Защита на личните данни - се променя през 2018 г.

Изпращане на поща

Въпроси, свързани с обработката на лични данни и защитата на физическите лица с всяка изминала година става все по-спешно, тъй като основната цел на сегашния закон е защитата на човешките права и свободи, включително и защитата на правата на личен живот, лично и семейно личния живот. Практиката показва, че операторите на лични данни не винаги могат да прилагат закона по отношение на организиране, съхранение, обработка, и по-важното е, да се защитят личните данни на субектите и често са доведени до административна отговорност за нарушение на тези стандарти. В тази статия ще говорим за иновации в областта на защитата на личните данни, за нови условия, задължения на операторите на лични данни.

Най- "популярните" са в нарушение на информацията за неспазване, посочен в известието за такова лечение, реалните дейности на оператора и лечение на PD без съгласието на PD теми.

Защита на личните данни

Обхватът на приложение на закона и терминологията

Следните термини са засегнати от промените:

1. Въведете новото определение на "лични данни" - е всяка информация, свързана пряко или косвено, с идентифицирано или подлежащо на идентификация лице (предмет на личните данни). Както можете да видите, определението за изчезнали списъци "подробности" на индивида, т.е.. Д. фамилия, име, дата на раждане и така нататък. Н. В същото време уточни, че трябва да се вземе предвид всяка информация, свързана пряко или косвено с физическо лице.

3. Определенията на "лечение PD". Като се вземе предвид новата формулировка на лечение PD - е всяко действие (операция) или набор от действия, извършени с използването на оборудване за автоматизация или без използването на такива средства с лични данни, включително събиране, записване, натрупване, съхранение, разяснения (актуализация, изменение), екстракция , използването, пренасянето (разпространение, осигуряване на достъп), деперсонализация, блокиране, заличаване, унищожаване на личните данни.

4. значително опростена терминът "разпределението на личните данни." която се разбира като действия, насочени към разкриване на лични данни на обществеността.

5. понятието "предоставяне на лични данни." т. е. действия, насочени към разкриване на лични данни към определен човек или група от хора.

6. фундаментално да промени подхода към понятието "обезличаване на личните данни." Ако като се вземе предвид по-рано се използва определението, казахме, че в резултат на де-идентификация не е по никакъв начин да определи самоличността на PD, че предвид промените могат да бъдат следващата възможност: с помощта на допълнителна информация, можете да се установи самоличността на някои данни за конкретната тема на PD. Е. деперсонализация не може да се разглежда като изключително еднопосочен процес.

7. по-ясно заяви, понятието "лични данни информационна система." което се разбира като съвкупност от PD, съдържаща се в базите данни и осигуряване на тяхната обработка на информационните технологии и средства.

8. Изтриване на концепцията за "неприкосновеността на личния живот" и "публично лична информация."

В допълнение, трябва да се отбележи, че правото за вземане на нормативни актове в областта на личните законодателство за защита на данните, предоставени от Централната банка на България и местните власти.

Съгласие на предмета на PD

Въпроси на съгласие за лечение на PD също са претърпели някои промени.

Осигуряване спазването на задълженията на оператора съгласно Федералния закон № 152-ФЗ

Федерален закон № 152-FZ допълва с нова член 18.1, който определя състава и на списъка от мерки, които са необходими и достатъчни, за да гарантират, че задълженията, предвидени от законодателството за защита на PD. Тези мерки могат да включват:

задача оператор е юридическо лице отговаря за организацията на лечението на PD;
публикуване на документи, определящи политиката на оператора по отношение на такова лечение;
използването на правни, организационни и технически мерки за гарантиране на безопасността на PD;
вътрешния контрол и (или) одит за съответствие лечение на PD по установения ред;
оценка на вредите, които могат да бъдат причинени на субектите на PD;
запозна служителите с организацията на оператора да работи с PD.

Списъкът със задължителните мерки за операторите, които са държавни и общински органи, натоварени да създадат правителство.

1. Определяне на заплахи за сигурността PD при обработването им в рамките на информационните системи на PD.

2. Прилагането на организационни и технически мерки, за да се гарантира безопасността на PD по време на обработката им в личните данни, информационни системи (по-нататък - PDIs), необходими за изпълнение на изискванията за защита на PD, което осигурява изпълнение, създаден от Правителството на Република България PD нива на сигурност.

3. Използването на миналото, в съответствие с установената процедура за оценка на решения за информационна сигурност.

