हर दिन, व्यक्ति विभिन्न प्राधिकारियों को व्यक्तिगत जानकारी प्रदान करते हैं। व्यक्तिगत डेटा ऑपरेटर जानकारी संसाधित करने के लिए ज़िम्मेदार हैं। ये बैंक, नियोक्ता, चिकित्सा संगठन, इंटरनेट साइट और अन्य संरचनाएं हैं। ऑपरेटरों को कानून द्वारा व्यक्तिगत जानकारी की सुरक्षा करना आवश्यक है। वे ऐसे स्रोत बनाते हैं जिनमें सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा (पीडी) होता है।

सार्वजनिक पीडी क्या है?

सार्वजनिक जानकारी में किसी व्यक्ति के बारे में वह जानकारी शामिल होती है जो वह स्वतंत्र रूप से अधिकारियों को प्रदान करता है। जानकारी तक निःशुल्क पहुंच खोलने के लिए, उस व्यक्ति से लिखित अनुमति की आवश्यकता होती है जो व्यक्तिगत डेटा का विषय है। विषय एक व्यक्ति है जिसका पीडी ऑपरेटर द्वारा एकत्र, संग्रहीत और संसाधित किया जाता है। एक ऑपरेटर एक कानूनी या प्राकृतिक व्यक्ति, एक नगरपालिका या राज्य प्राधिकरण है।

सार्वजनिक पीडी में उस विषय के बारे में जानकारी शामिल होती है जिसके द्वारा उसे पहचाना जा सकता है:

• तिथि और जन्म स्थान;
• घर का पता;
• फ़ोन नंबर;
• पेशा;
• व्यक्तिगत कर संख्या;
• कार्य या अध्ययन का स्थान और अन्य जानकारी।

सार्वजनिक डेटा में ऐसी कोई भी जानकारी शामिल हो सकती है जो कानून के तहत गोपनीय नहीं है। विषय के व्यक्तिगत डेटा को व्यक्तिगत जानकारी की मात्रा और महत्व की डिग्री के अनुसार वर्गीकृत किया जा सकता है।

सार्वजनिक डेटा में प्रदान की गई व्यक्तिगत जानकारी भी शामिल है:

• रोजगार के दौरान, एक अनुबंध या रोजगार अनुबंध का समापन;
• जनसंख्या जनगणना के दौरान;
• व्यापार संचालन और अन्य समान स्थितियों के दौरान संविदात्मक संबंधों को औपचारिक बनाते समय।

विषय का व्यक्तिगत डेटा, जो मीडिया के माध्यम से प्रसारित किया जाता है, गोपनीय नहीं है, क्योंकि यह "गोपनीय जानकारी की सूची" के अनुसार सार्वजनिक रूप से उपलब्ध है।

पीडी के साथ प्राप्त करने, स्थानांतरण, प्रक्रिया और अन्य कार्यों के लिए विषय की लिखित सहमति की हमेशा आवश्यकता नहीं होती है। कुछ मामलों में, उदाहरण के लिए, किसी सर्वेक्षण में भाग लेते समय या न्यूज़लेटर की सदस्यता लेते समय, पीडी के उपयोग की अनुमति देने वाले बॉक्स को चेक करना पर्याप्त होता है।

सामान्य डेटा को उन स्रोतों में रखा जा सकता है जो सार्वजनिक रूप से उपलब्ध हैं। इसका मतलब यह है कि स्रोतों को बड़ी संख्या में हितधारकों द्वारा देखा और उपयोग किया जाता है। ऐसे स्रोत का एक उदाहरण टेलीफोन निर्देशिकाएँ हैं।

सार्वजनिक रूप से उपलब्ध डेटा का प्रसंस्करण

सार्वजनिक रूप से उपलब्ध डेटा का प्रसंस्करण विभागों और प्रभागों द्वारा किया जाता है जिनकी जिम्मेदारियों में व्यक्तिगत डेटा का संग्रह, व्यवस्थितकरण, भंडारण, संशोधन, उपयोग और विनाश शामिल है। व्यक्तियों को डेटा ऑपरेटर के बारे में जानकारी का अनुरोध करने और यह पता लगाने का अधिकार है कि व्यक्तिगत डेटा के प्रसंस्करण के दौरान ऑपरेटर किस उद्देश्य का पालन करता है।

प्रसंस्करण के दौरान कानूनों के अनुपालन की निगरानी का काम रोसकोम्नाडज़ोर को सौंपा गया है। एफएसबी और एफएसटीईसी के पास कुछ ऑडिटिंग और निगरानी शक्तियां हैं। ऑपरेटर अपनी जरूरतों के लिए व्यक्तिगत डेटा सुरक्षा प्रणाली बनाते हैं, इसलिए, इस संबंध में, ऐसी गतिविधियों को लाइसेंस देते हैं।

पीडी को उन संगठनों द्वारा संसाधित किया जाता है, जिन्हें अपनी गतिविधियों को चलाने के लिए कर्मचारियों, आपूर्तिकर्ताओं और ग्राहकों के बारे में जानकारी एकत्र करने, जमा करने, संसाधित करने और संग्रहीत करने की आवश्यकता होती है। कुछ मामलों में, ऐसे डेटा को सार्वजनिक डेटा में शामिल किया जाता है।

सार्वजनिक डेटा विषयों के अधिकार

यदि जानकारी अब प्रासंगिक नहीं है, अधूरी है या प्रसंस्करण के प्रयोजनों के लिए आवश्यक नहीं है, तो व्यक्तिगत डेटा के विषय सार्वजनिक रूप से उपलब्ध डेटा को ब्लॉक करने, नष्ट करने, स्पष्ट करने या बदलने का अनुरोध करते हुए एक आवेदन प्रस्तुत कर सकते हैं। विषयों को अपने व्यक्तिगत डेटा तक पहुंच का अनुरोध करने और यह पता लगाने का भी अधिकार है कि ऑपरेटर उन्हें संसाधित करने के लिए कौन से टूल का उपयोग करता है।

जानकारी का उपयोग कानूनी आवश्यकताओं के अनुसार किया जाना चाहिए और संरक्षित किया जाना चाहिए, भले ही वह गोपनीय हो या सार्वजनिक। यह ऑपरेटरों की जिम्मेदारी है कि वे विषय के व्यक्तिगत डेटा की पूर्ण सुरक्षा सुनिश्चित करें और अनधिकृत व्यक्तियों द्वारा डेटा तक पहुंच को सीमित करें।

प्रसंस्करण के लिए विषय से लिखित अनुमति प्राप्त करने के बाद ही ऑपरेटर व्यक्तिगत डेटा को संसाधित करना शुरू करता है। सहमति में व्यक्ति और ऑपरेटर डेटा के बारे में जानकारी शामिल है: कंपनी का नाम, अंतिम नाम, ऑपरेटर का पहला नाम और संरक्षक, स्थिति। सहमति के लिए प्रसंस्करण के उद्देश्य और जानकारी के साथ किए जाने वाले कार्यों का वर्णन करने वाले डेटा की एक सूची का संकेत देना भी आवश्यक है। किसी व्यक्ति को अपना व्यक्तिगत डेटा वापस लेने और प्रसंस्करण के लिए अपनी सहमति रद्द करने का अधिकार है।

विषय की अक्षमता या मृत्यु के मामले में, पीडी के प्रसंस्करण और उपयोग के लिए उत्तराधिकारियों या कानूनी प्रतिनिधियों से सहमति का अनुरोध किया जाता है। इस मामले में, आपको व्यक्तिगत डेटा पर संघीय कानून द्वारा निर्देशित होना चाहिए।

कानूनी आवश्यकताओं के उल्लंघन के मामले में, अपराधी प्रशासनिक, आपराधिक और अन्य प्रकार के दायित्व वहन करते हैं। इससे कोई फर्क नहीं पड़ता कि पीडी गोपनीय है या सार्वजनिक रूप से उपलब्ध है, व्यक्तिगत डेटा पर संघीय कानून संख्या 152 के अनुच्छेद 8 के अनुसार, सार्वजनिक रूप से उपलब्ध पीडी को केवल डेटा विषय की सहमति से सार्वजनिक रूप से उपलब्ध स्रोतों में पोस्ट किया जा सकता है। यदि विषय या अधिकृत निकायों द्वारा आवश्यक हो तो व्यक्तिगत डेटा को स्रोतों से बाहर रखा जाना चाहिए: रोसकोम्नाडज़ोर, अदालत या अन्य सरकारी एजेंसियां।

क्या व्यक्तिगत डेटा का सार्वजनिक डेटाबेस बनाना कानूनी है?

