• Kişisel verilerin işlenmesi için Roskomnadzor'a kayıt. Kişisel veri operatörü

    Kelimenin tam anlamıyla birkaç gün içinde, 1 Temmuz 2017'de, İdari İhlaller Kanununda yapılan değişiklikler ve uyumsuzluk için sertleşen sorumluluk (bundan böyle 152-FZ sayılı Kanun olarak anılacaktır) yürürlüğe girecektir. Bu konuda yeterli bilgi vardı ve "Katip" de bu konuda yazdı.

    Ancak sorular hala devam ediyor.

    Görünüşe göre bu konunun etrafında sadece bir yutturmaca var. Ve gerçekte ne oldu? Genel olarak, yasa değişmedi. Sadece para cezaları açısından değiştirildi.

    Şimdi Sanat altında. İdari Suçlar Kanunu'nun 13.11'i, tüzel kişiler için 10.000 ruble para cezası ile yalnızca bir ihlal vardır. 1 Temmuz'dan sonra yedi tane olacak ve toplam para cezası 295.000 rubleye kadar çıkabilir.

    Yetkililer neden şu anda kişisel verileri ele geçiriyor? 1 Temmuz'da yürürlüğe giren tüm para cezaları, Roskomnadzor tarafından son beş yılda tespit edilen en sık ihlaller.

    Ana sorulardan biri: tüm sitelerin gerçekten Roskomnadzor'a kişisel veri operatörü olarak kaydolması gerekiyor mu?

    Görünüşe göre değil. Bu ihtiyacın önüne geçmek mümkündür. Ancak? Kullanıcılardan gelen veriler, bir kullanıcı sözleşmesi temelinde işlenmelidir. 152-FZ sayılı Kanunun 22. maddesinin 2. fıkrasının 2. fıkrası aşağıdakileri öngörmektedir.

    Alıntılıyoruz:

    “…2. Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

    ... 2) kişisel verilerin konusunun rızası olmadan kişisel verilerin dağıtılmaması veya üçüncü şahıslara verilmemesi durumunda, kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesi ile bağlantılı olarak operatör tarafından alınan ve operatör tarafından yalnızca belirtilen sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için kullanılır;"

    Bir kuruluşun veya bireyin sitesinde ziyaretçi verilerini toplamak için bir form varsa - örneğin bir form geri bildirim, bir haber bülteni aboneliği, kaydı veya Kişisel Alan, bu kişisel verilerin işlenmesi olarak kabul edilir.

    21 Şubat 2014, 23:45

    Ya da belki kişisel verilerin işlenmesi hakkında bildirimde bulunmamak?

    • Bilgi Güvenliği

    27 Temmuz 2006 tarihli Federal Yasanın 22. Maddesinin birinci kısmı N 152-FZ "Kişisel Veriler Üzerine" (bundan sonra maddede - Yasa olarak anılacaktır), kişisel verileri işleyen operatörün işlemeden önce Roskomnadzor yetkilisine bildirimde bulunma yükümlülüğünü sağlar. Derhal (maddenin ikinci bölümünde) Kanun, işletmecinin işlemeye ilişkin bildirimde bulunmama hakkına sahip olduğu gerekçeleri önerir. Bu vakalar oldukça yaygındır. Ancak Kanun, bu tür durumlar olsa dahi tebligatı yasaklamadığından, bazı operatörler tebligat yolunu izlemeyi tercih etmektedir. Belki de bir bildirim göndermemeli, hatta "istisnalar" altına nasıl gireceğinizi düşünmemelisiniz. Bunun en az 3 nedeni var.

    "Neden?" Sorusuna cevap vermek zordur. bunu yapmamak mümkünse Roskomnadzor organına bir bildirim göndermeye karar veren herkes için. Elbette pazarlama kampanyaları (imaj, açıklık) göz ardı edilemez. Yine de bazı durumlarda bilgisizlikten ya da “Dikkatli olmakta fayda var” pozisyonundan hareketle bildirimde bulunuyorlar. Kişisel verileri işleyen operatörlerin, işleme hakkında Roskomnadzor yetkililerini bilgilendirmeme konusundaki iyi bilinen haklarına dikkat çekmek isterim ve işte bunun birkaç nedeni var.

