finne ut om opplysningene ble forespurt på lovlig vis eller ikke. Hvis organisasjonen ikke står på listen, så bør kanskje Roskomnadzor ta seg av dette og enten ta det inn i registeret eller forby ulovlig innsamling av opplysninger om borgere.

Verifikasjon av personopplysningsoperatører utføres enten på forespørsel fra innbyggere, eller på initiativ, for eksempel fra påtalemyndigheten, som kan kontakte Roskomnadzor som en del av en revisjon av organisasjonens aktiviteter.

Det gis ansvar for brudd i behandlingen av innbyggernes opplysninger. Avhengig av alvorlighetsgraden av handlingene som er begått, kan det være administrativ, disiplinær eller strafferettslig straff.

Generelt, før du gir tillatelse til å behandle personopplysninger i en kreditt eller annen organisasjon som ber om en slik rettighet, er det bedre å først sørge for at den er registrert som operatør, og derfor har alt for sikker lagring.

Dette kan spesielt gjelde små bedrifter, for eksempel de som gir smålån.

Selvfølgelig, uten å gi et slikt samtykke, nekter slike organisasjoner vanligvis tjenester, men det er ingenting galt med det, fordi Konkurransen er ganske høy, og du kan alltid finne et annet passende alternativ.

Fra 1. juli 2017 har ansvaret for brudd på personopplysningslovgivningen blitt strengere. Hvilke personopplysninger har forvaltningsorganisasjoner å forholde seg til, hva skal de gjøre dersom eierne ikke samtykker til behandling av personopplysninger?

Vi snakket om dette med Dmitry Yuryevich Artyukhin, leder av den føderale tjenesten for tilsyn med kommunikasjon, informasjonsteknologi og massekommunikasjon i republikken Karelia.

Om behandling av personopplysninger

Dmitry Yuryevich, fortell oss hva personopplysninger er og er de tilgjengelige i bolig- og kommunale tjenester?

Personopplysninger er all informasjon som en spesifikk person kan identifiseres på grunnlag av.

Behandling av personopplysninger er enhver handling, automatisert eller ikke-automatisert, som utføres med personopplysninger. Dette er innsamling, registrering, systematisering, akkumulering, lagring og klargjøring av data.

Vi inkluderer etternavn, fornavn, patronym, fødselsdato og fødselssted for en person, og detaljer om et identitetsdokument som personopplysninger. Og mye annen informasjon, på grunnlag av hvilken du direkte eller indirekte kan identifisere en bestemt person.

Det bør huskes at hvis det er umulig å identifisere en spesifikk person uten å innhente tilleggsinformasjon, så er ikke slik informasjon personopplysninger.

For eksempel publiseres lister over debitorer i media. De inneholder etternavn og initialer. Personen kan ikke identifiseres basert på denne informasjonen. Det er en helt annen sak om forvaltningsorganisasjonen plasserer disse listene ved inngangen til huset der en person bor.

Selvfølgelig er MKDs ledelsesaktiviteter knyttet til behandling av personopplysninger. Hver form for ledelse: ledelsesorganisasjon, HOA eller til og med direkte ledelse involverer innsamling og behandling av personopplysninger.

Forvaltningsorganisasjoner inngår avtaler med eiere av lokaler for forvaltning av leilighetsbygg, der personopplysninger må angis. I tillegg har forvaltningsselskaper, som juridiske personer, juridiske forhold til sine ansatte, som er regulert av arbeidslovgivningen. Derfor er forvaltningsorganisasjoner operatører av behandling av personopplysninger.

Om operatøren for behandling av personopplysninger

Hvem er operatør for personopplysninger?

En personopplysningsoperatør er i henhold til loven et statlig organ, kommunalt organ, juridisk person eller enkeltperson som alene eller sammen med andre personer behandler personopplysninger. En slik person bestemmer formålene med PD-behandlingen og deres sammensetning.

Enhver juridisk enhet, inkludert forvaltningsenheter, huseierforeninger og samvirkeforetak, blir automatisk en operatør av personopplysninger.

Hvem skal MA varsle at den er operatør av personopplysninger?

Det er ikke nødvendig å varsle Roskomnadzor dersom operatøren mottar personopplysninger i henhold til en avtale med gjenstand for personopplysninger, forutsatt at PD ikke distribueres eller overføres til tredjeparter.

Samme regel gjelder dersom personopplysningene gjelder medlemmer av en offentlig forening eller religiøs organisasjon, er offentlig tilgjengelig og består av etternavn, fornavn og patronym. Den fullstendige listen kan leses i del 2 av artikkel 22 N 152-FZ.

Beslutningen om å sende en melding til det autoriserte organet tas av personopplysningsoperatøren. Enten operatøren sender eller ikke sender en melding, forblir han operatøren av personopplysninger.

