Apa cara untuk memproses data pribadi?

Dalam undang-undang ketenagakerjaan Federasi Rusia ada istilah "informasi pribadi pekerja". Data tentang kontingen operasi harus diberikan kepada pemberi kerja.

Setelah memeriksa informasi pribadi, majikan membuat keputusan untuk membawa seseorang ke perusahaan.

Informasi yang disajikan seseorang tentang dirinya sendiri harus dilindungi. Sebarkan itu dilarang.

Pembaca yang budiman! Artikel kami menceritakan tentang cara-cara khas untuk menyelesaikan masalah hukum, tetapi setiap kasus adalah unik.

Jika Anda ingin tahu bagaimana menyelesaikan masalah Anda - panggil saja, cepat dan gratis!

Sistem

Informasi pribadi tentang karyawan harus dikembangkan.

Majikan menerapkan persyaratan berikut untuk data pribadi orang yang bekerja:

1. Proses pemrosesan informasi pribadi tentang orang yang bekerja berlangsung untuk memastikan kepatuhan dengan hukum dan tindakan hukum. Berkat pemrosesan data, Anda dapat mempekerjakan seseorang, memberinya keamanan pribadi, memantau pekerjaan yang ia lakukan.
2. Majikan mempertimbangkan ruang lingkup serta isi informasi pribadi tentang kontingen kerja yang sedang diproses. Semua pengusaha mempelajari dan mengikuti aspek Konstitusi, hukum federal lainnya.
3. Informasi tentang tim kerja harus diperoleh langsung dari karyawan itu sendiri. Anda dapat memperoleh informasi tentang orang yang bekerja dari mulut ketiga, tetapi hanya dengan persetujuan tertulis dari orang tersebut. Majikan memberi tahu karyawan tentang tujuan dan sumber mereka, dari mana informasi pribadi akan dibawa. Majikan memperingatkan konsekuensi dalam kasus penolakan untuk memberikan informasi pribadi dari pekerja.
4. Seseorang yang memberikan pekerjaan kepada karyawannya tidak memiliki hak untuk informasi tentang semua jenis keyakinan yang bersifat politis, religius, serta kehidupan keluarga seorang pekerja. Kehidupan pribadi seorang karyawan hanya dapat dinyatakan dengan persetujuannya. Perjanjian harus dibuat secara tertulis.
5. Majikan tidak boleh menggunakan dalam pemrosesan informasi tentang keberadaan orang yang dipekerjakan dalam asosiasi keanggotaan, serikat pekerja. Tetapi ada situasi yang disediakan oleh Hukum Federal.
6. Semua informasi pribadi harus dilindungi dan disembunyikan dari pengawasan dan penggunaan publik. Perlindungan data tunduk pada ketentuan Hukum Federal.
7. Pekerja mempelajari dokumen-dokumen yang termasuk dalam institusi. Mereka harus mengungkapkan makna dan urutan mengenai proses untuk memproses data pribadi karyawan.
8. Orang yang bekerja harus menerima perlindungan informasi pribadi mereka.
9. Pengusaha sendiri, serta karyawan, dapat bekerja bersama untuk mengembangkan cara melindungi informasi pribadi karyawan.

Saat mengomunikasikan informasi tentang karyawan, direktur perusahaan harus mengikuti aturan berikut:

• Pihak ketiga tidak perlu tahu tentang data pribadi setiap karyawan. Data hanya dapat diberikan dalam kasus di mana pekerja telah memberikan persetujuan tertulis untuk penggunaan informasi pribadi mereka. Tetapi jika ada ancaman terhadap mata pencaharian, kesehatan tim kerja, maka data pribadi dapat diberikan kepada orang lain tanpa persetujuan tertulis;
• pengusaha tidak boleh memposting data pada tim yang mengerjakannya untuk tujuan perdagangan;
• orang yang menerima informasi tentang karyawan harus memprosesnya dalam kerangka kerahasiaan;
• transfer informasi tentang seseorang hanya dilakukan dalam satu organisasi melalui tindakan internal khusus lembaga;
• informasi tentang karyawan hanya memiliki akses ke orang yang berwenang khusus;
• tidak perlu meminta informasi tentang kesehatan pekerja. Permintaan dapat dibuat hanya dalam kasus-kasus ketika muncul pertanyaan apakah pekerja dapat menjalankan fungsi kerja mereka;
• data pribadi tentang kontingen yang bekerja dapat dikumpulkan dengan mempertimbangkan data Kode.

Kontingen yang bekerja berhak untuk:

• kenalan dengan data pribadi Anda dan pemrosesan mereka;
• akses tak terbatas ke informasi pribadi. Seorang pekerja dapat mengeluarkan salinan data informasi. Tetapi ada situasi ketika informasi pribadi tidak diungkapkan. Situasi ini dijelaskan dalam Hukum Federal;
• seorang profesional medis dapat melihat data pribadi karyawan;
• kemungkinan mengoreksi atau menambah subyek data pribadi.

Jenis pemrosesan data pribadi berikut ini dibedakan:

1. Memproses informasi menggunakan teknologi komputer.
2. Tidak diproses secara otomatis.
3. Sistem informasi memproses data yang disediakan.

Otomatis

Pemrosesan ini dilakukan dengan menggunakan teknologi komputer khusus. Mesin komputasi yang paling umum dapat:

• komputer elektronik;
• perangkat bantu;
• perangkat periferal;
• tentu saja menginstal perangkat lunak.

Tidak otomatis

Uraian paling rinci tentang pemrosesan non-otomatis ditulis dalam keputusan pemerintah nomor 687.

Distribusi, studi dan penghapusan informasi tentang kontingen operasi harus dilakukan dengan bagian dari seseorang, bukan teknologi komputer.

Informasi

Berkat sistem informasi, kategori khusus informasi pribadi tentang kontingen operasi diproses. Sistem ini memproses data yang memengaruhi keanggotaan ras dan jenis kelamin tertentu, kebangsaan, pandangan politik, pandangan filosofis.

Berkat sistem informasi dapat diproses:

• data pribadi biometrik. Apalagi jika ada ciri fisiologis, data biologis. Berkat karakteristik yang diperoleh, dimungkinkan untuk menilai kepribadian pekerja;
• berbagi data pribadi;
• data informasi lainnya. Contohnya adalah agama, ide-ide nasional, pandangan filosofis, momen sifat intim dari kontingen kerja, dan banyak karakteristik pribadi penting lainnya hingga keadaan kesehatan.

Dengan demikian, informasi pribadi tentang setiap karyawan terdapat di semua perusahaan. Direktur dalam hal apapun tidak memiliki hak untuk menyebarluaskan data yang tersedia tentang orang tersebut.

Informasi yang diperoleh tentang kontingen operasi dapat diproses dalam beberapa cara: dengan bantuan teknologi komputer, dengan bantuan kekuatan pribadi, berkat sistem evaluasi informasi.

Dalam semua kasus, data pribadi setiap karyawan diperiksa secara menyeluruh.

Cara memproses data pribadi

Atas perintah kode sipil Wilayah Amur

tanggal 26 Desember 2012, No. 626

sehubungan dengan pemrosesan data pribadi

1. KETENTUAN UMUM

1.1. Dokumen ini (selanjutnya disebut sebagai Kebijakan) adalah pernyataan sistematis tentang tujuan, prinsip, metode dan kondisi untuk pemrosesan data pribadi, informasi tentang persyaratan yang diimplementasikan untuk pemrosesan dan perlindungan data pribadi di GKU Wilayah Amur di Rumah Sakit Pusat Bebas (selanjutnya Pusat Pekerjaan).

1.2. Kebijakan ini didasarkan pada persyaratan Undang-Undang Federal Federasi Rusia “Mengenai Data Pribadi”, tindakan hukum resmi lainnya dari Federasi Rusia yang menetapkan prosedur untuk pemrosesan dan perlindungan data pribadi. Kebijakan ini adalah dokumen publik.

1.3. Sesuai dengan Undang-Undang Federal 27 Juli 2006 No. 152-ФЗ “Tentang Data Pribadi”, Pusat Ketenagakerjaan adalah operator data pribadi (selanjutnya disebut sebagai “PD”).

2. DATA PROSES PROSES

2.1. Istilah utama yang digunakan dalam Kebijakan:

· Data pribadi - segala informasi yang berkaitan dengan orang fisik (subjek data pribadi) yang ditentukan atau ditentukan berdasarkan informasi tersebut, termasuk nama belakang, nama depan, patronimik, tahun, bulan, tanggal dan tempat lahir, alamat, keluarga, sosial, properti posisi, pendidikan, profesi, pendapatan, informasi lainnya;

· Pemrosesan data pribadi - tindakan (operasi) dengan data pribadi, termasuk pengumpulan, sistematisasi, akumulasi, penyimpanan, penyempurnaan (pembaruan, perubahan), penggunaan, distribusi (termasuk transfer), depersonalisasi, pemblokiran, penghancuran data pribadi;

2.2. Dalam kerangka Kebijakan ini, data pribadi yang diproses berarti:

· Data pribadi yang diberikan oleh penerima layanan publik yang melamar ke Pusat Ketenagakerjaan;

· Data pribadi karyawan Pusat Ketenagakerjaan atau kandidat untuk lowongan;

3. TUJUAN PENGOLAHAN DATA PRIBADI

3.1. Tujuan pemrosesan PD di Pusat Ketenagakerjaan adalah:

· Memastikan implementasi hak-hak konstitusional warga negara Federasi Rusia untuk bekerja dan perlindungan sosial terhadap pengangguran melalui penyediaan layanan publik di bidang promosi pekerjaan;

· Memastikan implementasi hak konstitusional warga negara untuk mengajukan banding;

· Memperoleh penilaian objektif tentang keadaan pasar tenaga kerja di entitas konstituen Federasi Rusia (dalam kaitannya dengan penerima layanan pekerjaan publik; warga yang menganggur; warga yang melamar ke Pusat Ketenagakerjaan dengan proposal, pernyataan, keluhan);

· Memastikan kepatuhan dengan Konstitusi Federasi Rusia, undang-undang dan tindakan hukum peraturan lainnya, membantu karyawan dalam mencari pekerjaan, pelatihan dan promosi untuk pekerjaan, pertumbuhan pekerjaan, memastikan keselamatan pribadi karyawan, mengendalikan jumlah dan kualitas pekerjaan yang dilakukan, memastikan keamanan properti miliknya, dan mencatat hasil kinerja mereka tugas dan keamanan properti dari Pusat Ketenagakerjaan.

· Melakukan fungsi agen pajak dalam penyediaan pengurangan pajak standar (sehubungan dengan anggota keluarga karyawan dari Pusat Ketenagakerjaan);

· Pemenuhan kewajiban berdasarkan kontrak hukum sipil (terkait dengan orang yang melakukan pekerjaan, memberikan layanan di bawah kontrak hukum sipil dengan Pusat Ketenagakerjaan).

4. PRINSIP PENGOLAHAN DATA PRIBADI

4.1. Implementasi pemrosesan PD secara legal dan adil.

4.2. Membatasi pemrosesan PD untuk pencapaian tujuan spesifik, yang telah ditentukan, dan sah yang ditunjukkan dalam Bagian 2 dokumen ini. Tidak diperbolehkan memproses data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi.

4.3. Mencegah kombinasi database yang berisi PD, yang diproses untuk tujuan yang tidak kompatibel satu sama lain.

4.4. Memproses hanya PDS yang memenuhi tujuan pemrosesan mereka.

4.5. Kepatuhan terhadap konten dan volume PD yang diproses dengan tujuan pemrosesan yang disebutkan.

4.6. Tidak dapat tidaknya redundansi memproses PD sehubungan dengan tujuan yang dinyatakan dari pemrosesan mereka.

4.7. Memastikan keakuratan PD, kecukupannya, dan, jika perlu, dan relevansinya dalam kaitannya dengan tujuan pemrosesan PD.