    1. Kişisel verilerin işlenmesine ilişkin bildirimi gönderen kişi, sunulan bilgileri sürekli olarak güncelleme yükümlülüğünü taşımak zorundadır. Bu yükümlülük Bölüm 7'de sağlanmıştır. Sanat. Kanunun 22. Kişisel verileri işleyen operatör, bilgi değişikliğine ilişkin bir bildirim göndermezse (operatörün adresindeki değişiklik, işlenen PD kategorilerindeki değişiklik, PD'yi işlemekten sorumlu kişinin ve onun bağlantılarının değişmesi vb.), o zaman idari sorumlu tutulabilir. Görünüşe göre karmaşık bir şey: organizasyonda bir şeyler değişti, bir mektup aldı ve gönderdi. Uygulamada görüldüğü gibi, çoğu durumda bu unutulur. Örneğin, 1 Temmuz 2011'den önce kişisel verileri işleyen operatörlerin Siciline girenlerin (Kayıt işleme bildirimi gönderen herkesi içerir) ek olarak 5, 7.1, 10 ve 11. paragraflarda belirtilen bilgileri göndermeleri gerekiyordu. Kanun'un 22. maddesinin 1 Ocak 2013 tarihinden önceki kısmı (kişisel verilerin işlenmesine ilişkin hukuki dayanak, sorumlu kişinin tam adı vb.). Roskomnadzor'un kişisel veri operatörlerinin kaydından da görülebileceği gibi, operatörlerin yarısından fazlası bugüne kadar bunu yapmadı. Tüm bu kuruluşların kişisel verilerin işlenmesi ile ilgili herhangi bir içsel değişikliğe sahip olmadığı fikri de şüphelidir. Bunu hiç yapmama fırsatı varsa, Kayıttaki girişlerin alaka düzeyini uzun vadede zamanında izleyip izlemeyeceğinizi de düşünmenizi öneririm.
    2. Roskomnadzor organları, birleşik bir departman kullanarak kişisel verileri işleyen operatörlerin teftişlerini planlıyor. bilgi sistemi- ÇBS. Bildirim gönderen tüm operatörler zaten içindedir ve bu nedenle, denetim planına girme olasılığı birçok kez artar. Roskomnadzor tarafından diğer alanlarda (iletişim hizmetleri, dağıtım ağları, medya, yayın) denetlenen kuruluşlar, Roskomnadzor'a işlemeyi bildirmişlerse kişisel veri mevzuatına uygunluk açısından otomatik olarak kontrol edilir.
    3. Kişisel verilerin operatörü, bunu yapmama hakkına sahip olmasına rağmen Roskomnadzor kurumuna işleme hakkında bildirimde bulunmaya karar verdiyse, o zaman hiç bildirimde bulunamayacağı için Sicilden çıkarılması işe yaramaz. Böyle bir imkan ne Kanunda ne de ilgili İdari Yönetmelikte öngörülmemiştir. Aksine, yalnızca genel gerekçelerle sağlanır.
    Bir bildirim göndermek üzereyseniz, ancak yukarıdakiler bir şekilde sizi cezbettiyse, genel yönergeler basittir.
    1. Sanatın 2. Bölümünü dikkatlice okuyun (anlayın). 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Yasasının 22'si N 152-FZ "Kişisel Veriler Üzerine".
    2. Hangi kişisel verilerin ve nelerle bağlantılı olarak sizin tarafınızdan işlendiğini görün.
    3. Bazı durumlarda kişisel veri taşıyıcıları ile çalışmanızı düzenlemeniz gerekebilir. Ne demek istediğimi netleştirmek için size bir örnek vereyim.
    Kişisel verilerin işlenmesi hakkında bildirimde bulunmama olasılıklarından biri, Sanatın 2. bölümünün 2. paragrafında sağlanmıştır. Kanunun 22'si kulağa böyle geliyor
    kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesi ile bağlantılı olarak operatör tarafından alınan, kişisel verilerin dağıtılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmemesi ve tarafından kullanılması operatör, yalnızca belirtilen sözleşmenin yürütülmesi ve kişisel verilerin konusu ile sözleşmelerin yapılması için

    Yani, bir tür hizmet için bir bireyle bir anlaşma yaptınız. Bir kişinin numarasını aldı cep telefonu hizmetin hazır olduğunu belirtmek için. Çoğu durumda, sözleşmenin yerine getirilmesi amacıyla bir cep telefonu numarasına gerek yoktur. Bir müşterinin cep telefonu numarası müşteriden alınmışsa, kişisel verilerin işlenmesi için onun da onayı gerekir. Ancak bu durumda Kanun’da yer alan kişisel verilerin işlenmesine ilişkin bildirimde bulunmama istisnası kapsamına girmezsiniz.
    Bu kişiyle yapılan sözleşme, sözleşmenin yerine getirilmesi amacıyla bir cep telefonu numarasına sahip olunması gerektiğini belirtiyorsa, o zaman zaten istisna kapsamına girme hakkını talep ediyorsunuz.
    Sözleşmeyi yerine getirmek amacıyla bir cep telefonu numarasına sahip olma ihtiyacını şuna benzer bir şekilde yenebilirsiniz: "Kuruluş, müşteriyi x ... x telefon numarasıyla hazır olma durumu hakkında bilgilendirmeyi taahhüt eder ...".

    Tüm şirketler değil ve bireysel girişimciler kişisel veri operatörü olup olmadıklarını ve kendileri hakkında Roskomnadzor'a bilgi aktarmaları gerekip gerekmediğini bilmek. Hizmetin kimi daha yakından izlediğini ve kişisel bilgileri işlemeye başlama konusunda vatandaşları nasıl bilgilendireceğimizi anlayacağız.

    Veri denetleyicileri kimlerdir ve ne iş yaparlar?

    Çoğu kişi, kişisel verilerin (bundan sonra PD olarak anılacaktır) bir vatandaşın soyadı, adı ve soyadı, pasaportundan bilgiler, cep telefonu numarası, ikamet adresi, e-posta hakkında bilgiler içerdiğini bilir. Bu listeye başka hangi bilgiler dahil edilebilir? Görünüşe göre herhangi biri: kapsamlı bir liste hiçbir yerde sunulmaz ve prensipte olamaz. Bu, ifadeler tarafından onaylanmıştır. 27 Temmuz 2006 tarihli Federal Yasa No. 152-FZ:

    Kişisel veriler - doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir bilgi (kişisel verilerin konusu).

    Bazı durumlarda bir vatandaşın kimliğini tespit etmek için soyadı, adı ve araba numarasının yeterli olacağı, bazılarında ise numarasına da ihtiyaç duyulacağı ortaya çıktı. sürücü ehliyeti ve kayıt adresi.

    Kişisel veri operatörü bir eyalet veya belediye otoritesi, yasal veya bireysel, Hangi:

    • bağımsız olarak veya diğer kişilerle birlikte PD'nin işlenmesini organize eder ve/veya gerçekleştirir;
    • kişisel bilgilerle çalışmanın hedeflerini, bileşimini ve onunla eylemleri (işlemleri) belirler.

    Yani, PD talep eden ve kullanan herkes onların operatörüdür. Ve bir vatandaşın kimliğini belirlemek için kullanılabilecek bilgilere erişimi olan ve bunları işleyen herkes aslında PD ile çalışır ve onların korunmasına ilişkin yasaya uyulmamasından sorumludur.

    Kimin PD operatörleriyle ilişki kurabileceğini hayal edelim. Bankalar mı? Evet! Aboneler hakkında materyal toplayan siteler? Evet! Çeşitli hizmetler sunan hukuk ve muhasebe şirketleri? Evet! Bir bonus kartı satın almayı teklif eden dükkanlar ve güzellik salonları? Evet tekrar! HOA, üniversiteler, anaokulları, seyahat acenteleri, sağlık kurumları, otomatik sistemler, hükümet dahil? Evet evet evet! PD operatörleri - her yerde, her alanda!

