Il contenuto dell’articolo
- Quali informazioni sono considerate dati personali
- Gli individui
- Dipendenti dell’azienda
- Dipendenti statali o municipali
- Persone giuridiche
- Quadro normativo
- A chi si applicano i requisiti della legge federale 152
- Responsabilità per l’uso dei dati personali senza consenso
- Categorie PD
- Dati personali generali su una persona
- biometrico
- Dati speciali
- Anonimo
- Big data
- Memoria PD e meccanismo di protezione
- Chi ha il diritto di richiedere
In condizioni moderne, i cittadini richiedono spesso il consenso al trattamento di informazioni private, ad esempio quando visitano un medico. In molti casi, la firma sul modulo viene inserita automaticamente. Quando accedi alle informazioni su di te, è importante conoscere e rispettare le regole..
Quali informazioni sono considerate dati personali
Dati personali comuni:
- Cognome, nome, patronimico di un individuo. In questa prospettiva, un individuo agisce come soggetto.
- Data e luogo di nascita.
- Indirizzo di registrazione e residenza.
I dati personali del dipendente sono concentrati nel sistema informativo (IP). Può essere digitale o analogico (una base di computer o un file personale in una cartella cartacea). Allo stesso tempo, i requisiti legali si applicano al PD, indipendentemente dall’attuazione tecnica del sistema di informazione. Esistono vari modi di trattare le informazioni personali degli individui: raccolta, classificazione, chiarimenti, ecc..
Il concetto di PD si riferisce non solo ai cittadini, ma anche alle persone giuridiche, indipendentemente dalla forma giuridica (aziende, società, organizzazioni, imprese commerciali, ecc.). La loro caratteristica è che sulla base della loro identificazione non è una persona specifica, ma una società specifica. Le informazioni ufficiali sulla società sono necessarie per la conclusione di contratti, ecc..
Gli individui
Le informazioni personali per questa categoria di entità includono:
- NOME E COGNOME;
- Data e luogo di nascita;
- cittadinanza;
- indirizzo di registrazione e residenza;
- decisione sull’incapacità totale o parziale;
- stato civile + informazioni sui familiari;
- formazione scolastica;
- posto di lavoro;
- salario, assicurazione e detrazioni fiscali;
- servizio militare.
Ci sono caratteristiche per classificare diversi dati come personali nella categoria di individui:
- Numero di telefono. Si riferisce a PD se le informazioni sul proprietario sono di origine pubblica (ad esempio, i contatti per il contatto diretto sono indicati sul sito Web del deputato).
- Parametri di verifica per l’autorizzazione su vari servizi Internet sono i dati personali per definizione e non sono soggetti a diffusione a terzi.
- Registrazioni di foto e video. Si riferiscono alla PD solo in una situazione in cui un individuo può essere identificato da loro. L’eccezione è lo scatto di foto o video in occasione di eventi di massa. Se il verbale diffama l’onore, la dignità o la reputazione commerciale di una persona, può, in conformità dell’articolo 152, parte 1, del codice civile della Federazione Russa, richiedere una confutazione.
Dipendenti dell’azienda
Le informazioni personali in questo caso includono informazioni che il dipendente deve fornire quando presenta domanda di lavoro. Nella parte principale, coincidono con il PD per un individuo e sono destinati a essere inseriti nel file personale del dipendente. A causa del fatto che un dipendente compila un modulo standard, informazioni non correlate al suo lavoro.
Oltre alle informazioni personali degli individui, il dossier personale di un dipendente di un’impresa comprende a colpo sicuro:
- posizione;
- LATTINA;
- domanda di lavoro;
- stipendio;
- SNILS;
- anzianità (+ presso questa impresa);
- certificati di ricompense e penalità da parte dell’amministrazione;
- informazioni sulla vacanza usata;
- certificati medici e / o documenti di visita medica (se richiesto dalle condizioni di lavoro).
