Quels sont les moyens de traiter les données personnelles?

Dans le code du travail de la Fédération de Russie, il existe un terme comme "informations personnelles d'une personne qui travaille". Les données sur le contingent d’exploitation doivent être fournies à l’employeur.

Après avoir examiné des informations personnelles, l’employeur se prononce sur l’emménagement d’une personne dans l’entreprise.

Les informations qu'une personne présente sur elle-même doivent être protégées. Distribuer c'est interdit.

Chers lecteurs! Nos articles traitent des moyens classiques de résoudre des problèmes juridiques, mais chaque cas est unique.

Si vous voulez savoir comment résoudre exactement votre problème - il suffit d'appeler, c'est rapide et gratuit!

Système

Les informations personnelles sur les employés doivent être sujettes à développement.

L’employeur applique les exigences suivantes aux données à caractère personnel des travailleurs:

1. Le processus de traitement des informations personnelles concernant une personne qui travaille a pour but de garantir le respect des lois et des actes juridiques. Grâce au traitement de données, vous pouvez employer une personne, lui assurer une sécurité personnelle, surveiller le travail qu'il effectue.
2. L'employeur prend en compte le champ d'application ainsi que le contenu des informations personnelles sur le contingent de travail en cours de traitement. Tous les employeurs étudient et respectent des aspects de la Constitution et d’autres lois fédérales.
3. Les informations sur l'équipe de travail doivent être obtenues directement des employés eux-mêmes. Vous pouvez obtenir des informations sur la personne qui travaille par une troisième bouche, mais uniquement avec le consentement écrit de cette personne. L'employeur informe les employés de leurs objectifs et de leurs sources, à partir desquels des informations personnelles seront recueillies. L'employeur met en garde contre les conséquences en cas de refus de communiquer des informations personnelles de la personne qui travaille.
4. Une personne qui fournit du travail à ses employés n’a pas le droit d’être informée de toutes sortes de convictions politiques, religieuses ou autres, ainsi que de la vie familiale d’un travailleur. La vie personnelle d'un employé ne peut être énoncée qu'avec son accord. L'entente doit être faite par écrit.
5. L'employeur ne devrait pas utiliser, dans le traitement d'informations, la présence de personnes employées dans des associations de membres, des syndicats. Mais il existe des situations prévues par la loi fédérale.
6. Tous les renseignements personnels doivent être protégés et cachés de l'examen et de l'utilisation du public. La protection des données est soumise aux conditions de la loi fédérale.
7. Les travailleurs étudient les documents appartenant à l'institution. Ils devraient divulguer la signification et l'ordre des processus de traitement des données personnelles des employés.
8. Les travailleurs doivent accepter la protection de leurs informations personnelles.
9. Les employeurs eux-mêmes, ainsi que les employés, peuvent travailler ensemble pour développer des moyens de protéger les informations personnelles des employés.

Lorsqu'il communique des informations sur des employés, le directeur de l'entreprise doit suivre les règles suivantes:

• Un tiers n'a pas besoin de connaître les données personnelles de chaque employé. Les données ne peuvent être fournies que dans les cas où les employés ont consenti par écrit à l'utilisation de leurs informations personnelles. Mais s'il existe une menace pour les moyens de subsistance, la santé de l'équipe de travail, les données personnelles peuvent être fournies à d'autres personnes sans consentement écrit préalable;
• l'employeur ne doit pas publier de données sur l'équipe qui y travaille à des fins commerciales;
• les personnes qui reçoivent des informations sur les employés doivent les traiter dans le cadre de la confidentialité;
• le transfert d'informations concernant une personne est effectué uniquement dans une organisation par le biais d'actes internes spécifiques de l'institution;
• les informations sur l'employé n'ont accès qu'aux personnes spécialement autorisées;
• pas besoin de demander des informations sur la santé des personnes qui travaillent. Une demande ne peut être faite que dans les cas où la question de savoir si les travailleurs peuvent exercer leurs fonctions de travail se pose;
• des données à caractère personnel sur le contingent de travail peuvent être collectées en tenant compte des données du code.

Un contingent en activité a le droit de:

• connaissance de vos données personnelles et de leur traitement;
• accès illimité aux informations personnelles. Une personne qui travaille peut recevoir des copies des données d’information. Mais il existe des situations où les informations personnelles ne sont pas divulguées. Ces situations sont décrites dans la loi fédérale;
• un professionnel de la santé peut consulter les données personnelles des employés;
• la possibilité de corriger ou de compléter les sujets de données personnelles.

Les types suivants de traitement de données à caractère personnel sont distingués:

1. Traitement de l'information à l'aide de la technologie informatique.
2. Pas de traitement automatisé.
3. Système d'information traitant les données fournies.

Automatisé

Ce traitement est effectué à l'aide d'une technologie informatique spéciale. Les machines informatiques les plus courantes peuvent être:

• ordinateur électronique;
• dispositifs auxiliaires;
• les périphériques;
• logiciel nécessairement installé.

Non automatisé

La description la plus détaillée du traitement non automatisé est écrite dans le décret gouvernemental numéro 687.

La diffusion, l’étude et la suppression des informations sur le contingent opérationnel doivent être effectuées avec une partie de la personne et non par la technologie informatique.

Informatif

Grâce au système d’information, des catégories particulières d’informations personnelles sur le contingent opérationnel sont traitées. Ce système traite les données relatives à l'appartenance à une race et à un sexe particuliers, à la nationalité, aux opinions politiques et aux perspectives philosophiques.

Grâce au système d'information peut être traité:

• données personnelles biométriques. Surtout s'il existe une caractéristique de données biologiques et physiologiques. Grâce aux caractéristiques obtenues, il est possible d'évaluer la personnalité des travailleurs;
• données personnelles partagées;
• autres données informatives. Un exemple serait la religion, les idées nationales, la perspective philosophique, les moments de la nature intime du contingent de travailleurs et de nombreuses autres caractéristiques personnelles importantes jusqu’à l’état de santé.

Ainsi, les informations personnelles sur chaque employé sont contenues dans tous les employeurs. Le directeur n’a en aucun cas le droit de diffuser les données disponibles sur la personne.

Les informations obtenues sur le contingent opérationnel peuvent être traitées de différentes manières: à l'aide de la technologie informatique, à l'aide de forces personnelles, grâce au système d'évaluation de l'information.

Dans tous les cas, les données personnelles de chaque employé sont soigneusement examinées.

Modes de traitement des données personnelles

Par ordre du code civil de la région de l'Amour

du 26 décembre 2012, n ° 626

en ce qui concerne le traitement des données personnelles

1. DISPOSITIONS GÉNÉRALES

1.1. Ce document (ci-après dénommé la «Politique») est un énoncé systématique des objectifs, principes, méthodes et conditions régissant le traitement des données à caractère personnel, ainsi que des informations sur les exigences appliquées en matière de traitement et de protection des données à caractère personnel dans la GKU de la région de l'Amour du Département central de la Ville libre (ci-après dénommé le Centre de l'emploi).

1.2. La politique est basée sur les exigences de la loi fédérale de la Fédération de Russie sur les données à caractère personnel, d'autres actes juridiques réglementaires de la Fédération de Russie établissant la procédure de traitement et de protection des données à caractère personnel. La politique est un document public.

1.3. Conformément à la loi fédérale n ° 152-З du 27 juillet 2006 relative aux données à caractère personnel, le Centre pour l'emploi est l'opérateur de données à caractère personnel (ci-après dénommé «PD»).

2. DONNÉES PERSONNELLES TRAITÉES

2.1. Principaux termes utilisés dans la politique:

· Données personnelles - toute information relative à une personne physique (sujet de données personnelles) déterminée ou déterminée sur la base de cette information, y compris son nom de famille, prénom, prénom, année, mois, date et lieu de naissance, adresse, famille, social, propriété position, éducation, profession, revenu, autres informations;

· Traitement de données à caractère personnel - actions avec des données à caractère personnel, y compris la collecte, la systématisation, l’accumulation, le stockage, le raffinement (mise à jour, modification), l’utilisation, la diffusion (y compris le transfert), la dépersonnalisation, le blocage, la destruction de données à caractère personnel;

2.2. Dans le cadre de cette politique, les données personnelles traitées signifient:

· Les données personnelles fournies par les destinataires de services publics postulant au centre pour l'emploi;

· Les données personnelles des employés du centre pour l'emploi ou des candidats à des postes vacants;

3. FINS DE TRAITEMENT DE DONNÉES PERSONNELLES

3.1. Les objectifs du traitement de la PD dans le centre d'emploi sont les suivants:

· Veiller à la mise en œuvre des droits constitutionnels des citoyens de la Fédération de Russie au travail et à la protection sociale contre le chômage, en fournissant des services publics dans le domaine de la promotion de l'emploi;

· Veiller à la mise en œuvre des droits constitutionnels des citoyens de faire appel;

· Obtenir une évaluation objective de l’état du marché du travail dans l’entité constitutive de la Fédération de Russie (en ce qui concerne les destinataires des services publics de l’emploi, les citoyens au chômage, les citoyens qui s'adressent au Centre pour l’emploi avec des propositions, des déclarations, des plaintes);

· Veiller au respect de la Constitution de la Fédération de Russie, des lois et autres textes réglementaires, aider les employés à trouver un emploi, former et progresser pour un emploi, assurer la sécurité personnelle des employés, contrôler la quantité et la qualité du travail effectué, garantir la sécurité des biens qui lui appartiennent et enregistrer les résultats obtenus. devoirs et sécurité des biens du centre d’emploi.

· Exercer les fonctions d'un agent des impôts dans la mise en place des déductions fiscales standard (à l'égard des membres de la famille des employés du centre pour l'emploi);

· Respect des obligations découlant des contrats de droit civil (en ce qui concerne les personnes qui effectuent un travail et fournissent des services dans le cadre de contrats de droit civil avec le Centre pour l'emploi).

4. PRINCIPES DE TRAITEMENT DES DONNÉES PERSONNELLES

4.1. Mise en œuvre du traitement de la PD sur une base légale et équitable.

4.2. Limiter le traitement de la DP à la réalisation des objectifs spécifiques, prédéterminés et légitimes indiqués dans la section 2 du présent document. Il n'est pas permis de traiter des données personnelles incompatibles avec les objectifs de la collecte de données personnelles.

4.3. Empêcher la combinaison de bases de données contenant PD, qui sont traitées à des fins incompatibles.

4.4. Traiter uniquement les PDS qui répondent aux objectifs de leur traitement.

4.5 Conformité avec le contenu et le volume de PD traités par les objectifs de traitement indiqués.

4.6. L'irrecevabilité de la redondance traitée PD par rapport aux objectifs déclarés de leur traitement.

4.7. S'assurer de l'exactitude des données relatives à l'exécution, de leur caractère suffisant et, si nécessaire, et de leur pertinence par rapport aux objectifs du traitement de ces informations.