    Kişisel verilerin işlenmesinde operatörün yükümlülükleri

    PD ile uğraşan herkes, bu tür bilgilerin toplanması, güvenliğinin sağlanması, açıklığa kavuşturulması, engellenmesi ve imha edilmesi konusunda belirli kurallara uymakla yükümlüdür. 152-FZ sayılı Kanuna göre operatörler şunları yapmalıdır:

    • PD'nin konusu ile açıklayıcı çalışma yapmak ve ayrıca kişisel bilgilerin işlenmesi için önceden onayını almak;
    • PD'nin işlenmesine ilişkin bir politikayı kamuya açık bir şekilde sunmak;
    • PD'ye yetkisiz veya kazara erişime, bunların imhasına, değiştirilmesine, engellenmesine, kopyalanmasına, dağıtılmasına karşı koruma önlemleri sağlamak;
    • PD öznesi, bilgilerin yasa dışı bir şekilde elde edildiğini veya belirtilen amacı elde etmek için gerekli olmadığını kanıtlarsa kayıtları imha edin;
    • yetkili bir organın veya bir PD öznesinin (temsilcisi) talebi üzerine bilgilere erişimi bloke edin.
    Kişisel veri operatörü olarak Roskomnadzor'a kayıt

    Kanun, PD ile çalışmaya başlamadan önce, yetkili denetim makamıyla iletişime geçilmesi ve kişisel bilgilerle işe başlandığının bildirilmesi gerektiğini öngörmektedir. Bu, her şirketin Roskomnadzor'un kişisel veri operatörlerinin kaydına dahil edilmesi gerektiği anlamına gelmez. Bu liste, aşağıdaki bilgileri işleyen kuruluşları ve kişileri içermez:

    • iş mevzuatına uygun olarak toplanır ve saklanır;
    • yalnızca akdedilmiş bir sözleşme kapsamında iletişim hizmetlerinin sağlanması için alınmış, PD konusunun izni olmadan üçüncü şahıslara dağıtılmaz veya sağlanmaz;
    • kurucu belgelerinde belirtilen hedeflere ulaşmak için bir kamu derneğinin veya dini kuruluşun üyelerini (katılımcılarını) ifade eder;
    • PD konusu tarafından kamuoyuna duyurulan;
    • PD öznelerinin yalnızca soyadlarını, adlarını ve soyadlarını içerir;
    • kuruluşun bölgesine tek bir geçiş izni vermek için gereklidir;
    • devlet otomatik bilgi sistemleri statüsündeki sistemlere ve ayrıca hükümet sistemleri Devletin güvenliğini ve kamu düzenini korumak amacıyla oluşturulan PD;
    • otomasyon araçları (bilgisayar) kullanılmadan işlenir;
    • ulaşım kompleksinin güvenli çalışmasını sağlamak için işlenir.

    Bu tür formülasyonlar göz önüne alındığında, kuruluşların çoğu artık Roskomnadzor tarafından tutulan kişisel verilerin işlenmesiyle uğraşan operatörlerin siciline dahil edilmemektedir. Yani, işverenler, iletişim hizmeti sağlayan şirketler, dini kuruluşlar, yalnızca sözleşmelerin ifası için PD alan kişiler ve diğerleri, PD'nin toplanması ve işlenmesi hakkında bildirimde bulunmak zorunda değildir. İstisnaların uygulanmadığı kişilerin denetim makamı listesinde yer alması gerekir.

    Kayıt prosedürü, belirli bir biçimde bir bildirimde bulunmaktan oluşur. Roskomnadzor'un kişisel verilerinin kaydı, kamu hizmetleri portalı veya kullanılarak bulunabilir. Rusya Telekom ve Kitle İletişim Bakanlığı'nın 21 Aralık 2011 tarihli N 346 tarihli Emri. Ücretsiz indirin istenen belge bu makalenin sonunda bulunabilir.

    • şirketin yasal biçimini gösteren tam ve kısaltılmış adı ile yasal ve posta adresleri, TIN;
    • kurucu belgelerde belirtilen veya fiilen gerçekleştirilen işleme amaçları;
    • işlenecek PD kategorileri;
    • yolcu, borçlu, abone, mudi, sigortalı gibi kişisel ilişkileri de dahil olmak üzere kişisel verilerinin işlenmesi planlanan kişiler;
    • işleme hakkının dayandığı temel (örneğin, makaleler Rusya Federasyonu Hava Kodu veya medeni durum hukuku yürütülen faaliyet türü için bir lisansın mevcudiyeti dahil olmak üzere, medeni durum eylemleri hakkında);
    • kullanılan PD işleme yöntemlerinin ve bunların listesinin açıklaması: otomatik olmayan, otomatikleştirilmiş veya karma işleme;
    • PD'nin işlenmesini organize etmekten sorumlu kişiler, telefon numaraları hakkında bilgiler, posta adresleri, e-posta;
    • şifreleme (kriptografik) araçları hakkında bilgi;
    • başlangıç ​​tarihi ve ayrıca PD'nin işlenmesini sonlandırmak için koşullar ve koşullar;
    • Rusya Federasyonu vatandaşlarının kişisel verileri hakkında bilgi içeren veritabanlarının bulunduğu ülke de dahil olmak üzere, verilerin işlenmesi sırasında nerede saklandığına ilişkin bilgiler;
    • belirlenen gerekliliklere uygun olarak PD güvenliğinin sağlanmasına ilişkin bilgiler 01.11.2012 N 1119 tarihli Rusya Federasyonu Hükümeti Kararı.

