Le concept et les types de données personnelles. Est-il légal de créer des bases de données publiques de données personnelles? Données personnelles accessibles au public ce qui les concerne

08.01.2021

Conseil

À la toute fin de 2015, l'auteur de cet article a pris part à la discussion d'un sujet intéressant, consacré à la nécessité de créer une base de données publique unifiée de demandeurs d'emploi sans scrupules. Notre société a décidé d'enquêter sur ce problème.

Le raisonnement derrière la nécessité de créer de telles bases de données est simple - il y a beaucoup de candidats inadéquats qui ne viennent pas pour des entretiens, ne mentent pas dans leur CV, etc., alors pourquoi ne pas prendre soin de créer une base de données de ces camarades pour le bénéfice général de tous les RH.

Non pas comme ça. Les avantages potentiels peuvent facilement être compensés par les effets négatifs qui résulteront inévitablement de l'utilisation abusive des données de la base de données, de l'inclusion / exclusion déraisonnable de personnes dans ces bases de données et des problèmes de réputation, d'honneur et de dignité des personnes incluses dans la base de données.

Depuis 2006, la loi fédérale «sur les données personnelles» est en vigueur en Russie, qui définit sans ambiguïté les conditions dans lesquelles de telles bases de données peuvent exister. Alors:

2. L'article 6 de la loi fédérale "sur les données personnelles" stipule que "le traitement des données personnelles est effectué avec le consentement de la personne concernée au traitement de ses données personnelles".

3. L'article 7 de la loi fédérale "sur les données personnelles" stipule que "les opérateurs et autres personnes qui ont eu accès aux données personnelles sont tenus de ne pas les divulguer à des tiers et de ne pas diffuser de données personnelles sans le consentement de la personne concernée, sauf disposition contraire de la loi fédérale."

4. L'article 8 de la loi fédérale sur les données personnelles dispose que: «1. À des fins d'information, des sources de données personnelles accessibles au public (y compris des répertoires, des carnets d'adresses) peuvent être créées. Avec le consentement écrit du sujet des données personnelles, les sources de données personnelles accessibles au public peuvent inclure son nom, prénom, patronyme, année et lieu de naissance, adresse, numéro d'abonné, informations sur la profession et autres données personnelles communiquées par le sujet des données personnelles. 2. Les informations sur le sujet des données personnelles doivent à tout moment être exclues des sources de données personnelles accessibles au public à la demande du sujet des données personnelles ou sur décision d'un tribunal ou d'autres organes publics autorisés. "

5. Enfin, l'article 13.11. Selon le Code des infractions administratives de la Fédération de Russie, «la violation de la procédure de collecte, de stockage, d’utilisation ou de distribution d’informations sur les citoyens (données personnelles) établie par la loi - entraîne un avertissement ou l’imposition d’une amende administrative aux citoyens d’un montant de trois cents à cinq cents roubles; pour les fonctionnaires - de cinq cents à mille roubles; pour les personnes morales - de cinq mille à dix mille roubles. "

En d'autres termes et plus court:

1. Toutes les données relatives à un individu (y compris juste un numéro de téléphone) sont personnelles.

2. Il est nécessaire d'obtenir le consentement pour le traitement des données personnelles, qui peut être retiré à tout moment.

3. Si quelqu'un a un accès légal aux données personnelles, il est alors interdit de les divulguer à quiconque ou de les partager avec quelqu'un sans le consentement du sujet des données personnelles, sauf disposition contraire de la loi applicable.

5. En cas de violation de la procédure établie pour la collecte et le stockage des données personnelles, la responsabilité est engagée.

Conclusion

La conclusion est très simple et directe - la création d'une base de données publique unique des demandeurs d'emploi négligents n'est possible qu'avec le consentement écrit de ces travailleurs les plus négligents, ce qui, naturellement, annule la probabilité de la création légale d'une telle base. Pour ceux qui décident néanmoins de créer de telles bases et de les partager avec leurs camarades, notre société leur recommande de se familiariser avec les peines en vigueur à l'heure actuelle.