Vi minner regelmessig juridiske personer om behovet for å sende oss varsler (artikkel 22 N 152-FZ). Dersom en juridisk enhet ikke inngår i registeret over personopplysningsaktører, fritar dette ikke fra kontroll- og tilsynstiltak.

Snarere, tvert imot, de juridiske enhetene som, fra vårt synspunkt, kan være operatører av personopplysninger, behandler personopplysninger og ikke er inkludert i listen som utelukker behovet for å sende en melding, men som ikke sendte en melding, vil mest sannsynlig inngå i befaringsplanen.

Kravene for melding til Roskomnadzor er oppført i del 3 av artikkel 22 N 152-FZ.

Om samtykke til behandling av personopplysninger

Når trenger du å innhente samtykke for å behandle personopplysninger?

Personopplysningsoperatøren må forstå at behandling av personopplysninger kun kan utføres med samtykke fra personopplysningsobjektet eller dersom det er andre rettslige grunner. Samtidig skal det bemerkes at hvert enkelt tilfelle er individuelt.

Hvem er ansvarlig for personopplysninger hvis forvaltningsselskapet, som behandler personopplysningene til eierne, overfører dem i henhold til en kontrakt til en tredjepart?

Hvis forvaltningsorganisasjonen planlegger å overlate behandlingen av personopplysninger til tredjeparter, må den ha samtykke fra personopplysningsobjektet. Dersom det ikke foreligger et slikt samtykke, vil operatøren bli holdt ansvarlig. Det er ikke nødvendig å innhente samtykke hvis dette er fastsatt av føderale lover.

En person som behandler personopplysninger på vegne av en operatør er ikke pålagt å innhente samtykke fra personopplysningsobjektet for å behandle personopplysningene hans. Forvaltningsorganisasjonen er ansvarlig i denne situasjonen.

Hva skal forvaltningsorganisasjonen gjøre hvis eieren ikke samtykker til behandling av personopplysninger?

Det er ingen måte å tvinge eieren du trenger for å prøve å overbevise, fortelle hvilke konsekvenser som kan oppstå for emnet i tilfelle avslag på å gi samtykke. Men i alle fall er behandling av personopplysninger uten samtykke i fravær av andre juridiske grunnlag for behandling av personopplysninger ikke tillatt.

Bevisbyrden for samtykke til PD-behandling ligger hos personopplysningsoperatøren.

Om ansvar for brudd på lover om personopplysninger

Hvilke bøter finnes og hvem utsteder dem?

Inntil 1. juli 2017 ble administrativt ansvar etablert for brudd på den etablerte prosedyren for innsamling, lagring, bruk eller distribusjon av personopplysninger i henhold til artikkel 13.11 i den russiske føderasjonens administrative kode. For juridiske personer er dette en advarsel eller ileggelse av en administrativ bot fra fem tusen til ti tusen rubler.

Mekanismen var som følger: Roskomnadzor utførte kontroll- og tilsynsaktiviteter innen PD. Hvis han under aktivitetene oppdaget brudd, rapporterte han dem til påtalemyndigheten for handling. Påtalemyndigheten vurderte meldingen og, hvis et brudd ble anerkjent, fattet vedtak om å innlede en administrativ sak og sendte den til retten.

Siden første juli har situasjonen endret seg. Den nye versjonen av artikkel 13.11 i den russiske føderasjonens kode for administrative lovbrudd er mer detaljert, den inneholder nå syv klausuler, alle relatert til behandling av personopplysninger. Bøtene øker, Roskomnadzor har myndighet til å utarbeide protokoller, det vil si å sette i gang saker om administrative lovbrudd, omgå påtalemyndigheten.

Den maksimale boten fastsatt i artikkel 13.11 i koden for administrative lovbrudd i Den russiske føderasjonen som endret er 75 000 rubler. Det vil være mulig å skaffe det for behandling av personopplysninger uten å innhente skriftlig samtykke fra personopplysningsobjektet, dersom det er fastsatt ved lov.

Siden vedtakelsen av den føderale loven "Om personopplysninger" i 2006, er noen av dens bestemmelser og konsepter fortsatt uklare for ansatte hos operatører. Den tilsynelatende tvetydigheten i ordlyden blir noen ganger gjenstand for spekulasjoner for individuelle aktive borgere som har gjort det til sitt mål å bevise lovens absurditet eller inkonsekvens.

Ved å manipulere noen formuleringer av loven (noen ganger tatt ut av kontekst), stole på prinsippene for formell logikk (ikke alltid rettferdig når det kommer til lov som vitenskap), modellere mulige konflikter, kommer noen analytikere til uventede og feilaktige konklusjoner.

Faren for disse konklusjonene ligger i desorienteringen av deltakere i informasjonsrettslige forhold, så vel som i det faktum at vedtakelsen av tvilsomme uttalelser hindrer operatørenes arbeid for å bringe deres aktiviteter i samsvar med loven og skaper betingelser for at de kan bryte loven. kravene i loven.

