9 Lei Federal sobre dados pessoais. O que há de novo na lei de proteção de dados pessoais

EM ultimamente Os operadores de telecomunicações recebem cada vez mais pedidos para adequar as suas actividades aos requisitos da legislação no domínio dos dados pessoais (principalmente Lei federal Nº 152-FZ de 27 de julho de 2006 “Sobre dados pessoais”).

Isto deve-se à entrada em vigor das alterações ao Código da Federação Russa sobre Ofensas Administrativas em 1 de julho de 2017, que ampliam significativamente a responsabilidade dos operadores pelo incumprimento das condições de tratamento de dados pessoais. Em 2019, os departamentos territoriais de Roskomnadzor realizam cada vez mais inspeções aos Operadores para a proteção de dados pessoais. Ao mesmo tempo, o valor da responsabilidade máxima aumentou de 10.000 para 75.000 rublos, o mínimo de 1 para 15 mil rublos, e o número de possíveis violações nesta área também aumentou. Este artigo ajudará os pequenos operadores a construir corretamente um sistema de proteção de dados pessoais

Dados pessoais- qualquer informação relativa a um indivíduo directa ou indirectamente identificado ou identificável ( sujeito de dados pessoais). Os tipos mais comuns são detalhes do passaporte, local de residência, celular e endereço de e-mail. Mesmo o sobrenome, nome e patronímico em si podem ser dados pessoais (carta de Roskomnadzor datada de 20 de janeiro de 2017 N 08AP-6054). As pessoas (pessoas físicas e jurídicas) que processam dados pessoais são operadores de dados pessoais.

EM Federação Russa o tratamento de dados pessoais (requisitos para garantir a sua segurança, ou seja, proteção) é regulamentado pelo Estado. Adotado em 27 de julho de 2006 Lei Federal "Sobre Dados Pessoais" N 152-FZ.

Na verdade, requisitos obrigatórios estão contidos não apenas na lei"Sobre dados pessoais" mas também em alguns estatutos. Em particular, outros requisitos importantes para a protecção de dados pessoais estão contidos nos seguintes regulamentos:

1. Decreto do Governo da Federação Russa de 15 de setembro de 2008 N 687 (peculiaridades do processamento de dados pessoais sem meios de automação).
2. Decreto do Governo da Federação Russa de 1º de novembro de 2012 N 1119 (requisitos para processamento de dados pessoais em sistemas de informação).
3. "Metodologia para identificar ameaças atuais à segurança de dados pessoais durante o seu processamento em sistemas de informação de dados pessoais" (aprovado pelo FSTEC da Federação Russa em 14 de fevereiro de 2008)
4. "Modelo básico de ameaças à segurança de dados pessoais durante o seu processamento em sistemas de informação de dados pessoais" (aprovado pelo FSTEC da Federação Russa em 15 de fevereiro de 2008)
5. Ordem do FSTEC da Rússia datada de 18 de fevereiro de 2013 N 21 (medidas organizacionais e técnicas para processamento de dados pessoais em sistemas de informação).

Os requisitos de segurança para o tratamento de dados pessoais estabelecidos pelos atos elencados são bastante extensos, alguns bastante complexos em termos técnicos e organizacionais.

A responsabilidade pela violação da legislação sobre dados pessoais está consagrada no Código da Federação Russa sobre Ofensas Administrativas, no Artigo 13.11. Desde 1º de julho de 2017, este artigo inclui 7 infrações, o valor da punição por sua prática varia de 15 a 75 mil rublos. multa administrativa. Além disso, tanto antes como depois da entrada em vigor das alterações ao Código de Infracções Administrativas da Federação Russa, que aumentaram as multas e introduziram novas infracções, a autoridade de controlo levou repetidamente à justiça os infratores da legislação no domínio dos dados pessoais.

Os requisitos legais em matéria de dados pessoais são bastante extensos, complexos e ambíguos, pelo que, antes de mais, gostaria de saber para que serve a responsabilidade?.

A resposta a esta questão é dada pelo art. 13.11. Código da Federação Russa sobre Ofensas Administrativas:

Parte 1 do Artigo 13.11:

“Processamento de dados pessoais em casos não previstos pela legislação da Federação Russa no domínio dos dados pessoais, ou processamento de dados pessoais incompatíveis com os fins de recolha de dados pessoais...” - multa de 30 a 50 tr. O que prestar atenção:

Os dados pessoais poderão ser tratados nos seguintes casos (qualquer condição é suficiente):

1. Há consentimento do sujeito (NÃO NECESSARIAMENTE ESCRITO, ou seja, uma “marca” no site, uma pergunta por telefone - serve).
2. Você celebrou ou está prestes a firmar um acordo com o sujeito (mesmo que seja uma oferta no site e não exija assinatura para conclusão). Nesse caso, você nem precisa de consentimento.
3. Você processa os dados pessoais dos seus funcionários (de relações trabalhistas). Aqui o consentimento também não é necessário.
4. Noutros casos específicos, estão especificados na Lei dos Dados Pessoais e são bastante raros (artigo 6.º, parte 1; por exemplo: para proteger a vida, a saúde ou outros interesses vitais do sujeito).

Uma multa será imposta se você não conseguir provar com que base está processando dados pessoais específicos de um determinado assunto. Recomendações: ao coletar dados pessoais no site, antes de enviar seus dados ao titular, é necessário garantir que ele marque um texto como “Concordo com o tratamento dos meus dados pessoais”. Se os dados forem tratados para efeitos de celebração de um contrato e não houver consentimento, não trate dados pessoais atípicos do contrato (por exemplo, ao abrigo de um contrato de venda não deve tratar dados sobre educação, profissão e dever militar rostos).

Parte 2 do Artigo 13.11:

“Tratamento de dados pessoais sem consentimento por escrito... quando tal consentimento deve ser obtido... ou processamento de dados pessoais em violação de... requisitos para a composição da informação incluída no consentimento em por escrito...", - multa de 15 a 75 tr. O que procurar:

Para evitar o recebimento de multa nos termos deste artigo, você deve seguir algumas regras simples:

1. Você não pode publicar ou de outra forma inserir em fontes publicamente disponíveis os dados pessoais do titular sem o seu consentimento por escrito (um formulário especial é fornecido para tal consentimento).
2. Você não pode processar dados pessoais biométricos ou dados classificados como especiais (dados médicos, religião, visões filosóficas) sem consentimento por escrito.
3. Você não pode transferir dados pessoais para o território países estrangeiros que não oferecem proteção adequada aos direitos
   sujeitos (transferência transfronteiriça) sem o consentimento por escrito da pessoa.