4.8. Pastikan bahwa tindakan yang diperlukan diambil untuk menghapus atau memperbaiki data yang tidak lengkap atau tidak akurat.

4.9. Melakukan penyimpanan PD dalam bentuk yang memungkinkan menentukan subjek PD tidak lebih lama dari yang diperlukan oleh pemrosesan PD, jika periode penyimpanan PD tidak ditentukan oleh hukum federal, kontrak di mana subjek PD adalah penerima manfaat atau penjamin. PD yang akan diproses tunduk pada kehancuran atau depersonalisasi atas pencapaian tujuan pemrosesan atau dalam hal hilangnya kebutuhan untuk mencapai tujuan-tujuan ini, kecuali ditentukan lain oleh hukum federal.

5. METODE PENGOLAHAN DATA PRIBADI

5.1. Pusat ketenagakerjaan memproses PD dengan cara berikut:

· Pemrosesan PD non-otomatis (di atas kertas);

· Pemrosesan otomatis (dalam ISPDn dengan dan tanpa menggunakan peralatan otomasi), termasuk: dengan dan tanpa transmisi melalui jaringan lokal Pusat Ketenagakerjaan; dengan dan tanpa transmisi melalui Internet;

· Pengolahan PD campuran.

5.2. Pusat ketenagakerjaan dapat secara mandiri memilih metode pemrosesan PD tergantung pada tujuan pemrosesan tersebut dan bahan serta kemampuan teknisnya sendiri.

6. PERSYARATAN PENGOLAHAN DATA PRIBADI

6.1. Pemrosesan PD dilakukan sesuai dengan prinsip dan aturan yang diatur oleh Hukum Federal “Tentang Data Pribadi”.

6.2. Pemrosesan PD diizinkan dalam kasus-kasus yang disediakan oleh Undang-Undang Federal “Tentang Data Pribadi”.

6.3. Pusat ketenagakerjaan memiliki hak untuk mempercayakan pemrosesan PD kepada orang lain dengan persetujuan subjek PD, kecuali ditentukan lain oleh hukum federal, berdasarkan kontrak yang disimpulkan dengan orang ini, termasuk kontrak negara bagian atau kota, atau dengan mengadopsi tindakan yang relevan oleh negara atau badan kota (selanjutnya disebut sebagai ).

6.4. Jika Pusat Ketenagakerjaan memberikan pemrosesan PD kepada orang lain, tanggung jawab pada subjek PD untuk tindakan orang tersebut ditanggung oleh Pusat Ketenagakerjaan. Orang yang memproses data pribadi atas nama Pusat Ketenagakerjaan bertanggung jawab kepada Pusat Ketenagakerjaan.

7. KERAHASIAAN DATA PRIBADI

7.1. Pusat ketenagakerjaan dan orang lain yang telah mendapatkan akses ke PD berkewajiban untuk tidak mengungkapkan kepada pihak ketiga dan tidak mendistribusikan PD tanpa persetujuan dari subjek PD, kecuali ditentukan lain oleh hukum federal.

8. PERSETUJUAN TUJUAN DATA PRIBADI UNTUK PENGOLAHAN DATA PRIBADINYA

8.1. Subjek PD membuat keputusan tentang penyediaan data pribadinya dan menyetujui pemrosesan mereka secara bebas, atas kehendaknya sendiri dan untuk kepentingannya.

8.2. Persetujuan untuk pemrosesan PD harus spesifik, informasi dan sadar.

8.2. Persetujuan untuk pemrosesan PD dapat diberikan oleh subjek PD atau wakilnya dalam bentuk apa pun yang memungkinkan untuk mengkonfirmasi fakta penerimaannya, kecuali ditentukan lain oleh hukum federal.

8.3. Dalam hal mendapatkan persetujuan untuk pemrosesan data pribadi dari perwakilan subjek data pribadi, otoritas perwakilan ini untuk memberikan persetujuan atas nama subjek data pribadi diperiksa oleh Pusat Ketenagakerjaan.

8.4. Persetujuan untuk pemrosesan PD dapat dicabut oleh subjek PD. Dalam kasus penarikan oleh subjek PDN dari persetujuan untuk pemrosesan PD, Pusat Ketenagakerjaan berhak untuk melanjutkan pemrosesan data pribadi tanpa persetujuan dari subjek PD jika ada alasan yang ditentukan dalam klausa 2–11 dari bagian 1 dari artikel 6, bagian 2 dari artikel 10 dan bagian 2 dari pasal 11 dari Hukum Federal “Tentang Data Pribadi ".

8.5. Dalam kasus-kasus yang ditentukan oleh hukum federal, pemrosesan PD hanya dilakukan dengan persetujuan tertulis dari subjek PD. Persetujuan dalam bentuk tertulis diakui setara dengan dokumen elektronik yang ditandatangani oleh hukum elektronik yang ditandatangani sesuai dengan hukum federal.

8.6. Data pribadi dapat diperoleh oleh Pusat Ketenagakerjaan dari orang yang bukan subjek data pribadi, asalkan Pusat Ketenagakerjaan mengkonfirmasi keberadaan alasan yang ditentukan dalam klausa 2–11 dari bagian 1 dari artikel 6, bagian 2 dari artikel 10 dan bagian 2 dari pasal 11 dari Hukum Federal “Tentang Data Pribadi ".

9. IMPLEMENTASI HAK-HAK SUBYEK DATA PRIBADI

9.1. Saat memproses PD, Pusat Ketenagakerjaan menyediakan kondisi yang diperlukan bagi PD untuk secara bebas menggunakan hak mereka.

9.2. Subjek PD memiliki hak untuk mengakses data pribadinya.

9.3. Objek PD memiliki hak untuk menerima informasi mengenai pemrosesan data pribadinya, yang berisi: konfirmasi fakta pemrosesan PD oleh Pusat Ketenagakerjaan; alasan hukum dan tujuan pemrosesan PD; tujuan dan metode pemrosesan PD yang diterapkan oleh Pusat Ketenagakerjaan; nama dan lokasi Pusat Ketenagakerjaan, informasi tentang individu (kecuali untuk karyawan Pusat Ketenagakerjaan) yang memiliki akses ke data pribadi atau yang dapat mengungkapkan data pribadi berdasarkan perjanjian dengan Pusat Ketenagakerjaan atau berdasarkan hukum federal; PD yang diproses oleh subjek PD yang relevan, sumber penerimaannya, kecuali jika prosedur yang berbeda untuk mengirimkan data tersebut diatur oleh hukum federal; Waktu pemrosesan PD, termasuk waktu penyimpanan; prosedur untuk latihan dengan subjek hak PDN yang diatur oleh Hukum Federal “Tentang Data Pribadi”; informasi tentang transfer data lintas batas yang telah selesai atau dimaksudkan; nama atau nama keluarga, nama, patronimik, dan alamat orang yang melakukan pemrosesan PDN atas nama Pusat Ketenagakerjaan, jika pemrosesan dipercayakan atau akan dipercayakan kepada orang tersebut informasi lain yang disediakan oleh undang-undang federal.

9.4. Hak subjek PD untuk mengakses data pribadinya mungkin terbatas dalam kasus-kasus yang secara tegas ditentukan oleh hukum federal.

9.5 Subjek PD memiliki hak untuk membela hak-haknya dan kepentingan yang sah, termasuk kompensasi kerusakan dan (atau) kompensasi untuk kerusakan moral di pengadilan.

9.6. Jika subjek PD menganggap bahwa Pusat Ketenagakerjaan sedang memproses PD-nya yang melanggar persyaratan Undang-Undang Federal "Tentang Data Pribadi" atau melanggar hak dan kebebasannya, subjek PD memiliki hak untuk mengajukan banding terhadap tindakan atau tidak adanya Pusat Kerja kepada badan yang berwenang untuk melindungi hak-hak subyek PD atau perintah pengadilan.

10. INFORMASI TENTANG TINDAKAN YANG DITERAPKAN OLEH Pusat Ketenagakerjaan

DIRECTED UNTUK MEMASTIKAN IMPLEMENTASI KEWAJIBAN YANG BERHUBUNGAN DENGAN PENGOLAHAN DATA PRIBADI

10.1. Pusat Ketenagakerjaan saat memproses PD melakukan tugasnya sebagai operator PD yang diatur oleh Undang-Undang Federal "Tentang Data Pribadi".

10.2. Pusat Ketenagakerjaan mengambil langkah-langkah yang diperlukan dan cukup untuk memastikan pemenuhan tugas yang diatur oleh Hukum Federal ini dan tindakan hukum pengaturan yang diadopsi sesuai dengannya.

10.3. Pusat Ketenagakerjaan secara independen menentukan komposisi dan daftar tindakan yang diperlukan dan cukup untuk memastikan pemenuhan kewajiban yang diatur oleh Hukum Federal ini dan tindakan hukum pengaturan yang diadopsi sesuai dengan itu, kecuali jika tidak ditentukan oleh undang-undang federal.

10.4. Pusat Ketenagakerjaan menyediakan akses tidak terbatas ke dokumen ini (Kebijakan), ke informasi tentang persyaratan aktual untuk perlindungan PD dengan memposting di situs resmi Departemen Ketenagakerjaan Oblast Wilayah Amur di http: // zanamur. ru, GKU Daerah Amur dari Rumah Sakit Pusat Kota Svobodny di http://svobzan.amur.ru.

11. INFORMASI TENTANG IMPLEMENTASI PUSAT PENGUKURAN KERJA UNTUK PERLINDUNGAN DATA PRIBADI DALAM PENGOLAHAN MEREKA

11.1. Pusat Ketenagakerjaan dalam pemrosesan PD memastikan adopsi tindakan hukum, organisasi dan teknis yang diperlukan untuk melindungi PD dari akses yang melanggar hukum atau tidak disengaja, penghancuran, modifikasi, pemblokiran, penyalinan, penyediaan, pendistribusian PD, serta dari tindakan ilegal lainnya terkait PDN.

11.2. Untuk melindungi data pribadi, Pusat Ketenagakerjaan menerapkan persyaratan untuk perlindungan data pribadi ketika mereka diproses dalam sistem informasi data pribadi yang dibuat oleh Pemerintah Federasi Rusia.

11.3. Memastikan keamanan PD dicapai oleh Pusat Ketenagakerjaan, khususnya:

· Identifikasi ancaman terhadap keamanan data pribadi ketika mereka diproses di ISPDN dari Pusat Ketenagakerjaan;

· Penggunaan langkah-langkah organisasi dan teknis untuk memastikan keamanan data pribadi ketika mereka diproses di ISPDN dari Pusat Ketenagakerjaan, yang diperlukan untuk memenuhi persyaratan untuk perlindungan data pribadi, yang pemenuhannya disediakan oleh tingkat perlindungan data pribadi yang ditetapkan oleh Pemerintah Federasi Rusia;

· Penggunaan langkah-langkah keamanan informasi yang disahkan dengan cara yang ditentukan;

· Penilaian terhadap efektivitas langkah-langkah yang diambil oleh Pusat Ketenagakerjaan untuk memastikan keamanan data pribadi sebelum commissioning SPDN;

· Mempertimbangkan PD pembawa mesin dari Pusat Ketenagakerjaan;

· Deteksi fakta akses tidak sah ke PDN dan mengambil tindakan;

· Pemulihan PDN diubah atau dihancurkan sebagai akibat dari akses tidak sah ke mereka;

· Pembentukan aturan untuk akses ke PDN yang diproses dalam SPDN dari Pusat Ketenagakerjaan, serta memastikan pendaftaran dan pencatatan semua tindakan yang dilakukan pada PDN di ISPDN di Pusat Ketenagakerjaan;

· Kontrol atas tindakan yang diambil untuk memastikan keamanan data pribadi dan tingkat keamanan ISPDN dari Pusat Ketenagakerjaan.