Il datore di lavoro non ha alcun diritto (e questo è prescritto dalle leggi):
- Trasferire dati personali a terzi senza il consenso del dipendente (protezione dei dati).
- Richiedere informazioni sulla salute dei dipendenti senza consenso. Un’eccezione sono le situazioni in cui è direttamente correlato al dipendente che svolge le sue funzioni.
L’obbligo del datore di lavoro è:
- Proteggere il PD a sua disposizione dall’accesso di terzi e consentire solo ai dipendenti appositamente autorizzati di conoscerli fornendo loro i dati di loro competenza.
- Avviso a terzi ai quali vengono trasmesse informazioni sul dipendente che possono essere utilizzate solo per gli scopi specifici richiesti. La legislazione vieta la distribuzione non autorizzata di dati personali e i responsabili possono essere ritenuti responsabili.
- Assicurare di conseguenza (ad esempio firmando un modulo speciale) l’obbligo di mantenere la riservatezza da parte delle persone a cui è trasferito il PD.
Dipendenti statali o municipali
Oltre alla serie di informazioni richieste per il dipendente dell’impresa, il numero di dati personali per questa categoria di lavoratori include:
- esperienza + durata del servizio;
- posizione;
- grado cool (se presente);
- scarico secondo la scala tariffaria;
- titolo accademico, premi, premi;
- spazio per lavorare con materiali classificati;
- certificati di certificazione e formazione avanzata;
- fedina penale;
- certificati medici, copie di congedo per malattia.
Persone giuridiche
Questa categoria di informazioni include:
- nome dell’azienda;
- indirizzo legale ed effettivo;
- numeri di licenza;
- BIDONE;
- LATTINA;
- PPC
- numero di conto bancario e altri dettagli bancari.
Quadro normativo
I principali documenti legali che stabiliscono i principi per l’uso del PD:
- Costituzione della Federazione Russa. Gli articoli 23 e 24 garantiscono la privacy dei cittadini, i segreti personali e familiari e la riservatezza nella corrispondenza, nelle conversazioni telefoniche e in altri messaggi. Secondo queste disposizioni, i PD appartengono solo al loro vettore e non dovrebbero essere controllati da terzi senza il suo consenso. Lo stato garantisce la protezione di questo diritto dei cittadini.
- La legge federale n. 152-FZ “sui dati personali” del 27 luglio 2006 determina chi e a quali condizioni possono utilizzare i dati personali di un cittadino.
Per i dipendenti di vari settori, esistono norme separate che disciplinano il trattamento dei dati personali:
- Per i lavoratori delle organizzazioni del settore energetico – Ordinanza del ministero dell’Energia della Russia n. 166 “In materia di trattamento dei dati personali” dell’11.11.2008.
- Per i dipendenti pubblici – Legge federale n. 79-FZ “Sulla funzione pubblica statale della Federazione Russa” del 27 luglio 2004.
A chi si applicano i requisiti della legge federale 152
L’accesso ai dati personali di una determinata persona è consentito agli operatori speciali. Questi sono rappresentanti di strutture o organizzazioni che producono ed elaborano PD di un individuo specifico. In assenza dell’autorizzazione del soggetto, qualsiasi operazione con i suoi dati personali costituisce una violazione della legge. Le informazioni personali su una persona devono essere necessariamente eliminate dopo la scomparsa della necessità del suo utilizzo.
La normativa non determina il periodo di validità del consenso al trattamento dei dati personali, pertanto può essere indicato direttamente nella forma sottoscritta dall’interessato. Tale periodo può essere determinato direttamente o indirettamente, ad esempio “per 3 anni” o “per il periodo specificato nel contratto di lavoro”. Firmando tali documenti, controlla le scadenze e assicurati che siano scritte in modo reale.
