In der modernen Welt stoßen sie beim Unterzeichnen von Service- oder Interaktionsvereinbarungen häufig auf ein Konzept wie „personenbezogene Daten“. Was meinen sie damit? Welche Daten sind personenbezogen und sollten nicht veröffentlicht werden? Wie sind sie vor Unbefugten geschützt?
Entwicklungsproblem
Zunächst sprach das Ministerkomitee des Europarates 1976 über personenbezogene Daten und ihre Sicherheit. Dann beschloss er, eine entsprechende Konvention zu entwickeln. 1981 lag der Titel „Zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten auf internationaler Ebene“ zur Unterzeichnung auf. Die Russische Föderation trat diesem Übereinkommen bei und ratifizierte es erst zu Beginn der Nulljahre. Danach wurde der Prozess zur Schaffung des erforderlichen Rechtsrahmens für die Nutzung und den Schutz personenbezogener Daten eingeleitet. Die Basis dafür wurde von der Staatsduma im Jahr 2006 verabschiedet. Was ist also mit den persönlichen Daten einer Person?
Über die Gesetzgebung
Bevor wir uns überlegen, was sich auf die personenbezogenen Daten einer Person bezieht, sollten wir uns die rechtlichen Grundlagen dieses Aspekts der Interaktion ansehen. Als Grundgesetz wird das im Jahr 2006 verabschiedete Gesetz Nr. 152-ФЗ verwendet. Es regelt alle Fragen im Zusammenhang mit dem Empfang, der Nutzung, der Weitergabe sowie anderen Aktionen, die mit personenbezogenen Daten durchgeführt werden können. Ihr Schutz wurde auch dort berücksichtigt. Was versteht man unter personenbezogenen Daten? Dies bedeutet, dass Informationen, die sich auf eine bestimmte Person beziehen, auch direkt oder indirekt zur Feststellung ihrer Identität beitragen. Die gebräuchlichsten sind der Nachname, der Vorname, das Patronym, das Geburtsdatum, die Adresse der Registrierung (und, falls abweichend, der Wohnort), der Familienstand, der soziale Status, der Eigentumsstatus und dergleichen. Wenn Sie an einer vollständigen Liste der personenbezogenen Daten einer Person interessiert sind, müssen Sie sich direkt an das Gesetz wenden. Aufgrund seiner Größe (ausreichend für ein Buch) listet der Artikel nur die wichtigsten und am häufigsten auftretenden Punkte auf.
Einteilung in Kategorien
Je nach Informationsgehalt gibt es:
- Erste Ansicht. Diese personenbezogenen Daten enthalten Informationen über Gesundheit, intimes Leben und philosophische Überzeugungen.
- Zweite Ansicht. Dies sind Informationen, anhand derer eine Person identifiziert und weitere Informationen über sie erhalten werden können. Als Beispiel können Sie den vollständigen Namen, die Adresse des Wohnsitzes und Informationen zu den Löhnen angeben.
- Dritte Ansicht. Mit diesen Informationen können Sie nur das Thema identifizieren. Zum Beispiel - Vorname, Nachname, Geburtsdatum.
- Vierte Ansicht. Dies sind öffentlich zugängliche und anonymisierte personenbezogene Daten. Ein Beispiel für den ersten Fall ist die Einkommenserklärung von Regierungsbeamten. Anonymisierte Informationen sind solche, anhand derer eine bestimmte Person nicht identifiziert werden kann.
Dies bezieht sich auf die persönlichen Daten einer Person.
Die Notwendigkeit, Innovationen im Auge zu behalten
Die Gesetzgebung ist so beschaffen, dass sie wirkt, wenn eine Person davon weiß. Dies gilt ausschließlich für den Schutz der eigenen Rechte. Einige Personengruppen sollten ihre personenbezogenen Daten ständig überwachen, da das, was gestern schon zulässig und zulässig war, den Rahmen des Gesetzes sprengt. Ein Beispiel ist die Situation mit dem Geschäft.Wenn das Unternehmen also mindestens einen Mitarbeiter oder Kunden hat, der eine Einzelperson ist, sieht das Gesetz ernsthafte Verpflichtungen vor. Daher ist es notwendig, dass bei der Verarbeitung von Informationen die Vertraulichkeit gewahrt wird. Die persönlichen Daten des Mitarbeiters dürfen nicht in die Hände von Dritten oder Organisationen gelangen. Um eine Person zu identifizieren, genügt es, ihren vollständigen Namen zu kennen und alle anderen persönlichen Informationen, wie z. B. Wohnadresse, Geburtsdatum, Telefonnummer. Damit die personenbezogenen Daten des Mitarbeiters nicht in falsche Hände geraten und Bußgelder und andere Dinge folgen, sollte die Sicherheit sorgfältig geprüft werden.