11.4. Informasi tentang tindakan yang diambil oleh Pusat Ketenagakerjaan untuk melindungi data pribadi adalah informasi terbatas.

12. Perubahan kebijakan. Hukum yang berlaku

12.1. Pusat Ketenagakerjaan memiliki hak untuk membuat perubahan pada Kebijakan ini.

12.2. Saat membuat perubahan di header Kebijakan, tanggal pembaruan revisi terakhir ditunjukkan.

12.3. Versi baru Kebijakan ini mulai berlaku sejak posting di situs Departemen Pekerjaan Oblast Amurskaya, kecuali dinyatakan sebaliknya oleh versi Kebijakan yang baru.

Cara memproses data pribadi

Tanya jawab tentang topik tersebut

Pertanyaan

Apa yang terkait dengan metode pemrosesan data pribadi, dan apa yang terkait dengan tindakan dengan data pribadi?

Jawabannya

Menurut ayat 9 dari Ordo Roskomnadzor tanggal 19 Agustus 2011 No. 706, metode * termasuk:

- pemrosesan data pribadi yang tidak otomatis;

- pemrosesan data pribadi secara otomatis dengan atau tanpa transfer informasi yang diterima melalui jaringan;

- pemrosesan data pribadi yang beragam (Catatan N 4).

Dan untuk tindakan sesuai dengan Art. 3 Undang-Undang Federal 27.07.2006 No. 152-FZ Tentang data pribadi meliputi: *

- klarifikasi (pembaruan, perubahan);

- distribusi (termasuk transmisi);

- penghancuran data pribadi.

Alasan untuk posisi ini diberikan di bawah ini dalam materi "Sistem Pengacara".

• HUKUM FEDERAL DARI 27.07.200 No. 152-ФЗ “TENTANG DATA PRIBADI”

"Pemrosesan data pribadi adalah tindakan apa pun (operasi) atau serangkaian tindakan (operasi), * dilakukan dengan menggunakan alat otomasi atau tanpa menggunakan sarana tersebut dengan data pribadi, termasuk pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, penyempurnaan (pembaruan, perubahan), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran data pribadi ”

• PESANAN ROSKOMNADZOR DARI 19 Agustus 2011 No. 706

"Bidang" daftar tindakan dengan data pribadi, deskripsi umum tentang metode yang digunakan oleh Operator untuk memproses data pribadi "* menunjukkan tindakan yang dilakukan oleh Operator dengan data pribadi, serta deskripsi metode yang digunakan oleh Operator untuk memproses data pribadi:

- pemrosesan data pribadi yang tidak otomatis;
- pemrosesan data pribadi secara otomatis dengan atau tanpa transfer informasi yang diterima melalui jaringan;

- pemrosesan campuran data pribadi (Catatan N 4). Catatan N 4. Dalam pemrosesan otomatis data pribadi atau pemrosesan campuran, perlu untuk menunjukkan apakah informasi yang diperoleh selama pemrosesan data pribadi ditransmisikan pada jaringan internal badan hukum (informasi hanya tersedia untuk karyawan yang didefinisikan secara ketat dari badan hukum) ) atau informasi ditransmisikan menggunakan Internet publik atau tanpa mentransmisikan informasi yang diterima. "

* Jadi disorot bagian dari materi yang akan membantu Anda membuat keputusan yang tepat.

Mungkin pada data pribadi untuk perusahaan yang memprosesnya

Istilah, nuansa dan sering delusi - dalam materi dari para ahli dari layanan keamanan perusahaan "Onlanta" (termasuk dalam kelompok perusahaan LANIT).

Kami memahami terminologi hukum dan nuansa di mana Anda bisa berada di pengadilan.

Jelaskan istilah dalam bahasa manusia

Undang-undang utama yang mengatur hubungan yang terkait dengan pemrosesan data pribadi adalah Undang-Undang Federal tanggal 27 Juli 2006 No. 152-ФЗ “Tentang Data Pribadi”.

Istilah pertama yang harus dipahami adalah data pribadi.

Apa itu data pribadi?

Ini adalah informasi yang dapat digunakan untuk mengidentifikasi seseorang: misalnya, nama lengkap, tanggal lahir, pendidikan, pendapatan, dan bahkan status perkawinan. Anda bertanya: "Dan apa, nama keluarga saya, yang tercetak pada kartu nama, juga data pribadi?"

Jawab: "Ya." Secara hukum, tidak masalah apakah hanya nama belakang Anda yang dicetak pada kartu bisnis atau dalam kombinasi, misalnya, dengan nomor telepon dan alamat. Baik yang pertama, dan yang kedua, dan yang ketiga - data pribadi. Benar, penyimpanan kartu nama atau nomor telepon anak perempuan di buku telepon tidak harus dijawab oleh hukum, tetapi lebih dari itu di bawah ini.

Silakan. Media terus menulis "penyimpanan data pribadi." Berbicara dengan benar, ini bukan penyimpanan, tetapi pemrosesan data pribadi. Apa bedanya? Penyimpanan hanya bagian dari apa yang disebut pemrosesan data pribadi. Setiap tindakan yang Anda lakukan dengan data pribadi (mengumpulkan, mengumpulkan, menyimpan, mentransfer, mengubah) ditetapkan oleh hukum sebagai "pemrosesan data pribadi".

Penting untuk dipahami bahwa hukum membedakan dua subjek data pribadi: operator dan prosesor. Operator melakukan pemrosesan data pribadi, dan juga menentukan tujuan pemrosesan mereka, komposisi data pribadi yang akan diproses, tindakan (operasi) dilakukan dengan data pribadi.

Handler adalah seseorang yang melakukan tindakan apa pun dengan data pribadi: mengumpulkan, menyimpan, mengorganisir, mengakumulasi, memperbarui, memperbarui, menghapus, menghilangkan identitas dan sebagainya.

Faktanya, prosesor tidak hanya pengguna akhir, yang membutuhkan data pribadi untuk bekerja, tetapi juga pengguna perantara, melalui siapa yang dilewati data pribadi ini. Perlihatkan dalam praktek.

Masalah

Toko online memiliki basis data pelanggan, yang terletak di "cloud" perusahaan pihak ketiga. Agen pemasaran bekerja dengan pangkalan ini. Pertanyaan: Berapa banyak operator data pribadi yang kita miliki?

Jawaban yang benar adalah satu. Ini adalah toko online yang menetapkan tujuan pemrosesan data pribadi. Pertanyaan kedua: berapa banyak pengolah data pribadi yang kita miliki? Jawaban yang benar adalah dua.

1. Perusahaan yang memiliki basis data toko online di cloud-nya.
2. Agen pemasaran yang mengambil data dan, berdasarkan data ini, dapat menyiapkan penawaran promosi kepada pelanggan.

Data pribadi diproses di banyak lembaga berbeda: misalnya, di bank, sekolah, klinik, pusat visa. Belum lagi halaman web tempat kami mendaftar, meninggalkan alamat email dan nomor telepon kami. Tapi bagaimana dan di mana tepatnya?

Nuansa

Ada istilah yang tidak jelas dalam hukum sebagai "sistem informasi data pribadi". Jika Anda mencoba menjelaskan secara sederhana - ini adalah keseluruhan kompleks, terdiri dari server database, sarana teknis untuk memastikan pemrosesan mereka, dan teknologi informasi. Sesuai dengan hukum, sistem informasi data pribadi apa pun harus dilindungi.

Metode melindungi informasi berbeda.

• Fisik: misalnya, di ruangan tempat komputer berada, kamera dapat dipasang, kontrol akses, sistem alarm dapat digunakan.
• Teknis - menggunakan cara perlindungan informasi khusus.
• Administratif: segala macam peraturan dan aturan yang mengatur pemrosesan data pribadi dalam perusahaan.

Contoh

Salah satu cara melindungi informasi adalah depersonalisasi data pribadi. Apa itu Di pusat visa, setiap orang yang mengajukan visa diberi nomor identifikasi terpisah. Jumlah itu sendiri tidak merujuk pada data pribadi, karena itu merendahkan seseorang: tidak mungkin untuk mengidentifikasi orang yang mengajukan permohonan visa.

Saya sepertinya sedang memproses data pribadi.

Jadi, dengan terminologi yang diurutkan. Sekarang semua perwakilan bisnis, terutama pengusaha perorangan, yang mungkin hanya memiliki beberapa karyawan di staf, harus dengan jujur ​​menjawab pertanyaan: "Apakah saya memproses data pribadi?"

Ya, jika Anda adalah pemilik situs dengan kehadiran lima orang seminggu, tetapi memiliki formulir umpan balik dengan bidang "nama, alamat email, nomor telepon". Informasi tentang tujuan Anda mengumpulkan data pribadi, bagaimana Anda menggunakannya, harus disajikan di situs web Anda.

Ya, jika Anda sedang memproses data pribadi karyawan Anda atau spesialis pihak ketiga yang disewa untuk melakukan beberapa pekerjaan.

Ya, jika Anda bekerja dengan klien pribadi dan Anda memerlukan data paspor mereka untuk masuk ke dalam kontrak - ini berlaku untuk agen perjalanan, pusat kebugaran, berbagai perusahaan jasa, toko online, dan lainnya.

Dan lagi, ya, jika Anda adalah organisasi anggaran, partai politik atau taman kanak-kanak. Yang terakhir tidak hanya memiliki informasi tentang anak, tetapi juga tentang orang tuanya, termasuk tempat kerja dan posisi. Belum lagi institusi medis - ada lautan informasi sensitif pribadi yang harus disimpan dengan aman.

Namun, jika Anda menggunakan data untuk komunikasi pribadi tanpa keuntungan komersial, maka persyaratan undang-undang tidak berlaku untuk Anda dan tidak ada pertanyaan tentang pertanggungjawaban pidana.

Misalnya, penggunaan kontak yang dicetak pada kartu bisnis yang Anda terima dari seorang kolega, atau nomor telepon di notebook di telepon pintar, informasi di jejaring sosial tidak memberi Anda tanggung jawab di hadapan hukum.

Hal utama adalah tidak mengungkapkan data kepada pengiklan dan tidak mempublikasikannya tanpa izin dari pemilik data pribadi dalam domain publik.

Tentukan kategori data pribadi

Selamat, Anda adalah pemilik bangga dengan gelar "operator data pribadi". Yang paling penting sekarang adalah memahami dengan tepat data pribadi yang Anda proses. Karena itu tergantung pada kategori data pribadi, bagaimana melindungi data dan persyaratan apa yang harus dipenuhi. Kategori-kategori tersebut dijelaskan secara rinci dalam Undang-Undang Federal-152 dan resolusi pemerintah 1 November 2012 N 1119.

Kategori data pribadi dalam kata-kata sederhana:

Data pribadi yang tersedia secara umum: data dari sumber terbuka, yang diterbitkan oleh subjek data pribadi atau dengan persetujuannya. Data yang tersedia untuk umum adalah data dari media atau Internet.

Contoh: informasi yang diposting di akses terbuka di jejaring sosial atau di situs web perusahaan. Nomor telepon dan status keluarga yang dipublikasikan di akses publik ke Facebook. Nama karyawan dan posisinya di situs web majikan.

Data pribadi biometrik: kategori ini mencakup semua data tentang karakteristik fisiologis dan biologis orang.

Contoh: berat, tinggi, warna mata atau rambut, panjang rambut, golongan darah, foto.

Data pribadi dari kategori khusus: ini termasuk informasi tentang menjadi bagian dari ras dan bangsa, pandangan politik, keyakinan agama dan filosofis, keadaan kesehatan atau kehidupan intim.

Contoh: diagnosis medis (informasi tentang apa yang Anda sakiti, kapan, dokter apa yang merawat Anda).

Data pribadi jenis lain - ini termasuk data pribadi yang tidak termasuk dalam kategori di atas.

