מפעיל הנתונים האישיים הוא פונקציות ואחריות, תכונות

2024 מְחַבֵּר: Howard Calhoun | [email protected]. שונה לאחרונה: 2023-12-17 10:27

מפעיל נתונים אישיים - מי זה? לא כולם יודעים באיזה סוג פעילות מדובר. בינתיים, בעידן הטכנולוגיה, היא מבוקשת יותר ויותר. אז מי המפעיל של הנתונים האישיים? בואו נדבר על זה במאמר. וכדי להבהיר את זה, נתחיל עם הגדרה.

הגדרה

מפעיל נתונים אישיים הוא אדם טבעי או משפטי, כמו גם מוסד עירוני או ממלכתי שמעבד ומקבל מידע אישי, קובע את המטרות והנהלים עבור הנתונים שסופקו.

למפעיל יש את הזכות לעבוד באופן אוטונומי, או שהוא עשוי לפנות לצדדים שלישיים לעזרה. האחרונים נחשבים גם למפעילים במקרה זה.

מהם נתונים אישיים

הבנו מי מעבד מידע אישי. זהו מפעיל הנתונים האישיים. אבל מה הכוונה בנתונים אישיים? לחוק אין רשימה שתענה בבירור על שאלה זו. ככלל, מידע אישי כולל נתוני דרכון, מספר זיהוי, ותק, מקוםרישום ומגורים, מקום עבודה, הרכב המשפחה, השכלה. במקרים נדירים, זה עשוי לכלול נתונים על הטבות או מצב בריאותי.

למעשה, מפעיל נתונים אישיים הוא מוסד שמקבל מידע אישי מאדם. גם אם מדובר רק בנתוני דרכון, הארגון עדיין נחשב למפעיל של נתונים אישיים.

ניתן לתת את הדוגמאות המפורסמות ביותר של מפעילים כאלה. מדובר בבנקים שעובדים עם לקוחות ומידע על משלמי מסים, סוכנויות נסיעות. זה כולל גם אתרים הדורשים מידע על המנוי לצורך הרשמה, חנויות שבהן מונפקים כרטיסי הנחה. הרשימה כוללת גם מרפאות בעלות גישה לכרטיסים רפואיים. זו לא רשימה סופית, זה פשוט בלתי אפשרי לפרט את כל הארגונים והמוסדות שמעבדים מידע אישי.

היכן נמצא המידע

כמובן, נפח כזה של מידע חייב להיות כלול איפשהו. מסיבה זו, הוכנס מרשם של מפעילי נתונים אישיים. זהו בסיס ספציפי של Roskomnadzor, המשקף את כל הישויות המשפטיות והאנשים הנחשבים למפעילים.

כדי להיכלל במאגר, די בהצהרה עצמאית לרשויות Roskomnadzor באמצעות הגשת בקשה בכתב או שליחת דואר אלקטרוני. ואתה יכול גם להודיע לרשויות על נייר המכתבים של המיזם. הליך זה תואר בפירוט בהוראה של משרד הטלקום וההמונים הרוסי משנת 2011.

מאחר שכל המפעילים כלולים במרשם מפעילי הנתונים האישיים, הם נדרשים להודיע לרוסקומנדזור על כל השינויים,הנוגעים לפעולות עם מידע אישי, עיבודו. האחרון, בתורו, שולט בעבודת המפעילים ועורך מעת לעת בדיקות.

רשימת מפעילי הנתונים האישיים של Roskomnadzor זמינה לכולם, ניתן לצפות בה באתר הרשמי של השירות.

אגב, הרשות אינה יכולה לסרב להיכנס לפנקס של אדם משפטי או טבעי. אם זה קורה, אז השירות עובר על החוק, כלומר מוטל קנס על רוסקומנדזור. הסכום של האחרון יכול להגיע לחמש מאות אלף רובל.

חובות של מפעילים

כמו בכל פעילות, עבודה עם מידע אישי כפופה לחובות ולזכויות. שקול את האחריות של מפעילי נתונים אישיים.

