Der Inhalt des Artikels
- Welche Informationen gelten als personenbezogene Daten?
- Einzelpersonen
- Firmenangestellte
- Staatliche oder kommunale Angestellte
- Juristische Personen
- Rechtliche Rahmenbedingungen
- Für wen gelten die Anforderungen des Bundesgesetzes 152
- Verantwortung für die Verwendung personenbezogener Daten ohne Zustimmung
- PD-Kategorien
- Allgemeine personenbezogene Daten einer Person
- Biometrisch
- Spezielle Daten
- Anonym
- Große Daten
- PD-Speicher- und Schutzmechanismus
- Wer hat das Recht zu verlangen
Unter modernen Bedingungen benötigen Bürger häufig die Zustimmung zur Verarbeitung privater Informationen, beispielsweise beim Arztbesuch. In vielen Fällen wird die Unterschrift auf dem Formular automatisch eingefügt. Wenn Sie auf Informationen über sich selbst zugreifen, ist es wichtig, die Regeln zu kennen und einzuhalten..
Welche Informationen gelten als personenbezogene Daten?
Gemeinsame personenbezogene Daten:
- Nachname, Name, Patronym einer Person. In dieser Perspektive fungiert ein Individuum als Subjekt.
- Geburtsdatum und-ort.
- Anmeldung und Wohnadresse.
Die persönlichen Daten des Mitarbeiters werden im Informationssystem (IP) konzentriert. Es kann digital oder analog sein (eine Computerbasis oder eine persönliche Datei in einem Papierordner). Gleichzeitig gelten für PD gesetzliche Anforderungen, unabhängig von der technischen Umsetzung des Informationssystems. Es gibt verschiedene Möglichkeiten, persönliche Informationen von Personen zu verarbeiten – Sammlung, Klassifizierung, Klärung usw..
Das Konzept der PD bezieht sich nicht nur auf Bürger, sondern auch auf juristische Personen, unabhängig von der Rechtsform (Firmen, Unternehmen, Organisationen, Handelsunternehmen usw.). Ihr Merkmal ist, dass auf ihrer Grundlage nicht eine bestimmte Person, sondern ein bestimmtes Unternehmen identifiziert wird. Offizielle Informationen über das Unternehmen werden beim Abschluss von Verträgen usw. benötigt..
Einzelpersonen
Zu den persönlichen Informationen für diese Kategorie von Unternehmen gehören:
- VOLLSTÄNDIGER NAME;
- Geburtsdatum und-ort;
- Staatsbürgerschaft;
- Registrierung und Wohnadresse;
- Entscheidung über die vollständige oder teilweise Arbeitsunfähigkeit;
- Familienstand + Informationen über Familienmitglieder;
- Bildung;
- Arbeitsplatz;
- Gehalt, Versicherung und Steuerabzüge;
- Militärdienst.
Es gibt Funktionen zum Klassifizieren verschiedener Daten als persönlich in der Kategorie der Personen:
- Telefonnummer. Bezieht sich auf PD, wenn die Informationen über den Eigentümer in einer öffentlichen Quelle vorliegen (z. B. werden Kontakte für den direkten Kontakt auf der Website des Stellvertreters angegeben)..
- Überprüfungsparameter für die Autorisierung Bei verschiedenen Internetdiensten handelt es sich per Definition um personenbezogene Daten, die keiner Weitergabe an Dritte unterliegen.
- Foto- und Videoaufnahmen. Sie beziehen sich nur dann auf PD, wenn eine Person von ihnen identifiziert werden kann. Die Ausnahme bilden Foto- oder Videoaufnahmen bei Massenveranstaltungen. Wenn das Protokoll die Ehre, Würde oder das geschäftliche Ansehen einer Person diffamiert, kann sie gemäß Artikel 152 Teil 1 des Bürgerlichen Gesetzbuchs der Russischen Föderation eine Widerlegung verlangen.
Firmenangestellte
Persönliche Informationen umfassen in diesem Fall Informationen, die der Mitarbeiter bei der Bewerbung für eine Stelle angeben muss. Im Hauptteil stimmen sie mit der PD einer Person überein und sollen in die Personalakte des Mitarbeiters eingetragen werden. Aufgrund der Tatsache, dass ein Mitarbeiter ein Standardformular ausfüllt, Informationen, die nicht mit seiner Arbeit zusammenhängen.
