Co je základem pro zpracování osobních údajů?

Modified by: News

V posledních letech se ve světě projevuje tendence ke zvyšování sankcí za nedodržení zákonných požadavků v oblasti zpracování a ochrany osobních údajů. Například od 2. prosince 2019 byla v Rusku zavedena jedna z největších pokut v této oblasti – za porušení požadavků na lokalizaci databází při prvotním sběru osobních údajů (části 8-9 čl. 13.11 správního řádu). Jeho velikosti pro společnosti se pohybují od 1 milionu do 6 milionů rublů. za první porušení a od 6 milionů do 18 milionů rublů. při opakování. Pokuty výrazně vzrostly také v Evropské unii, kde poslední dva roky platí Obecné nařízení o ochraně osobních údajů (GDPR), které nahradilo dříve přijatou směrnici o ochraně osobních údajů. Celková výše pokut pro firmy působící v EU za nedodržení požadavků GDPR tak podle statistik zveřejněných na webu www.itpro.co.uk od začátku roku činila 68 milionů eur. Více než 66 % z této částky pocházelo od firem z Itálie, kde bylo zaznamenáno 13 případů porušení předpisů.

Není divu, že dodržování požadavků na zpracování a ochranu osobních údajů zůstává pro společnosti vždy jedním z nejdůležitějších. Ve sloupci zdůrazním klíčová porušení, která jsou povolena při zpracování osobních údajů v Rusku, a podělím se o doporučení, jak se jim vyhnout.


Co potřebujete vědět o shromažďování osobních údajů, abyste se vyhnuli porušení zákona?

Základem zpracování osobních údajů je zpravidla buď požadavek právních předpisů Ruské federace, nebo souhlas se zpracováním osobních údajů. Jak ukazují výsledky nedávných kontrol Roskomnadzoru, hlavního regulátora v oblasti ochrany osobních údajů v Rusku, jednou z častých chyb firem je nesprávná organizace sběru dat. Inspektoři v této oblasti obvykle nejčastěji zaznamenávají následující typická porušení:

  • společnosti ne vždy získávají od subjektů osobních údajů všechny potřebné souhlasy se zpracováním osobních údajů;
  • objem zpracovávaných osobních údajů neodpovídá uvedenému účelu zpracování;
  • formulář souhlasu nesplňuje požadavky federálního zákona č. 27-FZ ze dne 2006. července 152 „o osobních údajích“ (dále jen zákon č. 152-FZ).

Než začnete v organizaci shromažďovat osobní údaje, je důležité určit účel jejich zpracování: od toho se bude odvíjet celý proces zpracování osobních údajů. Dále se pro zvolený účel zjišťuje objem shromážděných dat a doba jejich zpracování. Nařízení Federálního archivu ze dne 20. prosince 2019 č. 236 „O schválení Seznamu standardních archivních dokumentů správy vzniklých při činnosti státních orgánů, samospráv a organizací s uvedením doby jejich uchovávání“ pomůže vyřešit poslední vydání. Pokud v ní není možné najít potřebné dokumenty, může organizace stanovit dobu zpracování samostatně.

Nejdůležitější událostí při organizování sběru dat je základ pro jejich zpracování. Pokud bude množství osobních údajů odpovídat zákonným požadavkům, nebude ve většině případů potřeba získávat další souhlas. Výjimkou je předávání údajů třetím stranám, shromažďování dalších kontaktních informací pro marketingové aktivity a další případy uvedené v předpisech. Pokud objem osobních údajů neodpovídá požadavkům legislativy Ruské federace, je nutné získat souhlas se zpracováním údajů.

READ
Kde je na webu nejlepší místo pro zasazení máty?

Existuje několik forem souhlasu: implicitní, písemný a další (ve formě zaškrtnutí, telefonicky atd.). Nejpřísnější typ souhlasu je písemný, zákon dokonce stanoví všechny případy, kdy musí být získán. Mezi ně patří například zpracování biometrických údajů (článek 1, článek 2, článek 10 zákona č. 152-FZ), zvláštní kategorie osobních údajů (článek 1, článek 11 zákona č. 152-FZ) atd. Není-li organizace úkolu uvedena na seznamu zvláštních případů, lze souhlas použít jinou formou.