Commentaire de la loi fédérale du 27 juillet 2006 N 152-FZ "Sur les données personnelles" Petrov Mikhail Igorevich

Article 8. Sources de données à caractère personnel accessibles au public

Sources publiques de données personnelles

Commentaire sur l'article 8

1. Au sens de la loi commentée, les sources de données à caractère personnel sont reconnues comme accessibles au public, dont l'accès n'est pas limité et ne nécessite pas le consentement préalable des personnes concernées. Les sources de données personnelles accessibles au public peuvent être utilisées par toute personne à sa discrétion, sous réserve des restrictions établies par les lois fédérales concernant la diffusion de ces informations.

La création de sources de données personnelles accessibles au public est due au besoin d'un support d'information. Une analyse de la législation en vigueur nous permet de noter que le nombre de sources de données personnelles accessibles au public comprend actuellement: les ouvrages de référence, les carnets d'adresses, les encyclopédies, les documents accumulés dans les collections ouvertes de bibliothèques et d'archives, les systèmes d'information des autorités étatiques, les gouvernements locaux, les associations publiques, les organisations, d'intérêt public ou nécessaires à la réalisation des droits, libertés et devoirs des citoyens. Dans le même temps, la science et la pratique modernes n’ont pas encore été en mesure d’élaborer des critères efficaces à l’aide desquels il serait possible de distinguer clairement entre les segments d’information publics et confidentiels.

La création de sources de données personnelles accessibles au public, qui doivent inclure le nom, le prénom, le patronyme, l'année et le lieu de naissance, l'adresse, le numéro d'abonné, les informations sur la profession et d'autres données personnelles fournies par le sujet des données personnelles, est effectuée avec le consentement obligatoire de ce dernier. En outre, le sujet des données à caractère personnel a le droit d'exiger des personnes diffusant de telles informations qu'elles s'identifient en tant que source de ces informations.

L'utilisation de données personnelles provenant de sources accessibles au public implique, à son tour, l'exclusion de la possibilité de réaliser un profit.

Dans le cas du traitement de données personnelles accessibles au public, l'exploitant est responsable de prouver que les données personnelles traitées sont accessibles au public.

2. Afin de protéger les droits et les intérêts légitimes du sujet des données personnelles, le législateur prévoit la possibilité de révoquer les données personnelles utilisées dans des sources accessibles au public. Leur exclusion peut être effectuée à la fois à la demande du sujet des données personnelles lui-même, et par une décision de justice ou un organe d'État spécialement habilité.

Article 74-1. Traitement des données à caractère personnel en violation de la législation sur la protection des données à caractère personnel (1) Le non-respect des exigences visant à garantir la sécurité des données à caractère personnel lors de leur traitement dans les systèmes d'information sur les données à caractère personnel entraînera une amende

Article 85. La notion de données personnelles des employés. Traitement des données personnelles d'un salarié Les données personnelles d'un salarié sont des informations requises par un employeur dans le cadre des relations de travail et concernant un salarié spécifique.

Article 88. Transfert des données personnelles d'un salarié Lors du transfert des données personnelles d'un salarié, l'employeur doit se conformer aux exigences suivantes: ne pas divulguer les données personnelles d'un salarié à un tiers sans le consentement écrit du salarié, sauf dans les cas où

Article 5. Principes du traitement des données à caractère personnel Commentaire de l'article 51. Avec l'article commenté, le législateur établit les principes fondamentaux du travail avec des données à caractère personnel, dont la collecte et le traitement sont effectués pour des raisons juridiques. Récent

Article 6. Conditions de traitement des données à caractère personnel Commentaire sur l'article 61. Le respect des principes de traitement des données à caractère personnel présentés dans l'article précédent n'est pas la seule condition garantissant la protection des droits et intérêts légitimes des citoyens dont

Article 7. Confidentialité des données à caractère personnel Commentaire de l'article 71. Il est indispensable de garantir la confidentialité des données à caractère personnel au cours de leur traitement, ainsi que les principes établis pour travailler avec eux et obtenir le consentement au traitement,

Article 9. Consentement de la personne concernée au traitement de ses données à caractère personnel Commentaire de l'article 91. L'article commenté définit la procédure, les conditions et les motifs d'obtention du consentement de la personne concernée à leur traitement. Le législateur souligne que

Article 10. Catégories spéciales de données à caractère personnel Commentaire sur l'article 101. L'article commenté identifie des catégories spéciales de données à caractère personnel et établit une interdiction générale de leur traitement. Une catégorie spéciale de données personnelles comprend les informations qui divulguent

