A személyes adatok kezelője Funkciók és felelősségek, jellemzők

2024 Szerző: Howard Calhoun | [email protected]. Utoljára módosítva: 2023-12-17 10:30

Személyes adatkezelő – ki ez? Nem mindenki tudja, hogy ez milyen tevékenység. Eközben a technika korában egyre nagyobb a kereslet. Tehát ki a személyes adatok kezelője? Beszéljünk róla a cikkben. És hogy világosabb legyen, kezdjük egy meghatározással.

Definíció

A személyes adatok kezelője az a természetes vagy jogi személy, valamint önkormányzati vagy állami intézmény, amely személyes adatokat dolgoz fel és fogad, meghatározza a megadott adatok céljait és eljárásait.

Az üzemeltetőnek joga van önállóan dolgozni, vagy harmadik félhez fordulhat segítségért. Ez utóbbiak ebben az esetben is operátornak számítanak.

Mi a személyes adat?

Kitaláltuk, hogy ki dolgoz fel személyes adatokat. Ez a személyes adatok kezelője. De mit értenek személyes adatok alatt? A törvényben nincs olyan lista, amely egyértelműen választ adna erre a kérdésre. Általános szabály, hogy a személyes adatok közé tartoznak az útlevél adatai, az azonosító szám, a szolgálati idő, a helyregisztráció és lakóhely, munkahely, család összetétele, iskolai végzettség. Ritka esetekben ez az ellátásokra vagy az egészségi állapotra vonatkozó adatokat is tartalmazhat.

Valójában a személyes adatok kezelője olyan intézmény, amely személyes adatokat fogad el egy személytől. Még ha csak útlevéladatokról van szó, a szervezet továbbra is a személyes adatok kezelőjének minősül.

Az ilyen operátorokra a leghíresebb példák hozhatók. Ezek olyan bankok, amelyek az ügyfelekkel és az adófizetőkkel, utazási irodákkal kapcsolatos információkkal dolgoznak. Ide tartoznak azok az oldalak is, amelyek regisztrációhoz szükségesek az előfizető adatait, valamint a kedvezménykártyákat kibocsátó üzletek. A listán szerepelnek olyan klinikák is, amelyek hozzáférnek az orvosi kártyákhoz. Ez nem egy végleges lista, egyszerűen lehetetlen felsorolni az összes szervezetet és intézményt, amelyek személyes adatokat dolgoznak fel.

Hol található az információ

Természetesen valahol ilyen mennyiségű információnak tartalmaznia kell. Emiatt bevezették a személyes adatok kezelőinek nyilvántartását. Ez a Roskomnadzor sajátos bázisa, amely minden üzemeltetőnek minősülő jogi személyt és magánszemélyt tükröz.

Az adatbázisba való felvételhez elegendő önállóan nyilatkozni a Roszkomnadzor hatóságainál írásos kérelem benyújtásával vagy e-mail küldésével. És a vállalkozás fejléces papírján is értesítheti a hatóságokat. Ezt az eljárást az orosz távközlési és tömegkommunikációs minisztérium 2011. évi rendelete ismertette részletesen.

Mivel minden üzemeltető szerepel a személyes adatok üzemeltetőinek nyilvántartásában, kötelesek minden változásról értesíteni a Roskomnadzort,amelyek a személyes adatokkal végzett műveletekhez, azok feldolgozásához kapcsolódnak. Ez utóbbi pedig ellenőrzi a kezelők munkáját, és időszakonként ellenőrzéseket végez.

A Roszkomnadzor személyes adatok kezelőinek listája mindenki számára elérhető, megtekinthető a szolgáltatás hivatalos honlapján.

A hatóság egyébként nem tagadhatja meg jogi vagy természetes személy nyilvántartásba vételét. Ha ez megtörténik, akkor a szolgáltatás megsérti a törvényt, ami azt jelenti, hogy bírságot szabnak ki a Roskomnadzorra. Ez utóbbi összege elérheti az ötszázezer rubelt.