    Bir kişisel veri operatörünün Roskomnadzor web sitesine kaydının 30 gün içinde gerçekleştirildiğini unutmayın. teslim edilirse elektronik uygulama, şirketin bölge yetkilisine bildirimin ek bir basılı kopyasını göndermesi gerekecektir. Bilgiler yeterli değilse, yetkililer sunulan belgelerin açıklığa kavuşturulması için bir talep gönderecektir. Bildirimi kabul etmeyi reddetmek ve sicile kuruluş hakkında bilgi girmek imkansızdır.

    Kuruluş, çeşitli nedenlerle PD işleme amaçlarını değiştirmişse veya başka değişiklikler yapması gerekiyorsa, 10 gün içinde öngörülen biçimde Roskomnadzor'a bir mektup gönderir. Belge aşağıda görüntülenebilir. Ek olarak, PPT.ru okuyucuları, bir şirketi kayıttan çıkarmak için gereken belgenin biçimini indirebilirler.

    Bu durumda Roskomnadzor tarafından sağlanan tüm hizmetler ücretsizdir.

    Sicile kaydolmayı reddetme sorumluluğu

    Mevcut mevzuat, kişisel verilerin korunması gerekliliklerinin ihlali durumunda idari sorumluluk sağlamaktadır. Buna göre 7 Şubat 2017 tarihli ve 13-FZ sayılı Federal Yasa 1 Temmuz 2017'de yürürlüğe girdi. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesi kişisel veri operatörlerinin para cezasına çarptırılabileceği çeşitli suçlar vardır. Suça bağlı olarak, bu madde kapsamındaki tüzel kişiler için para cezaları 15 ila 75 bin ruble ve bireysel girişimciler için - 5 ila 20 bin ruble arasında değişmektedir.

    Sicile kaydolmayı reddetmek, denetim makamına bilgi sağlama konusunda bir başarısızlık olarak kabul edilebilir. Bu tarafından cezalandırılır Rusya Federasyonu İdari Suçlar Kanunu'nun 19.7 Maddesi. Buna göre, yetkililer 300 ila 500 ruble ve tüzel kişiler - 3.000 ila 5.000 ruble para cezası ile karşı karşıya.

    Muhasebede en önemli olduğu ortaya çıktı ve kredi başvuruları vb.

    Ancak bunun ne olduğu ve kimin hala bu tür bilgileri işleme hakkına sahip olduğu ve kimin olmadığı, bundan isteksizce bile nadiren bahsedilir.

    Sonuç olarak, kişisel verilerin denetleyicisinin kim olduğunu anlamak bazen zordur.

    - bu, onu belirli bir kişi olarak nitelendiren bir kişi hakkında bilgidir, genelleştirilmemiştir, bir grup insana uygulanamaz. Çoğu durumda, kişinin soyadı, adı, soyadı, doğum tarihi, kişinin kayıtlı olduğu ve yaşadığı adres hakkında konuşuyoruz; Medeni hal ve benzeri.

    Kişisel veri kavramı, 2006 yılında “Kişisel Veriler Hakkında”nın kabul edilmesinden sonra ticari dolaşıma girmiştir. Ayrıca, çeşitli durumlar için işleme izni düzeylerini belirlemenize olanak tanıyan bilgilerin farklı kategorilere ayrılmasını da sağlamıştır.

    1. Bir vatandaşın ırkı ve uyruğu, dini inançları, sağlık durumu ve mahrem yaşamına ilişkin bilgiler.
    2. Bir vatandaşı tanımlamanın yanı sıra, onun hakkında örneğin telefon numarası, ikamet yeri vb.
    3. Bir kişiyi diğerlerinden ayıran bilgiler - soyadı, adı ve tam doğum tarihi.
    4. Kamuya açık bilgiler, kural olarak kişiselleştirilmezler, ancak bazen yasalar uyarınca kamuya açık olması gereken bilgiler, örneğin hükümet temsilcilerinin gelirleri. Ayrı bir kategori, vatandaşın kendisinin sağlamayı kabul ettiği verilerdir, örneğin, adres ve telefon numarası yardım Masası 09.

    Genel olarak, “Kişisel Verilere Dair Kanun”, her vatandaşın dokunulmazlık hakkını güvence altına almak için tasarlanmıştır. Kişisel hayat ve ihlal durumunda koruma. Yukarıdaki sınıflandırmaya dayanarak, bilgi güvenliğini sağlamak için çeşitli gereksinimler vardır. İlk kategori için gereksinimler diğerlerinden daha katıdır.

    Kişisel verilerin operatörü kimdir?

    Kişisel veri operatörü - varlık, faaliyetleri gereği mevcut ve potansiyel müşteriler ve çalışanlar hakkında bilgilerle ilgilenir. Kuruluşun büyüklüğü ve sahiplik biçimi önemli değil.

    Uygulamada, bir operatör, ücretli emeğin olduğu herhangi bir kuruluştur. Ne de olsa, kendiniz hakkında oldukça ayrıntılı bir bilgi listesi içeren bir anket doldurmadan ve ayrıca kişisel belgeler göndermeden istihdam imkansızdır ve hepsinin kopyaları yapılır, bilgiler girilir. Muhasebe yazılımı vesaire.

    Rusya Federasyonu mevzuatının operatörler için temel şartı, kuruluşun faaliyetleri sırasında aldığı verilerin güvenliğini sağlamaktır.

    Korumanın sağlandığı normlar, söz konusu yasada belirlenir ve düzenleyiciler olarak adlandırılan normatif yasalarla da belirlenebilir.

    Bir kuruluşun bildirimde bulunmaksızın kişisel verilerle çalışma hakkını aldığı durumları düzenleyen belirli bir prosedür vardır:

    • şirketin yalnızca istihdam ilişkisi için gerekli olan bilgileri işlemesi durumunda;
    • kamu verileri işlendiğinde;
    • sadece soyadı, adı, soyadı işleniyorsa;
    • örneğin geçiş izni vermek için bir kez kullanıldıklarında;
    • işleme için bilgisayar teknolojisi kullanılmıyorsa.

    Diğer tüm kuruluşların, özel bir sicile girildikleri benzersiz bir kayıt numarası almalarının bir sonucu olarak kayıt olmaları gerekmektedir.