Article 12. Transfert transfrontière de données à caractère personnel Commentaire de l'article 121. Le projet de loi définit les principes du transfert transfrontière de données à caractère personnel. Ces principes sont harmonisés avec les principaux actes juridiques internationaux dans le domaine des données personnelles, qui

Article 15. Droits des sujets de données à caractère personnel lors du traitement de leurs données à caractère personnel à des fins de promotion de biens, d'œuvres, de services sur le marché, ainsi qu'à des fins de campagne politique Commentaire de l'article 151. L'article commenté par son contenu fait appel aux dispositions de l'article 150 du Code civil

Article 16. Droits des sujets de données à caractère personnel lorsqu'ils prennent des décisions sur la base d'un traitement exclusivement automatisé de leurs données à caractère personnel Commentaire de l'article 161. L'article commenté définit les droits des sujets de données à caractère personnel en ce qui concerne la prise de décision.

Article 20. Obligations de l'exploitant lorsqu'il prend contact ou reçoit une demande de la personne concernée ou de son représentant légal, ainsi que de l'organisme habilité pour la protection des droits des personnes concernées des données à caractère personnel Commentaire de l'article 201. Les normes de l'article commenté dans

Article 21. Obligations de l'exploitant d'éliminer les violations de la loi commises lors du traitement des données à caractère personnel, ainsi que de clarifier, bloquer et détruire les données à caractère personnel Commentaire de l'article 211. Les dispositions de l'article commenté déterminent la procédure

Article 22. Notification du traitement des données à caractère personnel Commentaire de l'article 221. La procédure de notification du traitement des données à caractère personnel au sens de la loi commentée est l'une des garanties du respect des droits et intérêts légitimes des personnes concernées par les données à caractère personnel en

Est-il légal de créer des bases de données publiques de données personnelles?

Fin 2015, j'ai participé à la discussion d'un article intéressant dans LiveJournal, consacré à la nécessité de créer une base de données publique unifiée de demandeurs d'emploi sans scrupules.

Je dois dire que l'idée n'est pas nouvelle et, bien sûr, un certain nombre d'entreprises disposent de bases de données internes de candidats. À l'aide de telles bases de données, les agents du personnel filtrent les candidats inappropriés avec un investissement de temps minimal. Si nous supposons théoriquement qu'une telle base peut apparaître à la disposition de tous les RH du pays, alors combien ce serait mieux pour tout le monde. Eh bien, non? Merci mon Dieu non, pas comme ça. Comme les commentateurs de cet article l'ont correctement noté, les avantages potentiels peuvent facilement être annulés par les effets négatifs qui résulteront inévitablement de l'utilisation abusive des données de la base de données, de l'inclusion / exclusion déraisonnable de personnes dans ces bases de données et des problèmes de réputation, d'honneur et de dignité des personnes incluses dans la base de données.

Heureusement, depuis 2006, la loi fédérale «sur les données personnelles» est en vigueur en Russie, qui définit sans ambiguïté les conditions dans lesquelles de telles bases de données peuvent exister:

En d'autres termes et plus court:

1. Toutes les données relatives à un individu (y compris juste un numéro de téléphone) sont personnelles.

2. Il est nécessaire d'obtenir le consentement pour le traitement des données personnelles, qui peut être retiré à tout moment.

4. Un formulaire de consentement écrit est fourni spécialement pour ceux qui souhaitent créer des sources de données personnelles accessibles au public.

5. En cas de violation de la procédure établie pour la collecte et le stockage des données personnelles, la responsabilité est engagée.

«Personne» - données relatives à une personne, une personnalité, un organisme biologique.

Qu'est-ce que, comment collecter, où stocker, comment protéger?

Une carte d'empreintes digitales est-elle des données personnelles ou non?

Il ne contient aucune information personnelle.

données personnelles - toute information relative à un particulier ou déterminé sur la base de ces informations un individu (objet de données personnelles), y compris son nom, prénom, patronyme, année, mois, date et lieu de naissance, adresse, famille, social, statut de propriété , éducation, profession, revenu, autres informations;

L'adresse est l'enregistrement au lieu de résidence ou de séjour.

Classification conditionnelle des données personnelles.

1) par le degré d'ouverture:

données personnelles accessibles au public - données personnelles, accès à un nombre illimité de personnes auxquelles est fourni le consentement de la personne concernée ou auxquelles, conformément aux lois fédérales, l'exigence de confidentialité ne s'applique pas.