Neben den persönlichen Daten von Personen umfasst das persönliche Dossier eines Mitarbeiters eines Unternehmens unbedingt:
- Position;
- ZINN;
- Bewerbung für einen Job;
- Gehalt;
- SNILS;
- Dienstalter (+ bei diesem Unternehmen);
- Bescheinigungen über Belohnungen und Strafen der Verwaltung;
- Informationen über den genutzten Urlaub;
- ärztliche Atteste und / oder ärztliche Untersuchungsunterlagen (falls aufgrund der Arbeitsbedingungen erforderlich).
Der Arbeitgeber hat kein Recht (und dies ist in den Gesetzen vorgeschrieben):
- Übermittlung personenbezogener Daten an Dritte ohne Zustimmung des Mitarbeiters (Datenschutz).
- Fordern Sie ohne Zustimmung Gesundheitsinformationen der Mitarbeiter an. Eine Ausnahme bilden Situationen, in denen es in direktem Zusammenhang mit dem Mitarbeiter steht, der seine Funktionen ausführt.
Die Verpflichtung des Arbeitgebers ist:
- Schützen Sie die ihm zur Verfügung stehende PD vor dem Zugriff Dritter und erlauben Sie nur speziell autorisierten Mitarbeitern, sie kennenzulernen, indem Sie ihnen Daten zur Verfügung stellen, die in ihre Zuständigkeit fallen.
- Warnung an Dritte, an die Informationen über den Mitarbeiter übermittelt werden, dass diese nur für die spezifischen angeforderten Zwecke verwendet werden dürfen. Die Gesetzgebung verbietet die unbefugte Weitergabe personenbezogener Daten und die Verantwortlichen können zur Rechenschaft gezogen werden.
- Sichern Sie dementsprechend (z. B. durch Unterzeichnung eines speziellen Formulars) die Verpflichtung zur Wahrung der Vertraulichkeit durch Personen, an die die PD übertragen wird.
Staatliche oder kommunale Angestellte
Zusätzlich zu den für den Mitarbeiter des Unternehmens erforderlichen Informationen umfasst die Anzahl der personenbezogenen Daten für diese Kategorie von Arbeitnehmern:
- Erfahrung + Betriebszugehörigkeit;
- Position;
- cooler Rang (falls vorhanden);
- Entlastung nach Tarifskala;
- akademischer Grad, Auszeichnungen, Belohnungen;
- Freigabe für die Arbeit mit klassifizierten Materialien;
- Zertifizierungs- und Weiterbildungszertifikate;
- Vorstrafenregister;
- ärztliche Atteste, Kopien des Krankenstands.
Juristische Personen
Diese Kategorie von Informationen umfasst:
- Name der Firma;
- rechtliche und tatsächliche Adresse;
- Lizenznummern;
- BEHÄLTER;
- ZINN;
- PPC
- Bankkontonummer und andere Bankdaten.
Rechtliche Rahmenbedingungen
Die wichtigsten Rechtsdokumente zur Festlegung der Grundsätze für die Verwendung von PD:
- Verfassung der Russischen Föderation. Die Artikel 23 und 24 garantieren den Bürgern Privatsphäre, persönliche und familiäre Geheimnisse sowie Vertraulichkeit bei Korrespondenz, Telefongesprächen und anderen Nachrichten. Nach diesen Bestimmungen gehören PDs nur ihrem Beförderer und sollten ohne seine Zustimmung nicht von Dritten kontrolliert werden. Der Staat garantiert den Schutz dieses Bürgerrechts.
- Das Bundesgesetz Nr. 152-FZ „Über personenbezogene Daten“ vom 27. Juli 2006 legt fest, wer und unter welchen Bedingungen die personenbezogenen Daten eines Bürgers verwenden darf.
Für Mitarbeiter verschiedener Branchen gelten gesonderte Vorschriften für die Verarbeitung personenbezogener Daten:
- Für Arbeitnehmer in Organisationen des Energiesektors – Verordnung des russischen Energieministeriums Nr. 166 „Über Arbeiten zur Verarbeitung personenbezogener Daten“ vom 11.11.2008.