Contoh: informasi perusahaan. Kartu akuntansi untuk karyawan yang berisi informasi tempat HR dan pembukuan bekerja: gaji, masa liburan, tanggal kerja.

Kategori, jumlah, jenis ancaman - tingkat perlindungan

Setelah Anda memutuskan kategori data pribadi, Anda perlu memahami jumlah data yang Anda proses: hingga 100 ribu atau lebih dari 100 ribu.

Temukan kategori dan kuantitasnya, tentukan jenis ancamannya:

Ancaman nomor 1. "Lubang" dan kerentanan dalam sistem operasi. Contoh: kerentanan yang digunakan peretas untuk menyusup ke sistem operasi untuk mencuri informasi.

Ancaman nomor 2. "Lubang" dan kerentanan dalam perangkat lunak aplikasi, yaitu perangkat lunak yang digunakan dalam pekerjaan sehari-hari Anda. Contoh: Word, Excel.

Ancaman nomor 3. Semua ancaman lain yang tidak tercantum dalam dua jenis pertama. Pertama-tama, faktor manusia. Seorang karyawan dapat membiarkan dokumen terbuka di komputer yang tidak dikunci, mengirim dokumen untuk dicetak ke printer orang lain, atau melalui email.

Jumlah data pribadi, kategori, jenis ancaman - semuanya memungkinkan Anda untuk menentukan tingkat perlindungan apa yang diperlukan untuk sistem informasi Anda. Sekarang ada empat tingkat perlindungan.

Tingkat perlindungan pertama dan tertinggi paling sering digunakan untuk pemrosesan data pribadi di lembaga pemerintah dan lembaga medis. Tingkat perlindungan keempat adalah yang termudah untuk diberikan, kadang-kadang cukup untuk melakukan langkah-langkah pengaturan organisasi, terutama menyangkut perlindungan data yang tersedia untuk umum.

Anda dapat menentukan tingkat perlindungan menggunakan tabel ini.

Contoh

Rumah sakit memproses data pribadi pasiennya - ini adalah data pribadi dari kategori khusus. Ini juga memproses data pribadi karyawan - ini adalah data pribadi dari kategori lain. Kemungkinan besar, rumah sakit memiliki dua database. Jika Anda menambahkan kedua basis data, Anda akan mendapatkan jumlah total data pribadi yang berputar di sistem informasi rumah sakit ini.

Misalnya, semuanya - hingga 100 ribu. Selanjutnya, kita melihat bagaimana data diproses: otomatis (di komputer) atau tidak otomatis (di lemari file manual). Jika semuanya otomatis, kami melihat perangkat lunak apa yang digunakan rumah sakit, kerentanan apa yang dimilikinya.

Berdasarkan ini, ancaman dan levelnya diidentifikasi. Kami menambahkan semua faktor dan mendapatkan kelas perlindungan tingkat kedua. Kami melihat apa persyaratan dalam undang-undang yang dijabarkan ke tingkat keamanan kedua. Atas dasar persyaratan ini, akan perlu untuk membangun perlindungan sistem informasi untuk memenuhi persyaratan Undang-Undang Federal.

Sedikit tentang bahaya kebocoran data pribadi

Kenapa repot-repot dengan perlindungan data pribadi? Data pribadi adalah barang mahal di pasar gelap. Scammers bersedia membayar jumlah yang mengesankan untuk profil yang berisi rincian lengkap dari catatan medis seseorang. Pasar terpisah - penjualan detail kartu bank; akun di jejaring sosial.

Konsekuensi dari kebocoran data pribadi berbeda. Data mungkin tersedia untuk umum di Internet: misalnya, Anda dapat dengan mudah menemukan basis data curian dengan alamat dan nomor telepon klien perusahaan di jaringan. Mengetahui nama dan nama keluarga, siapa pun dapat mengetahui alamat rumah seseorang, masuk ke jejaring sosial, melihat profil, atau hanya menulis SMS ke ponsel.

Data pribadi dapat masuk ke dalam database surat yang menjengkelkan dari beberapa organisasi komersial, maka pemiliknya akan kewalahan dengan penawaran layanan yang tidak diminta. Mereka juga dapat digunakan oleh scammers online untuk kasino online atau untuk membuka dompet elektronik.

Dalam kasus terburuk, penyerang dapat menyamar sebagai orang lain dan mengambil kredit untuk nama orang lain. Konsekuensi paling serius dari kebocoran data pribadi meliputi: tindakan ilegal dengan real estat, pencurian uang dari kartu bank, pemerasan kerabat dan pendaftaran perusahaan.

Beban tanggung jawab

Apakah Anda memahami pentingnya pertanyaan dan siap memikul tanggung jawab? Benar juga. Karena tanggung jawab untuk keamanan data pribadi sepenuhnya ada pada operator.

Ini berarti bahwa operator harus berhati-hati agar informasi tidak mengalir ke akses publik atau tidak jatuh ke tangan pihak ketiga yang tidak memiliki hak atasnya. Ini membutuhkan pemantauan dan pencegahan ancaman keamanan data yang konstan, kontrol atas tingkat keamanan informasi dan pemulihannya jika terjadi kehilangan.

Di negara kami, Roskomnadzor memantau kepatuhan terhadap undang-undang di bidang pemrosesan data pribadi. Badan ini menanggapi keluhan, mengatur hubungan antara subyek dan operator.

Persyaratan teknis untuk perlindungan informasi adalah tanggung jawab FSTEC dan FSB: mereka mengembangkan persyaratan dan mengendalikan pelaksanaannya.

Persyaratan untuk pemrosesan data pribadi

Dan sekarang saatnya untuk mempelajari tabel dengan persyaratan untuk perlindungan teknis data pribadi. Detail dapat ditemukan dalam urutan Layanan Federal untuk Kontrol Teknis dan Ekspor 18 Februari 2013 N 21.

Tetapi setidaknya mulai dengan ini:

1. Daftarkan ke Roskomnadzor sebagai operator data pribadi. Diperlukan untuk mendaftar ke Roskomnadzor dalam bentuk kertas atau elektronik. Informasi tentang tautan.
2. Dapatkan persetujuan tertulis dari semua entitas yang data pribadinya diproses. Persetujuan untuk pemrosesan data pribadi adalah dokumen hukum utama yang menegaskan keabsahan pemrosesan data pribadi.
3. Kembangkan dokumentasi internal. Commissioning atas perintah kepala organisasi "Peraturan tentang pemrosesan data pribadi." Dalam dokumen ini, operator menjelaskan bagaimana ia berencana untuk menggunakan data pribadi, untuk apa dan di mana data itu akan ditransfer. Ini adalah dokumen mendasar yang diperlukan oleh operator data pribadi apa pun. Berdasarkan itu, semua dokumen administrasi lainnya dikembangkan.

Banyak pemilik situs berpikir bahwa jika pengunjung mengklik tombol "Saya setuju untuk memproses data pribadi", tidak akan ada masalah hukum, dan pemrosesan data akan secara otomatis jatuh ke bidang hukum. Bukan itu.

Dari sudut pandang hukum, hanya ada dua cara untuk mengonfirmasi persetujuan Anda terhadap pemrosesan data pribadi: meletakkan tanda tangan di atas kertas atau menggunakan tanda tangan digital elektronik.

Dalam semua kasus lain, jika kasus ini dibawa ke pengadilan, pemilik situs tidak akan dapat mengonfirmasi siapa yang benar-benar menekan tombol "Saya setuju". Seseorang hanya bisa berharap bahwa subjek yang datang ke situs Anda secara sukarela mengirimkan datanya dan tidak mengajukan keluhan.

Apakah benar ada cek?

Ya, cek bisa dari Roskomnadzor.

Roskomnadzor setiap tahun menerbitkan daftar cek secara selektif dari daftar operator terdaftar, jika perusahaan dimasukkan dalam daftar cek, maka cek terjadwal berikutnya dimungkinkan tidak lebih awal dari setelah tiga tahun. Anda dapat melihat apakah perusahaan Anda ada dalam daftar tahun ini di sini.

Pemeriksaan yang tidak direncanakan biasanya disebabkan oleh keluhan. Jika cek tidak terjadwal, Anda harus diperingatkan tentang hal itu dalam 24 jam secara tertulis.

Mungkin juga ada pemeriksaan dokumenter. Saat mendokumentasikan Anda akan mengirim daftar dokumen, salinannya perlu dikirim ke Roskomnadzor.

Terkadang Roskomnadzor melakukan inspeksi di tempat: inspektur secara pribadi melakukan kunjungan untuk memeriksa perusahaan di lokasi.

Mempersiapkan semua cek ini adalah tugas yang menghabiskan waktu. Apakah Anda akan menyelesaikan tugas mempersiapkan inspeksi sendiri, atau akan melibatkan spesialis eksternal, pertama-tama Anda perlu menentukan siapa di perusahaan yang akan bertanggung jawab untuk mematuhi FZ-152.

Denda, pengadilan, dan kengerian lainnya

Untuk pelanggaran terhadap 152-FZ, tanggung jawab perdata, pidana, administratif, dan disipliner disediakan.

Jadi, Roskomnadzor melakukan inspeksi, jika menemukan ketidakkonsistenan dengan hukum, ia akan mengeluarkan perintah kepada komite investigasi untuk melakukan persidangan atas fakta pelanggaran undang-undang “Tentang Data Pribadi”.

Setelah itu, kantor kejaksaan akan memulai inspeksi, di mana ia dapat menangguhkan aktivitas perusahaan: menarik database perusahaan, khususnya, komputer tempat data pribadi diproses.

Pelanggar hukum terutama menunggu denda. Jumlah denda bervariasi tergantung pada pelanggaran. Jadi, untuk pemrosesan data pribadi tanpa izin tertulis dari entitas, badan hukum harus menanggung tanggung jawab administratif.

Bahkan jika operator bersedia membayar denda, tetapi dengan standar bisnis besar, itu tidak tampak besar, pelaku tetap harus menghilangkan inkonsistensi di depan hukum (misalnya, menghapus data yang disimpan) dan memberi tahu Roskomnadzor.

Skenario terburuk adalah jika Roskomnadzor memutuskan untuk mencabut lisensi perusahaan, melarang bisnis memproses data pribadi, dan secara tidak sah mempublikasikan data pribadi warga.

Selama beberapa tahun terakhir, skandal paling keras di Rusia dikaitkan dengan pemblokiran LinkedIn, yang pemiliknya dituduh memproses data pribadi warga tanpa persetujuan mereka pada server di luar Federasi Rusia. Pemblokiran layanan autonum.info juga "membuat suara".

Berapa biayanya uang dan kekuatan saya

Anda dapat mengatur pemrosesan data pribadi secara mandiri atau dengan bantuan perusahaan yang menyediakan layanan seperti itu.

Jika Anda memutuskan untuk mengolah data pribadi sendiri, Anda perlu:

1. Pahami kategori data pribadi apa yang Anda proses dan apa persyaratan teknis untuk perlindungannya.
2. Sendiri atau dengan bantuan perusahaan IT, kembangkan solusi teknis, siapkan pembelian peralatan dan perangkat lunak yang diperlukan, instal dan implementasikan.
3. Terbitkan semua dokumen hukum. Kembangkan seperangkat dokumen internal: instruksi dan peraturan.

Paling-paling, akan memakan waktu tiga hingga empat bulan, dengan biaya implementasi seperti itu, bisa 200-300 ribu rubel - ini adalah biaya untuk membeli peralatan dan lisensi. Biaya tenaga kerja dan dukungan lebih lanjut dari sistem informasi adalah item pengeluaran yang terpisah. Anda juga akan memerlukan administrator yang akan memantau operasi sistem.