4.8 Assurez-vous que les mesures nécessaires sont prises pour supprimer ou affiner les données incomplètes ou inexactes.

4.9 Réaliser le stockage de la PD sous une forme permettant de déterminer un sujet de la PD n'est pas plus long que l'objectif du traitement de la PD, si la durée de stockage de la PD n'est pas établie par la loi fédérale, le contrat pour lequel le sujet de la PD est un bénéficiaire ou un garant. Les PD à traiter sont sujets à destruction ou dépersonnalisation lors de la réalisation des objectifs de traitement ou en cas de perte de la nécessité d'atteindre ces objectifs, sauf disposition contraire de la loi fédérale.

5. MÉTHODES DE TRAITEMENT DES DONNÉES PERSONNELLES

5.1. Le centre pour l'emploi traite les PD de différentes manières:

· Traitement de PD non automatisé (sur papier);

· Traitement automatisé (dans ISPDn avec et sans utilisation d'équipements d'automatisation), notamment: avec et sans transmission via le réseau local du Centre pour l'emploi; avec et sans transmission sur Internet;

· Traitement PD mixte.

5.2. Le centre pour l'emploi peut choisir indépendamment les méthodes de traitement de la PD en fonction des objectifs de ce traitement et de ses propres capacités matérielles et techniques.

6. CONDITIONS DE TRAITEMENT DES DONNÉES PERSONNELLES

6.1. Le traitement de la PD est effectué conformément aux principes et aux règles prévus par la loi fédérale sur les données à caractère personnel.

6.2. Le traitement des données personnelles est autorisé dans les cas prévus par la loi fédérale sur les données à caractère personnel.

6.3. Le centre pour l'emploi a le droit de confier le traitement de la PD à une autre personne avec le consentement de son sujet, sauf disposition contraire de la loi fédérale, sur la base d'un contrat passé avec cette personne, y compris un contrat étatique ou municipal, ou en adoptant un acte pertinent de la part de l'État ou de l'organe municipal (ci-après dénommé ).

6.4. Si le centre pour l'emploi attribue le traitement d'un PD à une autre personne, la responsabilité de son sujet pour les actions de cette personne est assumée par le centre pour l'emploi. La personne qui traite des données personnelles au nom du centre d'emploi est responsable devant le centre d'emploi.

7. CONFIDENTIALITÉ DES DONNÉES PERSONNELLES

7.1. Le centre pour l'emploi et les autres personnes ayant obtenu l'accès au PD sont tenus de ne pas divulguer à des tiers et de ne pas distribuer le PD sans le consentement du sujet du PD, sauf disposition contraire de la loi fédérale.

8. CONSENTEMENT DU SUJET DE DONNÉES PERSONNELLES POUR LE TRAITEMENT DE SES DONNÉES PERSONNELLES

8.1. Le sujet de la discipline prend une décision concernant la fourniture de ses données personnelles et accepte leur traitement librement, de son plein gré et dans son intérêt.

8.2. Le consentement au traitement de la PD doit être spécifique, informé et conscient.

8.2. Le sujet de la PD ou son représentant peut donner son consentement au traitement de la DP, sous quelque forme que ce soit, permettant de confirmer le fait qu'elle a été reçue, sauf disposition contraire de la loi fédérale.

8.3. Dans le cas de l'obtention d'un consentement pour le traitement de données à caractère personnel auprès du représentant du sujet des données personnelles, l'autorité de ce représentant de donner son consentement au nom du sujet des données personnelles est vérifiée par le Centre pour l'emploi.

8.4. Le consentement au traitement PD peut être révoqué par le sujet PD. En cas de retrait du consentement de PDN au sujet du traitement de PD, le Centre pour l'emploi est autorisé à poursuivre le traitement de données à caractère personnel sans le consentement du sujet de PD si les motifs énoncés aux clauses 2 à 11 de la partie 1 de l'article 6, de l'article 10 et du paragraphe 2 de l'article 11 de la loi fédérale «Sur les données à caractère personnel ".

8.5 Dans les cas prévus par la loi fédérale, le traitement de la PD n'est effectué qu'avec le consentement écrit du sujet de la PD. Le consentement écrit est reconnu comme équivalent à un document électronique signé par la loi électronique signée conformément à la loi fédérale.

8.6. Le Centre pour l'emploi peut obtenir des données personnelles auprès d'une personne ne faisant pas l'objet de données personnelles, à condition que celui-ci confirme l'existence des motifs énoncés aux clauses 2 à 11 de la première partie de l'article 6, de la deuxième partie de l'article 10 et de la deuxième partie de l'article 11 de la loi fédérale sur la protection des données à caractère personnel. ".

9. MISE EN OEUVRE DES DROITS DES SUJETS DE DONNEES PERSONNELLES

9.1. Lors du traitement d'un PD, le Centre pour l'emploi fournit les conditions nécessaires pour que le PD puisse exercer librement ses droits.

9.2. Le sujet PD a le droit d'accéder à ses données personnelles.

9.3 Un objet PD a le droit de recevoir des informations concernant le traitement de ses données à caractère personnel, contenant: la confirmation du traitement du PD par le centre pour l'emploi; fondements juridiques et objectifs du traitement de la PD; les objectifs et les méthodes de traitement de la PD appliqués par le Centre pour l'emploi; le nom et le lieu du centre pour l'emploi, des informations sur des personnes (à l'exception des employés du centre pour l'emploi) ayant accès à des données personnelles ou pouvant divulguer des données personnelles sur la base d'un accord avec le centre pour l'emploi ou sur le fondement de la loi fédérale; Les DP traitées par le sujet de la PD concerné, la source de leur réception, à moins qu'une procédure différente pour la soumission de telles données ne soit prévue par la loi fédérale; Temps de traitement PD, y compris le temps de stockage; la procédure pour l'exercice par le sujet du PDN des droits prévus par la loi fédérale «sur les données à caractère personnel»; des informations sur le transfert de données transfrontalier achevé ou prévu; les nom ou prénom, nom, patronyme et adresse de la personne qui effectue le traitement du numéro de nom de domaine, pour le compte du centre de placement, si le traitement est confié à cette personne ou sera confié à celle-ci; autres informations prévues par les lois fédérales.

9.4. Le droit d'un titulaire de droits d'accéder à ses données personnelles peut être limité dans les cas expressément prévus par les lois fédérales.

9.5 Un PD a le droit de défendre ses droits et ses intérêts légitimes, y compris l'indemnisation de dommages-intérêts et (ou) l'indemnisation d'un préjudice moral devant un tribunal.

9.6. Si un PD considère que le centre pour l'emploi traite son PD en violation des exigences de la loi fédérale sur les données à caractère personnel ou enfreint de toute autre manière ses droits et libertés, le PD est en droit de faire appel de ses actions ou de son inaction auprès de l'organisme habilité à protéger les droits des personnes ordonnance du tribunal.

10. INFORMATIONS SUR LES MESURES MISES EN OEUVRE PAR LE CENTRE DE L'EMPLOI

VISÉ À ASSURER LA MISE EN ŒUVRE DES RESPONSABILITÉS RELATIVES AU TRAITEMENT DES DONNÉES PERSONNELLES

10.1. Lors du traitement de la PD, le centre pour l’emploi s’acquitte de ses tâches en tant qu’opérateur de la PD, conformément à la loi fédérale sur les données à caractère personnel.

10.2 Le Centre pour l'emploi prend les mesures nécessaires et suffisantes pour assurer le respect des obligations prévues par la présente loi fédérale et les actes réglementaires adoptés conformément à cette loi.

10.3. Le Centre pour l'emploi détermine de manière indépendante la composition et la liste des mesures nécessaires et suffisantes pour assurer le respect des obligations prévues par la présente loi fédérale et les actes réglementaires adoptés conformément à cette loi, sauf disposition contraire des lois fédérales.

10.4. Le Centre pour l’emploi offre un accès illimité à ce document (Politique), aux informations sur les exigences actuelles en matière de protection de la MP en le postant sur le site Web officiel du Département de l’emploi de la région de l’Amour, à l’adresse http: // zanamur. ru, GKU de la région de l'Amour de l'hôpital central de la ville de Svobodny à l'adresse http://svobzan.amur.ru.

11. INFORMATIONS SUR LA MISE EN ŒUVRE DES CENTRES DE MESURE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DANS LEUR TRAITEMENT

11.1. Le centre pour l’emploi en matière de traitement de données préventives veille à l’adoption des mesures juridiques, organisationnelles et techniques nécessaires pour protéger les personnes déplacées de tout accès illicite ou accidentel, destruction, modification, blocage, copie, fourniture, distribution, ainsi que d’autres actions illégales concernant PDN.

11.2 Afin de protéger les données à caractère personnel, le Centre pour l'emploi met en œuvre les exigences en matière de protection des données à caractère personnel lorsque celles-ci sont traitées dans des systèmes d'information de données à caractère personnel mis en place par le gouvernement de la Fédération de Russie.

11.3 Le Centre pour l'emploi assure la sécurité des personnes handicapées, notamment:

· L'identification des menaces à la sécurité des données à caractère personnel lorsqu'elles sont traitées dans le numéro ISPDN du centre pour l'emploi;

· L'utilisation de mesures techniques et organisationnelles garantissant la sécurité des données à caractère personnel lors de leur traitement dans le numéro ISPDN du centre pour l'emploi, nécessaires pour satisfaire aux exigences en matière de protection des données à caractère personnel, qui sont assurées par le niveau de protection défini par le gouvernement de la Fédération de Russie;

· L'utilisation des mesures de sécurité de l'information adoptées de la manière prescrite;

· Évaluation de l'efficacité des mesures prises par le centre pour l'emploi pour garantir la sécurité des données à caractère personnel avant la mise en service du SPDN;

· Prise en compte des porte-outils PD du Centre pour l'emploi;

· Détection des faits d'accès non autorisé à PDN et prise de mesures;

· Restauration de PDN modifiés ou détruits à la suite d'un accès non autorisé à ceux-ci;

· L'établissement de règles d'accès au PDN traitées dans le SPDN du centre pour l'emploi, ainsi que la garantie de l'enregistrement et de l'enregistrement de toutes les actions effectuées sur le PDN dans le RNIS du centre pour l'emploi;

· Contrôle des mesures prises pour assurer la sécurité des données à caractère personnel et le niveau de sécurité du RNIS au centre de l'emploi.

11.4. Les informations sur les mesures prises par le Centre pour l'emploi pour protéger les données à caractère personnel sont des informations restreintes.