Üzemeltetők kötelezettségei

Mint minden tevékenységhez, a személyes adatokkal végzett munkához is kötelezettségek és jogok vonatkoznak. Vegye figyelembe a személyes adatok kezelőinek felelősségét.

A Roskomnadzor köteles értesíteni a szolgálatot, ha megkezdte az információfeldolgozást. Ezt a kötelezettséget a személyes adatokról szóló törvény 22. cikkével összhangban írják elő. Az értesítésnek a következő információkat kell tartalmaznia:

1. Üzemeltető címe, neve vagy keresztneve, vezetékneve, családneve.
2. A személyes adatok feldolgozásának alapja.
3. Személyes adatok kategória.
4. Annak az alanynak a kategóriája, akinek személyes adatait kezelni kívánjuk.
5. Hivatkozás az információk feldolgozását lehetővé tevő szabályozási dokumentumokhoz.
6. Az üzemeltető által a személyes adatok feldolgozásakor végrehajtandó műveletek listája, valamint a folyamat során alkalmazott módszerek leírása.
7. Intézkedések az információk védelmére.
8. Jogi személy nevea feldolgozási folyamat megszervezéséért felelős személy személye vagy neve, vezetékneve és családneve. Ezenkívül meg kell adni a kapcsolattartási telefonszámokat, e-mail címet és postai címet.
9. Az adatfeldolgozás kezdetének dátuma.
10. A feldolgozás feltételei és a megszüntetés feltételei.
11. Információ arról, hogy van-e határokon átnyúló adatátvitel a feldolgozás időpontjában.
12. Információ arról, hogy hol található az adatbázis, amely hazánk állampolgárainak személyes adatait tartalmazza.
13. Adatok az információbiztonságról és arról, hogy az megfelel-e az országunk kormánya által támasztott követelményeknek.

Ez nem jelenti azt, hogy a személyes adatok feldolgozóinak minden esetben értesíteniük kell a Roskomnadzort. Van, amikor erre egyáltalán nincs szükség. Például nincs szükség értesítésre, ha a munkáltató az alkalmazottaira vonatkozó információkat dolgoz fel. Ide tartozik az a helyzet is, amikor valamire szerződést kötnek az ügyféllel. Ebben az esetben a szabály csak addig működik, amíg az információt az ügyfél beleegyezése nélkül nem adják át harmadik félnek. Nem kell figyelmeztetést írni azoknak, akik egyszeri belépőt adnak ki valamilyen területre, feldolgozzák a szabadon elérhető adatokat, csak a személy kereszt-, vezeték- és apanevét használják.

A Roskomnadzor személyes adatok kezelőinek nyilvántartása kötelezettséget ír elő a személyes adatok bizalmas kezelésének biztosítására. Vagyis lehetetlen egy személyről információt terjeszteni az ő beleegyezése nélkül. aztaz egyik fő követelmény az operátorokkal szemben.

Munkáltatók kötelezettségei

Vannak olyan pontok, amelyeket a munkáltatóknak be kell tartaniuk az adatátvitel során:

1. Ne adjon ki egy alkalmazottra vonatkozó információt harmadik félnek az ő beleegyezése nélkül. Fontos megjegyezni, hogy a hozzájárulást írásban kell megadni. Ez azonban nem vonatkozik azokra a helyzetekre, amikor az információ hangoztatása segít megelőzni a munkavállaló egészségét és életét fenyegető veszélyt, vagy adatot kell átadni a kormányzati szerveknek. Ez utóbbiak közé tartozik a Nyugdíjalap, a bűnüldöző szervek, a Szövetségi Igazságügyi Szolgálat, a katonai biztosok, az ügyészség és más szervek.
2. Figyelmeztesse azokat a személyeket, akik személyes adatokat kapnak, hogy azok csak a rendeltetésszerűen használhatók fel. A munkáltatónak egyébként minden joga megvan ahhoz, hogy igazolást kérjen a szabály betartásáról.
3. Személyes adatok átvitele csak egy vállalkozáson vagy egy vállalkozón belül. Ennek egy olyan belső dokumentumnak megfelelően kell történnie, amelyet a munkavállaló tanulmányozott és aláírt.
4. Csak arra jogosult személyek kezelhetik a személyes adatokat. Ez nem jelenti azt, hogy ezek az emberek bármilyen információt kérhetnek, csak azokat az adatokat jogosultak felhasználni, amelyek bizonyos feladatok elvégzéséhez szükségesek.
5. Ne érintse meg a munkavállaló egészségét, ha ez nem érinti közvetlen munkavégzési feladatait.
6. A munkavállalók képviselője által kapott információkat csak arra korlátozza, amelyek a képviselő által meghatározott funkciók ellátásához szükségesek.