Parte 3 do Artigo 13.11:

“O incumprimento por parte do operador da obrigação prevista pela legislação da Federação Russa no domínio dos dados pessoais de publicar ou de outra forma fornecer acesso irrestrito a um documento que define a política do operador em relação ao tratamento de dados pessoais, ou informações sobre o implementado requisitos para a proteção de dados pessoais” , - multa de 15 a 30 tr. O que prestar atenção:

É necessário colocar no site a Política de Tratamento de Dados Pessoais

Parte 4 do Artigo 13.11:

“Incumprimento por parte do operador da obrigação prevista pela legislação da Federação Russa no domínio dos dados pessoais de fornecer ao titular dos dados pessoais informações sobre o tratamento dos seus dados pessoais” - multa de 20 a 40 tr. O que prestar atenção:

A responsabilidade administrativa surge apenas se o operador não fornecer informações a pedido do titular dos dados pessoais, formalizadas de acordo com os requisitos previstos na lei. EM nesse caso comentários são desnecessários - dado que os pedidos de titulares de dados pessoais são muito raros - é mais fácil responder à carta do titular uma vez do que pagar 20-40 tr.

Parte 5 do Artigo 13.11:

“O incumprimento por parte do operador em tempo útil ... dos requisitos do titular dos dados pessoais ou do seu representante ou organismo autorizado... no esclarecimento de dados pessoais, seu bloqueio ou destruição se os dados pessoais estiverem incompletos, desatualizados, imprecisos, obtidos ilegalmente ou não forem necessários para a finalidade declarada de processamento" - multa de 25 a 45 tr. O que prestar atenção para:

A composição é semelhante à parte 4 colheres de sopa. 13.11, ou seja Primeiro, a exigência do sujeito/seu representante/Roskomnadzor deve vir, e se você não cumprir tal exigência a tempo, só então surge a responsabilidade. Novamente, é mais fácil não entender a situação, deletar dados falsos, avisar sobre isso em por escrito sujeito de dados pessoais, em vez de pagar uma multa.

Parte 6 do Artigo 13.11:

“O incumprimento por parte do operador... das condições que garantem... a segurança dos dados pessoais ao armazenar suportes tangíveis de dados pessoais e excluir o acesso não autorizado aos mesmos, se daí resultar o acesso ilegal ou acidental aos dados pessoais, a sua destruição , modificação, bloqueio, cópia, fornecimento, distribuição ou outro má conduta em relação aos dados pessoais, na ausência de indícios de infração penal" - multa de 25 a 50 tr. A que prestar atenção:

A peculiaridade dessa composição é que não haverá multa se a violação não resultar em nenhuma consequência adversa ao titular dos dados pessoais, por exemplo, um invasor invadiu o banco de dados da sua organização e publicou os endereços de todos os funcionários. Considerando que tal situação é extremamente rara para empresas de médio porte, e também que tais coisas nem sempre podem ser detectadas pelo Roskomnadzor, há poucos motivos para preocupação.

É aqui que termina toda a responsabilidade. Além disso, é o Roskomnadzor, como órgão autorizado por lei, que realiza as inspeções, e apenas o FSTEC e o FSB podem verificar questões técnicas, que na verdade não realizam inspeções (com raríssimas exceções). Todas as informações sobre as inspeções programadas estão contidas no site do Roskomnadzor, incluindo as organizações que serão inspecionadas em um determinado ano. Além disso, Roskomnadzor notifica adicionalmente com 3 dias de antecedência próxima inspeção. As não programadas só são realizadas se houver motivos suficientes e se houver reclamação pessoa específica(isso poderia ser ex-funcionário, concorrente, apenas um cliente que conhece seus direitos). Neste caso, Roskomnadzor notifica a organização 24 horas antes da inspeção. Com base nisso, a probabilidade de uma inspeção é extremamente baixa e, se houver, você pode saber mais sobre a inspeção com antecedência.

Assim, gostaria de observar mais uma vez que ainda é necessário garantir que não haja reclamações por parte de Roskomnadzor:

1. Deve ser publicada uma Política relativa ao tratamento de dados pessoais e, se os dados pessoais forem recolhidos através de um site, a Política deve ser publicada neste site (uma exigência direta do artigo 18.º da Lei de Dados Pessoais).
2. Além disso, no formulário de recolha de dados pessoais do site deverá constar um aviso ou uma “marca” indicando que o titular concorda com o tratamento dos seus dados pessoais. Caso a introdução de dados pessoais pelo titular implique a celebração de um acordo (oferta), então tal acordo deverá ser publicado no site, neste caso não é necessário consentimento; O contrato é preferível ao consentimento.
3. Você não deve processar categorias especiais de dados pessoais, dados pessoais biométricos ou transferir dados pessoais de clientes e funcionários para o exterior.
4. Vale sempre a pena responder às solicitações e exigências dos titulares dos dados pessoais (para esclarecimentos, eliminação, bloqueio dos seus dados). É mais fácil do que pagar uma multa.
5. Também vale a pena preparar o mínimo necessário documentos internos organizações que são necessárias com base em requisitos legais e que podem ser solicitadas por Roskomnadzor tanto como parte de uma inspeção quanto como parte de observação sistemática (monitoramento).

Vale a pena notar que condições listadas- este é apenas o mínimo necessário e em cada caso específico o operador poderá exigir um maior grau de segurança no tratamento dos dados pessoais.