Slike problematiske spørsmål inkluderer definisjonen av operatøren av personopplysninger. En operatør er et statlig, kommunalt organ, juridisk enhet eller enkeltperson som organiserer og (eller) utfører behandlingen av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger (artikkel 3 i føderal lov 152) . Denne tilsynelatende åpenbare definisjonen, som ikke tillater fri tolkning, vilder noen ganger operatører i praksis. Essensen av denne misforståelsen er som følger: "personen som utfører behandlingen er ikke alltid operatøren." Årsaken til misforståelsen er i uttrykket "og også." I dette «og også» ser noen selve kornet av sannhet som vil tillate individuelle operatører å unngå forpliktelsen til å overholde kravene i føderal lov 152. Paradoksalt nok er mange operatører fortsatt sikre på at de ikke er operatører. For å underbygge denne uttalelsen, er følgende argumenter gitt: behovet for å behandle personopplysninger bestemmes av føderal lov (eller "etablert av høyere organisasjoner"), derfor er formålene med behandlingen ikke uavhengig bestemt eller bør ikke bestemmes av personen utfører behandlingen (det er ikke nødvendig å bestemme formålene, eller det er ingen myndighet).

La oss prøve å finne ut av dette problemet, hvis essens ligger i spørsmålet: er å bestemme formålet med behandling av personopplysninger et tegn eller ansvar for operatøren?

Så det er en oppfatning at en operatør bare og utelukkende er noen som samtidig oppfyller følgende to kriterier:
Denne personen må enten organisere eller faktisk utføre behandlingen av personopplysninger (eller begge deler samtidig);
Denne personen må selvstendig bestemme formål og innhold for behandling av personopplysninger.

Kravet om å bestemme formålet med behandling av personopplysninger anses derfor som hovedkjennetegn ved operatøren.

I løpet av utarbeidelsen av denne artikkelen gjennomførte filologer en språklig analyse av den aktuelle definisjonen. Resultatene av analysen er vist nedenfor.

Å bestemme målet kan ikke være hovedfunksjonen, siden denne funksjonen er navngitt blant homogene medlemmer av setningen og lukker den. Dessuten er dette homogene medlemmet av setningen forent av konjunksjonen "og også", som har en tilleggsbetydning, for eksempel: Jeg nøt fredelig arbeidet mitt, suksessen, herligheten, så vel som vennenes verk og suksesser" (P ). - se Valgina N.S., Rosenthal D.E., Fomina Modern Russian Language: M., Logos.

Russisk grammatikk skriver også om denne betydningen (M, 1980, vol. II):

§ 2079. Forbindelsesrelasjoner er basert på forbindende: det andre medlemmet av serien er av en tilleggskarakter; det er ofte separert i et eget syntagma; rekkefølgen på medlemmene i serien er strengt nødvendig. Forbindelsesforhold (med nyanser av tillegg eller intensivering) uttrykkes ved sammensatte konjunksjoner og kombinasjoner av en konjunksjon med en konkretisator: og også, og også, og dessuten (i tillegg): En eldre dame satt i vognen, og til og med en ung jente (Tyn.); Rapportene ble levert i perfekt orden og til rett tid (gass).

Merk. Konjunksjoner og også, begge deler... og har evnen til å uttrykke gradvise og forbindende relasjoner, men brukes ofte i en bredere betydning - forbindende eller komparativ: Denne Loach er uvanlig respektfull og kjærlig, ser like ømt på både sine egne og fremmede, men bruker ikke kreditt (tsjekkisk); Anlegget har oppnådd høye nivåer av både kvantitet og kvalitet på produkter (gass); Elever ved musikkskolen gir ofte konserter på skoler, kultursentre, så vel som i verkstedene til bedrifter (gass).

Men konjunksjonene "og (eller)", angitt sammen, betyr at medlemmene av en homogen serie koblet sammen av dem enten kan eksistere sammen ("organisere og utføre behandling") eller velges (en av seriene: "organisere eller bære ut til behandling” ).

Den språklige analysen ovenfor viser grunnløsheten i påstanden om at bestemmelse av formålet med behandling av personopplysninger er en uunnværlig egenskap for operatøren. Samtidig er ikke denne analysen det eneste beviset på falskheten i denne uttalelsen.

Fra innholdet i ulike typer publikasjoner og, basert på den nye rettshåndhevelsespraksisen, kan man trekke en konklusjon om holdningen til det organet som er autorisert til å beskytte rettighetene til personopplysninger (heretter kalt Roskomnadzor) til problemet under vurdering . Roskomnadzor mener at operatøren er den som først og fremst utfører eventuelle operasjoner med personopplysninger. Samtidig, i kraft av selve behandlingen, har "behandleren" også plikt til å bestemme formålet med slik behandling. De. faktisk, å bestemme formålet med behandlingen er mer sannsynlig en konsekvens av behandlingen, eller behovet for en slik, en integrert komponent av behandlingen, det primære ansvaret som oppstår fra behandlingen av personopplysninger, og ikke "hovedkarakteristikken til operatøren."

