L'opérateur de données personnelles est Fonctions et responsabilités, caractéristiques

2024 Auteur: Howard Calhoun | [email protected]. Dernière modifié: 2023-12-17 10:27

Opérateur de données personnelles - qui est-ce ? Tout le monde ne sait pas de quel type d'activité il s'agit. Pendant ce temps, à l'ère de la technologie, il est de plus en plus demandé. Alors, qui est l'opérateur des données personnelles ? Parlons-en dans l'article. Et pour que ce soit plus clair, commençons par une définition.

Définition

Un opérateur de données personnelles est une personne physique ou morale, ainsi qu'une institution municipale ou étatique qui traite et reçoit des informations personnelles, détermine les finalités et les procédures des données fournies.

L'opérateur a le droit de travailler de manière autonome ou peut se tourner vers des tiers pour obtenir de l'aide. Ces derniers sont également considérés comme des opérateurs dans ce cas.

Qu'est-ce que les données personnelles

Nous avons découvert qui traite les informations personnelles. C'est l'opérateur de données personnelles. Mais qu'entend-on par données personnelles ? La loi n'a pas de liste qui répondrait clairement à cette question. En règle générale, les informations personnelles comprennent les données de passeport, le numéro d'identification, l'ancienneté, le lieuenregistrement et résidence, lieu de travail, composition de la famille, éducation. Dans de rares cas, cela peut inclure des données sur les avantages ou l'état de santé.

En fait, un opérateur de données personnelles est une institution qui accepte les informations personnelles d'une personne. Même s'il ne s'agit que de données de passeport, l'organisation est toujours considérée comme l'opérateur des données personnelles.

Les exemples les plus célèbres de tels opérateurs peuvent être donnés. Ce sont des banques qui travaillent avec des clients et des informations sur les contribuables, les agences de voyages. Cela inclut également les sites qui nécessitent des informations sur l'abonné pour l'enregistrement, les magasins où les cartes de réduction sont émises. La liste comprend également les cliniques qui ont accès aux cartes médicales. Il ne s'agit pas d'une liste définitive, il est tout simplement impossible d'énumérer toutes les organisations et institutions qui traitent des informations personnelles.

Où se trouve l'information

Naturellement, un tel volume d'informations doit être contenu quelque part. Pour cette raison, un registre des opérateurs de données personnelles a été introduit. Il s'agit d'une base spécifique de Roskomnadzor, qui reflète toutes les personnes morales et physiques considérées comme des opérateurs.

Pour être inclus dans la base de données, il suffit de déclarer indépendamment aux autorités de Roskomnadzor en soumettant une demande écrite ou en envoyant un e-mail. Et vous pouvez également informer les autorités sur le papier à en-tête de l'entreprise. Cette procédure a été décrite en détail dans l'ordonnance du ministère russe des télécommunications et des communications de masse de 2011.

Étant donné que tous les opérateurs sont inclus dans le registre des opérateurs de données personnelles, ils sont tenus d'informer Roskomnadzor de tous les changements,qui concernent les opérations avec des informations personnelles, leur traitement. Ce dernier, à son tour, contrôle le travail des opérateurs et procède périodiquement à des contrôles.

La liste des opérateurs de données personnelles de Roskomnadzor est accessible à tous, elle peut être consultée sur le site officiel du service.

D'ailleurs, l'autorité ne peut pas refuser d'inscrire au registre d'une personne morale ou physique. Si cela se produit, le service enfreint la loi, ce qui signifie qu'une amende est infligée à Roskomnadzor. Le montant de ce dernier peut atteindre cinq cent mille roubles.

Obligations des opérateurs

Comme pour toute activité, travailler avec des informations personnelles est soumis à des obligations et à des droits. Tenez compte des responsabilités des opérateurs de données personnelles.

