Persondataoperatøren er Funktioner og ansvar, funktioner

2024 Forfatter: Howard Calhoun | [email protected]. Sidst ændret: 2023-12-17 10:22

Persondataoperatør - hvem er det? Ikke alle ved, hvad det er for en aktivitet. I mellemtiden, i teknologiens tidsalder, efterspørges det i stigende grad. Så hvem er operatøren af personlige data? Lad os tale om det i artiklen. Og for at gøre det klarere, lad os starte med en definition.

Definition

En persondataoperatør er en fysisk eller juridisk person, såvel som en kommunal eller statslig institution, der behandler og modtager personoplysninger, bestemmer formålene og procedurerne for de leverede data.

Operatøren har ret til at arbejde selvstændigt eller kan henvende sig til tredjeparter for at få hjælp. Sidstnævnte betragtes også som operatører i dette tilfælde.

Hvad er personlige data

Vi fandt ud af, hvem der behandler personlige oplysninger. Dette er operatøren af personlige data. Men hvad menes der med persondata? Loven har ikke en liste, der klart kan besvare dette spørgsmål. Som regel omfatter personoplysninger pasdata, identifikationsnummer, anciennitet, stedregistrering og bopæl, arbejdsplads, familiesammensætning, uddannelse. I sjældne tilfælde kan dette omfatte data om fordele eller helbredsstatus.

Faktisk er en persondataoperatør en institution, der accepterer personlige oplysninger fra en person. Selvom dette kun er pasdata, betragtes organisationen stadig som operatør af personlige data.

De mest berømte eksempler på sådanne operatører kan gives. Det er banker, der arbejder med kunder og information om skatteydere, rejsebureauer. Dette omfatter også websteder, der kræver oplysninger om abonnenten for registrering, butikker, hvor der udstedes rabatkort. Listen omfatter også klinikker, der har adgang til lægekort. Dette er ikke en endelig liste, det er simpelthen umuligt at liste alle organisationer og institutioner, der behandler personlige oplysninger.

Hvor oplysningerne findes

Naturligvis skal en sådan mængde information være indeholdt et eller andet sted. Af denne grund blev der indført et register over persondataoperatører. Dette er en specifik base for Roskomnadzor, som afspejler alle juridiske enheder og enkeltpersoner, der betragtes som operatører.

For at blive inkluderet i databasen er det nok at selvstændigt erklære til Roskomnadzor-myndighederne ved at indsende en skriftlig ansøgning eller sende en e-mail. Og du kan også underrette myndighederne på virksomhedens brevpapir. Denne procedure blev beskrevet detaljeret i ordre fra det russiske ministerium for telekommunikation og massekommunikation i 2011.

Da alle operatører er inkluderet i registeret over persondataoperatører, er de forpligtet til at underrette Roskomnadzor om alle ændringer,der vedrører operationer med personoplysninger, deres behandling. Sidstnævnte kontrollerer til gengæld operatørernes arbejde og udfører periodisk kontrol.

Listen over Roskomnadzors persondataoperatører er tilgængelig for alle, den kan ses på tjenestens officielle hjemmeside.

Myndigheden kan i øvrigt ikke nægte at optage en juridisk eller fysisk persons register. Sker det, så overtræder tjenesten loven, hvilket betyder, at der pålægges en bøde til Roskomnadzor. Beløbet af sidstnævnte kan nå op på fem hundrede tusinde rubler.

operatørernes forpligtelser

Som med enhver aktivitet er arbejdet med personlige oplysninger underlagt forpligtelser og rettigheder. Overvej persondataoperatørernes ansvar.

