Prijaté Štátnou dumou 8. júla 2006
Schválené Radou federácie 14. júla 2006
Kapitola 1. Všeobecné ustanovenia
Článok 1 Rozsah pôsobnosti tohto federálneho zákona
1. Tento federálny zákon upravuje vzťahy súvisiace so spracovaním osobných údajov vykonávaným orgánmi federálnej vlády, vládnymi orgánmi subjektov Ruská federácia, ostatné štátne orgány (ďalej len štátne orgány), orgány územnej samosprávy, ktoré nie sú súčasťou systému orgánov územnej samosprávy orgánmi obce (ďalej len orgány obce), právnické osoby, fyzické osoby využívajúce nástroje automatizácie alebo bez použitia takýchto prostriedkov, ak spracovanie osobných údajov bez použitia týchto prostriedkov zodpovedá povahe úkonov (operácií) vykonávaných s osobnými údajmi pomocou nástrojov automatizácie.
2. Tento federálny zákon sa nevzťahuje na vzťahy vyplývajúce z:
1) spracúvanie osobných údajov jednotlivcami výlučne na osobné a rodinné potreby, ak tým nie sú porušené práva subjektov osobných údajov;
2) organizácia uchovávania, získavania, účtovania a používania dokumentov obsahujúcich osobné údaje z Archívneho fondu Ruskej federácie a iných archívnych dokumentov v súlade s právnymi predpismi o archivácii v Ruskej federácii;
3) spracovanie informácií o fyzických osobách, ktoré majú byť zaradené do jednotného štátneho registra individuálnych podnikateľov, ak sa takéto spracovanie vykonáva v súlade s právnymi predpismi Ruskej federácie v súvislosti s činnosťou jednotlivca ako individuálneho podnikateľa;
4) spracúvanie osobných údajov klasifikovaných v súlade so zavedeným postupom ako informácie predstavujúce štátne tajomstvo.
Článok 2 Účel tohto federálneho zákona
Účelom tohto federálneho zákona je zaistiť ochranu ľudských a občianskych práv a slobôd pri spracúvaní jeho osobných údajov vrátane ochrany práv na súkromie, osobné a rodinné tajomstvo.
Článok 3 Základné pojmy používané v tomto federálnom zákone
Na účely tohto federálneho zákona sa používajú tieto základné pojmy:
1) osobné údaje - akékoľvek informácie týkajúce sa konkrétnej alebo určenej na základe týchto informácií jednotlivcom (predmetom osobných údajov) vrátane jeho priezviska, mena, priezviska, roku, mesiaca, dátumu a miesta narodenia, adresy, rodinný, sociálny, majetkový stav, vzdelanie, profesia, príjem, ďalšie informácie;
2) prevádzkovateľ - štátny orgán, orgán obce, právny resp individuálne organizovanie a (alebo) vykonávanie spracúvania osobných údajov, ako aj určovanie cieľov a obsahu spracúvania osobných údajov;
3) spracúvanie osobných údajov - úkony (operácie) s osobnými údajmi vrátane zhromažďovania, systematizácie, akumulácie, uchovávania, objasňovania (aktualizácie, zmeny), používania, distribúcie (vrátane prenosu), odosobnenia, blokovania, ničenia osobných údajov;
4) šírenie osobných údajov - akcie zamerané na prenos osobných údajov určitému okruhu osôb (prenos osobných údajov) alebo na zoznámenie sa s osobnými údajmi neobmedzeného počtu osôb vrátane zverejnenia osobných údajov v médiách, zverejnenia v informačných a telekomunikačných sieťach alebo poskytovaním prístupu k osobným údajom iným spôsobom;
5) používanie osobných údajov - úkony (operácie) s osobnými údajmi vykonávané prevádzkovateľom na účely rozhodovania alebo vykonávania iných úkonov, ktoré generujú právne dôsledky vo vzťahu k predmetu osobných údajov alebo iných osôb alebo inak ovplyvňujú práva a slobody predmet osobných údajov alebo iné osoby;
6) blokovanie osobných údajov - dočasné ukončenie zhromažďovania, systematizácia, zhromažďovanie, používanie, šírenie osobných údajov vrátane ich prenosu;
7) zničenie osobných údajov - úkony, v dôsledku ktorých nie je možné obnoviť obsah osobných údajov v informačnom systéme osobných údajov alebo v dôsledku ktorých sú zničené materiálne nosiče osobných údajov;
8) odosobnenie osobných údajov - úkony, v dôsledku ktorých nie je možné určiť príslušnosť osobných údajov ku konkrétnemu subjektu osobných údajov;
9) informačný systém osobných údajov - informačný systém, ktorý je zbierkou osobných údajov obsiahnutých v databáze, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov na automatizáciu alebo bez použitia týchto prostriedkov;
10) dôvernosť osobných údajov - povinná požiadavka na prevádzkovateľa alebo inú osobu, ktorá získala prístup k osobným údajom, aby sa zabránilo ich šíreniu bez súhlasu subjektu osobných údajov alebo iných zákonných dôvodov;
11) cezhraničný prenos osobných údajov - prenos osobných údajov prevádzkovateľom cez štátnu hranicu Ruskej federácie do vládneho orgánu cudzieho štátu, fyzickej alebo právnickej osoby cudzieho štátu;
12) verejne dostupné osobné údaje - osobné údaje, prístup k neobmedzenému počtu osôb, ktorým je poskytovaný súhlas so subjektom osobných údajov alebo na ktoré sa v súlade s federálnymi zákonmi požiadavka dôvernosti nevzťahuje.
Článok 4 Legislatíva Ruskej federácie v oblasti osobných údajov
1. Legislatíva Ruskej federácie v oblasti osobných údajov je založená na Ústave Ruskej federácie a medzinárodných zmluvách Ruskej federácie a pozostáva z tohto federálneho zákona a ďalších federálnych zákonov, ktoré určujú prípady a vlastnosti spracúvania osobné údaje.
2. Na základe a v súlade s federálnymi zákonmi môžu štátne orgány v medziach svojich právomocí prijímať regulačné právne akty o určitých otázkach týkajúcich sa spracúvania osobných údajov. Regulačné právne akty o niektorých otázkach súvisiacich so spracovaním osobných údajov nemôžu obsahovať ustanovenia obmedzujúce práva subjektov osobných údajov.
Tieto regulačné právne akty sú predmetom oficiálneho uverejnenia, s výnimkou regulačných právnych aktov alebo jednotlivých ustanovení týchto regulačných právnych aktov obsahujúcich informácie, ku ktorým je prístup obmedzený federálnymi zákonmi.
3. Špecifiká spracovania osobných údajov vykonávaného bez použitia automatizačných nástrojov môžu byť stanovené federálnymi zákonmi a inými regulačnými právnymi aktmi Ruskej federácie, pričom sa zohľadnia ustanovenia tohto federálneho zákona.
4. Ak medzinárodná zmluva Ruskej federácie ustanovuje iné pravidlá ako tie, ktoré ustanovuje tento federálny zákon, uplatňujú sa pravidlá medzinárodnej zmluvy.
Kapitola 2. Zásady a podmienky spracúvania osobných údajov
Článok 5 Zásady spracúvania osobných údajov s
1. Spracovanie osobných údajov by sa malo vykonávať na základe zásad:
1) zákonnosť účelov a spôsobov spracúvania osobných údajov a v dobrej viere;
2) súlad účelov spracúvania osobných údajov s vopred určenými a deklarovanými účelmi zhromažďovania osobných údajov, ako aj právomoci prevádzkovateľa;
3) súlad objemu a povahy spracúvaných osobných údajov, spôsobov spracúvania osobných údajov s účelmi spracúvania osobných údajov;
4) spoľahlivosť osobných údajov, ich dostatočnosť na účely spracúvania, neprípustnosť spracúvania osobných údajov, ktoré sú nadbytočné vo vzťahu k účelom uvedeným pri zbere osobných údajov;
5) neprípustnosť kombinovania databáz informačných systémov o osobných údajoch vytvorených na nekompatibilné účely.
2. Uchovávanie osobných údajov by sa malo vykonávať formou, ktorá umožní určiť predmet osobných údajov, nie dlhšie, ako to vyžaduje účel ich spracúvania, a podliehajú zničeniu po dosiahnutí cieľov spracúvania alebo v v prípade straty potreby ich dosiahnutia.
Článok 6 Podmienky spracovania osobných údajov
1. Spracovanie osobných údajov môže prevádzkovateľ vykonávať so súhlasom subjektov osobných údajov, s výnimkou prípadov uvedených v časti 2 tohto článku.