- Für Beamte – Bundesgesetz Nr. 79-FZ vom 27. Juli 2004 über den staatlichen öffentlichen Dienst der Russischen Föderation.
Für wen gelten die Anforderungen des Bundesgesetzes 152
Der Zugriff auf personenbezogene Daten einer bestimmten Person ist speziellen Betreibern gestattet. Dies sind Vertreter von Strukturen oder Organisationen, die PD einer bestimmten Person produzieren und verarbeiten. In Ermangelung einer Erlaubnis des Subjekts stellen alle Operationen mit seinen persönlichen Daten einen Verstoß gegen das Gesetz dar. Persönliche Informationen über eine Person müssen unbedingt entfernt werden, nachdem die Notwendigkeit ihrer Verwendung verschwunden ist.
Die Gesetzgebung bestimmt nicht die Gültigkeitsdauer der Einwilligung zur Verarbeitung personenbezogener Daten, daher kann sie direkt in dem vom Betroffenen unterzeichneten Formular angegeben werden. Ein solcher Zeitraum kann direkt oder indirekt festgelegt werden – zum Beispiel „für 3 Jahre“ oder „für die im Arbeitsvertrag festgelegte Zeit“. Überprüfen Sie durch die Unterzeichnung solcher Papiere die Fristen und stellen Sie sicher, dass sie echt geschrieben sind.
Verantwortung für die Verwendung personenbezogener Daten ohne Zustimmung
Für Verstöße gibt es eine Liste von Strafen. Dies schließt Fälle ein:
- PD-Verarbeitung in Situationen, die nicht gesetzlich vorgeschrieben sind. Dieser Verstoß bringt eine Warnung oder eine Geldstrafe mit sich: für Bürger – 1.000 bis 3.000, für Beamte – 5.000 bis 10.000, für juristische Personen – 30.000 bis 50.000 Rubel.
- Verarbeitung personenbezogener Daten ohne schriftliche Zustimmung des Betreffs. Hierfür werden Strafen vorgesehen: für Bürger – 3.000 bis 5.000, für Beamte – 10.000 bis 20.000, für juristische Personen – 15.000 bis 75.000 Rubel.
Die Verwendung von PD ohne Zustimmung des Subjekts kann ein wesentlicher Bestandteil der Straftat sein, die mit Artikel 137 des Strafgesetzbuchs der Russischen Föderation bestraft wird. Diese beinhalten:
- Illegale Sammlung von Informationen über das Privatleben einer Person, die ihr persönliches oder familiäres Geheimnis ist. Dies bedeutet eine Geldstrafe von bis zu 200.000 Rubel, eine obligatorische Arbeit von bis zu 360 Stunden oder eine Verhaftung von bis zu 4 Monaten usw. Für Beamte ist eine Disqualifikation von bis zu 3 Jahren möglich..
- Maßnahmen zum Sammeln verschiedener Informationen über eine Person, die unter Verwendung ihrer offiziellen Position begangen wurde. Es wird mit einer Geldstrafe von bis zu 300.000 Rubel, Zwangsarbeit für eine Dauer von bis zu 4 Jahren oder einer Verhaftung von bis zu 6 Monaten usw. geahndet. In den meisten Fällen wird einem Bürger nach Anwendung dieser Sanktion das Recht entzogen, bestimmte Posten für einen Zeitraum von bis zu 5 Jahren zu bekleiden..
PD-Kategorien
Das Gesetz Nr. 152-FZ unterteilt Informationen zu Informationsgehalt, Komplexität der Verwendung und Offenlegungsgrad. Kategorien personenbezogener Daten, die nicht ohne Zustimmung verwendet werden können: depersonalisierte, allgemeine und spezielle biometrische Daten.
Allgemeine personenbezogene Daten einer Person
Dazu gehören grundlegende Informationsmaterialien zu einer bestimmten Person:
- Vollständiger Name;
- Geburtsdatum und-ort;
- Registrierung und Wohnadresse;
- Telefonnummer;
- ZINN;
- Passdaten – Serie, Ausstellungsdatum usw.;
- SNILS;
- Arbeitsplatz;
- Gehalt.
