Das Thema personenbezogener Daten ist eine Person, die sich durch individuelle Informationen auszeichnet, die sie (indirekt oder direkt) als Bürger definieren. Die Überprüfung personenbezogener Daten einer Person kann nur mit deren Zustimmung erfolgen, die durch die Unterschrift in einem speziellen Dokument bestätigt wird.
Schlüsselkonzepte
Es ist schwierig festzustellen, ob ein Bürger ein Betreiber ist, der befugt ist, personenbezogene Daten (PD) zu erheben und zu verifizieren. Daher wird empfohlen, das Gesetz Nr. 152 FZ zu lesen, in dem der Kern der Konzepte, auf die sich die an diesem Prozess Beteiligten beziehen, klar definiert ist:
- persönliche Daten;
- Betreiber;
- Verarbeitung personenbezogener Daten.
Es ist üblich, Informationen, die sich auf eine bestimmte Person beziehen, als Betreff zu bezeichnen. Der Betreiber ist eine staatliche oder lokale Behörde, ein Vertreter einer legalen Organisation oder eine Person, die an der Verarbeitung der PD des Unternehmens beteiligt ist, sowie organisatorische Fragen im Zusammenhang mit den endgültigen Verarbeitungszielen, der Zusammensetzung personenbezogener Daten und Vorgängen zur Analyse von Aktionen, die mit privaten Daten ausgeführt werden.
Verarbeitung personenbezogener Daten - Hierbei handelt es sich um eine Analyse von Informationen über eine Person, die mithilfe automatisierter Verarbeitung durchgeführt wird, um ein bestimmtes Ergebnis zu erzielen. Solche Operationen können umfassen:
- Lagerung;
- Quittung;
- Anwendung;
- Klärung;
- ändern;
- Zugang öffnen;
- aktualisieren;
- blockieren;
- Entfernung;
- Depersonalisierung;
- blockieren.
Persönliche Daten
Das Gesetz auf Bundesebene beschreibt keine klaren Grenzen, innerhalb derer ein Porträt eines Individuums gebildet werden sollte. Da es sich bei dem Betreff jedoch, wie oben erwähnt, um Informationen handelt, wird allgemein angenommen, dass es sich bei den personenbezogenen Daten des Betreffs um Folgendes handelt:
- seinen Geburtstag
- sein Name, Patronym und Nachname;
- Foto
- Adresse
- E-Mail;
- Telefonnummer;
- Links zu Ihrer eigenen Website oder Seite in einem sozialen Netzwerk.
Diese Liste kann um ein Vielfaches erweitert werden, indem subjektive Informationen hinzugefügt werden, mit denen die Person als Bürger einer sozialen Gesellschaft identifiziert wird. Wenn Daten dieses Typs empfangen werden, wird jeder zu einem PD-Operator. Jeder, der ein Registrierungs- oder Feedbackformular in seine Ressource einfügt, wird zu einem informativen "Leitfaden".
Betreiberkategorien
Im Bundesgesetz Nr. 152 gibt es je nach Status eine Einteilung:
- Vertreter von Regierungsbehörden;
- kommunale Behörden;
- juristische Personen und Personen;
- SP.
Die Kategorie der Geldbußen für Verstöße hängt von der Kategorie ab (juristische Personen zahlen einen höheren Betrag als Einzelpersonen).
Unabhängig von der Klasse der Betreiber musste sich jeder mit der Verarbeitung privater Informationen befassen, die auf der Zustimmung des Subjekts personenbezogener Daten beruhten. Ein solches Verfahren wird praktiziert, bevor ein neuer Mitarbeiter in das Unternehmen eingestellt wird, wenn ein spezielles Online-Bestellformular oder ein Fragebogen auf sozialen Seiten ausgefüllt wird.
Im Gegensatz zu Einzelunternehmern und Einzelpersonen müssen Organisationen gesetzlich höhere Anforderungen erfüllen. Dies gilt für die Erstellung eines Dokumentenpakets und für die Ernennung einer Person, die diesen Prozess steuert. Der strengste Rahmen für die Einhaltung der Arbeitsschutzanforderungen besteht für die Behörden, die über große Befugnisse verfügen und mit einer Vielzahl von PD-Bürgern zusammenarbeiten.
Rechte des Subjekts personenbezogener Daten
Jede Person hat Befugnisse und gesetzliche Rechte, die der Inspektor nicht verletzen oder verletzen sollte:
- Der Betroffene muss über die Analyse seiner personalisierten Merkmale informiert sein, über den Zweck, das Verfahren sprechen, den Namen der juristischen Person oder den Namen der Person kennen, die mit der Verarbeitung personenbezogener Daten befasst ist.