Roskomnadzor s'engage à informer le service qu'il a commencé à traiter les informations. Cette obligation est imposée conformément à l'article 22 de la loi "sur les données personnelles". L'avis doit contenir les informations suivantes:

1. Adresse, nom ou prénom, nom, patronyme de l'opérateur.
2. Base pour le traitement des informations personnelles.
3. Catégorie d'informations personnelles.
4. Catégorie du sujet dont les données personnelles doivent être traitées.
5. Lien vers les documents réglementaires permettant le traitement des informations.
6. Liste des actions que l'opérateur effectuera pour le traitement des données personnelles, ainsi qu'une description des méthodes qu'il utilisera dans le processus.
7. Mesures prises pour protéger les informations.
8. Nom de la personne moralela personne ou le nom, prénom et patronyme de la personne responsable de l'organisation du processus de traitement. En outre, les numéros de téléphone, l'adresse e-mail et l'adresse postale doivent être fournis.
9. Date à partir de laquelle le traitement des données commence.
10. Modalités de traitement et conditions dans lesquelles il est résilié.
11. Information indiquant s'il y a ou non un transfert de données transfrontalier au moment du traitement.
12. Informations sur l'emplacement de la base de données, qui contient les informations personnelles des citoyens de notre pays.
13. Données sur la sécurité des informations et si elles répondent aux exigences fixées par le gouvernement de notre pays.

Cela ne signifie pas que dans n'importe quelle situation, les opérateurs de traitement de données personnelles doivent notifier Roskomnadzor. Il y a des moments où ce n'est pas du tout nécessaire. Par exemple, il n'y a pas besoin de notification si un employeur traite des informations sur ses employés. Cela inclut également la situation où un contrat est conclu avec un client pour quelque chose. Dans ce cas, la règle ne fonctionne que tant que les informations ne sont pas fournies à des tiers sans le consentement du client. Il n'est pas nécessaire d'écrire un avis à ceux qui délivrent un laissez-passer unique pour un territoire, traitent les données librement disponibles, n'utilisent que le prénom, le nom et le patronyme d'une personne.

Le registre des opérateurs de données personnelles de Roskomnadzor impose une obligation sous la forme d'assurer la confidentialité des informations personnelles. Autrement dit, il est impossible de diffuser des informations sur une personne sans son consentement. cel'une des principales exigences pour les opérateurs.

Obligations des employeurs

Il y a des points que les employeurs doivent respecter lors du transfert de données:

1. Ne divulguez pas d'informations sur un employé à des tiers sans son consentement. Il est important de se rappeler que le consentement doit être donné par écrit. Mais cela ne s'applique pas aux situations où l'expression d'informations aide à prévenir une menace pour la santé et la vie d'un employé ou est nécessaire pour transférer des données aux services gouvernementaux. Ces derniers comprennent la Caisse de pensions, les forces de l'ordre, le Service judiciaire fédéral, les commissariats militaires, le bureau du procureur et d'autres organes.
2. Avertissez les personnes qui reçoivent des informations personnelles qu'elles ne peuvent être utilisées qu'aux fins prévues. Soit dit en passant, l'employeur a parfaitement le droit d'exiger la confirmation du respect de cette règle.
3. Transférer des données personnelles au sein d'une seule entreprise ou d'un seul entrepreneur. Cela devrait avoir lieu conformément à un document interne que l'employé a étudié et signé en dessous.
4. Autoriser uniquement les personnes autorisées à traiter les informations personnelles. Cela ne signifie pas que ces personnes peuvent demander des informations, elles ont le droit d'utiliser uniquement les données nécessaires à l'exécution de certaines tâches.
5. Ne touchez pas à la santé d'un employé si cela n'affecte pas ses tâches directes.
6. Limiter les informations qu'un représentant des employés reçoit uniquement à ce qui est nécessaire pour exécuter les fonctions spécifiées par le représentant.

Toutes ces normes sont définies par la loi "sur les données personnelles" et certains articles du code du travail. Revenons au registre des opérateurs de données personnelles de Roskomnadzor et à leurs devoirs.

Autres tâches

Nous avons déjà mentionné ci-dessus ce que les opérateurs doivent faire. Revenons à ce problème.

Les opérateurs sont tenus de prendre des mesures pour assurer la sécurité des informations personnelles. A cet effet, la société sélectionne une personne chargée d'organiser le traitement des données personnelles. Cette personne doit contrôler l'exécution des tâches par l'opérateur de données personnelles, le respect des exigences de ce dernier en matière de sécurité d'utilisation des informations. La même personne est tenue d'informer les employés impliqués dans le traitement des nouveaux amendements à la loi "sur les données personnelles", ainsi que des actes internes sur les questions de traitement. Il est également chargé d'organiser le traitement des recours et demandes des personnes dont les données font l'objet d'un traitement, ainsi que la réception de ces recours. Outre le briefing, il est nécessaire de surveiller l'utilisation des équipements techniques de sécurité et de publier des documents qui régissent la politique de l'entreprise en la matière.