Ezeket a normákat a „Személyes adatokról szóló törvény” és a Munka Törvénykönyve néhány cikke határozza meg. Térjünk vissza a Roskomnadzor személyesadat-kezelőinek nyilvántartásához és feladataikhoz.

Egyéb feladatok

A fentebb már említettük, hogy mit kell tenniük az üzemeltetőknek. Térjünk vissza ehhez a kérdéshez.

Az üzemeltetőknek lépéseket kell tenniük a személyes adatok biztonsága érdekében. E célból a társaság kiválaszt egy személyt, aki felelős a személyes adatok kezelésének megszervezéséért. Ennek a személynek ellenőriznie kell a személyes adatok kezelőjének feladatainak ellátását, az információfelhasználás biztonságára vonatkozó követelményeinek betartását. Ugyanazon személy köteles az adatkezelésben érintett munkavállalókat megismertetni a személyes adatokról szóló törvény új módosításaival, valamint az adatkezeléssel kapcsolatos belső aktusokkal. Feladata továbbá az olyan személyektől érkező fellebbezések és kérelmek feldolgozásának megszervezése, akiknek adatait kezelik, valamint ezen fellebbezések fogadása. Az eligazításon túl szükség van a műszaki biztonsági berendezések használatának figyelemmel kísérésére, és olyan dokumentumok kiadására, amelyek szabályozzák a cég politikáját ebben a kérdésben.

A személyes adatok kezelőjének szabályzatát illetően nyilvánosnak kell lennie. Ehhez a dokumentumot feltesszük az üzemeltető weboldalára, és mindenki, akinek szüksége van rá, megismerkedhet vele. Ha az oldal nem elérhető, akkor a szükséges információkkal ellátott állványt úgy helyezheti el, hogy a szervezet minden ügyfele és látogatója megismerkedhessen vele.

Fontos ezt megjegyezniazon személyes adatkezelők számára, akiknek az iratait az interneten keresztül kérik, a lehetőség csak a honlapon történő közzététellel lehetséges. A Roszkomnadzor honlapján tájékozódhat az üzemeltető szabályzatáról.

Gyakran felcserélődnek a fogalmak a vállalkozás politikájával és a személyes adatok tárolására, védelmére és feldolgozására vonatkozó rendelkezésekkel kapcsolatban. Az utolsó dokumentum belső aktusnak minősül, így azt csak a vállalkozás alkalmazottai ismerik meg, majd aláírják.

Az üzemeltető másik felelőssége, hogy megfeleljen az országunk állampolgárai személyes adatainak lokalizálására vonatkozó követelményeknek. Tény, hogy 2015 óta minden üzemeltető a személyes adatok gyűjtése során köteles azokat a hazánkban található adatbázisok segítségével feldolgozni. A törvény elfogadása után sok volt a félreértés, de idővel megoldódtak. Ma már biztosan ismert, hogy például a személyes adatok kommunikáció útján kezelői kötelesek információs adatbázisokat használni.

Az utolsó kötelesség a személyes adatok feldolgozásának időben történő leállítása. Ha az információt felhasználták, és az a személy, akinek az adatait feldolgozták, úgy dönt, hogy visszavonja az adatkezeléshez való hozzájárulását, akkor az üzemeltető köteles az adatkezelést leállítani és egy hónapon belül törölni. Fontos megérteni, hogy a szerződésben eltérő kifejezés is szerepelhet, ezért olyan fontos a dokumentumok elolvasása.