2015 के अंत में, मैंने लाइवजर्नल में एक दिलचस्प लेख की चर्चा में भाग लिया, जो बेईमान नौकरी आवेदकों का एक सार्वजनिक रूप से सुलभ डेटाबेस बनाने की आवश्यकता के लिए समर्पित था।

यह कहा जाना चाहिए कि यह विचार नया नहीं है और निश्चित रूप से, कई कंपनियों के पास आवेदकों के आंतरिक डेटाबेस हैं। ऐसे डेटाबेस की मदद से, कार्मिक अधिकारी अनुपयुक्त उम्मीदवारों को सबसे अधिक बाहर निकालते हैं न्यूनतम लागतसमय। यदि हम सैद्धांतिक रूप से मान लें कि देश के सभी एचआर के पास ऐसा आधार हो सकता है, तो यह सभी के लिए कितना बेहतर होगा। अच्छा, ठीक है? भगवान का शुक्र है, नहीं, ऐसा नहीं है. जैसा कि इस लेख के टिप्पणीकारों ने सही ढंग से नोट किया है, संभावित लाभों की भरपाई आसानी से उस नकारात्मकता से की जा सकती है जो डेटाबेस से डेटा के दुरुपयोग, ऐसे डेटाबेस में लोगों के अनुचित समावेश/बहिष्करण और प्रतिष्ठा, सम्मान और गरिमा के मुद्दों से अनिवार्य रूप से उत्पन्न होगी। डेटाबेस में शामिल लोगों की संख्या.

सौभाग्य से, 2006 से, संघीय कानून "ऑन पर्सनल डेटा" रूस में लागू है, जो स्पष्ट रूप से उन शर्तों को परिभाषित करता है जिनके तहत ऐसे डेटाबेस मौजूद हो सकते हैं:

2. संघीय कानून "व्यक्तिगत डेटा पर" का अनुच्छेद 6 यह निर्धारित करता है कि "व्यक्तिगत डेटा का प्रसंस्करण उसके व्यक्तिगत डेटा के प्रसंस्करण के लिए व्यक्तिगत डेटा के विषय की सहमति से किया जाता है।"

3. संघीय कानून "व्यक्तिगत डेटा पर" का अनुच्छेद 7 निर्धारित करता है कि "ऑपरेटर और अन्य व्यक्ति जिनके पास व्यक्तिगत डेटा तक पहुंच है, वे व्यक्तिगत डेटा के विषय की सहमति के बिना तीसरे पक्ष को खुलासा नहीं करने या व्यक्तिगत डेटा वितरित नहीं करने के लिए बाध्य हैं, जब तक कि अन्यथा न हो।" संघीय कानून द्वारा प्रदान किया गया।

4. संघीय कानून "व्यक्तिगत डेटा पर" का अनुच्छेद 8 निर्धारित करता है कि: "1. सूचना समर्थन के प्रयोजन के लिए, व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोत बनाए जा सकते हैं (निर्देशिकाओं सहित, पता पुस्तकें). व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोतों से लिखित सहमतिव्यक्तिगत डेटा के विषय में उसका अंतिम नाम, पहला नाम, संरक्षक, वर्ष और जन्म स्थान, पता शामिल हो सकता है। ग्राहक की संख्या, व्यक्तिगत डेटा के विषय द्वारा प्रदान किए गए पेशे और अन्य व्यक्तिगत डेटा के बारे में जानकारी। 2. व्यक्तिगत डेटा के विषय के अनुरोध पर या किसी अदालत या अन्य अधिकृत सरकारी निकायों के निर्णय द्वारा व्यक्तिगत डेटा के विषय के बारे में जानकारी को व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोतों से किसी भी समय बाहर रखा जाना चाहिए।

5. और अंत में, अनुच्छेद 13.11. कोड रूसी संघप्रशासनिक उल्लंघनों पर, यह निर्धारित करता है कि "नागरिकों (व्यक्तिगत डेटा) के बारे में जानकारी एकत्र करने, संग्रहीत करने, उपयोग करने या वितरित करने के लिए कानून द्वारा स्थापित प्रक्रिया का उल्लंघन - नागरिकों पर तीन सौ से पांच की राशि में चेतावनी या प्रशासनिक जुर्माना लगाने की आवश्यकता होती है सौ रूबल; अधिकारियों के लिए - पाँच सौ से एक हजार रूबल तक; पर कानूनी संस्थाएं- पाँच हज़ार से दस हज़ार रूबल तक।

दूसरे शब्दों में और संक्षेप में:

1. किसी व्यक्ति से संबंधित कोई भी डेटा (सिर्फ एक टेलीफोन नंबर सहित) व्यक्तिगत है।

2. व्यक्तिगत डेटा को संसाधित करने के लिए, आपको सहमति प्राप्त करनी होगी, जिसे किसी भी समय वापस लिया जा सकता है।

3. यदि किसी के पास व्यक्तिगत डेटा तक कानूनी पहुंच है, तो व्यक्तिगत डेटा विषय की सहमति के बिना इसे किसी के सामने प्रकट करना या किसी के साथ साझा करना निषिद्ध है, जब तक कि वर्तमान कानून द्वारा अन्यथा प्रदान न किया गया हो।

4. विशेष रूप से व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोत बनाने के इच्छुक लोगों के लिए एक लिखित सहमति प्रपत्र प्रदान किया जाता है।

5. उल्लंघन के लिए स्थापित आदेशव्यक्तिगत डेटा के संग्रह और भंडारण के लिए जिम्मेदारी प्रदान की जाती है।

निष्कर्ष बहुत सरल और स्पष्ट है - लापरवाह नौकरी चाहने वालों के एकल सार्वजनिक रूप से सुलभ डेटाबेस का निर्माण केवल इन्हीं लापरवाह श्रमिकों की लिखित सहमति से संभव है, जो स्वाभाविक रूप से, ऐसे डेटाबेस के कानूनी निर्माण की संभावना को शून्य कर देता है। . जो लोग ऐसे डेटाबेस बनाने और उन्हें दोस्तों के साथ साझा करने का निर्णय लेते हैं, उनके लिए हमारी कंपनी अनुशंसा करती है कि आप मौजूदा डेटाबेस से खुद को परिचित कर लें इस पलसज़ा.

विषय के व्यक्तिगत डेटा को व्यक्ति के बारे में व्यक्तिगत जानकारी की मात्रा और महत्व की डिग्री के अनुसार वर्गीकृत किया जाता है। उनके साथ कोई भी लेन-देन सख्ती से विधायी कृत्यों के ढांचे के भीतर किया जाता है और सुरक्षा के अधीन होता है। हालाँकि, सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा की एक श्रेणी है जिसमें किसी व्यक्ति के बारे में केवल सतही और अवैयक्तिक जानकारी होती है।

इस लेख से आप सीखेंगे:

• सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा क्या है;
• सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा की सूची;
• सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा के साथ काम करने की विशेषताएं।

उद्यम के सभी कर्मचारियों की सूची सहित कोई भी डेटाबेस बनाते समय आरंभिक चरणव्यक्तिगत डेटा को वर्गीकृत करना आवश्यक है। कर्मचारियों के सभी व्यक्तिगत डेटा को दो समूहों में बांटा गया है - सार्वजनिक और गोपनीय।

व्यक्तिगत डेटा की अवधारणा और वर्गीकरण

व्यक्तिगत डेटा (पीडी) है विभिन्न प्रकारपूरा नाम, जन्म तिथि, वैवाहिक और सामाजिक स्थिति से लेकर सरकारी एजेंसियों और वाणिज्यिक अधिकारियों द्वारा जारी दस्तावेजों की पंजीकरण संख्या तक की जानकारी। व्यक्तिगत डेटा का संचालक एक राज्य, संघीय, वाणिज्यिक संरचना, कानूनी इकाई या व्यक्ति है जिसके पास व्यक्तिगत डेटा का उपयोग करके विभिन्न गतिविधियों को करने का अधिकार है।

श्रम संबंधों में, व्यक्तिगत डेटा का स्वामी/विषय कर्मचारी है, और ऑपरेटर नियोक्ता, कार्मिक और लेखा विभाग है जो कर्मचारी को काम के लिए पंजीकृत करने और व्यक्तिगत मामलों और कानूनी संबंधों, पेरोल, लाभ, मुआवजे से संबंधित सभी मुद्दों में शामिल है। वगैरह। नियोक्ता के लिए विषय का व्यक्तिगत डेटा उन्हें श्रम संबंधों/समझौतों (रूसी संघ के श्रम संहिता के अनुच्छेद 85, 86) से जोड़ने के लिए आवश्यक है।

व्यक्तिगत डेटा का प्रसंस्करण रूसी संघ के कानून द्वारा प्रदान किए गए विभिन्न कार्यों को संदर्भित करता है। पीडी प्रसंस्करण के प्रकारों में संग्रह, व्यवस्थितकरण, संचय, भंडारण, अद्यतन करना, उपयोग, प्रतिरूपण, विनाश शामिल हैं, जो नियमों द्वारा स्थापित प्रक्रियाओं के अनुसार किए जाते हैं। राज्य, संघीय, नगर निकाय और संगठन जिनके पास स्थिति के आधार पर ऐसा अधिकार है, वे व्यक्तिगत डेटा के साथ लेनदेन कर सकते हैं।

सभी पीडी निम्नलिखित अनुभागों में विभाजित हैं:

• विशेष व्यक्तिगत डेटा;
• बायोमेट्रिक व्यक्तिगत डेटा।

बनाते समय जानकारी के सिस्टमव्यक्तिगत डेटा (आईएसपीडी) को एफएसटीईसी, एफएसबी और मंत्रालय के आदेश द्वारा निर्देशित करने की सिफारिश की जाती है सूचना प्रौद्योगिकीऔर रूसी संघ के संचार संख्या 55/86/20 दिनांक 13 फरवरी, 2008 "व्यक्तिगत डेटा सूचना प्रणालियों को वर्गीकृत करने की प्रक्रिया के अनुमोदन पर।" इस नियामक अधिनियम के अनुसार, पीडी को श्रेणियों में विभाजित किया गया है:

1. श्रेणी 1 - नस्ल और राष्ट्रीयता, धार्मिक और राजनीतिक विश्वास, व्यक्तिगत जीवन के तथ्य और स्वास्थ्य स्थिति को परिभाषित करने वाला विशेष डेटा।
2. श्रेणी 2 - डेटा जो विषय की पहचान करना और उसके बारे में जानकारी प्राप्त करना संभव बनाता है अतिरिक्त जानकारीश्रेणी 1 से संबंधित कारकों के अपवाद के साथ। इस अनुभाग में पूरा नाम, घर का पता, पासपोर्ट विवरण शामिल हैं। क्रम संख्याएँदस्तावेज़ (चिकित्सा नीति, पेंशन प्रमाणपत्र, एसएनआईएलएस, टीआईएन), कार्य की जानकारी और चिकित्सा रिकॉर्ड।
3. श्रेणी 3 - विषय की पहचान करने वाला डेटा (पहला नाम, अंतिम नाम, जन्म तिथि)।
4. श्रेणी 4 - अज्ञात या सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा जिससे विषय की पहचान करना असंभव है।

सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा: सूची

सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा की सूची में ऐसे कारक शामिल हैं जिनमें ऐसी जानकारी शामिल नहीं है जो किसी व्यक्ति को डेटाबेस में पहचानने की अनुमति देती है। अज्ञात डेटा में शामिल हैं:

• प्रथम नाम, प्रथम नाम और संरक्षक नाम;
• इंटरनेट पर विषय का उपनाम/लॉगिन;
• मेल पता(पूरे नाम के संदर्भ के बिना);
• स्थिति, कार्य का स्थान (व्यक्तिगत डेटा के बारे में जानकारी के बिना)।

सार्वजनिक डेटा में उस विषय के बारे में जानकारी शामिल होती है जिसे सूचना के खुले स्रोतों से प्राप्त किया जा सकता है, उदाहरण के लिए, टेलीफ़ोन डाइरेक्टरीया पता पुस्तिका. डेटा को विषय की लिखित सहमति से ऐसे सार्वजनिक रूप से सुलभ डेटाबेस में दर्ज किया जाता है।

सार्वजनिक व्यक्तिगत डेटा: विशेषताएं

सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा की ख़ासियत यह है कि इसे सूचना के खुले स्रोतों में पोस्ट किया जा सकता है। अर्थात्, यदि संगठन की संपर्क निर्देशिका में अधिकारियों की संपर्क जानकारी शामिल है, उदाहरण के लिए, प्रशिक्षण और कर्मियों को काम पर रखने वाले लोग, तो ऐसे डेटा को सार्वजनिक रूप से उपलब्ध माना जाता है। जब किसी मुद्रित प्रकाशन में संपादकीय बोर्ड के सदस्यों के नाम और उपनाम शामिल होते हैं, तो यह जानकारी भी सार्वजनिक रूप से उपलब्ध होती है।

सार्वजनिक रूप से उपलब्ध डेटा की एक विशेषता जो उन्हें सही ढंग से वर्गीकृत करने की अनुमति देती है, उसमें निम्नलिखित कारक शामिल हैं: पहली तीन श्रेणियां, एक डिग्री या किसी अन्य तक, किसी विषय को आईएसपीडी में शामिल करने के लिए आवश्यक हैं, और चौथी श्रेणी सूचना प्रणालियों की आवश्यकताओं से बाहर रहती है। . यदि किसी व्यक्ति के बारे में केवल नाम और कार्य स्थान ज्ञात हो तो ऐसी जानकारी सार्वजनिक रूप से उपलब्ध होती है।

डेटा को व्यवस्थित करते समय, अधिक सटीक जानकारी की आवश्यकता होगी, जिसे केवल व्यक्तिगत डेटा के प्रसंस्करण के लिए विषय की लिखित सहमति से प्राप्त किया जा सकता है। इस मामले में, ऑपरेटर व्यक्तिगत डेटा के प्रसंस्करण और भंडारण के लिए कानूनी रूप से स्थापित नियमों की सुरक्षा और अनुपालन करने की जिम्मेदारी लेता है।

"व्यक्ति" - डेटा जो किसी व्यक्ति, व्यक्तित्व, जैविक जीव से संबंधित है।

यह क्या है, इसे कैसे एकत्रित करें, इसे कहां संग्रहित करें, इसकी सुरक्षा कैसे करें?

फिंगरप्रिंट कार्ड व्यक्तिगत डेटा है या नहीं?

इसमें कोई व्यक्तिगत जानकारी नहीं है.

व्यक्तिगत डेटा - ऐसी जानकारी (व्यक्तिगत डेटा का विषय) के आधार पर पहचाने गए या निर्धारित किए गए किसी व्यक्ति से संबंधित कोई भी जानकारी, जिसमें उसका अंतिम नाम, पहला नाम, संरक्षक, वर्ष, महीना, जन्म तिथि और जन्म स्थान, पता, परिवार, सामाजिक शामिल है। , संपत्ति की स्थिति, शिक्षा, पेशा, आय, अन्य जानकारी;

पता निवास स्थान या ठहरने के स्थान पर पंजीकरण है।

व्यक्तिगत डेटा का सशर्त वर्गीकरण।

1) खुलेपन की डिग्री के अनुसार:

सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा - व्यक्तिगत डेटा जो व्यक्तिगत डेटा विषय की सहमति से असीमित संख्या में व्यक्तियों के लिए पहुंच योग्य है या जो, संघीय कानूनों के अनुसार, गोपनीयता आवश्यकताओं के अधीन नहीं है।

सार्वजनिक व्यक्तिगत डेटा वह डेटा है जिसके लिए स्वैच्छिक सहमति दी जाती है और सार्वजनिक डोमेन में पोस्ट किया जाता है।

अक्सर, कुछ साइट मालिक पंजीकरण जानकारी मांगते हैं जो वे प्रदान नहीं करना चाहते हैं।

गोपनीय जानकारी - जानकारी केवल विशिष्ट उद्देश्यों के लिए प्रदान की जाती है। कभी-कभी इसे व्यक्ति की जानकारी के बिना भी एकत्र किया जा सकता है।

आंतरिक मामलों का मंत्रालय सूचना केंद्रों में जानकारी संग्रहीत करता है

2) संबद्धता द्वारा

- व्यक्तिगत - जन्म से संबंधित है

- आधिकारिक - कार्य के दौरान, सेवा - वर्ग रैंक, आदि।

3) प्रावधान की विधि द्वारा

- स्वेच्छा से जानकारी प्रदान की गई

- कानून के अनुसार सामान्य तरीके से प्रदान किया गया (अनिवार्य)

- कानून के अनुसार किसी नागरिक की सहमति के बिना एकत्र किया गया

4) डेटा की प्रकृति से

- बायोमेट्रिक (फिंगरप्रिंट जानकारी)

व्यक्तिगत डेटा के साथ काम करते समय उपयोग की जाने वाली बुनियादी अवधारणाएँ।

- व्यक्तिगत डेटा का प्रसंस्करण- व्यक्तिगत डेटा के साथ क्रियाएं (संचालन), जिसमें संग्रह, व्यवस्थितकरण, संचय, भंडारण, स्पष्टीकरण (अद्यतन करना, बदलना), उपयोग, वितरण (स्थानांतरण सहित), प्रतिरूपण, अवरुद्ध करना, व्यक्तिगत डेटा का विनाश शामिल है;

— व्यक्तिगत डेटा का वितरण- व्यक्तिगत डेटा को व्यक्तियों के एक निश्चित समूह में स्थानांतरित करना (व्यक्तिगत डेटा का स्थानांतरण) या असीमित संख्या में व्यक्तियों के व्यक्तिगत डेटा से खुद को परिचित करना, जिसमें मीडिया में व्यक्तिगत डेटा का प्रकाशन, सूचना और दूरसंचार नेटवर्क में पोस्ट करना या किसी को -या किसी अन्य तरीके से व्यक्तिगत डेटा तक पहुंच प्रदान करना;

— व्यक्तिगत डेटा का उपयोग —निर्णय लेने या अन्य कार्यों को करने के उद्देश्य से ऑपरेटर द्वारा किए गए व्यक्तिगत डेटा के साथ कार्य (संचालन) जो व्यक्तिगत डेटा या अन्य व्यक्तियों के विषय के संबंध में कानूनी परिणामों को जन्म देते हैं या अन्यथा व्यक्तिगत विषय के अधिकारों और स्वतंत्रता को प्रभावित करते हैं डेटा या अन्य व्यक्ति;