Quant à la politique de l'opérateur de données personnelles, elle devrait être publique. Pour ce faire, le document est publié sur le site Web de l'opérateur et toute personne qui en a besoin peut s'y familiariser. Si le site n'est pas disponible, vous pouvez installer un stand avec les informations nécessaires dans un endroit tel que tous les clients et visiteurs de l'organisation puissent s'y familiariser.

Il est important de se rappeler que pourpour les opérateurs de données personnelles dont les documents sont demandés via Internet, l'option n'est possible qu'avec la publication sur le site Web. Sur le site Web de Roskomnadzor, vous pouvez trouver des informations sur la politique de l'opérateur.

Souvent, il y a une substitution de concepts sur la politique de l'entreprise et les dispositions sur le stockage, la protection et le traitement des informations personnelles. Le dernier document est considéré comme un acte interne, de sorte que seuls les employés de l'entreprise en prennent connaissance, après quoi ils le signent.

Une autre responsabilité de l'opérateur est de se conformer aux exigences de localisation des informations personnelles des citoyens de notre pays. Le fait est que depuis 2015, tous les opérateurs, lors de la collecte d'informations personnelles, sont tenus de les traiter à l'aide de bases de données situées dans notre pays. Dès que la loi a été adoptée, il y avait beaucoup d'ambiguïtés, mais avec le temps, elles ont été résolues. Maintenant, on sait avec certitude que, par exemple, les opérateurs de données personnelles par communication sont obligés d'utiliser des bases de données d'informations.

Le dernier devoir est la nécessité d'arrêter le traitement des informations personnelles à temps. Si les informations ont été utilisées et que la personne dont les données ont été traitées décide de retirer son consentement au traitement, l'opérateur doit alors cesser de traiter les données et les supprimer dans un délai d'un mois. Il est important de comprendre qu'un terme différent peut être spécifié dans l'accord, c'est pourquoi il est si important de lire les documents.

Droits d'opérateur

Outre les devoirs, les opérateurs ont leurs propres droits. Certes, ils sont peu nombreux, mais néanmoins, il ne faut pas les oublier. La liste des opérateurs de données personnelles ne donne à ces derniers qu'un seulle droit de recevoir des informations sur les modifications de la loi si elles concernent des données personnelles.

Qui est inclus dans la base de données

Nous avons déjà dit plus haut que tout le monde n'a pas besoin d'être inscrit au registre des opérateurs de données personnelles. Qui doit déposer la notification ?

1. Ressources Internet. Cela inclut les portails, les réseaux sociaux, les forums, car l'inscription nécessite des données personnelles, bien qu'un peu.
2. Achats en ligne. Ils en ont besoin car les acheteurs laissent un numéro de téléphone pour un rappel ou une adresse postale lors de la commande.
3. Sites qui publient des informations sur le sujet ou les envoient par e-mail. Et ici aussi, vous pouvez inclure les sites qui contiennent déjà des informations personnelles.
4. Organisations, entreprises ou entrepreneurs qui traitent constamment des données. Il s'agit de bureaux comptables et juridiques, d'agences de voyages, de logements et de services communaux, de registraires, d'établissements médicaux et de banques, d'établissements d'enseignement, d'entreprises qui fournissent des services et émettent des cartes de club.
5. Organisations qui travaillent sous contrat de droit civil avec des indépendants.
6. Entreprises qui utilisent des systèmes CRM.

Attention ! Roskomnadzor peut bloquer une ressource Internet si celle-ci enfreint la loi dans le domaine du traitement des données.

Employeur - opérateur ou pas ?

Nous avons déjà indiqué que tout le monde devrait apporter des modifications au registre des opérateurs de données personnelles, mais les avis sur les employeurs sont encore différents. Commenten règle générale, ils sont classés comme opérateurs de données personnelles, mais il existe des exceptions. Ce sont par exemple ces managers qui stockent et collectent des informations uniquement dans le but de rédiger un contrat de travail ou un ordre interne conformément à la loi.

