L'operatore dei dati personali è Funzioni e responsabilità, caratteristiche

2024 Autore: Howard Calhoun | [email protected]. Ultima modifica: 2023-12-17 10:31

Operatore di dati personali - chi è questo? Non tutti sanno che tipo di attività si tratta. Nel frattempo, nell'era della tecnologia, è sempre più richiesta. Allora, chi è il gestore dei dati personali? Ne parliamo nell'articolo. E per renderlo più chiaro, iniziamo con una definizione.

Definizione

Un operatore di dati personali è una persona fisica o giuridica, nonché un'istituzione municipale o statale che elabora e riceve informazioni personali, determina le finalità e le procedure per i dati forniti.

L'operatore ha il diritto di lavorare in autonomia, oppure può rivolgersi a terzi per un aiuto. Questi ultimi sono considerati operatori anche in questo caso.

Che cosa sono i dati personali

Abbiamo scoperto chi sta elaborando le informazioni personali. Questo è l'operatore dei dati personali. Ma cosa si intende per dati personali? La legge non ha un elenco che risponda chiaramente a questa domanda. Di norma, le informazioni personali includono i dati del passaporto, il numero di identificazione, l'anzianità, il luogoregistrazione e residenza, luogo di lavoro, composizione familiare, istruzione. In rari casi, questo può includere dati sui benefici o sullo stato di salute.

In effetti, un operatore di dati personali è un'istituzione che accetta informazioni personali da una persona. Anche se si tratta solo di dati del passaporto, l'organizzazione è comunque considerata l'operatore dei dati personali.

Si possono citare gli esempi più famosi di tali operatori. Queste sono banche che lavorano con i clienti e le informazioni sui contribuenti, le agenzie di viaggio. Ciò include anche i siti che richiedono informazioni sull'abbonato per la registrazione, i negozi in cui vengono emesse le carte sconto. L'elenco comprende anche le cliniche che hanno accesso alle tessere mediche. Questo non è un elenco definitivo, è semplicemente impossibile elencare tutte le organizzazioni e istituzioni che elaborano informazioni personali.

Dove si trovano le informazioni

Naturalmente, un tale volume di informazioni deve essere contenuto da qualche parte. Per questo motivo è stato introdotto un registro degli operatori di dati personali. Questa è una base specifica di Roskomnadzor, che riflette tutte le persone giuridiche e gli individui considerati operatori.

Per essere inseriti nel database, è sufficiente dichiarare autonomamente alle autorità di Roskomnadzor presentando una domanda scritta o inviando una e-mail. E puoi anche avvisare le autorità sulla carta intestata dell'impresa. Questa procedura è stata descritta in dettaglio nell'ordinanza del Ministero russo delle telecomunicazioni e delle comunicazioni di massa del 2011.

Poiché tutti gli operatori sono inclusi nel registro degli operatori di dati personali, sono tenuti a notificare a Roskomnadzor tutte le modifiche,che riguardano operazioni con dati personali, il loro trattamento. Quest'ultimo, a sua volta, controlla il lavoro degli operatori ed effettua periodicamente i controlli.

L'elenco degli operatori di dati personali di Roskomnadzor è a disposizione di tutti, può essere visualizzato sul sito ufficiale del servizio.

A proposito, l'autorità non può rifiutarsi di iscrivere il registro di una persona fisica o giuridica. Se ciò accade, il servizio viola la legge, il che significa che viene inflitta una multa a Roskomnadzor. L'importo di quest'ultimo può raggiungere i cinquecentomila rubli.

Obblighi degli operatori

Come per qualsiasi attività, lavorare con le informazioni personali è soggetto a obblighi e diritti. Considera le responsabilità degli operatori di dati personali.