Les données à caractère personnel accessibles au public sont des données pour lesquelles un consentement volontaire est donné et publié dans le domaine public.

Souvent, certains propriétaires de sites demandent des informations d'enregistrement qu'ils ne souhaitent pas fournir.

Informations confidentielles - les informations sont fournies strictement à des fins spécifiques. Parfois, il peut être collecté à l'insu de la personne.

Le ministère de l'intérieur stocke les informations dans des centres d'information

2) par accessoire

- personnel - appartenir dès la naissance

- service - en cours de travail, service - rang de classe, etc.

3) par la méthode de fourniture

- informations fournies volontairement

- fourni de manière générale conformément à la loi (obligatoire)

- collectées sans le consentement du citoyen conformément à la loi

4) Données par nature

- biométrique (informations sur les empreintes digitales)

Concepts de base utilisés lors du travail avec des données personnelles.

- traitement des données personnelles- actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation, le blocage, la destruction des données personnelles;

- diffusion de données personnelles - des actions visant à transférer des données à caractère personnel à un certain cercle de personnes (transfert de données à caractère personnel) ou à prendre connaissance des données à caractère personnel d'un nombre illimité de personnes, y compris la divulgation de données à caractère personnel dans les médias, la publication dans des réseaux d'information et de télécommunication ou l'accès à des données à caractère personnel qui - de toute autre manière;

- utilisation des données personnelles - les actions (opérations) sur les données personnelles effectuées par l'opérateur afin de prendre des décisions ou d'effectuer d'autres actions qui génèrent des conséquences juridiques en relation avec le sujet des données personnelles ou d'autres personnes ou affectent autrement les droits et libertés du sujet des données personnelles ou d'autres personnes;

- blocage des données personnelles - suspension temporaire de la collecte, de la systématisation, de l'accumulation, de l'utilisation, de la distribution des données personnelles, y compris leur transfert;

Les informations publiées sur Internet ne peuvent souvent pas être bloquées.

La plupart des données personnelles:

- stocké sur un ordinateur

- posté sur Internet

Il est difficile de contrôler le placement

- destruction des données personnelles - les actions à la suite desquelles il est impossible de restaurer le contenu des données à caractère personnel dans le système d'information sur les données à caractère personnel ou à la suite desquelles des supports tangibles de données à caractère personnel sont détruits; - situations où les archives brûlaient

anonymisation des données personnelles

- dépersonnalisation des données personnelles - les actions à la suite desquelles il est impossible de déterminer l'appartenance des données personnelles à un sujet spécifique de données personnelles;

— système d'information sur les données personnelles - un système d'information, qui est une collecte de données personnelles contenues dans une base de données, ainsi que des technologies de l'information et des moyens techniques permettant le traitement de ces données personnelles à l'aide d'outils d'automatisation ou sans utiliser de tels moyens;

— confidentialité des données personnelles- une exigence obligatoire pour l'exploitant ou toute autre personne qui a eu accès aux données à caractère personnel pour empêcher leur diffusion sans le consentement de la personne concernée ou une autre base juridique;

— transfert transfrontalier de données personnelles - le transfert de données à caractère personnel par l'exploitant à travers la frontière d'État de la Fédération de Russie à l'autorité d'un État étranger, une personne physique ou morale d'un État étranger;

- données personnelles accessibles au public - les données personnelles, l'accès à un nombre illimité de personnes auxquelles est fourni le consentement de la personne concernée ou auxquelles, conformément aux lois fédérales, l'exigence de confidentialité ne s'applique pas.

Traitement des données personnelles.

1) la légalité des finalités et des méthodes de traitement des données personnelles et la bonne foi;

2) la conformité des finalités du traitement des données personnelles avec les finalités prédéterminées et déclarées lors de la collecte des données personnelles, ainsi que les pouvoirs de l'exploitant;

3) la correspondance entre le volume et la nature des données personnelles traitées, les méthodes de traitement des données personnelles et les finalités du traitement des données personnelles;

4) la fiabilité des données personnelles, leur suffisance aux fins du traitement, l'irrecevabilité du traitement des données personnelles qui sont redondantes par rapport aux finalités énoncées lors de la collecte des données personnelles;

5) l'irrecevabilité de combiner des bases de données de systèmes d'information sur les données personnelles créées à des fins incompatibles.