2. Súhlas subjektu osobných údajov uvedený v časti 1 tohto článku sa nevyžaduje v nasledujúcich prípadoch:
1) spracúvanie osobných údajov sa vykonáva na základe federálnych zákonov, ktoré stanovujú jeho účel, podmienky získavania osobných údajov a rozsah subjektov, ktorých osobné údaje sú predmetom spracúvania, ako aj určovanie právomocí prevádzkovateľa;
2) spracúvanie osobných údajov sa vykonáva za účelom plnenia zmluvy, ktorej jedna zo strán je predmetom osobných údajov;
3) spracúvanie osobných údajov sa vykonáva na štatistické alebo iné vedecké účely, s výhradou povinnej depersonalizácie osobných údajov;
4) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo iných životne dôležitých záujmov dotknutej osoby, ak nie je možné získať súhlas dotknutej osoby;
5) spracovanie osobných údajov je nevyhnutné pre doručovanie poštových zásielok poštovými organizáciami, pre telekomunikačných operátorov na vyrovnanie s užívateľmi komunikačných služieb za poskytnuté komunikačné služby, ako aj pre zváženie nárokov užívateľov komunikačných služieb;
6) spracúvanie osobných údajov sa vykonáva za účelom profesionálnej činnosti novinára alebo za účelom vedeckej, literárnej alebo inej tvorivej činnosti za predpokladu, že tým nie sú porušené práva a slobody subjektu osobných údajov;
7) spracúvanie osobných údajov, ktoré sú predmetom zverejnenia v súlade s federálnymi zákonmi, vrátane osobných údajov osôb, ktoré vykonávajú verejnú funkciu, funkcie v štátnej službe, osobné údaje kandidátov na voliteľné štátne alebo obecné úrady.
3. Zvláštnosti spracúvania osobitných kategórií osobných údajov, ako aj biometrických osobných údajov, ustanovujú články 10 a 11 tohto federálneho zákona.
4. V prípade, že prevádzkovateľ na základe zmluvy poverí spracúvaním osobných údajov inú osobu, zásadnou podmienkou zmluvy je povinnosť zabezpečiť dôvernosť osobných údajov a bezpečnosť osobných údajov počas ich spracovanie uvedenou osobou.
Článok 7 Dôvernosť osobných údajov
1. Prevádzkovatelia a tretie strany, ktoré získajú prístup k osobným údajom, musia zabezpečiť dôvernosť týchto údajov, s výnimkou prípadov uvedených v časti 2 tohto článku.
2. Zabezpečenie dôvernosti osobných údajov sa nevyžaduje:
1) v prípade anonymizácie osobných údajov;
2) vo vzťahu k verejne dostupným osobným údajom.
Článok 8 Verejne dostupné zdroje osobných údajov
1. Na účely informačnej podpory môžu byť vytvorené verejne dostupné zdroje osobných údajov (vrátane adresárov, adresárov). S písomným súhlasom subjektu osobných údajov môžu medzi verejne dostupné zdroje osobných údajov patriť jeho priezvisko, meno, priezvisko, rok a miesto narodenia, adresa, číslo predplatiteľa, informácie o profesii a ďalšie osobné údaje poskytnuté subjekt osobných údajov.
2. Informácie o predmete osobných údajov môžu byť kedykoľvek vylúčené z verejne dostupných zdrojov osobných údajov na žiadosť subjektu osobných údajov alebo rozhodnutím súdu alebo iných oprávnených štátnych orgánov.
Článok 9 Súhlas subjektu osobných údajov so spracovaním jeho osobných údajov
1. Subjekt osobných údajov rozhoduje o poskytnutí svojich osobných údajov a súhlasí s ich spracovaním z vlastnej vôle a v jeho záujme, s výnimkou prípadov uvedených v časti 2 tohto článku. Súhlas so spracovaním osobných údajov môže subjekt osobných údajov odvolať.
2. Tento federálny zákon a ďalšie federálne zákony upravujú prípady povinného poskytovania osobných údajov subjektom osobných údajov za účelom ochrany základov ústavného poriadku, morálky, zdravia, práv a oprávnených záujmov ostatných, zabezpečenia obrana krajiny a bezpečnosť štátu.
3. Povinnosť poskytnúť dôkaz o súhlase subjektu osobných údajov so spracovaním jeho osobných údajov, a v prípade spracúvania verejne dostupných osobných údajov povinnosť preukázať, že sú spracúvané osobné údaje verejne dostupné, spočíva v operátor.
4. V prípadoch ustanovených týmto federálnym zákonom sa spracúvanie osobných údajov vykonáva iba so písomným súhlasom subjektu osobných údajov. Písomný súhlas subjektu osobných údajov so spracovaním jeho osobných údajov musí obsahovať:
1) priezvisko, meno, priezvisko, adresa subjektu osobných údajov, číslo hlavného dokumentu preukazujúceho jeho totožnosť, informácie o dátume vydania uvedeného dokumentu a vydávajúcom orgáne;
2) meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa, ktorý dostane súhlas s predmetom osobných údajov;
3) účel spracúvania osobných údajov;
4) zoznam osobných údajov, na spracovanie ktorých je daný súhlas subjektu osobných údajov;
5) zoznam úkonov s osobnými údajmi, na vykonanie ktorých je udelený súhlas, všeobecný popis metódy, ktoré prevádzkovateľ používa na spracovanie osobných údajov;
6) obdobie, počas ktorého je súhlas platný, ako aj postup jeho odvolania.
5. Na spracúvanie osobných údajov obsiahnutých v písomnom súhlase subjektu so spracúvaním jeho osobných údajov sa ďalší súhlas nevyžaduje.
6. V prípade nespôsobilosti subjektu osobných údajov udeľuje súhlas so spracovaním jeho osobných údajov písomný súhlas zákonného zástupcu subjektu osobných údajov.
7. V prípade smrti subjektu osobných údajov udeľujú súhlas so spracovaním jeho osobných údajov písomne dedičia subjektu osobných údajov, ak takýto súhlas subjekt osobných údajov počas jeho život.
Článok 10 Osobitné kategórie osobných údajov
1. Spracovanie osobitných kategórií osobných údajov týkajúcich sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života nie je povolené, s výnimkou prípadov uvedených v časti 2 tohto článku.
2. Spracovanie osobitných kategórií osobných údajov uvedených v časti 1 tohto článku je povolené v prípadoch, keď:
1) subjekt osobných údajov dal písomný súhlas so spracovaním svojich osobných údajov;
2) osobné údaje sú verejne dostupné;
3) osobné údaje sa týkajú zdravotného stavu subjektu osobných údajov a ich spracovanie je nevyhnutné na ochranu jeho života, zdravia alebo iných životne dôležitých záujmov alebo života, zdravia alebo iných životne dôležitých záujmov iných a nie je možné získať súhlas subjektu osobných údajov;
4) spracúvanie osobných údajov sa vykonáva na lekársko-profylaktické účely, aby sa stanovila lekárska diagnóza, poskytovali lekárske a lekársko-sociálne služby za predpokladu, že spracúvanie osobných údajov vykonáva osoba profesionálne zapojená do lekárske činnosti a v súlade s právnymi predpismi Ruskej federácie je povinný zachovávať lekárske tajomstvo;
5) spracúvanie osobných údajov členov (účastníkov) verejného združenia alebo náboženskej organizácie vykonáva príslušné verejné združenie alebo náboženská organizácia konajúca v súlade s právnymi predpismi Ruskej federácie s cieľom dosiahnuť legitímne stanovené ciele pretože podľa ich zakladajúcich dokumentov za predpokladu, že osobné údaje nebudú šírené bez písomného súhlasu subjektov osobných údajov;
6) spracúvanie osobných údajov je nevyhnutné v súvislosti s výkonom spravodlivosti;
7) spracovanie osobných údajov sa vykonáva v súlade s právnymi predpismi Ruskej federácie o bezpečnosti, operatívno-pátracích činnostiach, ako aj v súlade s trestnoprávnymi predpismi Ruskej federácie.
3. Spracúvanie osobných údajov v registroch trestov môžu vykonávať štátne orgány alebo obecné orgány v rámci právomocí, ktoré im boli udelené v súlade s právnymi predpismi Ruskej federácie, ako aj iné osoby v prípadoch a spôsobom určeným v v súlade s federálnymi zákonmi.
4. Spracovanie osobitných kategórií osobných údajov, ktoré sa vykonáva v prípadoch uvedených v častiach 2 a 3 tohto článku, sa musí okamžite ukončiť, ak budú odstránené dôvody, pre ktoré bolo spracúvanie vykonané.
Článok 11 Biometrické osobné údaje
1. Informácie, ktoré charakterizujú fyziologické vlastnosti osoby a na základe ktorých je možné zistiť jeho identitu (biometrické osobné údaje), je možné spracúvať iba s písomným súhlasom subjektu osobných údajov, s výnimkou prípadov uvedené v časti 2 tohto článku.
2. Spracovanie biometrických osobných údajov sa môže vykonávať bez súhlasu subjektu osobných údajov v súvislosti s výkonom spravodlivosti, ako aj v prípadoch stanovených právnymi predpismi Ruskej federácie o bezpečnosti, právnymi predpismi Ruska Federácia o operatívnych pátracích aktivitách, právne predpisy Ruskej federácie o verejnej službe, trestné zákony Ruskej federácie, právne predpisy Ruskej federácie o postupe pri odchode z Ruskej federácie a vstupe do Ruskej federácie.
Článok 12 Cezhraničný prenos osobných údajov
1. Pred začatím cezhraničného prenosu osobných údajov je prevádzkovateľ povinný zabezpečiť, aby zahraničný štát, na ktorého územie sa prenos osobných údajov vykonáva, poskytoval primeranú ochranu práv subjektov osobných údajov.