- Die Bürger sind verpflichtet, über den Zeitraum, in dem die Verarbeitung und weitere Speicherung von Informationen durchgeführt wird, über den möglichen Transfer zwischen den Behörden sowie über die Person, die mit der Verarbeitung privater Merkmale beauftragt wurde, zu informieren.
- Die Rechte des Betreffs personenbezogener Daten implizieren die Zulässigkeit des Erfordernisses, seine PD zu klären, und die anschließende Entfernung von Informationen, falls diese irrelevant sind.
- Alle Informationen über die Person, die der Betreiber (ohne deren Wissen) erhält, müssen gelöscht werden, ansonsten sieht das Gesetz den Schutz ihrer Rechte vor.
- Die Identifizierung eines Bürgers erfolgt unter Bedingungen, die für beide Parteien angenehm sind. Informationen sollten die PD anderer Entitäten nicht beeinflussen (Sonderfälle: Wenn es Gründe gibt, den Zugang zu solchen Daten zu öffnen).
- Rückmeldungen in Form einer Anfrage zum Thema personenbezogener Daten sollten die Nummer des Dokuments (Pass) des Antragstellers, Angaben zu Ort, Datum und Körper seiner Ausstellung, Angaben und Unterlagen zur Bestätigung der Beziehungen zum Betreiber (Datum des Vertragsabschlusses und dessen Nummer) oder sonstige nachweisbare Angaben enthalten Tatsache der Standardüberprüfung. Die Anfrage kann schriftlich oder über das Internet gesendet werden, jedoch immer mit einer elektronischen Signatur.
- Wurden keine Angaben zur Online-Anfrage gemacht, ist ein zweiter Anruf beim Betreiber erst 30 Tage nach dem ersten Versuch möglich. Eine andere Frist kann in Übereinstimmung mit dem Bundesgesetz oder der Vereinbarung, an der der Betroffene der PD beteiligt ist, festgelegt werden.
- Der Betreiber hat das Recht, die erneute Verwendung der personenbezogenen Daten zu verweigern. Dies ist ein Zeichen dafür, dass die Dokumentation nicht die in Teil 4.5 der Kunst vorgesehenen notwendigen Bedingungen erfüllt. 14152 Bundesgesetz. Der Informationsanbieter ist verpflichtet, seine Ablehnung zu begründen.
Freigabe von Informationen
Der Betreiber ist nicht immer verpflichtet, die PD der Person unter der Überschrift „geheim“ zu belassen. Es gibt Situationen, in denen solche Informationen nicht als geschlossen betrachtet werden und die Schlussfolgerung gemäß Art. 22 (Teil 2) Nr. 152. Geheimhaltung ist nicht erforderlich, wenn:
- PD-Depersonalisierung erfolgt;
- PDs sind öffentlich verfügbar;
- es geht nur um F. I. O. Probanden;
- wiederholte ähnliche Handlungen werden in Form der Ausstellung eines Passes für das Hoheitsgebiet (oder für andere ähnliche Zwecke) beobachtet;
- Die Informationen sind in einer unterzeichneten Vereinbarung enthalten, die der PD-Betroffene einzuhalten hat.
- Die Verwendung personenbezogener Daten ohne Zustimmung des Betreffenden ist ausschließlich zur Abwicklung von Verträgen erforderlich;
- Informationen betreffen einen Vertreter von öffentlichen Vereinen oder religiösen Organisationen.
Ohne Erlaubnis
Die Zustimmung des Betroffenen zur Verarbeitung personenbezogener Daten ist nicht immer erforderlich, es gibt Situationen, in denen eine persönliche Anwesenheit eines Bürgers nicht erforderlich ist. Dieses Szenario ist im Bundesgesetz Nr. 152 (Teil 1, Artikel 6 vom 27. Juli 2006) vorgesehen. Die Unterschrift auf dem Dokument ist optional, wenn die Überprüfung der PD:
- notwendig für die Umsetzung der internationalen Rückübernahmeabkommen der Russischen Föderation;
- durchgeführt auf der Grundlage des Bundesgesetzes, wo seine Ziele, Bedingungen und eine Liste von Personen, deren Eigenschaften überprüft werden müssen, vorgeschrieben sind;
- im Rahmen der Ausführung eines unterzeichneten Vertrages ausgeführt, dessen Gegenstand eine der Parteien ist;
- die vitalen Interessen eines Bürgers beeinträchtigen;
- ist zur Erreichung wissenschaftlicher Ziele erforderlich, sofern die erhobenen Informationen anschließend anonymisiert werden;
- spielt eine wichtige Rolle beim Schutz des Lebens des Betroffenen, wenn es nicht möglich ist, die Zustimmung des Einzelnen einzuholen;
- Es wird als integraler Bestandteil des Arbeitsablaufs eines Journalisten oder zur Erzielung von Entdeckungen in wissenschaftlichen, literarischen oder anderen kreativen Tätigkeitsbereichen angesehen, sofern dies nicht die Rechte und Freiheiten des PD-Fachs verletzt.
