legea Datele personale este severă
Rechkin Roman Valerevich
asociat principal
Dacă faci afaceri în România, trebuie să țină evidența în mod constant modificări în legislație. Faptul că ieri a fost normală și acceptabilă astăzi poate fi deja dincolo de lege. Un exemplu tipic al noilor cerințe stricte pentru afaceri - normele de drept cu privire la datele cu caracter personal.
Importanța acestei legi este necondiționată: ea atinge fiecare antreprenor. Dacă organizația dvs. are cel puțin un angajat sau un client - persoană fizică, Legea cu privire la datele personale impune pe tine un angajament serios.
Tishkovskiy Andrey Aleksandrovich
Șef de departament
În cazul în care organizația dvs. a colectat, stocat, sau în orice mod utilizat în datele personale, indiferent dacă vă place sau nu, din punct de vedere al legii, recunoști că procesorul de date cu caracter personal.
1. Individul în prelucrarea datelor cu caracter personal
Legea cu privire la datele personale a introdus o regulă nouă și foarte stricte că prelucrarea datelor cu caracter personal (de fapt, orice operațiuni cu ei: primirea, depozitarea, baze de date, etc.) este permisă numai cu consimțământul persoanei date cu caracter personal (persoana ale cărei date prelucrate).
Excepții de la această regulă cu condiția doar șapte. Dintre acestea, doar unul aplicabil cursul normal al activității: prelucrarea datelor cu caracter personal este posibilă fără consimțământul subiectului datelor cu caracter personal, în cazul în care o astfel de prelucrare este efectuată în scopul de a executa contractul, o parte care face obiectul datelor cu caracter personal (de exemplu, contractul cu clientul).
Legiuitorul a urmărit aparent un scop bun - pentru a îmbunătăți protecția datelor cu privire la viața privată, pentru a aduce regulile de cifra de afaceri, în conformitate cu standardele europene (legea federală adoptate în conformitate cu Convenția Consiliului Europei „Cu privire la protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal“).
Dar, din păcate, introducerea unei astfel de regulă rigidă o dată, fără a ține seama de specificul diferitelor sectoare de activitate, complica foarte mult viața antreprenorilor. De exemplu, aceasta este o lovitură puternică de recrutare de afaceri: agențiile de recrutare sunt acum în mod oficial au dreptul de a utiliza bazele de date deschise pe Internet ca un potențial angajat nu a dat acordul cu privire la prelucrarea datelor cu caracter personal.
Ca regulă generală, nu ar trebui să fie scris consimțământul unei persoane la prelucrarea datelor cu caracter personal. (Dar există câteva excepții, care vor fi discutate mai jos). Cu toate acestea, în cazul testării agenției de stat sau dispută instanță cu subiectul datelor cu caracter personal antreprenorul trebuie să fie gata să dovedească existența acestui acord. Prin urmare, pentru a evita plângerile din partea organelor de control sau de persoane care au fost prelucrate informații, se recomandă să se obțină un astfel de acord este în scris. În acest scop, puteți utiliza o formă specială de documente semnate de către subiecții datelor cu caracter personal, și să includă condiții adecvate în contractele de muncă cu angajații și contracte cu clienții.
consimțământul scris obligatoriu de la un individ este obligat să se ocupe de așa-numitele date cu caracter personal speciale legate de originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, sănătatea, viața sexuală.
O altă regulă fundamentală este că operatorul este obligat să utilizeze datele cu caracter personal numai în conformitate cu scopul pentru care le-a primit, utilizarea informațiilor pentru orice alt scop este ilegal.
2. Securitatea datelor cu caracter personal
Orice date cu caracter personal, operatorul trebuie să ia acum „măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter personal împotriva accesului neautorizat sau accidentale, distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale“ (clauza 1, articolul. 19 din legea federală „cu privire la datele cu caracter personal“). Această cerință este chiar mai dificilă din punct de vedere organizatoric și de vedere financiar, decât sa discutat mai sus.
PravitelstvomRumyniyabylo a adoptat Regulamentul privind protecția securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal [4]. Conform acestui document a fost elaborat ca Regulamentul privind metodele și mijloacele de protecție a informațiilor în sistemele informaționale de date cu caracter personal [5], care stabilește măsurile organizatorice și tehnice pentru protecția informațiilor în sistemele de informații.
Alegerea și punerea în aplicare a tehnicilor și metodelor de protecție a informațiilor în sistemul de informații al unei anumite organizații specifice sunt efectuate pe baza unor amenințări identificate la adresa securității datelor cu caracter personal de către operator (riscuri de model) și, în funcție de clasa sistemului informatic [6].