Rettferdigheten til den uttalte oppfatningen bekreftes av en systematisk analyse av normene i føderal lov nr. 152. Vi bør starte med artikkel 1 i loven, som definerer omfanget av handlingen. Denne artikkelen slår fast at loven regulerer forhold knyttet til behandling av personopplysninger utført av ulike organer, juridiske personer og enkeltpersoner. Behandlingsbegrepet er gitt i paragraf 3 i artikkel 3 i føderal lov 152. Dette er handlinger (operasjoner) med personopplysninger, inkludert innsamling, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), bruk, distribusjon (inkludert overføring) , depersonalisering , blokkering, ødeleggelse av personlige data. Det følger av det foregående at hvis en spesifikk person utfører noen av de oppførte handlingene, blir han a priori deltaker i sosiale relasjoner som er gjenstand for regulering av føderal lov nr. 152 (med mindre han faller inn under unntakene gitt i Del 2 av artikkel 1 i loven). Hvordan skal denne personen kalles i henhold til den føderale loven "om personopplysninger"? Valget er lite. Denne personen bør kalles operatør.

Så en bestemt person utfører (eller har til hensikt å utføre) behandling av personopplysninger. I henhold til artikkel 5 i føderal lov 152, må PD-behandling utføres i samsvar med prinsippene definert av loven. Analyse av innholdet i prinsippene fører til konklusjonen at det grunnleggende grunnlaget for behandling av personopplysninger er fastsettelse av formålene med behandlingen. Uten engang å dykke ned i essensen av hvert prinsipp, men bare ved en rask lesing av artikkel 5, ser vi i hvert avsnitt av artikkelen begrepet "formål" ("legitimitet av formål", "korrespondanse til formål", "tilstrekkelighet til formål" ", etc.). Denne konsentrasjonen av oppmerksomhet ble ikke brukt av lovgiveren ved et uhell. Loven pålegger den som behandler personopplysninger å varsle det organet som er autorisert til å beskytte rettighetene til personopplysninger om formålet med å behandle personopplysninger. Loven tilstreber å gjøre aktiviteter knyttet til behandling av personopplysninger transparente og forståelige både for personen - bæreren av de konstitusjonelle rettighetene og frihetene beskyttet av loven, og for statlige organer som sikrer implementeringen av mekanismer for å beskytte menneskerettighetene som et subjekt av personlige data. Hovedtråden i loven er ideen om at "formålsløs" behandling av personopplysninger ikke er tillatt (behandling av personopplysninger "bare sånn", "for egne uspesifiserte behov", for "generell utvikling", "for seg selv". ", etc.).

I henhold til det andre prinsippet, erklært i artikkel 5 i loven, må formålet med slik behandling fastsettes og angis på forhånd (før starten av behandlingen) hvis en person har til hensikt å behandle personopplysninger. Den omvendte logiske kjeden av resonnement fører til konklusjonen at å utføre handlinger med personopplysninger i fravær av et spesifikt behandlingsformål er et brudd på prinsippene for behandling, og derfor et brudd på loven, en forutsetning for brudd på de konstitusjonelle rettighetene og frihetene til mennesker og borgere.

Tolkning av normen i paragraf 2. Artikkel 3 i føderal lov 152 i sammenheng med at å bestemme målet ikke er operatørens ansvar, men en integrert egenskap som identifiserer ham som sådan, innebærer uunngåelig følgende paradoksale konklusjon. Ekskludert fra lovens virkeområde er slike organer som Russlands føderasjons pensjonsfond, det obligatoriske medisinske forsikringsfondet, den føderale skattetjenesten, den føderale migrasjonstjenesten og mange andre offentlige etater, hvis ansvar er direkte definert og detaljert av føderal lovgivning , inkludert i forbindelse med transaksjoner med personopplysninger. Premisset under vurdering fører også til konklusjonen at teleoperatører ikke er PD-operatører, siden formålet med å samle abonnentenes PD er fastsatt i loven "om kommunikasjon" og vedtekter - dvs. bestemt av staten, og ikke av en bestemt person som leverer kommunikasjonstjenester. Det samme gjelder kredittinstitusjoner, forsikringer og andre organisasjoner som samler inn og foretar andre handlinger med personopplysninger for å bekjempe legalisering (hvitvasking) av utbytte fra kriminalitet, d.v.s. for formålene som er direkte gitt av loven "om bekjempelse av legalisering (hvitvasking) av inntekter fra kriminalitet", og ikke av disse organisasjonene selv. Listen kan fortsettes i det uendelige, absolutt bare én norm av loven og nå punktet av absurditet i forsøk på å prøve den bokstavelige tolkningen av virkelige sosiale relasjoner.