- Betroffen sind Personen (gemäß Bundesgesetz), die veröffentlicht werden sollen, einschließlich Personen, die öffentliche Ämter innehaben, ähnliche Ämter des öffentlichen Staatsdienstes sowie die Merkmale von Kandidaten für gewählte Ämter auf staatlicher oder lokaler Ebene.
Schadensbewertungsmethode
Ein Dritter kann der betroffenen Person Schaden zufügen, wenn der Zugriff auf seine Identifikationsinformationen nicht vereinbart wird, wodurch diese geändert, verbreitet, kopiert oder gelöscht wurden. Jeder zufällige Zugriff wird als Verletzung der Privatsphäre angesehen.
Eine Verletzung der Sicherheit des Zugriffs auf Informationen kann mit dem Betreff unvereinbar sein:
- Verteilung von PD und deren Verarbeitung, die abhängig von den ursprünglichen Zielen und den festgelegten Fristen variieren (Abweichung von den Bestimmungen der im Vertrag unterzeichneten Vereinbarung ist eine Verletzung der Vertraulichkeit);
- Sperrung des Zugangs zu PD oder deren Entfernung, Verweigerung der Offenlegung von Verifikationsdetails und Analyse von Probandendaten (Einschränkung der räumlichen Möglichkeiten);
- PD-Änderungen, die vorübergehende Unmöglichkeit, sie für das Thema personenbezogener Daten zu ändern, ist die Zerstörung der Komplexität seiner Informationen.
Illegale Handlungen können auch als Empfang von PD von nicht autorisierten Personen, die nicht als Subjekt auftreten, sowie als Handlungen bezeichnet werden, die ein bestimmtes Ergebnis implizieren, das aus rechtlicher Sicht mit Bezug auf das Subjekt von PD charakterisiert ist oder seine Wünsche und Möglichkeiten beeinflusst, und nur auf der Überprüfung seiner persönlichen Merkmale beruhen.
Formen des Schadens
Es ist notwendig, über den Schutz des Themas personenbezogener Daten nachzudenken, wenn rechtswidrige Handlungen in Bezug auf personenbezogene Daten festgestellt wurden, die die folgenden Arten von Schäden zur Folge hatten:
- immaterieller Schaden - die Qual eines Bürgers auf psychologischer Ebene sowie körperliche Qual, die gegen Menschenrechte verstößt, die nicht mit Eigentum oder Eigentum von ihm zusammenhängen, oder andere materielle oder immaterielle Vorteile;
- Verluste - finanzielle Verluste eines Unternehmens, dessen Datenschutzrechte verletzt wurden, potenzielle finanzielle Einnahmen oder mögliche Einnahmen in Zahlungsmitteläquivalenten sind aufgrund einer Verletzung der Vertraulichkeit nicht eingegangen.
Die Beurteilung des Schutzes der Rechte von Personen personenbezogener Daten auf potenzielle Schäden durch die Stelle erfolgt unter Verwendung der Elemente der Bilanzierung der Folgen:
- minimales (niedriges) Niveau - wird durch die Verletzung der Komplexität und Allgemeinheit der PD, einschließlich ihrer offenen Verfügbarkeit, bestimmt;
- mittel - stellt die Konsequenzen einer Abweichung von der Standardtypologie der Informationsverarbeitung dar, die sich ebenfalls negativ auf deren Integrität und Zugänglichkeit auswirkt, in diesem Fall jedoch psychischen Schaden oder materiellen Schaden mit sich bringt;
- hohes Niveau - andere mögliche Fälle.
Der uneingeschränkte Schutz der Rechte von Personen mit personenbezogenen Daten kann nach korrekter Zeiteinschätzung und Analyse der Handlungen des Betreibers erfolgen. Die Überwachung wird von einer verantwortlichen autorisierten Person gemäß der Methodik und auf der Grundlage der Rechtmäßigkeit dieser Maßnahmen durchgeführt.