12. Changement de politique. Loi applicable

12.1. Le Centre pour l'emploi a le droit d'apporter des modifications à cette politique.

12.2 Lorsque vous modifiez l'en-tête de la stratégie, la date de la dernière mise à jour de la révision est indiquée.

12.3 La nouvelle version de la politique entre en vigueur dès son affichage sur le site Web du département de l'emploi d'Amurskaya Oblast, à moins d'indication contraire dans la nouvelle version de la politique.

Modes de traitement des données personnelles

Question-réponse sur le sujet

Question

Qu'est-ce qui est lié aux méthodes de traitement des données personnelles et à ce qui est lié aux actions avec des données personnelles?

La réponse

Selon le paragraphe 9 de l’ordre de Roskomnadzor du 19 août 2011, n o 706, les méthodes * comprennent:

- traitement non automatisé de données à caractère personnel;

- traitement exclusivement automatisé de données à caractère personnel avec ou sans transfert des informations reçues sur le réseau;

- traitement mixte de données à caractère personnel (note n ° 4).

Et aux actions conformément à l'art. 3 de la loi fédérale du 27.07.2006 n ° 152-FZ sur les données personnelles comprennent: *

- clarification (mise à jour, modification);

- distribution (y compris la transmission);

- la destruction de données personnelles.

La justification de cette position est donnée ci-dessous dans les documents de «System Lawyer».

• LOI FÉDÉRALE DU 27.07.200 N ° 152-З “RELATIONS PERSONNELLES”

"Le traitement de données à caractère personnel est une action (opération) ou un ensemble d'actions (opérations) *, effectué à l'aide d'outils d'automatisation ou sans l'utilisation de tels moyens avec des données à caractère personnel, y compris la collecte, l'enregistrement, la systématisation, l'accumulation, le stockage, l'amélioration (mise à jour, modification), extraction, utilisation, transfert (distribution, mise à disposition, accès), dépersonnalisation, blocage, suppression, destruction de données à caractère personnel »

• ORDRE DE ROSKOMNADZOR DU 19 août 2011 N ° 706

"Le champ" liste des actions avec données personnelles, une description générale des méthodes utilisées par l'opérateur pour le traitement des données personnelles "* indique les actions effectuées par l'opérateur avec des données personnelles, ainsi qu'une description des méthodes utilisées par l'opérateur pour le traitement des données personnelles:

- traitement non automatisé de données à caractère personnel;
- traitement exclusivement automatisé de données à caractère personnel avec ou sans transfert des informations reçues sur le réseau;

- traitement mixte de données à caractère personnel (Note N 4) Note N 4. Dans le traitement automatisé de données à caractère personnel ou le traitement mixte, il est nécessaire d'indiquer si les informations obtenues lors du traitement de données à caractère personnel sont transmises sur le réseau interne de l'entité légale ) ou l’information est transmise par l’intermédiaire de l’Internet public ou sans la transmission de l’information reçue. "

* Ainsi mis en évidence une partie du matériel qui vous aidera à prendre la bonne décision.

Likbez sur les données personnelles pour les entreprises qui les traitent

Termes, nuances et délires fréquents - dans les documents des experts du service de sécurité de la société "Onlanta" (inclus dans le groupe de sociétés LANIT).

Nous comprenons la terminologie juridique et les nuances pour lesquelles vous pouvez vous présenter devant un tribunal.

Expliquez les termes en langage humain

La loi fédérale n ° 152-З du 27 juillet 2006 sur les données à caractère personnel est la principale loi régissant les relations liées au traitement de données à caractère personnel.

Le premier terme à comprendre est celui de données personnelles.

Quelles sont les données personnelles

Il s'agit de toute information pouvant être utilisée pour identifier une personne: par exemple, nom complet, date de naissance, éducation, revenu et même état matrimonial. Vous demandez: "Et quoi, mon nom de famille, imprimé sur la carte de visite, est aussi une donnée personnelle?"

Réponse: "oui" Selon la loi, peu importe que seul votre nom de famille soit imprimé sur la carte de visite ou en combinaison avec, par exemple, un numéro de téléphone et une adresse. Le premier, le second et le troisième - les données personnelles. Certes, il n’est pas nécessaire de répondre par la loi au stockage des cartes de visite ou des numéros de téléphone des filles dans l’annuaire téléphonique, mais plus à ce sujet plus bas.

Allez-y. Les médias écrivent constamment "stockage de données personnelles". À proprement parler, il ne s'agit pas de stockage, mais de traitement de données à caractère personnel. Quelle est la différence? Le stockage n'est qu'une partie de ce que l'on appelle le traitement de données à caractère personnel. Toutes les actions que vous effectuez avec des données personnelles (collecter, accumuler, stocker, transférer, modifier) ​​sont désignées par la loi comme «traitement de données personnelles».

Il est important de comprendre que la loi distingue deux personnes concernées: l'opérateur et le sous-traitant. L’opérateur effectue le traitement des données à caractère personnel et détermine également l’objet de leur traitement, la composition des données à caractère personnel à traiter, les actions (opérations) effectuées avec des données à caractère personnel.

Un gestionnaire est une personne qui effectue des actions avec des données personnelles: collecte, stockage, organisation, accumulation, mise à jour, mise à jour, suppression, dépersonnalisation, etc.

En fait, le processeur n'est pas seulement l'utilisateur final, qui a besoin de données personnelles pour le travail, mais également tout utilisateur intermédiaire, par l'intermédiaire duquel ces données personnelles ont été transmises. Montrer dans la pratique.

Problème

La boutique en ligne dispose d'une base de données client située dans le "cloud" d'une société tierce. Une agence de marketing travaille avec cette base. Question: Combien d’opérateurs de données personnelles avons-nous?

La bonne réponse est un. Ceci est une boutique en ligne qui définit les objectifs du traitement des données personnelles. La deuxième question: combien de processeurs de données à caractère personnel avons-nous? La bonne réponse est deux.

1. Une entreprise qui a une base de données de magasin en ligne dans son nuage.
2. Une agence de marketing qui récupère des données et, sur la base de ces données, peut préparer une offre promotionnelle aux clients.

Les données personnelles sont traitées dans de nombreuses institutions: banques, écoles, cliniques, centres de visas, par exemple. Sans parler des pages Web où nous nous sommes inscrits, laissant nos adresses électroniques et numéros de téléphone. Mais comment et où exactement?

Nuance

La loi contient un terme aussi obscur que «système d’information sur les données à caractère personnel». Si vous essayez d’expliquer simplement, c’est un ensemble complexe, composé de serveurs de bases de données, de moyens techniques pour en assurer le traitement et de technologies de l’information. Conformément à la loi, tout système d’information de données à caractère personnel doit être protégé.

Les méthodes de protection des informations sont différentes.

• Physique: par exemple, dans la pièce où sont situés les ordinateurs, des caméras peuvent être installées, un contrôle d'accès, des systèmes d'alarme peuvent être utilisés.
• Technique - en utilisant des moyens spécialisés de protection de l'information.
• Administratif: toutes sortes de réglementations et de règles régissant le traitement des données à caractère personnel au sein de l'entreprise.

Exemple

L'un des moyens de protéger les informations est la dépersonnalisation des données personnelles. Qu'est ce que c'est Dans le centre des visas, chaque personne demandant un visa se voit attribuer un numéro d'identification distinct. Le numéro lui-même ne fait pas référence à des données personnelles, car il dépersonnalise une personne: il est impossible d'identifier la personne qui a demandé un visa.

Il semble que je traite des données personnelles.

Donc, avec la terminologie triée. Désormais, tous les représentants d'entreprises, en particulier les entrepreneurs individuels, qui ne comptent parfois que quelques employés, doivent répondre honnêtement à la question: «Est-ce que je traite des données personnelles?

Oui, si vous êtes propriétaire d’un site qui réunit cinq personnes par semaine, mais qui possède un formulaire de commentaires contenant les champs "nom, adresse électronique, numéro de téléphone". Les informations relatives aux finalités pour lesquelles vous collectez des données personnelles, à leur utilisation, devraient être présentées sur votre site web.

Oui, si vous traitez les données à caractère personnel de vos employés ou de tiers spécialistes embauchés pour effectuer certains travaux.

Oui, si vous travaillez avec des clients privés et que vous avez besoin de leurs données de passeport pour la conclusion de contrats - cela s'applique aux agences de voyages, aux centres de fitness, à diverses sociétés de services, aux magasins en ligne et autres.

Et encore une fois, oui, si vous êtes une organisation budgétaire, un parti politique ou un jardin d'enfants. Ces derniers ont non seulement des informations sur l'enfant, mais aussi sur ses parents, y compris le lieu de travail et la position. Sans parler des institutions médicales - il existe une multitude d'informations personnelles sensibles qui doivent être stockées de manière sécurisée.

Toutefois, si vous utilisez des données pour une communication personnelle sans bénéfice commercial, les exigences de la législation ne vous concernent pas et il n’est en aucun cas question de responsabilité pénale.

Par exemple, lorsque vous utilisez des contacts imprimés sur une carte de visite que vous avez reçue d'un collègue ou des numéros de téléphone dans un carnet de notes sur un smartphone, les informations des réseaux sociaux ne vous imposent pas la responsabilité devant la loi.

L'essentiel est de ne pas divulguer de données à des annonceurs et de ne pas les publier sans l'autorisation des propriétaires de données à caractère personnel du domaine public.

Déterminer la catégorie de données personnelles

Félicitations, vous êtes le fier propriétaire du titre «opérateur de données personnelles». Le plus important est maintenant de comprendre exactement quelles données personnelles vous traitez. Parce que cela dépend de la catégorie de données à caractère personnel, de la manière de protéger les données et des exigences à remplir. Les catégories sont décrites en détail dans la loi fédérale 152 et la résolution du gouvernement du 1 er novembre 2012 N 1119.

Catégories de données personnelles en mots simples:

Données à caractère personnel généralement disponibles: données provenant de ressources ouvertes, qui sont publiées par le sujet des données à caractère personnel ou avec son approbation. Les données accessibles au public sont des données provenant des médias ou d'Internet.

Exemple: informations publiées en accès libre sur les réseaux sociaux ou sur le site Web des entreprises. Numéro de téléphone et statut de la famille publiés dans l'accès public à Facebook. Le nom de l'employé et sa position sur le site Web de l'employeur.

Données personnelles biométriques: cette catégorie comprend toutes les données sur les caractéristiques physiologiques et biologiques des personnes.

Exemple: poids, taille, couleur des yeux ou des cheveux, longueur des cheveux, groupe sanguin, photo.

Données personnelles appartenant à une catégorie particulière: elles comprennent des informations sur l'appartenance à une race ou une nation, des opinions politiques, des convictions religieuses et philosophiques, l'état de santé ou la vie intime.