— व्यक्तिगत डेटा को अवरुद्ध करना- उनके स्थानांतरण सहित व्यक्तिगत डेटा के संग्रह, व्यवस्थितकरण, संचय, उपयोग, प्रसार की अस्थायी समाप्ति;

इंटरनेट पर पोस्ट की गई जानकारी को अक्सर ब्लॉक नहीं किया जा सकता।

अधिकांश व्यक्तिगत डेटा:

- कंप्यूटर पर संग्रहीत

- इंटरनेट पर पोस्ट किया गया

प्लेसमेंट को नियंत्रित करना कठिन है

- व्यक्तिगत डेटा का विनाश- ऐसी कार्रवाइयाँ जिनके परिणामस्वरूप व्यक्तिगत डेटा सूचना प्रणाली में व्यक्तिगत डेटा की सामग्री को पुनर्स्थापित करना असंभव है या जिसके परिणामस्वरूप व्यक्तिगत डेटा का भौतिक मीडिया नष्ट हो जाता है; - परिस्थितियाँ जब अभिलेखागार में आग लगी थी

व्यक्तिगत डेटा का प्रतिरूपण

- व्यक्तिगत डेटा का प्रतिरूपण- ऐसी कार्रवाइयाँ जिनके परिणामस्वरूप व्यक्तिगत डेटा के किसी विशिष्ट विषय पर व्यक्तिगत डेटा का स्वामित्व निर्धारित करना असंभव है;

— व्यक्तिगत डेटा सूचना प्रणाली- एक सूचना प्रणाली, जो एक डेटाबेस में निहित व्यक्तिगत डेटा का एक संग्रह है, साथ ही सूचना प्रौद्योगिकी और तकनीकी साधन हैं जो स्वचालन उपकरणों का उपयोग करके या ऐसे उपकरणों के उपयोग के बिना ऐसे व्यक्तिगत डेटा के प्रसंस्करण की अनुमति देते हैं;

— व्यक्तिगत डेटा की गोपनीयता- ऑपरेटर या अन्य व्यक्ति के लिए एक आवश्यकता, जिसने व्यक्तिगत डेटा तक पहुंच प्राप्त कर ली है, व्यक्तिगत डेटा के विषय की सहमति या किसी अन्य कानूनी आधार की उपस्थिति के बिना उनके वितरण की अनुमति न देने की आवश्यकता का अनुपालन करने के लिए;

— व्यक्तिगत डेटा का सीमा पार स्थानांतरण- ऑपरेटर द्वारा रूसी संघ की राज्य सीमा के पार किसी विदेशी राज्य के प्राधिकारी, किसी व्यक्ति या विदेशी राज्य की कानूनी इकाई को व्यक्तिगत डेटा का स्थानांतरण;

- सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा- व्यक्तिगत डेटा, असीमित संख्या में व्यक्तियों तक पहुंच, जो व्यक्तिगत डेटा के विषय की सहमति से प्रदान की जाती है या जो, संघीय कानूनों के अनुसार, गोपनीयता आवश्यकताओं के अधीन नहीं है।

व्यक्तिगत डेटा का प्रसंस्करण.

1) व्यक्तिगत डेटा और अखंडता को संसाधित करने के उद्देश्यों और तरीकों की वैधता;

2) व्यक्तिगत डेटा एकत्र करते समय पूर्व निर्धारित और बताए गए लक्ष्यों के साथ-साथ ऑपरेटर की शक्तियों के साथ व्यक्तिगत डेटा को संसाधित करने के उद्देश्यों का अनुपालन;

3) संसाधित व्यक्तिगत डेटा की मात्रा और प्रकृति का अनुपालन, व्यक्तिगत डेटा को संसाधित करने के प्रयोजनों के लिए व्यक्तिगत डेटा को संसाधित करने के तरीके;

4) व्यक्तिगत डेटा की विश्वसनीयता, प्रसंस्करण के उद्देश्यों के लिए उनकी पर्याप्तता, व्यक्तिगत डेटा को संसाधित करने की अस्वीकार्यता जो व्यक्तिगत डेटा एकत्र करते समय बताए गए उद्देश्यों के संबंध में अत्यधिक है;

5) असंगत उद्देश्यों के लिए बनाए गए व्यक्तिगत डेटा सूचना प्रणालियों के डेटाबेस के संयोजन की अस्वीकार्यता।

यदि किसी समय किसी ने फिंगरप्रिंट कार्ड भरा है, तो यह उनके डेटाबेस में सूचना केंद्र में है। उदाहरण के लिए, हम सामान्य नागरिकों और अपराध करने वाले लोगों के डेटाबेस को संयोजित नहीं कर सकते।

1) व्यक्तिगत डेटा के स्वामी की सहमति से

2) व्यक्तिगत डेटा के स्वामी की सहमति के बिना।

यह एक निश्चित स्थिति और स्थिति पर कब्जा करने वाले व्यक्तियों पर लागू होता है: सैन्य कर्मी, लाशें

व्यक्तिगत डेटा की गोपनीयता:

जब आवश्यकता न हो:

1) व्यक्तिगत डेटा के प्रतिरूपण के मामले में;

2) सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा के संबंध में।

- ऑपरेटर जो व्यक्तिगत डेटा एकत्र और संसाधित करता है।

— अपने संगठन के भीतर पहुंच सीमित करें

व्यक्तिगत डेटा के प्रसार के लिए ऑपरेटर व्यक्तिगत रूप से जिम्मेदार है

- घर के अंदर और ऑनलाइन (पास प्रणाली, कार्ड पहचान प्रणाली) दोनों पर पहुंच प्रतिबंध स्थापित करना

के लिए स्थानीय नेटवर्क- सिस्टम लॉगिन+पासवर्ड

आप बायोमेट्रिक जानकारी का उपयोग करके पहुंच को प्रतिबंधित कर सकते हैं: फ़िंगरप्रिंट, रेटिना।

- जाति के बारे में

- राजनीतिक विचारों के बारे में

- धार्मिक या दार्शनिक मान्यताओं के बारे में

- स्वास्थ्य की स्थिति के बारे में

- अंतरंग जीवन के बारे में

उनका प्रसंस्करण केवल विषयों की सहमति से ही संभव है।

1) उनके प्रसंस्करण के लिए विषय की लिखित सहमति की उपस्थिति

2) यदि व्यक्तिगत डेटा के विषय ने उन्हें सार्वजनिक रूप से उपलब्ध कराया है

3) यदि यह जानकारीकिसी व्यक्ति के जीवन, स्वास्थ्य और अन्य महत्वपूर्ण हितों की रक्षा के लिए आवश्यक जानकारी को संदर्भित करता है

ऐसी जानकारी चिकित्सा और निवारक उद्देश्यों के लिए प्रदान की जा सकती है - उदाहरण के लिए, एक वायरल संक्रमण।

व्यक्तिगत डेटा के प्रसंस्करण के लिए राज्य या नगरपालिका सूचना प्रणाली में व्यक्तिगत डेटा के प्रसंस्करण की विशेषताएं।

- केवल सिविल सेवकों और नगरपालिका कर्मचारियों पर लागू होता है।

एक सरकारी एजेंसी की अपनी स्थिति होती है; राज्य या नगरपालिका कर्मचारियों के बारे में जानकारी संसाधित करने के लिए स्वतंत्र प्रणालियाँ होती हैं।

1) यह स्थापित किया जाता है कि उसकी क्षमता के अंतर्गत कौन सी जानकारी की आवश्यकता है

2) संघीय कानून "राज्य सिविल सेवा पर" भी है, अर्थात यह न केवल व्यक्तिगत डेटा पर कानून द्वारा विनियमित है।

वह जानकारी जो किसी व्यक्ति की शारीरिक विशेषताओं को दर्शाती है और जिसके आधार पर उसकी पहचान स्थापित की जा सकती है (बॉयोमीट्रिक व्यक्तिगत डेटा) केवल निम्नलिखित मामलों को छोड़कर, व्यक्तिगत डेटा के विषय की लिखित सहमति से संसाधित की जा सकती है:

1) अपराध करना

बायोमेट्रिक व्यक्तिगत डेटा का प्रसंस्करण न्याय प्रशासन के संबंध में व्यक्तिगत डेटा के विषय की सहमति के बिना किया जा सकता है, साथ ही सुरक्षा पर रूसी संघ के कानून, रूसी संघ के कानून द्वारा प्रदान किए गए मामलों में भी किया जा सकता है। परिचालन जांच गतिविधियाँ, सिविल सेवा पर रूसी संघ का कानून, रूसी संघ संघ का आपराधिक कार्यकारी कानून, रूसी संघ छोड़ने और रूसी संघ में प्रवेश करने की प्रक्रिया पर रूसी संघ का कानून।

- किसी संदिग्ध से जानकारी एकत्र करना गैरकानूनी है

सीमा पार सूचना का प्रसंस्करण.

जिस देश में इसे स्थानांतरित किया जाता है, वहां के नागरिकों की सुरक्षा के लिए यह मांग की जा सकती है कि इसे केवल विषय की लिखित सहमति से ही एकत्र किया जाए।

व्यक्तिगत डेटा के विषय के अधिकार.