Por fim, vale ressaltar por que uma oferta é melhor que o consentimento e o que fazer com a notificação do Roskomnadzor sobre o início do tratamento de dados pessoais. De acordo com o art. 22 da Lei dos Dados Pessoais, o operador de dados pessoais é obrigado a notificar a autoridade de controlo das suas intenções de tratamento de dados pessoais antes de iniciar o tratamento. Com base nessa notificação, Roskomnadzor inscreve o operador no Cadastro de Operadores de Dados Pessoais. Isto, por sua vez, aumentará os requisitos para o operador (atualizar sistematicamente informações sobre si mesmo e suas atividades no Cadastro), bem como o risco de ser sujeito a uma inspeção programada. Na Parte 2 do art. 22 da Lei de Dados Pessoais prevê exceções, ou seja, as condições em que é possível não apresentar notificação e não ser incluído no registo. O legislador inclui as seguintes condições como tais exceções:

1. Os dados pessoais são processados ​​de acordo com legislação trabalhista(dados do funcionário)
2. Os dados pessoais são tratados no âmbito da celebração de um contrato (dados pessoais de clientes e potenciais clientes).
3. Os dados pessoais são tratados com a participação direta de uma pessoa (sem utilização de ferramentas de automação - faturação, etc.).
4. Algumas condições específicas – dados pessoais dos membros associações públicas e organizações religiosas, apenas nomes completos de sujeitos, etc., ver Parte 2 do art. 22 da Lei de Dados Pessoais.

Desta lista conclui-se que se os dados forem processados ​​exclusivamente com base no consentimento do titular (mesmo que não por escrito), uma notificação ainda deverá ser enviada ao Roskomnadzor. Portanto, se, por exemplo, o site da sua organização disponibiliza dois formulários para coleta de dados pessoais - um pedido de conexão (nome completo, endereço de conexão, dados do passaporte) e também um formulário opinião Em caso de dúvidas, recomenda-se fazer o seguinte: No momento do pedido de ligação é necessário que exista uma oferta no site, e assim, ao inserir os seus dados pessoais, o potencial assinante já celebra um acordo consigo. Seria melhor deixar apenas dois campos no formulário de feedback: endereço de email e um campo onde é inserida diretamente a pergunta da pessoa: assim, nenhum dado pessoal será coletado.

Por outro lado, mesmo que você não execute as ações acima e deixe o consentimento, Roskomnadzor irá primeiro “gentilmente” enviar uma solicitação para enviar-lhe uma notificação sobre o início do processamento de dados pessoais. Em resposta a isso, você pode enviar uma notificação correspondente ou carta informativa, no qual justificar a existência de exceções que permitem não ser “incluídos” no Cadastro de Operadores de Dados Pessoais.

Atualmente, não há grande diferença na atuação do Roskomnadzor dependendo da empresa constar ou não do Cadastro, uma vez que em ambos os casos devem ser observados os requisitos da legislação em matéria de dados pessoais.

Ao escolher medidas para garantir a conformidade com a legislação de dados pessoais, muitas circunstâncias devem ser levadas em consideração, incluindo o tamanho da organização, a qualidade da documentação interna e dos formulários de contrato, e o nível potencial de risco de chegar ao conhecimento da autoridade supervisora. .

Atualmente, o controle e a fiscalização são realizados pelo órgão administrativo de duas formas. Em primeiro lugar, sob a forma de fiscalização (programada ou não programada). As inspeções programadas são realizadas em relação às pessoas cujas informações estão contidas no Cadastro de Operadores de Dados Pessoais mantido pela Roskomnadzor (doravante denominado “Cadastro”). As informações sobre a operadora são inseridas no Cadastro somente após o envio por tal operadora notificações sobre o início do tratamento de dados pessoais. Dado que o envio desta notificação aumenta significativamente o risco de ser fiscalizado por uma autoridade de controlo, não recomendamos aos nossos clientes o envio de notificação, até porque é absolutamente legal se a documentação estiver devidamente elaborada. Ao mesmo tempo, se houver solicitações por escrito do departamento territorial de Roskomnadzor, você deverá ser incluído no Cadastro sob ameaça de multa.

As inspeções não programadas podem ser realizadas por diversos motivos, sendo o mais comum, hoje, o arquivamento reclamações do cliente e de terceiros.

São também possíveis medidas de monitorização sistemática, nomeadamente: fiscalização do local quanto ao cumprimento da legislação em matéria de proteção de dados pessoais.

A tabela abaixo reflete as verificações do Roskomnadzor em dados pessoais.

Em 2018, já foram realizadas 832 inspeções programadas e 49 não programadas e 2.118 atividades de monitoramento sistemático. Com base nos resultados das fiscalizações, foram emitidas 768 ordens e, com base nos resultados das observações, foram emitidas 569 ordens. Em 2018, Roskomnadzor enviou 6.419 relatórios de acidentes aos tribunais, O valor das multas é de 3.971 milhões de rublos (do Relatório Público de Roskomnadzor para 2018).

Obviamente, quanto mais clientes, ou seja, como organização maior, aqueles mais chance provocar insatisfação entre os assinantes e, consequentemente, receber reclamação. Nesse sentido, é necessário construir o processo mais eficaz e de alta qualidade para trabalhar com indivíduos, cumprir, tanto quanto possível, os requisitos do legislador. Para essas organizações que trabalham com um grande número de assinantes incluídos no Cadastro, bem como em relação aos quais há motivos para esperar “interesse” de fora órgão administrativo, estamos preparando um pacote padrão de documentos. Inclui uma série de atos locais, técnicos e públicos que ajudam a minimizar os riscos multas administrativas no verificação documental detalhada Roskomnadzor para cumprimento da legislação em matéria de dados pessoais (lista abaixo).

Se a chance de uma reclamação de um assinante contra sua organização for mínima e uma notificação ao Roskomnadzor sobre o início do processamento de dados pessoais não tiver sido enviada, então a probabilidade de uma inspeção programada/não programada por Roskomnadzor de sua organização é muito menor. Mas há uma grande probabilidade de cair evento de observação sistemática(monitoramento). Ao monitorar, Roskomnadzor não tem oportunidade de se familiarizar com posição interna assuntos da organização, olham apenas para atividades externas (em 99% dos casos - site, a maioria das multas e ordens durante o monitoramento são emitidas por descumprimento de requisitos legais do site). Porém, por infrações no site, é aplicada multa de 15 a 30 mil rublos Além disso, não basta sair com multa; Roskomnadzor agora também solicita à Operadora uma descrição das medidas tomadas para eliminar a infração sob ameaça de multa no valor de 3 a 5 mil rublos por descumprimento da ordem do art. 19.7 Código de Ofensas Administrativas da Federação Russa.

Para evitar multas, é necessário preparar um pacote de documentos que evitem violações externas da lei.