Exemple: diagnostic médical (informations sur les cas où vous avez été malade, quand, quel médecin vous a traité).

Données personnelles d'autres types - ceci inclut les données personnelles non incluses dans les catégories ci-dessus.

Exemple: informations sur l'entreprise. Cartes de comptabilité pour les employés contenant des informations avec lesquelles les ressources humaines et la comptabilité travaillent: salaire, périodes de vacances, dates d’emploi.

Catégorie, nombre, type de menaces - niveau de protection

Une fois que vous avez choisi la catégorie de données à caractère personnel, vous devez comprendre la quantité exacte de données que vous traitez: jusqu'à 100 000 ou plus de 100 000.

Découvrez la catégorie et la quantité, déterminez le type de menace:

Nombre de menaces 1. "Trous" et vulnérabilités dans le système d'exploitation. Exemple: vulnérabilités que les pirates informatiques utilisent pour infiltrer le système d’exploitation afin de voler des informations.

Nombre de menaces 2. "Trous" et vulnérabilités dans le logiciel d'application, c'est-à-dire le logiciel utilisé dans votre travail quotidien. Exemple: Word, Excel.

Nombre de menaces 3. Toutes les autres menaces non répertoriées dans les deux premiers types. Tout d'abord, le facteur humain. Un employé peut laisser un document ouvert sur un ordinateur déverrouillé, envoyer un document à imprimer sur l’imprimante d’une autre personne ou par courrier électronique.

La quantité de données personnelles, la catégorie, le type de menaces - ensemble, vous permettent de déterminer le niveau de protection requis pour votre système d'information. Il existe maintenant quatre niveaux de protection.

Le premier et le plus haut niveau de protection est le plus souvent utilisé pour le traitement des données à caractère personnel dans les agences gouvernementales et les institutions médicales. Le quatrième niveau de protection est le plus facile à fournir, il suffit parfois de mettre en œuvre des mesures réglementaires organisationnelles, principalement en ce qui concerne la protection des données accessibles au public.

Vous pouvez déterminer le niveau de protection à l'aide de ce tableau.

Exemple

L'hôpital traite les données personnelles de ses patients - il s'agit des données personnelles d'une catégorie particulière. Il traite également les données personnelles des employés - il s'agit de données personnelles d'une autre catégorie. Très probablement, l'hôpital dispose de deux bases de données. Si vous additionnez les deux bases de données, vous obtiendrez la quantité totale de données personnelles en rotation dans le système d’information de cet hôpital.

Par exemple, tous - jusqu'à 100 000. Ensuite, nous examinons le traitement des données: automatisé (sur un ordinateur) ou non automatisé (dans un classeur manuel). Si tout est automatisé, nous examinons le logiciel utilisé par l'hôpital, ses vulnérabilités.

Sur cette base, les menaces et leur niveau sont identifiés. Nous additionnons tous les facteurs et obtenons la classe de protection de second niveau. Nous examinons les exigences de la loi énoncées au deuxième niveau de sécurité. Sur la base de ces exigences, il sera nécessaire de mettre en place un système de protection de l’information répondant aux exigences de la loi fédérale.

Un peu sur le danger de fuite de données personnelles

Pourquoi se préoccuper de la protection des données personnelles? Les données personnelles sont un élément coûteux sur le marché noir. Les escrocs sont prêts à payer des montants impressionnants pour un profil contenant les détails complets du dossier médical d’une personne. Marché séparé - vente des détails de carte bancaire; comptes dans les réseaux sociaux.

Les conséquences de la fuite de données personnelles sont différentes. Les données peuvent être accessibles au public sur Internet. Par exemple, vous pouvez facilement trouver des bases de données volées avec les adresses et les numéros de téléphone des clients des entreprises sur le réseau. Connaissant le nom et le prénom, tout le monde peut trouver l'adresse de la maison d'une personne, accéder au réseau social, consulter un profil ou simplement écrire un SMS sur un téléphone portable.

Les données personnelles peuvent entrer dans la base de données des courriers gênants de certaines organisations commerciales, puis leur propriétaire sera submergé par des offres de services non sollicitées. Ils peuvent également être utilisés par des fraudeurs en ligne pour les casinos en ligne ou pour ouvrir un porte-monnaie électronique.

Dans le pire des cas, un attaquant peut se faire passer pour une autre personne et se faire créditer le nom d’une autre personne. Les conséquences les plus graves des fuites de données à caractère personnel sont les suivantes: actions illégales dans le domaine immobilier, vol d’argent sur des cartes bancaires, chantage de parents et enregistrement d’une entreprise.

Charge de responsabilité

Comprenez-vous l’importance de la question et êtes-vous prêt à assumer vos responsabilités? C'est vrai. Parce que la responsabilité de la sécurité des données personnelles incombe entièrement à l'opérateur.

Cela signifie que l'opérateur doit veiller à ce que les informations ne tombent pas dans un accès public ou ne tombent pas entre les mains de tiers qui n'y ont aucun droit. Cela nécessite une surveillance constante et la prévention des menaces à la sécurité des données, un contrôle du niveau de sécurité des informations et sa restauration en cas de perte.

Dans notre pays, Roskomnadzor veille au respect de la législation dans le domaine du traitement des données à caractère personnel. Cet organe répond aux réclamations, réglemente les relations entre sujets et opérateurs.

Les exigences techniques relatives à la protection des informations relèvent de la responsabilité du FSTEC et du FSB: elles élaborent des exigences et en contrôlent l'exécution.

Conditions pour le traitement des données personnelles

Et maintenant, il est temps d'étudier les tableaux avec les exigences relatives à la protection technique des données personnelles. Les détails figurent dans l’ordonnance du Service fédéral de contrôle technique et d’exportation du 18 février 2013 N 21.

Mais au moins, commencez par ceci:

1. Inscrivez-vous auprès de Roskomnadzor en tant qu'opérateur de données personnelles. Requis pour présenter une demande à Roskomnadzor sous forme papier ou électronique. Informations sur le lien.
2. Obtenez le consentement écrit de toutes les entités dont les données personnelles sont traitées. Le consentement au traitement des données personnelles est le principal document juridique qui confirme la légalité du traitement des données personnelles.
3. Développer la documentation interne. Mise en service par ordre du responsable de l'organisation "Règlement sur le traitement des données personnelles." Dans ce document, l'opérateur explique comment il envisage d'utiliser les données personnelles, pour quoi et où elles seront transférées. Il s'agit d'un document fondamental requis par tout opérateur de données personnelles. Sur cette base, tous les autres documents administratifs sont développés.

De nombreux propriétaires de sites pensent que si un visiteur clique sur le bouton «J'accepte le traitement de données à caractère personnel», il n'y aura aucun problème juridique et le traitement des données tombera automatiquement dans le champ juridique. Ce n'est pas.

D'un point de vue juridique, il n'y a que deux façons de confirmer votre consentement au traitement de données à caractère personnel: mettre une signature sur papier ou utiliser une signature numérique.

Dans tous les autres cas, si l'affaire est portée devant les tribunaux, le propriétaire du site ne sera pas en mesure de confirmer qui a appuyé sur le bouton "Je suis d'accord". On ne peut qu'espérer que le sujet qui est venu sur votre site transmette volontairement ses données et ne porte pas plainte.

Y a-t-il vraiment un chèque?

Oui, les chèques peuvent être de Roskomnadzor.

Roskomnadzor publie chaque année une liste de chèques de manière sélective à partir de la liste des opérateurs enregistrés. Si une entreprise est incluse dans la liste des chèques, le prochain contrôle programmé est possible au plus tôt après trois ans. Vous pouvez voir si votre entreprise est sur la liste cette année ici.

Les vérifications sur plan sont généralement causées par des plaintes. Si le contrôle n'est pas planifié, vous devriez en être averti par écrit dans les 24 heures.

Il peut aussi y avoir des vérifications documentaires. Lorsque vous documentez, vous envoyez une liste de documents dont vous devrez envoyer des copies à Roskomnadzor.

Parfois, Roskomnadzor effectue des inspections sur place: des inspecteurs effectuent eux-mêmes des visites pour vérifier l'entreprise sur place.

La préparation à l'une de ces vérifications est une tâche fastidieuse. Allez-vous vous préparer vous-même à l'inspection ou faites-vous appel à des spécialistes externes? Vous devez d'abord déterminer qui, dans l'entreprise, sera chargé de se conformer à la norme FZ-152.

Amendes, tribunaux et autres horreurs

En cas de violation de la loi 152-FZ, une responsabilité civile, pénale, administrative et disciplinaire est prévue.

Ainsi, Roskomnadzor a procédé à une inspection; s’il découvrait des incohérences avec la loi, il ordonnait au comité d’enquête de tenir un procès pour violation de la loi sur les données à caractère personnel.

Après cela, le parquet commencera une inspection au cours de laquelle il pourra suspendre les activités de l'entreprise: retirer la base de données de l'entreprise, en particulier les ordinateurs sur lesquels les données à caractère personnel ont été traitées.

Les contrevenants à la loi attendent principalement des amendes. Le montant des amendes varie en fonction de l'infraction. Ainsi, pour le traitement de données à caractère personnel sans l'autorisation écrite des entités, les entités juridiques devront engager leur responsabilité administrative.

Même si l'opérateur est prêt à payer une amende, mais selon les normes des grandes entreprises, cela ne semble pas énorme, le contrevenant devra toujours éliminer l'incohérence devant la loi (par exemple, supprimer les données stockées) et en informer Roskomnadzor.

Le pire scénario est celui où Roskomnadzor décide de révoquer la licence de la société, d'interdire aux entreprises de traiter des données à caractère personnel et de publier illégalement des données à caractère personnel sur des citoyens.

Au cours des dernières années, le plus grand scandale en Russie a été lié au blocage de LinkedIn, dont les propriétaires ont été accusés de traiter des données personnelles de citoyens sans leur consentement sur des serveurs situés en dehors de la Fédération de Russie. Le blocage du service autonum.info a également été «fait du bruit».

Combien ça va me coûter de l'argent et de la force

Vous pouvez organiser le traitement des données personnelles de manière indépendante ou avec l'aide d'une entreprise qui fournit un tel service.

Si vous décidez de traiter vous-même vos données personnelles, vous aurez besoin des éléments suivants:

1. Comprenez quelle catégorie de données à caractère personnel vous traitez et quelles sont les exigences techniques pour leur protection.
2. Seul ou avec l'aide d'une entreprise informatique, développez des solutions techniques, préparez les achats d'équipement et de logiciels nécessaires, installez-les et mettez-les en œuvre.
3. Émettre tous les documents légaux. Développer un ensemble de documents internes: instructions et règlements.