Berbicara secara objektif, perusahaan yang sangat kecil tidak memenuhi semua persyaratan hukum dengan harapan tidak ada verifikasi. Mungkin memang tidak akan. Perusahaan lain menciptakan "desa Potemkin" hanya dengan berpura-pura memproses data pribadi sesuai dengan persyaratan hukum, dengan kata lain, mereka "membeli" dokumen yang diperlukan.

Pada artikel selanjutnya, kami akan menunjukkan cara menghitung biaya pemrosesan data pribadi dalam suatu perusahaan dan memberi tahu Anda kapan lebih menguntungkan melakukan pemrosesan data pribadi dan kapan lebih baik menyimpannya di cloud.

Materi ini diterbitkan oleh pengguna. Klik tombol "Tulis" untuk membagikan pendapat Anda atau berbicara tentang proyek Anda.

Personal Data Act: implikasi untuk pekerjaan kantor

• Khramtsovskaya Natalia | Kandidat Ilmu Sejarah, Pakar Terkemuka dalam Pengelolaan Dokumen Perusahaan EOS, Pakar ISO, Anggota Dewan Arsip Internasional

Mencari penyebab dasarnya

Undang-Undang Federal Federasi Rusia No. 152-ФЗ “Tentang Data Pribadi” diadopsi pada tanggal 27 Juli 2006, dan, dengan latar belakang peristiwa luar biasa lainnya tahun lalu, hampir tidak diperhatikan. Alasan formal untuk adopsi adalah banyak fakta pencurian basis data pribadi di negara bagian dan struktur komersial dan penjualan mereka yang luas. Faktanya, tujuan utama dari penerapan undang-undang ini adalah perlunya menghilangkan hambatan tertentu untuk berdagang dengan negara-negara Uni Eropa.

Perancis melarang publikasi fakta tentang privasi dan mengenakan denda bagi pelanggar pada tahun 1858.

KUHP Norwegia melarang publikasi informasi yang berkaitan dengan "urusan pribadi atau pribadi" pada tahun 1889.

Hukum domestik "Pada data pribadi" tertanggal 27 Juli 2006 No. 152-FZ memulai operasinya pada 26 Januari tahun ini (sesuai dengan bagian 1 pasal 25, undang-undang ini mulai berlaku 180 hari setelah publikasi resmi, yang berlangsung pada 29 Juli 2006 dalam "Rossiyskaya Gazeta").

Menurut EU Directive 95/46 / EC, data pribadi hanya dapat ditransfer ke negara-negara yang memberikan tingkat perlindungan yang sama seperti di Eropa. Ini secara signifikan menghambat pertukaran informasi dari lembaga-lembaga pemerintah Eropa dan perusahaan-perusahaan dengan mitra asing mereka, sehingga tidak memungkinkan bagi banyak proyek yang menjanjikan secara komersial. Pembatasan seperti itu dialami tidak hanya oleh Rusia dan negara-negara dunia ketiga, tetapi juga oleh monster ekonomi seperti Amerika Serikat. Jadi, Pemerintah kami memutuskan untuk mengatasi penghalang ini. Mari kita lihat bagaimana dia melakukannya dan berapa biayanya bagi kita semua.

Penerapan undang-undang Rusia tentang data pribadi adalah hasil dari aksesi Federasi Rusia ke Konvensi Eropa 1981 “Tentang perlindungan orang sehubungan dengan pemrosesan data pribadi secara otomatis”, yang menetapkan prinsip-prinsip dasar untuk perlindungan data pribadi di negara-negara Eropa. Konvensi ini dan Arahan Uni Eropa berikutnya menguraikan tugas-tugas yang harus ditangani oleh undang-undang nasional ketika mengatur data pribadi:

• perlindungan data pribadi dari akses tidak sah ke mereka oleh orang lain, termasuk perwakilan dari badan dan layanan pemerintah yang tidak memiliki wewenang yang diperlukan;
• memastikan keamanan, integritas, dan keandalan data dalam proses bekerja dengan mereka, termasuk transmisi melalui saluran komunikasi;
• memastikan rezim hukum yang tepat dari data ini ketika bekerja dengannya untuk berbagai kategori data pribadi;
• memastikan kontrol atas penggunaan data pribadi oleh warga negara;
• penciptaan struktur independen khusus yang memastikan kontrol yang efektif atas kepatuhan terhadap hak-hak warga negara untuk melindungi data pribadinya (misalnya, penciptaan jabatan Komisaris untuk melindungi data pribadi).

Hukum kami sebagian besar mengulangi ketentuan utama undang-undang Eropa di bidang ini, yang dianggap sebagai salah satu dari yang paling sulit di dunia. Meskipun pada 2006, undang-undang itu cukup sering dibicarakan, tetapi hanya sedikit orang yang dengan hati-hati membaca isi dari ketentuannya. Tetapi untuk memastikan kepatuhan dengan persyaratannya, perlu untuk secara signifikan mengubah pekerjaan dengan informasi dan dokumentasi yang berisi data pribadi. Mari kita coba mencari tahu apa yang baru di bidang mengelola dokumen dan informasi di organisasi?

• Di semua organisasi, ada lapisan dokumentasi baru yang cukup banyak. Ini adalah dokumen yang berkaitan dengan mendapatkan persetujuan individu untuk pemrosesan data pribadi mereka, dengan pendaftaran basis data dengan badan yang berwenang, dengan dokumentasi semua transaksi dengan data pribadi, dll.
• Ada kebutuhan untuk menyoroti dokumen dan informasi yang berisi data pribadi; label khusus mereka baik di atas kertas dan media elektronik; akuntansi terpisah dan pelacakan akses. Anda dapat berbicara tentang penampilan jenis akses leher lain ke dokumen.
• Pendekatan yang berubah secara mendasar untuk pembentukan penyimpanan dokumen dan informasi. Untuk pertama kalinya dalam praktik rumah tangga, periode penyimpanan maksimum ditetapkan, dan periode bersyarat, yang akan agak sulit untuk diamati dan dilacak.
• Saat bekerja dengan data pribadi, perlu dipikirkan dengan jelas sebelumnya dan mencatatnya dalam dokumen peraturan, yang terhubung dengan pemrosesan mereka. Jika tidak, organisasi dapat dimintai pertanggungjawaban, dan, bahkan lebih tidak menyenangkan, mungkin ada banyak tuntutan hukum dari subyek data pribadi itu sendiri 3.
• Undang-undang tersebut memperkenalkan tenggat waktu yang sangat ketat untuk pelaksanaan banding semua warga negara terkait dengan pemrosesan data pribadi.

Mari kita sekarang membahas lebih dalam lagi ketentuan-ketentuan hukum yang paling penting dan menilai apa yang perlu dilakukan oleh organisasi dan lembaga untuk mengimplementasikannya. Selain itu, kami akan mencoba menganalisis beberapa ketentuan hukum dalam hal kebenaran dan kejelasan kata-kata mereka.

Lingkup hukum

Pertanyaan pertama: kepada siapa hukum ini berlaku? Menanggapi itu, kita dapat dengan aman mengatakan bahwa itu berlaku untuk semua orang tanpa kecuali (untuk lembaga negara, badan hukum dan individu). Berikut daftar artikel 1:

• badan pemerintah federal
• otoritas negara dari entitas konstituen Federasi Rusia,
• badan-badan negara lainnya
• pemerintah daerah,
• badan kota yang bukan bagian dari sistem badan pemerintahan sendiri lokal,
• badan hukum
• individu.

Masalah penting kedua adalah ruang lingkup hukum.

Pasal 1 Undang-Undang Federal Federasi Rusia “Mengenai Data Pribadi” No. 152-FZ tanggal 27 Juli 2006

Undang-undang Federal ini mengatur hubungan yang terkait dengan pemrosesan data pribadi... dengan penggunaan alat otomasi atau tanpa menggunakan sarana tersebut, jika pemrosesan data pribadi tanpa menggunakan cara tersebut sesuai dengan sifat tindakan (operasi) yang dilakukan dengan data pribadi menggunakan cara otomatisasi.

Kata-kata dari artikel ini adalah contoh bagaimana tidak menulis undang-undang. Ternyata sesuatu yang tidak bisa dimengerti, memungkinkan berbagai interpretasi. Bagaimana, atas dasar teks seperti itu, untuk menjawab, misalnya, pertanyaan apakah data yang tercakup dalam formulir bebas di notebook bisnis termasuk dalam ruang lingkup hukum? Jika notebook semacam itu disimpan di komputer atau di ponsel, apakah itu dianggap "penggunaan peralatan otomasi"?

Undang-undang Eropa dalam hal ini lebih jelas:

EU Directive 95/46 / EC 1995

Pasal 2 "Definisi":

(C) "sistem penyimpanan data pribadi" 4 ("sistem penyimpanan") adalah setiap set data pribadi terstruktur yang dapat diakses sesuai dengan kriteria tertentu - terlepas dari bagaimana set data diatur, apakah terpusat, desentralisasi atau didistribusikan berdasarkan fungsional atau geografis...

Pasal 3 "Ruang Lingkup":

1. Arahan ini berkaitan dengan pemrosesan data pribadi menggunakan sarana otomatis (seluruhnya atau sebagian), serta pemrosesan dengan cara selain otomatis, data pribadi, komponen atau dimaksudkan untuk menjadi bagian dari sistem penyimpanan.

Dalam terminologi komputer modern, "data terstruktur" berarti, pertama-tama, database. Dalam dokumen, mereka termasuk file kartu dan arsip file pribadi. Oleh karena itu, persyaratan Eropa meliputi:

• untuk pemrosesan otomatis data pribadi dan
• untuk digunakan (baik dalam mode otomatis atau lainnya) yang berisi data pribadi dari kertas dan basis data elektronik, file kartu, dll., yang memiliki mekanisme pencarian yang membuatnya mudah untuk mengekstrak informasi tentang orang tertentu.

Mengapa tidak mungkin menulis dalam bahasa Rusia dan dalam hukum kita tetap tidak dapat dipahami?

Perhatian harus diberikan pada perbedaan dalam terminologi: "pemrosesan otomatis" adalah satu hal, dan pemrosesan "menggunakan peralatan otomasi" adalah konsep yang sama sekali berbeda, jauh lebih luas dan lebih kabur.

Undang-undang hanya memberikan empat pengecualian, yaitu, hukum tidak berlaku untuk hubungan yang timbul:

• saat memproses data pribadi untuk kebutuhan pribadi dan keluarga;
• saat memproses data pribadi dalam dokumen Dana Arsip Federasi Rusia;
• saat memproses data pribadi untuk dimasukkan dalam Daftar Negara Pengusaha Individual (EGRIP);
• saat memproses data pribadi yang diklasifikasikan sebagai rahasia negara.

Salah satu poin ini membutuhkan studi yang lebih rinci. Untuk memulai, kami mengutip hukum:

Pasal 1 Undang-Undang Federal Federasi Rusia “Mengenai Data Pribadi” No. 152-FZ tanggal 27 Juli 2006

2. Hukum Federal ini tidak berlaku untuk hubungan yang timbul dari:

2) organisasi penyimpanan, akuisisi, akuntansi dan penggunaan, yang berisi data pribadi dokumen-dokumen Dana Kearsipan Federasi Rusia dan dokumen kearsipan lainnya sesuai dengan undang-undang tentang arsip di Federasi Rusia.

Kami mengingatkan Anda tentang dua definisi yang diabadikan dalam Undang-Undang "Tentang Urusan Arsip di Federasi Rusia" No. 125-ФЗ tertanggal 10.22.2005:

• dokumen arsip - media berwujud dengan informasi yang direkam di atasnya, yang memiliki perincian, memungkinkannya untuk diidentifikasi, dan dapat disimpan karena signifikansi dari pembawa yang ditunjukkan dan informasi untuk warga negara, masyarakat dan negara;
• Dokumen Dana Arsip Federasi Rusia adalah dokumen arsip yang telah lulus pemeriksaan nilai dokumen, dimasukkan ke dalam akuntansi negara dan tunduk pada penyimpanan permanen.
  Ternyata jika periode penyimpanan permanen ditetapkan untuk dokumen atau basis data dan mereka termasuk dalam Dana Arsip Federasi Rusia, maka undang-undang ini tidak berlaku untuk mereka. Kelemahan ini memungkinkan lembaga pemerintah dengan database serius untuk menghindari penerapan undang-undang baru tentang data pribadi.