Roskomnadzor obbliga a notificare al servizio che ha iniziato a elaborare le informazioni. Tale obbligo è imposto ai sensi dell'articolo 22 della legge "Sui dati personali". L'avviso deve contenere le seguenti informazioni:

1. Indirizzo, nome o nome, cognome, patronimico dell'operatore.
2. Base per l'elaborazione delle informazioni personali.
3. Categoria di informazioni personali.
4. Categoria del soggetto i cui dati personali devono essere trattati.
5. Collegamento a documenti normativi che consentono il trattamento delle informazioni.
6. Elenco delle azioni che l'operatore eseguirà per il trattamento dei dati personali, nonché una descrizione delle modalità che utilizzerà nel processo.
7. Misure adottate per proteggere le informazioni.
8. Nome della persona giuridicala persona o il nome, cognome e patronimico del soggetto responsabile dell'organizzazione del trattamento. Inoltre, devono essere forniti i numeri di telefono di contatto, l'indirizzo e-mail e l'indirizzo postale.
9. Data da cui inizia il trattamento dei dati.
10. Termini per l'elaborazione e condizioni in base alle quali viene terminata.
11. Informazioni sull'esistenza o meno di un trasferimento di dati transfrontaliero al momento dell'elaborazione.
12. Informazioni su dove si trova il database, che contiene le informazioni personali dei cittadini del nostro paese.
13. Dati sulla sicurezza delle informazioni e se soddisfa i requisiti stabiliti dal governo del nostro paese.

Ciò non significa che in ogni caso gli operatori del trattamento dei dati personali debbano informare Roskomnadzor. Ci sono momenti in cui questo non è affatto necessario. Ad esempio, non è necessario notificare se un datore di lavoro elabora informazioni sui propri dipendenti. Ciò include anche la situazione in cui un contratto viene concluso con un cliente per qualcosa. In questo caso, la regola funziona solo fintanto che le informazioni non vengono fornite a terzi senza il consenso del cliente. Non c'è bisogno di scrivere un avviso a chi rilascia un pass una tantum per un determinato territorio, elabora i dati che sono liberamente disponibili, usa solo nome, cognome e patronimico di una persona.

Il registro degli operatori di dati personali di Roskomnadzor impone un obbligo sotto forma di garanzia della riservatezza delle informazioni personali. Cioè, è impossibile distribuire qualsiasi informazione su una persona senza il suo consenso. essouno dei requisiti principali per gli operatori.

Obblighi dei datori di lavoro

Ci sono punti che i datori di lavoro devono rispettare durante il trasferimento dei dati:

1. Non divulgare informazioni su un dipendente a terzi senza il suo consenso. È importante ricordare che il consenso deve essere dato per iscritto. Ma questo non si applica alle situazioni in cui la voce delle informazioni aiuta a prevenire una minaccia per la salute e la vita di un dipendente o è necessario trasferire i dati ai servizi governativi. Questi ultimi includono la Cassa pensione, le forze dell'ordine, il Servizio giudiziario federale, i commissariati militari, la procura e altri organi.
2. Avvisa le persone che ricevono informazioni personali che possono essere utilizzate solo per lo scopo previsto. A proposito, il datore di lavoro ha tutto il diritto di chiedere conferma del rispetto di questa regola.
3. Trasferisci i dati personali all'interno di una sola impresa o di un solo imprenditore. Ciò dovrebbe avvenire in conformità con un documento interno che il dipendente ha studiato e firmato in base ad esso.
4. Consenti solo alle persone autorizzate di trattare le informazioni personali. Ciò non significa che queste persone possano richiedere informazioni, hanno il diritto di utilizzare solo i dati necessari per svolgere determinati compiti.
5. Non toccare la salute di un dipendente se ciò non pregiudica i suoi doveri lavorativi diretti.
6. Limitare le informazioni che un rappresentante dei dipendenti riceve solo a ciò che è necessario per svolgere le funzioni specificate dal rappresentante.

Tutte queste norme sono definite dalla Legge "Sui Dati Personali" e da alcuni articoli del Codice del Lavoro. Torniamo al registro degli operatori di dati personali di Roskomnadzor e ai loro doveri.

Altri compiti

Abbiamo già menzionato sopra cosa dovrebbero fare gli operatori. Torniamo a questo problema.

Gli operatori sono tenuti ad adottare misure per garantire la sicurezza delle informazioni personali. A tal fine, la società seleziona un responsabile dell'organizzazione del trattamento dei dati personali. Questa persona deve controllare l'esercizio delle funzioni da parte del gestore dei dati personali, il rispetto dei requisiti di quest'ultimo per la sicurezza dell'utilizzo delle informazioni. La stessa persona ha l'obbligo di informare i dipendenti coinvolti nel trattamento delle nuove modifiche alla Legge "Sui Dati Personali", nonché degli atti interni in materia di trattamento. Ha inoltre il compito di organizzare il trattamento dei ricorsi e delle richieste delle persone i cui dati sono oggetto di trattamento, nonché la ricezione di tali ricorsi. Oltre al briefing, è necessario monitorare l'uso delle apparecchiature tecniche di sicurezza ed emettere documenti che regolano la politica aziendale su questo tema.