2. Cezhraničný prenos osobných údajov na území cudzích štátov, ktoré poskytujú primeranú ochranu práv subjektov osobných údajov, sa vykonáva v súlade s týmto federálnym zákonom a môže byť zakázaný alebo obmedzený na ochranu základov ústavný systém Ruskej federácie, morálka, zdravie, práva a oprávnené záujmy občanov, zaisťujúce obranu krajiny a bezpečnosť štátu.
3. Cezhraničný prenos osobných údajov na území cudzích štátov, ktoré neposkytujú primeranú ochranu práv subjektov osobných údajov, sa môže uskutočniť v týchto prípadoch:
1) existuje písomný súhlas subjektu osobných údajov;
2) stanovené medzinárodnými zmluvami Ruskej federácie o vydávaní víz, ako aj medzinárodnými zmluvami Ruskej federácie o poskytovaní právnej pomoci v občianskych, rodinných a trestných veciach;
3) ustanovené federálnymi zákonmi, ak je to nevyhnutné na ochranu základov ústavného systému Ruskej federácie, na zaistenie obrany a bezpečnosti štátu;
4) plnenie zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov;
5) ochrana života, zdravia, iných životne dôležitých záujmov subjektu osobných údajov alebo iných osôb, ak nie je možné získať písomný súhlas s predmetom osobných údajov.
Článok 13. Zvláštnosti spracúvania osobných údajov v štátnych alebo obecných informačných systémoch osobných údajov
1. Štátne orgány, obecné orgány vytvárajú v medziach svojich právomocí ustanovených v súlade s federálnymi zákonmi štátne alebo obecné informačné systémy osobných údajov.
2. Federálne zákony môžu ustanoviť špecifiká zaznamenávania osobných údajov do štátnych a obecných informačných systémov osobných údajov vrátane použitia rôzne cesty označenie príslušnosti osobných údajov obsiahnutých v zodpovedajúcom štátnom alebo obecnom informačnom systéme osobných údajov ku konkrétnemu subjektu osobných údajov.
3. Ľudské a občianske práva a slobody nemožno obmedzovať z dôvodov spojených s používaním rôznych spôsobov spracúvania osobných údajov alebo určením vlastníctva osobných údajov obsiahnutých v štátnych alebo obecných informačných systémoch osobných údajov konkrétnemu subjektu osobných údajov. Nie je dovolené používať metódy označovania príslušnosti osobných údajov obsiahnutých v štátnych alebo obecných informačných systémoch osobných údajov ku konkrétnemu subjektu osobných údajov, ktorý uráža city občanov alebo ponižuje ľudskú dôstojnosť.
4. Aby sa zabezpečil výkon práv subjektov osobných údajov v súvislosti so spracovaním ich osobných údajov v štátnych alebo obecných informačných systémoch osobných údajov, môže byť vytvorený štátny register obyvateľstva, ktorého právny status a postup pri práci s ním je stanovený federálnym zákonom.
Kapitola 3. Práva subjektu osobných údajov
Článok 14 Právo dotknutej osoby na prístup k svojim osobným údajom
1. Subjekt osobných údajov má právo získať informácie o prevádzkovateľovi, o jeho polohe, o prítomnosti prevádzkovateľa osobných údajov týkajúcich sa príslušného subjektu osobných údajov, ako aj zoznámiť sa s týmito osobnými údajmi, s výnimkou prípadov uvedených v časti 5 tohto článku ... Subjekt osobných údajov má právo požadovať, aby prevádzkovateľ jeho osobné údaje objasnil, zablokoval alebo zničil, ak sú osobné údaje neúplné, neaktuálne, nepresné, nezákonne získané alebo nie sú nevyhnutné na uvedený účel spracúvania, a taktiež aby prijal opatrenia ustanovené zákonom na ochranu ich práv ...
2. Informácie o dostupnosti osobných údajov musí subjektu osobných údajov poskytnúť prevádzkovateľ prístupnou formou a nesmú obsahovať osobné údaje týkajúce sa iných subjektov osobných údajov.
3. Prístup k vašim osobným údajom poskytuje subjektu osobných údajov alebo jeho zákonnému zástupcovi prevádzkovateľ pri kontaktovaní alebo po prijatí žiadosti od subjektu osobných údajov alebo jeho zákonného zástupcu. Žiadosť musí obsahovať číslo hlavného dokumentu preukazujúceho totožnosť subjektu osobných údajov alebo jeho zákonného zástupcu, informácie o dátume vydania uvedeného dokumentu a vydávajúcom orgáne a vlastnoručný podpis subjektu osobných údajov alebo jeho zákonný zástupca. Žiadosť je možné odoslať v elektronickej forme a elektronicky podpísať digitálne podpísané v súlade s právnymi predpismi Ruskej federácie.
4. Subjekt osobných údajov má právo získať pri kontakte alebo po prijatí žiadosti informácie o spracúvaní jeho osobných údajov vrátane týchto:
1) potvrdenie skutočnosti o spracúvaní osobných údajov prevádzkovateľom, ako aj účel tohto spracúvania;
2) spôsoby spracúvania osobných údajov používané prevádzkovateľom;
3) informácie o osobách, ktoré majú prístup k osobným údajom alebo ktorým je možné takýto prístup poskytnúť;
4) zoznam spracovaných osobných údajov a zdroj ich prijatia;
5) podmienky spracúvania osobných údajov vrátane podmienok ich uchovávania;
6) informácie o tom, aké právne dôsledky môže mať pre subjekt osobných údajov spracovanie jeho osobných údajov.
5. Právo subjektu osobných údajov na prístup k svojim osobným údajom je obmedzené, ak:
1) spracúvanie osobných údajov vrátane osobných údajov získaných v dôsledku operatívneho pátrania, kontrarozviedky a spravodajských činností sa vykonáva na účely obrany štátu, bezpečnosti štátu a presadzovania práva;
2) spracúvanie osobných údajov vykonávajú orgány, ktoré zadržali subjekt osobných údajov pre podozrenie zo spáchania trestného činu alebo obvinili subjekt osobných údajov v trestnom prípade alebo na subjekt osobných údajov uplatnili preventívne opatrenie pred podaním obžaloby, s výnimkou tých, ktoré sú ustanovené v trestno -procesných právnych predpisoch Ruskej federácie v prípadoch, keď je povolené zoznámiť podozrivého alebo obvineného s takýmito osobnými údajmi;
3) poskytnutím osobných údajov sú porušené ústavné práva a slobody iných.
Článok 15. Práva subjektov osobných údajov pri spracovaní ich osobných údajov s cieľom propagovať tovar, práce, služby na trhu, ako aj politickú kampaň
1. Spracúvanie osobných údajov za účelom propagácie tovaru, prác, služieb na trhu priamym kontaktom s potenciálnym spotrebiteľom pomocou komunikačných prostriedkov, ako aj na účely politickej kampane je dovolené len s predchádzajúcim súhlasom subjektu. osobných údajov. Uvedené spracovanie osobných údajov sa považuje za vykonávané bez predchádzajúceho súhlasu subjektu osobných údajov, pokiaľ prevádzkovateľ nepreukáže, že takýto súhlas získal.
2. Prevádzkovateľ je povinný bezodkladne zastaviť na žiadosť subjektu osobných údajov spracúvanie jeho osobných údajov uvedených v časti 1 tohto článku.
Článok 16. Práva subjektov osobných údajov pri rozhodovaní na základe výlučne automatizovaného spracúvania ich osobných údajov
1. Je zakázané prijímať rozhodnutia na základe výlučne automatizovaného spracúvania osobných údajov, ktoré má za následok právne dôsledky vo vzťahu k subjektu osobných údajov alebo inak ovplyvňujú jeho práva a oprávnené záujmy, s výnimkou prípadov uvedených v časť 2 tohto článku.
2. Rozhodnutie, ktoré má právne dôsledky vo vzťahu k subjektu osobných údajov alebo inak ovplyvňuje jeho práva a oprávnené záujmy, je možné prijať na základe výlučne automatizovaného spracúvania jeho osobných údajov iba so písomným súhlasom subjektu osobných údajov údajov alebo v prípadoch ustanovených federálnymi zákonmi, ktorým sa ustanovujú aj opatrenia na zabezpečenie dodržiavania práv a oprávnených záujmov subjektu osobných údajov.
3. Prevádzkovateľ je povinný vysvetliť subjektu osobných údajov postup pri rozhodovaní na základe výlučne automatizovaného spracúvania jeho osobných údajov a možné právne dôsledky takéhoto rozhodnutia, poskytnúť možnosť namietať voči takémuto rozhodnutie, a tiež vysvetliť postup pri ochrane subjektu osobných údajov pred jeho právami a oprávnenými záujmami.
4. Prevádzkovateľ je povinný zvážiť námietku uvedenú v časti 3 tohto článku do siedmich pracovných dní odo dňa jej prijatia a oznámiť subjektu osobných údajov výsledky posúdenia takejto námietky.