Responsabilità per l’uso dei dati personali senza consenso
Per i trasgressori esiste un elenco di sanzioni. Ciò include i casi:
- Elaborazione PD in situazioni non prescritte dalla legge. Questa violazione comporta un avvertimento o un’ammenda: per i cittadini – 1.000-3.000, per i funzionari – 5.000-10.000, per le persone giuridiche – 30.000-50.000 rubli.
- Elaborazione di dati personali senza il consenso scritto del soggetto. Per questo, sono previste sanzioni: per i cittadini – 3.000–5.000, per i funzionari – 10.000–20.000, per le persone giuridiche –– 15.000–75.000 rubli.
L’uso del PD senza il consenso del soggetto può essere parte integrante del reato, punibile dall’articolo 137 del codice penale della Federazione Russa. Questi includono:
- Raccolta illegale di informazioni sulla vita privata di una persona che è il suo segreto personale o familiare. Ciò implica una multa fino a 200.000 rubli, un lavoro obbligatorio fino a 360 ore o un arresto fino a 4 mesi, ecc. Per i funzionari, è possibile la squalifica per un massimo di 3 anni..
- Azioni per raccogliere varie informazioni su una persona che è stata commessa utilizzando la sua posizione ufficiale. Implica una multa fino a 300.000 rubli, lavoro forzato per un periodo fino a 4 anni o arresto fino a 6 mesi, ecc. Nella maggior parte dei casi, dopo l’applicazione di questa sanzione, un cittadino è privato del diritto di ricoprire determinati posti per un periodo massimo di 5 anni..
Categorie PD
La legge n. 152-FZ divide le informazioni sul contenuto delle informazioni, la complessità dell’uso e il livello di divulgazione. Categorie di dati personali che non possono essere utilizzati senza consenso: dati spersonalizzati, generali e speciali, biometrici.
Dati personali generali su una persona
Questi includono materiale informativo di base su un individuo specifico:
- Nome e cognome;
- Data e luogo di nascita;
- indirizzo di registrazione e residenza;
- numero di telefono;
- LATTINA;
- dati del passaporto – serie, data di rilascio, ecc .;
- SNILS;
- posto di lavoro;
- stipendio.
Le informazioni personali relative al tipo generale sono registrate nei documenti di base di un cittadino (si tratta di passaporto, libro di lavoro, ecc.). In molti casi, l’elaborazione indiretta è sufficiente per la loro elaborazione. Tali casi semplificati sono tipici per la compilazione di questionari online con un minimo di informazioni, quando l’oggetto ha sufficienti segni di spunta nel campo corrispondente anziché una conferma scritta. Qui il trasferimento dei dati avviene attraverso canali di comunicazione aperti.
Alcune di queste informazioni non sono personali se utilizzate indipendentemente da altre. La posizione attuale di Roskomnadzor è che un solo numero di telefono (senza correlarlo con il nome del proprietario) non è possibile identificare un individuo. Per questo motivo, l’invio di SMS non personalizzati non costituisce una violazione della legge..
biometrico
Ciò include i parametri fisiologici e biologici di un individuo:
- impronte digitali (impronte digitali);
- gruppo sanguigno;
- altezza;
- peso;
- colore degli occhi;
- segni speciali associati all’apparenza (ad esempio, lesioni acquisite).
Tutti i file audiovisivi – fotografie di un individuo specifico, registrazioni da un registratore vocale, un videoregistratore, ecc., Appartengono alla stessa categoria. Lo sviluppo di tecnologie è ampiamente utilizzato da parametri biometrici – sono usati in medicina, assumendo agenzie governative e facendo domanda per passaporti. Spesso tali dati sono dannosi per il soggetto in un’attività professionale o nella vita personale..
Dati speciali
Questa categoria comprende:
- nazionalità;
- preferenze politiche;
- religione;
- fedina penale;
- diagnosi medica;
- orientamento sessuale;
- vita intima.