Persönliche Informationen, die sich auf den allgemeinen Typ beziehen, werden in den Basisdokumenten eines Bürgers aufgezeichnet (dies ist ein Reisepass, ein Arbeitsbuch usw.). In vielen Fällen reicht eine indirekte Verarbeitung für ihre Verarbeitung aus. Solche vereinfachten Fälle sind typisch für das Ausfüllen von Online-Fragebögen mit einem Minimum an Informationen, wenn der Betreff anstelle einer schriftlichen Bestätigung genügend Häkchen im entsprechenden Feld hat. Hier erfolgt die Datenübertragung über offene Kommunikationskanäle.
Einige dieser Informationen sind nicht persönlich, wenn sie unabhängig von anderen verwendet werden. Die aktuelle Position von Roskomnadzor ist, dass nur eine Telefonnummer (ohne sie mit dem Namen des Eigentümers zu korrelieren) nicht in der Lage ist, eine Person zu identifizieren. Aus diesem Grund ist nicht personalisiertes SMS-Mailing kein Verstoß gegen das Gesetz..
Biometrisch
Dies beinhaltet die physiologischen und biologischen Parameter eines Individuums:
- Fingerabdrücke (Fingerabdrücke);
- Blutgruppe;
- Höhe;
- Gewicht;
- Augenfarbe;
- besondere Anzeichen im Zusammenhang mit dem Aussehen (z. B. erworbene Verletzungen).
Alle audiovisuellen Dateien – Fotos einer bestimmten Person, Aufzeichnungen von einem Sprachrekorder, Videorecorder usw. – gehören derselben Kategorie an. Die Entwicklung von Technologien wird häufig von biometrischen Parametern verwendet – sie werden in der Medizin, bei der Einstellung von Regierungsbehörden und bei der Beantragung von Pässen verwendet. Oft sind solche Daten für das Subjekt in einer beruflichen Tätigkeit oder im Privatleben schädlich..
Spezielle Daten
Diese Kategorie umfasst:
- Staatsangehörigkeit;
- politische Präferenzen;
- Religion;
- Vorstrafenregister;
- medizinische Diagnose;
- sexuelle Orientierung;
- intimes Leben.
Diese Informationen sind in speziellen Dokumenten enthalten. Sie können verwendet werden, um eine bestimmte Person zu diskriminieren. Aus diesem Grund ist gemäß Artikel 10 des Gesetzes Nr. 152-FZ der Zugang zu dieser Art von Informationen für allgemeine Fälle nicht gestattet. Ausnahmen sind Situationen, in denen:
- Der Betreff gab der PD-Verarbeitung eine schriftliche Zustimmung.
- Das Dossier einer bestimmten Person wird untersucht, um das Leben / die Gesundheit dieser Person oder Dritter zu erhalten, wenn eine Erlaubnis nicht möglich ist (z. B. liegt ein Opfer eines Autounfalls im Koma und eine Operation ist dringend erforderlich). Dieser Fall kann auf alle Situationen der Diagnose und der Erbringung medizinischer Dienstleistungen ausgedehnt werden, sofern er von einem autorisierten Mitarbeiter durchgeführt wird und er das Berufsgeheimnis behält..
- Diese PDs wurden auf Initiative der Person, zu der sie gehören, öffentlich (zum Beispiel gibt ein Popkünstler dem Fernsehsender ein Interview über seine sexuelle Orientierung). Dies umfasst auch die Verarbeitung von Informationen im Zusammenhang mit der Durchführung der allrussischen Volkszählung oder der Durchführung von Sozialhilfeprogrammen, Arbeits- oder Rentengesetzen.
- Die Verarbeitung personenbezogener Daten von Teilnehmern einer öffentlichen Vereinigung oder religiösen Organisation erfolgt (diese personenbezogenen Daten können beispielsweise in der Gemeinde oder in staatlichen Statistikbehörden erhoben werden). Ausschlaggebend hierfür ist die Nichtverbreitung solcher Informationen ohne schriftliche Zustimmung der PD-Betroffenen.