Roskomnadzor מחייבת להודיע לשירות שהחלו לעבד מידע. חובה זו מוטלת בהתאם לסעיף 22 לחוק "על נתונים אישיים". ההודעה חייבת להכיל את המידע הבא:

1. כתובת המפעיל, שם או שם פרטי, שם משפחה, פטרונימי.
2. בסיס לעיבוד מידע אישי.
3. קטגוריית מידע אישי.
4. קטגוריית הנושא שהנתונים האישיים שלו יעובדו.
5. קישור למסמכי רגולציה המאפשרים עיבוד מידע.
6. רשימת הפעולות שהמפעיל יבצע לצורך עיבוד נתונים אישיים, וכן תיאור השיטות בהן ישתמש בתהליך.
7. צעדים שננקטו כדי להגן על מידע.
8. שם הישות המשפטיתהאדם או השם, שם המשפחה ומשפחתו של האדם האחראי על ארגון תהליך העיבוד. בנוסף, יש לספק מספרי טלפון ליצירת קשר, כתובת דואר אלקטרוני וכתובת דואר.
9. התאריך שממנו מתחיל עיבוד הנתונים.
10. תנאים לעיבוד ותנאים שבהם הוא מסתיים.
11. מידע לגבי האם ישנה העברת נתונים חוצת גבולות בזמן העיבוד.
12. מידע על היכן נמצא מסד הנתונים, המכיל את המידע האישי של אזרחי המדינה שלנו.
13. נתונים לגבי אבטחת המידע והאם הוא עומד בדרישות שנקבעו על ידי ממשלת ארצנו.

זה לא אומר שבכל מצב, מפעילי עיבוד נתונים אישיים חייבים להודיע ל-Roskomnadzor. יש מקרים שבהם זה לא נחוץ כלל. למשל, אין צורך בהודעה אם מעסיק מעבד מידע על עובדיו. זה כולל גם את המצב שבו נכרת חוזה עם לקוח על משהו. במקרה זה, הכלל פועל רק כל עוד המידע לא נמסר לצדדים שלישיים ללא הסכמת הלקוח. אין צורך לכתוב הודעה למי שמנפיק כרטיס חד פעמי לטריטוריה כלשהי, מעבד את הנתונים הזמינים באופן חופשי, השתמש רק בשם הפרטי, שם המשפחה והפטרונות של אדם.

מרשם מפעילי הנתונים האישיים של Roskomnadzor מטיל חובה בצורה של הבטחת סודיות המידע האישי. כלומר, אי אפשר להפיץ מידע כלשהו על אדם ללא הסכמתו. זהאחת הדרישות העיקריות למפעילים.

חובות של מעסיקים

ישנן נקודות שמעסיקים חייבים לעמוד בהן בעת העברת נתונים:

1. אין לחשוף מידע על עובד לצדדים שלישיים ללא הסכמתו. חשוב לזכור שההסכמה צריכה להינתן בכתב. אבל זה לא חל על מצבים שבהם השמעת מידע מסייעת במניעת איום על בריאותו וחייו של עובד או שהוא נדרש להעביר נתונים לשירותי הממשלה. האחרונים כוללים את קרן הפנסיה, סוכנויות אכיפת החוק, שירות המשפט הפדרלי, קומיסריאטים צבאיים, משרד התובע וגופים אחרים.
2. הזהיר אנשים שמקבלים מידע אישי שניתן להשתמש בו רק למטרה המיועדת לו. אגב, למעסיק יש את כל הזכות לדרוש אישור על עמידה בכלל זה.
3. העבר נתונים אישיים בתוך ארגון אחד או יזם אחד בלבד. זה צריך להתבצע בהתאם למסמך פנימי שהעובד למד וחתם תחתיו.
4. אפשר רק לאנשים מורשים לטפל במידע אישי. זה לא אומר שאנשים אלה יכולים לבקש כל מידע, יש להם את הזכות להשתמש רק בנתונים הדרושים לביצוע משימות מסוימות.
5. אין לגעת בבריאותו של עובד אם הדבר אינו משפיע על חובות העבודה הישירות שלו.
6. הגביל את המידע שנציג עובדים מקבל רק למה שנדרש לביצוע הפונקציות שצוינו על ידי הנציג.

כל הנורמות הללו מוגדרות בחוק "על נתונים אישיים" וכמה סעיפים בחוק העבודה. בואו נחזור למרשם מפעילי הנתונים האישיים של Roskomnadzor ולחובותיהם.

חובות אחרות

כבר הזכרנו למעלה מה מפעילים צריכים לעשות. בוא נחזור לנושא הזה.

המפעילים נדרשים לנקוט בצעדים כדי להבטיח את אבטחת המידע האישי. לצורך כך, החברה בוחרת באדם האחראי על ארגון עיבוד הנתונים האישיים. אדם זה חייב לשלוט בביצוע חובות על ידי מפעיל הנתונים האישיים, עמידה בדרישות של האחרון לאבטחת השימוש במידע. אותו אדם מחויב להכיר לעובדים המעורבים בעיבוד את התיקונים החדשים לחוק "על נתונים אישיים", וכן פעולות פנימיות בנושאי עיבוד. כמו כן, הוא מופקד על ארגון הטיפול בפניות ובקשות של אנשים שנתוניהם בעיבוד, וכן על קבלת פניות אלו. בנוסף לתדרוך, יש צורך לעקוב אחר השימוש בציוד אבטחה טכני ולהנפיק מסמכים המסדירים את מדיניות החברה בנושא זה.