Tali informazioni sono contenute in documenti speciali. Possono essere usati per discriminare un individuo specifico. Per questo motivo, ai sensi dell’articolo 10 della legge n. 152-FZ, l’accesso a questo tipo di informazioni per casi generali non è consentito. Eccezioni a questo sono situazioni in cui:
- Il soggetto ha dato il consenso scritto al trattamento PD.
- Il dossier di una persona specifica è studiato per preservare la vita / la salute di questa persona o di terzi quando non è possibile ottenere l’autorizzazione (ad esempio, una vittima in un incidente d’auto è in coma e un’operazione è urgentemente necessaria). Questo caso può essere esteso a tutte le situazioni di diagnosi e fornitura di servizi medici, a condizione che sia svolto da un dipendente autorizzato e mantenga il segreto professionale..
- Questi PD sono diventati pubblici su iniziativa della persona a cui appartengono (ad esempio, un artista pop rilascia un’intervista al canale televisivo sul suo orientamento sessuale). Ciò include anche l’elaborazione delle informazioni in relazione all’attuazione del censimento della popolazione tutta russa o all’attuazione di programmi di assistenza sociale, legislazione sul lavoro o sulle pensioni.
- Il trattamento dei dati personali sui partecipanti a un’associazione pubblica o organizzazione religiosa viene effettuato (ad esempio, queste informazioni personali possono essere raccolte nel comune o negli enti statistici statali). Il fattore determinante qui è la non divulgazione di tali informazioni senza il consenso scritto dei soggetti del PD.
- L’estrazione delle informazioni personali necessarie è connessa all’esercizio dei diritti costituzionali di questo individuo o all’amministrazione della giustizia (per legge, ciò è consentito, ad esempio, dalla polizia o dai pubblici ministeri). Ciò include anche situazioni di applicazione della legislazione in materia di difesa, antiterrorismo, sicurezza dei trasporti, attività anticorruzione, ecc..
- Questa situazione si presenta quando è necessario applicare requisiti legislativi sui tipi di assicurazione obbligatoria, sulla cittadinanza della Federazione Russa e quando si controllano i genitori che prendono orfani.
Anonimo
In conformità con la legge n. 152-FZ, ciò include informazioni la cui correlazione con una determinata persona è impossibile senza chiarimenti. Questo può essere uno qualsiasi dei componenti del PD, privo di altre informazioni, ad esempio:
- Il cognome, il nome, il patronimico di una persona, la sua data, il mese, l’anno di nascita, i numeri di strada, casa e appartamento nell’aggregato sono dati personali.
- Ognuna di queste informazioni separatamente (ad esempio, solo un nome, senza un cognome e altre informazioni) non può essere un PD.
La depersonalizzazione è un ulteriore metodo di protezione. È spesso utilizzato da enti governativi autorizzati a trattare informazioni personali sui cittadini, trasferendo una serie di informazioni a uno studio esterno. Per esempio:
- A seguito del censimento, il Servizio statistico federale (Goskomstat) accumula un gran numero di profili contenenti dati personali. Potrebbe trattarsi di informazioni su età, nazionalità, ecc..
- Inviando tali dati ad altri dipartimenti per uno studio analitico del loro profilo di lavoro, i dipendenti di Goskomstat adottano misure per proteggere il PD. Per questo, le informazioni personali sono private della personificazione. Ad esempio, un campione di dati sugli individui viene trasmesso al Ministero della protezione sociale della Federazione Russa, indicando la loro nazionalità, età e istruzione, ma senza menzionare il nome e il cognome.
Big data
Ciò include le informazioni ricevute su Internet da un utente specifico o accumulate nei suoi dispositivi digitali:
- Indirizzo IP del computer;
- cronologia visualizzazioni di pagina;
- dati di autorizzazione sui siti;
- soprannomi e avatar di forum o social network.
L’ambiguità di questa categoria nella prospettiva legale è associata alle seguenti caratteristiche:
- Queste informazioni possono indicare direttamente o indirettamente una persona specifica..