Per quanto riguarda la politica dell'operatore dei dati personali, dovrebbe essere pubblica. Per fare ciò, il documento viene pubblicato sul sito Web dell'operatore e tutti coloro che ne hanno bisogno possono familiarizzare con esso. Se il sito non è disponibile, è possibile installare uno stand con le informazioni necessarie in un luogo tale che tutti i clienti e i visitatori dell'organizzazione possano familiarizzare con esso.

È importante ricordarlo perper quegli operatori di dati personali i cui documenti sono richiesti via Internet, l'opzione è possibile solo con la pubblicazione sul sito. Sul sito Web di Roskomnadzor è possibile trovare informazioni sulla politica dell'operatore.

Spesso c'è una sostituzione di concetti sulla politica dell'impresa e le disposizioni sulla conservazione, protezione ed elaborazione delle informazioni personali. L'ultimo documento è considerato un atto interno, quindi solo i dipendenti dell'impresa ne vengono a conoscenza, dopodiché lo firmano.

Un' altra responsabilità dell'operatore è rispettare i requisiti per la localizzazione delle informazioni personali dei cittadini del nostro paese. Il fatto è che dal 2015 tutti gli operatori, mentre raccolgono informazioni personali, sono obbligati a trattarle utilizzando banche dati che si trovano nel nostro paese. Non appena la legge è stata approvata, ci sono state molte ambiguità, ma nel tempo sono state risolte. Ora è noto con certezza che, ad esempio, gli operatori di dati personali tramite comunicazione sono obbligati a utilizzare banche dati informative.

L'ultimo dovere è la necessità di interrompere l'elaborazione delle informazioni personali in tempo. Se le informazioni sono state utilizzate e la persona i cui dati erano oggetto di trattamento decide di revocare il consenso al trattamento, l'operatore deve interrompere il trattamento dei dati e cancellarli entro un mese. È importante capire che nell'accordo può essere specificato un termine diverso, motivo per cui è così importante leggere i documenti.

Diritti di operatore

Oltre ai doveri, gli operatori hanno i propri diritti. È vero, sono pochi, ma tuttavia non dovrebbero essere dimenticati. L'elenco degli operatori di dati personali ne fornisce solo unoil diritto di ricevere informazioni sulle modifiche della legge se riguardano dati personali.

Chi è incluso nel database

Abbiamo già detto sopra che non tutti devono essere iscritti all'albo degli operatori di dati personali. Chi dovrebbe presentare la notifica?

1. Risorse Internet. Questo include portali, social network, forum, perché la registrazione richiede dati personali, anche se pochi.
2. Acquisti online. Ne hanno bisogno perché gli acquirenti lasciano un numero di telefono di contatto per essere richiamati o un indirizzo postale al momento dell'ordine.
3. Siti che pubblicano informazioni sull'argomento o le inviano per e-mail. E anche qui puoi includere quei siti che contengono già informazioni personali.
4. Enti, aziende o imprenditori che trattano costantemente dati. Si tratta di uffici contabili e legali, agenzie di viaggio, servizi abitativi e comunali, registrar, registrar, istituti medici e banche, istituti di istruzione, società che forniscono servizi ed emettono tessere club.
5. Organizzazioni che lavorano in base a contratti di diritto civile con liberi professionisti.
6. Aziende che utilizzano sistemi CRM.

Attenzione! Roskomnadzor può bloccare una risorsa Internet se quest'ultima viola la legge nel campo dell'elaborazione dei dati.

Datore di lavoro - operatore o no?

Abbiamo già indicato che tutti dovrebbero apportare modifiche al registro degli operatori di dati personali, ma le opinioni sui datori di lavoro sono ancora diverse. Comedi norma sono classificati come gestori di dati personali, ma ci sono delle eccezioni. Si tratta, ad esempio, di quei gestori che conservano e raccolgono informazioni solo al fine di redigere un contratto di lavoro o un ordine interno a norma di legge.