Podle mých zkušeností s podporou inspekcí má každá forma souhlasu své klady a zápory:

Formulář souhlasu musí splňovat požadavky části 4 čl. 9 zákona č. 152-FZ

Pro každý účel je třeba získat samostatný souhlas, protože v části 4 Čl. 9 zákona č. 152-FZ „účel“ je uveden v jednotném čísle

Je nutné uložit potvrzení o přijetí (například log soubor na webu nebo záznam telefonického hovoru v případě zpracování osobních údajů) a prokázat existenci souhlasu v případě incidentu. Údaje o potvrzení mohou být uloženy po dlouhou dobu

Zástupci Roskomnadzoru zpravidla doporučují vzít v úvahu požadavky části 4 čl. 9 zákona č. 152-FZ

Na co dalšího je důležité si dát pozor před sběrem osobních údajů?

  1. V případech, které nejsou stanoveny právními předpisy Ruské federace, je nutné získat souhlas s předáním údajů třetím stranám. Může být buď samostatný, nebo integrovaný do obecného (kromě případů, kdy je vyžadován písemný souhlas).
  2. Pokud organizace obdrží údaje nepřímo od samotného subjektu, je nutné mu o tom buď zaslat oznámení (musí být v souladu s ustanovením 3 čl. 18 zákona č. 152-FZ), nebo si vyžádat jeho souhlas se zpracováním osobních údajů. Způsob oznámení v tomto případě určuje organizace-provozovatel zpracování dat. Může to být například e-mail nebo SMS zpráva.
  3. Při sběru dat je třeba použít databázi umístěnou na území Ruské federace.

Příprava na sběr osobních údajů je jednou z nejdůležitějších fází budování procesu jejich zpracování a její správná organizace pomůže vyhnout se poměrně velkému množství chyb a v důsledku toho i sankcím ze strany regulátora.


Na co se při přípravě dokumentace vždy zapomíná?

Další rozšířený a neméně významný typ porušení souvisí s dokumentací v oblasti zpracování osobních údajů. Faktem je, že aby organizace plně vyhověly požadavkům zákona č. 152-FZ a podzákonných předpisů, musí mít obrovské množství dokumentů, jejichž hierarchii není snadné pochopit. Jak ukazují výsledky kontrol Roskomnadzor, společnosti se v této oblasti dopouštějí tří hlavních porušení:

  • chybí většina potřebné dokumentace;
  • dokumentace není průběžně aktualizována (například při změnách ve zpracování osobních údajů);
  • standardní formy dokumentů (seznamy, protokoly apod.) se nevyplňují v souladu s vnitřní dokumentací organizace.
READ
Co ošetřují bramborové květy?

Jak vygenerovat kompletní sadu dokumentů, abyste prošli kontrolou bez stížností zástupců regulátora? Práce s osobními údaji v jakékoli organizaci začíná dokumentem nejvyšší úrovně, který definuje obecné požadavky, tedy zásadu. Při jeho vývoji je užitečné prostudovat doporučení Doporučení Federální služby pro dohled v oblasti komunikací, informačních technologií a masových komunikací ze dne 31. července 2017.

Mezi dokumenty druhé úrovně v hierarchii lze rozlišit následující:

  1. Předpisy o zpracování osobních údajů. Může být vypracován buď samostatně pro zaměstnance a další subjekty údajů, nebo jako jeden dokument. Doporučuji zvolit druhou možnost a nezapomeňte, že každý zaměstnanec musí být s dokumentem seznámen a podepsán;
  2. Předpisy pro zpracování žádostí subjektů osobních údajů / Roskomnadzor;
  3. Předpisy pro provádění interních auditů dodržování požadavků zákona č. 152-FZ a vyhlášek v oblasti zpracování osobních údajů;
  4. Metodika posuzování újmy subjektů osobních údajů. V mé praxi společnosti tento dokument vyvíjejí velmi zřídka, ačkoli je nutné úspěšně projít kontrolou Roskomnadzor;
  5. Jiné dokumenty.

Pro přehlednost je hierarchická struktura potřebných dokumentů uvedena v diagramu:

Shromažďování osobních údajů a příprava dokumentace pro jejich zpracování: jak se vyhnout typickým porušením zákona č. 152-FZ?

Rýže. Hierarchické schéma nejvyšší úrovně dokumentů provozovatele osobních údajů

Seznam je působivý, nemluvě o tom, že v tomto sloupci nepovažuji dokumenty o ochraně osobních údajů v souladu s požadavky FSTEC a FSB Ruska. Ale to není vše: organizace, které plánují inspekci Roskomnadzorem, by také měly věnovat pozornost přípravě certifikátů o různých otázkách. Může jít například o informace o zpracování údajů propuštěných zaměstnanců, osvědčení o zpracování biometrických údajů a další. V mé praxi se například vyskytl případ, kdy firma musela vypracovat celkem asi 200 certifikátů k různým otázkám zpracování osobních údajů. Proto je lepší si tuto otázku promyslet předem.


***

Při shromažďování osobních údajů je důležité správně zorganizovat proces od samého začátku, abyste se vyhnuli příkazům Roskomnadzor při kontrolách pro taková běžná porušení, jako je nedostatek souhlasu ve formuláři zpětné vazby nebo absence vyskakovacího banneru v případech, kdy společnost používá soubory cookie pro návštěvníky stránek. V současné době se plánují změny zákona č. 152-FZ, které vyjasní mnoho nejednoznačných bodů v regulatorních požadavcích na ochranu osobních údajů. Například Státní duma v současné době zvažuje návrh zákona 1, který umožňuje získat jeden písemný souhlas pro více účelů zpracování osobních údajů najednou, což ustanovení současného zákona nestanoví. Roskomnadzor navíc plánuje vypracovat metodická doporučení k anonymizaci dat pro komerční společnosti. Dnes je takový dokument platný pouze pro vládní organizace, což vyvolává velké množství otázek ze strany podniků. Je však důležité pochopit, že i když budou tyto změny ustanovení zákona č. 152-FZ přijaty, zůstane mnoho otevřených otázek, což vyžaduje věnovat zvýšenou pozornost budování procesů zpracování osobních údajů.

READ
Jak podávat oxytetracyklin kuřatům?

1 Text zákona č. 992331-7 „o změně federálního zákona „o osobních údajích“ a materiály k němu lze nalézt na oficiálních stránkách Státní dumy.

Vysvětlení Roskomnadzoru k postupu při ochraně osobních údajů

Osobní údaje jsou jakékoli informace týkající se jednotlivce. Mezi osobní údaje patří celé jméno, datum narození, adresa, rodinný stav, vzdělání, povolání, pohlaví, státní občanství, údaje o dokladu totožnosti, email, číslo bankovní karty. Provozovatelé zpracovávající osobní údaje často zapomínají do seznamu údajů uvést údaje o složení rodiny, pracovních a všeobecných zkušenostech, zastávané pozici, vojenské registraci, národnosti, INN a SNILS (jedná se o osobní údaje i bez odkazu na celé jméno). Pokud je DIČ uvedeno v Jednotném státním rejstříku právnických osob, jedná se o veřejně dostupnou informaci týkající se daňové legislativy, v ostatních případech se však jedná o PD (osobní údaje). Telefonní číslo bez dalších informací není osobním údajem, protože se vztahuje k zařízení uživatele. Také státní číslo vozu není PD, protože se vztahuje k vozidlu.

Jednotliví podnikatelé jsou provozovatelé PD. Kategorie subjektů osobních údajů mohou zahrnovat nejen zaměstnance, akcionáře, klienty, fyzické osoby v občanskoprávních vztazích, ale také žadatele, propuštěné zaměstnance a příbuzné zaměstnanců/klientů.

Zpracování osobních údajů

Právními důvody pro zpracování PD jsou zákoník práce Ruské federace, daňový řád Ruské federace, Všeobecná licence pro bankovní operace, federální zákon č. 115-FZ, . Často v právních základech zpracování zapomínají uvést federální zákon č. 353-FZ „O spotřebitelském úvěru (úvěr)“, souhlas se zpracováním osobních údajů (zaměstnanec, žadatel, klient atd.), smlouvy. Federální zákon „O osobních údajích“ není právním základem!

Musí být zveřejněny zásady zpracování PD a místní předpisy týkající se otázek zpracování. Zásady a informace o opatřeních na ochranu osobních údajů jsou zveřejněny na webových stránkách, kde dochází ke zpracování osobních údajů, a také zde může být zveřejněna uživatelská smlouva a podmínky používání služeb. Obecnou politiku můžete publikovat na několika webech, ale měla by v nich být gradace.

Ke zpracování osobních údajů je nutné získat souhlas subjektu PD. V souhlasu musí být uvedena adresa nebo údaje hlavního identifikačního dokladu subjektu, jméno nebo celé jméno a adresa provozovatele OÚ, seznam OÚ, k jejichž zpracování se uděluje souhlas a způsob odvolání souhlasu se zpracováním. PD. Při sepisování textu souhlasu můžete použít standardní formuláře na webu RKN. Doba trvání souhlasu může být omezena na dobu nebo na dosažení cíle.

READ
Co dělat, když orchidej nemá kořeny?

Je přípustné uvést v souhlasu několik účelů, včetně shromažďování informací o souborech cookie (s výjimkou biometriky, zvláštních kategorií a přeshraničního přenosu na území zemí, které nejsou dostatečné pro ochranu osobních údajů). Po dobu rozhodování o zaměstnání je nutné získat souhlas se zpracováním osobních údajů od uchazeče a jeho blízkých osob, jsou-li informace o nich vyžadovány. Pokud subjekty PD jednají v zájmu třetích osob, je nutný jejich souhlas a plná moc (např. při registraci turistického balíčku).

Při zveřejňování fotografií a dalších informací o zaměstnancích na stránkách je nutný jejich souhlas. To se netýká učitelů a státních zaměstnanců, ale pokud je jakkoli překročen minimální výčet PD ze zákona, je třeba získat i jejich souhlas.

K předání osobních údajů zaměstnanců v rámci ruské skupiny společností je nutné získat jejich písemný souhlas a v rámci mezinárodní skupiny společností písemný souhlas a smlouvu o postoupení s centrálou. Souhlas jednoho zaměstnance s uvedením každé protistrany je dán pro jeden účel zpracování PD.

Při předávání OÚ zaměstnanců lze třetí osoby zúčastněné na základě smlouvy o obchodním zastoupení sloučit do jednoho souhlasu (pokud je účel zpracování OÚ stejný). Třetí osoby zúčastněné na základě smlouvy o obchodním zastoupení podávají oznámení o zpracování PD s výjimkou části 2 čl. 22 Federální zákon „O PD“. Provozovatel není povinen poskytovat třetí osobě na základě smlouvy o zastoupení informace o právních důvodech zpracování osobních údajů.

Po dosažení účelů zpracování osobních údajů je nutné je zlikvidovat a vydat potvrzení o likvidaci. Častým porušením tohoto požadavku je zpracování OÚ uchazečů po rozhodnutí o odmítnutí zaměstnání (při absenci externí personální rezervy s výjimkou státních zaměstnanců) a zpracování OÚ v informačním systému osobních údajů po ve lhůtách uvedených v zákoně. Postup pro likvidaci osobních údajů musí být stanoven v místních předpisech.

Povinnosti operátora

O zpracování PD je nutné podávat oznámení Roskomnadzoru. Oznámení uvádí pouze jednu odpovědnou osobu a uvádí její e-mail a telefonní číslo. Pokud dojde ke změně kontaktních údajů, je třeba o tom informovat RKN.

Pokud má zahraniční právnická osoba zastoupení v Ruské federaci, pak je možné podat oznámení, ale pokud ne, pak není nutné oznámení podávat. Taková organizace však musí splňovat požadavky na lokalizaci (databáze pro zpracování osobních údajů se musí nacházet na území Ruské federace). Každé dva roky jsou navíc proti takovým zahraničním společnostem prováděny kontroly.

READ
Jak chutná králičí maso?