Artikkel 18 i føderal lov nr. 152 fastsetter operatørens ansvar ved innsamling av personopplysninger. Disse inkluderer først og fremst operatørens forpliktelse til å gi gjenstanden for personopplysninger på hans forespørsel informasjon (artikkel 14 i føderal lov 152), inkludert informasjon om formålene med å behandle personopplysningene hans. Når denne forpliktelsen etableres, gjør ikke loven unntak for operatører som behandler personopplysninger på grunnlag av føderale lover.

Med hensyn til ovenstående blir det således klart at i lovens kontekst er det å bestemme formålet med PD-behandlingen faktisk ansvaret til personen som behandler PD, snarere enn en av egenskapene som gjør denne personen til en operatør.

Hva er "definisjonen" på et mål? Å forstå betydningen av ordet "definisjon" er viktig for å forstå innholdet i en rettsregel, uten hvilken håndheving av denne regelen er umulig. Siden lovgiveren ikke anså det som nødvendig å avsløre konseptet "formålsbestemmelse" i selve loven, la oss vende oss til en av tolkningsmetodene som er anerkjent i lovteorien - leksikalsk (språklig) tolkning.

I følge den forklarende ordboken for det russiske språket redigert av prof. D.N.Ushakova, for å bestemme midler
Finn ut med nøyaktighet, informer;
Gi en vitenskapelig, logisk beskrivelse, formulering av et konsept, avslør innholdet;
Bestem deg, ta en beslutning om noe;
Tjen som en årsak til utvikling, dannelse av noe, forhåndsbestemme, tilstand;
Tilordne, angi.

Ved å bestemme formålet med PD-behandling kan man derfor forstå dens avklaring, seleksjon, isolasjon fra en rekke mulige formål, dens innstilling eller betegnelse som sådan, og angi dette spesifikke formålet (målene) som årsaken til PD-behandlingen.

Kontekstuell analyse av innholdet i føderal lov 152, identifikasjon av dens semantiske forbindelser med andre lovkilder lar oss konkludere med at for individuelle PD-operatører og (eller) angående visse kategorier av PD-subjekter, kan formålene med PD-behandling faktisk være forhåndsbestemt eller selv direkte spesifisert i lover eller forskrifter (Arbeidsloven, for eksempel, angir spesifikt for arbeidsgivere formålene med å behandle ansattes personopplysninger). Formålet med å behandle visse PD av andre operatører stammer fra deres forpliktelser som oppstår fra kontraktsmessige forpliktelser. I noen tilfeller kan formålene med å behandle personopplysninger samtidig bestemmes av både innholdet i operatørens kommersielle aktiviteter og kravene i loven (kommunikasjonsoperatører, for å utføre sine egne lovpålagte aktiviteter med sikte på å tjene penger, behandle personlig data med det formål å tilby kommunikasjonstjenester og i henhold til loven "om kommunikasjon") .

Dermed er den primære oppgaven til den som behandler personopplysninger nettopp å verbalisere formålene med å behandle personopplysninger, for selv å forstå hva som nøyaktig bestemmer behandlingen av personopplysninger til enkeltpersoner spesifikt for ham. Å formulere et svar på dette spørsmålet vil faktisk være definisjonen av formålet med PD-behandling.

I sammenheng med problemet diskutert i denne artikkelen, synes den russiske føderasjonens mening om endringer i føderal lov 152 interessant Den 5. mai 2010 ble et lovforslag sendt til statsdumaen av dens stedfortreder V.M i første lesning. Dette lovforslaget foreslår blant annet en ny formulering av begrepet «operatør», nemlig:

"operatør er et statlig organ, kommunalt organ, juridisk enhet eller enkeltperson som behandler personopplysninger, samt fastsetter formål, innhold og prosedyre for behandling av personopplysninger." Som vi kan se, er ordet "organisering" utelukket fra den nåværende formuleringen. I sitt offisielle svar på dette lovforslaget indikerer regjeringen i Den russiske føderasjonen at "en slik endring ikke kan støttes, siden personer som behandler personopplysninger, men ikke bestemmer formålet med og innholdet i behandlingen, ikke kan anses som operatører." Fra kommentaren ovenfor fra regjeringen i den russiske føderasjonen følger det at i dag (når ordlyden av loven ennå ikke er endret), etter den russiske føderasjonens oppfatning, er en operatør enhver person som behandler personopplysninger, uavhengig av tilstedeværelse eller fravær av det faktum at han har bestemt formålene med slik behandling.