Autorisierte Stelle zum Schutz der Rechte
Ein solcher Vertreter ist das föderale Exekutivorgan, zu dessen Aufgaben die Überwachung und Kontrolle der Einhaltung der Gesetze der Russischen Föderation bei der Verarbeitung von PD gehört. Seine Arbeit besteht in der Implementierung staatlicher Kontrolle über die Verarbeitung personenbezogener Daten des Subjekts, die auf der Grundlage ihrer Anforderungen an Regulierungsgesetze erfolgen sollte. Das Verfahren zur Inspektion von Unternehmern, Organisationen und anderen befugten juristischen Personen, die PD sammeln und verarbeiten können, wird von der Regierung der Russischen Föderation festgelegt (Bundesgesetz Nr. 16 vom 22.02.2017).
Der Beauftragte für die Rechte der Subjekte personenbezogener Daten analysiert die Aussagen des Bürgers über die Übereinstimmung des Inhalts der PD und die Methoden ihrer Verarbeitung mit den Zielen ihrer Überprüfung und Analyse und trifft eine angemessene Entscheidung darüber, ob das Verfahren rechtmäßig durchgeführt wurde.Andernfalls wird die Frage der Anwendung geeigneter Maßnahmen entschieden.
Einverständniserklärung
Der Text des Basisdokuments, der die Zustimmung zur Verarbeitung personenbezogener Daten darstellt, darf nicht die Rechte des Betreffs personenbezogener Daten verletzen, sondern muss diese schützen. Dementsprechend sollten das Bundesgesetz Nr. 152 und eine Liste von Handlungen, denen ein Bürger zustimmt, präzisiert werden: Systematisierung, Klärung, Änderung, Erhebung, Verwendung, Übertragung von PD. Es muss unbedingt angegeben werden, für welche Zwecke Daten erfasst werden, z. B. wenn eine solche Einwilligung im Geschäft (Organisation) beim Kauf oder Verkauf von Software im Namen des Betreffs unterschrieben wird.
In der Einwilligung wird die Klausel über den Schutz der Rechte des Subjekts personenbezogener Daten, die die Vertraulichkeit der erhaltenen Informationen garantiert, sowie die allgemeinen Bestimmungen der Politik zum Verbergen von Verschlusssachen gesondert hervorgehoben. Es muss eine Liste der Arten der verarbeiteten Daten vorhanden sein, zum Beispiel: F. I. O., Adresse des Wohnsitzes und E-Mail, Telefonnummer, Zahlungsprotokoll der Bank und andere wichtige persönliche Informationen.
Einige Dokumente schreiben die Gültigkeitsdauer der Einwilligung vor, andere haben eine unbefristete Gültigkeitsdauer. Wenn es möglich ist, den unterschriebenen Antrag auf Überprüfung von personenbezogenen Daten zurückzuziehen, sollten dies und die Folgen einer solchen Handlung in das Dokument eingetragen werden.
Missbrauch von Autorität
Alle Maßnahmen, die der Arbeitgeber oder Betreiber mit den erhaltenen personifizierten Informationen durchführen kann, sind im Text des bilateralen Abkommens festgelegt. Oft behaupten die Bürger, dass ihre Bankgeschichte zum Gegenstand der Überprüfung geworden ist, aber niemand hat das entsprechende Dokument unterschreiben dürfen. Die Verarbeitung personenbezogener Daten ohne Zustimmung des Betreffs personenbezogener Daten kann zu einer verwaltungs- oder disziplinarrechtlichen Haftung führen. In Ausnahmefällen, in denen ein schwerer Schaden entstanden ist, sind Strafverfahren möglich.
Um einen klaren Rahmen festzulegen und festzustellen, welche wesentlichen Merkmale als öffentlich verfügbar gelten und welche nicht über die Grenzen von Individualität und Geheimhaltung hinausgehen, muss der Bürger das Einverständnisdokument analysieren und erst dann unterzeichnen.
Wenn Sie es nicht selbst herausfinden können, z. B. bei einem Job, wird empfohlen, einen qualifizierten Anwalt zu beauftragen. Informationen darüber, ob der Betreffende an Orten mit Freiheitsentzug eine Haftstrafe verbüßt hat, sollten nur dann bereitgestellt werden, wenn die Position, die der Betreffende einholen möchte, ein Strafregister erfordert. In einer anderen Situation ist der Betreffende berechtigt, solche Daten nicht bereitzustellen.
Eine betroffene Person ist ein Bürger, der das Recht hat, seine personenbezogenen Daten nicht nur zur Verarbeitung und Überprüfung für einen bestimmten Zweck (Kauf, Verkauf, Aufnahme eines Kredits usw.) zu übermitteln, sondern die bereitgestellten Informationen auch vor unbefugter Weitergabe, Zerstörung und Weitergabe zu schützen Missbrauch.