Roskomnadzor forpligter sig til at underrette tjenesten om, at de er begyndt at behandle oplysninger. Denne forpligtelse er pålagt i overensstemmelse med artikel 22 i loven "om personoplysninger". Meddelelsen skal indeholde følgende oplysninger:

1. Operatørens adresse, navn eller fornavn, efternavn, patronym.
2. Grundlag for behandling af personlige oplysninger.
3. Personlige oplysninger kategori.
4. Kategori af emnet, hvis personoplysninger skal behandles.
5. Link til regulatoriske dokumenter, der tillader behandling af oplysninger.
6. Liste over handlinger, som operatøren vil udføre til behandlingen af personoplysninger, samt en beskrivelse af de metoder, som han vil bruge i processen.
7. Truffet foranst altninger for at beskytte oplysninger.
8. Navn på juridisk enhedperson eller navn, efternavn og patronym for den person, der er ansvarlig for at tilrettelægge behandlingsprocessen. Derudover skal kontakttelefonnumre, e-mailadresse og postadresse angives.
9. Dato, hvorfra databehandlingen begynder.
10. Vilkår for behandling og betingelser for opsigelse.
11. Oplysninger om, hvorvidt der er en grænseoverskridende dataoverførsel på behandlingstidspunktet.
12. Oplysninger om, hvor databasen er placeret, som indeholder personlige oplysninger om borgere i vores land.
13. Data om informationssikkerhed, og om de opfylder kravene fastsat af vores lands regering.

Dette betyder ikke, at persondatabehandlere i nogen situation skal underrette Roskomnadzor. Der er tidspunkter, hvor dette slet ikke er nødvendigt. For eksempel er der ikke behov for underretning, hvis en arbejdsgiver behandler oplysninger om sine ansatte. Dette omfatter også den situation, hvor der indgås en kontrakt med en kunde om noget. I dette tilfælde fungerer reglen kun, så længe oplysningerne ikke gives til tredjemand uden kundens samtykke. Der er ingen grund til at skrive en meddelelse til dem, der udsteder et engangspas til et eller andet område, behandler de data, der er frit tilgængelige, kun bruger en persons fornavn, efternavn og patronym.

Roskomnadzors register over persondataoperatører pålægger en forpligtelse i form af at sikre fortroligheden af personlige oplysninger. Det vil sige, at det er umuligt at distribuere nogen information om en person uden hans samtykke. detet af hovedkravene til operatører.

Arbejdsgivernes forpligtelser

Der er punkter, som arbejdsgivere skal overholde ved overførsel af data:

1. Udgiv ikke oplysninger om en medarbejder til tredjeparter uden dennes samtykke. Det er vigtigt at huske, at samtykke skal gives skriftligt. Men dette gælder ikke for situationer, hvor udgivelse af information hjælper med at forhindre en trussel mod en medarbejders helbred og liv, eller det er påkrævet at overføre data til offentlige tjenester. Sidstnævnte omfatter pensionsfonden, retshåndhævende myndigheder, den føderale retstjeneste, militærkommissariater, anklagemyndigheden og andre organer.
2. Advar personer, der modtager personlige oplysninger, om, at de kun kan bruges til det tilsigtede formål. I øvrigt har arbejdsgiveren al mulig ret til at kræve bekræftelse af overholdelse af denne regel.
3. Overfør personlige data inden for kun én virksomhed eller én iværksætter. Dette bør ske i overensstemmelse med et internt dokument, som medarbejderen har studeret og underskrevet under det.
4. Tillad kun autoriserede personer at håndtere personlige oplysninger. Dette betyder ikke, at disse mennesker kan anmode om nogen information, de har kun ret til at bruge de data, der er nødvendige for at udføre visse opgaver.
5. Rør ikke ved en medarbejders helbred, hvis dette ikke påvirker hans direkte arbejdsopgaver.
6. Begræns de oplysninger, som en medarbejderrepræsentant modtager, til kun det, der er nødvendigt for at udføre de funktioner, der er specificeret af repræsentanten.

Alle disse normer er defineret af loven "om personlige data" og nogle artikler i arbejdsloven. Lad os vende tilbage til registret over persondataoperatører i Roskomnadzor og deres pligter.

Andre pligter

Vi har allerede nævnt ovenfor, hvad operatører skal gøre. Lad os vende tilbage til dette problem.