As violações mais comuns identificadas por Roskomnadzor em 2018 são:

• AUSÊNCIA DE RESPONSÁVEL PELA ORGANIZAÇÃO DO TRATAMENTO DE DADOS PESSOAIS.
• FALHA E/OU NÃO PUBLICAÇÃO POR PESSOA JURÍDICA DE DOCUMENTO QUE DETERMINA A POLÍTICA DA OPERADORA RELATIVA AO TRATAMENTO DE DADOS PESSOAIS; - NÃO EMITIR ATOS LOCAIS POR PESSOA JURÍDICA SOBRE QUESTÕES DE TRATAMENTO DE DADOS PESSOAIS.
• FALHA NA IMPLEMENTAÇÃO DE CONTROLE/AUDITORIA INTERNO DE CONFORMIDADE DO PROCESSAMENTO DE DADOS PESSOAIS COM OS REQUISITOS DA LEGISLAÇÃO DA FEDERAÇÃO RUSSA NO CAMPO DE DADOS PESSOAIS
• FALTA DE CONHECIMENTO DOS FUNCIONÁRIOS DO OPERADOR QUE PROCESSAM DIRETAMENTE DADOS PESSOAIS COM AS DISPOSIÇÕES DA LEGISLAÇÃO DA FEDERAÇÃO RUSSA SOBRE DADOS PESSOAIS E OS DOCUMENTOS QUE DETERMINAM A POLÍTICA DO OPERADOR EM RELAÇÃO AO PROCESSAMENTO DE DADOS PESSOAIS, ATOS LOCAIS SOBRE QUESTÕES DE PROCESSAMENTO DE DADOS PESSOAIS, E/OU FALHA PARA TREINAR OS FUNCIONÁRIOS ESPECIFICADOS.

Vamos indicar o mínimo ações necessárias para garantir a proteção dos dados pessoais. Primeiro, você precisa entender o que são dados pessoais. A referida lei define que os dados pessoais são qualquer informação relacionado direta ou indiretamente a um indivíduo específico. Um conceito bastante amplo que abrange todas as informações, começando pelo nome de uma pessoa, sua data de nascimento e terminando com crenças religiosas. A lei obriga todos os que tratam dados pessoais (operadores de dados pessoais) a garantir a segurança adequada desse tratamento. Isto exprime-se na apresentação de requisitos aos operadores de dados pessoais relativamente aos métodos de tratamento, garantias de não distribuição e prevenção de fugas de dados pessoais. Roskomnadzor pode realizar inspeções para verificar o cumprimento de tais requisitos e, em caso de violação da lei, impor responsabilidade administrativa.

O que é necessário e o que a autoridade supervisora ​​exige na prática? Em primeiro lugar, o titular cujos dados são tratados deve ter conhecimento desse tratamento, bem como das condições em que os dados são tratados. Isto é expresso em recebendo claramente definido consentimento do sujeito para processar seus dados pessoais...As violações nesta área são mais facilmente identificadas e registadas através da monitorização sistemática dos recursos da organização e são puníveis com uma multa de 15 a 30 mil rublos. Considerando as constantes alterações na legislação no domínio dos dados pessoais, é muito importante publicar apenas a versão atual do documento, uma vez que as reclamações são feitas não só à disponibilidade do documento em si, mas também à sua qualidade.

Em segundo lugar, o tratamento de dados pessoais dentro da organização deve ser o mais seguro possível. Isto significa que no caso de tratamento de dados pessoais através de sistemas de informação (leia-se em qualquer dispositivo eletrónico), é necessário desenvolver um modelo de potenciais ameaças em relação aos dados pessoais. Segundo o modelo, todas estas ameaças devem ser eliminadas ou minimizadas. É aqui que surge a questão de como provar ao Roskomnadzor o cumprimento dos requisitos estabelecidos por lei. Tendo em conta as especificidades da auditoria (documental), é necessário compilar um conjunto de informações locais e documentação técnica quem não vai embora autoridade supervisora não há a menor chance de encontrar falhas na operadora de telecomunicações.

Com base em muitos anos de experiência e profissionalismo de nossos funcionários, um pacote exclusivo de documentos foi desenvolvido, aplicado com sucesso e atualizado sistematicamente para ajudar a cumprir ao máximo os requisitos legais e passar com sucesso na inspeção em qualquer região da Federação Russa.

Como parte da preparação para a conformidade do sistema de proteção de dados pessoais da Operadora de Telecomunicações com a legislação da Federação Russa, é necessário preparar os seguintes documentos:

• Despacho sobre a nomeação de uma comissão para cumprir os requisitos da legislação em matéria de Dados Pessoais.
• Regulamento da comissão de cumprimento dos requisitos da legislação em matéria de dados pessoais.
• Plano de ação para cumprimento dos requisitos da legislação em matéria de Dados Pessoais.
• Ordem de aprovação da lista de pessoas com acesso ao tratamento de dados pessoais.
• Forma da Obrigação de Não Divulgação de Dados Pessoais.
• Ordem para realizar uma auditoria interna na área de Dados Pessoais.
• Lista de Dados Pessoais sujeitos a proteção.
• Formulário de consentimento do assinante para processamento de dados pessoais.
• Formulário de consentimento do funcionário para o tratamento de dados pessoais.
• Ordem sobre a atribuição de instalações para tratamento de dados pessoais.
• Lista de Sistemas de Informação de Dados Pessoais.
• Ficha técnica Sistemas de informação de dados pessoais.
• Ordem sobre a nomeação de um administrador de segurança da informação responsável.
• Instruções do administrador de segurança da informação.
• Despacho de aprovação do Regulamento em matéria de Dados Pessoais.
• Regulamento sobre o tratamento de dados pessoais (Política).
• Regulamentos sobre a proteção de dados pessoais.
• Regulamentos sobre o armazenamento de dados pessoais.
• Despacho sobre a classificação dos sistemas de informação de dados pessoais.
• Ato de classificação de sistemas de informação de dados pessoais.
• Ordem de aprovação das Instruções de Utilização para Sistemas de Informação de Dados Pessoais.
• Instruções ao usuário para sistemas de informação de dados pessoais.
• Procedimento para fazer backup e restaurar Dados Pessoais.
• Plano de auditorias internas na área de Dados Pessoais.
• Regulamento sobre resposta a solicitações de titulares de Dados Pessoais.
• Instruções sobre o procedimento de tratamento de suportes de dados pessoais.
• Regras controle interno na área de Dados Pessoais.