Au mieux, cela prendra trois à quatre mois; au prix d'une telle mise en œuvre, cela peut représenter 200 000 à 300 000 roubles. Il s'agit du coût d'achat d'équipements et de licences. Les coûts de main-d'œuvre et le soutien supplémentaire au système d'information constituent un poste de dépense distinct. Vous aurez également besoin d'un administrateur qui surveillera le fonctionnement du système.

Objectivement, les très petites entreprises ne répondent tout simplement pas à toutes les exigences de la loi dans l'espoir qu'il n'y aura pas de vérification. Peut-être que ça ne va vraiment pas. D'autres sociétés créent des «villages Potemkine» uniquement en prétendant traiter des données à caractère personnel conformément aux exigences de la loi, autrement dit, elles «achètent» les documents nécessaires.

Dans le prochain article, nous montrerons comment calculer le coût du traitement des données à caractère personnel dans une entreprise et vous indiquerons quand il est plus rentable de traiter des données à caractère personnel et dans quel cas il est préférable de les déposer dans le cloud.

Le matériel est publié par l'utilisateur. Cliquez sur le bouton "Ecrire" pour partager votre opinion ou parler de votre projet.

Loi sur les données personnelles: implications pour le travail de bureau

• Khramtsovskaya Natalia | Candidat en sciences historiques, expert principal en gestion de documents de la société EOS, expert ISO, membre du Conseil international des archives

À la recherche de la cause fondamentale

La loi fédérale n ° 152-З de la Fédération de Russie sur les données personnelles a été adoptée le 27 juillet 2006 et, dans le contexte d’autres événements marquants de l’année écoulée, est passée presque inaperçue. La raison formelle de son adoption était les nombreux faits de vol de bases de données personnelles dans des structures étatiques et commerciales et leur vente généralisée. En fait, le principal objectif de l'adoption de cette loi était la nécessité de supprimer certaines entraves aux échanges commerciaux avec les pays de l'Union européenne.

La France a interdit la publication de faits sur la vie privée et imposé des amendes aux contrevenants en 1858.

Le Code pénal norvégien interdit la publication d'informations relatives aux "affaires personnelles ou privées" en 1889.

Loi nationale «sur les données à caractère personnel» du 27 juillet 2006 n ° 152-FZ entrée en vigueur le 26 janvier de cette année (conformément à la partie 1 de l'article 25, la loi entre en vigueur 180 jours après la publication officielle qui a eu lieu le 29 juillet 2006 dans la "Rossiyskaya Gazeta").

Selon la directive européenne 95/46 / CE, les données à caractère personnel ne peuvent être transférées qu'à des pays offrant le même niveau de protection qu'en Europe. Cela a considérablement entravé l'échange d'informations entre les agences gouvernementales européennes et les entreprises avec leurs partenaires étrangers, rendant impossible la réalisation de nombreux projets commercialement prometteurs. Ces restrictions ont été imposées non seulement à la Russie et aux pays du tiers monde, mais également à un monstre économique comme les États-Unis. Notre gouvernement a donc décidé de surmonter cet obstacle. Voyons comment il l'a fait et ce que cela nous coûtera à tous.

L'adoption de la loi russe sur les données à caractère personnel est le résultat de l'adhésion de la Fédération de Russie à la Convention européenne de 1981 sur la protection de la personne liée au traitement automatisé des données à caractère personnel, qui définit les principes de base de la protection des données à caractère personnel dans les pays européens. Cette convention et les directives ultérieures de l'Union européenne définissent les tâches que la législation nationale devrait assumer lors de la réglementation des données à caractère personnel:

• protection des données à caractère personnel contre tout accès non autorisé par d'autres personnes, y compris des représentants d'organes et de services gouvernementaux ne disposant pas de l'autorité nécessaire;
• assurer la sécurité, l'intégrité et la fiabilité des données lors de leur utilisation, y compris la transmission via des canaux de communication;
• assurer le bon régime juridique de ces données lorsque vous travaillez avec elles pour différentes catégories de données à caractère personnel;
• assurer le contrôle de l'utilisation des données personnelles par le citoyen;
• la création d'une structure indépendante indépendante assurant le contrôle effectif du respect du droit du citoyen de protéger ses données à caractère personnel (par exemple, la création du poste de commissaire à la protection des données à caractère personnel).

Notre loi reprend en grande partie les principales dispositions de la législation européenne dans ce domaine, qui est considéré comme l’une des plus sévères au monde 2. Même si en 2006, on parlait assez souvent de la loi, mais peu de gens lisent attentivement le contenu de ses dispositions. Cependant, afin de garantir le respect de ses exigences, il est nécessaire de modifier de manière significative le travail avec des informations et des documents contenant des données à caractère personnel. Essayons de découvrir ce qu'il y a de nouveau dans le domaine de la gestion de documents et d'informations dans l'organisation.

• Dans toutes les organisations, il existe une nouvelle couche de documentation assez volumineuse. Ce sont des documents relatifs à l'obtention du consentement des personnes pour le traitement de leurs données personnelles, à l'enregistrement de bases de données auprès de l'organisme habilité, à la documentation de toutes les transactions avec des données personnelles, etc.
• Il est nécessaire de mettre en évidence les documents et informations contenant des données personnelles. leur étiquetage spécial sur support papier et électronique; comptabilité séparée et suivi des accès. Vous pouvez parler de l'apparition d'un autre type d'accès du cou aux documents.
• Approche fondamentalement changeante en ce qui concerne l’établissement de la conservation de documents et d’informations. Pour la première fois dans la pratique nationale, la période de stockage maximale est établie et la période conditionnelle, qui sera assez difficile à observer et à suivre.
• Lorsque vous travaillez avec des données à caractère personnel, il est nécessaire de bien penser à l’avance et de les enregistrer dans les documents réglementaires, qui sont liés à leur traitement. Sinon, l'organisation peut être tenue pour responsable et, ce qui est encore plus désagréable, de nombreuses poursuites peuvent être intentées par les personnes concernées 3.
• La loi impose des délais très stricts pour l'exécution des recours de tous les citoyens concernant le traitement des données à caractère personnel.

Abordons maintenant plus en détail les dispositions les plus importantes de la loi et évaluons ce que les organisations et les institutions devront entreprendre pour la mettre en œuvre. En outre, nous tenterons d’analyser certaines dispositions de la loi en termes de correction et de clarté de leur formulation.

Portée de la loi

La toute première question: à qui s'applique cette loi? En y répondant, nous pouvons affirmer sans crainte que cela s’applique à tout le monde sans exception (aux institutions de l’État, aux personnes morales et aux individus). Voici une liste de l'article 1:

• organismes du gouvernement fédéral
• les autorités des entités constitutives de la Fédération de Russie,
• autres organes de l'Etat
• gouvernements locaux,
• organes municipaux qui ne font pas partie du système des organes de l'autonomie locale,
• personnes morales
• les individus.

La deuxième question importante est la portée de la loi.

Article 1 de la loi fédérale n ° 152-FZ du 27 juillet 2006 sur les données à caractère personnel de la Fédération de Russie

Cette loi fédérale régit les relations liées au traitement de données à caractère personnel... avec l'utilisation d'outils d'automatisation ou sans utiliser de tels moyens, si le traitement de données à caractère personnel sans l'utilisation de tels moyens correspond à la nature des opérations (opérations) effectuées avec des données à caractère personnel à l'aide de moyens d'automatisation.

Le libellé de cet article est un exemple de la non-rédaction de lois. Il s'est avéré que quelque chose d'incompréhensible permettait diverses interprétations. Comment, sur la base d'un tel texte, répondre, par exemple, à la question de savoir si les données couvertes sous une forme libre dans un cahier d'affaires entrent dans le champ d'application de la loi? Si un tel ordinateur est stocké dans un ordinateur ou dans un téléphone portable, est-il considéré comme «utilisation d'un équipement d'automatisation»?

La législation européenne à cet égard est plus claire:

Directive UE 95/46 / CE 1995

Article 2 "Définitions":

(c) «système de stockage de données à caractère personnel» 4 («système de stockage»): tout ensemble structuré de données à caractère personnel accessibles selon certains critères - quelle que soit la manière dont le jeu de données est organisé, qu'il soit centralisé, décentralisé ou distribué sur une base fonctionnelle ou géographique...

Article 3 "Champ d'application":

1. La présente directive concerne le traitement des données à caractère personnel par des moyens automatiques (en tout ou en partie), ainsi que le traitement par des moyens autres qu'automatiques, des données à caractère personnel, des composants ou destinés à faire partie des systèmes de stockage.

Dans la terminologie informatique moderne, «données structurées» désigne d’abord des bases de données. Dans la paperasse, ils incluent les fichiers de cartes et les archives de fichiers personnels. Par conséquent, les exigences européennes incluent:

• au traitement automatique des données personnelles et
• à utiliser (que ce soit en mode automatique ou autre) contenant des données personnelles de bases de données papier et électroniques, de fichiers de cartes, etc., qui disposent d'un mécanisme de recherche permettant d'extraire facilement des informations sur une personne en particulier.

Pourquoi était-il impossible d'écrire en russe et dans notre droit reste incompréhensible?

Il convient de prêter attention à la différence de terminologie: le "traitement automatique" est une chose et le traitement "à l'aide d'un équipement d'automatisation" est un concept complètement différent, beaucoup plus large et plus vague.

La loi ne prévoit que quatre exceptions, à savoir que la loi ne s'applique pas aux relations nées:

• lors du traitement de données personnelles pour des besoins personnels et familiaux;
• lors du traitement de données à caractère personnel dans des documents du Fonds d'archives de la Fédération de Russie;
• lors du traitement de données à caractère personnel pour inclusion dans le registre unifié des entrepreneurs individuels (EGRIP);
• lors du traitement de données à caractère personnel classées comme secrets d'État.

L'un de ces points nécessite une étude plus détaillée. Pour commencer, nous citons la loi:

Article 1 de la loi fédérale n ° 152-FZ du 27 juillet 2006 sur les données à caractère personnel de la Fédération de Russie

2. La présente loi fédérale ne s'applique pas aux relations résultant:

2) l'organisation du stockage, de l'acquisition, de la comptabilité et de l'utilisation, contenant des données personnelles, des documents du Fonds pour les archives de la Fédération de Russie et d'autres documents d'archives conformément à la législation sur les archives en Fédération de Russie.