Článok 17 Právo odvolať sa proti konaniu alebo opomenutiu prevádzkovateľa
1. Ak sa subjekt osobných údajov domnieva, že prevádzkovateľ spracúva jeho osobné údaje v rozpore s požiadavkami tohto federálneho zákona alebo inak porušuje jeho práva a slobody, má subjekt osobných údajov právo odvolať sa proti konaniu alebo opomenutiu prevádzkovateľa oprávnenému orgánu na ochranu práv subjektov osobných údajov alebo súdneho konania.
2. Subjekt osobných údajov má právo na ochranu svojich práv a oprávnených záujmov vrátane náhrady škody a (alebo) náhrady morálnej ujmy na súde.
Kapitola 4. Povinnosti prevádzkovateľa
Článok 18 Povinnosti prevádzkovateľa pri zhromažďovaní osobných údajov
1. Pri zhromažďovaní osobných údajov je prevádzkovateľ povinný poskytnúť subjektu osobných údajov na jeho žiadosť informácie uvedené v časti 4 článku 14 tohto federálneho zákona.
2. Ak je povinnosť poskytnúť osobné údaje stanovená federálnymi zákonmi, prevádzkovateľ je povinný objasniť subjektu osobných údajov právne dôsledky odmietnutia poskytnutia jeho osobných údajov.
3. Ak osobné údaje neboli získané od dotknutej osoby, s výnimkou prípadov, keď boli osobné údaje poskytnuté prevádzkovateľovi na základe federálnych zákonov alebo ak sú osobné údaje verejne dostupné, je prevádzkovateľ povinný poskytnúť osobné údaje dotknutá osoba s nasledujúcimi informáciami pred začatím spracúvania týchto osobných údajov:
1) meno (priezvisko, meno, priezvisko) a adresa prevádzkovateľa alebo jeho zástupcu;
2) účel spracúvania osobných údajov a jeho právny základ;
3) potenciálni používatelia osobných údajov;
4) práva subjektu osobných údajov ustanovené týmto federálnym zákonom.
Článok 19 Opatrenia na zaistenie bezpečnosti osobných údajov počas ich spracúvania
1. Prevádzkovateľ je pri spracúvaní osobných údajov povinný vykonať nevyhnutné organizačné a technické opatrenia vrátane použitia šifrovacích (kryptografických) prostriedkov na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, zmenou, zablokovaním, kopírovaním, šírenie osobných údajov, ako aj iné nezákonné činnosti.
2. Vláda Ruskej federácie ustanovuje požiadavky na zaistenie bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov, požiadavky na nosiče biometrických osobných údajov a technológie na uchovávanie týchto údajov mimo informačných systémov o osobných údajoch.
3. Kontrolu a dohľad nad plnením požiadaviek stanovených vládou Ruskej federácie v súlade s časťou 2 tohto článku vykonáva federálny výkonný orgán oprávnený v oblasti bezpečnosti a federálny výkonný orgán poverený v. oblasť boja proti technickej inteligencii a technickej ochrane informácií, v medziach ich právomocí a bez práva zoznámiť sa s osobnými údajmi spracúvanými v informačných systémoch osobných údajov.
4. Používanie a uchovávanie biometrických osobných údajov mimo informačných systémov o osobných údajoch je možné vykonávať iba na takých hmotných nosičoch a s využitím takej technológie ukladania, ktorá zaisťuje ochranu týchto údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, zmenou , blokovanie, kopírovanie, distribúcia.
Článok 20. Povinnosti prevádzkovateľa pri kontaktovaní alebo pri prijímaní žiadosti od subjektu osobných údajov alebo jeho zákonného zástupcu, ako aj oprávneného orgánu na ochranu práv subjektov osobných údajov
1. Prevádzkovateľ je povinný spôsobom predpísaným v článku 14 tohto federálneho zákona informovať subjekt osobných údajov alebo jeho zákonného zástupcu o dostupnosti osobných údajov týkajúcich sa príslušného subjektu osobných údajov a tiež poskytnúť príležitosť zoznámiť sa s nimi, keď je subjekt osobných údajov alebo jeho zákonný zástupca alebo do desiatich pracovných dní odo dňa prijatia žiadosti od subjektu osobných údajov alebo jeho zákonného zástupcu.
2. V prípade odmietnutia poskytnutia predmetu osobných údajov alebo jeho zákonného zástupcu pri kontaktovaní alebo po prijatí žiadosti od subjektu osobných údajov alebo jeho zákonného zástupcu informácie o dostupnosti osobných údajov o príslušnom predmete osobných údajov, ako aj na tieto osobné údaje musí prevádzkovateľ poskytnúť motivovanú odpoveď obsahujúcu odkaz na ustanovenie časti 14 článku 14 tohto federálneho zákona alebo iného federálneho zákona, ktoré sú základom pre takéto odmietnutie, a to v lehote nepresahujúcej sedem pracovných dní odo dňa žiadosti subjektu osobných údajov alebo jeho zákonného zástupcu alebo odo dňa prijatia žiadosti od subjektu osobných údajov alebo jeho zákonného zástupcu.
3. Prevádzkovateľ je povinný poskytnúť subjektu osobných údajov alebo jeho zákonnému zástupcovi bezplatne možnosť zoznámiť sa s osobnými údajmi, ktoré sa týkajú príslušného subjektu osobných údajov, ako aj vykonať v nich potrebné zmeny, zničiť alebo zablokuje príslušné osobné údaje po poskytnutí osobných údajov alebo jeho zákonného zástupcu s potvrdením, že osobné údaje, ktoré sa týkajú príslušného subjektu a ktorých spracúvanie prevádzkuje prevádzkovateľ, sú neúplné, neaktuálne, nepresné, nezákonne získané alebo nie je to nevyhnutné pre uvedený účel spracovania. O vykonaných zmenách a prijatých opatreniach je prevádzkovateľ povinný informovať subjekt osobných údajov alebo jeho zákonného zástupcu a tretie strany, ktorým boli osobné údaje o tejto osobe odovzdané.
4. Prevádzkovateľ je povinný do siedmich pracovných dní odo dňa doručenia informovať autorizovaný orgán na ochranu práv subjektov osobných údajov na jeho žiadosť o informáciách potrebných na realizáciu činností uvedeného orgánu. takejto žiadosti.
Článok 21. Povinnosti prevádzkovateľa odstrániť porušenie zákona, ktorého sa dopustili pri spracúvaní osobných údajov, ako aj objasniť, zablokovať a zničiť osobné údaje
1. V prípade odhalenia nepresných osobných údajov alebo protiprávneho konania s nimi zo strany prevádzkovateľa pri kontaktovaní alebo na žiadosť subjektu osobných údajov alebo jeho zákonného zástupcu alebo oprávneného orgánu na ochranu práv subjektov osobných údajov, prevádzkovateľ je povinný zablokovať osobné údaje súvisiace s príslušným predmetom osobných údajov, a to od okamihu takejto žiadosti alebo prijatia takejto žiadosti po dobu overenia.
2. V prípade potvrdenia skutočnosti o nepresnosti osobných údajov prevádzkovateľ na základe dokumentov predložených subjektom osobných údajov alebo jeho zákonným zástupcom alebo oprávneným orgánom na ochranu práv subjektov osobných údajov, príp. ďalšie potrebné dokumenty, je povinný osobné údaje objasniť a odstrániť ich blokovanie.
3. V prípade odhalenia protiprávneho konania s osobnými údajmi je prevádzkovateľ povinný v lehote nepresahujúcej tri pracovné dni odo dňa takejto identifikácie priestupky odstrániť. Pokiaľ nie je možné odstrániť spáchané porušenia, je prevádzkovateľ povinný zničiť osobné údaje v lehote nepresahujúcej tri pracovné dni odo dňa zistenia protiprávneho konania s osobnými údajmi. Prevádzkovateľ je povinný upozorniť subjekt osobných údajov alebo jeho zákonného zástupcu na odstránenie porušenia alebo zničenie osobných údajov, a v prípade, že oprávnený orgán na ochranu práv subjektov zaslal odvolanie alebo žiadosť osobných údajov, tiež uvedený orgán.
4. Ak je dosiahnutý účel spracúvania osobných údajov, je prevádzkovateľ povinný bezodkladne zastaviť spracúvanie osobných údajov a zodpovedajúce osobné údaje zlikvidovať v lehote nepresahujúcej tri pracovné dni odo dňa dosiahnutia účelu spracúvania osobných údajov, ak nie je uvedené inak. ustanovené federálnymi zákonmi, a upozorniť subjekt osobných údajov alebo jeho zákonného zástupcu, a ak odvolanie alebo žiadosť zaslal autorizovaný orgán na ochranu práv subjektov osobných údajov, aj uvedený orgán.
5. Ak subjekt osobných údajov odvolá súhlas so spracovaním svojich osobných údajov, prevádzkovateľ je povinný zastaviť spracúvanie osobných údajov a zničiť osobné údaje v lehote nepresahujúcej tri pracovné dni odo dňa doručenia uvedeného odvolania, pokiaľ inak ustanovuje dohoda medzi prevádzkovateľom a subjektom osobných údajov. Prevádzkovateľ je povinný informovať subjekt osobných údajov o zničení osobných údajov.
