gestion de carrière

L'opérateur des données personnelles est Fonctions et responsabilités, caractéristiques

2024-05-16

Table des matières:

L'opérateur des données personnelles est Fonctions et responsabilités, caractéristiques

Vidéo: Webinaire - Comprendre le rôle et les limites du Caces 2024, Mai

Vidéo: Webinaire - Comprendre le rôle et les limites du Caces 2024, Mai
Anonim

Qui est l'opérateur de données personnelles? Tout le monde ne sait pas de quel type d'activité il s'agit. Pendant ce temps, à l'ère de la technologie, elle est de plus en plus demandée. Alors, qui est un opérateur de données personnelles? Nous en parlerons dans l'article. Et pour le rendre plus clair, commençons par la définition.

Définition

Un opérateur de données personnelles est une personne physique ou morale, ainsi qu'une institution municipale ou d'État qui traite et reçoit des informations personnelles, détermine les objectifs et les procédures de traitement des données fournies.

L'opérateur a le droit de travailler de manière autonome et peut se tourner vers des tiers pour obtenir de l'aide. Ces derniers dans ce cas sont également considérés comme des opérateurs.

Qu'est-ce que les données personnelles?

Nous avons déterminé qui est impliqué dans le traitement des informations personnelles. Il s'agit d'un opérateur de données personnelles. Mais qu'entend-on par données personnelles? La loi n'a pas de liste qui répond clairement à cette question. En règle générale, les informations personnelles comprennent les données du passeport, le numéro d'identification, l'ancienneté, le lieu d'enregistrement et de résidence, le lieu de travail, la famille, l'éducation. Dans de rares cas, cela peut inclure des données sur les avantages ou l'état de santé.

En fait, l'opérateur de données personnelles est une institution qui accepte les informations personnelles d'une personne. Même s'il ne s'agit que de données de passeport, l'organisation est toujours considérée comme l'opérateur des données personnelles.

Les exemples les plus célèbres de tels opérateurs peuvent être donnés. Ce sont des banques qui travaillent avec des clients et des informations sur les contribuables, les agences de voyages. Cela inclut également les sites qui nécessitent des informations d'abonné pour l'inscription, les magasins où les cartes de réduction sont émises. La liste comprend également les cliniques qui ont accès aux dossiers médicaux. Il s'agit d'une liste non exhaustive, il est tout simplement impossible de répertorier toutes les organisations et institutions qui traitent les informations personnelles.

Où l'information est contenue

Naturellement, les informations contenues dans un tel volume doivent être contenues quelque part. Pour cette raison, un registre des opérateurs de données personnelles a été introduit. Il s'agit d'une certaine base de Roskomnadzor, qui reflète toutes les personnes morales et physiques qui sont considérées comme des opérateurs.

Pour être inclus dans la base de données, il suffit de déposer de manière indépendante auprès des autorités de Roskomnadzor en soumettant une demande écrite ou en envoyant un e-mail. Et vous pouvez également informer les autorités sur du papier à en-tête de l'entreprise. Cette procédure a été décrite en détail dans l'ordonnance du ministère des Communications de la Russie de 2011.

Étant donné que tous les opérateurs sont inscrits dans le registre des opérateurs de données personnelles, ils sont tenus d'informer Roskomnadzor de toutes les modifications liées aux opérations avec des informations personnelles et à leur traitement. Ce dernier, à son tour, contrôle le travail des opérateurs et effectue périodiquement des contrôles.

La liste des opérateurs de données personnelles de Roskomnadzor est accessible à tous, elle peut être consultée sur le site officiel du service.

Soit dit en passant, l'organisme ne peut refuser d'inscrire le registre à une personne morale ou à un particulier. Si cela se produit, le service enfreint la loi, ce qui signifie que Roskomnadzor est condamné à une amende. La taille de ce dernier peut atteindre cinq cent mille roubles.

Responsabilités de l'exploitant

Comme toute activité, le travail avec des informations personnelles est soumis à des obligations et des droits. Tenez compte des responsabilités des opérateurs de données personnelles.