Nous vous rappelons deux définitions figurant dans la loi n ° 125-З du 10.22.2005 relative aux affaires archivistiques dans la Fédération de Russie:

• document d'archive - un support matériel sur lequel sont enregistrées des informations, qui contient des détails permettant son identification, et qui peut être stocké en raison de l'importance du support indiqué et d'informations pour les citoyens, la société et l'État;
• Le document du Fonds d'archives de la Fédération de Russie est un document d'archive qui a passé avec succès l'examen de la valeur des documents, qui est mis en comptabilité nationale et qui est stocké en permanence.
  Il s'avère que si une période de stockage permanent est établie pour un document ou une base de données et que ceux-ci sont inclus dans le Fonds d'archives de la Fédération de Russie, cette loi ne leur est pas applicable. Cette faille permet aux agences gouvernementales disposant de toute base de données sérieuse d'éviter l'application de la nouvelle loi sur les données personnelles.

Voici un exemple de la façon dont cela peut être fait. Conformément à la loi fédérale sur les affaires archivistiques dans la Fédération de Russie (partie 2 de l'article 18), le gouvernement de la Fédération de Russie approuve la liste des organes exécutifs fédéraux et des organisations qui procèdent à la conservation par dépôt des documents du Fonds pour les archives de la Fédération de Russie qui sont de propriété fédérale. Une nouvelle liste de 5 de ces départements et organisations a été approuvée à la fin de 2006. Dans le même temps, ces organisations ont été invitées à conclure un accord sur les conditions de stockage des documents avec Rosarkhiv. Si, à la conclusion du contrat, il est expressément stipulé que tous les documents, à l'exception des documents opérationnels, sont considérés comme des documents transférés à des fins de conservation, le gros des documents peut alors être placé sous cette exception.

Pour les autres organisations publiques, l'une des options pourrait être l'approbation rapide des dossiers avec les archives nationales, ce qui impliquerait en fait l'inclusion de documents dans le Fonds d'archives de la Fédération de Russie et le maintien de la «zone d'action» de la loi sur les données à caractère personnel.

Les directives de l’Union européenne ne prévoient pas une telle exception. Cependant, elle existe, par exemple, dans le code américain 6, qui contient une formulation plus correcte qui ne permet pas l’ambiguïté: la législation sur les données à caractère personnel ne s’applique généralement pas aux documents déjà déposés dans des archives d’État, s’applique aux documents transférés aux archives de l’État par un organisme de garde.

Nous ne savons pas non plus pourquoi, dans nos nombreuses bases de données nationales, notre loi a constitué une exception pour le registre unifié des entrepreneurs individuels (EGRIP). Il serait donc logique d’étendre l’exception à d’autres registres d’État contenant également des données à caractère personnel (par exemple, l’incorporation contient des informations sur les fondateurs et les premières personnes de toutes les entités juridiques du pays).

Données personnelles et méthodes de traitement

Données à caractère personnel - toute information relative à une personne physique (sujet de données à caractère personnel) déterminée ou déterminée sur la base de cette information, y compris son nom de famille, prénom, patronyme, année, mois, date et lieu de naissance, adresse, famille, statut social, état de la propriété, éducation, profession, revenus, autres informations (conformément à l’article 3 de la loi sur les données à caractère personnel).

La loi prévoit les méthodes suivantes de traitement des données à caractère personnel (pour un certain nombre d’entre elles, des explications détaillées sont données à l’article 3):

• collection;
• systématisation;
• accumulation;
• le stockage;
• clarification (mise à jour, modification);
• utilisation - «actions avec des données à caractère personnel effectuées par l'opérateur 7 dans le but de prendre des décisions ou d'accomplir des actions entraînant des conséquences juridiques en rapport avec le sujet de données personnelles ou d'autres personnes, ou de toute autre manière portant atteinte aux droits et libertés du sujet de données personnelles ou d'autres personnes»;
• distribution (y compris le transfert) - «actions visant à transférer des données à caractère personnel vers un certain cercle de personnes (transfert de données à caractère personnel) ou à la connaissance d'un nombre illimité de données à caractère personnel, y compris la divulgation publique de données à caractère personnel dans les médias, le placement dans l'information et les télécommunications réseaux ou fournissant un accès aux données personnelles de toute autre manière ";
• Dépersonnalisation - «actions pour lesquelles il est impossible de déterminer l'identité de données à caractère personnel sur un sujet spécifique de données à caractère personnel»;
• blocage - «suspension temporaire de la collecte, systématisation, accumulation, utilisation, diffusion de données à caractère personnel, y compris leur transfert»;
• destruction de données à caractère personnel - «les actions pour lesquelles il est impossible de restaurer le contenu des données à caractère personnel dans le système d'information ou à la suite de quoi les supports matériels de données à caractère personnel sont détruits».

Une attention particulière devrait être accordée aux méthodes de traitement telles que le blocage et la destruction des données à caractère personnel. La loi parle assez bien de la destruction - c'est l'approche qui est maintenant recommandée par les normes nationales et étrangères. En ce qui concerne le blocage des données à caractère personnel, cette méthode de traitement a été introduite pour la première fois dans le pays et son exécution peut considérablement compliquer la vie des organisations qui utilisent des systèmes d’information et des bases de données développés antérieurement dans lesquels une telle opération n’est pas fournie.

Principes et conditions pour le traitement des données personnelles

Les dispositions de la loi visent principalement à empêcher la collecte et l'utilisation illégales de données à caractère personnel. Cette volonté du législateur a conduit à l'émergence d'une nouvelle position pour la pratique de la tenue des dossiers:

Clause 2 de l'article 5 de la loi fédérale du 27 juillet sur les données à caractère personnel de la Fédération de Russie. 2006 n ° 152-FZ

Les données à caractère personnel doivent être stockées sous une forme permettant de déterminer le sujet, dans la limite des objectifs de traitement, et doivent être détruites lorsque les objectifs du traitement des données à caractère personnel sont atteints ou si la nécessité de les atteindre disparaît.

Dans ce cas, la loi fixe peut-être pour la première fois aux informations et aux documents la période maximale et, en outre, la période de stockage conditionnelle - "à la réalisation des objectifs de traitement". Les organisations devront établir des périodes de stockage pour les documents contenant des données à caractère personnel et il sera nécessaire de réfléchir à l'avance à la justification des périodes de stockage sélectionnées. C'est une question plutôt compliquée qui peut causer beaucoup de controverse et de problèmes.

En outre, les spécialistes du DOE doivent prêter attention aux points suivants: étant donné que les objectifs de la collecte et du traitement des données à caractère personnel, comme requis par la loi, doivent être déterminés avant le début du travail, il est nécessaire d’examiner attentivement leur libellé. Sinon, l'organisation elle-même peut se «substituer» à elle-même: les objectifs seront atteints et les données personnelles ne seront pas détruites.

L'un des plus déplaisants pour les organisations qui collectent et traitent des données à caractère personnel est l'exigence de l'article 6 relative à la nécessité d'obtenir le consentement du sujet pour son traitement. Aucun consentement n'est requis uniquement dans les cas suivants:

• sur la base de la législation fédérale;
• afin de remplir le contrat avec le sujet de données personnelles;
• à des fins statistiques ou scientifiques;
• protéger la vie et la santé du sujet des données personnelles;
• pour la distribution d'articles de courrier par les organisations postales;
• dans le cadre des activités professionnelles d'un journaliste, d'un universitaire, etc.
• les données doivent être publiées conformément aux lois fédérales;
• afin de protéger les fondements de l'ordre constitutionnel, la moralité, la santé, les droits et les intérêts légitimes d'autrui, assurer la défense du pays et la sécurité de l'État.

Nous avons déjà un certain nombre de lois fédérales décrivant le traitement des données à caractère personnel, par exemple, lors de la tenue des registres d’État unifiés des contribuables (EGRN) et des entités juridiques (USR). La seule condition pour utiliser l'exception à l'exigence du consentement général est de poser les questions suivantes dans la législation applicable:

• buts
• conditions d'obtention de données personnelles
• cercle de sujets dont les données personnelles sont soumises à un traitement,
• pouvoirs de l'opérateur qui collecte les données.

On ne sait pas encore ce qui se passera avec les lois qui contiennent des normes relatives à la collecte et au traitement de données à caractère personnel, mais ne remplissent pas la condition spécifiée.

Le premier concernant les problèmes liés au respect de la nouvelle loi, a attiré l'attention des compagnies d'assurance. À leur avis, la loi sur les données à caractère personnel peut sérieusement entraver l’application de la loi sur l’assurance responsabilité civile motrice obligatoire (MTPL) en raison de l’interdiction de transmettre à des tiers les données à caractère personnel du client obtenues lors de la conclusion du contrat MTPL sans son consentement. En conséquence, la compagnie d'assurance ne sera pas en mesure d'obtenir des informations complètes sur ses clients à partir d'une base de données unique (et la maintenance d'une telle base de données est également discutable), dans cette situation, les risques des assureurs augmentent.

Les compagnies d’assurance tentent déjà de résoudre ce problème important en envisageant les options suivantes:

• Amendements à la loi sur OSAGO et obligation des assureurs d’échanger des données sur les événements assurés.
• Définition d'une partie des données personnelles comme publique. Selon les assureurs, les informations fournies par un particulier lors de la conclusion d'un contrat OSAGO sont publiques. Cependant, la loi sur les données à caractère personnel exige l'obtention d'un consentement pour la collecte de données publiques.
• Le Comité de l'Union pan-russe des assureurs (ARIA), chargé de lutter contre la fraude à l'assurance, a déjà préparé deux projets de loi, qui devraient être soumis à la Douma d'Etat au début de 2007. Selon le chef du comité, Eugène Potapov, l'un de ces projets de loi modifiera la loi "sur l'organisation des activités d'assurance dans la Fédération de Russie". Il permettra aux assureurs de créer des systèmes d’information automatisés basés sur leurs associations et associations, qui contiendront des données sur les réclamations et paiements 8.

Le paragraphe 6 de l'article 6 sur l'octroi du droit de traiter des données à caractère personnel aux journalistes, aux universitaires et aux représentants d'autres professions créatives sans le consentement du sujet est mis en doute. Il est tout à fait réaliste (en particulier dans les structures commerciales) d’introduire à plein temps un poste de «représentant de la profession créative» et d’y «écrire» toutes les bases de données contenant des informations personnelles.

Par exemple, en Angleterre, dans une disposition similaire de la loi, il est en outre stipulé que, dans ce cas, le traitement des données doit avoir pour objet la publication du matériel pertinent; qu'une telle publication doit être dans l'intérêt public (y compris dans l'exercice du droit de libre expression d'un représentant de la profession de création) 9.

En outre, il est intéressant de savoir comment déterminer qui est journaliste ou écrivain et qui ne l’est pas. Ce n'est pas un secret pour personne que nombre de frères d'écriture n'ont pas les diplômes ou les cartes d'identité appropriés. Ici, l'approche utilisée aux États-Unis peut nous être utile: les journalistes reconnaissent tous ceux qui écrivent des articles destinés au public, même s'ils ne sont publiés que sur Internet.