Wie zu sein
Sie müssen sich also überlegen, wer in welchem Umfang Zugriff haben kann. Beispielsweise ist eine Telefonnummer und ein Geburtsdatum eine Kombination, die von personenbezogenen Daten nicht erkannt wird. Warum? Ja, schon deshalb, weil eine Identifizierung als bestimmte Person nicht möglich ist. Wenn es aus bestimmten Gründen erforderlich ist, sich Zugang zu verschaffen, können spezielle Behörden das Gesetz "Über den Schutz personenbezogener Daten" ignorieren. Lassen Sie sich von einem Telekommunikationsbetreiber per Telefon vor Gericht anweisen, Bewegungsdaten zu erfassen und herauszufinden, wo sich eine Person befindet. Dies ist jedoch ein unwahrscheinliches Szenario, das ausnahmsweise auftritt. Und so bezieht sich das Telefon natürlich nur dann auf die persönlichen Daten einer Person, wenn über die Person etwas Bedeutendes bekannt ist, dasselbe
Über Datenoperatoren
In fast jeder Organisation werden persönliche Informationen gesammelt, gespeichert und auf bestimmte Weise verwendet. Deshalb wollen sie es oder nicht, aber aus rechtlicher Sicht sind sie Betreiber personenbezogener Daten. Was ist in diesem Fall zu tun? Benötigen Sie Schutz personenbezogener Daten? Wie kann man die gesetzlichen Anforderungen erfüllen? Und du brauchst:
- Einwilligung der Person zur Verarbeitung personenbezogener Daten einholen.
- Bieten Sie Sicherheit beim Arbeiten mit persönlichen Daten.
- Haftung für Rechtsverstöße begründen.
In diesem Fall ist es notwendig, auf die personenbezogenen Datenbanken und die Personen, die Zugang zu ihnen haben, zu achten. Schauen wir uns jeden Artikel genauer an.
Zustimmung
Es ist zu beachten, dass es sich bei dem Gegenstand der personenbezogenen Daten um eine Einzelperson handelt. Und ohne seine Erlaubnis (oder an bestimmten Stellen vom Gericht) sollten sie nicht in die Hände Dritter gelangen, auch wenn es sich um einen normalen Mitarbeiter des Unternehmens handelt. Operationen mit Informationen sind nur mit Zustimmung gestattet. Insbesondere bei Personalagenturen traten diesbezüglich viele Probleme auf. Schließlich ist es ihnen jetzt offiziell untersagt, zugängliche offene Datenbanken zu verwenden, die im World Wide Web zu finden sind, da sie keine Zustimmung des potenziellen Mitarbeiters zur Verwendung ihrer Informationen erhalten haben. Obwohl Sie formal keine schriftliche Genehmigung für die Verarbeitung benötigen. Es ist jedoch wahrscheinlich, dass es zu einem Rechtsstreit kommt. Daher ist es äußerst wünschenswert, dass diese Tatsache in physischer Form in Papierform vorliegt.