A Lei Federal 152 “Sobre Dados Pessoais” regula todas as atividades relacionadas ao processamento de dados pessoais. É chamado a proteger os direitos e a liberdade de qualquer cidadão da Federação Russa, a proteger os segredos de família, pessoais e privacidade cada pessoa.

Disposições gerais

A Lei de Dados Pessoais 152 regula todas as relações jurídicas e condições de tratamento de informações pessoais por qualquer órgão, pessoa física ou jurídica. Resumo A lei estabelece que qualquer entidade ou pessoa pode automatizar a recolha e o tratamento de dados pessoais, inseri-los em suportes tangíveis ou arquivos e ter o direito de aceder aos mesmos.

Esta lei pode ser usada não apenas dentro autoridades legais, mas também em redes e organizações de informação e telecomunicações. Foi adotado em 8 de julho de 2006 Duma estadual e em 14 de julho do mesmo ano foi aprovado pelo Conselho da Federação. Consiste em seis capítulos e 25 artigos. Últimas alterações foram adicionados a ele em 1º de julho de 2017.

Estrutura da lei:

• O primeiro capítulo explica a essência da lei, sua finalidade, termos e conceitos básicos, a que área ela afeta e a que se aplica;
• O segundo capítulo explica o princípio de trabalhar com dados pessoais de acordo com a lei. Quais condições devem ser observadas, confidencialidade dos dados do usuário, seu consentimento para o tratamento de dados, categorias especiais, etc.;
• O terceiro capítulo descreve os direitos que têm os sujeitos cujos dados são coletados e utilizados;
• O quarto capítulo descreve as responsabilidades dos envolvidos na coleta, análise e uso de dados. Essas pessoas são chamadas de operadores;
• O quinto capítulo fala sobre a responsabilidade dos operadores e como o estado monitora o cumprimento das obrigações e o cumprimento da lei;
• No sexto capítulo são formalizadas todas as disposições adicionais e finais.

A cada mudança na lei, crescem as exigências para as organizações que coletam informações pessoais dos cidadãos e para as operadoras.

Características do uso de dados pessoais nos termos da Lei Federal 152

A principal condição para o uso de dados pessoais de acordo com a Lei Federal 152 é que a coleta, o processamento e o uso sejam feitos em bases legais e justas.

Órgãos que podem utilizar a Lei Federal 152:

• Órgão federal poder estatal;
• Autoridades municipais;
• Autoridades estatais das entidades constituintes da Federação Russa;
• Órgãos governo local;
• Outros órgãos governamentais.

A utilização de dados por pessoas é permitida nos seguintes casos:

• As finalidades legítimas e válidas de uso são pré-definidas;
• As informações pessoais são atuais, completas e suficientes para cumprir a finalidade pretendida. Se não houver informação suficiente para completar as tarefas, o operador complementa-as; se houver informação em excesso, o operador elimina-a;
• Se a informação for processada e utilizada nos prazos estabelecidos para tal. Os dados devem ser armazenados de forma que permita a identificação do titular a qualquer momento. Ao atingir o objetivo, a operadora anonimiza os dados ou apaga todas as informações.

A lei descrita foi adotada pela Duma Estatal e o uso de informações pessoais para órgãos, organizações e determinados indivíduos é permitido pelo Governo da Federação Russa.

Que alterações foram feitas?

Desde 2009, muitas alterações foram introduzidas na lei sobre dados pessoais.

O artigo número 3 da última alteração lista os termos e definições desses termos; o artigo é denominado “Conceitos básicos utilizados nesta Lei Federal”. O texto explica o que são dados pessoais, a transferência transfronteiriça de dados pessoais, quem é o operador, o que sistema de informação dados pessoais, como ocorre e o que é o tratamento, despersonalização, automatização, distribuição, destruição, disponibilização e bloqueio de dados pessoais.

No artigo 5º, as últimas alterações foram feitas em 25 de julho de 2011 com o auxílio da lei. De acordo com a nova versão do artigo 5º, o uso e processamento de informações pessoais são justos e legais. Todas as metas e objetivos para os quais as informações são coletadas e processadas são legais e predeterminadas. EM última edição O artigo 5.º define as condições de armazenamento deste tipo de informação e a forma como o operador pode atualizá-la e eliminá-la.

No artigo número 7 últimas alterações a essência da confidencialidade dos dados pessoais é definida. A operadora não tem o direito de distribuí-lo a terceiros sem o consentimento do sujeito.

Também foram feitas alterações ao artigo número 9. Nova edição Este artigo define o consentimento do titular para a divulgação e tratamento de dados pessoais. Um sujeito capaz pode concordar com os termos do operador em qualquer forma que lhe seja disponibilizada, no seu próprio interesse e de livre e espontânea vontade. O sujeito tem o direito de retirar o consentimento.

O consentimento por escrito do titular para fornecer dados pessoais é o seguinte:

• Nome completo, endereço, número de identificação passaportes, informações de documentos (data e local), etc.;
• Informações da procuração na presença de representante da entidade;
• Nome completo, endereço e cargo do operador que recebe o documento;
• Finalidade, por que os dados do titular são necessários;
• Rolar informações pessoais sujeito a ser utilizado pelo operador;
• Uma lista de ações do operador que ele realizará com o consentimento do sujeito;
• Duração de utilização e métodos de revogação de documentos;
• Assinatura do sujeito e operador com transcrições.

Também foram feitas alterações no artigo 19. O texto desta edição fala sobre medidas de segurança que servem para proteger os direitos e a liberdade dos súditos. O operador é obrigado a utilizar todas as medidas disponíveis para proteger e proteger os dados pessoais contra o acesso não autorizado ou acidental aos mesmos por terceiros. Há a aplicação de medidas técnicas, controle, estabelecimento de ordem, estabelecimento de regras, contabilização, restauração e detecção de fatos de hacking, etc. Os requisitos de proteção são estabelecidos pelo Governo da Federação Russa. Cada organização ou órgão adota um estatuto ou normas legais, cujas disposições obrigam os colaboradores a tomar determinadas medidas para garantir a segurança das informações pessoais e a confidencialidade dos titulares.

Baixe a última edição da Lei Federal 152

A última edição da Lei Federal nº 152 “Sobre Dados Pessoais” foi publicada em 29 de julho de 2017. A Lei 152 da Lei Federal sobre proteção de dados pessoais na última edição foi alterada nos artigos 1, 2, 3 e 6.