באשר למדיניות של מפעיל הנתונים האישיים, היא צריכה להיות ציבורית. לשם כך, המסמך מתפרסם באתר המפעיל וכל מי שזקוק לו יכול להכיר אותו. במידה והאתר אינו זמין, אז ניתן להתקין דוכן עם המידע הדרוש במקום כזה שכל לקוחות ומבקרי הארגון יוכלו להכיר אותו.

חשוב לזכור זאת עבורעבור אותם מפעילי נתונים אישיים שהמסמכים שלהם מתבקשים דרך האינטרנט, האפשרות מתאפשרת רק עם פרסום באתר. באתר Roskomnadzor ניתן למצוא מידע לגבי מדיניות המפעיל.

לעתים קרובות ישנה החלפה של מושגים לגבי מדיניות המיזם וההוראות בדבר אחסון, הגנה ועיבוד מידע אישי. המסמך האחרון נחשב כאקט פנימי, ולכן רק עובדי המיזם מתוודעים אליו, ולאחר מכן הם חותמים עליו.

אחריות נוספת של המפעיל היא לעמוד בדרישות עבור לוקליזציה של מידע אישי של אזרחי המדינה שלנו. העובדה היא שמאז 2015, כל המפעילים, תוך איסוף מידע אישי, מחויבים לעבד אותם באמצעות מאגרי מידע הנמצאים בארצנו. מיד עם העברת החוק היו הרבה אי בהירות, אבל עם הזמן הן נפתרו. כעת ידוע בוודאות כי, למשל, מפעילי נתונים אישיים באמצעות תקשורת מחויבים להשתמש במאגרי מידע.

החובה האחרונה היא הצורך להפסיק את עיבוד המידע האישי בזמן. אם נעשה שימוש במידע והאדם שנתוניו עברו עיבוד מחליט לחזור בו מהסכמתו לעיבוד, על המפעיל להפסיק את עיבוד הנתונים ולמחוק אותם תוך חודש. חשוב להבין כי בהסכם עשוי להיות מצוין תנאי אחר ולכן חשוב כל כך לקרוא את המסמכים.

זכויות המפעיל

מלבד חובות, למפעילים יש זכויות משלהם. נכון, הם מעטים, אבל בכל זאת, אסור לשכוח אותם. רשימת מפעילי הנתונים האישיים נותנת לאחרון רק אחדהזכות לקבל מידע על שינויים בחוק אם הם נוגעים לנתונים אישיים.

מי כלול במסד הנתונים

כבר אמרנו למעלה שלא כל אחד צריך להיות רשום למרשם של מפעילי הנתונים האישיים. מי צריך להגיש את ההודעה?

1. משאבי אינטרנט. זה כולל פורטלים, רשתות חברתיות, פורומים, מכיוון שההרשמה דורשת נתונים אישיים, אם כי מעט.
2. קניות באינטרנט. הם צריכים את זה מכיוון שקונים משאירים מספר טלפון ליצירת קשר להתקשרות חוזרת או כתובת דואר בעת ההזמנה.
3. אתרים המפרסמים מידע על הנושא או שולחים אותו לדואר אלקטרוני. וגם כאן אתה יכול לכלול את האתרים שכבר מכילים מידע אישי.
4. ארגונים, חברות או יזמים שמעבדים נתונים ללא הרף. מדובר במשרדי ראיית חשבון ומשפטים, סוכנויות נסיעות, דיור ושירותים קהילתיים, רשמים, רשמים, מוסדות רפואיים ובנקים, מוסדות חינוך, חברות המספקות שירותים ומנפיקות כרטיסי מועדון.
5. ארגונים שעובדים תחת חוזים במשפט אזרחי עם פרילנסרים.
6. פירמות המשתמשות במערכות CRM.

שימו לב! Roskomnadzor עשויה לחסום משאב אינטרנט אם האחרון מפר את החוק בתחום עיבוד הנתונים.

מעסיק - מפעיל או לא?

כבר ציינו שכולם צריכים לבצע שינויים ברישום של מפעילי הנתונים האישיים, אבל הדעות לגבי מעסיקים עדיין שונות. אֵיךככלל, הם מסווגים כמפעילי נתונים אישיים, אך ישנם חריגים. לדוגמא, מדובר באותם מנהלים ששומרים ואוספים מידע רק לצורך עריכת חוזה עבודה או צו פנימי בהתאם לחוק.