Üzemeltetői jogok

A kötelességek mellett az üzemeltetőknek saját jogaik is vannak. Igaz, kevesen vannak, de ennek ellenére nem szabad megfeledkezni róluk. A személyes adatok kezelőinek listája csak az utóbbit tartalmazzajoga van tájékoztatást kapni a jogszabályi változásokról, ha azok személyes adatokra vonatkoznak.

Ki szerepel az adatbázisban

Fentebb már elmondtuk, hogy nem kell mindenkit felvenni a személyes adatokat kezelők nyilvántartásába. Kinek kell benyújtania az értesítést?

1. Internetes források. Ide tartoznak a portálok, közösségi hálózatok, fórumok, mert a regisztrációhoz személyes adatok szükségesek, bár egy kicsit.
2. Online vásárlás. Erre azért van szükségük, mert a vásárlók megrendeléskor meghagynak egy telefonszámot a visszahíváshoz vagy a postacímet.
3. Olyan webhelyek, amelyek a témával kapcsolatos információkat tesznek közzé vagy e-mailben küldik el. Ide sorolhatja azokat a webhelyeket is, amelyek már tartalmaznak személyes adatokat.
4. A folyamatosan adatfeldolgozást végző szervezetek, cégek vagy vállalkozók. Ezek a számviteli és jogi irodák, utazási irodák, lakás- és kommunális szolgáltatások, anyakönyvvezetők, anyakönyvvezetők, egészségügyi intézmények és bankok, oktatási intézmények, szolgáltatásokat nyújtó és klubkártyákat kibocsátó cégek.
5. Olyan szervezetek, amelyek polgári jogi szerződések alapján dolgoznak szabadúszókkal.
6. CRM-rendszert használó cégek.

Figyelem! A Roszkomnadzor blokkolhat egy internetes forrást, ha az utóbbi megsérti az adatfeldolgozásra vonatkozó törvényt.

Munkáltató – operátor vagy sem?

Már jeleztük, hogy mindenkinek módosítania kell a személyes adatok kezelőinek nyilvántartását, de a munkáltatókkal kapcsolatban továbbra is eltérőek a vélemények. Hogyanfőszabály szerint személyes adatkezelőnek minősülnek, de vannak kivételek. Ilyenek például azok a vezetők, akik csak azért tárolnak és gyűjtenek információkat, hogy a törvénynek megfelelően munkaszerződést vagy belső rendet hozzanak létre.

Aki nem számít operátornak

A személyes adatok kezelőjének regisztrációja nem minden ember és szervezet számára szükséges. Ki tud nélküle?

1. Telefontársaságok, amelyek az előfizetői adatokat csak kommunikációs szolgáltatások nyújtására használják fel.
2. Vallási és társadalmi szervezetek, amelyek a tagokról szóló személyes adatokat csak az alapító okiratban meghatározott célokra használják fel.
3. Intézmények és magánszemélyek, akik az alany által saját maguk által nyilvánosságra hozott adatokat használják.
4. Egyszeri bérletet kiállító vállalatok.
5. A közrend védelmére és fenntartására tervezett nyilvános adatrendszerek.
6. Az adatokat automatizált rendszerek nélkül feldolgozó szervezetek.
7. Közlekedési vállalatok, amelyek információt kapnak az utazási jegyek kiállításához.

Fontos megérteni, hogy a Roskomnadzor számára nem számít, hogy egy szervezet vagy személy szerepel-e a személyes adatokat feldolgozó üzemeltetők nyilvántartásában vagy sem. A szolgálatnak jogában áll bármely intézményben ellenőrző látogatást tenni. Vagyis a személyes adatok védelmére vonatkozó követelmények be nem tartásáért még azok is felelősségre vonhatók, akik jogilag nem minősülnek üzemeltetőnek.