Para se proteger da penetração no espaço pessoal, para proteger sua própria liberdade e direitos, o sujeito cujas informações pessoais são utilizadas pode estudar 152 da Lei Federal.

Alterações e edições da Lei Federal nº 152 “Sobre Dados Pessoais” podem ser baixadas

1. O tratamento de dados pessoais deve ser realizado observando os princípios e regras previstos nesta Lei Federal. O tratamento de dados pessoais é permitido nos seguintes casos:

1) o tratamento de dados pessoais é realizado com o consentimento do titular dos dados pessoais para o tratamento dos seus dados pessoais;

2) o tratamento de dados pessoais for necessário para atingir as finalidades previstas tratado internacional da Federação Russa ou por lei, para implementar e cumprir as funções, poderes e responsabilidades atribuídas pela legislação da Federação Russa ao operador;

3) o tratamento de dados pessoais é realizado no âmbito da participação de uma pessoa em processos constitucionais, civis, administrativos, criminais, processos em tribunais arbitrais;

3.1) o tratamento de dados pessoais é necessário para a execução ato judicial, ato de outro corpo ou oficial, sujeito a execução de acordo com a legislação da Federação Russa sobre processo de execução(doravante denominada execução de ato judicial);

4) o tratamento de dados pessoais é necessário para o exercício de poderes órgãos federais poder executivo, órgãos governamentais fundos fora do orçamento, órgãos executivos do poder estatal das entidades constituintes da Federação Russa, órgãos governamentais locais e as funções de organizações envolvidas na prestação de serviços estatais e serviços municipais, previsto na Lei Federal de 27 de julho de 2010 N 210-FZ “Sobre a organização da prestação de serviços estaduais e municipais”, incluindo o cadastro do titular dos dados pessoais no portal unificado de serviços estaduais e municipais e (ou ) portais regionais de serviços estaduais e municipais;

5) o tratamento de dados pessoais é necessário para a celebração de um acordo do qual o titular dos dados pessoais seja parte ou beneficiário ou fiador, bem como para a celebração de um acordo por iniciativa do titular dos dados pessoais ou de um acordo ao abrigo do qual o titular dos dados pessoais será beneficiário ou fiador;

6) o tratamento de dados pessoais é necessário para proteger a vida, a saúde ou outros interesses vitais do titular dos dados pessoais, se for impossível obter o consentimento do titular dos dados pessoais;

7) o tratamento de dados pessoais é necessário para o exercício dos direitos e interesses legítimos do operador ou de terceiros, inclusive nos casos previstos na Lei Federal “Sobre a proteção dos direitos e interesses legítimos das pessoas físicas no exercício de atividades de reembolso dívidas vencidas e sobre alterações à Lei Federal" Sobre atividades de microfinanças e organizações de microfinanças", ou para atingir objetivos socialmente significativos, desde que os direitos e liberdades do titular dos dados pessoais não sejam violados;

8) o tratamento de dados pessoais é necessário para a implementação atividades profissionais jornalista e (ou) atividades jurídicas da mídia ou científicas, literárias ou outras atividade criativa desde que isso não viole os direitos e interesses legítimos sujeito de dados pessoais;

9) o tratamento de dados pessoais é realizado para fins estatísticos ou outros de pesquisa, ressalvadas as finalidades previstas no artigo 15 desta Lei Federal, sujeita à obrigatoriedade de anonimização dos dados pessoais;

10) é efectuado o tratamento de dados pessoais, cujo acesso é facultado a um número ilimitado de pessoas pelo titular dos dados pessoais ou a seu pedido (doravante designados por dados pessoais disponibilizados publicamente pelo titular dos dados pessoais);

11) é realizado o tratamento de dados pessoais sujeitos a publicação ou divulgação obrigatória nos termos da legislação federal.

1.1. Processamento de dados pessoais de objetos proteção do estado e seus familiares é realizada levando-se em consideração as especificidades previstas na Lei Federal de 27 de maio de 1996 N 57-FZ “Sobre a Proteção do Estado”.

2. Recursos de processamento categorias especiais os dados pessoais, bem como os dados pessoais biométricos, estão estabelecidos respectivamente nos artigos 10 e 11 desta Lei Federal.

3. O operador tem o direito de confiar o tratamento de dados pessoais a outra pessoa com o consentimento do titular dos dados pessoais, salvo disposição em contrário da lei federal, com base num acordo celebrado com essa pessoa, incluindo um estado ou contrato municipal, seja por adoção pelo Estado ou órgão municipal o ato relevante (doravante denominado ordem do operador). A pessoa que trata dados pessoais em nome da operadora está obrigada a cumprir os princípios e regras de tratamento de dados pessoais previstos nesta Lei Federal. O pedido do operador deve definir uma lista de ações (operações) com dados pessoais que serão realizadas pela pessoa que processa os dados pessoais e as finalidades do processamento, deve ser estabelecida a obrigação de tal pessoa de manter a confidencialidade dos dados pessoais e garantir o a segurança dos dados pessoais durante o seu tratamento, bem como os requisitos para a proteção dos dados pessoais tratados devem ser especificados nos termos do artigo 19 desta Lei Federal.

4. Uma pessoa que processa dados pessoais em nome de um operador não é obrigada a obter o consentimento do titular dos dados pessoais para processar os seus dados pessoais.

5. Se o operador confiar o tratamento de dados pessoais a outra pessoa, o operador é responsável perante o titular dos dados pessoais pelas ações da pessoa especificada. A pessoa que processa dados pessoais em nome do operador é responsável perante o operador.

Não se apresse em fechar o artigo. Você provavelmente se perguntou mentalmente: “O que isso tem a ver comigo?” — Eu respondo, essa lei pode afetar você também, e você pode nem desconfiar disso. Vamos em ordem.

Introdução

Em 7 de fevereiro de 2017, foram introduzidas alterações ao artigo 13.11 do Código de Contra-ordenações relativamente às violações da lei sobre dados pessoais. Estas alterações entrarão em vigor em breve - 1º de julho de 2017.

O que são dados pessoais?