מי לא נחשב למפעיל

רישום של מפעיל נתונים אישיים אינו הכרחי עבור כל האנשים והארגונים. מי יכול בלעדיו?

1. חברות טלפון שמשתמשות בנתוני מנויים רק כדי לספק שירותי תקשורת.
2. ארגונים דתיים וחברתיים המשתמשים במידע אישי על חברים רק למטרות המפורטות במסמכי היסוד.
3. מוסדות ויחידים המשתמשים בנתונים שהנבדק חשף בעצמו.
4. חברות שמנפיקות כרטיסים חד-פעמיים.
5. מערכות מידע ציבוריות שנועדו להגן ולשמור על הסדר הציבורי.
6. ארגונים המעבדים נתונים ללא מערכות אוטומטיות.
7. חברות תחבורה שמקבלות מידע להנפקת כרטיסי נסיעה.

חשוב להבין שעבור Roskomnadzor זה לא משנה אם ארגון או אדם נכללים במרשם המפעילים המעבדים נתונים אישיים או לא. לשירות הזכות להגיע לביקור ביקורת בכל מוסד. כלומר, גם מי שאינם נחשבים כמפעילים מבחינה חוקית עשויים להיות אחראים לאי עמידה בדרישות להגנה על נתונים אישיים.

איך לקבל את הזכות לעבד מידע אישי

כדי להבטיח את אבטחת השידור והאחסון של מידע אישי, פותח תהליך רישוי והסמכה עבור ארגונים המאחסנים ואוספים נתונים.

כדי לקבל רישיון, לא מספיק לשלוח עובדים להדרכה, צריך גם לרכוש אמצעי הגנה טכניים. קבלת רישיון מתבצעת במספר שלבים:

1. שליחת הודעה למרשם של מפעילי עיבוד נתונים אישיים לגבי הכוונה הקיימת לעיבוד.
2. עובר סקר ראשוני של מערכות המידע הזמינות לארגון.
3. תכנון מערכת הגנה תוך התחשבות בתשתית האוטומציה וציוד המחשוב.
4. רכש והטמעה של ציוד מגן.
5. הבאת המקום בקנה אחד עם הדרישות לאבטחה, בטיחות אש, אספקת חשמל.
6. הכשרת עובדים או שיפור כישוריהם בתחום הגנת מידע אישי עם הסמכה לאחר מכן.

אם כל הנקודות יתקיימו, אזי האחסון וההגנה של מידע אישי יהיו יעילים.

חשוב להבין שכל הנקודות מתייחסות לעיבוד מידע בצורה אלקטרונית, אם כי לא ניתן לכנות שיטה זו בטוחה לנתונים מאוחסנים.

בדיקת הפעילויות של מפעילים

המפעיל שמעבד נתונים אישיים נתון מעת לעת לבדיקה של Roskomnadzor. זה האחרון יכול להתבצע על פי התוכנית, או שהוא יכול להתבסס על תלונתו של מי שסבל מפעולות בלתי חוקיות של המפעיל.

לפקח על ציות לחוק על עיבוד נתונים אישיים שלוש מחלקות:

1. רוסקומנדזור. הוא מבצע בדיקות ציות ואחראי גם על ביצוע הבדיקות.
2. השירות הפדרלי ליצוא ובקרה טכנית. שירות זה מגן על הנתונים שנמצאים במחשבים בתוך הארגון, ועל ערוצי השידור שלהם. האחרון מתרחש רק כאשר המידע אינו מוצפן.
3. שירות הביטחון הפדרלי. שולט באמצעי הצפנה לשידור ועיבוד מידע אישי. היא גם מפתחת ומפיצה את המוצרים האלה.

אתה יכול לבדוק איזה ארגון מפעיל זה או אחר שייך לעצמך. לשם כך, היכנסו לאתר Roskomnadzor ומצאו את פנקס המפעילים.

כדי להציג את המידע, אתה רק צריך להזין את מספר הרישום של החברה או את שמה. מספר זיהוי מס יעבוד גם כן.

תוכל גם לברר באיזו חוקיות המידע התבקש. אם החברה אינה ברשימה, אז אתה יכול ליצור קשר עם Roskomnadzor. הוא יכלול אותו ברישום, או יאסור פעילויות לא חוקיות לאיסוף נתונים אישיים.