4. Оценка на ефективността на мерките, предприети за гарантиране на сигурността на личните данни, за да пускане в PD система.

5. Счетоводство машинни носители на PD.

6. Откриване на неоторизиран достъп до ДП и мерките.

7. Възстановяване на PD, модифицирани или унищожени в резултат на неоторизиран достъп до тях.

8. създаване на правила за достъп до ДП, преработени в информационната система на PD, както и предоставянето на регистрация и регистрация на всички действия, извършени с PD в PDIs.

9. Контрол на мерките, предприети за гарантиране на сигурността на личните данни и на нивото на защита на PDIs.

Както беше отбелязано по-горе, прилагането на организационни и технически мерки, за да се гарантира безопасността на PD, зависи от нивото на сигурност, за да бъдат определени от правителството.

Също така, правителството на България е обект на въвеждането на изисквания за защита на PD по време на обработката им в PDIs, изпълнението на която предоставя набор от нива на сигурност на PD и изисквания за притежателите на биометрични PD материали и технологии за съхранение на тези данни в PDIs.

В заключение на този раздел, в съответствие с логиката на член 19 от Федералния закон № 152-FZ. даде определенията, необходими за разбирането на тази статия:

Изпращане на уведомление

По-специално, за лечение на PD без предизвестие в случаите, предвидени от законодателството на Република България по безопасност на транспорта. В този случай ние говорим за създаването на единна система за сигурност на информация за състоянието на транспорта, който е собственост на Руската федерация, състояща се от автоматизирани централизирани бази данни PD срещу пътници.

фамилия, име, презиме;
дата и място на раждане;
вида и номера на документа за самоличност, с което придобил документ за пътуване (билет);
точка на излитане или кацане, вид на маршрут;
дата за пътуване.

Редица разпоредби са били коригирани. Ако личните данни се обработват в съответствие с трудовото законодателство, в този случай, трябва да се припомни, че в списъка на информация, която да бъде представена на служителите при сключване на трудовия договор е определено в член 65 от Кодекса на труда. определено им:

паспорт или друг документ за самоличност;
История на заетост, с изключение на случаите, когато трудовият договор се сключва за първи път или служител отива да работи по условия на черно;
застрахователен сертификат за застраховка държавна пенсия;
военни регистрационни документи - за военна служба и лицата, подлежащи на военна повинност;
удостоверение за образование, квалификация или специални знания - при кандидатстване за работа, която изисква специални знания или специално обучение;
сертификат за присъствие (липса) убеждения (в някои случаи).

Неясно е един въпрос по отношение на предоставянето на данни от кандидати по работни места и предоставяне на информация, която не е посочена в Кодекса на труда. В действителност, когато кандидатствате за работа, изисква най-малко осигури идентификация данъкоплатец номер, а често и на информацията, на име във формата на Т-2, списъкът на които значително надвишава списъка са определени в Кодекса на труда. В тази връзка, той може да се препоръчва за уведомяване Roskomnadzor в случай на данните в електронна форма в част от информацията за кандидатите за свободните места и части от информацията за работниците като им се предостави "подобрена", в сравнение със задължителните, списъкът на информация.

Също така, не е нужно уведомление сезиране при обработката на PD, свързани с членовете (участници) на обществените обединения или религиозни организации, ако лични данни няма да бъдат разпространявани или предоставяни на трети лица без съгласието на субекта на PD и при лечението на PD, предоставена на обществеността при условията.

Промените засягат състава на информация, които са посочени в обявлението. В допълнение, следната информация трябва да се съдържа в обявлението:

В допълнение към въвеждането на допълнителни колони под формата на известие от страна на информацията, посочена по-горе, че е необходимо да се обърне внимание на следните промени.

2. Повече подробности, изисквани при описанието на предприетите мерки от страна на оператора, за да се гарантира безопасността на PD. За тази цел, въведено допълнително графика, в която информацията трябва да бъде посочена на мерките по чл. Чл. 18,1 и 19 Федералния закон № 152-FL. данни за физическо лице, което отговаря за обработката на данни ISPDn клас, както и организационните и техническите мерки, използвани за защита на ДП от неразрешен достъп или случайно, унищожаване, промяна, блокиране, копиране, разпространение на личните данни.

Също така в тази област са обект на докладване на информация за използване на криптиране (криптографски) означава, включително:

име, регистрационен номер и производители използват криптографски средства;
нивото на криптографска защита на Демократическата партия;
ниво специална защита срещу течове по каналите на лъжлива и намеса;
ниво на защита срещу неоторизиран достъп.