Så analysen utført i denne artikkelen lar oss trekke flere konklusjoner.
Å bestemme formålet med PD-behandling er operatørens ansvar, og ikke en obligatorisk identifiserende egenskap for operatøren.
Bestemmelse av formålet med PD-behandling er prosessen med å forstå, avklare, spesifisere og verbalisere formålet med PD-behandling av operatøren, inkludert i tilfeller der slike formål er forhåndsbestemt og (eller) stammer fra bestemmelsene i loven eller myndighetene som er gitt til operatøren.

21. februar 2014 kl. 23.45

Eller kanskje ikke varsle om behandlingen av personopplysninger?

• Informasjonssikkerhet

Del én av artikkel 22 i den føderale loven av 27. juli 2006 N 152-FZ "Om personopplysninger" (heretter i artikkelen - loven) gir plikten til operatøren som behandler personopplysninger til å varsle Roskomnadzor-myndigheten før behandlingen begynner . Umiddelbart (i den andre delen av artikkelen) foreslår loven begrunnelsen for at operatøren har rett til ikke å varsle om behandling. Disse tilfellene er ganske vanlige. Men siden loven ikke forbyr varsling selv om det er slike tilfeller, velger en rekke operatører å ta varslingsveien. Det kan være verdt å ikke gi beskjed, eller til og med tenke på hvordan du kvalifiserer for «unntakene». Det er minst 3 grunner til dette.

Det er vanskelig å svare på spørsmålet "Hvorfor?" for alle som bestemte seg for å sende melding til Roskomnadzor-organet dersom det var mulig å ikke gjøre dette. Markedsføringskampanjer (image, åpenhet) kan selvfølgelig ikke utelukkes. Imidlertid varsler de i en rekke tilfeller av uvitenhet eller basert på posisjonen "Det er bedre å spille det trygt." Jeg vil gjøre oppmerksom på den velkjente retten for operatører som behandler personopplysninger til ikke å varsle Roskomnadzor-myndighetene om behandling og her er flere grunner til dette.

1. Den som har sendt inn melding om behandling av personopplysninger må bære byrden med å kontinuerlig oppdatere de innsendte opplysningene. Denne forpliktelsen er fastsatt i del 7. Kunst. 22 lover. Dersom operatøren som behandler personopplysninger ikke gir melding om endring av informasjon (endring av operatørens adresse, endring i kategoriene av personopplysninger som behandles, endring av behandlingsansvarlig for personopplysninger og hans kontakter osv.), da kan han bli stilt til administrativt ansvar. Det ser ut til at det var vanskelig: noe endret seg i organisasjonen, jeg tok og sendte et brev. Som praksis viser, er dette i de fleste tilfeller glemt. For eksempel ble de som kom inn i registeret (registeret inkluderer alle som har sendt inn melding om behandling) av operatører som behandler personopplysninger før 1. juli 2011, pålagt å i tillegg sende opplysningene fastsatt i punktene 5, 7.1, 10 og 11 innen januar 1, 2013 3 i artikkel 22 i loven (rettslig grunnlag for behandling av personopplysninger, fullt navn på den ansvarlige, etc.). Som det fremgår av Roskomnadzor-registeret over personopplysningsaktører, har mer enn halvparten av aktørene ikke gjort dette til dags dato. Tanken om at alle disse organisasjonene ikke har gjennomgått noen interne endringer knyttet til behandling av personopplysninger er også tvilsom. Jeg foreslår at du også tenker på om du i tide vil overvåke relevansen av oppføringer i registeret på lang sikt, hvis det er mulighet for å la være å gjøre dette i det hele tatt?
2. Roskomnadzor-myndighetene planlegger inspeksjoner av operatører som behandler personopplysninger ved å bruke det enhetlige informasjonssystemet UIS. Alle operatører som har sendt inn meldinger er allerede med, og derfor øker sannsynligheten for å bli inkludert i tilsynsplanen mange ganger. Organisasjoner som er inspisert av Roskomnadzor på andre områder (kommunikasjonstjenester, distribusjonsnettverk, media, kringkasting) blir automatisk kontrollert for overholdelse av lovgivningen på personopplysningsområdet dersom de har varslet Roskomnadzor om behandlingen.
3. Hvis personopplysningsoperatøren bestemte seg for å varsle Roskomnadzor-organet om behandling, selv om han hadde rett til å ikke gjøre det, vil det ikke være mulig å bli ekskludert fra registeret på grunn av at han ikke kunne varsle i det hele tatt. Denne muligheten er verken gitt i loven eller de relevante administrative forskriftene. Eller rettere sagt, det er kun gitt av generelle grunner.

Hvis du planla å sende et varsel, men det ovennevnte fanget oppmerksomheten din på en eller annen måte, er de generelle anbefalingene enkle.

1. Les nøye (forstå) del 2 av art. 22 i den russiske føderasjonens føderale lov av 27. juli 2006 N 152-FZ "Om personopplysninger".
2. Se hvilke personopplysninger som behandles om deg og i forbindelse med hva.
3. I noen tilfeller kan det være nødvendig å justere arbeidet med personopplysningsbærere. Jeg skal gi et eksempel for å gjøre det klart hva jeg mener.