Verarbeitungssicherheit
Die Gesetzgebung sieht vor, dass jeder Betreiber personenbezogener Daten die erforderlichen technischen und organisatorischen Maßnahmen ergreifen muss, um zu verhindern, dass unbefugte Personen versehentlich oder rechtswidrig auf Informationen zugreifen. Besonderes Augenmerk wird darauf gelegt, dass sie verändert, zerstört, gesperrt, kopiert, verbreitet oder sonstige rechtswidrige Handlungen mit ihnen begangen werden. Dies wird im ersten Absatz von Artikel 19 des Grundgesetzes angegeben. Aus finanzieller und organisatorischer Sicht ist es ziemlich schwierig, sich zu organisieren. Die Struktur sollte also Schutz bieten, der auf den identifizierten Bedrohungen basiert und auch von der Klasse des Informationssystems abhängt, in dem die Daten gespeichert sind. Es ist auch notwendig, Arbeitsvorschriften und Bestimmungen zum Schutz der Verarbeitung zu entwickeln. Neben der Dokumentationsarbeit ist es notwendig, an der Verbesserung der Qualifikation der Mitarbeiter zu arbeiten, die mit Daten umgehen.Wir sollten die Anforderungen an die technische Sicherheit der Räumlichkeiten, in denen Informationen gespeichert werden, nicht vergessen. Im Allgemeinen muss anerkannt werden, dass dieses System äußerst umständlich und sehr kompliziert ist. Es gibt sogar Beschwerden, dass einige Anforderungen nicht einmal vom Staat benötigt werden.
Worüber beschwerst du dich?
Als erstes Beispiel sei daran erinnert, dass die autorisierte Stelle schriftlich über den Wunsch informiert werden muss, personenbezogene Daten zu verarbeiten. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Sie können sich auch an die Anforderung erinnern, nach der jede Geschäftseinheit, die die Bedingungen des Betreibers personenbezogener Daten erfüllt, in das entsprechende Register eingetragen wurde. Und das, wie oben bereits erwähnt, fast jede Organisation. Es gibt sogar Zweifel, dass eine derart umständliche Norm auch bei großen staatlichen Unternehmen in vollem Umfang funktionieren wird. Die Wirtschaftsteilnehmer zahlen jedoch nicht nur Steuern und stoßen auf administrative Hindernisse, sondern sind auch verpflichtet, für die Umsetzung dieses Systems zu Hause zu zahlen. Dies beeinträchtigt natürlich nicht die Tatsache, dass personenbezogene Daten geschützt werden müssen. Aber Exzesse müssen vermieden werden.
Über die Haftung
Das Recht, die Umsetzung des Gesetzes zu kontrollieren, liegt bei Roskomnadzor. Derselbe Dienst führt in diesem Bereich Überprüfungen durch. Was erwartet die Übertreter? Die Gesetzgebung sieht Disziplinar-, Verwaltungs-, Zivil- und Strafhaftung vor. In der Tat gibt es nur eine Praxis. Dies liegt in der administrativen Verantwortung. Das Gesetz sieht daher vor, dass der Beamte, der den Verstoß begangen hat, verwarnt oder mit einer Geldstrafe von bis zu tausend Rubel belegt werden kann. Es gibt eine größere Nachfrage von Organisationen - es werden Beträge von 5.000 bis 10.000 bereitgestellt. Die Komplexität der Organisation der Datenspeicherung und gleichzeitig eine geringe Verantwortung werden wahrscheinlich zu einer bekannten Situation führen. Die Schwere der Gesetze wird durch die Nichtdurchsetzung kompensiert. Und dies ist ein sehr schlechter Zustand, der behoben werden muss.
Fazit
Daher wurde geprüft, welche Informationen sich auf personenbezogene Daten beziehen, wie diese geschützt sind und welche Verantwortung für Verstöße besteht. Dies ist natürlich ein äußerst wichtiges Thema. Leider ist die Implementierung, wie so oft, unbefriedigend. Rechtsvorschriften und Anforderungen müssen wesentlich geändert werden. Wenn es sich um eine Bank handelt, muss natürlich ein hohes Maß an Sicherheit gewährleistet sein. Aber wenn wir über ein Unternehmen sprechen, das Möbel herstellt, ist dies hier notwendig? Ein geschütztes Gebäude oder ein Teil davon, Zugang für ausschließlich verantwortliche Mitarbeiter? Nein, in diesem Fall gibt es mehr als genug Personalverantwortliche, einen Safe mit persönlichen Daten (wenn er mit anderen Personen in einem Gemeinschaftsraum arbeitet), ein ausgeklügeltes Beziehungs- und Informationsübertragungsschema sowie eine bestimmte Zugangsstufe. Aus diesem Grund ist es notwendig, die bestehenden Rechtsvorschriften abzuschließen. Obwohl es natürlich schon gut ist, dass die Arbeit weitergeht, müssen Sie nur die Energie in die richtige Richtung lenken. Hoffen wir, dass dieser Prozess mit der Zeit perfekter wird.