Dados pessoais podem ser entendidos como qualquer informação direta ou indiretamente relacionada a um determinado indivíduo (sujeito dos dados pessoais) - parágrafo 1º do artigo 3º da Lei Federal de 27 de julho de 2006 nº 152-FZ. Exemplos de tais informações podem ser sobrenome, nome, patronímico, data e local de nascimento, local de residência, etc.

O que mudará em 1º de julho de 2017?

Nova Lei Federal de 07/02. 2017 nº 13-FZ ampliou significativamente a lista de motivos para atrair pessoas para responsabilidade administrativa no domínio da protecção de dados pessoais, e também aumentou o montante das multas administrativas.

O interessante é que não será o Ministério Público, como antes, mas sim o Roskomnadzor que emitirá protocolos para violações nesta área. Isso significa que as coisas serão muito mais rápidas e as multas serão enviadas em lotes, senão em pacotes.

O que temos a ver com isso

Provavelmente a maioria dos meus leitores ainda não entende como tudo isso se aplica a eles. Mas a linha aqui é muito tênue; como saber se você é um operador de dados pessoais?

Se, com a ajuda do seu blog, site, portal ou loja online, você receber algum dado pessoal do usuário (quais, veja acima) - então você automaticamente se enquadra nesta lei. Elementar, é possível se cadastrar no seu site digitando seu nome, email, endereço? Parabéns, você já está sob a lei.

Isso se aplica a você se:

Seu site permite que você produza registro de usuário(mesmo com um conjunto mínimo de dados “nome + e-mail”). Exemplos:

• fóruns;
• mídias sociais;
• muitos sites de notícias;
• lojas on-line;
• blogues;
• sites com anúncios privados;
• e assim por diante.

Seu site permite insira dados pessoais de usuários em formulários, que são posteriormente publicados no site ou enviados por e-mail. Por exemplo, se o site tiver a função “me ligue de volta”, a capacidade de enviar um pedido rápido ou assinar uma newsletter, etc.

Seu site apenas já contém dados pessoais reais cidadãos.

Sua empresa (pessoa jurídica ou empreendedor individual) sobre de forma contínua estão envolvidos no processamento de dados pessoais cidadãos. Isso é verdade para:

• a maioria dos escritórios de advocacia;
• absolutamente todos os registradores (no sentido de empresas envolvidas no registro de pessoas jurídicas e empreendedores individuais, alterações, liquidação e assim por diante);
• registrador;
• empresas de contabilidade que prestam serviços de terceirização contábil e gerenciamento de registros de pessoal;
• bancos, organizações de microfinanciamento e outras empresas do setor financeiro que trabalham com dados dos cidadãos;
• instituições médicas;
• lojas, salões de beleza e outras organizações semelhantes com cartões de clube pessoais (isso é especialmente popular entre redes de lojas de cosméticos);
• organizações educacionais e instituições (incluindo aquelas que realizam cursos de curta duração ou formação única);
• Associações de proprietários e sociedades gestoras do sector da habitação e serviços comunitários;
• agências de viagens;
• tribunais de arbitragem;
• e assim por diante.

Sua empresa ativamente trabalha com freelancers(sob um contrato civil).

Sua empresa usa CRM ou sistemas similares.

O que fazer?

Você precisa ser capaz de trabalhar corretamente com dados pessoais.

No mínimo você precisa de:

• obter consentimento por escrito de cada usuário, cliente ou assinante para o processamento, armazenamento e distribuição de dados pessoais;
• publicar informações publicamente disponíveis sobre tudo relacionado aos dados pessoais do usuário;
• Solicite apenas os dados necessários para uma finalidade específica. Por exemplo, você não pode solicitar seu endereço residencial ou informações de passaporte para se inscrever em uma lista de e-mails. e-mail;
• utilizar os dados apenas para os fins especificados nos documentos e sobre os quais a pessoa foi avisada;
• informar, a pedido de uma pessoa, quais dados você possui sobre ela, como e por que são tratados e para quem os transferiu;
• eliminar, mediante solicitação, os dados que são utilizados para envio de informações sobre descontos e promoções;
• armazene bancos de dados em um local seguro, protegendo-os contra hackers e vazamentos;
• treinar funcionários para trabalhar com dados pessoais;

Exceções

Isto não lhe diz respeito nos seguintes casos, uma vez que a Lei Federal “Sobre Dados Pessoais” não se aplica a eles:

1. O tratamento de dados pessoais é realizado por particulares exclusivamente para necessidades pessoais e familiares, mas se os direitos dos titulares dos dados pessoais não forem violados;
2. O processamento de dados pessoais é realizado ao trabalhar com documentos do Fundo de Arquivo da Federação Russa e documentos semelhantes;
3. Os dados pessoais são classificados como informações que constituem segredo de estado;
4. Os dados pessoais referem-se a informações públicas sobre as atividades dos tribunais na Federação Russa.

Infelizmente, não sou advogado nesta área e não posso lhe dar respostas exatas sobre o que exatamente você precisa fazer para se proteger 100%. Pois bem, nem os próprios profissionais conseguem dar respostas inequívocas, pois há muitas nuances e imprecisões, sem falar no fato de a lei não ter entrado em vigor. De qualquer forma, o objetivo do meu post foi justamente alertar que tal “porcaria” existe. Bem, então, como dizem, avisado vale por dois.

Alexei Kondratov
Cofundador e diretor departamento jurídico site de serviço, especialista na área de proteção de dados pessoais, apoio jurídico startups e proteção judicial negócios.

Educação: Faculdade de Direito Pomerânia universidade estadual. Anteriormente, trabalhou como CEO da Iski Online.

Em 1º de julho de 2017, alterações em Código Russo Ofensas administrativas. O valor das penalidades por violações da Lei nº 152-FZ “Sobre a Proteção de Dados Pessoais” aumentou e algumas redações foram alteradas. As novas regras fizeram com que muitos proprietários de sites se preocupassem se seus recursos estavam em conformidade com a lei. Vamos tentar descobrir.

Vamos começar com algumas informações básicas. 152-FZ é a primeira lei moderna sobre dados pessoais na Rússia. Começou a ser desenvolvido em 2000 e entrou em vigor em 27 de julho de 2006. A principal disposição da lei era o consentimento obrigatório de uma pessoa para o processamento de informações sobre ela para qualquer finalidade. Durante o desenvolvimento do 152-FZ, foram introduzidos dois novos termos, que a lei utiliza até hoje: sujeito de dados pessoais e operador de dados pessoais. É fácil adivinhar que o sujeito é uma pessoa cuja identidade pode ser estabelecida a partir de determinadas informações. O operador pode ser pessoa física ou jurídica que tenha acesso aos dados pessoais do titular. Última definiçãoé extremamente importante para nós, então vamos examiná-lo com mais detalhes.