    Belirli bir tüzel kişinin kişisel verileri talep etme veya saklama hakkına sahip olup olmadığı her zaman açıklığa kavuşturulabilir.

    Örneğin, bu tür sorular genellikle kredi kurumları, operatörler ile ilgili olarak ortaya çıkar. hücresel iletişim ve benzeri.

    Bu nedenle, “kişisel veri işleyen” kuruluşlara, profesyonel aktivite sadece kamuya açık bilgileri değil, aynı zamanda seri, pasaport numarası, ikamet adresi vb. gibi bilgileri de toplar ve işler.

    Kişisel verileri işleme hakkının elde edilmesi

    Kişisel verilerin saklanması ve aktarılmasının güvenliğini sağlamak için, bu tür bilgilerin toplanması ve saklanması ile ilgili kuruluşlar için bir tasdik ve lisans alma prosedürü sağlanmaktadır.

    Lisans almak için, bir işletmenin yalnızca çalışanları eğitmesi değil, aynı zamanda teknik araçlar koruma.

    Prosedür, en önemlilerinin tanımlanabileceği birkaç aşamadan oluşur.

    • araçları (bilgisayarları) kullanarak verileri işleme niyetini ilgili makamlara bildirmek;
    • mevcut bilgi sistemlerinin ön incelemesinden geçmek;
    • altyapıyı dikkate alarak bir koruma sistemi tasarlamak bilgisayar Teknolojisi ve diğer otomasyon araçları;
    • koruyucu ekipman satın almak ve uygulamak;
    • tüm tesisleri yangın güvenliği, güvenlik, güç kaynağı vb. gerekliliklerine uygun hale getirin.
    • kişisel verilerin korunması ve sertifikasyonu alanında çalışanlara ileri eğitim vermek.

    Sonuç olarak, bilginin iletimi ve iletişim hatları aracılığıyla iletilmesi sırasında korunması için etkili bir sistemin varlığını garanti etmek mümkündür.

    Yukarıda açıklanan tüm eylemlerin yalnızca kişisel verilerin işlenmesine uygulanabileceğini belirtmekte fayda var. elektronik formatta saklanan veya iletilen bilgiler için potansiyel olarak güvensizdir.

    Kişisel veri operatörlerinin faaliyetlerinin kontrol edilmesi

    Tüm kişisel veri operatörlerinin çalışmaları yalnızca yasal düzenlemelerle düzenlenmez, aynı zamanda örneğin faaliyetlerinden etkilenen bir vatandaşın talebi üzerine hem planlı hem de seçici olarak düzenli kontrollere tabi tutulur.

    Birçok denetleyici ve kolluk kuvveti, kişisel verilerin korunması yasasına uygunluğun izlenmesine dahil edilmelidir, ancak çalışmalarının özellikleri nedeniyle, bunlardan yalnızca üçü öne çıkmaktadır (düzenleyici olarak adlandırılırlar):

    • Roskomnadzor - işlevleri, yasanın herhangi bir düzenleyici gerekliliğine uygunluğun kontrol edilmesinin yanı sıra teftişlerin yürütülmesini içerir;
    • FSTEC (Federal Teknik ve İhracat Kontrolü Hizmeti) - görevleri arasında, her şeyden önce, kuruluşun kendi bilgisayarlarında bulunan verilerin ve ayrıca şifrelenmeden depolanıp iletildiklerinde iletim kanallarının korunması;
    • FSB (Federal Güvenlik Hizmeti) - şifreleme işleme ve iletim araçlarının kullanımını kontrol eder kişisel bilgi geliştirme ve dağıtım dahil.

    Belirli bir kuruluşun kişisel bilgi operatörlerine karşı tutumunu kendi başınıza da kontrol edebilirsiniz.

    Roskomnadzor web sitesinin kişisel verileri işleyen operatörlerin siciline erişimi vardır, bu bağlantıda mevcuttur.

    Bilgileri görüntülemek için ilgili alana ilgilenilen işletmenin adını veya sicil numarasını veya kimlik numarası vergi mükellefi (TIN).

    Böylece verilerin yasal olarak talep edilip edilmediğini öğrenebilirsiniz. Kuruluş listede yoksa, belki de Roskomnadzor bunu yapmalı ve ya kayıt defterine dahil etmeli ya da vatandaşlar hakkında yasadışı bilgi toplanmasını yasaklamalıdır.

    Kişisel veri operatörlerinin doğrulanması, vatandaşların talebi üzerine veya örneğin, kuruluşun faaliyetlerinin denetiminin bir parçası olarak Roskomnadzor'a başvurabilen savcılığın inisiyatifiyle gerçekleştirilir.

    Vatandaşların bilgilerinin işlenmesindeki ihlaller için sorumluluk sağlanır. İşlenen fiillerin ağırlığına göre idari, disiplin veya cezai yaptırımlar söz konusu olabilir.

    Genel olarak, kişisel verilerin bir kredi veya böyle bir hak talep eden başka bir kuruluşta işlenmesine izin vermeden önce, öncelikle bir operatör olarak kayıtlı olduğundan emin olmak daha iyidir, bu da onların güvenli bir şekilde saklanması için her şeye sahip olduğu anlamına gelir.

    Bu özellikle küçük işletmeler, örneğin küçük krediler sağlayanlar için geçerli olabilir.

    Tabii ki, böyle bir onay olmadan, bu tür kuruluşlar genellikle hizmetleri reddeder, ancak bunda yanlış bir şey yoktur, çünkü. Rekabet oldukça yüksek ve her zaman başka bir uygun seçenek bulabilirsiniz.

    2006 yılında "Kişisel Verilere Dair" Federal Yasanın kabul edilmesinden bu yana, bazı hükümleri ve kavramları operatör çalışanları için hala belirsizdir. İfadenin görünüşteki belirsizliği bazen, Kanunun saçmalığını veya tutarsızlığını kanıtlamayı amaç edinmiş olan bireysel aktif vatandaşlar için spekülasyon konusu haline gelir.