Hogyan szerezhetem meg a személyes adatok feldolgozásának jogát

A személyes adatok továbbításának és tárolásának biztonsága érdekében engedélyezési és tanúsítási eljárást fejlesztettek ki az adatokat tároló és gyűjtő szervezetek számára.

A jogosítvány megszerzéséhez nem elég az alkalmazottakat képzésre küldeni, technikai védelmi eszközöket is meg kell vásárolni. Az engedély megszerzése több lépésben történik:

1. Értesítés küldése a személyes adatok feldolgozóinak nyilvántartásába a meglévő adatkezelési szándékról.
2. A vállalkozás rendelkezésére álló információs rendszerek előzetes felmérésének teljesítése.
3. Védelmi rendszer tervezése az automatizálás és a számítástechnikai berendezések infrastruktúrájának figyelembevételével.
4. Védőfelszerelések beszerzése és kivitelezése.
5. A helyiségek összhangba hozása a biztonsági, tűzvédelmi, áramellátási követelményekkel.
6. Alkalmazottak képzése vagy készségeik fejlesztése a személyes adatok védelme terén, utólagos tanúsítással.

Ha minden pont teljesül, akkor a személyes adatok tárolása és védelme hatékony lesz.

Fontos megérteni, hogy minden pont az információk elektronikus formában történő feldolgozására vonatkozik, bár ez a módszer nem nevezhető biztonságosnak a tárolt adatok esetében.

Üzemeltetők tevékenységének ellenőrzése

A személyes adatokat feldolgozó üzemeltetőt a Roskomnadzor időszakonként ellenőrzésnek veti alá. Ez utóbbi kivitelezhető terv szerint, vagy az üzemeltető jogsértő cselekményét elszenvedő személy panasza alapján.

A személyes adatok kezeléséről szóló törvény betartásának ellenőrzése három részleg:

1. Roskomnadzor. Megfelelőségi ellenőrzéseket végez, és az ellenőrzések lefolytatásáért is felelős.
2. Szövetségi Export- és Műszaki Ellenőrzési Szolgálat. Ez a szolgáltatás védi a szervezeten belüli számítógépeken található adatokat és azok átviteli csatornáit. Ez utóbbi csak akkor fordul elő, ha az információ nincs titkosítva.
3. Szövetségi Biztonsági Szolgálat. Felügyeli a személyes adatok továbbításának és feldolgozásának titkosítási eszközeit. Ő is fejleszti és forgalmazza ezeket a termékeket.

Ellenőrizheti, hogy melyik szervezethez tartozik ez vagy az a kezelő. Ehhez nyissa meg a Roskomnadzor webhelyét, és keresse meg az üzemeltetők nyilvántartását.

Az információk megtekintéséhez csak a cég regisztrációs számát vagy nevét kell megadnia. Az adóazonosító szám is működni fog.

Azt is megtudhatja, hogy mennyire jogosan kérték az információt. Ha a cég nem szerepel a listán, akkor kapcsolatba léphet a Roskomnadzorral. Vagy felveszi a nyilvántartásba, vagy megtiltja a személyes adatok gyűjtésére irányuló illegális tevékenységeket.

Az ellenőrzésre állampolgárok fellebbezése alapján, vagy egy osztályos szerv, például az ügyészség kezdeményezésére kerül sor. A személyes adatok kezelésének és tárolásának megsértéséért felelősséget vállalunk. A büntetés lehet adminisztratív, büntető vagy fegyelmi, minden attól függ, hogy mennyire súlyos a jogsértés.

Hogy vagybiztonságos?

Elméletileg az ilyen problémák elkerülése érdekében a polgároknak azt tanácsolják, hogy a személyes adatok feldolgozásához való hozzájárulásuk megadása előtt ellenőrizze, hogy a szervezet szerepel-e a megfelelő listán.

Valójában az emberek ritkán csinálják ezt, már csak azért is, mert a legtöbb ember nem is tud egy ilyen nyilvántartás létezéséről.