Operatører er forpligtet til at tage skridt til at sikre sikkerheden af personlige oplysninger. Til dette formål udvælger virksomheden en person, der er ansvarlig for at tilrettelægge behandlingen af personoplysninger. Denne person skal kontrollere udførelsen af opgaver af operatøren af personoplysninger, overholdelse af sidstnævntes krav til sikkerheden ved brug af information. Samme person er forpligtet til at gøre de ansatte, der er involveret i behandlingen, bekendt med de nye ændringer af loven "om personoplysninger" samt interne love om behandlingsspørgsmål. Han har også til opgave at tilrettelægge behandlingen af klager og anmodninger fra personer, hvis data behandles, samt modtagelsen af disse klager. Ud over orientering er det nødvendigt at overvåge brugen af teknisk sikkerhedsudstyr og udstede dokumenter, der regulerer virksomhedens politik på dette område.

Med hensyn til persondataoperatørens politik bør den være offentlig. For at gøre dette lægges dokumentet på operatørens hjemmeside, og alle, der har brug for det, kan sætte sig ind i det. Hvis siden ikke er tilgængelig, kan du installere en stand med de nødvendige oplysninger på et sådant sted, at alle kunder og besøgende i organisationen kan sætte sig ind i det.

Det er vigtigt at huske det forfor de persondataoperatører, hvis dokumenter rekvireres via internettet, er muligheden kun mulig med offentliggørelse på hjemmesiden. På Roskomnadzors hjemmeside kan du finde information om operatørens politik.

Ofte er der en substitution af begreber om virksomhedens politik og bestemmelserne om opbevaring, beskyttelse og behandling af personoplysninger. Det sidste dokument betragtes som en intern handling, så det er kun ansatte i virksomheden, der stifter bekendtskab med det, hvorefter de underskriver det.

Et andet ansvar for operatøren er at overholde kravene til lokalisering af personlige oplysninger om borgere i vores land. Faktum er, at siden 2015 er alle operatører, mens de indsamler personlige oplysninger, forpligtet til at behandle dem ved hjælp af databaser, der er placeret i vores land. Så snart loven blev vedtaget, var der mange uklarheder, men med tiden blev de løst. Nu vides det med sikkerhed, at f.eks. operatører af persondata ved kommunikation er forpligtet til at bruge informationsdatabaser.

Den sidste pligt er behovet for at stoppe med at behandle personlige oplysninger i tide. Hvis oplysningerne er blevet brugt, og den person, hvis data blev behandlet, beslutter at trække samtykket til behandlingen tilbage, skal operatøren stoppe behandlingen af oplysningerne og slette dem inden for en måned. Det er vigtigt at forstå, at et andet vilkår kan være angivet i aftalen, hvorfor det er så vigtigt at læse dokumenterne.

Operatørrettigheder

Udover pligter har operatører deres egne rettigheder. Sandt nok er de få, men ikke desto mindre bør de ikke glemmes. Listen over persondataoperatører giver sidstnævnte kun énret til at modtage information om lovændringer, hvis de vedrører persondata.

Hvem er inkluderet i databasen

Vi har allerede sagt ovenfor, at ikke alle behøver at blive optaget i registeret over persondataoperatører. Hvem skal indgive underretningen?

1. Internetressourcer. Dette omfatter portaler, sociale netværk, fora, fordi registrering kræver personlige data, om end lidt.
2. Online shopping. De har brug for dette, fordi købere efterlader et kontakttelefonnummer til et tilbagekald eller postadresse, når de bestiller.
3. Websteder, der offentliggør information om emnet eller sender det til e-mail. Og også her kan du inkludere de websteder, der allerede indeholder personlige oplysninger.
4. Organisationer, virksomheder eller iværksættere, der konstant behandler data. Disse er regnskabs- og juridiske kontorer, rejsebureauer, bolig- og kommunale tjenester, registratorer, registratorer, medicinske institutioner og banker, uddannelsesinstitutioner, virksomheder, der leverer tjenester og udsteder klubkort.
5. Organisationer, der arbejder under civilretlige kontrakter med freelancere.
6. Virksomheder, der bruger CRM-systemer.

Bemærk! Roskomnadzor kan blokere en internetressource, hvis denne overtræder loven inden for databehandling.

Arbejdsgiver – operatør eller ej?

Vi har allerede angivet, at alle bør foretage ændringer i registret over persondataoperatører, men holdningerne om arbejdsgivere er stadig forskellige. Hvordansom regel er de klassificeret som persondataoperatører, men der er undtagelser. Det er f.eks. de ledere, der kun opbevarer og indsamler oplysninger for at udarbejde en ansættelseskontrakt eller en intern ordre i overensstemmelse med loven.