    Bazı analistler, Kanun'un belirli formülasyonlarını manipüle ederek (bazen bağlamından koparılarak), biçimsel mantığın ilkelerine dayanarak (bir bilim olarak hukuk söz konusu olduğunda her zaman adil değildir), olası çarpışmaları modelleyerek, beklenmedik ve yanlış sonuçlara varırlar.

    Bu sonuçların tehlikesi, katılımcıların bilgi yasal ilişkilerinde yönünü kaybetmesinde ve ayrıca şüpheli beyanların benimsenmesinin, operatörlerin faaliyetlerini Kanuna uygun hale getirme çalışmalarını engellemesi ve gereklilikleri ihlal etmeleri için koşullar yaratmasında yatmaktadır. Hukukun.

    Bu tür sorunlu konular, kişisel veri operatörünün tanımını içerir. Bir operatör, kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirlemenin yanı sıra, PD'nin işlenmesini organize eden ve (veya) gerçekleştiren bir devlet, belediye organı, tüzel kişilik veya bireydir (Federal Yasanın 3. Maddesi, 152). Görünüşte açık ve tartışılmaz görünen bu tanım pratikte bazen operatörleri yanıltmaktadır. Bu yanılgının özü şudur: "işlemi yapan kişi her zaman operatör değildir". Sanrının sebebi “ve ayrıca” ifadesindedir. Bu "ve ayrıca", bazıları tarafından, bireysel operatörlerin 152 sayılı Federal Yasanın gerekliliklerine uyma yükümlülüğünden kaçınmasına izin verecek gerçeğin ta kendisi olarak görülüyor. Paradoksal olarak, birçok operatör hala operatör olmadıklarına inanıyor. Bu ifadeyi doğrulamak için aşağıdaki argümanlar verilmiştir: PD işleme ihtiyacı belirlenir Federal yasa(veya "üst kuruluşlar tarafından kurulan"), bu nedenle işleme amaçları, işlemeyi gerçekleştiren kişi tarafından belirlenmemiştir veya belirlenmemelidir (amaçların belirlenmesine gerek yoktur veya herhangi bir yetki yoktur).

    Özü şu soru olan bu sorunu ele almaya çalışalım: PD işlemenin amacını belirlemek bir işaret mi yoksa operatörün bir yükümlülüğü mü?

    Bu nedenle, bir operatörün yalnızca ve münhasıran aşağıdaki iki kriteri aynı anda karşılayan kişi olduğu görüşü vardır:
    Bu kişi, PD'nin işlenmesini (veya her ikisini aynı anda) organize etmeli veya fiilen gerçekleştirmelidir;
    Bu kişi, PD işlemenin amaçlarını ve içeriğini belirlemelidir.

    Bu nedenle, PD işlemenin amacını belirleme gerekliliği, operatörün temel özelliği olarak kabul edilir.

    Bu makalenin hazırlanması sırasında filologlar, söz konusu tanımın dilbilimsel bir analizini yaptılar. Analizin sonuçları aşağıda gösterilmiştir.

    Hedefin tanımı ana işlev olamaz, çünkü bu işlev cümlenin homojen üyeleri dizisinde adlandırılır ve onu kapatır. Dahası, cümlenin bu homojen üyesine, ek bir anlamı olan “ve ayrıca” bağlacı eklenir, örneğin: İşimden, başarımdan, şöhretimden, arkadaşlarımın işinden ve başarısından huzur içinde keyif aldım "(P ). - bkz. Valgina N.S., Rosenthal D.E., Fomina M.N. Modern Russian Language Textbook: Moscow, Logos, 2006.

    Russian Grammar da aynı anlam hakkında yazıyor (M, 1980, cilt II):

    § 2079. Bağlayıcı ilişkiler, bağlantıya dayalıdır: serinin ikinci üyesi ek bir karaktere sahiptir; genellikle ayrı bir sözdizimine ayrılır; dizi üyelerinin sırası kesinlikle gereklidir. Aksesuar ilişkileri (ekleme veya büyütme tonlarıyla), bileşik sendikalar ve birliğin bir somutlaştırıcı ile kombinasyonları ile ifade edilir: ve ayrıca ve ayrıca ve ayrıca ve ayrıca (dahası): Yaşlı bir bayan bir arabada oturuyordu ve hatta bir genç kız (Tyn.); Raporlar mükemmel bir sırayla ve ayrıca zamanında teslim edildi (gaz.).

    Not. Sendikalar ve ayrıca, her ikisi de ... ve dereceli ve bağlantılı ilişkileri ifade etme yeteneğine sahiptir, ancak genellikle daha geniş anlamda kullanılır - bağlantı veya karşılaştırma: Bu Vyun alışılmadık derecede saygılı ve şefkatlidir, hem kendisine hem de başkalarına eşit derecede şefkatle bakar, ancak kredi kullanmaz (Çek.); Tesis, ürünlerin (gaz) hem miktarı hem de kalitesi açısından yüksek oranlar elde etmiş; Müzik okulunun öğrencileri genellikle okullarda, kültür saraylarında ve ayrıca işletmelerin atölyelerinde (gaz.) Konserler verir.

    Ancak birlikte belirtilen "ve (veya)" sendikaları, bunlarla bağlantılı homojen bir dizinin üyelerinin birlikte var olabileceği ("işlemeyi organize etme ve gerçekleştirme") veya seçilebileceği anlamına gelir (dizilerden biri: "düzenleme veya düzenleme") işlemenin yürütülmesi”).

    Verilen dilbilimsel analiz, PD işlemenin amacının belirlenmesinin operatörün vazgeçilmez bir özelliği olduğu iddiasının temelsizliğini göstermektedir. Aynı zamanda, bu analiz, bu iddianın ahlaksızlığının tek kanıtı değildir.