Aux États-Unis, en janvier 2007, le procès de l'ancien haut responsable de l'administration du "scooter" George Bush Lewis "Libby" a commencé. Dans la salle d'audience, cent places étaient réservées à la presse, et deux d'entre elles ont été officiellement reçues par les auteurs des journaux intimes sur Internet.

L'American Society of Newspaper Editors, lors de l'élaboration d'une loi fédérale sur le droit des journalistes de ne pas divulguer d'informations confidentielles au cours d'une procédure judiciaire, suggère que cette loi s'applique à tous, sans exception, et couvre ceux qui collectent des informations en vue de leur diffusion ultérieure. Et les auteurs de journaux intimes sur Internet, les «blogueurs», entrent également dans cette définition 10.

Voyons maintenant comment la nouvelle loi implique l'obtention du consentement du sujet au traitement de ses données personnelles.

Clause 1 de l'article 9 de la loi fédérale du 27 juillet sur les données à caractère personnel de la Fédération de Russie. 2006 n ° 152-FZ

Le sujet de données à caractère personnel décide de la fourniture de ses données à caractère personnel et accepte leur traitement par son testament et dans son intérêt... Le consentement au traitement de données à caractère personnel peut être retiré par le sujet de données à caractère personnel.

En outre, la clause 3 de l'article 9 contient une condition plutôt désagréable pour les opérateurs. Ils devront soit accumuler la preuve que les données recueillies par eux sont issues de sources accessibles au public, soit obtenir le consentement du sujet des données personnelles, puis stocker ce document au cas où le «sujet» déciderait de poursuivre l'opérateur en justice pour violation de ses droits.

Avec les données accessibles au public, ce n’est pas si simple. L'article 8, définissant ce que l'on entend par sources de données à caractère personnel accessibles au public (livres de référence, carnets d'adresses, etc.), souligne que les informations personnelles ne peuvent y être incluses qu'avec le consentement écrit du sujet. En outre, «les informations relatives à des données personnelles peuvent être à tout moment exclues des sources de données personnelles accessibles au public à la demande de la personne concernée, par un tribunal ou par un autre organisme gouvernemental autorisé».

D'autre part, si une organisation utilise des sources de données à caractère personnel accessibles au public lors de la collecte d'informations, elle devra alors documenter l'endroit où elle a reçu ces informations et s'assurer que la «source» dispose du consentement écrit requis par la loi.

Loi fédérale de la Fédération de Russie sur les données à caractère personnel du 27 juillet. 2006 n ° 152-FZ

Clause 12 de l'article 3. Termes de base utilisés dans cette loi fédérale

Les données à caractère personnel généralement accessibles sont les données à caractère personnel auxquelles un nombre illimité de personnes ont accès avec le consentement du sujet des données à caractère personnel ou auxquelles l'exigence de confidentialité ne s'applique pas conformément aux lois fédérales.

Clause 1 de l'article 8. Sources de données personnelles généralement accessibles

Afin de fournir un support d'information, des sources de données à caractère personnel accessibles au public (y compris des livres de référence, des carnets d'adresses) peuvent être créées. Les sources de données à caractère personnel accessibles au public avec le consentement écrit du sujet peuvent inclure son nom de famille, prénom, prénom, année et lieu de naissance, adresse, numéro d’abonné, informations sur la profession et autres données personnelles fournies par le sujet.

Clause 3 de l'article 9. Consentement du sujet des données personnelles sur le traitement de leurs données personnelles

L'obligation de fournir la preuve du consentement du sujet de données à caractère personnel au traitement de ses données à caractère personnel et, dans le cas du traitement de données à caractère personnel accessibles au public, l'opérateur est tenu de prouver que les données à caractère personnel traitées sont accessibles au public.

Il s'avère que pour se protéger, les organisations devront demander une confirmation officielle à chaque citoyen.

Comment le consentement écrit du sujet doit-il être déposé? Il s'avère qu’une signature citoyenne sous la phrase générale «Je consens à la collecte et au traitement de mes données personnelles» ne sera pas suffisante.

Clause 4 de l'article 9 de la loi fédérale du 27 juillet sur les données à caractère personnel de la Fédération de Russie. 2006 n ° 152-FZ

... le consentement écrit du sujet de données à caractère personnel au traitement de ses données à caractère personnel devrait comprendre:

1. nom de famille, nom, patronyme, adresse du sujet des données personnelles, numéro du document principal prouvant son identité, information sur la date de délivrance du document spécifié et l'autorité émettrice;
2. le nom (nom, prénom, patronyme) et l'adresse de l'opérateur qui obtient le consentement du sujet des données personnelles;
3. but du traitement des données personnelles;
4. une liste de données à caractère personnel pour le traitement desquelles le consentement du sujet de données à caractère personnel est donné;
5. la liste des actions avec données personnelles pour lesquelles un consentement est donné, une description générale des méthodes utilisées par l'opérateur pour le traitement des données personnelles;
6. la période de validité du consentement, ainsi que la procédure à suivre pour le retirer.

Cela signifie qu'avant de "saisir" le sujet de données à caractère personnel et d'essayer d'obtenir son consentement, l'opérateur doit développer un formulaire spécial du document contenant toutes les informations nécessaires.

Droits du sujet des données personnelles

Tout d'abord, le sujet des données personnelles est en droit de recevoir les informations suivantes:

• des informations sur l'opérateur,
• des informations sur la localisation de l'opérateur,
• des informations sur les données personnelles de l'opérateur relatives au sujet des données personnelles,
• le sujet a également le droit de se familiariser avec les données personnelles de l'opérateur.

De la part de l'opérateur, le sujet des données personnelles peut nécessiter:

• clarifier vos données personnelles
• leur blocage ou leur destruction dans le cas où les données personnelles sont incomplètes, obsolètes, inexactes, obtenues illégalement ou non nécessaires à la finalité déclarée du traitement.

De nombreuses difficultés pour les organisations d’opérateurs créeront la clause 2 de l’article 14 de la loi, qui exige que l’opérateur fournisse au sujet des informations sur la disponibilité des données personnelles sous une forme accessible et ne contient pas d’informations relatives à d’autres sujets de données personnelles.

L'affaire «Durant vs. Financial Services Authority» 11, traitée par la Cour d'appel d'Angleterre en décembre 2003, a suscité un large écho. La décision du tribunal a considérablement réduit l'interprétation de la notion de «données personnelles». La cour a notamment indiqué que la simple mention de cette personne dans le texte du document ne suffisait pas pour prendre en compte le document contenant des données à caractère personnel. En outre, le tribunal a confirmé que le droit d'accès à leurs données personnelles ne devait pas violer les droits des tiers et que, par conséquent, les données personnelles de tiers devaient être supprimées des copies des documents fournis sur demande (sauf circonstances exceptionnelles).

En novembre 2004, le gouvernement britannique a refusé aux travailleurs du Royaume-Uni le droit d'accéder à leurs données personnelles, que leur employeur les conserve ou non sous forme papier ou électronique, si elles sont stockées dans un système qui ne structure pas clairement les informations relatives à chaque personne. Ainsi, les systèmes de stockage des fichiers papier (à l’exception des fichiers personnels) ont été de facto soustraits à l’action de la loi sur l’accès aux informations personnelles, car ils sont difficiles à isoler des informations sur une personne en particulier.

Pour accéder à leurs données personnelles, nos compatriotes doivent:

• appliquer personnellement ou
• envoyer une demande, qui devrait contenir:
  • le numéro du document principal certifiant l'identité du sujet des données personnelles ou de son représentant légal,
  • des informations sur la date de délivrance du document spécifié et sur l'autorité émettrice et
  • signature manuscrite du sujet des données personnelles ou de son représentant légal.

Cette demande peut être envoyée sous forme électronique et signée avec une signature numérique. Ainsi, la loi prévoit formellement la possibilité de demander la saisie de leurs données personnelles via des canaux de communication électroniques. Nous n'avons pas encore de personnes qui possèdent leur propre système EDS conforme à la loi sur le système EDS (dans la très grande majorité des cas, le système EDS est utilisé dans notre pays conformément à l'article 160 du Code civil, qui prévoit un accord préalable des parties).

La quantité d'informations qu'un sujet de données à caractère personnel peut demander témoigne d'une préoccupation pour nos citoyens. Il est recommandé aux organisations responsables de la base de données contenant des données à caractère personnel d'accorder une attention particulière au paragraphe 4 de l'article 14 de la nouvelle loi afin de réfléchir et de consolider la procédure de fourniture d'informations dans les règlements internes:

1. le fait que l'opérateur traite des données à caractère personnel, ainsi que les finalités de ce traitement;
2. sur les méthodes de traitement des données à caractère personnel utilisées par l'opérateur;
3. sur les personnes ayant accès aux données personnelles ou à qui un tel accès peut être accordé (pour pouvoir indiquer qui et quelles données personnelles ont été fournies, il est nécessaire d'organiser le travail sur l'enregistrement des données personnelles et de contrôler leur accès, sinon l'organisation de l'opérateur assez difficile à remplir cette exigence);
4. liste des données personnelles traitées et des sources de leur réception;
5. le temps de traitement des données à caractère personnel, y compris son temps de stockage (une attention particulière doit être accordée à cette exigence, car elle oblige en fait l'opérateur à fixer les temps de traitement et de stockage, qui peuvent varier en fonction des finalités du traitement des données à caractère personnel, par des documents réglementaires internes);
6. des informations sur les conséquences juridiques pour le sujet des données à caractère personnel pouvant impliquer le traitement de ses données à caractère personnel (pour satisfaire à cette exigence, les organisations doivent au préalable demander à leurs avocats de formuler des justifications concernant toutes les conséquences juridiques possibles du traitement de données à caractère personnel).

La question du traitement des données à caractère personnel "afin de promouvoir des biens, des travaux, des services sur le marché par le biais de contacts directs avec un consommateur potentiel au moyen d'outils de communication, ainsi que pour des campagnes politiques" est consacrée à un article spécial (article 15). Désormais, les organisations commerciales et politiques, avant d'envoyer de la publicité, doivent obtenir le consentement préalable du citoyen et le traitement des données relatives à la personne "est reconnu effectué sans le consentement préalable du sujet des données personnelles, si l'opérateur ne prouve pas que ce consentement a été obtenu". Pour certaines structures commerciales, cette exigence peut être très gênant!

Dorénavant, «il est interdit de prendre des décisions sur la base d'un traitement exclusivement automatisé de données à caractère personnel, qui entraîne des conséquences juridiques sur l'objet de données à caractère personnel ou qui porte autrement atteinte à ses droits et intérêts légitimes» (article 16).