1) व्यक्तिगत डेटा के विषय का अपने व्यक्तिगत डेटा तक पहुँचने का अधिकार

आप आंतरिक मामलों के मंत्रालय के सूचना केंद्र (मुख्य सूचना केंद्र और क्षेत्रीय सूचना केंद्र) पर कॉल नहीं कर सकते

2) बाजार में वस्तुओं, कार्यों, सेवाओं को बढ़ावा देने के साथ-साथ राजनीतिक प्रचार के प्रयोजनों के लिए अपने व्यक्तिगत डेटा के प्रसंस्करण के लिए व्यक्तिगत डेटा विषयों के अधिकार

जानकारी की सटीकता अन्य लोगों द्वारा सत्यापित की जाएगी.

3) केवल व्यक्तिगत डेटा के स्वचालित प्रसंस्करण के आधार पर निर्णय लेना। कोई व्यक्ति स्वचालित प्रसंस्करण पर भरोसा नहीं कर सकता है। आप यह अपेक्षा कर सकते हैं कि उंगलियों के निशान न केवल कंप्यूटर में, बल्कि कागज पर भी संग्रहीत किए जाएं।

- रूसी संघ का श्रम संहिता - व्यक्तिगत डेटा को समर्पित एक अध्याय है।

रूसी संघ में राज्य फिंगरप्रिंट पंजीकरण पर संघीय कानून दिनांक 25 जुलाई 1998 एन 128-एफजेड

सार्वजनिक व्यक्तिगत डेटा है

व्यक्तिगत जानकारी- किसी निश्चित से संबंधित कोई भी जानकारी या ऐसी जानकारी के आधार पर निर्धारित की गई कोई भी जानकारी एक व्यक्ति को, शामिल:

उनका अंतिम नाम, प्रथम नाम, संरक्षक नाम,

जन्म का वर्ष, महीना, तारीख और स्थान,

पता, पारिवारिक, सामाजिक, संपत्ति की स्थिति, शिक्षा, पेशा, आय,

— अन्यजानकारी (संघीय कानून-152, अनुच्छेद 3 देखें)।

उदाहरण के लिए: पासपोर्ट डेटा, वित्तीय विवरण, मेडिकल रिकॉर्ड, जन्म का वर्ष (महिलाओं के लिए), बायोमेट्रिक्स, अन्य व्यक्तिगत पहचान जानकारी।

में जनताव्यक्तिगत डेटा के स्रोत (पता पुस्तिकाएं, सूचियां और अन्य सूचना समर्थन) लिखित सहमति सेकिसी व्यक्ति का अंतिम नाम, पहला नाम, संरक्षक, वर्ष और जन्म स्थान, पता, ग्राहक संख्या और शामिल हो सकता है अन्यव्यक्तिगत डेटा (संघीय कानून-152, अनुच्छेद 8 देखें)।

व्यक्तिगत डेटा को प्रतिबंधित जानकारी के रूप में वर्गीकृत किया गया है और होना ही चाहिए संरक्षितरूसी संघ के कानून के अनुसार। सिस्टम सुरक्षा आवश्यकताओं को विकसित करते समय, व्यक्तिगत डेटा को 4 श्रेणियों में विभाजित किया जाता है।

व्यक्तिगत डेटा का संचालक और विषय क्या है?

व्यक्तिगत डेटा ऑपरेटर- यह, एक नियम के रूप में, एक संगठन है, या अधिक सटीक रूप से, एक राज्य या नगर निकाय, एक कानूनी इकाई या एक व्यक्ति है जो व्यक्तिगत डेटा के प्रसंस्करण का आयोजन और (या) करता है, साथ ही उद्देश्यों और सामग्री का निर्धारण भी करता है। व्यक्तिगत डेटा का प्रसंस्करण.

व्यक्तिगत डेटा का विषयएक व्यक्ति है.

ऑपरेटर रूसी संघ के वर्तमान कानून के अनुसार विषय के व्यक्तिगत डेटा की सुरक्षा के लिए जिम्मेदार है।

व्यक्तिगत डेटा सूचना प्रणाली को कैसे वर्गीकृत करें?

विशेषता देने के लिए ठेठकिसी विशेष वर्ग के लिए व्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस) की आवश्यकता है:

द्वितीय. परिभाषित करना आयतनसूचना प्रणाली में संसाधित व्यक्तिगत डेटा:

खंड 3— सूचना प्रणाली में डेटा को एक साथ संसाधित किया जाता है 1000 से कम विषयकिसी विशिष्ट संगठन के भीतर व्यक्तिगत डेटा विषयों का व्यक्तिगत डेटा या व्यक्तिगत डेटा;

खंड 2 1000 से 100,000 विषयों तकरूसी संघ के आर्थिक क्षेत्र में काम करने वाले, एक सरकारी निकाय में, एक नगर पालिका के भीतर रहने वाले व्यक्तिगत डेटा के विषयों का व्यक्तिगत डेटा या व्यक्तिगत डेटा;

वॉल्यूम 1— व्यक्तिगत डेटा को सूचना प्रणाली में एक साथ संसाधित किया जाता है 100,000 से अधिक विषयरूसी संघ या समग्र रूप से रूसी संघ के किसी विषय के भीतर व्यक्तिगत डेटा के विषयों का व्यक्तिगत डेटा या व्यक्तिगत डेटा;

तृतीय. प्रारंभिक डेटा के विश्लेषण के परिणामों के आधार पर ठेठ ISPDn को निम्नलिखित में से एक सौंपा गया है कक्षाओं(तालिका देखें):

कक्षा 4 (के4) - सूचना प्रणाली जिसके लिए उनमें संसाधित व्यक्तिगत डेटा की निर्दिष्ट सुरक्षा विशेषताओं का उल्लंघन व्यक्तिगत डेटा के विषयों के लिए नकारात्मक परिणाम नहीं देता है;

कक्षा 3 (के3) - सूचना प्रणाली जिसके लिए उनमें संसाधित व्यक्तिगत डेटा की निर्दिष्ट सुरक्षा विशेषताओं का उल्लंघन व्यक्तिगत डेटा के विषयों के लिए मामूली नकारात्मक परिणाम पैदा कर सकता है;

कक्षा 2 (के2) - सूचना प्रणाली जिसके लिए उनमें संसाधित व्यक्तिगत डेटा की निर्दिष्ट सुरक्षा विशेषताओं का उल्लंघन व्यक्तिगत डेटा के विषयों के लिए नकारात्मक परिणाम पैदा कर सकता है;

कक्षा 1 (के1) - सूचना प्रणाली जिसके लिए उनमें संसाधित व्यक्तिगत डेटा की निर्दिष्ट सुरक्षा विशेषताओं का उल्लंघन व्यक्तिगत डेटा के विषयों के लिए महत्वपूर्ण नकारात्मक परिणाम पैदा कर सकता है।

निर्णय दिवस 1 जनवरी 2011 तक विलंबित हो गया

रूसी संघ के संघीय कानून संख्या 152 "व्यक्तिगत डेटा पर" के लागू होने से पहले बनाई गई व्यक्तिगत डेटा सूचना प्रणाली को 1 जनवरी 2010 से पहले इस संघीय कानून की आवश्यकताओं के अनुपालन में लाया जाना चाहिए (संघीय कानून संख्या देखें)। 152, अनुच्छेद 25).

इसका मतलब यह है कि व्यक्तिगत डेटा ऑपरेटर जो संघीय कानून संख्या 152 की बहुत कठोर आवश्यकताओं का पालन करने में विफल रहते हैं, उन्हें 1 जनवरी 2010 से उचित नागरिक, प्रशासनिक, अनुशासनात्मक और शायद (भगवान न करे) आपराधिक दंड का सामना करना पड़ेगा।ज़िम्मेदारी .

सभी सूचना प्रणालियाँ जो फरवरी-अप्रैल 2008 के बाद (रूस के FSTEC और रूस के FSB द्वारा पद्धति संबंधी दस्तावेजों के वितरण के क्षण से) पहले ही परिचालन में आ चुकी हैं, लेकिन क्षेत्र में रूसी कानून की आवश्यकताओं का अनुपालन नहीं करती हैं व्यक्तिगत डेटा, पहले निर्दिष्ट दायित्व वहन कर सकता है, उदाहरण के लिए, कल सुबह।

टिप्पणी। रूसी संघ की आपराधिक संहिता में बदलाव, जो गोपनीयता को प्रभावित करने वाले उल्लंघनों के लिए दायित्व को काफी सख्त कर देगा, 1 जनवरी 2010 से लागू होंगे।

लेकिन जैसा कि हमेशा होता है, व्यक्तिगत डेटा ऑपरेटर ज्यादा आगे नहीं बढ़े, और कुछ ही वह सब कुछ करने में कामयाब रहे जो आवश्यक था। 16 दिसंबर 2009 को, राज्य ड्यूमा ने "व्यक्तिगत डेटा पर" (152-एफजेड) कानून के अनुच्छेद 19 और 25 में तीसरे वाचन संशोधन को अपनाया। व्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस) को इस कानून के अनुपालन में लाने की समय सीमा एक साल के लिए स्थगित कर दी गई - 1 जनवरी, 2011 तक। इसके अलावा, व्यक्तिगत डेटा संसाधित करते समय डेटा की सुरक्षा के लिए ऑपरेटर को एन्क्रिप्शन (क्रिप्टोग्राफ़िक) का उपयोग करने के लिए बाध्य करने वाला कानून कानून से बाहर रखा गया था.