Hvem betragtes ikke som en operatør

Registrering af en persondataoperatør er ikke nødvendig for alle mennesker og organisationer. Hvem kan undvære det?

1. Telefonselskaber, der kun bruger abonnentdata til at levere kommunikationstjenester.
2. Religiøse og sociale organisationer, der kun bruger personlige oplysninger om medlemmer til de formål, der er angivet i stiftelsesdokumenterne.
3. Institutioner og enkeltpersoner, der bruger de data, som forsøgspersonen selv har afsløret.
4. Virksomheder, der udsteder engangskort.
5. Offentlige datasystemer designet til at beskytte og opretholde den offentlige orden.
6. Organisationer, der behandler data uden automatiserede systemer.
7. Transportselskaber, der modtager information for udstedelse af rejsebilletter.

Det er vigtigt at forstå, at for Roskomnadzor er det ligegyldigt, om en organisation eller person er inkluderet i registret over operatører, der behandler personoplysninger eller ej. Tjenesten har ret til at aflægge tilsynsbesøg på enhver institution. Det vil sige, at selv de, der ikke er juridisk betragtet som operatører, kan være ansvarlige for manglende overholdelse af kravene til beskyttelse af personlige data.

Sådan får du retten til at behandle personlige oplysninger

For at sikre sikkerheden ved transmission og opbevaring af personlige oplysninger er der udviklet en licens- og certificeringsproces for organisationer, der opbevarer og indsamler data.

For at få en licens er det ikke nok at sende medarbejdere til træning, du skal også købe tekniske beskyttelsesmidler. At opnå en licens foregår i flere faser:

1. Sende en meddelelse til registeret over persondatabehandlere vedrørende den eksisterende hensigt om at behandle.
2. Beståelse af en foreløbig undersøgelse af informationssystemer, der er tilgængelige for virksomheden.
3. Design af et beskyttelsessystem under hensyntagen til infrastrukturen for automatisering og computerudstyr.
4. Anskaffelse og implementering af beskyttelsesudstyr.
5. Bringer lokalerne i overensstemmelse med kravene til sikkerhed, brandsikkerhed, strømforsyning.
6. Uddannelse af medarbejdere eller forbedring af deres færdigheder inden for persondatabeskyttelse med efterfølgende certificering.

Hvis alle punkter er opfyldt, vil opbevaring og beskyttelse af personlige oplysninger være effektiv.

Det er vigtigt at forstå, at alle punkter vedrører behandling af information i elektronisk form, selvom denne metode ikke kan kaldes sikker for lagrede data.

Tjekker operatørernes aktiviteter

Operatøren, der behandler personoplysninger, bliver periodisk underkastet inspektion af Roskomnadzor. Sidstnævnte kan udføres i henhold til planen, eller det kan være baseret på klagen fra den person, der led under operatørens ulovlige handlinger.

Kontroller overholdelse af loven om behandling af personoplysninger tre afdelinger:

1. Roskomnadzor. Han udfører overensstemmelseskontrol og er også ansvarlig for at udføre kontrollerne.
2. Federal Service for Export and Technical Control. Denne service beskytter de data, der er på computere i organisationen, og deres transmissionskanaler. Sidstnævnte sker kun, når oplysningerne ikke er krypteret.
3. Federal Security Service. Styrer krypteringsmidler til transmission og behandling af personlige oplysninger. Hun udvikler og distribuerer også disse produkter.

Du kan tjekke, hvilken organisation denne eller hin operatør tilhører dig selv. For at gøre dette skal du gå til Roskomnadzors websted og finde operatørregisteret.

For at se oplysningerne skal du blot indtaste firmaets registreringsnummer eller dets navn. Et skatte-id-nummer fungerer også.

Du kan også finde ud af, hvor lovligt oplysningerne blev anmodet om. Hvis virksomheden ikke er på listen, så kan du kontakte Roskomnadzor. Han vil enten inkludere det i registret eller forbyde ulovlige aktiviteter for at indsamle personlige data.