- Die Entnahme der erforderlichen personenbezogenen Daten ist mit der Ausübung der verfassungsmäßigen Rechte dieser Person oder der Rechtspflege verbunden (gesetzlich ist dies beispielsweise durch Polizei oder Staatsanwaltschaft zulässig). Dies schließt auch Situationen der Durchsetzung von Rechtsvorschriften zu Verteidigung, Terrorismusbekämpfung, Verkehrssicherheit, Korruptionsbekämpfung usw. ein..
- Diese Situation ergibt sich, wenn gesetzliche Anforderungen an obligatorische Versicherungsarten, die Staatsbürgerschaft der Russischen Föderation und die Kontrolle von Eltern, die Waisenkinder aufnehmen, umgesetzt werden müssen.
Anonym
In Übereinstimmung mit dem Gesetz Nr. 152-FZ umfasst dies Informationen, deren Korrelation mit einer bestimmten Person ohne Klärung unmöglich ist. Dies kann eine der Komponenten der PD sein, ohne andere Informationen, zum Beispiel:
- Der Nachname, der Name, das Patronym einer Person, ihr Datum, Monat, Geburtsjahr, Straße, Haus und Wohnung insgesamt sind personenbezogene Daten.
- Jede dieser Informationen separat (z. B. nur ein Name ohne Nachnamen und andere Informationen) kann keine PD sein.
Die Depersonalisierung ist eine zusätzliche Schutzmethode. Es wird häufig von Regierungsstellen herangezogen, die befugt sind, personenbezogene Daten über Bürger zu verarbeiten und eine Reihe von Informationen an eine externe Studie zu übertragen. Z.B:
- Infolge der Volkszählung sammelt der Statistische Bundesdienst (Goskomstat) eine Vielzahl von Profilen mit personenbezogenen Daten. Dies können Informationen zu Alter, Nationalität usw. sein..
- Durch das Senden solcher Daten an andere Abteilungen zur analytischen Untersuchung ihres Arbeitsprofils ergreifen die Mitarbeiter von Goskomstat Maßnahmen zum Schutz der Parkinson-Krankheit. Aus diesem Grund werden personenbezogene Daten nicht personifiziert. Beispielsweise wird dem Ministerium für Sozialschutz der Russischen Föderation eine Stichprobe von Daten zu Personen vorgelegt, aus der Nationalität, Alter und Bildung hervorgehen, ohne jedoch den Namen zu nennen.
Große Daten
Dies schließt Informationen ein, die von einem bestimmten Benutzer im Internet empfangen oder auf seinen digitalen Geräten gesammelt wurden:
- IP-Adresse des Computers;
- Seitenaufrufverlauf;
- Autorisierungsdaten auf Websites;
- Spitznamen und Avatare von Foren oder sozialen Netzwerken.
Die Mehrdeutigkeit dieser Kategorie in rechtlicher Hinsicht ist mit folgenden Merkmalen verbunden:
- Diese Informationen können direkt oder indirekt auf eine bestimmte Person hinweisen..
- Der Eigentümer selbst kann sie nicht vollständig kontrollieren..
- Falls gewünscht, können sie gefälscht werden (zum Beispiel kann sich eine Person unter dem Namen ihres Freundes in sozialen Netzwerken registrieren und in seinem Namen diffamierende Nachrichten hinterlassen)..
Unter diesen Umständen sind nicht alle Informationen aus der Kategorie Big Data personenbezogene Daten. Wenn sie eine bestimmte Person nicht direkt angeben, gehören sie laut Roskomnadzor nicht zur Kategorie der PD. Dann unterliegen sie nicht den Anforderungen des Gesetzes Nr. 152-FZ. Beispiele für solche Informationen:
- Foto eines Mannes. Wenn es mit einem Vor- und Nachnamen versehen ist, handelt es sich um personenbezogene Daten, da es sich um eine bestimmte Person handelt.
- Avatar (Userpic) und Spitzname im Forum. Diese Positionen sind keine PD. Sie geben keine direkte Person an. Es gibt eine Ausnahme: Wenn das Bild ein Foto einer Person mit einem Vor- oder Nachnamen oder anderen Informationen zeigt.
- Die PD-Kategorie enthält nicht die Suchanfragen des Computerbenutzers und Informationen zu seinem Standort, die verarbeitet werden, um ihm kontextbezogene Werbung und Geo-Targeting bereitzustellen (Datenausgabe abhängig vom geografischen Standort der Person)..
