Provozovatelem osobních údajů je Funkce a odpovědnosti, vlastnosti

2024 Autor: Howard Calhoun | [email protected]. Naposledy změněno: 2023-12-17 10:22

Operátor osobních údajů – kdo je to? Ne každý ví, o jakou činnost se jedná. Mezitím, ve věku technologií, je stále žádanější. Kdo je tedy provozovatelem osobních údajů? Pojďme si o tom povědět v článku. A aby to bylo jasnější, začněme definicí.

Definice

Provozovatelem osobních údajů je fyzická nebo právnická osoba, jakož i obecní či státní instituce, která zpracovává a přijímá osobní údaje, určuje účely a postupy pro poskytnuté údaje.

Operátor má právo pracovat samostatně nebo se může obrátit o pomoc na třetí strany. Posledně jmenovaní jsou v tomto případě také považováni za operátory.

Co jsou osobní údaje

Zjistili jsme, kdo zpracovává osobní údaje. Jedná se o provozovatele osobních údajů. Co se ale rozumí osobními údaji? Seznam, který by na tuto otázku jednoznačně odpovídal, zákon nemá. Osobní údaje zpravidla zahrnují údaje o pasu, identifikační číslo, senioritu, místoregistrace a bydliště, místo výkonu práce, rodinné složení, vzdělání. Ve vzácných případech to může zahrnovat údaje o výhodách nebo zdravotním stavu.

Operátor osobních údajů je ve skutečnosti instituce, která přijímá osobní údaje od osoby. I když se jedná pouze o údaje z pasu, organizace je stále považována za provozovatele osobních údajů.

Lze uvést nejznámější příklady takových operátorů. Jde o banky, které pracují s klienty a informacemi o daňových poplatnících, cestovních kancelářích. Patří sem také stránky, které pro registraci vyžadují informace o předplatiteli, obchody, kde se vydávají slevové karty. V seznamu jsou také kliniky, které mají přístup k lékařským kartám. Toto není definitivní seznam, je prostě nemožné uvést všechny organizace a instituce, které zpracovávají osobní údaje.

Kde lze informace nalézt

Samozřejmě, že takový objem informací musí být někde obsažen. Z tohoto důvodu byl zaveden registr provozovatelů osobních údajů. Toto je specifická základna Roskomnadzor, která odráží všechny právnické a fyzické osoby, které jsou považovány za provozovatele.

K zařazení do databáze stačí nezávislé prohlášení orgánům Roskomnadzor předložením písemné žádosti nebo zasláním e-mailu. A také můžete upozornit úřady na hlavičkovém papíře podniku. Tento postup byl podrobně popsán v nařízení ruského ministerstva telekomunikací a masových komunikací z roku 2011.

Vzhledem k tomu, že všichni provozovatelé jsou zahrnuti v registru provozovatelů osobních údajů, jsou povinni oznámit Roskomnadzoru všechny změny,které se týkají operací s osobními údaji, jejich zpracování. Ten zase kontroluje práci operátorů a pravidelně provádí kontroly.

Seznam provozovatelů osobních údajů Roskomnadzor je dostupný všem, lze si jej prohlédnout na oficiálních stránkách služby.

Mimochodem, úřad nemůže odmítnout zápis do registru právnické nebo fyzické osoby. Pokud k tomu dojde, pak služba porušuje zákon, což znamená, že je Roskomnadzoru uložena pokuta. Částka může dosáhnout pěti set tisíc rublů.

Povinnosti provozovatelů

Jako u jakékoli jiné činnosti, i práce s osobními údaji podléhá povinnostem a právům. Zvažte odpovědnost provozovatelů osobních údajů.

Roskomnadzor se zavazuje oznámit službě, že začal zpracovávat informace. Tato povinnost je uložena v souladu s článkem 22 zákona „o osobních údajích“. Oznámení musí obsahovat následující informace:

1. Adresa, jméno nebo křestní jméno, příjmení, patronymie provozovatele.
2. Základ pro zpracování osobních údajů.
3. Kategorie osobních údajů.
4. Kategorie subjektu, jehož osobní údaje mají být zpracovány.
5. Odkaz na regulační dokumenty, které umožňují zpracování informací.
6. Seznam úkonů, které provozovatel pro zpracování osobních údajů provede, a také popis způsobů, které při tomto procesu použije.
7. Opatření přijatá k ochraně informací.
8. Název právnické osobyosoba nebo jméno, příjmení a patronymie osoby odpovědné za organizaci procesu zpracování. Kromě toho je nutné uvést kontaktní telefonní čísla, e-mailovou adresu a poštovní adresu.
9. Datum, od kterého začíná zpracování dat.
10. Podmínky zpracování a podmínky, za kterých je ukončeno.
11. Informace o tom, zda v době zpracování dochází k přeshraničnímu přenosu dat či nikoli.
12. Informace o tom, kde se nachází databáze, která obsahuje osobní údaje občanů naší země.
13. Údaje o zabezpečení informací a o tom, zda splňují požadavky stanovené vládou naší země.

To neznamená, že v jakékoli situaci musí provozovatelé zpracování osobních údajů informovat Roskomnadzor. Jsou chvíle, kdy to není vůbec nutné. Například není třeba oznamovat, pokud zaměstnavatel zpracovává informace o svých zaměstnancích. Patří sem i situace, kdy je s klientem na něco uzavřena smlouva. V tomto případě pravidlo funguje pouze tak dlouho, dokud nejsou informace poskytovány třetím osobám bez souhlasu klienta. Není třeba psát upozornění těm, kteří vydávají jednorázovou propustku na nějaké území, zpracovávají údaje, které jsou volně dostupné, používají pouze jméno, příjmení a patronymii osoby.

Registr provozovatelů osobních údajů Roskomnadzor ukládá povinnost v podobě zajištění důvěrnosti osobních údajů. To znamená, že je nemožné šířit jakékoli informace o osobě bez jejího souhlasu. tojeden z hlavních požadavků na operátory.

Povinnosti zaměstnavatelů

Jsou body, které musí zaměstnavatelé při přenosu dat dodržovat:

1. Neposkytujte informace o zaměstnanci třetím stranám bez jeho souhlasu. Je důležité si uvědomit, že souhlas musí být dán písemně. To se však netýká situací, kdy vyjadřování informací pomáhá předcházet ohrožení zdraví a života zaměstnance nebo je vyžadováno předání dat státním službám. Mezi posledně jmenované patří Penzijní fond, donucovací orgány, Federální soudní služba, vojenské komisariáty, prokuratura a další orgány.
2. Upozorněte osoby, které obdrží osobní údaje, že je lze použít pouze k určenému účelu. Mimochodem, zaměstnavatel má plné právo vyžadovat potvrzení o dodržování tohoto pravidla.
3. Předávejte osobní údaje pouze v rámci jednoho podniku nebo jednoho podnikatele. To by mělo probíhat v souladu s interním dokumentem, který si zaměstnanec prostudoval a podepsal pod ním.
4. Povolit nakládání s osobními údaji pouze oprávněným osobám. To neznamená, že tito lidé mohou požadovat jakékoli informace, mají právo používat pouze data, která jsou potřebná k plnění určitých úkolů.
5. Nedotýkejte se zdraví zaměstnance, pokud to neovlivní jeho přímé pracovní povinnosti.
6. Omezte informace, které zástupce zaměstnanců obdrží, pouze na to, co je potřeba k výkonu funkcí specifikovaných zástupcem.

Všechny tyto normy jsou definovány zákonem „O osobních údajích“a některými články zákoníku práce. Vraťme se k registru provozovatelů osobních údajů Roskomnadzor a jejich povinnostem.

Jiné povinnosti

Co by operátoři měli dělat, jsme již zmínili výše. Vraťme se k tomuto problému.

Operátoři jsou povinni podniknout kroky k zajištění bezpečnosti osobních údajů. Za tímto účelem společnost vybírá osobu, která je odpovědná za organizaci zpracování osobních údajů. Tato osoba musí kontrolovat plnění povinností provozovatele osobních údajů, dodržování jeho požadavků na bezpečnost používání informací. Tatáž osoba je povinna seznámit zaměstnance podílející se na zpracování s novou novelou zákona „O osobních údajích“, jakož i interními akty k problematice zpracování. Je také pověřen organizací vyřizování odvolání a žádostí osob, jejichž údaje jsou zpracovávány, a také přijímáním těchto odvolání. Kromě instruktáže je nutné sledovat používání technického zabezpečovacího zařízení a vydávat dokumenty, které upravují politiku společnosti v této problematice.

Pokud jde o zásady provozovatele osobních údajů, měly by být veřejné. K tomu je dokument vyvěšen na webu provozovatele a každý, kdo jej potřebuje, se s ním může seznámit. Pokud stránka není k dispozici, můžete stánek s potřebnými informacemi nainstalovat na takové místo, aby se s ním mohli seznámit všichni klienti a návštěvníci organizace.

Je důležité si to zapamatovatu těch provozovatelů osobních údajů, jejichž dokumenty jsou požadovány prostřednictvím internetu, je tato možnost možná pouze se zveřejněním na webových stránkách. Na webu Roskomnadzor naleznete informace týkající se zásad provozovatele.

Často dochází k záměně pojmů o politice podniku a ustanoveních o ukládání, ochraně a zpracování osobních údajů. Poslední dokument je považován za interní akt, takže se s ním seznamují pouze zaměstnanci podniku, načež jej podepisují.

Další povinností provozovatele je dodržování požadavků na lokalizaci osobních údajů občanů naší země. Faktem je, že od roku 2015 jsou všichni provozovatelé při shromažďování osobních údajů povinni je zpracovávat pomocí databází, které se nacházejí u nás. Jakmile byl zákon přijat, byla spousta nejasností, které se ale časem vyřešily. Nyní je s jistotou známo, že například provozovatelé osobních údajů prostřednictvím komunikace jsou povinni využívat informační databáze.

Poslední povinností je nutnost včas ukončit zpracování osobních údajů. Pokud byly informace použity a osoba, jejíž údaje byly zpracovány, se rozhodne odvolat souhlas se zpracováním, musí provozovatel ukončit zpracování a do měsíce je vymazat. Je důležité pochopit, že ve smlouvě může být uveden jiný termín, a proto je tak důležité si dokumenty přečíst.

Práva provozovatele

Operátoři mají kromě povinností svá vlastní práva. Pravda, je jich málo, ale přesto by se na ně nemělo zapomínat. Seznam provozovatelů osobních údajů uvádí poslední jmenovaný pouze jedenprávo na informace o změnách právních předpisů, pokud se týkají osobních údajů.

Kdo je součástí databáze

Již jsme si řekli výše, že ne každý musí být zapsán do registru provozovatelů osobních údajů. Kdo by měl podat oznámení?

1. Internetové zdroje. To zahrnuje portály, sociální sítě, fóra, protože registrace vyžaduje osobní údaje, i když trochu.
2. Nakupování online. Potřebují to, protože kupující při objednávce nechají kontaktní telefonní číslo pro zavolání zpět nebo poštovní adresu.
3. Stránky, které zveřejňují informace o předmětu nebo je zasílají e-mailem. A také zde můžete zahrnout ty stránky, které již obsahují osobní údaje.
4. Organizace, společnosti nebo podnikatelé, kteří neustále zpracovávají data. Jedná se o účetní a právní kanceláře, cestovní kanceláře, bytové a komunální služby, matriky, matriky, zdravotnické ústavy a banky, vzdělávací instituce, společnosti, které poskytují služby a vydávají klubové karty.
5. Organizace, které pracují na základě občanskoprávních smluv s nezávislými pracovníky.
6. Firmy, které používají CRM systémy.

Pozor! Roskomnadzor může zablokovat internetový zdroj, pokud tento porušuje zákon v oblasti zpracování dat.

Zaměstnavatel – operátor nebo ne?

Už jsme naznačili, že změny v registru provozovatelů osobních údajů by měl provést každý, ale názory na zaměstnavatele se stále liší. Jakzpravidla se řadí mezi provozovatele osobních údajů, existují však výjimky. Jedná se například o manažery, kteří ukládají a shromažďují informace pouze za účelem sepsání pracovní smlouvy nebo interního příkazu v souladu se zákonem.

Kdo není považován za operátora

Registrace provozovatele osobních údajů není nutná pro všechny osoby a organizace. Kdo se bez něj obejde?

1. Telefonní společnosti, které používají data předplatitelů pouze k poskytování komunikačních služeb.
2. Náboženské a společenské organizace, které používají osobní údaje členů pouze pro účely uvedené v zakládacích dokumentech.
3. Instituce a jednotlivci, kteří používají údaje, které subjekt sám zveřejnil.
4. Společnosti, které vydávají jednorázové permanentky.
5. Veřejné datové systémy určené k ochraně a udržování veřejného pořádku.
6. Organizace zpracovávající data bez automatizovaných systémů.
7. Dopravní společnosti, které dostávají informace pro vydávání cestovních jízdenek.

Je důležité si uvědomit, že pro Roskomnadzor nezáleží na tom, zda je organizace nebo osoba zahrnuta v registru provozovatelů zpracovávajících osobní údaje či nikoli. Služba má právo vykonat kontrolní návštěvu jakékoli instituce. To znamená, že i ti, kteří nejsou právně považováni za provozovatele, mohou nést odpovědnost za nedodržení požadavků na ochranu osobních údajů.

Jak získat právo zpracovávat osobní údaje

Pro zajištění bezpečnosti přenosu a uchovávání osobních údajů byl pro organizace, které ukládají a shromažďují data, vyvinut licenční a certifikační proces.

Pro získání licence nestačí poslat zaměstnance na školení, je potřeba zakoupit i technické ochranné prostředky. Získání licence probíhá v několika fázích:

1. Zaslání oznámení do registru provozovatelů zpracování osobních údajů o stávajícím záměru zpracovávat.
2. Absolvování předběžného průzkumu informačních systémů dostupných podniku.
3. Navrhování systému ochrany s ohledem na infrastrukturu automatizace a počítačového vybavení.
4. Pořízení a implementace ochranných prostředků.
5. Uvedení prostor do souladu s požadavky na bezpečnost, požární bezpečnost, napájení.
6. Školení zaměstnanců nebo zlepšení jejich dovedností v oblasti ochrany osobních údajů s následnou certifikací.

Pokud budou splněny všechny body, bude ukládání a ochrana osobních údajů účinná.

Je důležité si uvědomit, že všechny body se týkají zpracování informací v elektronické podobě, i když tento způsob nelze nazvat bezpečným pro uložená data.

Kontrola činností operátorů

Provozovatel, který zpracovává osobní údaje, je pravidelně podrobován kontrole ze strany Roskomnadzor. To může být provedeno podle plánu nebo může být založeno na stížnosti osoby, která trpěla protiprávním jednáním provozovatele.

Kontrola dodržování zákona o zpracování osobních údajů tři oddělení:

1. Roskomnadzor. Provádí kontroly souladu a je také zodpovědný za provádění kontrol.
2. Federální služba pro export a technickou kontrolu. Tato služba chrání data, která jsou v počítačích v rámci organizace, a jejich přenosové kanály. K tomu druhému dochází pouze v případě, že informace není zašifrována.
3. Federální bezpečnostní služba. Řídí šifrovací prostředky přenosu a zpracování osobních informací. Tyto produkty také vyvíjí a distribuuje.

Můžete zkontrolovat, která organizace vám ten či onen operátor patří. Chcete-li to provést, přejděte na web Roskomnadzor a vyhledejte rejstřík operátorů.

Pro zobrazení informací stačí zadat registrační číslo společnosti nebo její název. Bude fungovat i daňové identifikační číslo.

Můžete také zjistit, jak oprávněně byly informace požadovány. Pokud společnost není na seznamu, můžete kontaktovat Roskomnadzor. Buď je zařadí do registru, nebo zakáže nezákonné činnosti shromažďování osobních údajů.

Kontrola se provádí na základě odvolání občanů nebo z podnětu resortního orgánu, např. státního zastupitelství. Za porušení zpracování a uchovávání osobních údajů je poskytována odpovědnost. Trest může být správní, trestní nebo disciplinární, vše závisí na závažnosti porušení.

Jak se mášzabezpečit?

Teoreticky, aby se předešlo takovým problémům, se občanům doporučuje, aby před udělením souhlasu se zpracováním osobních údajů zkontrolovali organizaci, zda je na příslušném seznamu.

Ve skutečnosti to lidé dělají jen zřídka, už proto, že většina lidí o existenci takového registru ani neví.

Obzvláště stojí za to se podívat na malé organizace, které nemají vždy vhodné podmínky pro zpracování informací. Pokud o tom existuje podezření, pak souhlas není nutný. Ať vás odmítnou na jednom místě, ale můžete si najít vhodnější organizaci a nebudete mít žádné problémy.

Práva subjektu údajů

Navzdory skutečnosti, že každý provozovatel má své vlastní zásady ochrany osobních údajů, neměly by být v rozporu se zákonem. To znamená, že musí být respektována všechna práva lidí, kteří o sobě poskytují osobní údaje.

Základní práva zahrnují:

1. Právo na přístup k vašim vlastním informacím. To znamená, že osoba má právo vědět, kdo zpracovává její údaje, za jakým účelem a kdo informace uvidí. Osoba může požadovat upřesnění údajů, zablokovat je nebo je úplně smazat. Chcete-li získat přístup k vašim údajům, musíte odeslat žádost provozovateli. To může provést jak subjekt sám, tak jeho zástupce. I toto právo má omezení, například pokud se údaje dotýkají bezpečnosti státu, porušují ústavní svobody a práva třetích osob nebo zasahují do operativně-pátrání.
2. Právo zpracovávat osobní údaje za účelem propagace zboží, služeb nebo děl na trhu nebo pro účely politické kampaně. Zpracování údajů probíhá pouze v případě, že s tím subjekt souhlasí. V případě rozporu se má za to, že ke zpracování došlo bez souhlasu klienta, pokud provozovatel nebyl schopen prokázat opak. Jakmile subjekt požádá o ukončení zpracování údajů, je provozovatel povinen tak učinit.
3. Právo subjektu učinit rozhodnutí na základě automatizovaného zpracování osobních údajů. Ze zákona je zakázáno zpracovávat údaje bez písemného souhlasu osoby, pouze na základě automatizovaného zpracování. Výjimky stanoví federální zákon.
4. Právo odvolat se proti nečinnosti nebo akci operátora. Osoba má právo obrátit se na oprávněný orgán ochrany práv subjektů osobních údajů nebo na soud. Pro takové zacházení však musí existovat důvody, například porušení práv nebo nesprávné zpracování údajů.

Subjekt se také může domáhat náhrady škody nebo materiální náhrady u soudu.

Závěr

Jak vidíte, tento problém je přísně regulován. Ostatně právě kvůli nekontrolovanému přijímání osobních údajů se občané naší země stávají obětí podvodníků a prostě nepoctivých lidí. Stát se snaží požadavky co nejvíce zpřísnit, aby mohl alespoň nějak zaručit bezpečnost ukládání dat.

Vyvíjejí se různé ochranné systémy, podnikyjsou certifikováni a licencováni jen proto, aby usnadnili život běžným občanům.

Ani lidé by však neměli zahálet. Koneckonců, naše vlastní blaho závisí na nás. V článku jsme popsali, jak si můžete zkontrolovat, zda je organizace v registru či nikoliv. Použijte tyto informace, nedávejte souhlas se zpracováním údajů pochybnými institucemi a pak nebudete muset prokazovat, že byla porušena vaše práva. Problémy většiny z nás jsou způsobeny nepozorností a to vše proto, že nejsou zvyklí číst dokumenty před jejich podpisem. Mezitím se to musí učit od kolébky a také se starat o právní znalosti dítěte. Čím dříve začneme děti připravovat na dospělost, tím snazší to pro ně bude.