- Il proprietario stesso non può controllarli completamente..
- Se lo si desidera, possono essere falsificati (ad esempio, una persona può registrarsi sui social network sotto il nome del suo amico e lasciare messaggi diffamatori per suo conto).
Date queste circostanze, non tutte le informazioni della categoria Big Data sono dati personali. Se non indicano direttamente una persona specifica, quindi, secondo Roskomnadzor, non appartengono alla categoria di PD. Quindi non sono soggetti ai requisiti della legge n. 152-FZ. Esempi di tali informazioni:
- Foto di un uomo. Se è accompagnato da un nome e cognome, si tratta di dati personali, poiché indica una persona specifica.
- Avatar (userpic) e soprannome sul forum. Queste posizioni non sono PD. Non indicano direttamente una persona specifica. C’è un’eccezione: quando l’immagine mostra una foto di una persona con un nome, cognome o altre informazioni.
- La categoria PD non include le query di ricerca dell’utente del computer e le informazioni sulla sua posizione, che vengono elaborate per fornirgli pubblicità contestuale e geo-targeting (output dei dati a seconda della posizione geografica dell’individuo).
Memoria PD e meccanismo di protezione
In conformità con i requisiti di legge, gli operatori devono utilizzare in modo indipendente i mezzi per garantire la sicurezza dei dati personali che raccolgono. Questo è implementato usando:
- L’ammissione a lavorare con il sistema di informazione è solo una cerchia predeterminata di persone che hanno le istruzioni appropriate e avvertono della responsabilità per la distribuzione non autorizzata di informazioni. Se un IP di computer contiene PD di un tipo speciale, lavorare con esso (visualizzazioni, modifiche, ecc.) Deve essere registrato in un giornale elettronico speciale. Con l’aiuto delle moderne tecnologie informatiche, questo processo può essere reso automatico..
- Misure per creare un livello elevato di protezione IP, bloccare l’accesso non autorizzato (ad esempio a seguito di un attacco di un hacker), ripristinare prontamente le informazioni di origine da una copia di backup in caso di danni da un virus informatico, ecc. Se le informazioni personali sono in forma analogica (ad esempio, si tratta di profili cartacei con informazioni sui dipendenti dell’impresa), è necessario adottare misure per la loro digitalizzazione.
- Il controllo di Roskomnadzor, garantendo che l’attuale trattamento delle informazioni personali dei dipendenti sia effettuato in conformità con gli standard legislativi. Questo dipartimento verifica inoltre che l’archiviazione dei dati personali trattati nell’ambito delle mansioni lavorative avvenga in condizioni in cui sono esclusi la perdita di dati personali e il loro uso illegale.
Chi ha il diritto di richiedere
In conformità con la legge, l’elaborazione PD deve avere scopi legali. Esistono due opzioni per ottenere il PD del soggetto:
- Senza consenso scritto obbligatorio. Consentito se la raccolta di PD è l’adempimento di requisiti legali. Ad esempio, il datore di lavoro ha il diritto di ricevere liberamente informazioni sull’indirizzo di registrazione e sull’istruzione del dipendente. Un caso particolare sono le situazioni eccezionali considerate nell’articolo 10 della legge n. 152-FZ (l’elenco è riportato sopra), dispensando il consenso del soggetto.
- Previa autorizzazione scritta. I rappresentanti delle singole organizzazioni sono autorizzati ad accedere alle informazioni necessarie per svolgere i loro compiti. Ad esempio, quando si richiede un prestito, la banca ha il diritto di porre una domanda sullo stipendio del cliente, ma l’interesse del medico curante sarà illegale.
Cosa intendi per “dati personali: tipi di segreti e informazioni”? Puoi fornire qualche esempio per chiarire meglio? Sono interessato a saperne di più sui diversi tipi di dati personali e sul grado di confidenzialità associato a ciascuno.