Článok 22 Oznámenie o spracovaní osobných údajov
1. Prevádzkovateľ je povinný pred začatím spracúvania osobných údajov oznámiť oprávnenému orgánu na ochranu práv subjektov osobných údajov svoj úmysel spracúvať osobné údaje, okrem prípadov uvedených v časti 2 tohto článok.
2. Prevádzkovateľ má právo spracúvať osobné údaje bez oznámenia autorizovanému orgánu na ochranu práv subjektov osobných údajov:
1) týkajúce sa subjektov osobných údajov, ktoré sú s prevádzkovateľom spojené pracovnoprávnymi vzťahmi;
2) prijaté prevádzkovateľom v súvislosti s uzavretím zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov, ak sa osobné údaje nešíria a nie sú poskytnuté tretím stranám bez súhlasu subjektu osobných údajov a sú používané prevádzkovateľom výlučne na plnenie špecifikovanej dohody a uzatváranie zmlúv s predmetom osobných údajov;
3) týkajúce sa členov (účastníkov) verejného združenia alebo náboženskej organizácie a spracovávané príslušným verejným združením alebo náboženskou organizáciou konajúcou v súlade s právnymi predpismi Ruskej federácie s cieľom dosiahnuť legitímne ciele stanovené v ich zakladajúcich dokumentoch, za predpokladu že osobné údaje nebudú šírené bez písomného súhlasu subjektov osobných údajov;
4) ktoré sú verejne prístupnými osobnými údajmi;
5) vrátane iba priezvisk, krstných mien a priezviska subjektov osobných údajov;
6) nevyhnutné na účely jediného prechodu dotknutej osoby na územie, na ktorom sa nachádza prevádzkovateľ, alebo na iné podobné účely;
7) zahrnuté v informačných systémoch osobných údajov, ktoré v súlade s federálnymi zákonmi majú status federálnych automatizovaných informačných systémov, ako aj v štátnych informačných systémoch o osobných údajoch vytvorených za účelom ochrany bezpečnosti štátu a verejného poriadku;
8) spracúvané bez použitia nástrojov automatizácie v súlade s federálnymi zákonmi alebo inými regulačnými právnymi aktmi Ruskej federácie, ktoré stanovujú požiadavky na zaistenie bezpečnosti osobných údajov počas ich spracovania a na dodržiavanie práv subjektov osobných údajov.
3. Oznámenie stanovené v časti 1 tohto článku musí byť odoslané písomne a podpísané oprávnenou osobou alebo odoslané v elektronickej forme a podpísané elektronickým digitálnym podpisom v súlade s právnymi predpismi Ruskej federácie. Oznámenie musí obsahovať nasledujúce informácie:
1) meno (priezvisko, meno, priezvisko), adresa prevádzkovateľa;
2) účel spracúvania osobných údajov;
5) právny základ spracúvania osobných údajov;
6) zoznam úkonov s osobnými údajmi, všeobecný opis spôsobov spracúvania osobných údajov, ktoré používa prevádzkovateľ;
7) opis opatrení, ktoré sa prevádzkovateľ zaväzuje vykonať pri spracúvaní osobných údajov, na zaistenie bezpečnosti osobných údajov pri ich spracúvaní;
8) dátum začiatku spracúvania osobných údajov;
9) termín alebo podmienka ukončenia spracúvania osobných údajov.
4. Autorizovaný orgán na ochranu práv subjektov osobných údajov do tridsiatich dní odo dňa prijatia oznámenia o spracovaní osobných údajov zadá informácie uvedené v časti 3 tohto článku, ako aj informáciu o dátume odoslania uvedeného oznámenia do registra operátorov. Informácie obsiahnuté v registri operátorov, s výnimkou informácií o prostriedkoch na zaistenie bezpečnosti osobných údajov počas ich spracúvania, sú verejne dostupné.
5. Prevádzkovateľovi nemožno účtovať výdavky v súvislosti s zvážením oznámenia o spracovaní osobných údajov oprávneným orgánom na ochranu práv subjektov osobných údajov, ako aj v súvislosti so zadávaním informácií do register prevádzkovateľov.
6. V prípade poskytnutia neúplných alebo nepresných informácií uvedených v časti 3 tohto článku má oprávnený orgán na ochranu práv subjektov osobných údajov právo požadovať od prevádzkovateľa objasnenie poskytnutých informácií pred ich zadaním do registra prevádzkovateľov.
7. V prípade zmeny informácií uvedených v časti 3 tohto článku je prevádzkovateľ povinný tieto zmeny oznámiť oprávnenému orgánu na ochranu práv subjektov osobných údajov do desiatich pracovných dní odo dňa takéto zmeny.
Kapitola 5. Kontrola a dohľad nad spracovaním osobných údajov. Zodpovednosť za porušenie požiadaviek tohto federálneho zákona
Článok 23 Autorizovaný orgán na ochranu práv subjektov osobných údajov
1. Autorizovaný orgán na ochranu práv dotknutých osôb, ktorý je poverený zabezpečovaním kontroly a dohľadu nad súladom spracúvania osobných údajov s požiadavkami tohto federálneho zákona, je federálnym výkonným orgánom, ktorý vykonáva kontrolu a dozorné funkcie v oblasti informačných technológií a komunikácií.
2. Autorizovaný orgán na ochranu práv subjektov osobných údajov posúdi požiadavky subjektu osobných údajov na súlad obsahu osobných údajov a spôsobov ich spracúvania s účelmi ich spracúvania a prijme primerané rozhodnutie. .
3. Autorizovaný orgán na ochranu práv subjektov osobných údajov má právo:
1) opýtajte sa jednotlivcov alebo právnické osoby informácie potrebné na výkon ich právomocí a na bezplatné získanie týchto informácií;
2) vykonávať overovanie informácií uvedených v oznámení o spracúvaní osobných údajov alebo na vykonanie tohto overenia v medziach ich právomoci zapojiť iné štátne orgány;
3) požadovať od prevádzkovateľa objasnenie, zablokovanie alebo zničenie nepresných alebo nezákonne získaných osobných údajov;
4) prijať opatrenia v súlade s postupom ustanoveným právnymi predpismi Ruskej federácie na pozastavenie alebo ukončenie spracúvania osobných údajov vykonávaného v rozpore s požiadavkami tohto federálneho zákona;
5) obrátiť sa na súd s návrhmi na obhajobu práv subjektov osobných údajov a zastupovať záujmy subjektov osobných údajov na súde;
6) odoslať žiadosť orgánu licencujúcemu činnosti prevádzkovateľa, aby zvážil vydanie opatrenia na pozastavenie alebo zrušenie príslušnej licencie v súlade s postupom ustanoveným právnymi predpismi Ruskej federácie, ak sú splnené podmienky licencie na vykonanie takejto činnosti; činnosti je zákaz prenosu osobných údajov tretím stranám bez súhlasu s písomnou formou subjektu osobných údajov;
7) v súlade s jurisdikciou zasielať materiály prokuratúre a iným orgánom činným v trestnom konaní na vyriešenie otázky začatia trestných vecí na základe trestných činov spojených s porušovaním práv subjektov osobných údajov;
8) predkladať vláde Ruskej federácie návrhy na zlepšenie právnej úpravy ochrany práv subjektov osobných údajov;
9) postaviť administratívnu zodpovednosť za osoby vinné z porušenia tohto federálneho zákona.
4. Pokiaľ ide o osobné údaje, ktoré sa dozvedeli autorizovaný orgán na ochranu práv subjektov osobných údajov v rámci ich činnosti, musí byť zaistená dôvernosť osobných údajov.
5. Autorizovaný orgán na ochranu práv subjektov osobných údajov je povinný:
1) organizovať v súlade s požiadavkami tohto federálneho zákona a iných federálnych zákonov ochranu práv subjektov osobných údajov;
2) zvažovať sťažnosti a odvolania občanov alebo právnických osôb na otázky súvisiace so spracovaním osobných údajov, ako aj prijímať rozhodnutia v medziach svojich právomocí na základe výsledkov posúdenia týchto sťažností a odvolaní;
3) viesť register operátorov;
4) prijať opatrenia zamerané na zlepšenie ochrany práv subjektov osobných údajov;
5) v súlade s postupom ustanoveným právnymi predpismi Ruskej federácie prijať na návrh federálneho výkonného orgánu autorizovaného v oblasti bezpečnosti alebo federálneho výkonného orgánu autorizovaného v oblasti boja proti technickému spravodajstvu a technickej ochrane informácie, opatrenia na pozastavenie alebo ukončenie spracúvania osobných údajov;
6) informovať štátne orgány, ako aj subjekty osobných údajov o ich odvolaniach alebo zisťovaniach o stave vecí v oblasti ochrany práv subjektov osobných údajov;
7) plniť ďalšie povinnosti stanovené právnymi predpismi Ruskej federácie.
6. Proti rozhodnutiam autorizovaného orgánu na ochranu práv subjektov osobných údajov sa možno odvolať na súde.
7. Autorizovaný orgán na ochranu práv subjektov osobných údajov každoročne zasiela správu o svojej činnosti prezidentovi Ruskej federácie, vláde Ruskej federácie a Federálnemu zhromaždeniu Ruskej federácie. Uvedená správa je predmetom zverejnenia v masmédiách.