    Çeşitli yayın türlerinin içeriğinden ve ortaya çıkan kanun uygulama uygulamasına dayanarak, PD konularının (bundan sonra Roskomnadzor olarak anılacaktır) haklarını korumaya yetkili organın incelenen soruna karşı tutumu hakkında da sonuca varabiliriz. Roskomnadzor, operatörün her şeyden önce PD ile herhangi bir işlemi gerçekleştiren kişi olduğuna inanıyor. Aynı zamanda, işleme olgusu nedeniyle, "işleyici" de bu tür işlemenin amaçlarını belirleme yükümlülüğüne sahiptir. Onlar. aslında, işleme amacının belirlenmesi, "operatörün ana özelliği" değil, daha çok işlemenin bir sonucudur veya işlemenin bu tür ayrılmaz bir parçasına duyulan ihtiyaç, PD'nin işlenmesinden kaynaklanan birincil yükümlülüktür.

    Belirtilen görüşün geçerliliği, 152 sayılı Federal Yasa normlarının sistematik bir analizi ile de doğrulanmaktadır. Uygulama kapsamını tanımlayan Yasanın 1. Maddesi ile başlamalıyız. Adı geçen madde, kanunun çeşitli organlar, tüzel kişiler ve bireyler tarafından yürütülen PD'nin işlenmesine ilişkin ilişkileri düzenlediğini belirtmektedir. İşleme kavramı, Federal Yasa 152'nin 3. maddesinin 3. paragrafında verilmiştir. Bunlar, toplama, sistematikleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarım dahil), duyarsızlaştırma , engelleme, kişisel verilerin imhası. Yukarıdakilerden, belirli bir kişinin aşağıdakilerden herhangi birini gerçekleştirmesi durumunda listelenen eylemler 152 sayılı Federal Yasanın düzenlemesine tabi olan halkla ilişkilere (Kanun'un 1. maddesinin 2. Kısmında öngörülen istisnalar kapsamına girmediği sürece) a priori katılımcı olur. Bu kişiye "Kişisel Veriler Üzerine" Federal Yasa açısından nasıl çağrılmalıdır? Seçim küçük. Bu kişi operatör olarak anılmalıdır.

    Dolayısıyla, belirli bir kişi PD'nin işlenmesini gerçekleştirir (veya gerçekleştirme niyetindedir). 152 Sayılı Federal Kanun'un 5. maddesine göre, PD'nin işlenmesi Kanun'da belirtilen esaslara uygun olarak yapılmalıdır. İlkelerin içeriğinin analizi, PD'nin işlenmesinin temel dayanağının, işleme amaçlarının belirlenmesi olduğu sonucuna götürür. Her bir ilkenin özüne bile girmeden, sadece 5. Maddenin üstünkörü bir okumasıyla, maddenin her paragrafında “amaç” (“amaçların yasallığı”, “amaçlara uygunluk”, “yeterlilik” terimlerini görüyoruz. amaçlar için” vb.). Bu dikkat yoğunluğu yasa koyucu tarafından şans eseri uygulanmaz. Kanun, PD işleyen bir kişinin, PD öznelerinin haklarını korumaya yetkili organı PD öznelerini işleme amaçları hakkında bilgilendirmesini şart koşar. Kanun, PD'nin işlenmesine ilişkin faaliyetleri, hem Kanunla korunan anayasal hak ve özgürlüklerin taşıyıcısı olan bir kişi hem de özne olarak insan haklarını korumaya yönelik mekanizmaların uygulanmasını sağlayan devlet organları için şeffaf ve anlaşılır kılmayı amaçlamaktadır. PD'nin. Kişisel verilerin "amaçsız" işlenmesinin kabul edilemezliği fikri (kişisel verilerin "aynen böyle", "kişinin belirsiz ihtiyaçları için", " genel gelişme”, “kendim için” vb.).

    Kanun'un 5. maddesinde yer alan ikinci ilkeye göre ise, bir kişi KV işleme niyetindeyse, bu işleme amaçlarının önceden (işlemeye başlamadan önce) belirlenmesi ve beyan edilmesi gerekir. Ters mantıksal akıl yürütme zinciri, belirli bir işleme amacının yokluğunda PD ile herhangi bir eylemin uygulanmasının, işleme ilkelerinin ihlali olduğu ve bu nedenle, ihlal için bir ön koşul olan Yasanın ihlali olduğu sonucuna götürür. Bir kişinin ve bir vatandaşın anayasal hak ve özgürlükleri.

    2. paragrafta belirtilen normun yorumlanması. 152 sayılı Federal Yasa'nın 3. maddesi, hedefin belirlenmesinin operatörün sorumluluğunda olmadığı, onu bu şekilde tanımlayan ayrılmaz bir özellik olduğu bağlamında, kaçınılmaz olarak aşağıdaki paradoksal sonucu doğurur. gibi organlar Emeklilik fonu Rusya Federasyonu, Zorunlu Sağlık Sigortası Fonu, Federal Vergi Servisi, Federal Göç Servisi ve PD ile yapılan işlemler bağlamı dahil olmak üzere sorumlulukları doğrudan federal yasa tarafından tanımlanmış ve detaylandırılmış diğer birçok devlet kurumu. Göz önünde bulundurulan öncül ayrıca, telekom operatörlerinin PD operatörleri olmadığı sonucuna varmaktadır, çünkü abonelerin PD'lerini toplama amacı "İletişim Yasası" ve tüzüklerde - yani iletişim hizmetleri sağlayan belirli bir kişi tarafından değil, devlet tarafından belirlenir. Aynı durum, suçtan elde edilen gelirlerin yasallaştırılmasına (aklanmasına) karşı koymak için PD ile birlikte başka işlemler yapan ve toplayan kredi kurumları, sigorta ve diğer kuruluşlar için de geçerlidir; bu kuruluşların kendileri tarafından değil, “Suç Gelirlerinin Aklanmasıyla Mücadele Edilmesi Hakkında Kanun”da açıkça öngörülen amaçlar için. Liste, yalnızca bir yasa normunu mutlaklaştırarak ve gerçek sosyal ilişkiler üzerinde gerçek yorumunu denemeye çalışırken saçmalık noktasına ulaşarak süresiz olarak devam ettirilebilir.