व्यक्तिगत डेटा सूचना प्रणालियों की सुरक्षा के लिए अनिवार्य आवश्यकताएँ

एक विशिष्ट आईएसपीडी के वर्ग के आधार पर सूचना सुरक्षा प्रणाली को व्यवस्थित करने के लिए बुनियादी अनिवार्य आवश्यकताएँ:

कक्षा 4 आईएसपीडी के लिए:

व्यक्तिगत डेटा की सुरक्षा के उपायों की सूची ऑपरेटर द्वारा निर्धारित की जाती है (संभावित क्षति के आधार पर)

कक्षा 3 आईएसपीडी के लिए:

अनुपालन की घोषणा या

गोपनीय जानकारी की तकनीकी सुरक्षा (वितरित ISPDn K3 सिस्टम के लिए) से संबंधित गतिविधियों के लिए रूस के FSTEC से लाइसेंस प्राप्त करना

कक्षा 2 आईएसपीडी के लिए:

सूचना सुरक्षा आवश्यकताओं के लिए अनिवार्य प्रमाणीकरण

वितरित प्रणालियों के लिए गोपनीय जानकारी की तकनीकी सुरक्षा से संबंधित गतिविधियों के लिए रूस के FSTEC से लाइसेंस प्राप्त करना

कक्षा 1 आईएसपीडी के लिए:

सूचना सुरक्षा आवश्यकताओं के लिए अनिवार्य प्रमाणीकरण

व्यक्तिगत डेटा को PEMIN से बचाने के लिए उपाय लागू किए जाने चाहिए

गोपनीय जानकारी की तकनीकी सुरक्षा से संबंधित गतिविधियों के लिए रूस के FSTEC से लाइसेंस प्राप्त करना

व्यक्तिगत डेटा सूचना प्रणाली की सुरक्षा के लिए प्रक्रिया

व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आवश्यकताओं को पूरा करते समय क्रियाओं का क्रम:

1) स्वचालन उपकरण का उपयोग करके व्यक्तिगत डेटा को संसाधित करने के आपके इरादे के बारे में व्यक्तिगत डेटा विषयों के अधिकारों की सुरक्षा के लिए अधिकृत निकाय को अधिसूचना;

2) सूचना प्रणाली का पूर्व-परियोजना सर्वेक्षण - प्रारंभिक डेटा का संग्रह;

3) व्यक्तिगत डेटा प्रोसेसिंग प्रणाली का वर्गीकरण;

4) सूचना प्रणाली के लिए उनकी प्रासंगिकता निर्धारित करने के लिए एक निजी खतरा मॉडल का निर्माण;

5) व्यक्तिगत डेटा सुरक्षा प्रणाली के लिए एक निजी तकनीकी विनिर्देश का विकास;

6) व्यक्तिगत डेटा सुरक्षा प्रणाली का डिज़ाइन;

व्यक्तिगत डेटा प्रोसेसिंग के उल्लंघन के लिए जिम्मेदारी

संघीय कानून 152-एफजेड "व्यक्तिगत डेटा पर" की आवश्यकताओं का उल्लंघन करने के दोषी व्यक्तियों को यह सहन करना होगा:

- अपराधी (रूसी संघ का आपराधिक संहिता देखें, कला। 137, 140, 155, 183, 272, 273, 274, 292, 293),

प्रशासनिक (प्रशासनिक अपराधों पर रूसी संघ का कोड देखें, अनुच्छेद 5.27, 5.39, 11.13-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

अनुशासनात्मक (रूसी संघ का श्रम संहिता देखें, कला. 81; कला. 90; कला. 195; कला. 237; कला. 391)

और रूसी संघ के कानून द्वारा प्रदान की गई अन्य जिम्मेदारी (व्यक्तिगत डेटा के साथ काम करने पर उपनियम देखें, जो रूसी संघ के घटक संस्थाओं, विभागों और संगठनों में प्रकाशित होते हैं)।

एफएसटीईसी- तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा।

पेमिन- दुष्प्रभाव विद्युत चुम्बकीय विकिरणऔर टिप्स

व्यक्तिगत जानकारी की सुरक्षा

दिसंबर 2014 में, राज्य ड्यूमा ने रूस में सर्वर पर इंटरनेट पर संसाधित नागरिकों के व्यक्तिगत डेटा को संग्रहीत करने पर एक बिल को तीसरी बार पढ़ा। सूचना नीति समिति के सदस्य रोमन चुइचेंको के अनुसार, विधेयक का मुख्य लक्ष्य मजबूत करना है सूचना सुरक्षादेश और उसके नागरिक. यह उपाय अंतरराष्ट्रीय स्थिति की जटिलता के कारण उठाया गया था। यह बिल 1 सितंबर 2015 को लागू होगा.

व्यक्तिगत डेटा की सुरक्षा पर नए विनियमन के लागू होने के लिए आवश्यक है कि व्यक्तिगत डेटा ऑपरेटर प्रदान करें:

• व्यक्तिगत डेटा तक अनधिकृत पहुंच का समय पर पता लगाना;
• पर प्रभाव को रोकना तकनीकी साधनव्यक्तिगत डेटा का स्वचालित प्रसंस्करण करने वाले;
• अनधिकृत पहुंच के तथ्य पर तुरंत प्रतिक्रिया देने और उनके विनाश या संशोधन के मामलों में व्यक्तिगत डेटा को तुरंत पुनर्स्थापित करने की क्षमता;
• व्यक्तिगत डेटा की सुरक्षा के स्तर की निरंतर निगरानी।

व्यक्तिगत डेटा की श्रेणियाँ

आईएसपीडी का प्रसंस्करण "संसाधित व्यक्तिगत डेटा की मात्रा" पैरामीटर के अनुसार भी किया जा सकता है, जो सूचना प्रणाली में संसाधित विषयों की संख्या मानता है और निम्नलिखित मान ले सकता है:

• व्यक्तिगत डेटा के 100 हजार से अधिक विषयों का एक साथ प्रसंस्करण (रूसी संघ के विषय के भीतर और समग्र रूप से रूसी संघ में किया गया);
• 1 से 100 हजार विषयों के व्यक्तिगत डेटा का एक साथ प्रसंस्करण (रूसी अर्थव्यवस्था के क्षेत्र में काम करने वाली एक सरकारी एजेंसी में किया गया);
• 1 हजार से कम विषयों के व्यक्तिगत डेटा का एक साथ प्रसंस्करण (एक विशिष्ट संगठन के भीतर किया गया)।

श्रेणियों में विभाजन न केवल आईएसपीडी के वर्ग को निर्धारित करने की अनुमति देता है, बल्कि सूचना प्रणालियों में संसाधित होने पर इंटरनेट पर व्यक्तिगत डेटा की सुरक्षा और संरक्षण सुनिश्चित करने के लिए उपायों का एक सेट स्थापित करने की भी अनुमति देता है।

कर्मचारी व्यक्तिगत डेटा

प्रत्येक कर्मचारी को अपने व्यक्तिगत डेटा की सुरक्षा करने का अधिकार है (रूसी संघ के श्रम संहिता के अनुच्छेद 86 के खंड 9)।

कला के अनुसार. रूसी संघ के श्रम संहिता के 89, प्रत्येक कर्मचारी निम्नलिखित कार्यों के माध्यम से व्यक्तिगत डेटा की सुरक्षा और सुरक्षा के अपने अधिकार का प्रयोग कर सकता है:

• आपके व्यक्तिगत डेटा तक मुफ़्त पहुंच, जिसमें कर्मचारी के व्यक्तिगत डेटा वाले किसी भी रिकॉर्ड की एक प्रति प्राप्त करना शामिल है;
• आपके व्यक्तिगत डेटा की सुरक्षा के लिए एक निजी प्रतिनिधि की पहचान करना;
• व्यक्तिगत डेटा और उनके प्रसंस्करण के बारे में पूरी जानकारी प्राप्त करना;
• गलत जानकारी वाले व्यक्तिगत डेटा के बहिष्कार या सुधार के लिए मांग जारी करना या यदि इसे कानूनी आवश्यकताओं के उल्लंघन में संसाधित किया गया था;
• नियोक्ता के गैरकानूनी कार्यों के साथ-साथ व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा में उसकी निष्क्रियता के खिलाफ अदालत में अपील करना।

कर्मचारी के व्यक्तिगत डेटा की संरचना

रूसी संघ के श्रम संहिता के अनुच्छेद 86 के खंड 2 के आधार पर, कर्मचारी के व्यक्तिगत डेटा की मात्रा और सामग्री नियोक्ता द्वारा रूसी संघ के संविधान, श्रम संहिता और अन्य संघीय कानूनों के अनुसार निर्धारित की जाती है। एक नियम के रूप में, किसी भी संगठन की गतिविधियों के लिए नियोक्ता को दस्तावेज़ प्रवाह में दो मुख्य प्रकार के दस्तावेज़ों का उपयोग करने की आवश्यकता होती है:

1. दस्तावेज़ जो कर्मचारी द्वारा रोजगार अनुबंध समाप्त करते समय प्रदान किए जाते हैं (रूसी संघ के श्रम संहिता के अनुच्छेद 65)। इस श्रेणी में कर्मचारी की तस्वीर, पूरा नाम, जन्म स्थान और तारीख, नागरिकता, वैवाहिक स्थिति, पंजीकरण का स्थान, शिक्षा, विशेषता (पासपोर्ट, राज्य पेंशन बीमा का बीमा प्रमाण पत्र, सैन्य आईडी, आदि) के बारे में जानकारी वाले दस्तावेज़ शामिल हैं। ).
2. दस्तावेज़ जो नियोक्ता द्वारा स्वतंत्र रूप से तैयार किए जाते हैं (श्रम और उसके भुगतान की रिकॉर्डिंग के लिए प्राथमिक लेखांकन दस्तावेज़)। इस श्रेणी में किसी कर्मचारी को काम पर रखने, एक रोजगार अनुबंध समाप्त करने, एक कर्मचारी को पुरस्कृत करने, एक व्यक्तिगत कार्ड और पारिश्रमिक पर दस्तावेज़ पर आदेश या निर्देश शामिल हैं।

व्यक्तिगत डेटा की सुरक्षा, कानूनों के उल्लंघन के लिए दायित्व

आइए ध्यान दें कि कुछ अपराधों के उल्लंघन के लिए कुछ प्रतिबंध व्यक्तियों और अधिकारियों, साथ ही कानूनी संस्थाओं दोनों पर लागू होते हैं।

रूसी संघ के नागरिक संहिता के अनुच्छेद 150 के अनुसार, निजी जीवन, व्यक्तिगत और पारिवारिक रहस्यों की हिंसा उन अविभाज्य अमूर्त अधिकारों में से एक है जो वर्तमान कानूनों द्वारा संरक्षित हैं।

आइए ध्यान दें कि एक कर्मचारी के अधिकार और दायित्व जो सीधे अन्य कर्मचारियों के व्यक्तिगत डेटा से संबंधित हैं, रोजगार अनुबंध की शर्तों और कर्मचारी के श्रम कार्यों और उसकी नौकरी की जिम्मेदारियों की सूची स्थापित करने वाले स्थानीय नियमों की संरचना द्वारा निर्धारित किए जाते हैं।

प्रशासनिक जिम्मेदारी व्यक्तिगत डेटा एकत्र करने, संग्रहीत करने और वितरित करने की प्रक्रिया का उल्लंघन करने पर 300 से 500 रूबल की राशि में चेतावनी या जुर्माना लगाया जाता है - के लिए व्यक्तियों; 500 से 1000 रूबल तक - अधिकारियों के लिए, 5 से 10 हजार रूबल तक - कानूनी संस्थाओं के लिए (रूसी संघ के प्रशासनिक अपराधों की संहिता के अनुच्छेद 13.11)। आधिकारिक और पेशेवर कर्तव्यों के प्रदर्शन में कानून द्वारा संरक्षित जानकारी के प्रसार के लिए प्रशासनिक दायित्व में जुर्माना शामिल है: 500 से 1000 रूबल तक - व्यक्तियों के लिए, 4 से 5 हजार रूबल तक - अधिकारियों के लिए (संहिता के अनुच्छेद 13.14) रूसी संघ के प्रशासनिक अपराध) .

अपने आधिकारिक पद का उपयोग करके किसी व्यक्ति द्वारा गोपनीयता का उल्लंघन, विशेष रूप से व्यक्तिगत डेटा, दंडनीय है:

• 100 से 300 हजार रूबल की राशि का जुर्माना, 1-2 साल के लिए अपराधी की मजदूरी या अन्य आय;
• 2 से 5 वर्ष की अवधि के लिए कुछ पदों पर रहने के अधिकार से वंचित करना;
• 4 से 6 महीने की अवधि के लिए गिरफ्तारी।

अज्ञात डेटा में शामिल हैं:

• प्रथम नाम, प्रथम नाम और संरक्षक नाम;
• इंटरनेट पर विषय का उपनाम/लॉगिन;
• ईमेल पता (पूरे नाम से जुड़ा नहीं);
• स्थिति, कार्य का स्थान (व्यक्तिगत डेटा के बारे में जानकारी के बिना)।

सार्वजनिक डेटा में किसी विषय के बारे में जानकारी शामिल होती है जिसे सूचना के खुले स्रोतों से प्राप्त किया जा सकता है, उदाहरण के लिए, टेलीफोन निर्देशिका या पता पुस्तिका में। डेटा को विषय की लिखित सहमति से ऐसे सार्वजनिक रूप से सुलभ डेटाबेस में दर्ज किया जाता है। : विशेषताएं सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा की एक विशेषता यह है कि इसे सूचना के खुले स्रोतों में पोस्ट किया जा सकता है। अर्थात्, यदि संगठन की संपर्क निर्देशिका में अधिकारियों की संपर्क जानकारी शामिल है, उदाहरण के लिए, प्रशिक्षण और कर्मियों को काम पर रखने वाले लोग, तो ऐसे डेटा को सार्वजनिक रूप से उपलब्ध माना जाता है।

व्यक्तिगत डेटा की अवधारणा और प्रकार

रूसी संघ का श्रम संहिता)। व्यक्तिगत डेटा का प्रसंस्करण रूसी संघ के कानून द्वारा प्रदान किए गए विभिन्न कार्यों को संदर्भित करता है। पीडी प्रसंस्करण के प्रकारों में संग्रह, व्यवस्थितकरण, संचय, भंडारण, अद्यतन करना, उपयोग, प्रतिरूपण, विनाश शामिल हैं, जो नियमों द्वारा स्थापित प्रक्रियाओं के अनुसार किए जाते हैं।

• सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा;
• विशेष व्यक्तिगत डेटा;
• बायोमेट्रिक व्यक्तिगत डेटा।

व्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस) बनाते समय, एफएसटीईसी, एफएसबी और रूसी संघ के सूचना प्रौद्योगिकी और संचार मंत्रालय संख्या 55/86/20 दिनांक 13 के आदेश द्वारा निर्देशित होने की सिफारिश की जाती है।
02.

सार्वजनिक व्यक्तिगत डेटा

ऐसी जानकारी का दुरुपयोग कानून द्वारा दंडनीय है। व्यक्तिगत डेटा संरक्षण कानून न केवल व्यक्तियों, बल्कि कानूनी संस्थाओं से भी संबंधित है।

ध्यान

यदि कंपनी के कर्मचारियों की वित्तीय स्थिति या डेटा के बारे में जानकारी सभी के लिए उपलब्ध हो तो कुछ लोगों को यह पसंद आएगा। इससे घोटालेबाजों का जीवन बहुत आसान हो जाएगा, जो न तो आम नागरिक और न ही कानून प्रवर्तन अधिकारी चाहते हैं।

• सार्वजनिक व्यक्तिगत डेटा
• अनुच्छेद 8.

सार्वजनिक व्यक्तिगत डेटा है

उदाहरण के लिए, कानून सटीक रूप से परिभाषित नहीं करता है कि कोई टेलीफोन नंबर व्यक्तिगत डेटा का गठन करता है या नहीं। रोसकोम्नाडज़ोर ने नागरिकों के अनुरोधों के जवाब में बताया कि केवल संख्या के आधार पर किसी व्यक्ति की सटीक पहचान करना असंभव है।

अपने आप में, यह व्यक्तिगत नहीं है, लेकिन मालिक के पूरे नाम और निवास के शहर के साथ मिलकर, यह पीडी को संदर्भित करता है। इसलिए, एसएमएस संदेशों को गैर-वैयक्तिकृत भेजना संघीय कानून संख्या 152 का उल्लंघन नहीं माना जाता है।

सामान्य पीडी पासपोर्ट, सैन्य आईडी, डिप्लोमा, व्यक्तिगत कर्मचारी कार्ड, कार्य रिकॉर्ड बुक इत्यादि में निहित है। इस डेटा को प्राप्त करने के लिए लिखित अनुमति आवश्यक नहीं है, अप्रत्यक्ष अनुमति पर्याप्त है, उदाहरण के लिए, संबंधित आइटम के आगे एक चेक मार्क; ऑनलाइन आवेदन पत्र.
पहुंच की सापेक्ष आसानी अक्सर व्यक्तिगत डेटा के विषयों - आम नागरिकों के लिए समस्याएं लाती है: घुसपैठ वाले विज्ञापन से लेकर ब्लैकमेल और ऋण आवेदनों की जालसाजी तक।

कौन सा व्यक्तिगत डेटा सार्वजनिक माना जाता है?