8. Financovanie autorizovaného orgánu na ochranu práv subjektov osobných údajov sa vykonáva na náklady federálneho rozpočtu.
9. V rámci povereného orgánu na ochranu práv subjektov osobných údajov je na dobrovoľnom základe vytvorený poradný výbor, ktorého postup pri vytváraní a postup činnosti určuje autorizovaný orgán na ochranu osobných údajov. práva subjektov osobných údajov.
Článok 24 Zodpovednosť za porušenie požiadaviek tohto federálneho zákona
Osoby vinné z porušenia požiadaviek tohto federálneho zákona nesú občiansku, trestnú, administratívnu, disciplinárnu a inú zodpovednosť stanovenú právnymi predpismi Ruskej federácie.
Kapitola 6. Záverečné ustanovenia
Článok 25 Záverečné ustanovenia
1. Tento federálny zákon nadobúda účinnosť uplynutím stoosemdesiatich dní odo dňa jeho oficiálneho uverejnenia.
2. Po dátume nadobudnutia účinnosti tohto federálneho zákona sa spracovanie osobných údajov zahrnutých v informačných systémoch osobných údajov pred dňom jeho nadobudnutia účinnosti uskutoční v súlade s týmto federálnym zákonom.
3. Informačné systémy osobné údaje vytvorené pred nadobudnutím účinnosti tohto federálneho zákona musia byť uvedené do súladu s požiadavkami tohto federálneho zákona najneskôr 1. januára 2010.
4. Prevádzkovatelia, ktorí spracúvajú osobné údaje pred dátumom nadobudnutia účinnosti tohto federálneho zákona a pokračujú v takom spracovaní aj po dni nadobudnutia účinnosti tohto zákona, sú povinní zaslať oprávnenému orgánu na ochranu práv subjektov osobné údaje, s výnimkou prípadov stanovených v časti 2 článku 22 tohto federálneho zákona, oznámenie stanovené v časti 22 článku 22 tohto federálneho zákona, najneskôr 1. januára 2008.
Prezident
Ruská federácia
V. Putin
Uverejňovaním informácií o sebe na sociálnych sieťach nie všetci naši občania chápu, že môžu byť použité na zostavenie ich profilu. Zhromažďovanie a spracovanie týchto informácií sa aktívne zaoberalo Národným úradom pre úverové histórie JSC (NBKI).
V máji 2017 sa moskovský arbitrážny súd zaoberal prípadom č. А40-5250 / 17, v ktorom súd musel posúdiť zákonnosť spracúvania takýchto osobných údajov.
Podstata sporu
V auguste 2016 správa Roskomnadzor pre centrálny federálny okruh vykonala plánovanú kontrolu na mieste v Národnom úrade pre úverové histórie JSC (NBKI) z hľadiska súladu činností spracúvania osobných údajov s právnymi požiadavkami.
Na základe výsledkov kontroly bol spísaný protokol o kontrole a bol vydaný príkaz na odstránenie zisteného porušenia.
Vzhľadom na predpis týkajúci sa potreby zahrnúť do oznámenia autorizovaného orgánu údaje o fyzických osobách (klientoch alebo potenciálnych klientoch finančnej organizácie) z otvorených zdrojov informácií odosielaných finančnej organizácii, získané pomocou služby Double Data Social Link - web odkaz, výsledok vyhľadávania o klientovi alebo potenciálnom klientovi a služba Double Data Social Attributes - spracovanie profilu požadovaného jednotlivca v otvorených zdrojoch informácií (odsek 1), ako aj z hľadiska indikácie porušenia požiadaviek zákon vo forme nedostatku súhlasu so spracovaním údajov uvedených v otvorených zdrojoch (sociálne siete: VKontakte, Odnoklassnyi, MoiMir, Instragram, Twitter; internetové portály Avito a Avto.ru) osobné údaje klienta alebo potenciálneho klienta finančného ústavu ako súčasť poskytovania služby založenej na službe „big data“ ( tí. Veľké dáta) - nezákonné a porušujúce práva a oprávnené záujmy spoločnosti v oblasti podnikateľských a iných ekonomických činností, tá podala žalobu na rozhodcovskom súde.
Postavenie moskovského arbitrážneho súdu
Pokiaľ ide o tento prípad, súd poznamenal, že spracúvanie osobných údajov je povolené najmä v nasledujúcich prípadoch:
- Spracovanie PD sa vykonáva so súhlasom PD, ktorý je predmetom spracúvania jeho osobných údajov (doložka 1, časť 1);
- Spracúvanie osobných údajov sa vykonáva, prístup neobmedzeného počtu osôb, ktoré poskytuje subjekt PD alebo na jeho žiadosť (osobné údaje verejne prístupného subjektu PD) (doložka 10, časť 1);
- Osobné údaje sú k dispozícii neobmedzenému okruhu osôb;
- Osobné informácie poskytuje priamo subjekt.
Podľa súdu môžu byť osobné údaje verejne dostupného subjektu PD obsiahnuté iba vo verejne dostupných zdrojoch PD.
Súd dospel k záveru, že informácie o subjekte (vrátane osobných údajov) obsiahnuté v sociálnych sieťach (na internete) nemožno pripísať PD, ktoré subjekt sprístupnil verejnosti, pretože sociálne siete nie sú zdrojom verejne dostupných PD vo vzťahu k ustanoveniu článku 8 zákona.
Súd tiež poznamenal, že informácie zverejnené jeho vlastníkmi na internete vo formáte, ktorý umožňuje automatizované spracovanie osobou bez predbežných zmien osobou na účely jej opätovného použitia, sú verejne dostupné informácie zverejnené vo forme otvorených údajov (článok 7 písm. Federálny zákon z 27.07.2006 č. 149-FZ „Informácie, informačné technológie a o ochrane informácií “).
Môj komentár: Tu je súd mierne „ohnutý“; otvorené dáta sú z úplne inej opery!
Súd dospel k záveru, že osobné údaje spracúvané spoločnosťou NBKI JSC v sociálnych sieťach subjekt PD nezverejnil, a preto sa konanie sťažovateľa považuje za porušenie článku 22 časti 3 a článku 6 časti 1 časti 1 článku 6 ods. Federálny zákon z 27.07.2006 č. 152-FZ „O osobných údajoch“.
Rozhodcovský súd v plnom rozsahu odmietol vyhovieť žiadosti NBKI JSC o zneplatnenie ustanovení 1 a 4 pokynov správy Roskomnadzor pre centrálny federálny okruh.
Pozícia deviateho rozhodcovského odvolacieho súdu
Deviaty odvolací arbitrážny súd v júli 2017 poznamenal, že spoločnosť bola zapísaná do registra prevádzkovateľov zaoberajúcich sa spracovaním osobných údajov pod číslom 08-0031682.
V rámci tohto druhu činnosti spoločnosť spracúva osobné údaje klientov, potenciálnych klientov finančných inštitúcií, obsiahnuté v otvorených zdrojoch (sociálne siete: VKontakte, Odnoklassniki, MoiMir, Instragram, Twitter; internetové portály Avito a Avto.ru). Verejnosť nemá súhlas klientov so spracovaním týchto údajov.
Spoločnosť sa domnieva, že má právo spracúvať osobné údaje o jednotlivcoch bez ich súhlasu. Podľa súdu spoločnosť nevzala do úvahy nasledujúce.
Podľa odvolacieho súdu nie sú osobné údaje, ktoré spoločnosť spracúva a sú obsiahnuté v otvorených zdrojoch (sociálne siete: VKontakte, Odnoklassniki, MoiMir, Instragram, Twitter; internetové portály Avito a Avto.ru), verejne dostupné. V zmysle zákona o osobných údajoch umiestnenie osobných údajov v týchto otvorených zdrojoch ich automaticky nezverejňuje. Spracovanie týchto údajov preto nie je povolené bez súhlasu subjektu.
Deviaty odvolací arbitrážny súd potvrdil rozhodnutie moskovského arbitrážneho súdu a odvolanie bolo zamietnuté.
Rozhodcovský súd Moskovského okresu v novembri 2017 odišiel nezmenený, rozhodnutie Rozhodcovského súdu mesta Moskva a rozhodnutie deviateho odvolacieho rozhodcovského súdu a kasačná sťažnosť bola zamietnutá.
Pozícia Najvyššieho súdu Ruskej federácie
V januári 2018 sudca Najvyššieho súdu Ruskej federácie (rozhodnutie č. 305-KG17-21291) odmietol Národnému úradu pre úverové histórie JSC postúpiť kasačnú sťažnosť na posúdenie na súdnom zasadnutí Súdneho kolégia pre hospodárske záležitosti. Spory Najvyššieho súdu Ruskej federácie.