Si une fois que quelqu'un a rempli une carte d'empreintes digitales, elle se trouve dans le centre d'information de ses bases de données. Nous ne pouvons, par exemple, combiner des bases de données sur des citoyens ordinaires et des personnes qui ont commis des crimes.

1) avec le consentement du propriétaire des données personnelles

2) sans le consentement du propriétaire des données personnelles.

Ceci s'applique aux personnes occupant un certain poste et une certaine position: personnel militaire, cadavres

Confidentialité des données personnelles:

Lorsqu'il n'est pas nécessaire:

1) en cas d'anonymisation des données personnelles;

2) en ce qui concerne les données personnelles accessibles au public.

- l'opérateur qui collecte et traite les données personnelles.

- restreindre l'accès au sein de votre propre organisation

L'exploitant est personnellement responsable de la diffusion des données personnelles

- Mise en place de restrictions d'accès à l'intérieur et au réseau (système d'accès, système d'identification par carte)

Pour les réseaux locaux - login système + mot de passe

Vous pouvez restreindre l'accès par des informations biométriques: empreinte digitale, rétine.

- sur la race

- sur les opinions politiques

- sur les croyances religieuses ou philosophiques

- sur l'état de santé

- sur la vie intime

Leur traitement n'est possible qu'avec le consentement des sujets.

1) le consentement écrit du sujet à son traitement

2) si le sujet des données personnelles les a rendues publiques

3) si ces informations concernent des informations nécessaires pour protéger la vie, la santé et d'autres intérêts vitaux d'une personne

Ces informations peuvent être fournies à des fins médicales et préventives - par exemple, une infection virale.

La particularité du traitement des données personnelles dans les systèmes d'information étatiques ou municipaux pour le traitement des données personnelles.

- s'applique uniquement aux fonctionnaires et aux employés municipaux.

L'organisme d'État a son propre statut, il existe des systèmes indépendants de traitement des informations sur les employés de l'État ou des municipalités.

1) il a été établi quelles informations sont nécessaires dans le cadre de sa compétence

2) il existe également la loi fédérale «sur la fonction publique de l'État», c'est-à-dire qu'elle n'est pas seulement réglementée par la législation sur les données personnelles.

Les informations qui caractérisent les caractéristiques physiologiques d'une personne et sur la base desquelles il est possible d'établir son identité (données personnelles biométriques) ne peuvent être traitées qu'avec le consentement écrit du sujet des données personnelles, sauf dans les cas suivants:

1) commission d'un crime

Le traitement des données personnelles biométriques peut être effectué sans le consentement de la personne concernée dans le cadre de l'administration de la justice, ainsi que dans les cas prévus par la législation de la Fédération de Russie sur la sécurité, la législation de la Fédération de Russie sur les activités de recherche opérationnelle, la législation de la Fédération de Russie sur le service public et la législation pénale de la Fédération de Russie. Fédération de Russie, la législation de la Fédération de Russie sur la procédure de sortie de la Fédération de Russie et d’entrée en Fédération de Russie.

- la collecte d'informations auprès d'un suspect est illégale

Traitement des informations transfrontalières.

Il peut être exigé afin de protéger les citoyens du pays où il est transféré, il n'est collecté qu'avec le consentement écrit du sujet.

Droits du sujet des données personnelles.

1) Le droit du sujet des données personnelles d'accéder à ses données personnelles

Vous ne pouvez pas appeler le centre d'information du ministère de l'Intérieur (centre d'information principal et centre d'information zonal)

2) Les droits des personnes concernées au traitement de leurs données personnelles afin de promouvoir des biens, des travaux, des services sur le marché, ainsi qu'à des fins de campagne politique

L'exactitude des informations sera vérifiée par d'autres.

3) prendre des décisions basées uniquement sur le traitement automatisé des données personnelles. Une personne peut ne pas faire confiance au traitement automatisé. Vous pouvez exiger que les empreintes digitales soient stockées non seulement dans l'ordinateur, mais également sur papier.

- Code du travail de la Fédération de Russie - il y a un chapitre sur les données personnelles.

LOI FÉDÉRALE SUR L'ENREGISTREMENT DACTYLOSCOPIQUE DE L'ÉTAT DANS LA FÉDÉRATION DE RUSSIE du 25 juillet 1998 N 128-FZ

Les données personnelles accessibles au public sont

Informations personnelles - toute information relative à un certain ou déterminée sur la base de ces informations personne naturelle , comprenant:

Son nom, prénom, patronyme,

Année, mois, date et lieu de naissance,

Adresse, famille, social, statut de propriété, éducation, profession, revenu,

— l'autre informations (voir FZ-152, article 3).