    152 sayılı Federal Yasanın 18. Maddesi, operatörün PD toplarken yükümlülüklerini belirler. Bunlar, her şeyden önce, operatörün, PD konusuna, PD'sini işleme amaçları da dahil olmak üzere, talebi üzerine bilgi sağlama yükümlülüğünü (Federal Yasanın 14. Maddesi 152) içerir. Kanun, bu yükümlülüğü tesis ederken, herhangi bir federal kanuna dayanarak PD işleyen operatörler için bir istisna yapmaz.

    Böylece, yukarıda belirtilenler ışığında, Kanun bağlamında, Kİ'nin işlenmesinin amacının belirlenmesinin, mülkiyeti bunu yapan işaretlerden biri olmaktan ziyade, Kİ'yi işleyen kişinin sorumluluğunda olduğu ortaya çıkmaktadır. kişi bir operatör.

    Hedefin "tanımı" nedir? "Tanım" kelimesinin anlamını anlamak, bu kuralın uygulanmasının imkansız olduğu hukuk devletinin içeriğini anlamak için önemlidir. Kanun koyucu, Kanunun kendisinde “amacın belirlenmesi” kavramını ifşa etmeyi gerekli görmediğinden, hukuk teorisinde tanınan yorumlama yöntemlerinden biri olan sözcüksel (dilbilimsel) yorumlamaya dönelim.

    Buna göre açıklayıcı sözlük Rus dili, prof tarafından düzenlendi. D.N. Ushakova, araçları tanımlayın
    Kesin olarak öğrenin, bilgilendirin;
    Bir kavramın bilimsel, mantıksal bir tanımını, formülasyonunu verin, içeriğini ortaya çıkarın;
    Karar ver, bir konuda karar ver;
    Bir şeyin gelişimi, oluşumu, önceden belirlenmiş, durumu için bir sebep olarak hizmet edin;
    Belirtmek, belirtmek.

    Bu nedenle, PD işleme amacının tanımı, PD işlemenin bir nedeni olarak bu özel amacı (hedefleri) belirten, açıklaması, seçimi, çeşitli olası amaçlardan izolasyonu, ayarlanması veya atanması olarak anlaşılabilir.

    Federal Yasa 152'nin içeriğinin bağlamsal analizi, diğer hukuk kaynaklarıyla anlamsal bağlantılarının belirlenmesi, bireysel PD operatörleri ve (veya) belirli PD konu kategorileri için PD işleme amaçlarının fiilen önceden belirlenebileceği veya önceden belirlenebileceği sonucuna varmamızı sağlar. doğrudan kanunlarda veya tüzüklerde belirtilmiş olsa bile (örneğin İş Kanunu, işverenlere çalışanların kişisel verilerinin işlenme amaçlarını özellikle belirtir). Belirli TO'ların diğer operatörler tarafından işlenmesinin amacı, onların sözleşmeden doğan yükümlülüklerinden kaynaklanmaktadır. Bazı durumlarda, PD'nin işlenme amaçları, operatörün ticari faaliyetlerinin içeriği ve kanun hükümleri tarafından aynı anda belirlenebilir (iletişim operatörleri, kar elde etmeyi amaçlayan kendi yasal faaliyetlerini yürütmek için, PD'yi işlemek için iletişim hizmetleri sağlamak ve “İletişim Yasası” uyarınca) .

    Bu nedenle, PD'nin işlenmesini gerçekleştiren kişinin birincil görevi, PD'nin işlenmesinin amaçlarının tam olarak sözlü olarak ifade edilmesi ve özellikle kendisi için bireylerin PD'sinin işlenmesini tam olarak neyin belirlediğini kendisi için açıklığa kavuşturmaktır. Bu sorunun cevabının formülasyonu aslında PD işlemenin amacının tanımı olacaktır.

    Bu makalede ele alınan sorun bağlamında, Rusya Federasyonu Hükümeti'nin 152 sayılı Federal Kanun'da yapılan değişikliklere ilişkin görüşü ilgi çekicidir. Diğer şeylerin yanı sıra, bu kanun taslağı "operatör" kavramının yeni bir ifadesini önermektedir, yani:

    "operatör - kişisel verileri işleyen ve ayrıca kişisel verilerin işlenmesinin amaçlarını, içeriğini ve prosedürünü belirleyen bir devlet organı, belediye organı, tüzel kişi veya kişi." Gördüğünüz gibi, “organizasyon” kelimesi mevcut ifadeden çıkarılmıştır. Rusya Federasyonu Hükümeti, bu yasa tasarısına verdiği resmi yanıtta, "kişisel verileri işleyen ancak işlemenin amaçlarını ve içeriğini belirlemeyen kişiler operatör olarak kabul edilemeyeceğinden, böyle bir değişikliğin desteklenemeyeceğini" belirtmektedir. Rusya Federasyonu Hükümeti'nin yukarıdaki sözlerinden, bugün (yasanın ifadesi henüz değişmediğinde), Rusya Federasyonu Hükümeti'nin görüşüne göre, bir operatörün PD'yi işleyen herhangi bir kişi olduğu anlaşılmaktadır. bu tür işlemenin amaçlarını kendisinin belirlediği gerçeğinin varlığı veya yokluğuna bakılmaksızın.

    Bu nedenle, bu makalede yapılan analiz, birkaç sonuç çıkarmamızı sağlar.
    PD işlemenin amacının belirlenmesi, operatörün sorumluluğundadır ve operatörün zorunlu bir tanımlayıcı özelliği değildir.
    FV işleme amacının tespiti, bu amaçların önceden belirlenmiş ve/veya kanun hükümlerinden veya kendisine verilen yetkilerden kaynaklandığı haller de dahil olmak üzere, FV işleme amacının işletmeci tarafından anlaşılması, anlaşılması, belirtilmesi ve sözlü olarak ifade edilmesi işlemidir. operatör.

    Devamını oku: