Gesetz über personenbezogene Daten, Konzept, Speicherung und Verarbeitung personenbezogener Daten von Arbeitnehmern und Bürgern. Welche personenbezogenen Daten sind öffentlich zugänglich? Öffentliche personenbezogene Daten sind

- eine Einzelperson, die von ihr über sich selbst bereitgestellt wird.

Mit schriftlicher Genehmigung des Betroffenen besteht freier Zugang zu öffentlich zugänglichen Daten. Hierzu können auch Informationen zum Thema gehören, die nicht gesetzlich vorgesehen sind.

Ein Subjekt ist eine natürliche Person, deren Informationen von einem Betreiber (juristische oder natürliche Person, kommunale oder staatliche Stelle) für beliebige Zwecke erhoben, gespeichert, verarbeitet und genutzt werden.

Um welche Arten von Informationen handelt es sich?

Die Liste der öffentlich zugänglichen persönlichen Informationen umfasst::

Besonderheiten

Öffentlich zugängliche persönliche Informationen werden in Quellen wie Reisepässen oder anderen Personalausweisen, Führerscheinen, Militärausweisen, Arbeitsbüchern oder Bildungsdiplomen bereitgestellt.

Nicht in allen Fällen ist für die Nutzung eine schriftliche Genehmigung erforderlich; manchmal genügt auch eine Unterschrift oder ein „Häkchen“ im erforderlichen Kästchen (z. B. beim Ausfüllen von Anträgen über das Internet).

Allgemeine Informationen können in öffentlich zugänglichen Quellen eingestellt werden. Sie speichern Informationen zu Themen, darunter verschiedene Verzeichnisse mit Telefonnummern oder Adressen.

FSTEC – der Bundesdienst für technische und Exportkontrolle vergibt Lizenzen an Organisationen, die Dienstleistungen für andere zur Erstellung von Systemen zum Schutz personenbezogener Daten erbringen. Das Datenschutzsystem wird für Ihre eigenen Bedürfnisse erstellt, eine Lizenz ist dafür nicht erforderlich.

Eine natürliche Person hat das Recht, Informationen über den Betreiber zu erhalten und den konkreten Zweck zu erfahren, den der Betreiber mit der Verarbeitung verfolgt.

Der Betroffene hat das uneingeschränkte Recht, einen Antrag einzureichen, dessen Genehmigung es Ihnen ermöglicht, personenbezogene Daten zu klären, zu sperren oder zu vernichten, falls diese veraltet, ungültig, unvollständig sind oder deren Anwesenheit bei der Verarbeitung nicht erforderlich ist.

Eine Person hat unter anderem das Recht, vom Betreiber Zugriff auf ihre persönlichen Daten zu verlangen und sich mit den Mitteln zur Verarbeitung von Informationen vertraut zu machen. Operatoren sind Spezialisten, die an der Verarbeitung von Informationen über eine Person beteiligt sind..

Stellen für die Verarbeitung personenbezogener Daten sind alle Organisationen, die Informationen über Mitarbeiter, Kunden und Lieferanten erheben, verarbeiten, sammeln und speichern.

Erfahren Sie mehr darüber, in welchen Fällen eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist.

Wann sind sie in Open Source enthalten?

Die Aufnahme von Informationen in öffentlich zugängliche Quellen erfolgt in verschiedenen Situationen, zum Beispiel:

während der Beschäftigung und beim Abschluss eines Arbeitsvertrages;
während des Volkszählungsprozesses;
Aufbau von Handelsbeziehungen usw.

Die Betreiber sind verpflichtet, die Sicherheit des Arbeitsprozesses zu organisieren. Sie müssen sicherstellen, dass die personenbezogenen Daten der Betroffenen vollständig vor dem Zugriff Unbefugter geschützt sind.

Im Rahmen des Inkassovorgangs ist für die Weiterverarbeitung eine schriftliche Einwilligung des Betreibers einzuholen. Die Verarbeitung umfasst Informationen über den Betreff und den Betreiber (vollständiger Name, Adresse), den Zweck der Verarbeitung und eine Liste der erforderlichen Informationen sowie eine Beschreibung der mit ihnen durchgeführten Vorgänge.

Angenommen von der Staatsduma am 8. Juli 2006
Genehmigt vom Föderationsrat am 14. Juli 2006

Kapitel 1. Allgemeine Bestimmungen

Artikel 1. Geltungsbereich dieses Bundesgesetzes

1. Dieses Bundesgesetz regelt die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Bundesbehörden und Regierungsbehörden der Teilstaaten Russische Föderation, andere staatliche Stellen (im Folgenden als staatliche Stellen bezeichnet), lokale Regierungsstellen, kommunale Stellen, die nicht zum System der kommunalen Stellen gehören (im Folgenden als kommunale Stellen bezeichnet), juristische Personen, Einzelpersonen, die Automatisierungstools verwenden oder solche nicht verwenden bedeutet, wenn die Verarbeitung personenbezogener Daten ohne den Einsatz solcher Mittel der Art der mit personenbezogenen Daten mithilfe von Automatisierungstools durchgeführten Aktionen (Vorgänge) entspricht.

2. Dieses Bundesgesetz gilt nicht für Beziehungen, die entstehen, wenn:

1) Verarbeitung personenbezogener Daten durch Einzelpersonen ausschließlich für persönliche und familiäre Zwecke, es sei denn, die Rechte der Personen, die personenbezogene Daten verarbeiten, werden verletzt;

2) Organisation der Aufbewahrung, Beschaffung, Aufzeichnung und Nutzung von Dokumenten des Archivfonds der Russischen Föderation und anderer Archivdokumente, die personenbezogene Daten enthalten, gemäß der Gesetzgebung zu Archivangelegenheiten in der Russischen Föderation;

3) Verarbeitung von Informationen über natürliche Personen, die der Eintragung in das einheitliche staatliche Register einzelner Unternehmer unterliegen, wenn diese Verarbeitung im Zusammenhang mit den Tätigkeiten gemäß den Rechtsvorschriften der Russischen Föderation erfolgt Individuell als Einzelunternehmer;

4) Verarbeitung der darin enthaltenen personenbezogenen Daten in der vorgeschriebenen Weise auf Informationen, die ein Staatsgeheimnis darstellen.

Artikel 2. Zweck dieses Bundesgesetzes

Der Zweck dieses Bundesgesetzes besteht darin, den Schutz der Rechte und Freiheiten des Menschen und Bürgers bei der Verarbeitung seiner personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes der Rechte auf Privatsphäre sowie auf persönliche und familiäre Geheimnisse.

Artikel 3. Grundbegriffe dieses Bundesgesetzes

Im Sinne dieses Bundesgesetzes werden folgende Grundbegriffe verwendet:

1) Personenbezogene Daten – alle Informationen, die sich auf eine Person beziehen, die auf der Grundlage dieser Informationen identifiziert oder bestimmt wurde (Gegenstand personenbezogener Daten), einschließlich Nachname, Vorname, Vatersname, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie , Soziales, Vermögensstatus, Bildung, Beruf, Einkommen, andere Informationen;

2) Betreiber – eine staatliche Stelle, eine kommunale Körperschaft, eine juristische Person oder eine Einzelperson, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie die Zwecke und den Inhalt der Verarbeitung personenbezogener Daten festlegt;

3) Verarbeitung personenbezogener Daten – Handlungen (Vorgänge) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung (einschließlich Übertragung), Depersonalisierung, Sperrung, Zerstörung personenbezogener Daten;

4) Verbreitung personenbezogener Daten – Maßnahmen, die darauf abzielen, personenbezogene Daten an einen bestimmten Personenkreis zu übermitteln (Übermittlung personenbezogener Daten) oder mit personenbezogenen Daten eines unbegrenzten Personenkreises vertraut zu machen, einschließlich der Veröffentlichung personenbezogener Daten in den Medien, Veröffentlichung in Informations- und Telekommunikationsnetze oder sonstige Bereitstellung des Zugangs zu personenbezogenen Daten;

5) Verwendung personenbezogener Daten – Handlungen (Vorgänge) mit personenbezogenen Daten, die der Betreiber zum Zweck der Entscheidungsfindung oder Durchführung anderer Handlungen durchführt, die rechtliche Konsequenzen gegenüber dem Subjekt personenbezogener Daten oder anderen Personen nach sich ziehen oder die Rechte anderweitig beeinträchtigen und Freiheiten des Subjekts personenbezogener Daten oder anderer Personen;

6) Sperrung personenbezogener Daten – vorübergehende Einstellung der Erhebung, Systematisierung, Ansammlung, Nutzung, Verbreitung personenbezogener Daten, einschließlich ihrer Übermittlung;

7) Vernichtung personenbezogener Daten – Handlungen, aufgrund derer es unmöglich ist, den Inhalt personenbezogener Daten wiederherzustellen Informationssystem personenbezogene Daten oder dadurch, dass materielle Datenträger personenbezogener Daten vernichtet werden;

8) Depersonalisierung personenbezogener Daten – Handlungen, aufgrund derer es unmöglich ist, den Besitz personenbezogener Daten durch ein bestimmtes Subjekt personenbezogener Daten zu bestimmen;

9) Informationssystem für personenbezogene Daten – ein Informationssystem, bei dem es sich um eine Reihe personenbezogener Daten handelt, die in der Datenbank enthalten sind, sowie um Informationstechnologien und technische Mittel, die die Verarbeitung dieser personenbezogenen Daten mithilfe von Automatisierungstools oder ohne den Einsatz solcher Tools ermöglichen;

10) Vertraulichkeit personenbezogener Daten – eine zwingende Anforderung für den Betreiber oder eine andere Person, die Zugriff auf personenbezogene Daten hat, deren Weitergabe ohne Zustimmung des Betroffenen der personenbezogenen Daten oder ohne Vorliegen einer anderen Rechtsgrundlage nicht zuzulassen;

11) grenzüberschreitende Übermittlung personenbezogener Daten – Übermittlung personenbezogener Daten durch den Betreiber über die Staatsgrenze der Russischen Föderation an eine Behörde eines ausländischen Staates, eine natürliche oder juristische Person eines ausländischen Staates;

12) öffentlich zugängliche personenbezogene Daten – personenbezogene Daten, zu denen mit Zustimmung des Betroffenen personenbezogener Daten einer unbegrenzten Anzahl von Personen Zugang gewährt wird oder die gemäß Bundesgesetzen keinen Vertraulichkeitsanforderungen unterliegen.

Artikel 4. Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten

1. Die Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten basiert auf der Verfassung der Russischen Föderation und internationalen Verträgen der Russischen Föderation und besteht aus diesem Bundesgesetz und anderen Bundesgesetzen, die Fälle und Merkmale der Verarbeitung personenbezogener Daten festlegen .

2. Auf der Grundlage und in Durchführung von Bundesgesetzen können Landesbehörden im Rahmen ihrer Befugnisse Regelungen zu bestimmten Fragen der Verarbeitung personenbezogener Daten erlassen. Regulierungsrechtsakte zu bestimmten Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten dürfen keine Bestimmungen enthalten, die die Rechte personenbezogener Datensubjekte einschränken.

Die genannten Rechtsakte unterliegen der amtlichen Veröffentlichung, mit Ausnahme von Rechtsakten oder einzelnen Bestimmungen solcher Rechtsakte, die Informationen enthalten, deren Zugang durch Bundesgesetze beschränkt ist.

3. Merkmale der Verarbeitung personenbezogener Daten, die ohne den Einsatz von Automatisierungstools durchgeführt wird, können durch Bundesgesetze und andere Rechtsakte der Russischen Föderation unter Berücksichtigung der Bestimmungen dieses Bundesgesetzes festgelegt werden.

4. Wenn ein internationaler Vertrag der Russischen Föderation andere als die in diesem Bundesgesetz vorgesehenen Regeln festlegt, gelten die Regeln des internationalen Vertrags.

Kapitel 2. Grundsätze und Bedingungen für die Verarbeitung personenbezogener Daten

Artikel 5. Grundsätze für die Verarbeitung personenbezogener Daten S

1. Die Verarbeitung personenbezogener Daten muss auf der Grundlage der Grundsätze erfolgen:

1) die Rechtmäßigkeit der Zwecke und Methoden der Verarbeitung personenbezogener Daten und deren Integrität;

2) Übereinstimmung der Zwecke der Verarbeitung personenbezogener Daten mit den bei der Erhebung personenbezogener Daten festgelegten und angegebenen Zielen sowie mit den Befugnissen des Betreibers;

3) Einhaltung des Umfangs und der Art der verarbeiteten personenbezogenen Daten, Methoden der Verarbeitung personenbezogener Daten für die Zwecke der Verarbeitung personenbezogener Daten;

4) die Zuverlässigkeit personenbezogener Daten, ihre Eignung für die Zwecke der Verarbeitung, die Unzulässigkeit der Verarbeitung personenbezogener Daten, die im Verhältnis zu den bei der Erhebung personenbezogener Daten angegebenen Zwecken übermäßig sind;

5) die Unzulässigkeit der Kombination von Datenbanken mit Informationssystemen für personenbezogene Daten, die für inkompatible Zwecke erstellt wurden.

2. Personenbezogene Daten müssen in einer Form gespeichert werden, die es ermöglicht, die Person der personenbezogenen Daten nicht länger zu identifizieren, als es für die Zwecke ihrer Verarbeitung erforderlich ist, und sie unterliegen der Vernichtung bei Erreichen der Zwecke der Verarbeitung oder in diesem Fall des Verlustes der Notwendigkeit, sie zu erreichen.

Artikel 6. Bedingungen für die Verarbeitung personenbezogener Daten

1. Die Verarbeitung personenbezogener Daten kann vom Betreiber mit Zustimmung der Betroffenen personenbezogener Daten erfolgen, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle.

2. Die in Teil 1 dieses Artikels vorgesehene Einwilligung des Betroffenen personenbezogener Daten ist in den folgenden Fällen nicht erforderlich:

1) Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage eines Bundesgesetzes, das ihren Zweck, die Bedingungen für die Erhebung personenbezogener Daten und den Kreis der Subjekte, deren personenbezogene Daten verarbeitet werden, sowie die Befugnisse des Betreibers festlegt;

2) Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Erfüllung eines Vertrags, dessen Vertragspartei Gegenstand personenbezogener Daten ist.

3) die Verarbeitung personenbezogener Daten erfolgt zu statistischen oder anderen wissenschaftlichen Zwecken, vorbehaltlich der obligatorischen Anonymisierung personenbezogener Daten;

4) Die Verarbeitung personenbezogener Daten ist zum Schutz des Lebens, der Gesundheit oder anderer lebenswichtiger Interessen des Betroffenen personenbezogener Daten erforderlich, wenn die Einholung der Einwilligung des Betroffenen personenbezogener Daten nicht möglich ist.

5) Die Verarbeitung personenbezogener Daten ist für die Lieferung erforderlich Postsendungen Postorganisationen für Telekommunikationsbetreiber zur Abrechnung mit Nutzern von Kommunikationsdiensten für erbrachte Kommunikationsdienste sowie zur Prüfung von Ansprüchen von Nutzern von Kommunikationsdiensten;

6) Die Verarbeitung personenbezogener Daten erfolgt zum Zwecke der beruflichen Tätigkeit eines Journalisten oder zum Zwecke wissenschaftlicher, literarischer oder sonstiger kreativer Tätigkeiten, sofern die Rechte und Freiheiten des Subjekts personenbezogener Daten nicht verletzt werden;

7) Es werden personenbezogene Daten verarbeitet, die gemäß den Bundesgesetzen der Veröffentlichung unterliegen, einschließlich personenbezogener Daten von Personen, die Regierungsämter innehaben, Positionen im Staatsbeamtentum, personenbezogene Daten von Kandidaten für gewählte staatliche oder kommunale Ämter.

3. Merkmale der Verarbeitung besonderer Kategorien personenbezogener Daten sowie biometrischer personenbezogener Daten sind in den Artikeln 10 und 11 dieses Bundesgesetzes festgelegt.

4. Wenn der Betreiber aufgrund eines Vertrags die Verarbeitung personenbezogener Daten einer anderen Person anvertraut, ist eine wesentliche Vertragsbedingung die Verpflichtung der angegebenen Person, die Vertraulichkeit personenbezogener Daten und die Sicherheit personenbezogener Daten während der Verarbeitung zu gewährleisten deren Verarbeitung.

Artikel 7. Vertraulichkeit personenbezogener Daten

1. Betreiber und Dritte, die Zugriff auf personenbezogene Daten erhalten, müssen die Vertraulichkeit dieser Daten gewährleisten, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle.

2. Die Gewährleistung der Vertraulichkeit personenbezogener Daten ist nicht erforderlich:

1) im Falle einer Depersonalisierung personenbezogener Daten;

2) in Bezug auf öffentlich zugängliche personenbezogene Daten.

Artikel 8. Öffentliche Quellen personenbezogener Daten

1. Zum Zweck der Informationsunterstützung können öffentlich zugängliche Quellen personenbezogener Daten erstellt werden (einschließlich Verzeichnisse, Adressbücher). Zu öffentlich zugänglichen Quellen personenbezogener Daten von schriftliche Zustimmung Zu den personenbezogenen Daten des Subjekts können sein Nachname, Vorname, Vatersname, Geburtsjahr und -ort, Adresse, Abonnentenanzahl, Informationen über den Beruf und andere personenbezogene Daten, die von der betroffenen Person bereitgestellt werden.

2. Informationen über den Gegenstand personenbezogener Daten können auf Antrag des Betroffenen personenbezogener Daten oder durch Entscheidung eines Gerichts oder einer anderen autorisierten Regierungsstelle jederzeit aus öffentlich zugänglichen Quellen personenbezogener Daten ausgeschlossen werden.

Artikel 9. Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten

1. Der Betroffene der personenbezogenen Daten entscheidet, seine personenbezogenen Daten bereitzustellen und stimmt deren Verarbeitung aus eigenem Willen und in seinem eigenen Interesse zu, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle. Die Einwilligung zur Verarbeitung personenbezogener Daten kann von der betroffenen Person widerrufen werden.

2. Dieses Bundesgesetz und andere Bundesgesetze sehen Fälle der zwingenden Bereitstellung personenbezogener Daten durch den Betroffenen vor, um die Grundlagen der Verfassungsordnung, die Moral, die Gesundheit, die Rechte und berechtigten Interessen anderer Personen zu schützen die Verteidigung des Landes und die Sicherheit des Staates.

3. Die Verpflichtung, den Nachweis über die Einholung der Einwilligung des Betroffenen personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten zu erbringen, und im Falle der Verarbeitung öffentlich zugänglicher personenbezogener Daten liegt die Pflicht zum Nachweis, dass die verarbeiteten personenbezogenen Daten öffentlich zugänglich sind der Betreiber.

4. In den in diesem Bundesgesetz vorgesehenen Fällen erfolgt die Verarbeitung personenbezogener Daten nur mit schriftlicher Einwilligung des Betroffenen der personenbezogenen Daten. Die schriftliche Einwilligung des Betroffenen zur Verarbeitung seiner personenbezogenen Daten muss Folgendes umfassen:

1) Nachname, Vorname, Vatersname, Adresse des Subjekts personenbezogener Daten, Nummer des Hauptdokuments zum Nachweis seiner Identität, Informationen über das Ausstellungsdatum des angegebenen Dokuments und die ausstellende Behörde;

2) Name (Nachname, Vorname, Vatersname) und Anschrift des Betreibers, der die Zustimmung des Subjekts der personenbezogenen Daten erhält;

3) der Zweck der Verarbeitung personenbezogener Daten;

4) eine Liste personenbezogener Daten, für deren Verarbeitung die Einwilligung des Betroffenen der personenbezogenen Daten erteilt wird;

5) eine Liste der Aktionen mit personenbezogenen Daten, für die eine Einwilligung erteilt wird, eine allgemeine Beschreibung der Methoden, die der Betreiber zur Verarbeitung personenbezogener Daten verwendet;

6) die Gültigkeitsdauer der Einwilligung sowie das Verfahren für ihren Widerruf.

5. Für die Verarbeitung personenbezogener Daten, die in der schriftlichen Einwilligung des Betroffenen zur Verarbeitung seiner personenbezogenen Daten enthalten sind, ist keine zusätzliche Einwilligung erforderlich.

6. Im Falle der Unfähigkeit des Betroffenen der personenbezogenen Daten wird die Einwilligung zur Verarbeitung seiner personenbezogenen Daten schriftlich vom gesetzlichen Vertreter des Betroffenen der personenbezogenen Daten erteilt.

7. Im Falle des Todes des Betroffenen personenbezogener Daten wird die Einwilligung zur Verarbeitung seiner personenbezogenen Daten von den Erben des Betroffenen personenbezogener Daten schriftlich erteilt, sofern diese Einwilligung vom Betroffenen personenbezogener Daten nicht erteilt wurde sein Leben.

Artikel 10. Besondere Kategorien personenbezogener Daten

1. Die Verarbeitung besonderer Kategorien personenbezogener Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand und Intimleben ist nicht gestattet, außer in den in Teil 2 dieses Artikels genannten Fällen.

2. Die Verarbeitung der in Teil 1 dieses Artikels genannten besonderen Kategorien personenbezogener Daten ist in folgenden Fällen zulässig:

1) Der Betroffene der personenbezogenen Daten hat der Verarbeitung seiner personenbezogenen Daten schriftlich zugestimmt;

2) personenbezogene Daten sind öffentlich zugänglich;

3) Personenbezogene Daten beziehen sich auf den Gesundheitszustand des Subjekts personenbezogener Daten und ihre Verarbeitung ist zum Schutz seines Lebens, seiner Gesundheit oder anderer lebenswichtiger Interessen oder des Lebens, seiner Gesundheit oder anderer lebenswichtiger Interessen anderer Personen und zur Einholung der Einwilligung des Subjekts erforderlich personenbezogener Daten ist nicht möglich;

4) Die Verarbeitung personenbezogener Daten erfolgt zu medizinischen und präventiven Zwecken, zur Erstellung einer medizinischen Diagnose, zur Erbringung medizinischer, medizinischer und sozialer Dienstleistungen, sofern die Verarbeitung personenbezogener Daten durch eine Person erfolgt, die beruflich medizinische Tätigkeiten ausübt und gemäß der Gesetzgebung der Russischen Föderation zur Wahrung der ärztlichen Schweigepflicht verpflichtet;

5) Die Verarbeitung personenbezogener Daten von Mitgliedern (Teilnehmern) einer öffentlichen Vereinigung oder religiösen Organisation erfolgt durch die entsprechende öffentliche Vereinigung oder religiöse Organisation, die im Einklang mit den Rechtsvorschriften der Russischen Föderation tätig ist, um die darin vorgesehenen gesetzlichen Zwecke zu erreichen Gründungsdokumente, sofern personenbezogene Daten nicht ohne schriftliche Zustimmung der Personen, die personenbezogene Daten verarbeiten, weitergegeben werden;

6) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Rechtspflege erforderlich;

7) Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit den Rechtsvorschriften der Russischen Föderation über Sicherheit, über operative Ermittlungstätigkeiten sowie in Übereinstimmung mit der strafrechtlichen Exekutivgesetzgebung der Russischen Föderation.

3. Die Verarbeitung personenbezogener Daten aus einem Strafregister kann durch staatliche Stellen oder kommunale Stellen im Rahmen der ihnen gemäß den Rechtsvorschriften der Russischen Föderation eingeräumten Befugnisse sowie durch andere Personen in den Fällen und auf die in festgelegte Weise erfolgen in Übereinstimmung mit den Bundesgesetzen.

4. Die Verarbeitung besonderer Kategorien personenbezogener Daten, die in den in den Teilen 2 und 3 dieses Artikels vorgesehenen Fällen durchgeführt wird, muss sofort eingestellt werden, wenn die Gründe, aus denen die Verarbeitung durchgeführt wurde, beseitigt sind.

Artikel 11. Biometrische personenbezogene Daten

1. Informationen, die die physiologischen Eigenschaften einer Person charakterisieren und auf deren Grundlage ihre Identität festgestellt werden kann (biometrische personenbezogene Daten), dürfen nur mit schriftlicher Zustimmung des Betroffenen der personenbezogenen Daten verarbeitet werden, außer in den Fällen, die in vorgesehen sind Teil 2 dieses Artikels.

2. Die Verarbeitung biometrischer personenbezogener Daten kann ohne Zustimmung der betroffenen Person im Zusammenhang mit der Rechtspflege sowie in Fällen, die in den Sicherheitsgesetzen der Russischen Föderation vorgesehen sind, in den Rechtsvorschriften der Russischen Föderation erfolgen Föderation über operative Ermittlungstätigkeiten, die Gesetzgebung der Russischen Föderation über den öffentlichen Dienst, die Strafverfolgungsgesetzgebung der Russischen Föderation, die Gesetzgebung der Russischen Föderation über das Verfahren zur Ausreise aus der Russischen Föderation und zur Einreise in die Russische Föderation.

Artikel 12. Grenzüberschreitende Übermittlung personenbezogener Daten

1. Vor Beginn der grenzüberschreitenden Übermittlung personenbezogener Daten ist der Betreiber verpflichtet, sicherzustellen, dass der ausländische Staat, in dessen Hoheitsgebiet die Übermittlung personenbezogener Daten erfolgt, einen angemessenen Schutz der Rechte der Betroffenen personenbezogener Daten gewährleistet.

2. Die grenzüberschreitende Übermittlung personenbezogener Daten im Hoheitsgebiet ausländischer Staaten, die einen angemessenen Schutz der Rechte personenbezogener Datensubjekte gewährleisten, erfolgt in Übereinstimmung mit diesem Bundesgesetz und kann zum Schutz der Grundlagen der Verfassung verboten oder eingeschränkt werden System der Russischen Föderation, Moral, Gesundheit, Rechte und legitime Interessen der Bürger, Gewährleistung der Verteidigung des Landes und der Staatssicherheit.

3. Die grenzüberschreitende Übermittlung personenbezogener Daten in das Hoheitsgebiet ausländischer Staaten, die keinen angemessenen Schutz der Rechte personenbezogener Daten bieten, kann in folgenden Fällen erfolgen:

1) das Vorliegen einer schriftlichen Einwilligung des Betroffenen der personenbezogenen Daten;

2) vorgesehen in internationalen Verträgen der Russischen Föderation über die Erteilung von Visa sowie in internationalen Verträgen der Russischen Föderation über die Bereitstellung von Rechtshilfe in Zivil-, Familien- und Strafsachen;

3) durch Bundesgesetze vorgesehen, falls erforderlich, um die Grundlagen des Verfassungssystems der Russischen Föderation zu schützen, die Verteidigung des Landes und die Sicherheit des Staates zu gewährleisten;

4) Ausführung eines Vertrags, dessen Vertragspartei die betroffene Person ist;

5) Schutz des Lebens, der Gesundheit und anderer lebenswichtiger Interessen des Betroffenen personenbezogener Daten oder anderer Personen, wenn eine schriftliche Einwilligung des Betroffenen personenbezogener Daten nicht eingeholt werden kann.

Artikel 13. Merkmale der Verarbeitung personenbezogener Daten in staatlichen oder kommunalen Informationssystemen für personenbezogene Daten

1. Staatsorgane und kommunale Körperschaften erstellen im Rahmen ihrer durch Bundesgesetze festgelegten Befugnisse staatliche oder kommunale Informationssysteme für personenbezogene Daten.

2. Bundesgesetze können Merkmale der Erfassung personenbezogener Daten in staatlichen und kommunalen Informationssystemen personenbezogener Daten, einschließlich der Nutzung, festlegen auf verschiedene Arten Bezeichnung des Eigentums an personenbezogenen Daten, die im jeweiligen staatlichen oder kommunalen Informationssystem für personenbezogene Daten enthalten sind, an ein bestimmtes Subjekt personenbezogener Daten.

3. Die Rechte und Freiheiten einer Person und eines Bürgers können nicht aus Gründen eingeschränkt werden, die mit der Verwendung verschiedener Methoden zur Verarbeitung personenbezogener Daten oder der Zuweisung des Eigentums an personenbezogenen Daten, die in staatlichen oder kommunalen Informationssystemen für personenbezogene Daten enthalten sind, an einen bestimmten personenbezogenen Datensubjekt zusammenhängen Daten. Es ist nicht gestattet, Methoden zu verwenden, die die Gefühle der Bürger verletzen oder die Menschenwürde herabsetzen, um das Eigentum an personenbezogenen Daten, die in staatlichen oder kommunalen Informationssystemen für personenbezogene Daten enthalten sind, einem bestimmten Subjekt personenbezogener Daten anzuzeigen.

4. Um die Umsetzung der Rechte personenbezogener Datensubjekte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten in staatlichen oder kommunalen Informationssystemen für personenbezogene Daten sicherzustellen, kann ein staatliches Bevölkerungsregister erstellt werden, dessen Rechtsstatus und das Verfahren für Zusammenarbeit mit denen durch Bundesgesetz festgelegt ist.

Kapitel 3. Rechte des Betroffenen personenbezogener Daten

Artikel 14. Das Recht der betroffenen Person, auf ihre personenbezogenen Daten zuzugreifen

1. Der Betroffene der personenbezogenen Daten hat das Recht, Informationen über den Betreiber, seinen Standort und darüber zu erhalten, ob der Betreiber über personenbezogene Daten des betreffenden Gegenstands der personenbezogenen Daten verfügt, sowie sich mit diesen personenbezogenen Daten vertraut zu machen, außer in Ausnahmefällen in Teil 5 dieses Artikels vorgesehen. Der Betroffene personenbezogener Daten hat das Recht, vom Betreiber die Klärung seiner personenbezogenen Daten, deren Sperrung oder Vernichtung zu verlangen, wenn die personenbezogenen Daten unvollständig, veraltet, unzuverlässig, unrechtmäßig erlangt oder für den angegebenen Verarbeitungszweck nicht erforderlich sind als gesetzlich vorgesehene Maßnahmen ergreifen, um seine Rechte zu schützen.

2. Informationen über die Verfügbarkeit personenbezogener Daten müssen der betroffenen Person vom Betreiber in zugänglicher Form zur Verfügung gestellt werden und dürfen keine personenbezogenen Daten enthalten, die sich auf andere Personen personenbezogener Daten beziehen.

3. Der Zugriff auf Ihre personenbezogenen Daten wird dem Betroffenen oder seinem gesetzlichen Vertreter vom Betreiber auf Antrag oder auf Anfrage des Betroffenen oder seines gesetzlichen Vertreters gewährt. Der Antrag muss die Nummer des Hauptdokuments zur Identifizierung des Subjekts personenbezogener Daten oder seines gesetzlichen Vertreters, Informationen zum Ausstellungsdatum des angegebenen Dokuments und der ausstellenden Behörde sowie die handschriftliche Unterschrift des Subjekts personenbezogener Daten oder seines gesetzlichen Vertreters enthalten. Der Antrag kann elektronisch übermittelt und elektronisch unterzeichnet werden Digitale Unterschrift in Übereinstimmung mit der Gesetzgebung der Russischen Föderation.

4. Der Betroffene personenbezogener Daten hat das Recht, bei der Beantragung oder Erhalt einer Anfrage Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten, einschließlich folgender Informationen:

1) Bestätigung der Tatsache der Verarbeitung personenbezogener Daten durch den Betreiber sowie des Zwecks dieser Verarbeitung;

2) vom Betreiber verwendete Methoden zur Verarbeitung personenbezogener Daten;

3) Informationen über Personen, die Zugriff auf personenbezogene Daten haben oder denen ein solcher Zugriff gewährt werden kann;

4) eine Liste der verarbeiteten personenbezogenen Daten und die Quelle ihres Empfangs;

5) Bedingungen für die Verarbeitung personenbezogener Daten, einschließlich der Aufbewahrungsfristen;

6) Informationen darüber, welche rechtlichen Konsequenzen die Verarbeitung seiner personenbezogenen Daten für den Betroffenen der personenbezogenen Daten haben kann.

5. Das Recht des Betroffenen personenbezogener Daten auf Zugang zu seinen personenbezogenen Daten ist eingeschränkt, wenn:

1) Die Verarbeitung personenbezogener Daten, einschließlich personenbezogener Daten, die im Rahmen operativer Ermittlungs-, Spionageabwehr- und nachrichtendienstlicher Tätigkeiten gewonnen werden, erfolgt zum Zwecke der Landesverteidigung, der Staatssicherheit und der Strafverfolgung;

2) Die Verarbeitung personenbezogener Daten erfolgt durch Behörden, die die Person personenbezogener Daten wegen des Verdachts der Begehung einer Straftat festgenommen oder in einem Strafverfahren Anklage gegen die Person personenbezogener Daten erhoben oder eine vorbeugende Maßnahme gegen die Person personenbezogener Daten ergriffen haben Daten vor der Erhebung einer Anklage, mit Ausnahme der in der Strafprozessgesetzgebung der Russischen Föderation vorgesehenen Fälle, in denen der Verdächtige oder Angeklagte mit solchen personenbezogenen Daten vertraut werden darf;

3) Die Bereitstellung personenbezogener Daten verstößt gegen die verfassungsmäßigen Rechte und Freiheiten anderer Personen.

Artikel 15. Rechte personenbezogener Datensubjekte bei der Verarbeitung ihrer personenbezogenen Daten zum Zweck der Werbung für Waren, Werke, Dienstleistungen auf dem Markt sowie zum Zwecke der politischen Propaganda

1. Die Verarbeitung personenbezogener Daten zum Zweck der Förderung von Waren, Werken und Dienstleistungen auf dem Markt durch direkte Kontaktaufnahme mit potenziellen Verbrauchern mittels Kommunikation sowie zu Zwecken der politischen Propaganda ist nur mit vorheriger Zustimmung des Betroffenen zulässig persönliche Daten. Es wird davon ausgegangen, dass die angegebene Verarbeitung personenbezogener Daten ohne vorherige Einwilligung des Betroffenen erfolgt, es sei denn, der Betreiber weist nach, dass eine solche Einwilligung eingeholt wurde.

2. Der Betreiber ist verpflichtet, auf Antrag der betroffenen Person die Verarbeitung ihrer in Teil 1 dieses Artikels genannten personenbezogenen Daten unverzüglich einzustellen.

Artikel 16. Rechte personenbezogener Datensubjekte bei Entscheidungen, die ausschließlich auf der automatisierten Verarbeitung ihrer personenbezogenen Daten beruhen

1. Es ist verboten, Entscheidungen ausschließlich auf der Grundlage der automatisierten Verarbeitung personenbezogener Daten zu treffen, die rechtliche Konsequenzen für den Betroffenen personenbezogener Daten nach sich ziehen oder seine Rechte und berechtigten Interessen anderweitig beeinträchtigen, mit Ausnahme der in Teil 2 dieser Verordnung vorgesehenen Fälle Artikel.

2. Eine Entscheidung, die rechtliche Konsequenzen in Bezug auf den Betroffenen personenbezogener Daten nach sich zieht oder seine Rechte und berechtigten Interessen anderweitig beeinträchtigt, kann auf der Grundlage einer ausschließlich automatisierten Verarbeitung seiner personenbezogenen Daten nur mit schriftlicher Zustimmung des Betroffenen personenbezogener Daten getroffen werden oder in Fällen, die in Bundesgesetzen vorgesehen sind, die auch Maßnahmen zur Gewährleistung der Wahrung der Rechte und berechtigten Interessen des Betroffenen personenbezogener Daten festlegen.

3. Der Betreiber ist verpflichtet, dem Betroffenen personenbezogener Daten das Verfahren zur Entscheidungsfindung, die ausschließlich auf der automatisierten Verarbeitung seiner personenbezogenen Daten beruht, und die möglichen rechtlichen Folgen einer solchen Entscheidung zu erläutern, ihm die Möglichkeit zu geben, gegen eine solche Entscheidung Einspruch einzulegen, und außerdem Erläutern Sie das Verfahren für die betroffene Person, um ihre Rechte und berechtigten Interessen zu schützen.

4. Der Betreiber ist verpflichtet, den in Teil 3 dieses Artikels genannten Einspruch innerhalb von sieben Werktagen ab dem Datum seines Erhalts zu prüfen und den Betroffenen der personenbezogenen Daten über die Ergebnisse der Prüfung eines solchen Einspruchs zu informieren.

Artikel 17. Das Recht, gegen die Handlungen oder Unterlassungen des Betreibers Berufung einzulegen

1. Wenn der Betroffene der personenbezogenen Daten der Ansicht ist, dass der Betreiber seine personenbezogenen Daten unter Verstoß gegen die Anforderungen dieses Bundesgesetzes verarbeitet oder auf andere Weise seine Rechte und Freiheiten verletzt, hat der Betroffene der personenbezogenen Daten das Recht, gegen die Handlungen oder Unterlassungen des Betreibers Berufung einzulegen Betreiber an die zuständige Stelle zum Schutz der Rechte personenbezogener Daten oder an ein Gerichtsverfahren.

2. Der Betroffene personenbezogener Daten hat das Recht, seine Rechte und berechtigten Interessen, einschließlich der Entschädigung für Verluste und (oder) der Entschädigung für immateriellen Schaden, vor Gericht zu schützen.

Kapitel 4. Verantwortlichkeiten des Betreibers

Artikel 18. Pflichten des Betreibers bei der Erhebung personenbezogener Daten

1. Bei der Erhebung personenbezogener Daten ist der Betreiber verpflichtet, dem Betroffenen personenbezogener Daten auf dessen Verlangen die in Artikel 14 Teil 4 dieses Bundesgesetzes vorgesehenen Informationen zur Verfügung zu stellen.

2. Wenn die Verpflichtung zur Bereitstellung personenbezogener Daten durch Bundesgesetz festgelegt ist, ist der Betreiber verpflichtet, den Betroffenen der personenbezogenen Daten über die rechtlichen Folgen einer Verweigerung der Bereitstellung seiner personenbezogenen Daten aufzuklären.

3. Wenn vom Subjekt der personenbezogenen Daten keine personenbezogenen Daten eingegangen sind, außer in Fällen, in denen personenbezogene Daten dem Betreiber auf der Grundlage von Bundesgesetzen zur Verfügung gestellt wurden oder wenn personenbezogene Daten öffentlich zugänglich sind, muss der Betreiber vor der Verarbeitung dieser personenbezogenen Daten dies tun verpflichtet, dem Subjekt der personenbezogenen Daten folgende Informationen zur Verfügung zu stellen:

1) Name (Nachname, Vorname, Vatersname) und Anschrift des Betreibers oder seines Vertreters;

2) der Zweck der Verarbeitung personenbezogener Daten und seine Rechtsgrundlage;

3) vorgesehene Nutzer personenbezogener Daten;

4) die in diesem Bundesgesetz festgelegten Rechte des Betroffenen personenbezogener Daten.

Artikel 19. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung

1. Bei der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, die erforderlichen organisatorischen und technischen Maßnahmen, einschließlich der Verwendung von Verschlüsselungsmitteln (kryptografischen Mitteln), zu ergreifen, um personenbezogene Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, Änderung, Sperrung, Kopieren zu schützen. Weitergabe personenbezogener Daten sowie aus anderen rechtswidrigen Handlungen.

2. Die Regierung der Russischen Föderation legt Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten, Anforderungen an materielle Träger biometrischer personenbezogener Daten und Technologien zur Speicherung dieser Daten außerhalb von Informationssystemen für personenbezogene Daten fest.

3. Die Kontrolle und Überwachung der Einhaltung der von der Regierung der Russischen Föderation gemäß Teil 2 dieses Artikels festgelegten Anforderungen erfolgt durch das auf dem Gebiet der Sicherheit befugte föderale Exekutivorgan und das auf diesem Gebiet befugte föderale Exekutivorgan zur Bekämpfung der technischen Aufklärung und des technischen Schutzes von Informationen im Rahmen ihrer Befugnisse und ohne das Recht, sich mit den in Informationssystemen für personenbezogene Daten verarbeiteten personenbezogenen Daten vertraut zu machen.

4. Die Nutzung und Speicherung biometrischer personenbezogener Daten außerhalb von Informationssystemen für personenbezogene Daten darf nur auf solchen materiellen Speichermedien und unter Verwendung einer solchen Speichertechnologie erfolgen, die den Schutz dieser Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, Änderung, Blockieren, Kopieren, Verbreiten.

Artikel 20. Pflichten des Betreibers bei der Beantragung oder Entgegennahme einer Anfrage von einer Person personenbezogener Daten oder ihrem gesetzlichen Vertreter sowie der autorisierten Stelle zum Schutz der Rechte personenbezogener Daten

1. Der Betreiber ist verpflichtet, in der in Artikel 14 dieses Bundesgesetzes vorgesehenen Weise den Betroffenen personenbezogener Daten oder seinen gesetzlichen Vertreter über die Verfügbarkeit personenbezogener Daten in Bezug auf den betreffenden Gegenstand personenbezogener Daten sowie zu informieren Geben Sie die Möglichkeit, sich mit ihnen vertraut zu machen, wenn Sie sich an den Betroffenen der personenbezogenen Daten oder seinen gesetzlichen Vertreter wenden oder innerhalb von zehn Werktagen nach Eingang der Anfrage des Betroffenen der personenbezogenen Daten oder seines gesetzlichen Vertreters.

2. Im Falle der Weigerung, dem Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter bei der Beantragung oder dem Erhalt einer Anfrage von dem Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter Informationen über die Verfügbarkeit personenbezogener Daten über das betreffende Subjekt personenbezogener Daten bereitzustellen, z sowie solche personenbezogenen Daten ist der Betreiber verpflichtet, eine begründete schriftliche Stellungnahme abzugeben, die einen Verweis auf die Bestimmung des Artikels 14 Teil 5 dieses Bundesgesetzes oder eines anderen Bundesgesetzes enthält, das einer solchen Ablehnung zugrunde liegt eine Frist von höchstens sieben Werktagen ab dem Datum der Antragstellung des Betroffenen personenbezogener Daten oder seines gesetzlichen Vertreters oder ab dem Datum des Eingangs des Antrags des Betroffenen personenbezogener Daten oder seines gesetzlichen Vertreters.

3. Der Betreiber ist verpflichtet, dem Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter unentgeltlich die Möglichkeit zu geben, sich mit den personenbezogenen Daten des betreffenden Subjekts personenbezogener Daten vertraut zu machen und die erforderlichen Änderungen daran vorzunehmen. Vernichtung oder Sperrung der betreffenden personenbezogenen Daten nach Bereitstellung von Informationen durch die betroffene Person oder ihren gesetzlichen Vertreter, Bestätigung, dass die personenbezogenen Daten, die sich auf die betreffende Person beziehen und vom Betreiber verarbeitet werden, unvollständig, veraltet, unzuverlässig, illegal erlangt sind oder für den genannten Verarbeitungszweck nicht erforderlich ist. Der Betreiber ist verpflichtet, den Betroffenen personenbezogener Daten oder seinen gesetzlichen Vertreter und Dritte, an die die personenbezogenen Daten dieses Betroffenen weitergegeben wurden, über die vorgenommenen Änderungen und ergriffenen Maßnahmen zu informieren.

4. Der Betreiber ist verpflichtet, der autorisierten Stelle zum Schutz der Rechte personenbezogener Daten auf Anfrage innerhalb von sieben Werktagen nach Erhalt der Anfrage die für die Ausübung der Tätigkeit der genannten Stelle erforderlichen Informationen zur Verfügung zu stellen Anfrage.

Artikel 21. Pflichten des Betreibers, bei der Verarbeitung personenbezogener Daten begangene Rechtsverstöße zu beseitigen sowie personenbezogene Daten zu klären, zu sperren und zu vernichten

1. Im Falle der Entdeckung unzuverlässiger personenbezogener Daten oder rechtswidriger Handlungen mit ihnen durch den Betreiber bei der Kontaktaufnahme oder auf Anfrage des Betroffenen personenbezogener Daten oder seines gesetzlichen Vertreters oder der autorisierten Stelle zum Schutz der Rechte personenbezogener Datensubjekte, der Der Betreiber ist verpflichtet, personenbezogene Daten, die sich auf den entsprechenden personenbezogenen Datengegenstand beziehen, ab dem Zeitpunkt der Antragstellung oder des Erhalts einer solchen Anfrage für die Dauer der Überprüfung zu sperren.

2. Wenn die Tatsache der Unzuverlässigkeit personenbezogener Daten bestätigt wird, kann der Betreiber dies auf der Grundlage von Dokumenten tun, die von der Person der personenbezogenen Daten oder ihrem gesetzlichen Vertreter oder einer autorisierten Stelle zum Schutz der Rechte der Personen personenbezogener Daten oder auf andere erforderliche Weise vorgelegt wurden Dokumente, ist verpflichtet, die personenbezogenen Daten zu klären und deren Sperrung aufzuheben.

3. Werden rechtswidrige Handlungen mit personenbezogenen Daten festgestellt, ist der Betreiber verpflichtet, die Verstöße innerhalb einer Frist von höchstens drei Werktagen ab dem Datum der Feststellung zu beseitigen. Wenn es nicht möglich ist, die begangenen Verstöße zu beseitigen, ist der Betreiber verpflichtet, die personenbezogenen Daten innerhalb einer Frist von höchstens drei Werktagen ab dem Datum der Entdeckung rechtswidriger Handlungen mit personenbezogenen Daten zu vernichten. Der Betreiber ist verpflichtet, den Betroffenen personenbezogener Daten oder seinen gesetzlichen Vertreter über die Beseitigung von Verstößen oder die Vernichtung personenbezogener Daten zu informieren, und wenn die Beschwerde oder der Antrag von der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten übermittelt wurde, auch die angegebene Stelle.

4. Wenn der Zweck der Verarbeitung personenbezogener Daten erreicht wird, ist der Betreiber verpflichtet, die Verarbeitung personenbezogener Daten unverzüglich einzustellen und die entsprechenden personenbezogenen Daten innerhalb einer Frist von höchstens drei Werktagen ab dem Datum der Erreichung des Zwecks der Verarbeitung personenbezogener Daten zu vernichten, sofern nicht anders angegeben durch Bundesgesetze vorgesehen, und benachrichtigen Sie den Betroffenen personenbezogener Daten über diese Daten oder seinen gesetzlichen Vertreter, und wenn die Beschwerde oder der Antrag von der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten gestellt wurde, auch der angegebenen Stelle.

5. Wenn der Betroffene der personenbezogenen Daten die Einwilligung zur Verarbeitung seiner personenbezogenen Daten widerruft, ist der Betreiber verpflichtet, die Verarbeitung personenbezogener Daten einzustellen und die personenbezogenen Daten innerhalb einer Frist von höchstens drei Werktagen ab dem Datum des Erhalts des Widerrufs zu vernichten, es sei denn Anders sieht es in einer Vereinbarung zwischen dem Betreiber und dem Betroffenen der personenbezogenen Daten aus. Der Betreiber ist verpflichtet, den Betroffenen über die Vernichtung personenbezogener Daten zu informieren.

Artikel 22. Hinweis zur Verarbeitung personenbezogener Daten

1. Vor Beginn der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, die zum Schutz der Rechte personenbezogener Daten berechtigte Stelle über seine Absicht zur Verarbeitung personenbezogener Daten zu informieren, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle.

2. Der Betreiber hat das Recht, personenbezogene Daten zu verarbeiten, ohne die autorisierte Stelle zum Schutz der Rechte personenbezogener Daten zu benachrichtigen:

1) in Bezug auf Personen personenbezogener Daten, die in einem Beschäftigungsverhältnis mit dem Betreiber stehen;

2) vom Betreiber im Zusammenhang mit dem Abschluss eines Vertrages erhalten, an dem der Betroffene der personenbezogenen Daten beteiligt ist, sofern personenbezogene Daten nicht ohne Zustimmung des Betroffenen der personenbezogenen Daten an Dritte weitergegeben oder weitergegeben und von diesem verwendet werden Betreiber ausschließlich für die Ausführung der angegebenen Vereinbarung und den Abschluss von Verträgen mit dem Gegenstand personenbezogener Daten;

3) die sich auf Mitglieder (Teilnehmer) einer öffentlichen Vereinigung oder religiösen Organisation beziehen und von der entsprechenden öffentlichen Vereinigung oder religiösen Organisation verarbeitet werden, die im Einklang mit den Rechtsvorschriften der Russischen Föderation tätig ist, um die in ihren Gründungsdokumenten vorgesehenen legitimen Zwecke zu erreichen, vorausgesetzt, dass Personenbezogene Daten werden nicht ohne schriftliche Zustimmung der Betroffenen weitergegeben.

4) bei denen es sich um öffentlich zugängliche personenbezogene Daten handelt;

5) einschließlich nur der Nachnamen, Vornamen und Vatersnamen der Subjekte personenbezogener Daten;

6) erforderlich für den Zweck der einmaligen Eingabe der personenbezogenen Daten in das Gebiet, in dem der Betreiber seinen Sitz hat, oder für andere ähnliche Zwecke;

7) in Informationssystemen für personenbezogene Daten enthalten, die gemäß Bundesgesetzen den Status von automatisierten Informationssystemen des Bundes haben, sowie in staatlichen Informationssystemen für personenbezogene Daten, die zum Schutz der Staatssicherheit und der öffentlichen Ordnung geschaffen wurden;

8) verarbeitet ohne den Einsatz von Automatisierungstools gemäß Bundesgesetzen oder anderen Rechtsakten der Russischen Föderation, die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung und zur Wahrung der Rechte personenbezogener Daten festlegen.

3. Die in Teil 1 dieses Artikels vorgesehene Mitteilung muss schriftlich erfolgen und von einer befugten Person unterzeichnet oder in elektronischer Form übermittelt und mit einer elektronischen digitalen Signatur gemäß den Rechtsvorschriften der Russischen Föderation unterzeichnet werden. Die Bekanntmachung muss folgende Angaben enthalten:

1) Name (Nachname, Vorname, Vatersname), Anschrift des Betreibers;

2) der Zweck der Verarbeitung personenbezogener Daten;

5) Rechtsgrundlage für die Verarbeitung personenbezogener Daten;

6) eine Liste von Aktionen mit personenbezogenen Daten, eine allgemeine Beschreibung der Methoden, die der Betreiber zur Verarbeitung personenbezogener Daten verwendet;

7) eine Beschreibung der Maßnahmen, zu deren Umsetzung sich der Betreiber bei der Verarbeitung personenbezogener Daten verpflichtet, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten;

8) Datum des Beginns der Verarbeitung personenbezogener Daten;

9) die Frist oder Bedingung für die Beendigung der Verarbeitung personenbezogener Daten.

4. Die autorisierte Stelle zum Schutz der Rechte personenbezogener Datensubjekte gibt innerhalb von dreißig Tagen nach Erhalt der Mitteilung über die Verarbeitung personenbezogener Daten die in Teil 3 dieses Artikels genannten Informationen sowie Informationen darüber ein das Datum der Übermittlung der angegebenen Meldung an das Betreiberregister. Die im Betreiberregister enthaltenen Informationen, mit Ausnahme der Informationen über die Mittel zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung, sind öffentlich zugänglich.

5. Dem Betreiber können keine Kosten im Zusammenhang mit der Prüfung einer Meldung über die Verarbeitung personenbezogener Daten durch die autorisierte Stelle zum Schutz der Rechte personenbezogener Datensubjekte sowie im Zusammenhang mit der Eintragung von Informationen in das Register von in Rechnung gestellt werden Betreiber.

6. Im Falle der Bereitstellung unvollständiger oder unzuverlässiger Informationen gemäß Teil 3 dieses Artikels hat die zuständige Stelle zum Schutz der Rechte personenbezogener Datensubjekte das Recht, vom Betreiber die Klärung der bereitgestellten Informationen vor deren Eingabe zu verlangen Register der Betreiber.

7. Im Falle von Änderungen der in Teil 3 dieses Artikels genannten Informationen ist der Betreiber verpflichtet, die zum Schutz der Rechte personenbezogener Daten berechtigte Stelle innerhalb von zehn Werktagen ab dem Datum dieser Änderungen über die Änderungen zu informieren.

Kapitel 5. Kontrolle und Überwachung der Verarbeitung personenbezogener Daten. Haftung für Verstöße gegen die Anforderungen dieses Bundesgesetzes

Artikel 23. Zugelassene Stelle zum Schutz der Rechte personenbezogener Daten

1. Die zuständige Stelle zum Schutz der Rechte personenbezogener Datensubjekte, deren Aufgabe es ist, die Kontrolle und Überwachung der Übereinstimmung der Verarbeitung personenbezogener Daten mit den Anforderungen dieses Bundesgesetzes sicherzustellen, ist das Bundesorgan, das die Aufgaben wahrnimmt Kontrolle und Überwachung im Bereich Informationstechnologie und Kommunikation.

2. Die zuständige Stelle zum Schutz der Rechte von Personen, die personenbezogene Daten verarbeiten, prüft Anfragen von Personen, die personenbezogene Daten verarbeiten, hinsichtlich der Übereinstimmung des Inhalts personenbezogener Daten und der Methoden ihrer Verarbeitung mit den Zwecken ihrer Verarbeitung und trifft eine entsprechende Entscheidung.

3. Die autorisierte Stelle zum Schutz der Rechte personenbezogener Datensubjekte hat das Recht:

1) Anfrage von Einzelpersonen oder Rechtspersonen Informationen, die zur Ausübung ihrer Befugnisse erforderlich sind, und diese Informationen kostenlos zu erhalten;

2) die in der Meldung enthaltenen Informationen über die Verarbeitung personenbezogener Daten überprüfen oder andere staatliche Stellen im Rahmen ihrer Befugnisse mit der Durchführung einer solchen Überprüfung beauftragen;

3) vom Betreiber die Klärung, Sperrung oder Vernichtung unrichtiger oder illegal erlangter personenbezogener Daten verlangen;

4) gemäß dem in der Gesetzgebung der Russischen Föderation festgelegten Verfahren Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten, die unter Verstoß gegen die Anforderungen dieses Bundesgesetzes erfolgt, auszusetzen oder zu beenden;

5) Klagen vor Gericht einreichen, um die Rechte personenbezogener Daten zu schützen und die Interessen personenbezogener Daten vor Gericht zu vertreten;

6) einen Antrag an die Stelle richten, die die Tätigkeiten des Betreibers lizenziert, um Maßnahmen zur Aussetzung oder Aufhebung der entsprechenden Lizenz gemäß den Rechtsvorschriften der Russischen Föderation zu erwägen, wenn die Bedingung der Lizenz zur Durchführung solcher Tätigkeiten ein Verbot vorsieht die Weitergabe personenbezogener Daten an Dritte ohne schriftliche Zustimmung des Betroffenen;

7) Materialien an die Staatsanwaltschaft und andere Strafverfolgungsbehörden senden, um die Frage der Einleitung von Strafverfahren aufgrund von Straftaten im Zusammenhang mit der Verletzung der Rechte personenbezogener Daten gemäß der Gerichtsbarkeit zu klären;

8) der Regierung der Russischen Föderation Vorschläge zur Verbesserung der gesetzlichen Regelung des Schutzes der Rechte personenbezogener Daten zu unterbreiten;

9) Personen, die sich eines Verstoßes gegen dieses Bundesgesetz schuldig gemacht haben, zur Verwaltungsverantwortung bringen.

4. In Bezug auf personenbezogene Daten, die der autorisierten Stelle zum Schutz der Rechte personenbezogener Datensubjekte im Rahmen ihrer Tätigkeit bekannt geworden sind, muss die Vertraulichkeit personenbezogener Daten gewährleistet sein.

5. Die autorisierte Stelle zum Schutz der Rechte personenbezogener Daten ist verpflichtet:

1) in Übereinstimmung mit den Anforderungen dieses Bundesgesetzes und anderer Bundesgesetze den Schutz der Rechte personenbezogener Daten zu organisieren;

2) Beschwerden und Beschwerden von Bürgern oder juristischen Personen zu Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten prüfen und im Rahmen ihrer Befugnisse auf der Grundlage der Ergebnisse der Prüfung dieser Beschwerden und Beschwerden Entscheidungen treffen;

3) ein Betreiberregister führen;

4) Maßnahmen zur Verbesserung des Schutzes der Rechte personenbezogener Daten umsetzen;

5) in der durch die Gesetzgebung der Russischen Föderation festgelegten Weise auf Vorschlag des auf dem Gebiet der Sicherheit befugten föderalen Exekutivorgans oder des auf dem Gebiet der Abwehr technischer Aufklärung und des technischen Schutzes von Informationen befugten föderalen Exekutivorgans zu handeln, Maßnahmen zur Aussetzung oder Beendigung der Verarbeitung personenbezogener Daten;

6) staatliche Stellen sowie Personen, die personenbezogene Daten verarbeiten, auf deren Anfrage oder Anfrage über den Stand der Dinge im Bereich des Schutzes der Rechte von Personen, die personenbezogene Daten haben, zu informieren;

7) andere in der Gesetzgebung der Russischen Föderation vorgesehene Pflichten erfüllen.

6. Gegen Entscheidungen der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten kann vor Gericht Berufung eingelegt werden.

7. Die autorisierte Stelle zum Schutz der Rechte personenbezogener Daten übermittelt jährlich einen Bericht über ihre Tätigkeit an den Präsidenten der Russischen Föderation, die Regierung der Russischen Föderation und die Föderale Versammlung der Russischen Föderation. Dieser Bericht unterliegt der Veröffentlichung in den Medien.

8. Die für den Schutz der Rechte personenbezogener Daten zuständige Stelle wird aus dem Bundeshaushalt finanziert.

9. Auf freiwilliger Basis wird bei der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten ein Beirat eingerichtet, dessen Bildung und Arbeitsweise von der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten festgelegt wird Fächer.

Artikel 24. Haftung für Verstöße gegen die Anforderungen dieses Bundesgesetzes

Personen, die sich eines Verstoßes gegen die Anforderungen dieses Bundesgesetzes schuldig machen, tragen die zivil-, strafrechtliche, verwaltungsrechtliche, disziplinarische und andere Haftung, die in der Gesetzgebung der Russischen Föderation vorgesehen ist.

Kapitel 6. Schlussbestimmungen

Artikel 25. Schlussbestimmungen

1. Dieses Bundesgesetz tritt einhundertachtzig Tage nach dem Tag seiner offiziellen Veröffentlichung in Kraft.

2. Nach dem Tag des Inkrafttretens dieses Bundesgesetzes erfolgt die Verarbeitung personenbezogener Daten, die vor dem Tag seines Inkrafttretens in Informationssystemen für personenbezogene Daten enthalten waren, gemäß diesem Bundesgesetz.

3. Informationssysteme für personenbezogene Daten, die vor Inkrafttreten dieses Bundesgesetzes erstellt wurden, müssen spätestens am 1. Januar 2010 mit den Anforderungen dieses Bundesgesetzes in Einklang gebracht werden.

4. Betreiber, die personenbezogene Daten vor dem Inkrafttreten dieses Bundesgesetzes verarbeiten und diese Verarbeitung auch nach dem Inkrafttreten dieses Bundesgesetzes fortsetzen, sind verpflichtet, diese an die zuständige Stelle zum Schutz der Rechte personenbezogener Daten zu übermitteln Subjekte, mit Ausnahme der in Artikel 22 Teil 2 dieses Bundesgesetzes vorgesehenen Fälle, die in Artikel 22 Teil 3 dieses Bundesgesetzes vorgesehene Mitteilung spätestens am 1. Januar 2008.

Der Präsident
Russische Föderation
V. Putin

Die personenbezogenen Daten der betroffenen Person werden nach dem Umfang der personenbezogenen Daten über die Person und dem Grad ihrer Wichtigkeit klassifiziert. Alle Geschäfte mit ihnen erfolgen ausschließlich im Rahmen der Gesetzgebungsakte und unterliegen dem Schutz. Es gibt jedoch eine Kategorie öffentlich zugänglicher personenbezogener Daten, die nur oberflächliche und unpersönliche Informationen über eine Person enthalten.

Aus diesem Artikel erfahren Sie:

Was sind öffentlich zugängliche personenbezogene Daten?
Liste öffentlich zugänglicher personenbezogener Daten;
Merkmale der Arbeit mit öffentlich zugänglichen personenbezogenen Daten.

Beim Erstellen einer beliebigen Datenbank, einschließlich einer Liste aller Mitarbeiter des Unternehmens, auf Erstphase Es ist notwendig, personenbezogene Daten zu kategorisieren. Alle personenbezogenen Daten der Mitarbeiter werden in zwei Gruppen eingeteilt – öffentlich und vertraulich.

Konzept und Klassifizierung personenbezogener Daten

Personenbezogene Daten (PD) sind Verschiedene Arten Informationen, vom vollständigen Namen, Geburtsdatum, Familien- und Sozialstand bis hin zu Registrierungsnummern von Dokumenten, die von Regierungs- und Handelsbehörden ausgestellt wurden. Der Betreiber personenbezogener Daten ist eine staatliche, bundesstaatliche, kommerzielle Struktur, juristische Person oder Einzelperson, die das Recht hat, verschiedene Aktivitäten unter Verwendung personenbezogener Daten durchzuführen.

Im Arbeitsverhältnis ist der Eigentümer/Betreff der personenbezogenen Daten der Arbeitnehmer, und der Betreiber ist der Arbeitgeber sowie die Personal- und Buchhaltungsabteilungen, die an der Registrierung des Arbeitnehmers für die Arbeit und allen Fragen im Zusammenhang mit persönlichen Angelegenheiten und Rechtsbeziehungen, Gehaltsabrechnungen, Sozialleistungen, Vergütungen usw. beteiligt sind. usw. Die personenbezogenen Daten der betroffenen Person sind für den Arbeitgeber erforderlich, um sie mit Arbeitsbeziehungen/-verträgen in Verbindung zu bringen (Artikel 85, 86 des Arbeitsgesetzbuchs der Russischen Föderation).

Die Verarbeitung personenbezogener Daten bezieht sich auf verschiedene Vorgänge, die in der Gesetzgebung der Russischen Föderation vorgesehen sind. Zu den Arten der PD-Verarbeitung gehören die Sammlung, Systematisierung, Akkumulation, Speicherung, Aktualisierung, Verwendung, Depersonalisierung und Zerstörung, die gemäß den durch Vorschriften festgelegten Verfahren durchgeführt werden. Staatliche, bundesstaatliche und kommunale Körperschaften und Organisationen, die aufgrund ihres Status über ein solches Recht verfügen, können Transaktionen mit personenbezogenen Daten durchführen.

Alle PD sind in folgende Abschnitte unterteilt:

Besondere personenbezogene Daten;
Biometrische personenbezogene Daten.

Bei der Erstellung von Informationssystemen für personenbezogene Daten (ISPD) wird empfohlen, sich an der Verordnung des FSTEC, des FSB und des Ministeriums für Informationstechnologien und Kommunikation der Russischen Föderation Nr. 55/86/20 vom 13. Februar 2008 „On Genehmigung des Verfahrens zur Klassifizierung personenbezogener Daten in Informationssystemen.“ Gemäß diesem Regulierungsgesetz ist PD in Kategorien unterteilt:

Kategorie 1 – spezielle Daten, die Rasse und Nationalität, religiöse und politische Überzeugungen, Fakten zum persönlichen Leben und Gesundheitszustand definieren.
Kategorie 2 – Daten, die es ermöglichen, die Person zu identifizieren und Informationen über sie zu erhalten Weitere Informationen mit Ausnahme von Faktoren im Zusammenhang mit Kategorie 1. Dieser Abschnitt umfasst den vollständigen Namen, die Wohnadresse, Passdaten, Seriennummer Dokumente (Krankenversicherung, Rentenbescheinigung, SNILS, TIN), Informationen aus der Arbeit und Krankenakten.
Kategorie 3 – Daten zur Identifizierung der Person (Vorname, Nachname, Geburtsdatum).
Kategorie 4 – anonymisierte oder öffentlich zugängliche personenbezogene Daten, anhand derer die Person nicht identifiziert werden kann.

Öffentlich verfügbare personenbezogene Daten: Liste

Die Liste der öffentlich zugänglichen personenbezogenen Daten umfasst Faktoren, die keine Informationen enthalten, die eine Identifizierung einer Person in einer Datenbank ermöglichen. Zu den anonymisierten Daten gehören:

Vorname, Vorname und Vatersname;
Spitzname/Login des Subjekts im Internet;
E-Mail(ohne Angabe des vollständigen Namens);
Position, Arbeitsort (ohne Angaben zu personenbezogenen Daten).

Zu den öffentlichen Daten gehören Informationen über das Thema, die aus offenen Informationsquellen abgerufen werden können, beispielsweise Telefonbuch oder Adressbuch. Die Dateneingabe in solche öffentlich zugänglichen Datenbanken erfolgt mit schriftlicher Zustimmung des Betroffenen.

Öffentliche personenbezogene Daten: Funktionen

Die Besonderheit öffentlich zugänglicher personenbezogener Daten besteht darin, dass sie in offenen Informationsquellen veröffentlicht werden können. Das heißt, wenn das Kontaktverzeichnis der Organisation Kontaktinformationen von Beamten enthält, beispielsweise solchen, die an der Schulung und Einstellung von Personal beteiligt sind, gelten diese Daten als öffentlich zugänglich. Wenn eine gedruckte Veröffentlichung die Vor- und Nachnamen von Mitgliedern der Redaktion enthält, sind diese Informationen auch öffentlich zugänglich.

Zu den Merkmalen öffentlich verfügbarer Daten, die eine korrekte Klassifizierung ermöglichen, gehört der folgende Faktor: Die ersten drei Kategorien sind in gewissem Maße notwendig, um ein Thema in das ISPD aufzunehmen, und die vierte Kategorie bleibt außerhalb der Anforderungen von Informationssystemen . Wenn von einer Person nur Name und Arbeitsort bekannt sind, sind diese Informationen öffentlich zugänglich.

Bei der Systematisierung der Daten sind genauere Informationen erforderlich, die nur mit schriftlicher Einwilligung des Betroffenen zur Verarbeitung personenbezogener Daten eingeholt werden können. In diesem Fall übernimmt der Betreiber die Verantwortung für den Schutz und die Einhaltung der gesetzlich festgelegten Regeln für die Verarbeitung und Speicherung personenbezogener Daten.

„Person“ – Daten, die sich auf eine Person, eine Persönlichkeit oder einen biologischen Organismus beziehen.

Was ist das, wie sammelt man es, wo lagert man es, wie schützt man es?

Handelt es sich bei einer Fingerabdruckkarte um personenbezogene Daten oder nicht?

Es enthält keine personenbezogenen Daten.

Personenbezogene Daten – alle Informationen, die sich auf eine Person beziehen, die auf der Grundlage dieser Informationen identifiziert oder bestimmt wurde (Gegenstand personenbezogener Daten), einschließlich Nachname, Vorname, Vatersname, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, Soziales , Vermögensstatus, Ausbildung, Beruf, Einkommen, sonstige Informationen;

Die Anschrift ist die Anmeldung am Wohn- bzw. Aufenthaltsort.

Bedingte Klassifizierung personenbezogener Daten.

1) je nach Offenheitsgrad:

Öffentlich zugängliche personenbezogene Daten – personenbezogene Daten, die mit Zustimmung der betroffenen Person einer unbegrenzten Anzahl von Personen zugänglich sind oder für die gemäß Bundesgesetzen keine Vertraulichkeitsanforderungen gelten.

Öffentliche personenbezogene Daten sind Daten, zu denen eine freiwillige Einwilligung erteilt wird und die öffentlich zugänglich gemacht werden.

Oft fragen einige Websitebesitzer nach Registrierungsinformationen, die sie nicht preisgeben möchten.

Vertrauliche Informationen – Informationen werden ausschließlich für bestimmte Zwecke bereitgestellt. Manchmal kann es ohne Wissen der Person gesammelt werden.

Das Innenministerium speichert Informationen in Informationszentren

2) nach Zugehörigkeit

- persönlich - gehört von Geburt an

- Beamter - im Laufe der Arbeit, Dienst - Klassenrang usw.

3) nach Art der Bereitstellung

— freiwillig bereitgestellte Informationen

- in allgemeiner Weise in Übereinstimmung mit dem Gesetz bereitgestellt (obligatorisch)

— ohne Zustimmung des Bürgers gemäß dem Gesetz erhoben

4) nach der Art der Daten

— biometrisch (Fingerabdruckinformationen)

Grundlegende Konzepte bei der Arbeit mit personenbezogenen Daten.

— Verarbeitung personenbezogener Daten— Handlungen (Vorgänge) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung (einschließlich Übertragung), Depersonalisierung, Sperrung, Zerstörung personenbezogener Daten;

— Weitergabe personenbezogener Daten- Maßnahmen, die darauf abzielen, personenbezogene Daten an einen bestimmten Personenkreis zu übermitteln (Übermittlung personenbezogener Daten) oder sich mit personenbezogenen Daten einer unbegrenzten Anzahl von Personen vertraut zu machen, einschließlich der Veröffentlichung personenbezogener Daten in den Medien, der Veröffentlichung in Informations- und Telekommunikationsnetzen oder Bereitstellung des Zugriffs auf personenbezogene Daten für Dritte oder auf andere Weise;

— Verwendung personenbezogener Daten — Handlungen (Vorgänge) mit personenbezogenen Daten, die vom Betreiber durchgeführt werden, um Entscheidungen zu treffen oder andere Handlungen durchzuführen, die rechtliche Konsequenzen in Bezug auf den Betroffenen personenbezogener Daten oder andere Personen nach sich ziehen oder auf andere Weise die Rechte und Freiheiten des Betroffenen beeinträchtigen Daten oder andere Personen;

— Sperrung personenbezogener Daten— vorübergehende Einstellung der Erhebung, Systematisierung, Akkumulation, Nutzung und Verbreitung personenbezogener Daten, einschließlich ihrer Übermittlung;

Im Internet veröffentlichte Informationen können oft nicht blockiert werden.

Die meisten personenbezogenen Daten:

- auf einem Computer gespeichert

- im Internet veröffentlicht

Es ist schwierig, die Platzierung zu kontrollieren

— Vernichtung personenbezogener Daten— Handlungen, aufgrund derer es unmöglich ist, den Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten wiederherzustellen, oder aufgrund derer materielle Datenträger personenbezogener Daten vernichtet werden; — Situationen, in denen Archive brannten

Depersonalisierung personenbezogener Daten

— Depersonalisierung personenbezogener Daten— Handlungen, aufgrund derer es unmöglich ist, den Besitz personenbezogener Daten an einem bestimmten Subjekt personenbezogener Daten zu bestimmen;

— Informationssystem für personenbezogene Daten— ein Informationssystem, bei dem es sich um eine Sammlung personenbezogener Daten handelt, die in einer Datenbank enthalten sind, sowie Informationstechnologien und technische Mittel, die die Verarbeitung dieser personenbezogenen Daten mithilfe von Automatisierungstools oder ohne den Einsatz solcher Tools ermöglichen;

— Vertraulichkeit personenbezogener Daten— eine Verpflichtung für den Betreiber oder eine andere Person, die Zugriff auf personenbezogene Daten erhalten hat, der Anforderung nachzukommen, deren Verbreitung nicht ohne Zustimmung des Betroffenen personenbezogener Daten oder ohne Vorliegen einer anderen Rechtsgrundlage zuzulassen;

— grenzüberschreitende Übermittlung personenbezogener Daten— Übermittlung personenbezogener Daten durch den Betreiber über die Staatsgrenze der Russischen Föderation an eine Behörde eines ausländischen Staates, eine natürliche oder juristische Person eines ausländischen Staates;

— öffentlich zugängliche personenbezogene Daten— personenbezogene Daten, Zugang zu einer unbegrenzten Anzahl von Personen, die mit Zustimmung des Betroffenen personenbezogener Daten bereitgestellt werden oder für die gemäß Bundesgesetzen keine Vertraulichkeitsanforderungen gelten.

Verarbeitung personenbezogener Daten.

1) die Rechtmäßigkeit der Zwecke und Methoden der Verarbeitung personenbezogener Daten und deren Integrität;

2) Übereinstimmung der Zwecke der Verarbeitung personenbezogener Daten mit den bei der Erhebung personenbezogener Daten festgelegten und angegebenen Zielen sowie mit den Befugnissen des Betreibers;

3) Einhaltung des Umfangs und der Art der verarbeiteten personenbezogenen Daten, Methoden der Verarbeitung personenbezogener Daten für die Zwecke der Verarbeitung personenbezogener Daten;

5) die Unzulässigkeit der Kombination von Datenbanken mit Informationssystemen für personenbezogene Daten, die für inkompatible Zwecke erstellt wurden.

Wenn jemand einmal eine Fingerabdruckkarte ausgefüllt hat, befindet sich diese im Informationszentrum in seinen Datenbanken. Wir können beispielsweise nicht Datenbanken von normalen Bürgern und denen, die eine Straftat begangen haben, zusammenführen.

1) mit Zustimmung des Inhabers der personenbezogenen Daten

2) ohne Zustimmung des Inhabers der personenbezogenen Daten.

Dies gilt für Personen, die eine bestimmte Position und Stellung innehaben: Militärangehörige, Leichen

Vertraulichkeit personenbezogener Daten:

Wenn nicht erforderlich:

1) im Falle einer Depersonalisierung personenbezogener Daten;

2) in Bezug auf öffentlich zugängliche personenbezogene Daten.

- der Betreiber, der personenbezogene Daten erhebt und verarbeitet.

– Beschränken Sie den Zugriff innerhalb Ihrer eigenen Organisation

Für die Weitergabe personenbezogener Daten ist der Betreiber selbst verantwortlich

— Festlegung von Zugangsbeschränkungen sowohl drinnen als auch online (Passsystem, Kartenidentifikationssystem)

Für lokale Netzwerke– System-Login+Passwort

Sie können den Zugriff mithilfe biometrischer Informationen einschränken: Fingerabdruck, Netzhaut.

- über Rasse

- über politische Ansichten

- über religiöse oder philosophische Überzeugungen

- über den Gesundheitszustand

- über das intime Leben

Ihre Verarbeitung ist nur mit Zustimmung der Betroffenen möglich.

1) das Vorliegen einer schriftlichen Einwilligung des Betroffenen zu deren Verarbeitung

2) wenn der Betroffene personenbezogene Daten öffentlich zugänglich gemacht hat

3) wenn diese Information bezieht sich auf Informationen, die zum Schutz des Lebens, der Gesundheit und anderer lebenswichtiger Interessen einer Person erforderlich sind

Solche Informationen können zu medizinischen und präventiven Zwecken – beispielsweise einer Virusinfektion – bereitgestellt werden.

Merkmale der Verarbeitung personenbezogener Daten in staatlichen oder kommunalen Informationssystemen zur Verarbeitung personenbezogener Daten.

- gilt nur für Beamte und Kommunalbedienstete.

Eine Regierungsbehörde hat einen eigenen Status; es gibt unabhängige Systeme zur Verarbeitung von Informationen über staatliche oder kommunale Mitarbeiter.

1) Es wird festgestellt, welche Informationen in seinem Zuständigkeitsbereich benötigt werden

2) Es gibt auch das Bundesgesetz „Über den Staatsbeamtendienst“, das heißt, es wird nicht nur durch die Gesetzgebung zu personenbezogenen Daten geregelt.

Informationen, die die physiologischen Eigenschaften einer Person charakterisieren und anhand derer ihre Identität festgestellt werden kann (biometrische personenbezogene Daten), dürfen nur mit schriftlicher Zustimmung des Betroffenen der personenbezogenen Daten verarbeitet werden, mit Ausnahme der folgenden Fälle:

1) ein Verbrechen begehen

Die Verarbeitung biometrischer personenbezogener Daten kann ohne Zustimmung der betroffenen Person im Zusammenhang mit der Rechtspflege sowie in den Fällen erfolgen, die in den Rechtsvorschriften der Russischen Föderation zur Sicherheit und in den Rechtsvorschriften der Russischen Föderation vorgesehen sind operative Ermittlungstätigkeiten, die Gesetzgebung der Russischen Föderation über den öffentlichen Dienst, die strafrechtliche Exekutivgesetzgebung der Russischen Föderation, die Gesetzgebung der Russischen Föderation über das Verfahren zur Ausreise aus der Russischen Föderation und zur Einreise in die Russische Föderation.

- Das Sammeln von Informationen von einem Verdächtigen ist illegal

Verarbeitung grenzüberschreitender Informationen.

Zum Schutz der Bürger des Landes, in das sie überführt werden, kann verlangt werden, dass die Erhebung nur mit schriftlicher Zustimmung des Betroffenen erfolgt.

Rechte des Betroffenen personenbezogener Daten.

1) Das Recht des Betroffenen personenbezogener Daten, auf seine personenbezogenen Daten zuzugreifen

Sie können das Informationszentrum des Innenministeriums (Hauptinformationszentrum und Zoneninformationszentrum) nicht anrufen.

2) Das Recht personenbezogener Datensubjekte auf die Verarbeitung ihrer personenbezogenen Daten zur Förderung von Waren, Werken und Dienstleistungen auf dem Markt sowie zu Zwecken der politischen Propaganda

Die Richtigkeit der Angaben wird von anderen überprüft.

3) Treffen von Entscheidungen, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basieren. Eine Person darf der automatisierten Verarbeitung nicht vertrauen. Sie können verlangen, dass Fingerabdrücke nicht nur im Computer, sondern auch auf Papier gespeichert werden.

— Arbeitsgesetzbuch der Russischen Föderation – es gibt ein Kapitel über personenbezogene Daten.

BUNDESGESETZ ÜBER DIE STAATLICHE REGISTRIERUNG VON FINGERABDRÜCKEN IN DER RUSSISCHEN FÖDERATION vom 25. Juli 1998 N 128-FZ

Öffentliche personenbezogene Daten sind

Persönliche Angaben- alle Informationen, die sich auf eine bestimmte Person beziehen oder auf der Grundlage dieser Informationen ermittelt werden an eine Einzelperson, einschließlich:

Sein Nachname, Vorname, Vatersname,

Jahr, Monat, Geburtsdatum und -ort,

Adresse, Familie, soziale Lage, Vermögensstatus, Bildung, Beruf, Einkommen,

— andere Informationen (siehe Bundesgesetz-152, Artikel 3).

Zum Beispiel: Passdaten, Finanzberichte, Krankenakten, Geburtsjahr (für Frauen), biometrische Daten, andere persönliche Identifikationsinformationen.

IN öffentlich Quellen personenbezogener Daten (Adressbücher, Listen und andere Informationsträger) mit schriftlicher Zustimmung Die Angabe einer Person kann ihren Nachnamen, Vornamen, Vatersnamen, Geburtsjahr und -ort, Adresse, Abonnentennummer usw. umfassen Andere personenbezogene Daten (siehe Bundesgesetz-152, Artikel 8).

Personenbezogene Daten gelten als vertrauliche Informationen und müssen vertraulich behandelt werden geschützt in Übereinstimmung mit der Gesetzgebung der Russischen Föderation. Bei der Entwicklung von Systemsicherheitsanforderungen werden personenbezogene Daten in 4 Kategorien eingeteilt.

Was ist der Betreiber und Gegenstand der personenbezogenen Daten?

Betreiber personenbezogener Daten- Dies ist in der Regel eine Organisation, genauer gesagt eine staatliche oder kommunale Körperschaft, eine juristische Person oder eine natürliche Person, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie deren Zwecke und Inhalt bestimmt die Verarbeitung personenbezogener Daten.

Gegenstand personenbezogener Daten ist ein Individuum.

Der Betreiber ist für den Schutz der personenbezogenen Daten der betroffenen Person gemäß der geltenden Gesetzgebung der Russischen Föderation verantwortlich.

Wie ist ein Informationssystem für personenbezogene Daten zu klassifizieren?

Um zuzuordnen typisch Das Personal Data Information System (PDIS) für eine bestimmte Klasse erfordert:

II. Definieren Volumen Im Informationssystem verarbeitete personenbezogene Daten:

Band 3— Daten werden gleichzeitig im Informationssystem verarbeitet weniger als 1000 Probanden personenbezogene Daten oder personenbezogene Daten personenbezogener Datensubjekte innerhalb einer bestimmten Organisation;

Band 2 von 1000 bis 100.000 Probanden personenbezogene Daten oder personenbezogene Daten von Subjekten personenbezogener Daten, die im Wirtschaftssektor der Russischen Föderation, in einer Regierungsbehörde oder innerhalb einer Gemeinde tätig sind;

Band 1— Im Informationssystem werden gleichzeitig personenbezogene Daten verarbeitet mehr als 100.000 Themen personenbezogene Daten oder personenbezogene Daten von Subjekten personenbezogener Daten innerhalb eines Subjekts der Russischen Föderation oder der Russischen Föderation als Ganzes;

III. Basierend auf den Ergebnissen der Analyse der Ausgangsdaten typisch ISPDn wird eine der folgenden zugewiesen Klassen(siehe Tabelle):

Klasse 4 (K4) – Informationssysteme, bei denen die Verletzung der festgelegten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten keine negativen Folgen für die Personen hat, die personenbezogene Daten verarbeiten;

Klasse 3 (K3) – Informationssysteme, bei denen eine Verletzung der festgelegten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten zu geringfügigen negativen Folgen für die Subjekte personenbezogener Daten führen kann;

Klasse 2 (K2) – Informationssysteme, bei denen eine Verletzung der festgelegten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten negative Folgen für die Personen haben kann, die personenbezogene Daten verarbeiten;

Klasse 1 (K1) – Informationssysteme, bei denen eine Verletzung der festgelegten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten zu erheblichen negativen Folgen für die Subjekte personenbezogener Daten führen kann.

Der Tag des Jüngsten Gerichts wurde auf den 1. Januar 2011 verschoben

Informationssysteme für personenbezogene Daten, die vor dem Inkrafttreten des Bundesgesetzes der Russischen Föderation Nr. 152 „Über personenbezogene Daten“ erstellt wurden, müssen spätestens am 1. Januar 2010 mit den Anforderungen dieses Bundesgesetzes in Einklang gebracht werden (siehe Bundesgesetz Nr. 152, Artikel 25).

Dies bedeutet, dass Betreiber personenbezogener Daten, die die sehr strengen Anforderungen des Bundesgesetzes Nr. 152 nicht einhalten, ab dem 1. Januar 2010 mit angemessenen zivil-, verwaltungs-, disziplinarischen und möglicherweise (Gott bewahre) strafrechtlichen Sanktionen rechnen müssen. Verantwortung .

Alle Informationssysteme, die bereits nach Februar-April 2008 (ab dem Zeitpunkt der Verteilung der methodischen Dokumente durch das FSTEC Russlands und das FSB Russlands) in Betrieb genommen wurden, aber nicht den Anforderungen der russischen Gesetzgebung im Bereich entsprechen Wenn personenbezogene Daten verarbeitet werden, kann die genannte Haftung bereits früher, beispielsweise morgen Vormittag, eintreten.

Notiz. Am 1. Januar 2010 treten auch Änderungen im Strafgesetzbuch der Russischen Föderation in Kraft, die die Haftung für Verstöße gegen die Privatsphäre deutlich verschärfen.

Aber wie immer haben die Verantwortlichen für personenbezogene Daten nicht viel bewegt, und nur wenige haben es geschafft, alles Notwendige zu tun. Am 16. Dezember 2009 verabschiedete die Staatsduma in dritter Lesung Änderungen zu den Artikeln 19 und 25 des Gesetzes „Über personenbezogene Daten“ (152-FZ). Die Frist für die Anpassung von Informationssystemen für personenbezogene Daten (PDIS) an dieses Gesetz wurde um ein Jahr verschoben – auf den 1. Januar 2011. Darüber hinaus verpflichtet das Gesetz den Betreiber zur Verwendung von Verschlüsselungsmitteln (kryptografischen) Mitteln zum Schutz der Daten bei der Verarbeitung personenbezogener Daten wurde vom Gesetz ausgeschlossen.

Obligatorische Anforderungen an den Schutz personenbezogener Daten in Informationssystemen

Grundlegende zwingende Anforderungen für die Organisation eines Informationssicherheitssystems abhängig von der Klasse eines typischen ISPD:

Für ISPD der Klasse 4:

Der Maßnahmenkatalog zum Schutz personenbezogener Daten wird vom Betreiber festgelegt (abhängig vom möglichen Schaden)

Für ISPD der Klasse 3:

Konformitätserklärung oder

Erhalt einer Lizenz von FSTEC of Russia für Aktivitäten im Zusammenhang mit dem technischen Schutz vertraulicher Informationen (für verteilte ISPDn K3-Systeme)

Für ISPD der Klasse 2:

Obligatorische Zertifizierung für Informationssicherheitsanforderungen

Erhalt einer Lizenz von FSTEC aus Russland für Aktivitäten im Zusammenhang mit dem technischen Schutz vertraulicher Informationen für verteilte Systeme

Für ISPD der Klasse 1:

Obligatorische Zertifizierung für Informationssicherheitsanforderungen

Es müssen Maßnahmen zum Schutz personenbezogener Daten von PEMIN umgesetzt werden

Erhalt einer Lizenz von FSTEC aus Russland für Aktivitäten im Zusammenhang mit dem technischen Schutz vertraulicher Informationen

Verfahren zum Schutz des Informationssystems für personenbezogene Daten

Handlungsablauf bei der Erfüllung gesetzlicher Anforderungen zur Verarbeitung personenbezogener Daten:

1) Benachrichtigung der zuständigen Stelle zum Schutz der Rechte personenbezogener Datensubjekte über Ihre Absicht, personenbezogene Daten mithilfe von Automatisierungstools zu verarbeiten;

2) Vorprojektbesichtigung des Informationssystems – Erhebung erster Daten;

3) Klassifizierung des Systems zur Verarbeitung personenbezogener Daten;

4) Aufbau eines privaten Bedrohungsmodells, um deren Relevanz für das Informationssystem zu bestimmen;

5) Entwicklung einer privaten technischen Spezifikation für ein System zum Schutz personenbezogener Daten;

6) Entwurf eines Systems zum Schutz personenbezogener Daten;

Verantwortung für Verstöße gegen die Verarbeitung personenbezogener Daten

Personen, die sich eines Verstoßes gegen die Anforderungen des Bundesgesetzes 152-FZ „Über personenbezogene Daten“ schuldig gemacht haben, tragen:

- kriminell (siehe Strafgesetzbuch der Russischen Föderation, Art. 137, 140, 155, 183, 272, 273, 274, 292, 293),

Verwaltungsrechtlich (siehe Gesetzbuch der Russischen Föderation über Ordnungswidrigkeiten, Artikel 5.27, 5.39, 11.13-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Disziplinar (siehe Arbeitsgesetzbuch der Russischen Föderation, Art. 81; Art. 90; Art. 195; Art. 237; Art. 391)

und andere in der Gesetzgebung der Russischen Föderation vorgesehene Verantwortlichkeiten (siehe Verordnungen zum Umgang mit personenbezogenen Daten, die in den Teilgebieten der Russischen Föderation, Abteilungen und Organisationen veröffentlicht werden).

FSTEC- Föderaler Dienst für technische und Exportkontrolle.

PEMIN- Nebenwirkungen Elektromagnetische Strahlung und Tipps

Schutz personenbezogener Daten

Im Dezember 2014 verabschiedete die Staatsduma in dritter Lesung einen Gesetzentwurf zur Speicherung personenbezogener Daten von Bürgern, die im Internet verarbeitet werden, auf Servern in Russland. Laut Roman Chuichenko, einem Mitglied des Ausschusses für Informationspolitik, besteht das Hauptziel des Gesetzentwurfs in der Stärkung Informationssicherheit Land und seine Bürger. Diese Maßnahme wurde aufgrund der Komplikation der internationalen Lage ergriffen. Dieser Gesetzentwurf tritt am 1. September 2015 in Kraft.

Das Inkrafttreten der neuen Verordnung zum Schutz personenbezogener Daten erfordert, dass Betreiber personenbezogener Daten Folgendes bereitstellen:

rechtzeitige Erkennung eines unbefugten Zugriffs auf personenbezogene Daten;
Auswirkungen verhindern technische Mittel diejenigen, die eine automatisierte Verarbeitung personenbezogener Daten durchführen;
die Fähigkeit, umgehend auf die Tatsache eines unbefugten Zugriffs zu reagieren und personenbezogene Daten im Falle ihrer Zerstörung oder Änderung unverzüglich wiederherzustellen;
ständige Überwachung des Sicherheitsniveaus personenbezogener Daten.

Kategorien personenbezogener Daten

Die Verarbeitung von ISPD kann auch nach dem Parameter „Volumen der verarbeiteten personenbezogenen Daten“ erfolgen, der die Anzahl der im Informationssystem verarbeiteten Personen annimmt und folgende Werte annehmen kann:

gleichzeitige Verarbeitung von mehr als 100.000 Subjekten personenbezogener Daten (durchgeführt sowohl innerhalb der Subjekte der Russischen Föderation als auch in der gesamten Russischen Föderation);
gleichzeitige Verarbeitung personenbezogener Daten von 1 bis 100.000 Personen (durchgeführt in einer Regierungsbehörde, die im Bereich der russischen Wirtschaft tätig ist);
gleichzeitige Verarbeitung personenbezogener Daten von weniger als 1.000 Personen (durchgeführt innerhalb einer bestimmten Organisation).

Die Einteilung in Kategorien ermöglicht nicht nur die Bestimmung der ISPD-Klasse, sondern auch die Festlegung einer Reihe von Maßnahmen zur Gewährleistung der Sicherheit und des Schutzes personenbezogener Daten im Internet bei der Verarbeitung in Informationssystemen.

Persönliche Daten des Mitarbeiters

Jeder Arbeitnehmer hat das Recht, seine personenbezogenen Daten zu schützen (Artikel 86 Absatz 9 des Arbeitsgesetzbuchs der Russischen Föderation).

Gemäß Art. 89 des Arbeitsgesetzbuches der Russischen Föderation kann jeder Arbeitnehmer sein Recht auf Schutz und Schutz personenbezogener Daten durch folgende Maßnahmen ausüben:

kostenfreier Zugang zu Ihren personenbezogenen Daten, einschließlich des Erhalts einer Kopie aller Aufzeichnungen, die die personenbezogenen Daten des Mitarbeiters enthalten;
Bestimmung eines persönlichen Vertreters zum Schutz Ihrer personenbezogenen Daten;
Einholung umfassender Informationen über personenbezogene Daten und deren Verarbeitung;
Geltendmachung von Ansprüchen auf Ausschluss oder Berichtigung personenbezogener Daten, die unrichtige Angaben enthalten oder deren Verarbeitung unter Verstoß gegen gesetzliche Vorschriften erfolgte;
gerichtliche Berufung gegen die rechtswidrigen Handlungen des Arbeitgebers sowie gegen seine Untätigkeit bei der Verarbeitung und dem Schutz personenbezogener Daten.

Zusammensetzung der personenbezogenen Daten des Mitarbeiters

Auf der Grundlage von Artikel 86 Absatz 2 des Arbeitsgesetzbuchs der Russischen Föderation werden Umfang und Inhalt der personenbezogenen Daten des Arbeitnehmers vom Arbeitgeber gemäß der Verfassung der Russischen Föderation, dem Arbeitsgesetzbuch und anderen Bundesgesetzen bestimmt. In der Regel erfordern die Aktivitäten einer Organisation, dass der Arbeitgeber im Dokumentenfluss zwei Haupttypen von Dokumenten verwendet:

Dokumente, die der Arbeitnehmer beim Abschluss eines Arbeitsvertrags vorlegt (Artikel 65 des Arbeitsgesetzbuchs der Russischen Föderation). In diese Kategorie fallen Dokumente, die ein Foto des Arbeitnehmers, seinen vollständigen Namen, Angaben zu Geburtsort und -datum, Staatsbürgerschaft, Familienstand, Meldeort, Ausbildung, Fachrichtung (Reisepass, Versicherungsbescheinigung der gesetzlichen Rentenversicherung, Militärausweis usw.) enthalten. ).
Dokumente, die vom Arbeitgeber selbstständig erstellt werden (primäre Buchhaltungsdokumentation zur Erfassung der Arbeit und ihrer Bezahlung). In diese Kategorie fallen Aufträge oder Weisungen zur Einstellung eines Arbeitnehmers, zur Beendigung eines Arbeitsvertrags, zur Vergütung eines Arbeitnehmers, eine Personalkarte und Dokumente zur Vergütung.

Schutz personenbezogener Daten, Haftung bei Gesetzesverstößen

Bitte beachten Sie, dass einige Sanktionen bei Verstößen gegen bestimmte Straftaten sowohl für Einzelpersonen und Amtsträger als auch für juristische Personen gelten.

Gemäß Artikel 150 des Bürgerlichen Gesetzbuches der Russischen Föderation gehört die Unverletzlichkeit des Privatlebens sowie der persönlichen und familiären Geheimnisse zu den unveräußerlichen immateriellen Rechten, die durch die geltenden Gesetze geschützt sind.

Bitte beachten Sie, dass die Rechte und Pflichten eines Arbeitnehmers, die in direktem Zusammenhang mit den personenbezogenen Daten anderer Arbeitnehmer stehen, durch die Bedingungen des Arbeitsvertrags und die Zusammensetzung der örtlichen Vorschriften zur Festlegung der Arbeitsfunktionen des Arbeitnehmers und der Liste seiner beruflichen Verantwortlichkeiten bestimmt werden.

Administrative Verantwortung Ein Verstoß gegen das Verfahren zur Erhebung, Speicherung und Weitergabe personenbezogener Daten führt zu einer Verwarnung oder einer Geldstrafe in Höhe von: 300 bis 500 Rubel – für Einzelpersonen; von 500 bis 1000 Rubel – für Beamte, von 5 bis 10.000 Rubel – für juristische Personen (Artikel 13.11 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation). Die Verwaltungshaftung für die Verbreitung gesetzlich geschützter Informationen bei der Wahrnehmung offizieller und beruflicher Pflichten zieht eine Geldstrafe in Höhe von: 500 bis 1000 Rubel – für Einzelpersonen, 4 bis 5 Tausend Rubel – für Beamte nach sich (Artikel 13.14 des Gesetzbuches). Ordnungswidrigkeiten der Russischen Föderation).

Die Verletzung der Privatsphäre, insbesondere personenbezogener Daten, durch eine Person, die ihre dienstliche Stellung ausübt, wird bestraft mit:

eine Geldstrafe in Höhe von 100 bis 300.000 Rubel, Lohn oder sonstiges Einkommen des Täters für 1-2 Jahre;
Entzug des Rechts, bestimmte Positionen für einen Zeitraum von 2 bis 5 Jahren zu bekleiden;
Festnahme für einen Zeitraum von 4 bis 6 Monaten.

Wenn sie Informationen über sich selbst in sozialen Netzwerken veröffentlichen, verstehen nicht alle unsere Bürger, dass diese zur Erstellung ihres Profils verwendet werden können. Das JSC National Bureau of Credit History (NBKI) war aktiv an der Sammlung und Verarbeitung dieser Informationen beteiligt.

Im Mai 2017 befasste sich das Moskauer Schiedsgericht mit dem Fall Nr. A40-5250/17, in dem das Gericht die Rechtmäßigkeit der Verarbeitung solcher personenbezogener Daten beurteilen musste.

Der Kern des Streits

Im August 2016 führte das Roskomnadzor-Büro für den Zentralrussland eine geplante Vor-Ort-Inspektion des JSC National Bureau of Credit History (NBKI) hinsichtlich der Übereinstimmung der Verarbeitung personenbezogener Daten mit den gesetzlichen Anforderungen durch.

Basierend auf den Ergebnissen der Inspektion wurde ein Inspektionsbericht erstellt und eine Anordnung zur Beseitigung des festgestellten Verstoßes erlassen.

Nach Prüfung der Vorschrift hinsichtlich der Notwendigkeit, in die Meldung an die autorisierte Stelle Daten von Einzelpersonen (Kunden oder potenzielle Kunden einer Finanzorganisation) aus offenen Informationsquellen aufzunehmen, die an die Finanzorganisation übermittelt und über den Double Data Social Link-Dienst – Web – erhalten wurden Link, Suchergebnis über den Kunden oder potenziellen Kunden und den Double Data Social Attributes-Dienst – Verarbeitung des Profils der gewünschten Person in offenen Informationsquellen (Ziffer 1) sowie im Hinblick auf die Angabe eines Verstoßes gegen gesetzliche Anforderungen in der Form der fehlenden Zustimmung zur Verarbeitung der in offenen Quellen (soziale Netzwerke: VKontakte, Odnoklassnimi, MoiMir, Instagram, Twitter; Internetportale Avito und Avto.ru) enthaltenen personenbezogenen Daten eines Kunden oder potenziellen Kunden einer Finanzorganisation im Rahmen von die Erbringung von Dienstleistungen auf Grundlage der Dienstleistung“ Große Daten» ( diese. "Große Daten") - illegal und die Rechte und legitimen Interessen der Gesellschaft im Bereich der Geschäfts- und anderen wirtschaftlichen Aktivitäten verletzend, reichte diese Klage beim Schiedsgericht ein.

Position des Moskauer Schiedsgerichts

Im Hinblick auf den vorliegenden Fall stellte das Gericht fest, dass die Verarbeitung personenbezogener Daten insbesondere in den folgenden Fällen zulässig ist:

Die Verarbeitung personenbezogener Daten erfolgt mit Zustimmung des personenbezogenen Dateninhabers, der seine personenbezogenen Daten verarbeitet (Ziffer 1, Teil 1);
Die Verarbeitung personenbezogener Daten erfolgt, der Zugriff auf eine unbegrenzte Anzahl von Personen erfolgt durch den PD-Betroffenen oder auf dessen Antrag (personenbezogene Daten werden vom PD-Betroffenen öffentlich zugänglich gemacht) (Ziffer 10, Teil 1);

Wenn es also um personenbezogene Daten geht, die von der PD-Person öffentlich zugänglich gemacht werden, sind zwei Bedingungen erforderlich:

Personenbezogene Daten stehen einer unbestimmten Anzahl von Personen zur Verfügung;
Persönliche Angaben direkt vom Unternehmen selbst bereitgestellt.

Ohne die schriftliche Einwilligung des Betroffenen der personenbezogenen Daten ist es nicht möglich, zu behaupten, dass diese personenbezogenen Daten speziell von ihm bereitgestellt wurden.

Nach Angaben des Gerichts dürfen personenbezogene Daten, die von der betroffenen Person öffentlich zugänglich gemacht werden, nur in enthalten sein öffentlich zugängliche Quellen PDn.

Das Gericht kam zu dem Schluss, dass Informationen über die betroffene Person (einschließlich personenbezogener Daten), die in sozialen Netzwerken (im Internet) enthalten sind, nicht als von der betroffenen Person öffentlich zugänglich gemachte personenbezogene Daten eingestuft werden können, da Soziale Netzwerke sind keine Quelle öffentlicher personenbezogener Daten in Bezug auf die Bestimmungen von Artikel 8 des Gesetzes.

Das Gericht stellte außerdem fest, dass es sich bei Informationen, die von ihren Eigentümern im Internet in einem Format veröffentlicht werden, das eine automatisierte Verarbeitung ohne vorherige Änderungen durch eine Person zum Zweck der Wiederverwendung ermöglicht, um öffentlich zugängliche Informationen handelt, die in Form offener Daten veröffentlicht werden (Artikel 7 des Bundesgesetzes vom 27. Juli 2006 Nr. 149-FZ „Zur Information, Informationstechnologie und zum Informationsschutz“).

Mein Kommentar: Nun, hier ist das Gericht leicht „gebogen“; Open Data ist eine ganz andere Geschichte!

Das Gericht kam zu dem Schluss, dass die von NBKI JSC in sozialen Netzwerken verarbeiteten personenbezogenen Daten von der betroffenen Person nicht öffentlich zugänglich gemacht wurden und dass die Handlungen des Beschwerdeführers daher Verstöße gegen Artikel 22 Teil 3 und Artikel 6 Teil 1 Absatz 1 des Bundesgesetzes darstellten Gesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“.

Das Schiedsgericht lehnte es vollständig ab, dem Antrag von NBKI JSC auf Aufhebung der Absätze 1 und 4 der Anordnung des Roskomnadzor-Büros für den Zentralen Föderationskreis stattzugeben.

Stellung des Neunten Schiedsgerichts

Das Neunte Schiedsgericht stellte im Juli 2017 fest, dass das Unternehmen im Register der Betreiber, die personenbezogene Daten verarbeiten, unter der Nummer 08-0031682 eingetragen ist.

Im Rahmen dieser Art von Tätigkeit verarbeitet das Unternehmen personenbezogene Daten von Kunden und potenziellen Kunden von Finanzorganisationen, die in offenen Quellen enthalten sind (soziale Netzwerke: VKontakte, Odnoklassniki, MoyMir, Instagram, Twitter; Internetportale Avito und Avto.ru). Die Öffentlichkeit hat keine Einwilligung der Kunden zur Verarbeitung dieser Daten.

Das Unternehmen ist davon überzeugt, dass es das Recht hat, personenbezogene Daten von Einzelpersonen ohne deren Zustimmung zu verarbeiten. Nach Angaben des Gerichts hat das Unternehmen Folgendes nicht berücksichtigt.

Nach Angaben des Berufungsgerichts sind die vom Unternehmen verarbeiteten personenbezogenen Daten in offenen Quellen (soziale Netzwerke: VKontakte, Odnoklassniki, MoyMir, Instagram, Twitter; Internetportale Avito und Avto.ru) nicht öffentlich zugänglich. Im Sinne des Gesetzes über personenbezogene Daten führt die Veröffentlichung personenbezogener Daten in diesen offenen Quellen nicht automatisch dazu, dass sie öffentlich zugänglich gemacht werden. Daher ist die Verarbeitung dieser Daten ohne Einwilligung des Betroffenen nicht gestattet.

Das Neunte Schiedsgericht bestätigte die Entscheidung des Moskauer Schiedsgerichts, der Berufung wurde jedoch nicht stattgegeben.

Schiedsgericht des Bezirks Moskau Im November 2017 ließ es die Entscheidung des Moskauer Schiedsgerichts und die Entscheidung des Neunten Schiedsgerichts unverändert und der Kassationsbeschwerde wurde nicht stattgegeben.

Position des Obersten Gerichtshofs der Russischen Föderation

Ein Richter des Obersten Gerichtshofs der Russischen Föderation lehnte es im Januar 2018 (Urteil Nr. 305-KG17-21291) ab, die Kassationsbeschwerde an das JSC National Credit History Bureau zur Prüfung in einer Gerichtssitzung des Justizkollegiums für Wirtschaftsstreitigkeiten der Russischen Föderation weiterzuleiten Oberster Gerichtshof der Russischen Föderation.

Mein Kommentar: Verarbeitung von Informationen aus soziale Netzwerke ist eine weit verbreitete Methode zum Sammeln und Analysieren von Informationen über Personen und Organisationen, und nur die Faulen sammeln solche Informationen über ihre Kunden und Gegenparteien nicht. Die harte Wahrheit Wer seine potenziellen Mitarbeiter, Kunden und Kontrahenten nicht auf diese Weise überprüft, übt in Wirklichkeit keine angemessene geschäftliche Sorgfalt aus. Wer schlauer ist, versucht, in der Öffentlichkeit weniger darüber zu reden und die Worte „persönliche Daten“ nach Möglichkeit zu vermeiden.

Das Sammeln von Informationen über Bürger bringt zwangsläufig das Problem der Rechtmäßigkeit solcher Handlungen mit sich, da es sich bei allen Informationen über Bürger um deren personenbezogene Daten handelt.

Ich möchte darauf hinweisen, dass die Verarbeitung unabhängig davon, welche Anordnungen Roskomnadzor erlässt, trotzdem fortgesetzt wird, wenn der Erhalt solcher Informationen es kommerziellen Organisationen ermöglicht, das Risiko finanzieller Verluste erheblich zu verringern. Nun ja, vielleicht verdienen die Anwälte, die sich eine rechtliche „Deckung“ für diese Tätigkeit einfallen lassen, etwas mehr Geld :)