उदाहरण के लिए, निम्नलिखित:

• संग्रहित करने की आवश्यकता है बैकअपसंपूर्ण डेटाबेस;
• एक विशेषज्ञ की आवश्यकता है जो सूचना प्रणाली का प्रबंधन करेगा;
• विशेष रूप से डिज़ाइन किए गए उपकरण और सॉफ़्टवेयर के लिए व्यय की आवश्यकता होगी;
• व्यक्तिगत डेटा संसाधित करने वाला कर्मचारी अत्यंत साक्षर होना चाहिए।

कर्मचारियों की व्यक्तिगत जानकारी को प्रभावी ढंग से सुरक्षित रखने के लिए किन तरीकों का उपयोग किया जाता है?

• जिस परिसर में व्यक्तिगत डेटा संसाधित किया जाता है उसे अन्य कर्मचारियों की पहुंच के लिए पूरी तरह से बंद कर दें।
• कोई भी जानकारी प्राप्त करने के लिए कर्मचारियों को विशेष अनुमति लेनी होगी।
• डेटा भंडारण स्पष्ट रूप से व्यवस्थित होना चाहिए.

प्रत्येक विधि के नुकसान और फायदे दोनों की उपस्थिति को देखते हुए, एक नियम के रूप में, नियोक्ता उन्हें जोड़ते हैं।

अनुच्छेद 8. व्यक्तिगत डेटा के सार्वजनिक स्रोत

वेतन इस तथ्य के कारण व्यावसायिक रहस्य नहीं हो सकता कि वे पारिश्रमिक प्रणाली से संबंधित हैं। लेकिन यह इसे पीडी की सूची से बाहर नहीं करता है, जिसके वितरण के लिए किसी कर्मचारी को श्रम संहिता के अनुसार निकाल दिया जा सकता है।

और यदि कर्मचारी इस निर्णय को अदालत में चुनौती देना शुरू कर देता है, तो नियोक्ता यह साबित करने के लिए बाध्य है कि प्रकट की गई जानकारी एक रहस्य से संबंधित है, जिसकी जानकारी कर्मचारी ने किसी को भी प्रकट न करने का वचन दिया है। सामग्री पर वापस जाएँ व्यक्तिगत डेटा के प्रकारों को इसके अनुसार वर्गीकृत किया जा सकता है:

• उनमें निहित सामग्री:
• श्रेणी, जिसमें अनुच्छेद 10 में निर्दिष्ट सूची शामिल है: जाति, राष्ट्रीयता, धर्म, स्वास्थ्य, व्यक्तिगत जीवन, राजनीतिक विश्वास। हालाँकि, संघीय कानून 152 के अनुसार, यहाँ प्रतिबंध हैं, अर्थात्, प्रवेश केवल मालिक की लिखित अनुमति से ही किया जा सकता है।

वेतन व्यक्तिगत डेटा है या नहीं?

महत्वपूर्ण

सूचना समर्थन के उद्देश्य से, व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोत (निर्देशिका, पता पुस्तिका सहित) बनाए जा सकते हैं। व्यक्तिगत डेटा के सार्वजनिक स्रोतों में, व्यक्तिगत डेटा के विषय की लिखित सहमति से, उसका अंतिम नाम, पहला नाम, संरक्षक, वर्ष और जन्म स्थान, पता, ग्राहक संख्या, पेशे के बारे में जानकारी और विषय द्वारा रिपोर्ट किए गए अन्य व्यक्तिगत डेटा शामिल हो सकते हैं। व्यक्तिगत डेटा का.

• बॉयोमीट्रिक. शरीर क्रिया विज्ञान का वर्णन करें।
• बायोमेट्रिक नहीं. वह डेटा जो बायोमेट्रिक नहीं है.

व्यक्तिगत डेटा के प्रकार व्यक्तिगत डेटा को किस प्रकार में विभाजित किया गया है? इसका अर्थ क्या है? यह समझना महत्वपूर्ण है कि किसी विशेष कर्मचारी के संबंध में उद्यम में संग्रहीत सभी जानकारी को दो अलग-अलग दृष्टिकोणों से देखा जा सकता है।

• कर्मचारी की वैवाहिक स्थिति और परिवार (व्यक्तिगत सदस्यों) पर डेटा, अर्थात्: आश्रितों की उपस्थिति, बच्चों की उपस्थिति, उनकी उम्र और संख्या, स्वास्थ्य की स्थिति।
• किसी विशिष्ट कर्मचारी के बारे में जानकारी, अर्थात्: पूरा नाम (पासपोर्ट), पेशा, स्वास्थ्य स्थिति, साथ ही कोई विशेष परिस्थितियाँ।

उद्यम का प्रमुख स्थानीय महत्व का एक नियामक कानूनी अधिनियम तैयार करने के लिए बाध्य है, जो व्यक्तिगत डेटा के भंडारण को निर्धारित करने की प्रक्रिया पर विचार करता है।

व्यक्तिगत डेटा सार्वजनिक रूप से उपलब्ध है और इस पर क्या लागू होता है

प्रकटीकरण की जिम्मेदारी यह ध्यान रखना महत्वपूर्ण है कि 152 संघीय कानून "व्यक्तिगत डेटा की सुरक्षा पर" किसी कर्मचारी के व्यक्तिगत डेटा के प्रकटीकरण के लिए केवल एक उद्यम की प्रशासनिक जिम्मेदारी प्रदान करता है। इसका मतलब यह है कि यदि कोई संगठन कर्मचारियों को उनकी व्यक्तिगत जानकारी की पूर्ण सुरक्षा की गारंटी देने में असमर्थ है, तो उसे केवल जुर्माना भरना पड़ेगा। इसके अलावा, व्यक्तिगत डेटा के गलत भंडारण के लिए आर्थिक दंड की राशि बिल्कुल हास्यास्पद है। सामान्य तौर पर, वे पाँच से दस हज़ार रूबल तक होते हैं। बेशक, यह सच है अगर हम केवल एकल भुगतान के बारे में बात कर रहे हैं। एक नियम के रूप में, जिन उद्यमों में इस प्रकार की समस्याएं होती हैं, वहां कई उल्लंघन होते हैं, जिसका अर्थ है कि जुर्माने की राशि काफी बढ़ जाती है। हालाँकि, मौद्रिक लागत इस तथ्य के सबसे महत्वपूर्ण परिणाम से बहुत दूर है कि व्यक्तिगत डेटा का गलत तरीके से उपयोग किया जाता है। इससे कंपनी की प्रतिष्ठा को काफी नुकसान पहुंचता है.
उदाहरण के लिए, निम्नलिखित:

• अतिरिक्त भंडारण संसाधनों की उपलब्धता, जैसे विशेष परिसर, उपकरण, तिजोरियाँ, इत्यादि;
• प्रक्रिया की श्रम तीव्रता;
• कागजी रिकॉर्ड बनाए रखने के लिए विशेष कौशल की आवश्यकता होती है।

कभी-कभी मानव संसाधन विभाग एक कर्मचारी के बारे में जानकारी अलग से (विभिन्न विषयगत फ़ोल्डरों में) संग्रहीत करना पसंद करते हैं। इस प्रकार, सभी कर्मचारियों के लिए सभी रोजगार अनुबंध, प्रश्नावली और अन्य दस्तावेज अलग-अलग संग्रहीत किए जाते हैं। आसान खोज के लिए उन्हें क्रमांकित किया गया है। यह विधि ऊपर वर्णित विधि की तुलना में कम श्रम-गहन है, और इसके लिए मानव संसाधन विभाग के कर्मचारी से किसी विशेष कौशल की आवश्यकता नहीं होती है। हालाँकि, यह अपनी कमियों के बिना नहीं है।
व्यक्तिगत डेटा के प्रसंस्करण के बारे में अधिसूचना ऑपरेटरों के लिए व्यक्तिगत डेटा के प्रसंस्करण के बारे में सूचित करना एक बहुत ही सामान्य गलती है जबकि ऐसा न करना संभव था। और यदि आप अभी भी रोसकोम्नाडज़ोर को सूचित करने का निर्णय लेते हैं, तो यहां कुछ सिफारिशें दी गई हैं:

• 27 जुलाई 2006 के रूसी संघ के संघीय कानून के अनुच्छेद 22 के भाग 2 को बहुत ध्यान से पढ़ें।

  एन 152-एफजेड "व्यक्तिगत डेटा पर"।

• उस डेटा को देखें जो आपके लिए संसाधित किया गया है। कुछ मामलों में आपको पीडी वाहकों के साथ समायोजन करने की आवश्यकता होगी।

जिन कारणों से आप व्यक्तिगत डेटा के प्रसंस्करण के बारे में सूचित नहीं कर सकते हैं उनमें से एक संघीय कानून के खंड 2, भाग 2, अनुच्छेद 22 में दर्शाया गया है और इस प्रकार है: आइए एक उदाहरण के रूप में किसी व्यक्ति के साथ व्यावसायिक संबंध स्थापित करने को लें एक सेवा करना.

यह स्पष्ट करने के लिए कि सब कुछ तैयार है और आपको बस कई दसियों किलोमीटर ड्राइव करने की ज़रूरत नहीं है, फोरमैन ने समझदारी से खुशखबरी सुनाने के लिए आपका फ़ोन नंबर ले लिया।