Berikut adalah contoh bagaimana hal ini dapat dilakukan. Menurut Undang-Undang Federal “Tentang Urusan Arsip di Federasi Rusia” (Bagian 2 dari Pasal 18), Pemerintah Federasi Rusia menyetujui daftar badan eksekutif federal dan organisasi yang melakukan penyimpanan penyimpanan dokumen Dana Arsip Federasi Rusia yang berada dalam kepemilikan federal. Daftar baru 5 departemen dan organisasi ini telah disetujui pada akhir tahun 2006. Pada saat yang sama, organisasi-organisasi ini diperintahkan untuk menyimpulkan kesepakatan tentang kondisi penyimpanan dokumen dengan Rosarkhiv. Jika pada akhir kontrak secara khusus ditetapkan bahwa semua dokumen, kecuali yang operasional, dianggap sebagai dokumen yang ditransfer untuk ditahan, maka sebagian besar dokumen dapat ditempatkan di bawah pengecualian ini.

Untuk organisasi negara lainnya, salah satu opsi dapat berupa persetujuan segera dari catatan kasus dengan arsip negara, yang pada kenyataannya akan berarti dimasukkannya dokumen ke dalam Dana Arsip Federasi Rusia dan sekali lagi meninggalkan "zona aksi" undang-undang tentang data pribadi.

Arahan Uni Eropa tidak mengandung pengecualian seperti itu, namun, ada, misalnya, dalam Kode 6 AS, yang berisi kata-kata yang lebih benar yang tidak memungkinkan ambiguitas: undang-undang data pribadi umumnya tidak berlaku untuk dokumen yang sudah disimpan dalam arsip negara, tetapi berlaku untuk dokumen yang ditransfer ke arsip negara oleh lembaga apa pun untuk tahanan.

Juga tidak jelas mengapa, dari banyak basis data negara bagian kami, hukum kami membuat pengecualian untuk Daftar Pengusaha Perorangan (EGRIP) Negara Terpadu. Maka logis untuk memperluas pengecualian ke registrasi negara lain yang juga mengandung data pribadi (misalnya, Pendirian memasukkan informasi tentang pendiri dan orang pertama dari semua badan hukum negara).

Data pribadi dan metode pemrosesan

Data pribadi - setiap informasi yang berkaitan dengan orang fisik (subjek data pribadi) yang ditentukan atau ditentukan berdasarkan informasi tersebut, termasuk nama belakang, nama depan, patronimik, tahun, bulan, tanggal dan tempat lahir, alamat, keluarga, sosial, status properti, pendidikan, profesi, pendapatan, informasi lainnya (sesuai dengan pasal 3 Undang-Undang tentang Data Pribadi).

Undang-undang mengatur metode pengolahan data pribadi berikut (untuk sejumlah penjelasan rinci diberikan dalam Pasal 3):

• koleksi;
• sistematisasi;
• akumulasi;
• penyimpanan;
• klarifikasi (pembaruan, ubah);
• menggunakan - "tindakan (operasi) dengan data pribadi yang dilakukan oleh operator 7 untuk tujuan membuat keputusan atau melakukan tindakan lain yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau orang lain, atau dengan cara lain apa pun yang mempengaruhi hak dan kebebasan subjek data pribadi atau orang lain";
• distribusi (termasuk transfer) - “tindakan yang ditujukan untuk mentransfer data pribadi ke lingkaran orang tertentu (transfer data pribadi) atau berkenalan dengan data pribadi orang yang jumlahnya tidak terbatas, termasuk pengungkapan kepada publik data pribadi di media, penempatan informasi dan telekomunikasi jaringan atau menyediakan akses ke data pribadi dengan cara lain apa pun ";
• Depersonalisasi - “tindakan, yang karenanya tidak mungkin untuk menentukan identitas data pribadi ke subjek data pribadi tertentu”;
• memblokir - "penangguhan sementara pengumpulan, sistematisasi, akumulasi, penggunaan, penyebaran data pribadi, termasuk transfernya";
• penghancuran data pribadi - "tindakan, akibatnya tidak mungkin untuk mengembalikan konten data pribadi dalam sistem informasi data pribadi atau sebagai akibat dari mana bahan pembawa data pribadi dihancurkan".

Perhatian khusus harus diberikan pada metode pemrosesan seperti pemblokiran dan penghancuran data pribadi. Hukum mengatakan cukup baik tentang kehancuran - ini adalah pendekatan yang sekarang direkomendasikan oleh standar domestik dan asing. Adapun pemblokiran data pribadi, metode pemrosesan dalam praktik rumah tangga ini diperkenalkan untuk pertama kalinya, dan pelaksanaannya dapat secara signifikan mempersulit kehidupan organisasi menggunakan sistem informasi dan basis data yang sebelumnya dikembangkan di mana operasi semacam itu tidak disediakan.

Prinsip dan ketentuan untuk pemrosesan data pribadi

Ketentuan hukum terutama ditujukan untuk mencegah pengumpulan ilegal dan penggunaan data pribadi. Keinginan legislator ini telah menyebabkan munculnya posisi baru untuk praktik pencatatan:

Klausa 2 Pasal 5 Hukum Federal Federasi Rusia "Tentang Data Pribadi" tanggal 27 Juli. 2006 No. 152-FZ

Data pribadi harus disimpan dalam bentuk yang memungkinkan untuk menentukan subjek, tidak lebih dari tujuan pemrosesan yang diperlukan, dan harus dimusnahkan setelah mencapai tujuan pemrosesan data pribadi, atau hilangnya kebutuhan untuk mencapainya.

Dalam kasus ini, hukum, untuk pertama kalinya, mungkin menetapkan informasi dan dokumen maksimum dan, apalagi, periode penyimpanan bersyarat - "setelah pencapaian tujuan pemrosesan". Organisasi harus menetapkan periode penyimpanan untuk dokumen yang berisi data pribadi, dan akan perlu untuk memikirkan terlebih dahulu tentang alasan untuk periode penyimpanan yang dipilih. Ini adalah pertanyaan yang agak rumit yang dapat menyebabkan banyak kontroversi dan masalah.

Selain itu, spesialis DOE perlu memperhatikan hal-hal berikut: karena tujuan untuk mengumpulkan dan memproses data pribadi, sebagaimana diharuskan oleh hukum, harus ditentukan sebelum memulai pekerjaan, perlu untuk mempertimbangkan kata-kata mereka dengan cermat. Jika tidak, organisasi itu sendiri dapat "menggantikan" dirinya: tujuan akan terpenuhi, dan data pribadi tidak akan dihancurkan.

Salah satu yang paling tidak menyenangkan bagi organisasi yang mengumpulkan dan memproses data pribadi adalah persyaratan pasal 6 tentang perlunya mendapatkan persetujuan subjek untuk pemrosesan mereka. Tidak diperlukan persetujuan hanya dalam kasus berikut:

• atas dasar undang-undang federal;
• untuk memenuhi kontrak dengan subjek data pribadi;
• untuk keperluan statistik atau ilmiah;
• untuk melindungi kehidupan dan kesehatan subjek data pribadi;
• untuk pengiriman kiriman melalui organisasi pos;
• dalam kegiatan profesional jurnalis, sarjana, dll.
• data yang akan diterbitkan sesuai dengan hukum federal;
• untuk melindungi fondasi tatanan konstitusional, moralitas, kesehatan, hak dan kepentingan sah orang lain, untuk memastikan pertahanan negara dan keamanan negara.

Kami sudah memiliki sejumlah undang-undang federal yang menjelaskan tentang pemrosesan data pribadi, misalnya, ketika mempertahankan Kantor Pendaftaran Wajib Pajak Amerika Serikat (EGRN) dan badan hukum (USR). Satu-satunya syarat untuk menggunakan pengecualian dari persyaratan persetujuan umum adalah untuk mengemukakan pertanyaan berikut dalam undang-undang yang relevan:

• tujuan
• ketentuan untuk mendapatkan data pribadi
• lingkaran subjek yang data pribadinya dapat diproses,
• kekuatan operator mengumpulkan data.

Belum jelas apa yang akan terjadi dengan undang-undang yang memuat norma-norma yang berkaitan dengan pengumpulan dan pemrosesan data pribadi, tetapi tidak memenuhi persyaratan yang ditentukan.

Yang pertama untuk masalah yang terkait dengan kepatuhan terhadap undang-undang baru, menarik perhatian perusahaan asuransi. Menurut pendapat mereka, undang-undang tentang data pribadi dapat secara serius menghambat implementasi undang-undang tentang asuransi kewajiban pihak ketiga wajib (MTPL) karena larangan untuk mentransfer ke pihak ketiga data pribadi klien diperoleh pada akhir kontrak MTPL tanpa persetujuannya. Akibatnya, perusahaan asuransi tidak akan dapat memperoleh informasi lengkap tentang pelanggannya dari satu basis data (dan mempertahankan basis data semacam itu juga dipertanyakan), dalam situasi ini, risiko perusahaan asuransi semakin meningkat.

Sudah, perusahaan asuransi mencoba untuk memecahkan masalah penting ini bagi mereka dengan mempertimbangkan opsi berikut:

• Amandemen undang-undang tentang OSAGO dan kewajiban perusahaan asuransi untuk bertukar data tentang peristiwa yang dipertanggungkan.
• Definisi bagian dari data pribadi sebagai publik. Informasi yang ditunjukkan seseorang ketika membuat kontrak OSAGO adalah, menurut perusahaan asuransi, publik. Namun, undang-undang "Tentang Data Pribadi" mensyaratkan persetujuan untuk pengumpulan data publik.
• Komite Persatuan Penanggung Seluruh Rusia (ARIA) untuk memberantas penipuan asuransi telah menyiapkan dua tagihan, yang rencananya akan diajukan ke Duma Negara pada awal 2007. Menurut ketua komite, Yevgeny Potapov, salah satu dari tagihan ini akan mengubah undang-undang "Tentang organisasi bisnis asuransi di Federasi Rusia." Ini akan memungkinkan perusahaan asuransi untuk membuat sistem informasi otomatis berdasarkan asosiasi dan asosiasinya, yang akan berisi data tentang klaim dan pembayaran asuransi 8.

Paragraf 6 pasal 6 tentang pemberian hak untuk memproses data pribadi kepada jurnalis, cendekiawan, dan perwakilan profesi kreatif lainnya tanpa persetujuan subjek diragukan. Sangat realistis (terutama dalam struktur komersial) untuk memperkenalkan posisi penuh waktu dari "perwakilan profesi kreatif" dan "menulis untuk itu" semua database yang berisi informasi pribadi.

Sebagai contoh, di Inggris, dalam ketentuan hukum yang serupa, juga ditetapkan bahwa dalam hal ini tujuan pemrosesan data harus publikasi materi yang relevan; bahwa publikasi semacam itu harus untuk kepentingan umum (termasuk dalam pelaksanaan hak ekspresi diri dari perwakilan profesi kreatif) 9.

Selain itu, menarik bagaimana kita akan menentukan siapa yang menjadi jurnalis atau penulis, dan siapa yang tidak. Bukan rahasia bahwa banyak saudara lelaki yang menulis tidak memiliki ijazah atau ID resmi yang sesuai. Di sini, pendekatan yang digunakan di AS mungkin berguna bagi kita: jurnalis mengenali semua orang yang menulis artikel untuk distribusi publik, bahkan jika itu hanya diterbitkan di Internet.