Par exemple: détails du passeport, états financiers, dossiers médicaux, année de naissance (pour les femmes), biométrie, autres informations d'identification personnelle.

DANS publique sources de données personnelles (carnets d'adresses, listes et autres supports d'information) avec consentement écrit un individu peut inclure son nom, prénom, patronyme, année et lieu de naissance, adresse, numéro d'abonné et autres données personnelles (voir FZ-152, article 8).

Les données personnelles font référence aux informations d'accès limité et doivent être protégé conformément à la législation de la Fédération de Russie. Dans la formation des exigences pour la sécurité des systèmes, les données personnelles sont divisées en 4 catégories.

Quel est l'exploitant et le sujet des données personnelles?

Opérateur de données personnelles - il s'agit, en règle générale, d'une organisation, ou plutôt d'un organe étatique ou communal, d'une personne morale ou d'un individu, organisant et (ou) effectuant le traitement des données personnelles, ainsi que déterminant les finalités et le contenu du traitement des données personnelles.

Sujet des données personnelles Est un individu.

L'exploitant est responsable de la protection des données personnelles du sujet conformément à la législation en vigueur de la Fédération de Russie.

Comment classer le système d'information des données personnelles?

À attribuer typique système d'information sur les données personnelles (ISPDN) à une classe particulière est nécessaire:

II. Définir le volume données personnelles traitées dans le système d'information:

volume 3 - le système d'information traite simultanément les données moins de 1000 sujets les données personnelles ou les données personnelles des sujets de données personnelles au sein d'une organisation particulière;

2ieme volume de 1000 à 100000 sujets les données à caractère personnel ou les données à caractère personnel des personnes concernées travaillant dans l'industrie de l'économie de la Fédération de Russie, dans une autorité publique résidant dans la municipalité;

volume 1 - le système d'information traite simultanément les données personnelles plus de 100 000 sujets les données personnelles ou les données personnelles des sujets de données personnelles relevant du sujet de la Fédération de Russie ou de la Fédération de Russie dans son ensemble;

III. Sur la base des résultats de l'analyse des données initiales typique ISPD se voit attribuer l'un des éléments suivants des classes (Voir le tableau):

Classe 4 (K4) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données à caractère personnel qui y sont traitées n'entraîne pas de conséquences négatives pour les personnes concernées;

Classe 3 (K3) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données à caractère personnel qui y sont traitées peut entraîner des conséquences négatives mineures pour les personnes concernées;

Classe 2 (K2) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données à caractère personnel qui y sont traitées peut avoir des conséquences négatives pour les personnes concernées;

Classe 1 (K1) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives importantes pour les personnes concernées.

Doomsday reporté au 1er janvier 2011

Les systèmes d'information sur les données personnelles créés avant l'entrée en vigueur de la loi fédérale n ° 152 de la Fédération de Russie sur les données personnelles doivent être mis en conformité avec les exigences de cette loi fédérale au plus tard le 1er janvier 2010 (voir FZ-152, article 25).

Cela signifie que les opérateurs de données personnelles qui ne se sont pas conformés aux exigences très strictes de FZ-152, à partir du 1er janvier 2010, encourront les sanctions civiles, administratives, disciplinaires et peut-être (Dieu nous en préserve) et pénales. une responsabilité .

Tous les systèmes d'information qui ont déjà été mis en service après février-avril 2008 (depuis l'envoi de documents méthodologiques par le FSTEC de Russie et le FSB de Russie), mais ne répondant pas aux exigences de la législation russe dans le domaine des données personnelles, peuvent encourir cette responsabilité plus tôt, par exemple demain matin. ...

Remarque. Les amendements au Code pénal de la Fédération de Russie, renforçant considérablement la responsabilité en cas de violation de la vie privée, entreront également en vigueur le 1er janvier 2010.