Qui n'est pas considéré comme un opérateur

L'enregistrement d'un opérateur de données personnelles n'est pas nécessaire pour toutes les personnes et organisations. Qui peut s'en passer ?

1. Les compagnies de téléphone qui utilisent les données des abonnés uniquement pour fournir des services de communication.
2. Organisations religieuses et sociales qui utilisent les informations personnelles de leurs membres uniquement aux fins spécifiées dans les documents fondateurs.
3. Institutions et individus qui utilisent les données que le sujet a auto-divulguées.
4. Entreprises qui délivrent des laissez-passer uniques.
5. Systèmes de données publiques conçus pour protéger et maintenir l'ordre public.
6. Organisations traitant des données sans systèmes automatisés.
7. Entreprises de transport qui reçoivent des informations pour l'émission de titres de transport.

Il est important de comprendre que pour Roskomnadzor, peu importe qu'une organisation ou une personne soit inscrite ou non au registre des opérateurs traitant des données personnelles. Le service a le droit d'effectuer une visite d'inspection dans n'importe quelle institution. Autrement dit, même ceux qui ne sont pas légalement considérés comme des opérateurs peuvent être tenus responsables du non-respect des exigences en matière de protection des données personnelles.

Comment obtenir le droit de traiter des informations personnelles

Pour assurer la sécurité de la transmission et du stockage des informations personnelles, un processus de licence et de certification a été développé pour les organisations qui stockent et collectent des données.

Pour obtenir une licence, il ne suffit pas d'envoyer des salariés en formation, il faut aussi acheter des moyens techniques de protection. L'obtention d'une licence se déroule en plusieurs étapes:

1. Envoi d'une notification au registre des opérateurs de traitement de données personnelles concernant l'intention de traitement existante.
2. Réussir une étude préalable des systèmes d'information à disposition de l'entreprise.
3. Concevoir un système de protection en tenant compte de l'infrastructure des automatismes et des équipements informatiques.
4. Acquisition et mise en place d'équipements de protection.
5. Mettre les lieux en conformité avec les exigences de sécurité, de sécurité incendie, d'alimentation électrique.
6. Former les employés ou améliorer leurs compétences dans le domaine de la protection des données personnelles avec une certification ultérieure.

Si tous les points sont remplis, le stockage et la protection des informations personnelles seront efficaces.

Il est important de comprendre que tous les points concernent le traitement des informations sous forme électronique, bien que cette méthode ne puisse pas être qualifiée de sûre pour les données stockées.

Vérifier les activités des opérateurs

L'opérateur qui traite les données personnelles est périodiquement soumis à une inspection par Roskomnadzor. Ce dernier peut être effectué selon le plan, ou il peut être basé sur la plainte de la personne qui a souffert des actions illégales de l'opérateur.

Contrôle du respect de la loi sur le traitement des données personnelles trois départements:

1. Roskomnadzor. Il effectue les contrôles de conformité et est également responsable de la conduite des contrôles.
2. Service fédéral d'exportation et de contrôle technique. Ce service protège les données qui se trouvent dans les ordinateurs de l'organisation et leurs canaux de transmission. Ce dernier ne se produit que lorsque les informations ne sont pas cryptées.
3. Service de sécurité fédéral. Contrôle les moyens de cryptage de transmission et de traitement des informations personnelles. Elle développe et distribue également ces produits.

Vous pouvez vérifier à quelle organisation appartient tel ou tel opérateur. Pour ce faire, rendez-vous sur le site Web de Roskomnadzor et recherchez le registre des opérateurs.

Pour afficher les informations, il vous suffit de saisir le numéro d'enregistrement de l'entreprise ou son nom. Un numéro d'identification fiscale fonctionnera également.

Vous pouvez également découvrir dans quelle mesure les informations ont été demandées. Si l'entreprise ne figure pas sur la liste, vous pouvez contacter Roskomnadzor. Il devra soit l'inclure dans le registre, soit interdire les activités illégales de collecte de données personnelles.