Di Amerika Serikat pada Januari 2007, persidangan pemerintahan senior Scooter "Libby George Bush Lewis dimulai. Seratus kursi disisihkan untuk pers di ruang sidang, dan dua di antaranya diterima secara resmi oleh para penulis buku harian Internet.

Perhimpunan Editor Surat Kabar Amerika, ketika menyusun undang-undang federal tentang pemberian hak kepada wartawan untuk tidak mengungkapkan informasi rahasia selama proses hukum, menyarankan bahwa undang-undang ini berlaku untuk semua orang tanpa kecuali dan mencakup mereka yang mengumpulkan informasi untuk distribusi lebih lanjut. Dan penulis buku harian Internet, "blogger", juga termasuk dalam definisi ini 10.

Sekarang mari kita lihat bagaimana undang-undang baru ini melibatkan mendapatkan persetujuan subjek untuk memproses data pribadinya.

Klausa 1 Pasal 9 Hukum Federal Federasi Rusia "Pada Data Pribadi" tanggal 27 Juli. 2006 No. 152-FZ

Subjek data pribadi memutuskan penyediaan data pribadinya dan menyetujui pemrosesan mereka atas kehendaknya sendiri dan untuk kepentingannya sendiri... Persetujuan untuk pemrosesan data pribadi dapat ditarik oleh subjek data pribadi.

Selain itu, ayat 3 Pasal 9 berisi kondisi yang agak tidak menyenangkan bagi operator. Mereka harus mengumpulkan bukti bahwa data yang dikumpulkan oleh mereka diambil dari sumber yang tersedia untuk umum, atau mendapatkan persetujuan dari subjek data pribadi dan kemudian menyimpan dokumen ini jika "subjek" memutuskan untuk menuntut operator karena melanggar haknya.

Dengan data yang tersedia untuk umum juga tidak begitu sederhana. Pasal 8, yang mendefinisikan apa yang dimaksud dengan sumber data pribadi yang dapat diakses oleh publik (buku referensi, buku alamat, dll.), Menekankan bahwa informasi pribadi hanya dapat dimasukkan di sana dengan persetujuan tertulis dari subjek. Selain itu, "informasi tentang subjek data pribadi dapat kapan saja dikeluarkan dari sumber data pribadi yang tersedia untuk umum atas permintaan subjek data pribadi atau oleh pengadilan atau badan pemerintah resmi lainnya."

Di sisi lain, jika suatu organisasi menggunakan sumber data pribadi yang tersedia untuk umum ketika mengumpulkan informasi, maka ia harus mendokumentasikan di mana ia menerima informasi ini dan memastikan bahwa "sumber" memiliki persetujuan tertulis yang disyaratkan oleh hukum.

Hukum Federal Federasi Rusia "Tentang Data Pribadi" tertanggal 27 Juli. 2006 No. 152-FZ

Klausa 12 Pasal 3. Istilah Dasar yang Digunakan dalam Hukum Federal ini

Data pribadi yang dapat diakses secara umum adalah data pribadi yang jumlah orangnya tidak terbatas memiliki akses dengan persetujuan subjek data pribadi atau kepada siapa persyaratan kerahasiaan tidak berlaku sesuai dengan undang-undang federal.

Klausa 1 Pasal 8. Sumber data pribadi yang dapat diakses secara umum

Untuk memberikan dukungan informasi, sumber data pribadi yang dapat diakses publik (termasuk buku referensi, buku alamat) dapat dibuat. Sumber data pribadi yang tersedia secara publik dengan persetujuan tertulis dari subjek data pribadi dapat mencakup nama belakang, nama depan, nama tengah, tahun dan tempat lahir, alamat, nomor pelanggan, informasi tentang profesi dan data pribadi lainnya yang disediakan oleh subjek data pribadi.

Klausul 3 pasal 9. Izin subjek data pribadi tentang pemrosesan data pribadi mereka

Kewajiban untuk memberikan bukti persetujuan subjek data pribadi untuk pemrosesan data pribadinya, dan dalam hal memproses data pribadi yang tersedia untuk umum, operator wajib membuktikan bahwa data pribadi yang sedang diproses tersedia untuk umum.

Ternyata untuk melindungi diri mereka sendiri, organisasi harus meminta konfirmasi resmi untuk setiap warga negara.

Bagaimana seharusnya persetujuan tertulis subjek diajukan? Ternyata tanda tangan warga di bawah frasa umum "Saya setuju dengan pengumpulan dan pemrosesan data pribadi saya" tidak akan cukup.

Klausul 4 Pasal 9 Hukum Federal Federasi Rusia "Pada Data Pribadi" tanggal 27 Juli. 2006 No. 152-FZ

... persetujuan tertulis dari subjek data pribadi untuk pemrosesan data pribadi mereka harus mencakup:

1. nama keluarga, nama, patronimik, alamat subjek data pribadi, jumlah dokumen utama yang membuktikan identitasnya, informasi pada tanggal penerbitan dokumen yang ditentukan dan otoritas penerbit;
2. nama (nama keluarga, nama, patronimik) dan alamat operator yang memperoleh persetujuan subjek data pribadi;
3. tujuan pemrosesan data pribadi;
4. daftar data pribadi untuk pemrosesan yang izin subjek data pribadinya diberikan;
5. daftar tindakan dengan data pribadi yang persetujuannya diberikan, deskripsi umum tentang metode yang digunakan oleh operator untuk pemrosesan data pribadi;
6. periode di mana persetujuan berlaku, serta prosedur penarikannya.

Ini berarti bahwa sebelum "menangkap" subjek data pribadi dan berusaha mendapatkan persetujuannya, operator harus mengembangkan bentuk khusus dokumen yang akan berisi semua informasi yang diperlukan.

Hak subjek data pribadi

Pertama-tama, subjek data pribadi berhak menerima informasi berikut:

• informasi tentang operator,
• informasi tentang lokasi operator,
• informasi tentang data pribadi operator terkait dengan subjek data pribadi yang relevan,
• subjek juga memiliki hak untuk membiasakan diri dengan data pribadinya yang dipegang oleh operator.

Dari operator, subjek data pribadi mungkin memerlukan:

• mengklarifikasi data pribadi Anda
• pemblokiran atau penghancuran mereka dalam hal data pribadi tidak lengkap, ketinggalan jaman, tidak akurat, diperoleh secara ilegal atau tidak perlu untuk tujuan pemrosesan yang dinyatakan.

Banyak kesulitan untuk organisasi operator akan membuat pasal 2 pasal 14 undang-undang, yang mensyaratkan bahwa informasi tentang ketersediaan data pribadi diberikan kepada subjek oleh operator dalam bentuk yang dapat diakses dan bahwa mereka tidak mengandung informasi yang berkaitan dengan subjek lain dari data pribadi.

Kasus "Durant vs. Financial Services Authority" kasus 11, ditangani di Pengadilan Banding di Inggris pada bulan Desember 2003, menerima tanggapan luas. Keputusan pengadilan secara signifikan mempersempit interpretasi konsep "data pribadi". Secara khusus, pengadilan mengindikasikan bahwa hanya menyebutkan orang ini dalam teks dokumen tidak cukup untuk mempertimbangkan dokumen yang berisi data pribadi. Selain itu, pengadilan mengonfirmasi bahwa hak untuk mengakses data pribadi mereka tidak boleh melanggar hak-hak pihak ketiga dan, karenanya, data pribadi pihak ketiga harus dihapus dari salinan dokumen yang diberikan atas permintaan (kecuali untuk keadaan khusus yang kebetulan).

Pada November 2004, Pemerintah menolak hak pekerja di Inggris untuk mengakses data pribadi mereka, terlepas dari apakah majikan mereka menyimpannya dalam bentuk kertas atau elektronik, jika mereka disimpan dalam sistem yang tidak secara jelas menyusun informasi pada setiap orang. Dengan demikian, sistem penyimpanan untuk file kertas (dengan pengecualian file pribadi) secara de facto dihapus dari tindakan hukum tentang penyediaan akses ke informasi pribadi, karena mereka sulit mengisolasi informasi tentang seseorang.

Untuk mengakses data pribadi mereka, rekan kami perlu:

• melamar secara pribadi atau
• kirim permintaan, yang harus mengandung:
  • jumlah dokumen utama yang menyatakan identitas subjek dari data pribadi atau perwakilan hukumnya,
  • informasi tentang tanggal penerbitan dokumen yang ditentukan dan otoritas penerbit dan
  • tanda tangan tulisan tangan dari subjek data pribadi atau perwakilan hukumnya.

Permintaan ini dapat dikirim dalam bentuk elektronik dan ditandatangani dengan tanda tangan digital. Dengan demikian, undang-undang secara formal memberikan kesempatan untuk mengajukan data pribadi mereka melalui saluran komunikasi elektronik. Kami belum memiliki orang-orang yang memiliki EDS mereka sendiri yang mematuhi undang-undang tentang EDS (dalam sebagian besar kasus, EDS digunakan di negara kami sesuai dengan pasal 160 KUH Perdata, yang mengatur perjanjian awal para pihak).

Jumlah informasi yang dapat diminta oleh subjek data pribadi menunjukkan perhatian pada warga negara kita. Organisasi yang memimpin basis data yang berisi data pribadi disarankan untuk memberikan perhatian khusus pada paragraf 4 Pasal 14 undang-undang baru untuk memikirkan dan mengkonsolidasikan prosedur untuk memberikan informasi dalam peraturan internal:

1. fakta pemrosesan data pribadi oleh operator, serta tujuan pemrosesan tersebut;
2. tentang metode pemrosesan data pribadi yang digunakan oleh operator;
3. tentang orang-orang yang memiliki akses ke data pribadi atau yang dapat diberikan akses tersebut (agar dapat melaporkan siapa dan data pribadi apa yang diberikan, perlu mengatur pekerjaan pendaftaran data pribadi dan mengendalikan akses ke mereka, jika tidak, organisasi operator cukup sulit untuk memenuhi persyaratan ini);
4. daftar data pribadi yang diproses dan sumber tanda terima mereka;
5. waktu pemrosesan data pribadi, termasuk waktu penyimpanannya (perhatian khusus harus diberikan pada persyaratan ini, karena pada kenyataannya mewajibkan operator untuk memperbaiki waktu pemrosesan dan penyimpanan, yang dapat bervariasi tergantung pada tujuan pemrosesan data pribadi, oleh dokumen peraturan internal);
6. informasi tentang konsekuensi hukum apa untuk subjek data pribadi yang mungkin memerlukan pemrosesan data pribadinya (untuk memenuhi persyaratan ini, organisasi sebelumnya harus menginstruksikan pengacara mereka untuk merumuskan justifikasi untuk semua konsekuensi hukum yang mungkin dari pemrosesan data pribadi)

Masalah pemrosesan data pribadi "untuk mempromosikan barang, pekerjaan, layanan di pasar melalui kontak langsung dengan konsumen potensial melalui alat komunikasi, serta untuk kampanye politik" dikhususkan untuk artikel khusus (Pasal 15). Sekarang, organisasi komersial dan politik, sebelum mengirim iklan, harus mendapatkan persetujuan sebelumnya dari warga negara, dan pemrosesan PD "diakui dilakukan tanpa persetujuan sebelumnya dari subjek data pribadi, jika operator tidak membuktikan bahwa persetujuan tersebut diperoleh." Untuk beberapa struktur komersial, persyaratan ini mungkin sangat tidak nyaman!

Mulai sekarang, "dilarang untuk membuat keputusan berdasarkan pemrosesan data pribadi secara otomatis, yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah" (Pasal 16).