Mais comme toujours, les opérateurs de données personnelles n'ont pas beaucoup bougé, et peu de gens ont réussi à faire tout ce qui était nécessaire. Le 16 décembre 2009, la Douma d'Etat a adopté en troisième lecture des amendements aux articles 19 et 25 de la loi «sur les données personnelles» (152-FZ). La date limite pour mettre les systèmes d'information sur les données personnelles (ISPDN) en conformité avec cette loi a été reportée d'un an - au 1er janvier 2011. En outre, la loi a exclu la règle obligeant l'opérateur à utiliser des moyens de cryptage (cryptographiques) pour protéger les données lors du traitement des données personnelles.

Exigences obligatoires pour la protection des systèmes d'information sur les données à caractère personnel

Exigences obligatoires de base pour l'organisation d'un système de sécurité de l'information en fonction de la classe d'un ISPD typique:

Pour la classe ISPDN 4:

La liste des mesures de protection des données personnelles est déterminée par l'exploitant (en fonction des dommages éventuels)

Pour ISPD classe 3:

Déclaration de conformité ou

Obtention d'une licence du FSTEC de Russie pour la protection technique des informations confidentielles (pour les systèmes distribués ISPDN K3)

Pour ISPD classe 2:

Certification obligatoire pour les exigences de sécurité de l'information

Obtention d'une licence de FSTEC de Russie pour la protection technique des informations confidentielles pour les systèmes distribués

Pour ISPD classe 1:

Certification obligatoire pour les exigences de sécurité de l'information

Des mesures doivent être prises pour protéger les données personnelles de PEMIN

Obtention d'une licence du FSTEC de Russie pour la protection technique des informations confidentielles

Procédure de protection du système d'information sur les données personnelles

La séquence d'actions pour répondre aux exigences de la législation sur le traitement des données personnelles:

1) Notification à l'organisme habilité pour la protection des droits des sujets de données personnelles de leur intention de traiter des données personnelles à l'aide d'outils d'automatisation;

2) Enquête préalable à la conception du système d'information - collecte des données initiales;

3) Classification du système de traitement des données personnelles;

4) Construire un modèle privé de menaces afin de déterminer leur pertinence pour le système d'information;

5) Développement d'une mission technique privée pour un système de protection des données personnelles;

6) Concevoir un système de protection des données personnelles;

Responsabilité en cas de violation du traitement des données personnelles

Les personnes coupables d'avoir enfreint les exigences de la loi fédérale 152-FZ "sur les données personnelles" portent:

- pénale (voir le Code pénal de la Fédération de Russie, articles 137, 140, 155, 183, 272, 273, 274, 292, 293),

Administratif (voir le Code de la Fédération de Russie sur les infractions administratives, articles 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disciplinaire (voir Code du travail de la Fédération de Russie, article 81; article 90; article 195; article 237; article 391)

et toute autre responsabilité stipulée par la législation de la Fédération de Russie (voir les règlements sur l'utilisation des données à caractère personnel qui sont publiés dans les entités constitutives de la Fédération de Russie, les départements et les organisations).

FSTEC - Service fédéral du contrôle technique et des exportations.

PEMIN - Émissions et inductions électromagnétiques parasites

Protection des informations personnelles

En décembre 2014, en troisième lecture, la Douma d'État a adopté un projet de loi sur le stockage des données personnelles des citoyens traitées sur Internet sur des serveurs en Russie. Selon Roman Chuichenko, membre de la commission de la politique de l'information, l'objectif principal du projet de loi est de renforcer la sécurité de l'information du pays et de ses citoyens. Cette mesure a été prise en raison de la complication de la situation internationale. Ce projet de loi entrera en vigueur le 1er septembre 2015.

L'entrée en vigueur du nouveau règlement sur la protection des données personnelles implique la mise à disposition des opérateurs de données personnelles avec:

détection en temps opportun des accès non autorisés aux données personnelles;
prévention de l'impact sur les moyens techniques qui effectuent le traitement automatisé de la DP;
la capacité de réagir rapidement en cas d'accès non autorisé et de restaurer immédiatement la DP en cas de destruction ou de modification;
surveillance constante du niveau de protection des données personnelles.

Catégories de données personnelles

Le traitement ISPD peut également être effectué en fonction du paramètre «volume de données personnelles traitées», qui suppose le nombre de sujets traités dans le système d'information, et peut prendre les valeurs suivantes:

traitement simultané de plus de 100 000 personnes concernées (effectué à la fois au sein de l'entité constitutive de la Fédération de Russie et dans l'ensemble de la Fédération de Russie);
traitement simultané de données personnelles de 1 à 100 mille sujets (effectué par l'autorité publique travaillant dans le domaine de l'économie de la Fédération de Russie);
traitement simultané des données personnelles de moins de 1000 sujets (effectué au sein d'une organisation spécifique).