הבדיקה מתבצעת על בסיס פנייה של אזרחים או ביוזמת גוף מחלקתי, למשל, הפרקליטות. בגין הפרה של עיבוד ואחסון מידע אישי, ניתנת אחריות. הענישה יכולה להיות מנהלית, פלילית או משמעתית, הכל תלוי במידת חמורה של ההפרה.

מה שלומךמאובטח?

למעשה, כדי למנוע בעיות כאלה, מומלץ לאזרחים לבדוק אם הארגון נמצא ברשימה הרלוונטית לפני מתן הסכמה לעיבוד מידע אישי.

למעשה, אנשים ממעטים לעשות זאת, ולו רק בגלל שרוב האנשים אפילו לא יודעים על קיומו של רישום כזה.

כדאי להסתכל במיוחד על ארגונים קטנים שלא תמיד יש להם את התנאים המתאימים לעיבוד מידע. אם יש חשדות לכך, אין צורך בהסכמה. תן להם לסרב לך במקום אחד, אבל אתה יכול למצוא ארגון מתאים יותר ולא תהיה לך שום בעיה.

זכויות נושא הנתונים

למרות שלכל מפעיל יש את מדיניות הנתונים האישיים שלו, זה לא אמור לעבור על החוק. כלומר, יש לכבד את כל הזכויות של אנשים המספקים מידע אישי על עצמם.

זכויות היסוד כוללות:

1. הזכות לגשת למידע שלך. כלומר, לאדם יש זכות לדעת מי מעבד את הנתונים שלו, לאיזו מטרה ומי יראה את המידע. אדם עשוי לדרוש בירור נתונים, לחסום אותם או למחוק אותם כליל. כדי לגשת לנתונים שלך, עליך להגיש בקשה למפעיל. ניתן לעשות זאת הן על ידי הנבדק עצמו והן על ידי נציגו. ישנן גם הגבלות על זכות זו, למשל, אם הנתונים משפיעים על ביטחון המדינה, מפרים חירויות חוקתיות וזכויות צדדים שלישיים, או מפריעים לפעילויות חיפוש מבצעיות.
2. הזכות לעבד מידע אישי לקידום מוצרים, שירותים או יצירות בשוק או למטרות קמפיין פוליטי. עיבוד הנתונים מתבצע רק אם הנבדק מסכים לכך. במקרה של סתירה, העיבוד נחשב כאילו התבצע ללא הסכמת הלקוח, אלא אם עלה בידי המפעילה להוכיח אחרת. ברגע שהנבדק מבקש להפסיק את עיבוד הנתונים, המפעיל מחויב לעשות זאת.
3. זכותו של הנבדק לקבל החלטה על סמך עיבוד אוטומטי של מידע אישי. חל איסור על פי חוק לעבד נתונים ללא הסכמה בכתב של האדם, רק על בסיס עיבוד אוטומטי. חריגים מסופקים בחוק הפדרלי.
4. זכות לערער על חוסר הפעולה או הפעולה של המפעיל. לאדם יש זכות לפנות לגוף המוסמך להגנה על זכויותיהם של נושאי מידע אישי או לבית המשפט. עם זאת, חייבת להיות עילה לטיפול כזה, למשל, הפרת זכויות או עיבוד לא תקין של נתונים.

הנבדק עשוי גם לבקש פיצויים או פיצויים מהותיים בבית המשפט.

מסקנה

כפי שאתה יכול לראות, הנושא הזה מוסדר בכבדות. אחרי הכל, דווקא בגלל קבלת מידע אישי בלתי מבוקרת הופכים אזרחי המדינה שלנו לקורבנות של רמאים ופשוט אנשים לא ישרים. המדינה מנסה להחמיר את הדרישות ככל האפשר כדי שהיא תוכל לפחות איכשהו להבטיח את אבטחת אחסון הנתונים.

מערכות הגנה שונות מפותחות, ארגוניםמקבלים אישור ורישיון רק כדי להקל על אזרחים רגילים.

עם זאת, גם אנשים לא צריכים להיות בטלים. אחרי הכל, הרווחה שלנו תלויה בנו. במאמר תיארנו כיצד ניתן לבדוק האם ארגון נמצא במרשם או לא. השתמש במידע זה, אל תסכים לעיבוד נתונים על ידי מוסדות מפוקפקים, ואז לא תצטרך להוכיח כי זכויותיך הופרו. הצרות של רובנו נובעות מחוסר תשומת לב, והכל בגלל שהם לא רגילים לקרוא מסמכים לפני החתימה עליהם. בינתיים יש ללמד זאת מהעריסה, וכן לדאוג לידע המשפטי של הילד. ככל שנתחיל להכין ילדים לבגרות מוקדם יותר, כך יהיה להם קל יותר.