Ketentuan ini diperlukan dan tepat waktu. Tetapi para pembuat undang-undang kita, dalam merumuskannya, mengacaukan dua pengertian yang berbeda: "otomatis" (yaitu, pergi tanpa partisipasi manusia) dan "otomatis" (yaitu, berjalan dengan partisipasi manusia). Akibatnya, artikel ini, bukannya memaksakan pembatasan tambahan pada mereka dan hanya ketika sistem informasi membuat keputusan tanpa partisipasi manusia (misalnya, mengenakan denda, melarang perjalanan ke luar negeri, dll.), Dapat diartikan sebagai pembatasan ketat pada semua jenis pemrosesan data pribadi, karena bahkan penggunaan kalkulator dapat dipahami sebagai pemrosesan otomatis!

Dalam pasal yang sama dari undang-undang baru, dinyatakan bahwa operator akan dapat membuat keputusan hanya berdasarkan pemrosesan "otomatis", jika:

• memperoleh persetujuan tertulis dari subjek data pribadi atau
• jika aturan ini ditetapkan oleh hukum federal.

Dalam beberapa dokumen peraturan, persyaratan hukum ini telah diperhitungkan. Jadi, dalam sampel aplikasi untuk penerbitan paspor generasi baru, ada bagian khusus di mana pemohon menyetujui pemrosesan "otomatis" data yang ditunjukkan dalam aplikasi. Kedengarannya sebagai berikut: "Saya setuju dengan pemrosesan otomatis, transmisi dan penyimpanan data yang ditentukan dalam aplikasi untuk keperluan pembuatan, pemrosesan dan pengendalian paspor selama masa berlakunya" 12.

Operator juga harus memberikan informasi berikut kepada warga sebelumnya:

• urutan pengambilan keputusan berdasarkan pemrosesan "otomatis" data pribadinya dan
• kemungkinan konsekuensi hukum dari keputusan semacam itu;
• prosedur untuk perlindungan oleh subjek data pribadi tentang hak dan kepentingannya yang sah;
• kesempatan untuk menolak keputusan tersebut.

Dalam hal terjadi perselisihan, itu adalah operator yang harus membuktikan bahwa ia telah memenuhi semua persyaratan hukum. Ini berarti bahwa ia harus mengumpulkan dan menyimpan dokumen pendukung dengan cermat.

Tanggung Jawab Operator

Kewajiban operator, sesuai dengan Pasal 18, terutama mencakup penyediaan informasi pribadi atas permintaan warga negara. Selain itu, operator harus "mengklarifikasi kepada subjek data pribadi konsekuensi hukum dari menolak memberikan data pribadinya", jika tugas ini ditetapkan oleh hukum federal.

Pasal 20 menetapkan tenggat waktu yang sangat ketat bagi operator untuk memenuhi permintaan dari subjek data pribadi (mereka jauh lebih sulit, misalnya, yang diatur dalam Undang-undang yang baru dikeluarkan "Tentang Prosedur untuk Mempertimbangkan Permohonan Banding Warga Federasi Rusia"):

• penyediaan data - dalam waktu 10 hari kerja sejak tanggal penerimaan permintaan;
• penolakan termotivasi - dalam 7 hari kerja.

Operator akan memiliki lebih banyak pertanyaan jika perlu untuk menghilangkan pelanggaran hukum dalam jangka waktu yang ditentukan dalam pasal 21 undang-undang baru. Pemblokiran data harus dilakukan sejak saat permintaan atau dari saat menerima permintaan, dan penghapusan pelanggaran - dalam waktu 3 hari kerja.

Dalam beberapa kasus, operator berkewajiban memusnahkan data pribadi dalam waktu 3 hari kerja, yaitu:

• dalam hal kegagalan untuk menghilangkan pelanggaran,
• dalam hal mencapai tujuan pemrosesan data pribadi,
• dalam hal subjek data pribadi mencabut persetujuannya untuk pemrosesan data pribadinya.

Baik pemblokiran dan penghancuran data pribadi bisa menjadi sulit (dan kadang-kadang tidak mungkin) untuk diimplementasikan dalam sistem informasi dan database yang saat ini beroperasi yang sebelumnya tidak menyediakan kemungkinan seperti itu.

Akan lebih sulit bagi operator jika dia menerima data pribadi bukan dari warga negara, tetapi dari pihak ketiga.

Klausul 3 Pasal 18 Hukum Federal Federasi Rusia "Tentang Data Pribadi" tanggal 27 Juli. 2006 No. 152-FZ

Jika data pribadi tidak diterima dari subjek data pribadi, kecuali jika data pribadi diberikan kepada operator berdasarkan hukum federal atau jika data pribadi tersedia untuk umum, operator harus memberikan informasi berikut kepada subjek data pribadi sebelum memproses data pribadi tersebut:

1. nama (nama belakang, nama depan, nama tengah) dan alamat operator atau perwakilannya;
2. tujuan pemrosesan data pribadi dan dasar hukumnya;
3. pengguna data pribadi yang dituju;
4. hak-hak subjek data pribadi yang ditetapkan oleh Hukum Federal ini.

Di balik kata-kata ini adalah pekerjaan yang lebih memakan waktu. Misalnya, pertanyaan mungkin timbul: bagaimana seharusnya informasi ini diberikan kepada subjek? Apakah mungkin untuk mengirimnya melalui surat dan apakah informasi akan dianggap diberikan jika subjek belum menerima surat yang sesuai?

Kewajiban operator, sesuai dengan Pasal 19, juga untuk memastikan keamanan data pribadi selama pemrosesan mereka. Untuk menghindari masalah, organisasi operator harus mengembangkan dan mengkonsolidasikan dalam dokumen peraturan semua tindakan keamanan informasi organisasi dan teknis yang disiapkan untuk diambil untuk melindungi data pribadi yang terkandung dalam sistem informasinya.

Menyatakan pendaftaran sistem pemrosesan data pribadi

Undang-undang menetapkan bahwa semua operator yang melakukan pemrosesan data pribadi harus memberi tahu badan yang berwenang terlebih dahulu (Pasal 22), yang akan menyimpan catatan operator dalam daftar khusus. Badan yang berwenang, menurut Pasal 23, adalah Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia, yang saat ini melakukan "fungsi kontrol dan pengawasan di bidang teknologi informasi dan komunikasi". Pemberitahuan harus menjabarkan secara terperinci apa yang direncanakan akan dilakukan dengan data pribadi. Setiap perubahan terkait dengan pemrosesan data pribadi juga harus dilaporkan ke badan yang berwenang.

Diperbolehkan untuk memproses data pribadi tanpa memberi tahu badan yang berwenang dalam kasus-kasus berikut:

• di hadapan hubungan kerja;
• ketika menyimpulkan sebuah kontrak di mana subjek data pribadi adalah pihak;
• jika data pribadi milik anggota (peserta) dari asosiasi publik atau organisasi keagamaan dan diproses oleh asosiasi publik atau organisasi keagamaan yang relevan;
• jika data pribadi tersedia untuk umum;
• jika data pribadi hanya mencakup nama, nama keluarga, dan patronimik subjek;
• pada pendaftaran penerimaan;
• jika data pribadi dimasukkan dalam sistem informasi yang, sesuai dengan undang-undang federal, memiliki status sistem informasi otomatis federal, serta sistem informasi negara untuk data pribadi yang dibuat untuk melindungi keamanan negara dan ketertiban umum;

Sebagai kesimpulan, kami akan memberikan sejumlah rekomendasi kepada operator. Tidak akan terlalu sulit untuk memenuhi persyaratan undang-undang tentang data pribadi jika pekerjaan ini dimulai sekarang, tanpa menunggu keluhan dan keluhan pertama. Anda bisa mulai dengan langkah-langkah nyata berikut:

• Dianjurkan untuk menunjuk petugas yang bertanggung jawab untuk meninjau semua masalah yang berkaitan dengan implementasi undang-undang ini dalam organisasi, dan untuk perusahaan besar, pembentukan komisi khusus dapat dibenarkan.
• Untuk semua sumber informasi organisasi yang berisi data pribadi, Anda harus:
  • menentukan status mereka (atas dasar mana mereka diciptakan: sesuai dengan undang-undang, untuk pelaksanaan kontrak, atas inisiatif mereka sendiri, dll);
  • mengklarifikasi dan mencatat komposisi data pribadi dan sumber penerimaan mereka (dari warga negara, dari sumber publik, dari pihak ketiga, dll.);
  • menetapkan periode penyimpanan dan waktu pemrosesan data di setiap sumber daya informasi;
  • menentukan metode pengolahan;
  • mengidentifikasi orang-orang yang memiliki akses ke data;
  • merumuskan implikasi hukum;
  • menentukan prosedur untuk menanggapi permintaan, kemungkinan jawaban dan tindakan, menilai realitas kepatuhan dengan waktu respons yang ditetapkan.

Dalam artikel ini, analisis undang-undang baru tentang perlindungan data pribadi dibuat dari sudut pandang spesialis di bidang manajemen catatan, yang akan merusak banyak darah. Efektivitasnya akan ditunjukkan oleh praktik, tetapi untuk saat ini, sebagai "subjek data pribadi", saya memperkirakan daftar otoritas publik yang dapat saya kirimi permintaan untuk memberikan saya, sesuai dengan persyaratan undang-undang, informasi yang relevan. Sekarang saya punya hak!

1 Pasal 25 Bab IV Petunjuk 95/46 / EC Parlemen Eropa dan Dewan Uni Eropa 24 Oktober 1995 tentang perlindungan hak-hak individu sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut.

2 Sangat menarik bahwa bahkan Amerika Serikat tidak mematuhi persyaratan Eropa yang ketat, dan perusahaan-perusahaan Amerika dipaksa untuk menggunakan apa yang disebut perjanjian "payung".

3 Subjek data pribadi adalah individu yang data pribadinya diproses.

4 "sistem pengarsipan data pribadi"

5 Daftar otoritas eksekutif federal dan organisasi yang terlibat dalam penyimpanan dokumen-dokumen Dana Kearsipan Federasi Rusia yang termasuk dalam kepemilikan federal mencakup 18 organisasi: Kementerian Dalam Negeri Rusia, Kementerian Luar Negeri Rusia, Kementerian Pertahanan Rusia, SVR Rusia, FSB Rusia, Layanan Pengawasan Obat Federal Rusia, FSIN Rusia, Rosatom, Roskartografiya, Akademi Ilmu Pertanian Rusia, Akademi Ilmu Kedokteran Rusia, Akademi Pendidikan Rusia, Akademi Seni Rusia, Akademi Arsitektur dan Konstruksi Ilmu Pengetahuan Rusia, Negara Yayasan: Lembaga Penelitian Informasi Hidrometeorologi Seluruh Rusia - World Data Center, Institusi Negara Federal “Dana Negara untuk Program Televisi dan Radio”, Perusahaan Produksi Ilmiah Kesatuan Negara Federal “Dana Geologi Federal Rusia”, Perusahaan Kesatuan Negara Federal “Pusat Ilmiah-Teknis Rusia” informasi tentang standardisasi, metrologi dan penilaian kesesuaian ".

6 5 A.S. C. § 552a (k) (1) “Dokumen untuk individu - Pengecualian khusus - Dokumen kearsipan”.

7 Operator - badan negara, badan kota, badan hukum atau perorangan, pengorganisasian dan (atau) pelaksanaan pemrosesan data pribadi, serta menentukan tujuan dan isi pemrosesan data pribadi.

9 Undang-Undang Perlindungan Data 1998, pasal 32.

11 Durant vs Otoritas Jasa Keuangan (OJK).

12 Lampiran No. 1 pada Petunjuk tentang prosedur untuk memproses dan menerbitkan paspor warga negara Federasi Rusia, paspor diplomatik dan paspor layanan, yang merupakan dokumen utama yang menyatakan identitas warga negara Federasi Rusia di luar wilayah Federasi Rusia yang berisi pembawa data elektronik dan Layanan Keamanan Federal Federasi Rusia tanggal 6 Oktober 2006 No. 785/14133/461).