Aby nedocházelo k porušování pravidel v podobě poskytování neúplných nebo nespolehlivých informací, doporučuje se provést interní audit činnosti provozovatele při zpracování osobních údajů a zajistit, aby odvětvová jednotka odpovědná za vyplnění oznámení odrážela informace nejen o své činnosti (personální , účetnictví). Organizace musí mít plány nebo materiály pro ověřovací činnosti potvrzující vnitřní kontrolu/audit PD (akty, protokoly, memorandum).

Oblíbeným porušením je neúplný seznam účelů zpracování osobních údajů. Často například za účelem zpracování osobních údajů zapomínají uvést organizaci kontroly přístupu a výběr personálu.

Pojem „databáze“ si zaměstnanci RKN vykládají podle svého vnitřního přesvědčení, např. každá tabulka ve Wordu je zároveň databází.
Adresy všech osobních databází musí být uvedeny ve formátu 123456, Moskva, st. ___, d. ___, str. ___, včetně databáze webových stránek a informačního systému osobních údajů provozovatele. Je také nutné pamatovat na to, že databáze PD nejsou pouze informační systémy (server, datové centrum), ale také místa, kde se nacházejí materiálová média (pevné disky, kartotéky).

Při použití cloudové infrastruktury pro úložiště je vyžadována dohoda o přiřazení s poskytovatelem. Cloudová infrastruktura poskytuje přístup a tyto akce znamenají zpracování, a to i bez přístupu k PD.

Po ukončení zpracování osobních údajů nebo pokud se změní informace obsažené v oznámení, je nutné o tom do 10 dnů poskytnout Roskomnadzoru informaci.

Podle federálního zákona č. 152 „O osobních údajích“ musí mít organizace osobu odpovědnou za organizaci zpracování osobních údajů. Porušením je jmenování více osob do této funkce nebo absence této pravomoci v pracovním řádu. Pravomoci odpovědné osoby můžete uvést v pracovní smlouvě nebo v příkazu ke jmenování osoby a svěření pravomocí, ale je lepší to udělat samostatně v popisu práce.

Zaměstnanci provozovatele, kteří přímo zpracovávají osobní údaje, jsou povinni se seznámit s ustanoveními právních předpisů Ruské federace. Pro potvrzení je připraven list, který zaměstnance seznámí s ustanoveními právních předpisů Ruské federace, příslušná ustanovení jsou zahrnuta v pracovní smlouvě se zaměstnancem, pro zaměstnance se konají kurzy (s příjmem dokumentů) a interní školení . Seznámení zaměstnanců s legislativou v elektronické podobě zcela nesplňuje požadavky čl. 86 zákoníku práce Ruské federace.
Rovněž musí být schválen seznam osob, které osobní údaje zpracovávají nebo k nim mají přístup.

Složení přestupků Čl. 13.11 Kodex správních deliktů Ruské federace (porušení právních předpisů Ruské federace v oblasti osobních údajů)

Rating
( No ratings yet )
0
Like this post? Please share to your friends:
You may also like
Multistox recenze
News 0
Multistox recenze
Ve světě obchodování na finančních trzích je jasná a efektivní obchodní strategie klíčem k
Recenze Soft Trade
News 0
Recenze Soft Trade
Ve světě moderních finančních trhů je výběr spolehlivého brokera klíčem k dosažení investičního úspěchu.
Partner Effect obchodník
News 0
Partner Effect obchodník
Ve světě finančního obchodování mohou mít sebemenší změny obchodních podmínek významný dopad na strategii
Soft Capital makléř
News 0
Soft Capital makléř
Soft Capital makléř Společnost Soft Capital, inovátor ve světě online obchodování, učinila odvážný krok
Jak kočičí tráva působí na člověka?
News 0
Jak kočičí tráva působí na člověka?
Dnes budeme hovořit o výhodách a škodách kočičí trávy pro lidi. Catnip neboli kočičí
Jak se vyrábí kukuřice Bonduelle?
News 0
Jak se vyrábí kukuřice Bonduelle?
Jak vyrobit sladkou kukuřici Bonduelle na zimu? Ingredience udávají hmotnost již vyčištěných zrn. Pokud
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

This site uses cookies to store data. By continuing to use the site, you consent to the use of these files.