En av mulighetene for ikke å varsle om behandling av personopplysninger er gitt i pkt. 2, del 2, art. Lov 22 går slik

mottatt av operatøren i forbindelse med inngåelse av en avtale som gjenstanden for personopplysninger er part i, dersom personopplysninger ikke distribueres eller gis til tredjeparter uten samtykke fra gjenstanden for personopplysninger og utelukkende brukes av operatøren. for gjennomføring av den spesifiserte avtalen og inngåelse av kontrakter med gjenstand for personopplysninger

Så du inngikk en avtale med en person om en tjeneste. De tok personens mobiltelefonnummer for å informere dem om at tjenesten var klar. I de fleste tilfeller er det ikke nødvendig med et mobiltelefonnummer for å oppfylle kontrakten. Hvis kundens mobiltelefonnummer blir tatt, kreves hans samtykke til behandling av personopplysninger i tillegg. Men i dette tilfellet faller du ikke inn under unntaket i loven, som lar deg ikke varsle om behandling av personopplysninger.
Hvis kontrakten med denne personen fastsetter behovet for å ha et mobiltelefonnummer for å oppfylle kontrakten, gjør du allerede krav på retten til å falle inn under unntaket.
Du kan leke med behovet for å ha et mobilnummer for å oppfylle en kontrakt noe sånt som dette: "Organisasjonen forplikter seg til å varsle klienten på tlf nr. x... x om beredskap...".

Denne portalen ble opprettet for å gi innbyggerne informasjon om aktivitetene til Roskomnadzor på forskjellige områder. I tillegg er det gjennom denne nettsiden lett å få tilgang til enhver annen databehandler.

Hva det er

Roskomnadzors persondataportal er et verktøy som gir mulighet for grundig kontroll av både vanlige borgere og individuelle gründere og kommersielle organisasjoner. Ethvert selskap som behandler personopplysninger må først registrere seg hos Roskomnadzor, og først deretter starte relevante aktiviteter.

Hva trengs det til

All informasjon som kan brukes til å identifisere en bestemt person anses som personlig informasjon.. Portalen er nødvendig for å gjøre det enklere for brukere å samhandle med operatører som behandler eventuelle data og utfører ulike handlinger for dette.

Du kan også informere overvåkingsorganisasjonen selv hvis det oppdages brudd. I dette tilfellet pålegges passende straffer.

Hvem kan bruke

En spesialisert portal opererer i det offentlige domene. Så enhver innbygger kan dra nytte av dens evner og publisert informasjon. Det er nok å skrive inn navnet på operatøren av interesse eller bruke TIN. Søkeresultatet vil være informasjon knyttet til en bestemt markedsdeltaker.

Operatørregister

Personopplysninger kan omfatte et stort antall fenomener, bl.a:

1. Epostadresse.
2. En nøyaktig beskrivelse av ditt nåværende bosted.
3. Mobiltelefonnumre.
4. Informasjon fra sertifikater.
5. Fullt navn på borgeren.

All informasjon knyttet til en bestemt person kan betraktes som personlig. I noen tilfeller er fullt navn og bilnummer nok for identifikasjon. I andre tilfeller kreves registreringsadresse og førerkortinformasjon.

1. De behandler personopplysninger uavhengig eller slår seg sammen med andre personer for dette formålet.
2. De bestemmer selv operasjonene med data, deres sammensetning og målene for arbeidet.

En operatør vil bli betraktet som alle som bruker personopplysninger og sender relevante forespørsler. Slike selskaper opererer på alle områder. Det er opplysningene om dem som føres inn i registeret. Klienter kan selv studere TIN-en og tillatelsesdokumentasjonen og så videre.

Video som viser hvordan du registrerer deg i registeret over persondatabehandlere til Roskomnadzor.

registrering på siden

Registrering på portalen er ikke nødvendig, all informasjon er offentlig tilgjengelig, ingen ytterligere handlinger kreves. Det samme gjelder ulike dokumenter viet beskyttelse av besøksinformasjon.

Grensesnitt, bruk

Det er ikke noe komplisert her. Registersøk-knappen er plassert helt øverst på hovedsiden til portalen. På denne linjen legger du inn data kjent for et bestemt selskap. Rett nedenfor er en lenke med et avansert søk. Det vil si at du kan skrive inn ikke bare navnet, men også TIN og registreringsnummer, hvis tilgjengelig.