Különösen érdemes megnézni azokat a kis szervezeteket, amelyekben nem mindig vannak megfelelő feltételek az információfeldolgozáshoz. Ha gyanú merül fel ezzel kapcsolatban, nem szükséges a beleegyezés. Hadd utasítsanak vissza egy helyen, de találsz megfelelőbb szervezetet, és nem lesz gond.

Adat alanyi jogok

Annak ellenére, hogy minden üzemeltetőnek megvan a saját személyes adataira vonatkozó szabályzata, ez nem ütközhet a törvénybe. Vagyis tiszteletben kell tartani azoknak az embereknek minden jogát, akik személyes adatokat adnak meg magukról.

Az alapvető jogok közé tartozik:

1. A saját információihoz való hozzáférés joga. Vagyis az embernek joga van tudni, hogy ki, milyen célból kezeli az adatait, és ki fogja látni az információkat. Egy személy kérheti az adatok pontosítását, letilthatja vagy teljesen törölheti azokat. Az adatokhoz való hozzáféréshez kérelmet kell benyújtania az üzemeltetőhöz. Ezt maga az alany és képviselője is megteheti. Ennek a jognak is vannak korlátozásai, például, ha az adat érinti az állam biztonságát, sérti az alkotmányos szabadságjogokat és harmadik személyek jogait, vagy beavatkozik az operatív keresési tevékenységbe.
2. A személyes adatok feldolgozásának joga áruk, szolgáltatások vagy alkotások piaci promóciója vagy politikai kampány céljára. Adatkezelésre csak akkor kerül sor, ha ahhoz az érintett hozzájárul. Ellentmondás esetén úgy kell tekinteni, hogy az adatkezelés az ügyfél hozzájárulása nélkül történt, kivéve, ha az üzemeltető ennek ellenkezőjét bizonyítani tudta. Amint az érintett az adatkezelés leállítását kéri, az üzemeltető köteles ezt megtenni.
3. Az alany joga a személyes adatok automatizált feldolgozásán alapuló döntéshozatalhoz. Törvény tiltja az adatkezelést az érintett írásbeli hozzájárulása nélkül, kizárólag automatizált adatkezelés alapján. A kivételeket a szövetségi törvény írja elő.
4. Jog fellebbezni az üzemeltető mulasztása vagy intézkedése ellen. A személynek joga van a személyes adatok alanyainak jogainak védelme érdekében a felhatalmazott szervhez vagy bírósághoz fordulni. Az ilyen kezelésnek azonban indokoltnak kell lennie, például a jogok megsértése vagy az adatok helytelen kezelése.

Az alany kártérítést vagy anyagi kártérítést is kérhet a bíróságon.

Következtetés

Amint látja, ez a kérdés erősen szabályozott. Hiszen éppen a személyes adatok ellenőrizetlen átvétele miatt válnak országunk polgárai csalók és egyszerűen tisztességtelen emberek áldozataivá. Az állam a lehetőségekhez mérten igyekszik szigorítani a követelményeket, hogy legalább valahogy garantálni tudja az adatok tárolásának biztonságát.

Különféle védelmi rendszereket fejlesztenek ki, vállalkozásokcsak azért kapnak tanúsítványt és engedélyt, hogy megkönnyítsék az átlagpolgárok életét.

Azonban az embereknek sem szabad tétlenkedniük. Hiszen rajtunk múlik a saját jólétünk. A cikkben leírtuk, hogyan ellenőrizheti, hogy egy szervezet szerepel-e a nyilvántartásban vagy sem. Használja ezeket az információkat, ne járuljon hozzá kétes intézmények adatkezeléséhez, és akkor nem kell bizonyítania, hogy megsértették jogait. Legtöbbünk gondja a figyelmetlenségből adódik, és mindez azért, mert nem szokták elolvasni a dokumentumokat aláírás előtt. Közben ezt a bölcsőtől kezdve meg kell tanítani, valamint gondoskodni kell a gyermek jogi ismereteiről. Minél hamarabb kezdjük felkészíteni a gyerekeket a felnőttkorra, annál könnyebb dolguk lesz.