La division en catégories permet non seulement de déterminer la classe d'ISPD, mais également d'établir un ensemble de mesures pour assurer la sécurité et la protection des données personnelles sur Internet, lorsqu'elles sont traitées dans les systèmes d'information.

Données personnelles de l'employé

Chaque employé a le droit de protéger ses données personnelles (clause 9, article 86 du Code du travail de la Fédération de Russie).

Conformément à l'art. 89 du Code du travail de la Fédération de Russie, chaque employé peut exercer son droit à la protection et à la protection des données personnelles par les actions suivantes:

un accès gratuit et gratuit à vos données personnelles, y compris l'obtention d'une copie de tout enregistrement contenant les données personnelles de l'employé;
la détermination d'un représentant personnel pour protéger leurs données personnelles;
obtenir des informations complètes sur la DP et son traitement;
demander l'exclusion ou la correction de données personnelles contenant des informations incorrectes ou, si elles ont été traitées en violation des exigences légales;
appel devant le tribunal des actions illégales de l'employeur, ainsi que de son inaction dans le traitement et la protection des données personnelles.

La composition des données personnelles du salarié

Sur la base de la clause 2 de l'article 86 du Code du travail de la Fédération de Russie, le volume et le contenu des données personnelles de l'employé sont déterminés par l'employeur conformément à la Constitution de la Fédération de Russie, au Code du travail et à d'autres lois fédérales. En règle générale, l'activité de toute organisation implique l'utilisation de deux principaux types de documents par l'employeur dans le flux de travail:

Documents fournis par l'employé lors de la conclusion d'un contrat de travail (article 65 du Code du travail de la Fédération de Russie). Cette catégorie comprend les documents contenant une photographie d'un employé, son nom complet, des informations sur le lieu et la date de naissance, la citoyenneté, l'état matrimonial, le lieu d'enregistrement, l'éducation, la spécialité (passeport, certificat d'assurance de l'assurance pension de l'État, carte d'identité militaire, etc.).
Documents générés par l'employeur de manière indépendante (documentation comptable principale pour la comptabilité du travail et le paiement). Cette catégorie comprend les commandes ou commandes d'admission d'un salarié, de résiliation d'un contrat de travail, de primes pour un salarié, de carte personnelle, de documents de rémunération.

Protection des données personnelles, responsabilité en cas de violation de la loi

Notez que certaines sanctions pour violation de certaines infractions s'appliquent à la fois aux individus et aux fonctionnaires, ainsi qu'aux personnes morales.

Conformément à l'article 150 du Code civil de la Fédération de Russie, l'inviolabilité de la vie privée, des secrets personnels et de famille est l'un des droits immatériels inaliénables protégés par les lois applicables.

Notez que les droits et obligations d'un employé qui sont directement liés aux données personnelles des autres employés sont déterminés par les termes du contrat de travail et la composition des actes juridiques réglementaires locaux qui établissent les fonctions de travail de l'employé et la liste de ses tâches.

Responsabilité administrative la violation de la procédure de collecte, de stockage et de distribution des données personnelles entraîne un avertissement ou une amende d'un montant de: de 300 à 500 roubles - pour les particuliers; de 500 à 1000 roubles - pour les fonctionnaires, de 5 à 10 mille roubles - pour les personnes morales (article 13.11 du Code administratif de la Fédération de Russie). La responsabilité administrative pour la diffusion d'informations protégées par la loi, dans l'exercice de fonctions officielles et professionnelles, entraîne une amende d'un montant de: de 500 à 1000 roubles - pour les particuliers, de 4 à 5000 roubles - pour les fonctionnaires (article 13.14 du Code administratif de la Fédération de Russie) ...

La violation de l'inviolabilité de la vie privée, en particulier des données personnelles, par une personne utilisant sa fonction officielle prévoit une sanction sous la forme de:

une amende d'un montant de 100 à 300 000 roubles, salaire ou autre revenu du contrevenant dans un délai d'un à deux ans;
la privation du droit d'occuper certains postes pendant une période de 2 à 5 ans;
arrestation pour une période de 4 à 6 mois.