Aceste reglementări prevăd următoarele măsuri organizatorice și tehnice pentru protecția datelor cu caracter personal:
- Notă organism autorizat pentru protecția datelor cu caracter personal ale subiecților (Roscomnadzor [7]) cu privire la intenția de a efectua prelucrarea datelor cu caracter personal. Pe baza unei astfel de notificări persoanei incluse în registrul operatorilor de date cu caracter personal, care se află în domeniul public la locul de Roskomnadzor.
- Elaborarea documentelor care reglementează prelucrarea datelor cu caracter personal în organizație: poziția prelucrării datelor cu caracter personal, reglementări, dispoziții privind protecția datelor cu caracter personal. Aceste documente ar trebui să fie îndreptate la crearea condițiilor pentru punerea în aplicare a măsurilor tehnice de protecție a informațiilor confidențiale.
- Controlul acțiunilor de personal în sistemele de informații protejate.
- Determinarea ordinii de finanțare pentru a asigura continuitatea activităților de securitate a informațiilor.
- Crearea unui sistem de protecție a datelor cu caracter personal, inclusiv îndeplinirea cerințelor de inginerie și de protecție tehnică a spațiilor.
- Dezvoltarea personalului în domeniul protecției datelor cu caracter personal.
- Folosind tehnica, program de hardware criptografic și pentru a proteja informațiile împotriva accesului neautorizat, copierea, modificarea sau distrugerea.
Chiar de la prima vedere, sistemul descris mai este la fel de greoaie și prea complicată. Iar unele dintre dispozițiile sale sunt sincer nu au nevoie de un stat, nici măcar persoanelor fizice (date personale supuse). De exemplu, având în vedere faptul că prelucrarea datelor cu caracter personal realizează practic orice organizație, nu este clar sensul de „notificare în scris a organului autorizat cu privire la intenția sa de a efectua prelucrarea datelor cu caracter personal«și»date cu caracter personal incluse în registrul operatorilor." În acest caz, pentru eșecul de a notifica legislația responsabilă organism autorizat nu a fost stabilită.
Chiar și mai absurd revendicările prevăzute 4, 5, articolul 21 din Legea federală „privind protecția datelor personale“ datoria operatorului „de a notifica subiectul datelor cu caracter personal privind încetarea prelucrării datelor cu caracter personal și distrugere.“
Este puțin probabil ca un astfel de sistem greoi și excesiv de birocratizat de protecție a datelor cu caracter personal în toate elementele sale va funcționa chiar și pe întreprinderile de stat mari. Între timp, în plus față de numeroasele bariere administrative și povara fiscală asupra întreprinderilor și a pus mai multă responsabilitate pentru punerea în aplicare a acestui sistem. Pentru a-l pune în aplicare, în mod evident, aveți nevoie de resurse speciale și investiții financiare suplimentare. Este semnificativ faptul că piața este „consultanți în domeniul protecției datelor cu caracter personal“ este deja plin de propuneri „pentru a asigura protecția datelor cu caracter personal, în conformitate cu toate cerințele legii.“ Desigur - pentru remunerația corespunzătoare.
3. Responsabilitatea pentru încălcarea legii privind protecția datelor personale
Stabilirea de cerințe privind protecția datelor cu caracter personal, statul a oferit și responsabilitatea pentru nerespectarea. Cu toate acestea, în ciuda clauzei în legea cu privire la posibilitatea de implicare a „civile, penale, administrative, disciplinare și alte furnizate zakonodatelstvomRumyniyaotvetstvennosti“ (articolul 24 din Legea federală „Cu privire Date personale“), de fapt, stabilit în mod legal doar responsabilitatea administrativă.
O astfel de cantitate mică de responsabilitate pe de o parte, și complexitatea organizatorică a sistemului personal de protecție a datelor, pe de altă parte, se lasă să se prevadă că situația se va dezvolta în conformitate cu vechea tradiție națională: „Severitatea legilor romane este înmuiată de a nu avea performanțele lor.“
Responsabilitatea administrativă pentru încălcarea legislației datelor cu caracter personal (st.13.11 Codul administrativ)
Atac: încălcarea ordinii legale colectarea, stocarea, utilizarea sau difuzarea de informații despre cetățeni (date personale).
Penalizare: un avertisment sau o amendă administrativă cuprinsă între 500 și 1000 de ruble (pentru funcționarii organizației), de la 5 000 la 10 000 de ruble (pentru persoane juridice).
[7] Numele complet - Serviciul federal de supraveghere a comunicațiilor, tehnologiei și comunicațiilor TION Informa masă.
proprietate intelectuală, drept comercial, mass-media