Môj komentár: Spracovanie informácií od sociálne siete- rozšírená metóda zberu a analýzy informácií o ľuďoch a organizáciách a v súčasnosti sa len leniví nezberajú informácie o svojich klientoch a protistranách. Krutou životnou pravdou je, že tí, ktorí si takto nekontrolujú svojich potenciálnych zamestnancov, zákazníkov a protistrany, nevykonávajú svoju náležitú starostlivosť. Tí prefíkanejší sa pokúšajú o tom menej hovoriť verejnosti a pokiaľ je to možné, nehovoria slovo „osobné údaje“.
Zhromažďovanie informácií o občanoch nevyhnutne zahŕňa problém zákonnosti týchto opatrení, pretože akékoľvek informácie o občanoch sú ich osobnými údajmi.
Chcel by som poznamenať, že bez ohľadu na to, aké pokyny Roskomnadzor vydáva, pokiaľ prijatie takýchto informácií umožní obchodným organizáciám vážne znížiť riziko finančných strát, ich spracovanie bude naďalej pokračovať. No možno právnici, ktorí si vymyslia zákonné „krytie“ tejto činnosti, zarobia trochu viac peňazí :)
verejne dostupné osobné údaje - osobné údaje, ku ktorým je poskytnutý prístup neobmedzenému počtu osôb so súhlasom subjektu osobných údajov alebo na ktoré sa v súlade s federálnymi zákonmi nevzťahujú požiadavky na dôvernosť. ... .. Odkaz na technický prekladač
Verejne dostupné osobné údaje - osobné údaje, prístup neobmedzeného počtu osôb, ktorým je poskytovaný súhlas subjektu osobných údajov alebo na ktoré sa v súlade s federálnymi zákonmi nevzťahuje požiadavka dôvernosti ...
VEREJNÉ OSOBNÉ ÚDAJE - v súlade s federálnym zákonom „O osobných údajoch“ z 27. júla 2006 č. 152 FZ, - osobné údaje, prístup neobmedzeného počtu osôb, ktorým je poskytovaný súhlas subjektu osobných údajov alebo ku ktorému v súlade s federálnymi ... ... termínmi a definíciami
Verejné osobné údaje - Verejne dostupné osobné údaje osobné údaje, prístup neobmedzeného počtu osôb, ktorým je poskytovaný súhlas so subjektom osobných údajov alebo na ktoré v súlade s federálnymi zákonmi požiadavka súladu neplatí ... Oficiálna terminológia
VEREJNÉ ZDROJE OSOBNÝCH ÚDAJOV - podľa federálneho zákona o osobných údajoch z 27. júla 2006 č. 152 FZ, - adresárov, adresárov atď. Vo verejne dostupných zdrojoch osobných údajov s písomným súhlasom subjektu osobné údaje, jeho priezvisko, krstné meno ... a archivácia v zmysle a definíciách
О - Zabezpečenie úveru, zabezpečenie pôžičky, zabezpečenie Zabezpečenie výroby s rezervami (počet dní, týždne) Zníženie hodnoty majetku ... Slovník ekonomiky a matematiky
Stránka - Domovská stránka stránka Wikipedia.org Stránka (z anglického webu ... Wikipedia
> Čo sú verejne dostupné osobné údaje a aké typy informácií s nimi súvisia?
Zvláštnosti
Verejne dostupné osobné informácie sú uvedené v zdrojoch, ako sú cestovný pas alebo iný občiansky preukaz, vodičský preukaz, vojenský preukaz, kniha záznamov, diplom o vzdelaní.
Nie vždy je na ich použitie potrebné písomné povolenie, niekedy stačí podpis alebo „začiarknutie“ vložené do požadovaného poľa (napríklad pri vypĺňaní aplikácií cez internet).
Všeobecné informácie je možné umiestniť do zdrojov s bezplatným prístupom. Ukladajú informácie o predmetoch, ktoré obsahujú rôzne adresáre s telefónnymi číslami alebo adresami.
Podľa „Zoznamu dôverných informácií“ nie sú dôverné tie, ktoré sú predmetom šírenia v médiách.
Spracovanie vykonávajú špeciálne jednotky alebo orgány, ktoré zhromažďujú, systematizujú, uchovávajú, používajú a tiež ničia informácie. Kontrolu zákonnosti použitia osobných údajov vykonávajú spoločnosti Roskomnadzor, FSB a FSTEC.
FSTEC - federálna služba pre technickú a exportnú kontrolu vydáva licencie organizáciám, ktoré poskytujú služby iným osobám pri vytváraní systémov ochrany osobných údajov. Systém ochrany údajov je vytvorený pre vaše vlastné potreby, licencia naň nie je potrebná.
Fyzická osoba má právo získať informácie o prevádzkovateľovi, ako aj zistiť konkrétny účel, ktorý prevádzkovateľ sleduje počas spracúvania.
Subjekt má plné právo podať žiadosť, ktorej schválenie vám umožňuje objasniť, zablokovať alebo zničiť osobné údaje v prípade, že sú zastarané, neplatné, neúplné alebo ich prítomnosť nie je povinná na spracovanie.
Fyzická osoba má okrem iného právo požadovať od svojho prevádzkovateľa prístup k svojim osobným údajom, ako aj zoznámiť sa s prostriedkami spracúvania informácií. Operátori sú špecialisti, ktorí spracúvajú informácie o osobe.
Orgánmi spracúvajúcimi osobné údaje sú všetky organizácie, ktoré zhromažďujú, spracúvajú, hromadia a uchovávajú informácie o zamestnancoch, zákazníkoch, dodávateľoch.
Kedy sú zahrnuté v otvorených zdrojoch?
K zahrnutiu informácií do verejne dostupných zdrojov dochádza v rôznych situáciách, napríklad:
- na zamestnanie a uzatvorenie pracovnej zmluvy;
- pri sčítaní obyvateľstva;
- nadväzovanie obchodných vzťahov a pod.
Osobné údaje subjektu sú klasifikované podľa množstva osobných informácií o osobe a stupňa dôležitosti. Všetky operácie s nimi sa vykonávajú striktne v rámci legislatívnych aktov a podliehajú ochrane.
Prevádzkovatelia sú povinní organizovať bezpečnosť pracovného postupu. Musia zaistiť úplnú ochranu osobných údajov subjektov pred prístupom neoprávnených osôb.
Počas procesu zberu musí prevádzkovateľ prijať písomné povolenie na ďalšie spracovanie. Písomný súhlas so spracovaním obsahuje informácie o subjekte a prevádzkovateľovi (meno, adresa), účel spracovania a zoznam potrebných informácií, ako aj popis operácií, ktoré sa s nimi budú vykonávať.
Občan ako vlastník osobných údajov o sebe môže odvolať predtým podpísané povolenie na ich spracovanie. Ak je subjekt nespôsobilý alebo v prípade jeho smrti je potrebný súhlas zákonných zástupcov alebo dedičov. Konanie operátora je založené na federálnom zákone „o osobných údajoch“.
Porušovanie zákona je potláčané trestnoprávnym, občianskoprávnym, správnym alebo iným druhom zodpovednosti.
Akékoľvek informácie o jednotlivcovi - predmete osobných údajov môžu byť vylúčené z verejne dostupných zdrojov na základe požiadavky subjektu, Roskomnadzor, rozhodnutia súdu alebo iných štátnych orgánov.
Ak nájdete chybu, vyberte kus textu a stlačte Ctrl + Enter.
- jednotlivec, ktorý je im poskytovaný o sebe.
K verejne dostupným údajom je bezplatný prístup s písomným súhlasom subjektu.... To môže zahŕňať aj informácie o predmete, ktoré nie sú stanovené zákonom.
Subjekt je fyzická osoba, ktorej informácie zhromažďuje, uchováva, spracúva a používa prevádzkovateľ (právnická alebo fyzická osoba, obecný alebo štátny orgán) na akékoľvek účely.
O aké typy informácií ide?
Zoznam verejne dostupných osobných údajov zahŕňa:
Zvláštnosti
Verejne dostupné osobné informácie sú uvedené v zdrojoch, ako sú cestovný pas alebo iný občiansky preukaz, vodičský preukaz, vojenský preukaz, kniha záznamov, diplom o vzdelaní.
Nie vždy je na ich použitie potrebné písomné povolenie, niekedy stačí podpis alebo „začiarknutie“ vložené do požadovaného poľa (napríklad pri vypĺňaní aplikácií cez internet).
Všeobecné informácie je možné umiestniť do zdrojov s bezplatným prístupom... Ukladajú informácie o predmetoch, obsahujú rôzne adresáre s telefónnymi číslami alebo adresami.
Fyzická osoba má právo získať informácie o prevádzkovateľovi, ako aj zistiť konkrétny účel, ktorý prevádzkovateľ sleduje počas spracúvania.
Subjekt má plné právo podať žiadosť, ktorej schválenie vám umožňuje objasniť, zablokovať alebo zničiť osobné údaje v prípade, že sú zastarané, neplatné, neúplné alebo ich prítomnosť nie je povinná na spracovanie.
Fyzická osoba má okrem iného právo požadovať od prevádzkovateľa prístup k svojim osobným informáciám, ako aj zoznámiť sa s prostriedkami spracúvania informácií. Operátori sú špecialisti, ktorí spracúvajú informácie o osobe.
