L'operador de dades personals és Funcions i responsabilitats, característiques

2024 Autora: Howard Calhoun | [email protected]. Última modificació: 2023-12-17 10:21

Operador de dades personals: qui és aquest? No tothom sap quin tipus d'activitat és aquesta. Mentrestant, en l'era de la tecnologia, cada cop és més demandada. Llavors, qui és l'operador de dades personals? Parlem-ne a l'article. I per fer-ho més clar, comencem amb una definició.

Definició

Un operador de dades personals és una persona física o jurídica, així com una institució municipal o estatal que processa i rep informació personal, determina les finalitats i els procediments de les dades facilitades.

L'operador té dret a treballar de manera autònoma o pot recórrer a tercers per demanar ajuda. Aquests últims també es consideren operadors en aquest cas.

Què són les dades personals

Hem esbrinat qui està processant la informació personal. Aquest és l'operador de dades personals. Però, què s'entén per dades personals? La llei no té una llista que respongui clarament a aquesta pregunta. Per regla general, la informació personal inclou dades del passaport, número d'identificació, antiguitat, llocempadronament i residència, lloc de treball, composició familiar, educació. En casos rars, això pot incloure dades sobre beneficis o estat de salut.

De fet, un operador de dades personals és una institució que accepta informació personal d'una persona. Encara que només siguin dades del passaport, l'organització encara es considera l'operadora de dades personals.

Es poden donar els exemples més famosos d'aquests operadors. Es tracta de bancs que treballen amb clients i informació sobre contribuents, agències de viatges. Això també inclou llocs que requereixen informació sobre el subscriptor per registrar-se, botigues on s'emeten targetes de descompte. La llista també inclou les clíniques que tenen accés a les targetes mèdiques. Aquesta no és una llista definitiva, simplement és impossible enumerar totes les organitzacions i institucions que processen informació personal.

On es troba la informació

Naturalment, aquest volum d'informació s'ha de contenir en algun lloc. Per aquest motiu, es va introduir un registre d'operadors de dades personals. Aquesta és una base específica de Roskomnadzor, que reflecteix totes les persones jurídiques i persones físiques que es consideren operadors.

Per ser inclòs a la base de dades, n'hi ha prou amb declarar de manera independent a les autoritats de Roskomnadzor enviant una sol·licitud per escrit o enviant un correu electrònic. I també podeu notificar a les autoritats en el paper de membre de l'empresa. Aquest procediment es va descriure amb detall a l'ordre del Ministeri de Telecomunicacions i Comunicacions Massives de Rússia de 2011.

Com que tots els operadors estan inclosos al registre d'operadors de dades personals, han de notificar a Roskomnadzor tots els canvis,que es relacionen amb operacions amb informació personal, el seu tractament. Aquest últim, al seu torn, controla el treball dels operaris i realitza comprovacions periòdiques.

La llista d'operadors de dades personals de Roskomnadzor està disponible per a tothom, es pot consultar al lloc web oficial del servei.

Per cert, l'autoritat no pot negar-se a entrar al registre d'una persona física o jurídica. Si això passa, el servei infringeix la llei, el que significa que s'imposa una multa a Roskomnadzor. La quantitat d'aquest últim pot arribar als cinc-cents mil rubles.

Obligacions dels operadors

Com amb qualsevol activitat, treballar amb informació personal està subjecte a obligacions i drets. Tingueu en compte les responsabilitats dels operadors de dades personals.

Roskomnadzor s'obliga a notificar al servei que han començat a processar informació. Aquesta obligació s'imposa d'acord amb l'article 22 de la Llei "De Dades Personals". L'avís ha de contenir la informació següent:

1. Adreça de l'operador, nom o nom, cognom, patronímic.
2. Base per processar la informació personal.
3. Categoria d'informació personal.
4. Categoria del subjecte les dades personals del qual s'han de tractar.
5. Enllaç a documents normatius que permeten el tractament de la informació.
6. Llista d'accions que realitzarà l'operador per al tractament de dades personals, així com una descripció dels mètodes que utilitzarà en el procés.
7. Mesures preses per protegir la informació.
8. Nom de la persona jurídicala persona o nom, cognoms i patronímic del responsable de l'organització del procés. A més, s'han de proporcionar els números de telèfon de contacte, l'adreça electrònica i l'adreça postal.
9. Data a partir de la qual comença el processament de dades.
10. Condicions de processament i condicions en què es cancel·la.
11. Informació sobre si hi ha o no una transferència transfronterera de dades en el moment del processament.
12. Informació sobre on es troba la base de dades, que conté la informació personal dels ciutadans del nostre país.
13. Dades sobre la seguretat de la informació i si compleix els requisits establerts pel govern del nostre país.

Això no vol dir que, en cap cas, els operadors de tractament de dades personals hagin de notificar a Roskomnadzor. Hi ha moments en què això no és necessari. Per exemple, no hi ha necessitat de notificació si un empresari processa informació sobre els seus empleats. Això també inclou la situació en què es fa un contracte amb un client per alguna cosa. En aquest cas, la regla només funciona mentre la informació no es faciliti a tercers sense el consentiment del client. No cal escriure un avís a aquells que emetin un abonament únic a algun territori, processin les dades de lliure disposició, utilitzin només el nom, cognoms i patronímics d'una persona.

El registre d'operadors de dades personals de Roskomnadzor imposa una obligació en la forma de garantir la confidencialitat de la informació personal. És a dir, és impossible distribuir cap informació sobre una persona sense el seu consentiment. aixòun dels principals requisits per als operadors.

Obligacions dels empresaris

Hi ha punts que els empresaris han de complir quan transfereixen dades:

1. No revelar informació sobre un empleat a tercers sense el seu consentiment. És important recordar que el consentiment s'ha de donar per escrit. Però això no s'aplica a les situacions en què l'expressió de la informació ajuda a prevenir una amenaça per a la salut i la vida d'un empleat o s'ha de transferir dades als serveis governamentals. Aquests últims inclouen el Fons de Pensions, les agències d'aplicació de la llei, el Servei Judicial Federal, els comissariats militars, la fiscalia i altres cossos.
2. Adverteix a les persones que reben informació personal que només es pot utilitzar per al propòsit previst. Per cert, l'empresari té tot el dret d'exigir la confirmació del compliment d'aquesta norma.
3. Transferir dades personals només dins d'una empresa o d'un empresari. Això s'ha de fer d'acord amb un document intern que l'empleat hagi estudiat i signat sota aquest.
4. Permet que només les persones autoritzades tractin la informació personal. Això no vol dir que aquestes persones puguin sol·licitar cap informació, tenen dret a utilitzar només les dades necessàries per realitzar determinades tasques.
5. No toqueu la salut d'un empleat si això no afecta les seves tasques laborals directes.
6. Limita la informació que rep un representant dels empleats només a la necessària per dur a terme les funcions especificades pel representant.

Totes aquestes normes estan definides per la Llei "De Dades Personals" i alguns articles del Codi de Treball. Tornem al registre d'operadors de dades personals de Roskomnadzor i els seus deures.

Altres tasques

Ja hem esmentat més amunt què haurien de fer els operadors. Tornem a aquest problema.

Els operadors han de prendre mesures per garantir la seguretat de la informació personal. A aquest efecte, l'empresa selecciona una persona encarregada d'organitzar el tractament de les dades personals. Aquesta persona ha de controlar l'acompliment de les funcions per part de l'operador de dades personals, el compliment dels requisits d'aquest últim en matèria de seguretat en l'ús de la informació. La mateixa persona està obligada a donar a conèixer als empleats implicats en el tractament les noves modificacions de la Llei "De Dades Personals", així com els actes interns en matèria de tractament. També s'encarrega d'organitzar la tramitació dels recursos i peticions de les persones les dades de les quals s'estan tractant, així com la recepció d'aquests recursos. A més del briefing, cal controlar l'ús d'equips tècnics de seguretat i emetre documents que regulen la política de l'empresa en aquest tema.

Pel que fa a la política de l'operador de dades personals, hauria de ser pública. Per fer-ho, el document es publica al lloc web de l'operador i tothom que ho necessiti pot familiaritzar-se amb ell. Si el lloc no està disponible, podeu instal·lar un estand amb la informació necessària en un lloc tal que tots els clients i visitants de l'organització puguin familiaritzar-s'hi.

És important recordar-ho perper a aquells operadors de dades personals els documents dels quals es sol·licitin a través d'Internet, l'opció només és possible amb la publicació al lloc web. Al lloc web de Roskomnadzor, podeu trobar informació sobre la política de l'operador.

Sovint hi ha una substitució de conceptes sobre la política de l'empresa i les disposicions sobre l'emmagatzematge, la protecció i el tractament de la informació personal. L'últim document es considera un acte intern, de manera que només el coneixen els empleats de l'empresa i després el signen.

Una altra responsabilitat de l'operador és complir amb els requisits per a la localització de la informació personal dels ciutadans del nostre país. El cas és que des de l'any 2015, tots els operadors, tot i que recullen informació personal, estan obligats a tractar-los mitjançant bases de dades que es troben al nostre país. Tan bon punt es va aprovar la llei, hi havia moltes ambigüitats, però amb el temps es van anar resolent. Ara se sap del cert que, per exemple, els operadors de dades personals per comunicació estan obligats a utilitzar bases de dades d'informació.

L'últim deure és la necessitat de deixar de processar la informació personal a temps. Si la informació s'ha utilitzat i la persona les dades de la qual s'estaven tractant decideix retirar el consentiment per al tractament, l'operador haurà de deixar de tractar les dades i eliminar-les en el termini d'un mes. És important entendre que es pot especificar un terme diferent a l'acord, per això és tan important llegir els documents.

Drets de l'operador

A més dels deures, els operadors tenen els seus propis drets. És cert que són pocs, però, tanmateix, no s'han d'oblidar. La llista d'operadors de dades personals n'ofereix només unel dret a rebre informació sobre els canvis de la llei si es refereixen a dades personals.

Qui està inclòs a la base de dades

Ja hem dit més amunt que no cal que tothom estigui inscrit al registre d'operadors de dades personals. Qui hauria de presentar la notificació?

1. Recursos d'Internet. Això inclou portals, xarxes socials, fòrums, perquè el registre requereix dades personals, encara que una mica.
2. Compres en línia. Ho necessiten perquè els compradors deixen un número de telèfon de contacte per a una trucada o una adreça postal quan fan la comanda.
3. Llocs que publiquen informació sobre el tema o l'envien per correu electrònic. I també aquí podeu incloure aquells llocs que ja contenen informació personal.
4. Organitzacions, empreses o emprenedors que estan processant dades constantment. Es tracta d'oficines comptables i jurídiques, agències de viatges, habitatge i serveis comunals, registradors, registradors, institucions mèdiques i bancs, institucions educatives, empreses que ofereixen serveis i emeten carnets de club.
5. Organitzacions que treballen sota contractes de dret civil amb autònoms.
6. Empreses que utilitzen sistemes CRM.

Atenció! Roskomnadzor pot bloquejar un recurs d'Internet si aquest infringeix la llei en l'àmbit del tractament de dades.

Ocupador - operador o no?

Ja hem indicat que tothom hauria de fer canvis al registre d'operadors de dades personals, però les opinions sobre els ocupadors encara són diferents. Comper regla general, es classifiquen com a operadors de dades personals, però hi ha excepcions. Es tracta, per exemple, d'aquells gestors que emmagatzemen i recullen informació només per elaborar un contracte de treball o una ordre interna d'acord amb la llei.

Qui no es considera un operador

El registre d'un operador de dades personals no és necessari per a totes les persones i organitzacions. Qui pot prescindir-ne?

1. Empreses telefòniques que utilitzen les dades dels subscriptors només per oferir serveis de comunicació.
2. Organitzacions religioses i socials que utilitzen la informació personal dels membres només per a les finalitats especificades als documents fundacionals.
3. Institucions i persones que utilitzen les dades que el subjecte ha revelat per si mateix.
4. Empreses que emeten abonaments únics.
5. Sistemes de dades públiques dissenyats per protegir i mantenir l'ordre públic.
6. Organitzacions que processen dades sense sistemes automatitzats.
7. Empreses de transport que reben informació per a l'emissió de bitllets de viatge.

És important entendre que per a Roskomnadzor no importa si una organització o persona està inclosa al registre d'operadors que processen dades personals o no. El servei té dret a realitzar una visita d'inspecció a qualsevol institució. És a dir, fins i tot aquells que legalment no siguin considerats operadors poden ser responsables de l'incompliment dels requisits de protecció de dades personals.

Com obtenir el dret a processar informació personal

Per garantir la seguretat de la transmissió i l'emmagatzematge de la informació personal, s'ha desenvolupat un procés de llicència i certificació per a les organitzacions que emmagatzemen i recullen dades.

Per obtenir una llicència, no n'hi ha prou amb enviar treballadors a formació, també cal adquirir mitjans tècnics de protecció. L'obtenció de la llicència es fa en diverses etapes:

1. Enviament d'una notificació al registre d'operadors de tractament de dades personals sobre la intenció existent de processar.
2. Aprovar una enquesta preliminar dels sistemes d'informació disponibles per a l'empresa.
3. Disseny d'un sistema de protecció tenint en compte la infraestructura d'automatització i equips informàtics.
4. Adquisició i implementació d'equips de protecció.
5. Adequació del local als requisits de seguretat, seguretat contra incendis i subministrament elèctric.
6. Formació dels empleats o millora de les seves habilitats en l'àmbit de la protecció de dades personals amb posterior certificació.

Si es compleixen tots els punts, l'emmagatzematge i la protecció de la informació personal seran efectius.

És important entendre que tots els punts estan relacionats amb el tractament de la informació en format electrònic, encara que aquest mètode no es pot dir segur per a les dades emmagatzemades.

Comprovació de les activitats dels operadors

L'operador que processa dades personals és sotmès periòdicament a una inspecció per part de Roskomnadzor. Aquest últim es pot dur a terme segons el pla, o bé es pot basar en la denúncia de la persona que va patir les accions il·legals de l'operador.

Controlar el compliment de la llei de tractament de dades personals tres departaments:

1. Roskomnadzor. Realitza les comprovacions de compliment i també és responsable de fer-les.
2. Servei Federal d'Exportació i Control Tècnic. Aquest servei protegeix les dades que es troben als ordinadors de l'organització, i els seus canals de transmissió. Això últim només es produeix quan la informació no està xifrada.
3. Servei de seguretat federal. Controla els mitjans de xifrat de transmissió i tractament de la informació personal. També desenvolupa i distribueix aquests productes.

Podeu comprovar quina organització us pertany aquest o aquell operador. Per fer-ho, aneu al lloc web de Roskomnadzor i cerqueu el registre d'operadors.

Per veure la informació, només cal que introduïu el número de registre de l'empresa o el seu nom. Un número d'identificació fiscal també funcionarà.

També podeu esbrinar amb quina legitimitat es va sol·licitar la informació. Si l'empresa no està a la llista, podeu contactar amb Roskomnadzor. L'inclourà al registre o prohibirà activitats il·legals per recollir dades personals.

La inspecció es realitza a partir d'un recurs de la ciutadania o per iniciativa d'un òrgan departamental, per exemple, la fiscalia. Per violació del tractament i emmagatzematge de la informació personal, s'ofereix responsabilitat. La sanció pot ser administrativa, penal o disciplinària, tot depèn de la gravetat de la infracció.

Com estàs?segur?

En teoria, per evitar aquests problemes, es recomana als ciutadans que comprovin que l'organització estigui a la llista corresponent abans de donar el consentiment per al tractament de la informació personal.

De fet, la gent poques vegades ho fa, encara que només sigui perquè la majoria de la gent ni tan sols sap sobre l'existència d'aquest registre.

Val la pena mirar especialment les organitzacions petites que no sempre tenen les condicions adequades per processar la informació. Si hi ha sospites sobre això, no cal el consentiment. Deixa'ls rebutjar-te en un sol lloc, però pots trobar una organització més adequada i no tindreu cap problema.

Drets dels subjectes de dades

Malgrat que cada operador té la seva pròpia política de dades personals, no hauria d'anar en contra de la llei. És a dir, s'han de respectar tots els drets de les persones que proporcionen informació personal sobre si mateixes.

Els drets fonamentals inclouen:

1. El dret a accedir a la teva pròpia informació. És a dir, una persona té dret a saber qui tracta les seves dades, amb quina finalitat i qui veurà la informació. Una persona pot requerir l'aclariment de les dades, bloquejar-les o eliminar-les del tot. Per accedir a les vostres dades, heu de presentar una sol·licitud a l'operador. Això ho pot fer tant el mateix subjecte com el seu representant. També hi ha restriccions a aquest dret, per exemple, si les dades afecten la seguretat de l'estat, violen les llibertats constitucionals i els drets de tercers, o interfereixen en les activitats de recerca operativa.
2. Dret a tractar informació personal per a la promoció de béns, serveis o obres al mercat o amb finalitats de campanya política. El tractament de les dades només es realitza si el subjecte hi està d'acord. En cas de conflicte, es considera que el tractament s'ha dut a terme sense el consentiment del client, llevat que l'operador hagi pogut demostrar el contrari. Tan bon punt el subjecte sol·liciti deixar de tractar les dades, l'operador està obligat a fer-ho.
3. El dret del subjecte a prendre una decisió basada en el tractament automatitzat de la informació personal. Queda prohibit per llei tractar dades sense el consentiment escrit de la persona, només sobre la base del tractament automatitzat. La llei federal ofereix excepcions.
4. Dret d'apel·lar la inacció o l'acció de l'operador. Una persona té dret a sol·licitar a l'òrgan autoritzat la protecció dels drets dels subjectes de la informació personal o al tribunal. No obstant això, cal que hi hagi motius per a aquest tractament, per exemple, la vulneració de drets o el tractament inadequat de les dades.

El subjecte també pot sol·licitar una indemnització per danys i perjudicis o una compensació material als tribunals.

Conclusió

Com podeu veure, aquest tema està molt regulat. Al cap i a la fi, és precisament a causa de la recepció incontrolada d'informació personal que els ciutadans del nostre país esdevenen víctimes de defraudadors i simplement persones deshonestes. L'estat està intentant endurir els requisits tant com sigui possible perquè almenys pugui garantir d'alguna manera la seguretat de l'emmagatzematge de les dades.

S'estan desenvolupant diversos sistemes de protecció, empresess'estan certificant i amb llicència només per facilitar la vida als ciutadans normals.

No obstant això, la gent tampoc hauria d'estar ociosa. Després de tot, el nostre propi benestar depèn de nos altres. A l'article, vam descriure com podeu comprovar si una organització està o no al registre. Utilitzeu aquesta informació, no consentiu el tractament de dades per part d'institucions dubtoses, i aleshores no haureu de demostrar que els vostres drets han estat vulnerats. Els problemes de la majoria de nos altres es deuen a la f alta d'atenció, i tot perquè no estan acostumats a llegir documents abans de signar-los. Mentrestant, això s'ha d'ensenyar des del bressol, així com tenir cura dels coneixements legals del nen. Com més aviat comencem a preparar els nens per a l'edat adulta, més fàcil serà per a ells.