Quem, segundo a Lei 152-FZ, é considerado operador de dados pessoais?

Autoridades estatais e governo municipal, tribunais, educacionais e instituições médicas, empregadores, quaisquer empresas e organizações que prestam serviços pessoais: bancos, escritórios de advocacia, operadoras móveis, empresas de construção, Os recursos da Internet são todos operadores de dados pessoais, uma vez que têm acesso às informações pessoais das pessoas em diversos graus.

Quais dados pessoais do usuário podem estar em seu site?

Na maioria das vezes, os dados pessoais (PD) são entendidos como:

• sobrenome,
• idade,
• local de nascimento,
• foto,
• endereço residencial,
• número de telefone.

Os dados pessoais também incluem informações:

• sobre estado civil,
• visões religiosas, filosóficas e políticas,
• vida íntima,
• estado de saúde.

Dados pessoais anonimizados e informações coletadas automaticamente:

• e-mail,
• Endereço IP,
• geolocalização,
• biscoitos.

Que formas de recolha de dados pessoais existem no site?

• Formulário de inscrição.
• Formulário de pedido.
• Formulário de feedback.
• Botão “Solicitar retorno de chamada”.
• Formulário de inscrição para newsletter por e-mail.

Valores das multas após alterações em 1º de julho de 2017

Número do artigo	Possíveis violações	Valor da multa
Parte 1 do artigo 13.11 do Código de Contra-ordenações	Solicitar digitalizações de documentos aos visitantes do site. Distribuição de SMS e e-mail sem consentimento do cliente. Qualquer desinformação aos utilizadores relativamente à finalidade de introdução de dados num formulário do site.	Para físico pessoas - até 3 tr. Para pessoas jurídicas pessoas - até 50 tr.
Artigo 13.11 Código de Contra-ordenações	Processamento, coleta e armazenamento de quaisquer dados pessoais, incluindo endereços IP e cookies, sem assinatura eletrônica Usuários. Ausência dos documentos “Política de Privacidade” e “Contrato do Usuário” no site. Incumprimento de documentos com requisitos legais, que pode surgir devido a erros de redação. Nenhuma isenção de responsabilidade quando um usuário visita o site pela primeira vez.	Para físico pessoas - até 5 tr. Para pessoas jurídicas pessoas - até 75 tr.
Parte 3 do artigo 13.11 do Código Administrativo	Falta de acesso gratuito à Política de Privacidade para todos os visitantes do site.	Para físico pessoas - até 1,5 tr. Para empreendedores individuais - até 10 tr. Para pessoas jurídicas pessoas - até 30 tr.
Parte 4 do Artigo 13.11 do Código Administrativo	Recusar, ignorar ou mentir em resposta ao pedido de um utilizador para fornecer informações completas sobre como os seus dados pessoais são armazenados e processados.	Para físico pessoas - até 2 tr. Para empreendedores individuais - até 15 tr. Para pessoas jurídicas pessoas - até 40 tr.
Parte 5 do artigo 13.11 do Código Administrativo	Recusa em remover PD do acesso público a pedido do usuário. Outras ações que violem o direito do sujeito de revogar o consentimento para o processamento de DP.	Para físico pessoas - até 2 tr. Para empreendedores individuais - até 20 tr. Para pessoas jurídicas pessoas - até 45 tr.
Parte 6 Artigo 13.11 Código de Contra-ordenações	Ataque de hackers, invasão de banco de dados por terceiros, distribuição de dados pessoais do usuário.	Para físico pessoas - até 2 tr. Para empreendedores individuais - até 20 tr. Para pessoas jurídicas pessoas - até 50 tr.

Ao cometer uma infração penal, a multa é adicionada medidas adicionais penalidades, incluindo bloqueio do recurso e prisão do infrator.

Como é que isso funciona?

Para identificar violações, Roskomnadzor realiza inspeções programadas, não programadas (a pedido dos cidadãos) e documentais (com solicitação de documentos) nos locais. Por exemplo, durante uma inspeção em 2016, a cidade de Tambov escritório de advocacia» multado por postar um formulário de feedback sem documentos de acompanhamento, e no inverno de 2017, vários locais de Astrakhan foram multados por violações semelhantes.

Como evitar multas e bloqueio de sites: 5 passos

1. Transferir bancos de dados para servidores russos. Este é um requisito da Lei N149-FZ “Sobre Informação, tecnologia da Informação e sobre a proteção da informação." A violação da lei pode levar ao bloqueio de um recurso - por exemplo, uma empresa comercial encerrou suas atividades na Rússia rede social LinkedIn.
2. Elaborar dois documentos – “Política de Tratamento de Dados Pessoais” e “Contrato de Utilização”. Observe que a oferta pública substitui o documento de política de privacidade. É extremamente importante que os documentos não contenham erros factuais ou jurídicos. É melhor confiar este trabalho a um advogado profissional. O artigo 9º da lei estabelece que um documento virtual equivale a um documento em no papel, então não documentos físicos não é necessário.
3. Conecte um formulário com consentimento para o tratamento de dados pessoais e uma caixa de seleção obrigatória em todos os campos de coleta de dados pessoais do site.
4. Certifique-se de que a página com a “Política de Tratamento de Dados Pessoais” esteja disponível para leitura por todos os usuários do site.
5. Envie uma notificação em papel e eletrônica para Roskomnadzor no formulário prescrito - ela pode ser encontrada no site do Roskomnadzor. De acordo com o artigo 22.º da lei, este número é obrigatório.

Se você duvida da sua competência jurídica ou simplesmente não quer perder muito tempo com formalidades, existe uma solução mais simples e prática para o problema - o atendimento. Esta é uma solução simples, barata e rápida para o seu site e negócio.

Entre as nossas ofertas, certamente poderá escolher aquela que mais lhe convém. Se não quiser atrasar a solução do problema, você pode fazê-lo agora. Emergindo questões legais pode ser perguntado ligando para nossa equipe de suporte 8 800 100 43 45 ou abaixo no formulário de comentários.