Orgánmi spracúvajúcimi osobné údaje sú všetky organizácie, ktoré zhromažďujú, spracúvajú, hromadia a uchovávajú informácie o zamestnancoch, zákazníkoch, dodávateľoch.
Ak chcete získať ďalšie informácie o tom, kedy je potrebná dohoda o spracovaní osobných údajov, prečítajte si.
Kedy sú zahrnuté v otvorených zdrojoch?
K zahrnutiu informácií do verejne dostupných zdrojov dochádza v rôznych situáciách, napríklad:
- na zamestnanie a uzatvorenie pracovnej zmluvy;
- pri sčítaní obyvateľstva;
- nadväzovanie obchodných vzťahov a pod.
Osobné údaje subjektu sú klasifikované podľa množstva osobných informácií o osobe a stupňa dôležitosti. Všetky operácie s nimi sa vykonávajú striktne v rámci legislatívnych aktov a podliehajú ochrane.
Prevádzkovatelia sú povinní organizovať bezpečnosť pracovného postupu... Musia zaistiť úplné osobné informácie subjektov, aby k nim mali prístup neoprávnené osoby.
Počas procesu zberu musí prevádzkovateľ prijať písomné povolenie na ďalšie spracovanie. Spracovanie obsahuje informácie o subjekte a operátorovi (meno, adresa), účel spracovania a zoznam potrebných informácií, ako aj popis operácií, ktoré sa s nimi budú vykonávať.
Potvrdenie súhlasu so spracovaním osobných údajov sa teraz požaduje pri uzatváraní zmlúv, vypĺňaní dotazníkov, registrácii na stránkach. Väčšina občanov súhlasí automaticky, aj keď osobné informácie o osobe v rukách bezohľadných jednotlivcov sú silnou a nebezpečnou zbraňou. Tento článok hovorí o tom, čo potrebujete vedieť o osobných údajoch, a otvára k nim prístup tretím stranám.
Osobné údaje: čo to je, regulačný rámec
Štát reguluje oblasť osobných údajov prostredníctvom množstva predpisov. Základom je Ústava Ruskej federácie, základom je federálny zákon č. 152 z 27. januára 2006. Zákon vysvetľuje, čo sú osobné údaje a na čo sa vzťahujú. Tento výraz znamená informáciu, ktorá priamo alebo nepriamo charakterizuje predmet PD - jednotlivca. Jednoducho povedané, môžu byť použité na presné určenie, že hovoríme o konkrétnej osobe.
V ruskej ústave je nepriama zmienka o osobných údajoch. Články 23-24 základného zákona priznávajú občanom právo na súkromie, nedotknuteľnosť a ochranu. Všetko, čo je zahrnuté v koncepte osobných údajov, patrí iba ich nositeľovi a nemôže ich ovládať vláda ani tretie strany. Samotní občania môžu voľne disponovať s týmito informáciami, zabrániť ich šíreniu alebo naopak ich odovzdať iným. Štát túto možnosť garantuje a chráni.
Federálny zákon č. 152 určuje, kto má právo používať iné osobné údaje ako jeho dopravca, za akých podmienok a podľa akých pravidiel. Iba prevádzkovatelia s jeho povolením môžu prijímať a spracovávať osobné informácie o tejto téme. Občan podpisuje súhlas s kontrolou PD pri podávaní žiadostí o pôžičku, vypĺňaní dotazníkov alebo pri uchádzaní sa o zamestnanie.
Operátori získavajú prístup k množstvu údajov, ktoré potrebujú na vyriešenie svojich úloh. Po dosiahnutí cieľa ich nesmú skladovať a používať. Zamestnávateľ musí napríklad zničiť záznamy, dotazníky - všetko, čo sa týka osobných údajov zamestnanca po jeho prepustení. V opačnom prípade hrozí zodpovednosť za
Všetky právnické a fyzické osoby musia dodržiavať ustanovenia federálneho zákona č. 152. Pri PD platia špeciálne pravidlá:
- prijímať pre osobné alebo rodinné potreby, ak to neporušuje práva 3 osôb;
- obsiahnuté v archívnych dokumentoch;
- predstavujú štátne tajomstvo;
- zhromaždené súdnym aktom.
Ďalšie legislatívne akty objasňujú ustanovenia o PD vo vzťahu k rôznym situáciám, zavádzajú systém a klasifikáciu ochranných prostriedkov. Kapitola 14 Zákonníka práce Ruskej federácie napríklad uvádza koncept osobných údajov zamestnanca. Toto sú informácie, ktoré nám umožňujú charakterizovať ho ako zamestnanca určitej organizácie (plat, dĺžku služby, kvalifikáciu, informácie od Federálnej daňovej služby a dôchodkového fondu Ruska atď.), Jeho obchodné vlastnosti. Mali by byť použité a uložené na pomoc zamestnancovi pri plnení jeho pracovných povinností, zvyšovanie skúseností a znalostí, propagácii, na ochranu personálu a majetku spoločnosti.
Klasifikácia osobných údajov
Federálny zákon č. 152 identifikuje niekoľko typov osobných údajov. Môžete ich usporiadať podľa stupňa „utajenia“, obtiažnosti pri zbere a použití tretími stranami:
- neosobný;
- všeobecné;
- biometrický;
- špeciálne.
Všeobecné osobné údaje
Všeobecné osobné údaje sú základnými informáciami o osobe. Tie obsahujú:
Spracovanie osobných údajov v organizácii
Účelom spracovania PD v organizácii je formalizovať pracovný pomer so zamestnancom. Zamestnávateľ nemá právo uzavrieť pracovnú zmluvu bez podpísaného súhlasu so spracovaním PD. Prečítajte si viac v tomto
- miesto registrácie a bydliska;
- údaje z pasu;
- vzdelávanie;
- Kontaktné údaje;
- informácie o práci;
- príjem atď.
Nie všetky jednotlivo možno pripísať PD. Napríklad zákon presne nedefinuje, ja či sú telefónne čísla osobnými údajmi... Roskomnadzor v reakcii na výzvy občanov vysvetlil, že nie je možné presne identifikovať osobu iba podľa čísla. Samo o sebe to nie je osobné, ale v spojení s menom majiteľa a mestom bydliska sa odkazuje na PD. Neprispôsobené odosielanie SMS správ sa preto nepovažuje za porušenie federálneho zákona č. 152.
Všeobecné PD sú obsiahnuté v pase, vojenskom preukaze, diplome, osobnom zamestnaneckom preukaze, pracovnej knihe atď. Na získanie týchto údajov nie je potrebný písomný súhlas, skôr nepriamy, napríklad začiarknutie oproti zodpovedajúcej položke online dotazníka. Relatívna jednoduchosť prístupu často prináša problémy subjektom PD - bežným občanom: od dotieravej reklamy po vydieranie a falšovanie žiadostí o pôžičku.
Osobný život občana, ktorý zahŕňa aj rôzne druhy tajomstiev (lekárske, daňové, tajomstvo adopcie a ďalšie), je pred zverejnením chránený článkom 137 Trestného zákona Ruskej federácie. V tomto si môžete prečítať viac.
Biometrický PD
Biometrické údaje sú fyziologické a biologické charakteristiky subjektu: odtlačky prstov, krvná skupina, výška, farba očí, hmotnosť, analýza DNA atď. Patria sem informácie, ktoré je možné získať z fotografie alebo videa s osobou. Biometrické PD sú často potrebné na liečbu alebo zamestnanie vo vládnych agentúrach, na vydávanie zahraničných pasov a víz.
Špeciálne PD
Rasa a národnosť, náboženstvo, filozofické presvedčenie, zdravotný stav, presvedčenie, intímny život, sexuálne preferencie sú klasifikované ako špeciálne údaje. Sú obsiahnuté v lekárskych potvrdeniach, osobných spisoch atď.
Na účasť na politických aktivitách, na vstup do ozbrojených síl sú potrebné špeciálne AP. Tretie strany majú k týmto údajom prístup iba so súhlasom subjektu.
Prečo potrebujete zákon o osobných údajoch? Odpoveď nájdete vo videu:
Odosobnená PD
Anonymizovaný PD je k dispozícii každému záujemcovi. Zdroje informácií môžu byť:
- adresáre;
- referenčná literatúra;
- registre;
Verejne dostupné informácie, ktoré sa považujú za osobné údaje, sú napríklad príjmy politikov, zástupcov federálnych alebo obecných úradov, úradníkov vo vedúcich funkciách.
Prvé stretnutie sa uskutočnilo v novembri 2016 pracovná skupina Administratíva prezidenta Ruskej federácie o probléme použitia ustanovení federálneho zákona č. 152 na tzv Veľké dáta... Toto sú údaje, ktoré prichádzajú od užívateľa do siete: IP adresa, autorizačné formuláre, história prehliadača, informácie, ktoré o vlastníkovi zhromažďujú gadgety a inteligentné domáce spotrebiče.
Big Data na jednej strane priamo alebo nepriamo označujú osobu, to znamená, že spadajú pod definíciu PD. Zákonodarcovia zároveň nepovažujú internetové údaje za vlastníctvo jednotlivca, pretože ho nemôže ovládať.
Všetky otázky, ktoré vás zaujímajú, môžete položiť v komentároch k článku