Chi non è considerato un operatore

La registrazione di un operatore di dati personali non è necessaria per tutte le persone e le organizzazioni. Chi può farne a meno?

1. Compagnie telefoniche che utilizzano i dati degli abbonati solo per fornire servizi di comunicazione.
2. Organizzazioni religiose e sociali che utilizzano le informazioni personali sui membri solo per gli scopi specificati nei documenti costitutivi.
3. Istituzioni e soggetti che utilizzano i dati che il soggetto ha autodichiarato.
4. Aziende che rilasciano abbonamenti una tantum.
5. Sistemi di dati pubblici progettati per proteggere e mantenere l'ordine pubblico.
6. Organizzazioni che elaborano dati senza sistemi automatizzati.
7. Compagnie di trasporto che ricevono informazioni per l'emissione di biglietti di viaggio.

È importante capire che per Roskomnadzor non importa se un'organizzazione o una persona è inclusa o meno nel registro degli operatori che trattano dati personali. Il servizio ha il diritto di effettuare una visita ispettiva presso qualsiasi istituto. Cioè, anche chi non è legalmente considerato operatore può essere ritenuto responsabile del mancato rispetto dei requisiti in materia di protezione dei dati personali.

Come ottenere il diritto al trattamento delle informazioni personali

Per garantire la sicurezza della trasmissione e dell'archiviazione delle informazioni personali, è stato sviluppato un processo di licenza e certificazione per le organizzazioni che archiviano e raccolgono dati.

Per ottenere una licenza non è sufficiente inviare dipendenti per la formazione, è necessario anche acquistare mezzi tecnici di protezione. L'ottenimento di una licenza avviene in più fasi:

1. Invio di una notifica al registro degli operatori del trattamento dei dati personali in merito all'esistenza dell'intenzione al trattamento.
2. Superamento di un'indagine preliminare sui sistemi informativi a disposizione dell'impresa.
3. Progettazione di un sistema di protezione che tenga conto dell'infrastruttura dell'automazione e delle apparecchiature informatiche.
4. Approvvigionamento e implementazione di dispositivi di protezione.
5. Adeguare i locali ai requisiti di sicurezza, antincendio, alimentazione.
6. Formare i dipendenti o migliorarne le competenze in materia di protezione dei dati personali con successiva certificazione.

Se tutti i punti vengono raggiunti, la conservazione e la protezione delle informazioni personali saranno efficaci.

È importante comprendere che tutti i punti si riferiscono all'elaborazione di informazioni in formato elettronico, sebbene questo metodo non possa essere definito sicuro per i dati archiviati.

Verifica delle attività degli operatori

L'operatore che tratta i dati personali è periodicamente sottoposto a ispezione da parte di Roskomnadzor. Quest'ultimo può essere eseguito secondo il piano, oppure può basarsi sulla denuncia della persona che ha subito le azioni illegali dell'operatore.

Controllare il rispetto della legge sul trattamento dei dati personali tre dipartimenti:

1. Roskomnadzor. Esegue i controlli di conformità ed è anche responsabile dell'esecuzione dei controlli.
2. Servizio federale per l'esportazione e il controllo tecnico. Questo servizio protegge i dati che si trovano nei computer all'interno dell'organizzazione e i loro canali di trasmissione. Quest'ultimo si verifica solo quando le informazioni non sono crittografate.
3. Servizio di sicurezza federale. Controlla i mezzi di crittografia per la trasmissione e l'elaborazione delle informazioni personali. Sviluppa e distribuisce anche questi prodotti.

Puoi controllare a quale organizzazione appartiene questo o quell'operatore. Per fare ciò, vai sul sito web di Roskomnadzor e trova il registro degli operatori.

Per visualizzare le informazioni è sufficiente inserire il numero di registrazione dell'azienda o il suo nome. Funzionerà anche un codice fiscale.

Puoi anche scoprire come le informazioni sono state richieste legittimamente. Se la società non è nell'elenco, puoi contattare Roskomnadzor. Lo includerà nel registro o vieterà le attività illegali per raccogliere dati personali.