PD-Speicher- und Schutzmechanismus
In Übereinstimmung mit den gesetzlichen Anforderungen müssen die Betreiber die Mittel zur Gewährleistung der Sicherheit der von ihnen gesammelten personenbezogenen Daten unabhängig einsetzen. Dies wird implementiert mit:
- Die Zulassung zur Arbeit mit dem Informationssystem ist nur ein vorbestimmter Personenkreis, der über die entsprechenden Anweisungen verfügt und vor der Verantwortung für die unbefugte Weitergabe von Informationen gewarnt wird. Wenn eine Computer-IP eine PD eines speziellen Typs enthält, sollte die Arbeit damit (Ansichten, Änderungen usw.) in einem speziellen elektronischen Journal aufgezeichnet werden. Mit Hilfe moderner Informationstechnologien kann dieser Prozess automatisch durchgeführt werden..
- Maßnahmen zur Schaffung eines hohen IP-Schutzniveaus, Blockierung des nicht autorisierten Zugriffs (z. B. infolge eines Hackerangriffs), sofortige Wiederherstellung der ursprünglichen Informationen aus einem Backup im Falle einer Beschädigung durch einen Computervirus usw. Wenn persönliche Informationen in analoger Form vorliegen (z. B. Papierprofile mit Informationen über die Mitarbeiter des Unternehmens) ist es notwendig, Maßnahmen für deren Digitalisierung zu ergreifen.
- Die Kontrolle von Roskomnadzor, um sicherzustellen, dass die aktuelle Verarbeitung der persönlichen Daten der Mitarbeiter in Übereinstimmung mit den gesetzlichen Standards erfolgt. Diese Agentur überprüft auch, ob die Speicherung personenbezogener Daten, die im Rahmen von Arbeitspflichten verarbeitet werden, unter Bedingungen erfolgt, unter denen die Weitergabe personenbezogener Daten und deren rechtswidrige Verwendung ausgeschlossen sind.
Wer hat das Recht zu verlangen
In Übereinstimmung mit dem Gesetz muss die PD-Verarbeitung rechtliche Zwecke haben. Es gibt zwei Möglichkeiten, um die PD des Probanden zu erhalten:
- Ohne obligatorische schriftliche Zustimmung. Zulässig, wenn die Sammlung von PD die Erfüllung gesetzlicher Anforderungen ist. Beispielsweise hat der Arbeitgeber das Recht, Informationen über die Registrierungsadresse und die Ausbildung des Arbeitnehmers frei zu erhalten. Ein Sonderfall sind die in Artikel 10 des Gesetzes Nr. 152-FZ (die Liste ist oben angegeben) berücksichtigten Ausnahmesituationen, auf die ohne Zustimmung des Betroffenen verzichtet wird.
- Vorbehaltlich der schriftlichen Genehmigung. Vertreter einzelner Organisationen erhalten Zugriff auf die Informationen, die zur Erfüllung ihrer Aufgaben erforderlich sind. Zum Beispiel hat die Bank bei der Beantragung eines Kredits das Recht, eine Frage zum Gehalt des Kunden zu stellen, aber das Interesse des behandelnden Arztes ist rechtswidrig.
Es scheint, dass der Text über personenbezogene Daten und die Arten von Geheimnissen und Informationen spricht. Meine Frage lautet: Welche spezifischen Arten von Geheimnissen und Informationen fallen unter den Begriff „personenbezogene Daten“ und wie können wir sicherstellen, dass diese Daten angemessen geschützt werden?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Daten wie Name, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, aber auch biometrische Daten, Gesundheitsdaten oder Standortdaten. Um sicherzustellen, dass diese Daten angemessen geschützt werden, sollten Maßnahmen wie Verschlüsselung, Zugriffskontrollen, regelmäßige Datenlöschungen und Sensibilisierung der Mitarbeiter für den Umgang mit personenbezogenen Daten implementiert werden. Außerdem ist die Einhaltung der Datenschutzgesetze, wie die DSGVO in Europa, entscheidend, um den Schutz der personenbezogenen Daten zu gewährleisten.