L'inspection est effectuée sur la base d'un appel des citoyens ou à l'initiative d'un organe départemental, par exemple le parquet. En cas de violation du traitement et du stockage des informations personnelles, la responsabilité est prévue. La sanction peut être administrative, pénale ou disciplinaire, tout dépend de la gravité de la violation.

Comment vas-tusécurisé ?

En théorie, pour éviter de tels problèmes, il est conseillé aux citoyens de vérifier si l'organisation figure sur la liste pertinente avant de donner leur consentement au traitement des informations personnelles.

En fait, les gens le font rarement, ne serait-ce que parce que la plupart des gens ne connaissent même pas l'existence d'un tel registre.

Il est particulièrement intéressant de s'intéresser aux petites organisations qui ne disposent pas toujours des conditions appropriées pour traiter l'information. S'il y a des soupçons à ce sujet, le consentement n'est pas nécessaire. Laissez-les vous refuser en un seul endroit, mais vous pouvez trouver une organisation plus appropriée et vous n'aurez aucun problème.

Droits des personnes concernées

Malgré le fait que chaque opérateur a sa propre politique de données personnelles, il ne doit pas aller à l'encontre de la loi. Autrement dit, tous les droits des personnes qui fournissent des informations personnelles les concernant doivent être respectés.

Les droits fondamentaux incluent:

1. Le droit d'accéder à vos propres informations. Autrement dit, une personne a le droit de savoir qui traite ses données, dans quel but et qui verra les informations. Une personne peut demander des éclaircissements sur des données, les bloquer ou les supprimer complètement. Pour accéder à vos données, vous devez soumettre une demande à l'opérateur. Cela peut être fait à la fois par le sujet lui-même et par son représentant. Il existe également des restrictions à ce droit, par exemple, si les données affectent la sécurité de l'État, violent les libertés constitutionnelles et les droits de tiers, ou interfèrent avec les activités de recherche opérationnelle.
2. Le droit de traiter des informations personnelles pour la promotion de biens, services ou travaux sur le marché ou à des fins de campagne politique. Le traitement des données n'a lieu que si le sujet y consent. En cas de conflit, le traitement est réputé avoir eu lieu sans le consentement du client, sauf si l'exploitant a pu prouver le contraire. Dès que le sujet demande l'arrêt du traitement des données, l'opérateur est obligé de le faire.
3. Le droit du sujet de prendre une décision basée sur le traitement automatisé des informations personnelles. Il est interdit par la loi de traiter des données sans le consentement écrit de la personne, uniquement sur la base d'un traitement automatisé. Des exceptions sont prévues par la loi fédérale.
4. Droit de faire appel de l'inaction ou de l'action de l'opérateur. Une personne a le droit de s'adresser à l'organisme autorisé pour la protection des droits des personnes concernées ou au tribunal. Cependant, un tel traitement doit être justifié, par exemple une violation des droits ou un traitement abusif des données.

Le sujet peut également demander des dommages-intérêts ou une compensation matérielle au tribunal.

Conclusion

Comme vous pouvez le constater, ce problème est fortement réglementé. Après tout, c'est précisément à cause de la réception incontrôlée d'informations personnelles que les citoyens de notre pays deviennent victimes de fraudeurs et tout simplement de personnes malhonnêtes. L'État essaie de renforcer autant que possible les exigences afin de pouvoir au moins garantir d'une manière ou d'une autre la sécurité du stockage des données.

Divers systèmes de protection sont en cours de développement, les entreprisessont certifiés et autorisés juste pour faciliter la vie des citoyens ordinaires.

Cependant, les gens ne doivent pas rester inactifs non plus. Après tout, notre propre bien-être dépend de nous. Dans l'article, nous avons décrit comment vous pouvez vérifier si une organisation est dans le registre ou non. Utilisez ces informations, ne consentez pas au traitement des données par des institutions douteuses, et vous n'aurez alors pas à prouver que vos droits ont été violés. Les problèmes de la plupart d'entre nous sont dus à l'inattention, et tout cela parce qu'ils ne sont pas habitués à lire des documents avant de les signer. En attendant, cela doit être enseigné dès le berceau, ainsi que prendre soin des connaissances juridiques de l'enfant. Plus tôt nous commencerons à préparer les enfants à l'âge adulte, plus ce sera facile pour eux.