L'ispezione viene effettuata sulla base di un ricorso dei cittadini o su iniziativa di un organo dipartimentale, ad esempio la procura. In caso di violazione del trattamento e della conservazione dei dati personali è prevista la responsabilità. La punizione può essere amministrativa, penale o disciplinare, tutto dipende dalla gravità della violazione.

Come staisicuro?

In teoria, per evitare tali problemi, si consiglia ai cittadini di verificare che l'organizzazione sia nell'elenco pertinente prima di dare il consenso al trattamento dei dati personali.

In effetti, le persone lo fanno raramente, se non altro perché la maggior parte delle persone non sa nemmeno dell'esistenza di un tale registro.

Vale particolarmente la pena guardare alle piccole organizzazioni che non sempre dispongono delle condizioni appropriate per l'elaborazione delle informazioni. Se ci sono sospetti in merito, il consenso non è necessario. Lascia che ti rifiutino in un posto, ma puoi trovare un'organizzazione più adatta e non avrai problemi.

Diritti dell'interessato

Nonostante il fatto che ogni operatore abbia la propria politica sui dati personali, non dovrebbe andare contro la legge. Cioè, tutti i diritti delle persone che forniscono informazioni personali su se stesse devono essere rispettati.

I diritti fondamentali includono:

1. Il diritto di accedere alle tue informazioni. Cioè, una persona ha il diritto di sapere chi elabora i suoi dati, per quale scopo e chi vedrà le informazioni. Una persona può richiedere chiarimenti sui dati, bloccarli o cancellarli del tutto. Per accedere ai propri dati è necessario inoltrare una richiesta all'operatore. Questo può essere fatto sia dal soggetto stesso che dal suo rappresentante. Esistono anche restrizioni a questo diritto, ad esempio, se i dati pregiudicano la sicurezza dello Stato, violano le libertà costituzionali e i diritti di terzi o interferiscono con le attività di ricerca operativa.
2. Il diritto al trattamento delle informazioni personali per la promozione di beni, servizi o opere sul mercato o per finalità di campagne politiche. Il trattamento dei dati avviene solo previo consenso dell'interessato. In caso di conflitto, il trattamento si considera avvenuto senza il consenso del cliente, a meno che l'operatore non abbia potuto provare il contrario. Non appena il soggetto richiede di interrompere il trattamento dei dati, l'operatore è obbligato a farlo.
3. Il diritto del soggetto di prendere una decisione basata sul trattamento automatizzato delle informazioni personali. È vietato per legge trattare i dati senza il consenso scritto dell'interessato, solo sulla base di un trattamento automatizzato. Le eccezioni sono previste dalla legge federale.
4. Diritto di impugnare l'inerzia o l'azione dell'operatore. Una persona ha il diritto di rivolgersi all'organismo autorizzato per la tutela dei diritti degli interessati o al tribunale. Tuttavia, devono sussistere presupposti per tale trattamento, ad esempio, violazione dei diritti o trattamento improprio dei dati.

Il soggetto può anche chiedere un risarcimento danni o materiale in tribunale.

Conclusione

Come puoi vedere, questo problema è fortemente regolamentato. Dopotutto, è proprio a causa della ricezione incontrollata di informazioni personali che i cittadini del nostro Paese diventano vittime di truffatori e persone semplicemente disoneste. Lo stato sta cercando di rafforzare il più possibile i requisiti in modo da poter almeno in qualche modo garantire la sicurezza dell'archiviazione dei dati.

Sono in fase di sviluppo vari sistemi di protezione, impresevengono certificati e concessi in licenza solo per rendere la vita più facile ai cittadini comuni.

Tuttavia, le persone non dovrebbero nemmeno essere inattive. Dopotutto, il nostro benessere dipende da noi. Nell'articolo abbiamo descritto come verificare se un'organizzazione è nel registro o meno. Utilizza queste informazioni, non acconsenti al trattamento dei dati da parte di istituzioni dubbie e quindi non dovrai dimostrare che i tuoi diritti sono stati violati. I guai della maggior parte di noi sono dovuti alla disattenzione e tutto perché non sono abituati a leggere i documenti prima di firmarli. Nel frattempo, questo deve essere insegnato dalla culla, oltre a prendersi cura della conoscenza giuridica del bambino. Prima inizieremo a preparare i bambini all'età adulta, più facile sarà per loro.