Cette disposition est nécessaire et opportune. Mais nos législateurs, en le formulant, ont confondu deux notions différentes: "automatique" (c'est-à-dire, sans participation humaine) et "automatisé" (c'est-à-dire, avec la participation humaine). En conséquence, cet article, au lieu d’imposer des restrictions supplémentaires à celles-ci et uniquement lorsque le système d’information prend des décisions sans participation humaine (par exemple, imposer une amende, interdire les voyages à l’extérieur du pays, etc.), peut: être interprété comme imposant des restrictions à tous les types de traitement de données à caractère personnel, car même l’utilisation d’une calculatrice peut être comprise comme un traitement automatisé!

Dans le même article de la nouvelle loi, il est indiqué que l'opérateur sera en mesure de prendre des décisions basées uniquement sur un traitement «automatisé», si:

• obtenir le consentement écrit de la personne concernée ou
• si ces règles sont établies par des lois fédérales.

Dans certains documents réglementaires, ces exigences de la loi ont déjà été prises en compte. Ainsi, dans les exemples de demandes de délivrance d’un passeport de nouvelle génération, il existe une section spéciale dans laquelle le demandeur consent au traitement «automatisé» des données indiquées dans la demande. Cela ressemble à ceci: «Je suis d'accord avec le traitement automatisé, la transmission et le stockage des données spécifiées dans la demande aux fins de la fabrication, du traitement et du contrôle d'un passeport pendant sa période de validité» 12.

L’opérateur devra également fournir au citoyen les informations suivantes à l’avance:

• l’ordre de décision sur la base d’un traitement exclusivement «automatisé» de ses données personnelles et
• conséquences juridiques possibles d'une telle décision;
• la procédure de protection par le sujet des données personnelles de ses droits et intérêts légitimes;
• possibilité de s’opposer à une telle décision.

En cas de litige, c'est l'opérateur qui devra prouver qu'il s'est conformé à toutes les exigences de la loi. Cela signifie qu'il devra soigneusement collecter et stocker les documents justificatifs.

Responsabilités de l'opérateur

Les obligations de l'opérateur, conformément à l'article 18, incluent principalement la fourniture d'informations personnelles à la demande du citoyen. En outre, l’exploitant doit «clarifier au sujet des données personnelles les conséquences juridiques du refus de communiquer ses données personnelles», si cette obligation est établie par la loi fédérale.

L'article 20 impose aux opérateurs des délais très stricts pour répondre aux demandes émanant de sujets de données à caractère personnel (ils sont beaucoup plus sévères, par exemple, ceux prévus dans la loi récemment publiée sur la procédure de recours des citoyens de la Fédération de Russie):

• fourniture de données - dans les 10 jours ouvrables à compter de la date de réception de la demande;
• refus motivé - dans les 7 jours ouvrables.

L’opérateur aura encore plus de questions s’il est nécessaire d’éliminer les violations de la loi dans les délais prévus à l’article 21 de la nouvelle loi. Le blocage des données doit être effectué à partir du moment de la demande ou à compter du moment où il reçoit la demande, et l'élimination des violations - dans un délai de 3 jours ouvrables.

Dans certains cas, l'opérateur est obligé de détruire ses données personnelles dans les 3 jours ouvrables, à savoir:

• en cas d'échec pour éliminer les violations,
• en cas de réalisation du but du traitement des données personnelles,
• dans le cas où le sujet des données personnelles révoque son consentement au traitement de ses données personnelles.

Le blocage et la destruction de données à caractère personnel peuvent être difficiles (et parfois impossibles) à mettre en œuvre dans des systèmes d’information et des bases de données en exploitation qui n’existaient pas auparavant.

Cela sera encore plus difficile pour l'opérateur s'il reçoit des données personnelles non pas d'un citoyen, mais d'un tiers.

Clause 3 de l'article 18 de la loi fédérale du 27 juillet sur les données à caractère personnel de la Fédération de Russie. 2006 n ° 152-FZ

Si des données personnelles n'ont pas été reçues de la personne concernée, à moins que celles-ci aient été fournies à l'opérateur en vertu de la législation fédérale ou si des données personnelles soient accessibles au public, l'opérateur doit fournir les informations suivantes à la personne concernée avant de traiter de telles données personnelles:

1. nom (nom, prénom, deuxième prénom) et adresse de l'opérateur ou de son représentant;
2. la finalité du traitement des données personnelles et sa base légale;
3. utilisateurs prévus de données personnelles;
4. les droits du sujet de données à caractère personnel établis par la présente loi fédérale.

Derrière ces mots se cache un travail plus fastidieux. Par exemple, la question peut se poser: comment cette information devrait-elle être fournie au sujet? Est-il possible de l'envoyer par courrier et les informations seront-elles considérées comme fournies si le sujet n'a pas reçu la lettre correspondante?

Conformément à l'article 19, l'opérateur est également tenu d'assurer la sécurité des données à caractère personnel lors de leur traitement. Afin d'éviter tout problème, l'organisation de l'opérateur devrait développer et regrouper dans les documents réglementaires toutes les mesures de sécurité des informations techniques et organisationnelles qu'il est prêt à prendre pour protéger les données à caractère personnel contenues dans ses systèmes d'information.

Enregistrement d'Etat des systèmes de traitement de données personnelles

La loi prévoit que tous les opérateurs effectuant le traitement de données à caractère personnel doivent en informer préalablement l'organisme habilité (article 22), qui conserve les enregistrements des opérateurs dans un registre spécial. Selon l'article 23, l'organisme habilité est le Ministère des technologies de l'information et de la communication de la Russie, qui exerce actuellement «des fonctions de contrôle et de surveillance dans le domaine des technologies de l'information et des communications». La notification devra préciser en détail ce qu'il est prévu de faire avec les données personnelles. Toute modification du traitement des données à caractère personnel doit également être signalée à l'organisme autorisé.

Il est autorisé de traiter des données à caractère personnel sans notifier l'organisme autorisé dans les cas suivants:

• en présence de relations de travail;
• lors de la conclusion d'un contrat auquel le sujet des données personnelles est une partie;
• si les données personnelles appartiennent aux membres (participants) d'une association publique ou d'une organisation religieuse et sont traitées par l'association publique ou l'organisation religieuse concernée;
• si les données personnelles sont publiquement disponibles;
• si les données personnelles ne comprennent que les noms, prénoms et patronyme des sujets;
• lors de l'enregistrement des admissions;
• si des données à caractère personnel sont incluses dans des systèmes d’information qui, conformément aux lois fédérales, ont le statut de systèmes d’information automatisés fédéraux, ainsi que des systèmes d’information d’État pour les données à caractère personnel créées pour protéger la sécurité de l’État et l’ordre public;

En conclusion, nous donnerons un certain nombre de recommandations aux opérateurs. Il ne sera pas très difficile de satisfaire aux exigences de la loi sur les données personnelles si ce travail est commencé maintenant, sans attendre les premières plaintes et les plaintes. Vous pouvez commencer avec les mesures évidentes suivantes:

• Il est conseillé de désigner un responsable chargé d’examiner toutes les questions liées à l’application de cette loi dans l’organisation. Pour les grandes entreprises, la création d’une commission spéciale peut être justifiée.
• Pour toutes les ressources d'informations de l'organisation contenant des données personnelles, vous devez:
  • déterminer leur statut (sur la base duquel ils ont été créés: conformément à la législation, pour l'exécution du contrat, de leur propre initiative, etc.);
  • clarifier et enregistrer la composition des données à caractère personnel et leurs sources de réception (d'un citoyen, de sources publiques, de tiers, etc.);
  • établir la période de stockage et la durée de traitement des données dans chaque ressource d'information;
  • déterminer les méthodes de traitement;
  • identifier les personnes ayant accès aux données;
  • formuler des implications juridiques;
  • déterminer la procédure à suivre pour répondre aux demandes, les réponses possibles et les actions, évaluer la réalité du respect des délais de réponse établis.

Dans cet article, une analyse de la nouvelle loi sur la protection des données à caractère personnel est faite du point de vue des spécialistes du domaine de la gestion des archives, ce qui lui fera beaucoup de dégâts. La pratique montre son efficacité, mais pour l’instant, en tant que «personne concernée», j’estime la liste des autorités publiques auxquelles je pourrais adresser une demande pour me fournir, conformément aux exigences de la loi, les informations pertinentes. Maintenant j'ai le droit!

1 Article 25 du chapitre IV de la directive 95/46 / CE du Parlement européen et du Conseil de l'Union européenne du 24 octobre 1995 relative à la protection des droits des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2 Il est intéressant de noter que même les États-Unis ne respectent pas les strictes exigences européennes et que les entreprises américaines sont obligées de recourir à des accords dits «globaux».

3 La personne concernée par les données personnelles est une personne physique dont les données personnelles sont traitées.

4 "système de classement des données personnelles"

5 La liste des autorités exécutives fédérales et des organisations engagées dans le stockage des documents du Fonds d'archives de la Fédération de Russie qui appartiennent au gouvernement fédéral comprend 18 organisations: le ministère des Affaires intérieures de la Russie, le ministère des Affaires étrangères de la Russie, le ministère de la Défense de la Russie, le FSB de Russie, le Service fédéral fédéral de contrôle des médicaments de la Russie, le FSIN de la Russie, Rosatom, Roskartografiya, Académie russe des sciences agricoles, Académie russe des sciences médicales, Académie russe de l'éducation, Académie russe des arts, Académie russe de l'architecture et des sciences de la construction, État Fondation: Institut pan-russe de recherche en information hydrométéorologique - Centre mondial de données, Institution d'État fédérale «Fonds d'État pour les programmes de télévision et de radio», Entreprise de production scientifique unitaire fédérale «Fonds géologique fédéral russe», Entreprise unitaire d'État «Centre scientifique et technique russe informations sur la normalisation, la métrologie et l'évaluation de la conformité ".

6 5 États-Unis C. § 552a (k) (1) «Documents adressés à des particuliers - Dérogations particulières - Documents d'archives».

7 Opérateur - organisme d'État, organisme municipal, personne physique ou morale, organisant et (ou) effectuant le traitement de données à caractère personnel, ainsi que définissant l'objectif et le contenu du traitement de données à caractère personnel.

9 Loi de 1998 sur la protection des données, article 32.

11 Durant vs Financial Services Authority (FSA).

12 Appendice n ° 1 aux Instructions sur la procédure de traitement et de délivrance du passeport d'un citoyen de la Fédération de Russie, d'un passeport diplomatique et d'un passeport de service, qui sont les principaux documents certifiant l'identité d'un citoyen de la Fédération de Russie hors du territoire de la Fédération de Russie contenant des supports de données électroniques et Service fédéral de sécurité de la Fédération de Russie en date du 6 octobre 2006 (785/14133/461).