Tilsyn foretages på baggrund af en anke fra borgere eller på initiativ af en afdelingsinstans, f.eks. anklagemyndigheden. For krænkelse af behandling og opbevaring af personoplysninger ydes ansvar. Straffen kan være administrativ, kriminel eller disciplinær, det hele afhænger af, hvor alvorlig overtrædelsen er.

Hvordan har du detsikker?

For at undgå sådanne problemer rådes borgerne i teorien til at tjekke organisationen for at være på den relevante liste, før de giver samtykke til behandling af personlige oplysninger.

Faktisk gør folk sjældent dette, om ikke andet fordi de fleste mennesker ikke engang kender til eksistensen af et sådant register.

Det er især værd at se på små organisationer, der ikke altid har de rette betingelser for at behandle oplysninger. Hvis der er mistanke om dette, er samtykke ikke nødvendigt. Lad dem nægte dig ét sted, men du kan finde en mere passende organisation, og du vil ikke have nogen problemer.

Datasubjektrettigheder

På trods af at hver operatør har sin egen persondatapolitik, bør det ikke gå imod loven. Det vil sige, at alle rettigheder for personer, der giver personlige oplysninger om sig selv, skal respekteres.

Grundlæggende rettigheder omfatter:

1. Retten til at få adgang til dine egne oplysninger. Det vil sige, at en person har ret til at vide, hvem der behandler hans data, til hvilket formål og hvem der vil se oplysningerne. En person kan kræve afklaring af data, blokere dem eller slette dem helt. For at få adgang til dine data skal du indsende en anmodning til operatøren. Dette kan gøres både af forsøgspersonen selv og af dennes repræsentant. Der er også begrænsninger på denne ret, f.eks. hvis dataene påvirker statens sikkerhed, krænker forfatningsmæssige friheder og tredjemands rettigheder eller forstyrrer operationelle søgningsaktiviteter.
2. Retten til at behandle personlige oplysninger til promovering af varer, tjenester eller værker på markedet eller med henblik på politisk kampagne. Databehandling finder kun sted, hvis forsøgspersonen accepterer det. I tilfælde af konflikt anses behandlingen for at være sket uden samtykke fra klienten, medmindre operatøren har kunnet bevise andet. Så snart personen anmoder om at stoppe behandlingen af data, er operatøren forpligtet til at gøre det.
3. Ret for subjektet til at træffe en beslutning baseret på automatiseret behandling af personlige oplysninger. Det er forbudt ved lov at behandle data uden skriftligt samtykke fra personen, kun på grundlag af automatiseret behandling. Undtagelser er fastsat i føderal lovgivning.
4. Ret til at appellere operatørens passivitet eller handling. En person har ret til at henvende sig til det autoriserede organ om beskyttelse af rettighederne for subjekter af personlige oplysninger eller til retten. Der skal dog være grundlag for en sådan behandling, f.eks. krænkelse af rettigheder eller ukorrekt behandling af data.

Forsøgspersonen kan også søge erstatning eller materiel kompensation i retten.

Konklusion

Som du kan se, er dette spørgsmål stærkt reguleret. Det er trods alt netop på grund af den ukontrollerede modtagelse af personlige oplysninger, at borgere i vores land bliver ofre for svindlere og simpelthen uærlige mennesker. Staten forsøger at stramme kravene så meget som muligt, så den i det mindste på en eller anden måde kan garantere sikkerheden ved lagring af data.

Forskellige beskyttelsessystemer er under udvikling, virksomhederbliver certificeret og licenseret bare for at gøre livet lettere for almindelige borgere.

Folk bør dog heller ikke være ledige. Vores eget velbefindende afhænger jo af os. I artiklen har vi beskrevet, hvordan du kan kontrollere, om en organisation er i registret eller ej. Brug disse oplysninger, lad være med at give samtykke til behandling af data fra tvivlsomme institutioner, og så skal du ikke bevise, at dine rettigheder er blevet krænket. Problemerne for de fleste af os skyldes uopmærksomhed, og alt sammen fordi de ikke er vant til at læse dokumenter, før de underskriver dem. I mellemtiden skal dette undervises fra vuggen, samt varetage barnets juridiske viden. Jo før vi begynder at forberede børn til voksenlivet, jo lettere bliver det for dem.