Reguleringsregulering

Regulerer aktivitetene til Roskomnadzor knyttet til overvåking av gjennomføringen av lovgivning om personopplysninger til innbyggere. Men selve artikkelen inneholder ikke det nøyaktige navnet på organet som har de relevante fullmakter. Derfor er det også tillatt å bruke dekretet fra regjeringen i den russiske føderasjonen nr. 228 "Om registeret over personer som er avskjediget på grunn av tap av tillit," utstedt i 2009 som støtte. Det er i denne teksten at myndighetene er tildelt spesielt til Roskomnadzor.

I følge loven har representanter for denne institusjonen følgende fullmakter og rettigheter:

1. Uavhengig ileggelse av administrativt ansvar når brudd knyttet til personopplysninger oppdages.
2. Anke til rettshåndhevelsesbyråer og domstoler for å beskytte innbyggernes interesser. Det samme kan gjøres hvis det oppdages brudd.
3. Begrensning av tilgang til informasjon i nærvær av brudd fra operatørens side. Eller utstede krav med forespørsler om å blokkere, ødelegge eller klargjøre visse opplysninger.
4. Forespørsel om informasjon knyttet til behandling av personopplysninger.

Gjennomføre inspeksjoner av Roskomnadzor

Det er spesielle regler for å holde slike arrangementer. Den ble godkjent av den relevante kjennelsen fra kommunikasjonsdepartementet nr. 312 av 2011. Paragraf 32 i denne forskriften er viet situasjoner der planlagte inspeksjoner må utføres i forhold til operatører:

1. Når et selskap akkurat begynner å behandle personopplysninger.
2. Etter at det har gått 3 år siden forrige kontroll. Eller fra det øyeblikket aktiviteten startet.

Organisasjonen skal varsles om kommende befaring minst 3 dager før selve arrangementet.

Roskomnadzor har rett til å gjennomføre uplanlagte inspeksjoner. For eksempel hvis det er forespørsler fra innbyggere og andre organisasjoner angående brudd på rettigheter. Eller når det er en trussel mot liv eller helse. I dette tilfellet, varsel må være mottatt 24 timer før arrangementet.

Ifølge resultatene av inspeksjonen, spesialister utarbeide tilsvarende lov. Hvis det er brudd, er sistnevnte beskrevet i detalj i følgedokumentet. Personene som er ansvarlige for visse overtredelser skal angis. Det gis en beskrivelse av det juridiske grunnlaget for å holde borgere eller selskaper ansvarlige.

Når samtykke til databehandling kreves

Behandling av opplysninger kan bare foretas dersom tidligere eier gir sitt samtykke eller når det foreligger andre rettslige grunner. Hver enkelt sak vurderes individuelt:

1. I bolig- og kommunale tjenester er det ikke nødvendig med samtykke fra beboere når forvaltningsselskaper engasjerer betalingsagenter for å betale for bruken av tjenester.
2. Noen situasjoner krever skriftlig tillatelse. Dette gjelder spesielt for spesielle kategorier av personopplysninger. For eksempel når det gjelder biometrisk informasjon.

Ansvar for brudd

- hoveddokumentet som inntil nylig etablerte straffer for brudd på dette området. Juridiske enheter kan få bøter på 5 000 - 10 000 rubler eller en advarsel utstedt av kompetente myndigheter.

For å identifisere brudd ble det gjennomført kontrolltiltak i form av tilsyn. Vedrørende overtredelser ble det sendt særskilte meldinger til representanter for påtalemyndigheten. Dersom søknaden godkjennes, organiseres det rettslige prosedyrer.

Men nylig har situasjonen endret seg. Nå har lover begynt å beskrive de aktuelle prosedyrene mer detaljert. Endringene gjelder følgende områder:

1. Økte bøter.
2. Fremveksten av fullmakter til å utarbeide protokoller og innlede saker uten å kontakte påtalemyndigheten.

Om å registrere seg som operatør

Denne begivenheten er ikke obligatorisk for følgende kategorier av befolkningen og markedsdeltakere:

1. Selskaper som ber om data, for eksempel for å kjøpe billetter. Dette gjelder alle operatører som opererer online.
2. De som behandler data uten bruk av datateknologi.
3. Systemer som har fått status som statlige automatiserte informasjonssystemer. Eller organisasjoner opprettet for å beskytte samfunnet og orden.
4. Alle selskaper med gyldig passsystem. Det er ikke nødvendig å registrere seg hvis borgerens informasjon leses kun én gang for å motta pass.
5. Bedrifter og enkeltpersoner som bruker informasjon gitt av innbyggerne selv.
6. De som bruker informasjon for å oppnå formålene beskrevet i stiftelsesdokumentene.
7. Mobilselskaper som trenger data utelukkende for å levere tjenester.
8. Leder for bedrifter.

Derfor kan det hende at mange selskaper ikke er inkludert i registeret på den offisielle nettsiden til Roskomnadzor. For å fullføre registreringsprosedyren er det nok å sende inn en søknad i henhold til de etablerte kravene. Det anbefales å sende inn søknader elektronisk eller med brevpapir.