3. Процедурата за попълване на полето "дата на започване на обработката на лични данни." Той добави, че в тази област е необходимо да се посочи конкретна дата, която е ден, месец, година на началото на всяко действие (операция).

Освен това, трябва да се отбележи, Федерален закон № 152-FL разграничи лечение на PD, използвайки оборудване за автоматизация или без използването на такива средства, докато в препоръките за завършване на процеса на нотификация има три обработка PD:

Non-автоматизирана обработка на PD;
PD изключително автоматизирана обработка с информацията за разпространение, получена чрез мрежата или без;
Смесени лечение на PD.

Освен това, значителни промени са направени в елемента Федералния закон 7 № 152-FZ "лични данни". Иновации при условие, че необходимостта от териториалната власт уведомен за Roskomnadzor не само в случай на промяна на данните, посочени в обявлението, но в случай на прекратяване на обработката на лични данни.

Срокът за подаване на информация в тази ситуация, предоставена в рамките на 10 работни дни от датата на прекратяване на обработката на лични данни.

За фирмени събития "1С" от гледна точка на защита на личните данни

За операторите на лични данни като методическа подкрепа "1C" може да се предложи:

Обработка на лични данни

лечението трябва да се извършва на правната и справедливост;
такова лечение трябва да бъде ограничена до постигане на конкретни цели;
PD обработват, не трябва да са прекомерни по отношение на целите си за лечение;
операторът трябва да вземе мерки, за да гарантират, или своя ангажимент да премахват или изясняване на непълни или неточни данни.

Важно нововъведение е предвидено в параграф 3 на член 6 от Федералния закон № 152-FZ. се посочва, че операторът има право да поверяват работата с PD на друго лице със съгласието на субекта на PD, въз основа на договора.

Едно лице е натоварен с изпълнението на такова лечение е длъжен да се съобрази с всички установени принципите и правилата на такова лечение. Списъкът на действия с PD, който се определя по реда на оператора. В рамките на споразумението по предмета на PD трябва да определи лицето, което извършва лечение на PD, ако такова третиране не е поверено на оператора на всяко друго лице.

Важно е да се отбележи, че това е операторът е отговорен за предмет на PD за действията на това лице, както и че човек трябва, от своя страна, е отговорен за оператора на PD.

Лицето, което отговаря за организацията на такова лечение

Нов член 22.1 от Федералния закон № 152-FZ предвижда задължението на оператора да определи лице, което отговаря за организацията на обработка на данни. Задълженията на лицето, посочено:

вътрешен контрол върху спазването от страна на оператора и неговите служители на България на законодателството на PD, включително изискванията за защита на PD;
съобщена на служителите на мястото на оператора на България относно законодателството PD, местните разпоредби за обработка на PD, изискванията за защита на PD;
искания организация и приемане и обработка на заявки PD субекти или техни представители и (или), за да наблюдава на приемането и обработването на тези искания и запитвания.

период се е увеличил от 10 до 30 работни дни, за да съобщите за оператор в зависимост от наличието на PD PD, свързани с тази тема на PD. През същия период, операторът има право да изготви мотивиран отказ, съдържащ база за отказ за предоставяне на такава информация;
в случай на, че личните данни са непълни, неточни или неподходящи, операторът, в срок от седем работни дни, за да правите промени в тях, т. е. на необходимата достоверна информация, както и да уведоми съответните промени в предмета на PD (или негов представител) (Sec. 3 на чл 20 федерален закон № 152-FL);
в случая с предмет на PD или негов представител, за да потвърдите, че това PD са неправомерно получени или не са необходими за обявената цел на обработката, операторът е длъжен да унищожи такъв PD в срок не по-дълъг от 7 дни (стр. 3 на чл. 20 от номера на Федералния закон 152-FL);
в случай на неправомерно обработване PD при поискване лице PD (негов представител) или упълномощен от него орган за защита на предмети PD оператор е длъжен да извършва блокиране на неподходящо обработват PD, свързани с тази тема PD тъй като такова лечение или получаване на посочения период на проверка поискване (н. 1 супена лъжица . 21 Федералния закон № 152-FL);
Информация по искане на упълномощения орган, за да се защитят правата на PD предмети, необходими за дейността на тялото, също трябва да се подаде в срок от 30 дни от датата на получаване на искането;
увеличава 3-30 работни дни срок за унищожаването на PD / прекратяване на лечението им в случай на отмяна на съгласието на субекта на PD.

Изпращане на поща