Roskomnadzor s'engage à informer le service qu'il a commencé à traiter les informations. Cette obligation est imposée conformément à l'article 22 de la loi sur les données personnelles. La notification doit contenir les informations suivantes:

  1. Adresse, nom ou prénom de l'opérateur, nom, patronyme.
  2. La base du traitement des informations personnelles.
  3. Catégorie d'informations personnelles.
  4. La catégorie du sujet dont les données personnelles doivent être traitées.
  5. Lien vers des documents réglementaires qui vous permettent de traiter des informations.
  6. Une liste d'actions que l'opérateur traitera des données personnelles, ainsi qu'une description des méthodes qu'il utilisera dans le processus.
  7. Mesures prises pour protéger les informations.
  8. Le nom de la personne morale ou le nom, prénom et patronyme de la personne physique responsable de l'organisation du traitement. De plus, vous devez spécifier les numéros de contact, l'adresse e-mail et l'adresse postale.
  9. Date à laquelle le traitement des données commence.
  10. Dates de traitement et conditions dans lesquelles il prend fin.
  11. Informations indiquant si un transfert de données transfrontalier a lieu ou non pendant le traitement.
  12. Informations sur l'emplacement de la base de données, qui contient des informations personnelles sur les citoyens de notre pays.
  13. Données sur la garantie de la sécurité des informations et leur conformité aux exigences établies par le gouvernement de notre pays.

Cela ne signifie pas que, dans aucune situation, les opérateurs de traitement des données personnelles doivent en informer Roskomnadzor. Il y a des moments où cela n'est pas nécessaire. Par exemple, il n'est pas nécessaire de notifier si l'employeur traite des informations sur ses employés. Cela inclut également la situation où un contrat est conclu avec un client pour quelque chose. Dans ce cas, la règle ne fonctionne que jusqu'à ce que les informations soient fournies à des personnes non autorisées sans le consentement du client. Il n'est pas nécessaire d'écrire une notification à ceux qui établissent un laissez-passer unique sur un territoire, traitent les données qui sont dans le domaine public, utilisent uniquement le nom, le prénom et le deuxième prénom de la personne.

Le registre des opérateurs de données personnelles de Roskomnadzor impose une obligation sous la forme d'assurer la confidentialité des informations personnelles. Autrement dit, il est impossible de diffuser des informations sur une personne sans son consentement. C'est l'une des principales exigences pour les opérateurs.

Responsabilités de l'employeur

Il y a des points que les employeurs doivent observer lors de la transmission des données:

  1. Ne divulguez pas d'informations sur l'employé à des tiers sans son consentement. Il est important de se rappeler que le consentement doit être donné par écrit. Mais cela ne s'applique pas aux situations où la notation des informations aide à prévenir une menace pour la santé et la vie d'un employé ou si des données doivent être transférées aux services publics. Ces derniers comprennent la Caisse de pensions, les services chargés de l'application des lois, le Service judiciaire fédéral, les commissariats militaires, les procureurs et d'autres organes.
  2. Avertissez les personnes qui reçoivent des informations personnelles qu'elles ne peuvent être utilisées qu'aux fins prévues. Soit dit en passant, l'employeur a le droit d'exiger la confirmation du respect de cette règle.
  3. Transférez des données personnelles au sein d'une seule entreprise ou avec un seul entrepreneur. Cela devrait être conforme à un document interne que l'employé a examiné et signé.
  4. Autoriser uniquement les personnes autorisées à traiter les informations personnelles. Cela ne signifie pas que ces personnes peuvent demander des informations, elles ont le droit d'utiliser uniquement les données nécessaires à l'exécution de certaines tâches.
  5. N'abordez pas la question de la santé des employés si cela n'affecte pas ses responsabilités professionnelles directes.
  6. Limitez les informations qu'un représentant d'un employé reçoit à ce qui est nécessaire pour exécuter les fonctions indiquées par le représentant.

Toutes ces normes sont définies par la loi "Sur les données personnelles" et certains articles du Code du travail. Revenons au registre des opérateurs de données personnelles de Roskomnadzor et de leurs responsabilités.

Autres fonctions

Nous avons déjà mentionné ci-dessus ce que les opérateurs devraient faire. Revenons à cette question.

Les opérateurs sont tenus de prendre des mesures pour assurer la sécurité des informations personnelles. À cet effet, l'entreprise sélectionne la personne chargée d'organiser le traitement des données personnelles. Cette personne doit contrôler l'exercice des fonctions par l'opérateur des données personnelles, le respect par celui-ci des exigences de sécurité pour l'utilisation des informations. La même personne doit familiariser les employés impliqués dans le traitement avec les nouvelles modifications de la loi "sur les données personnelles", ainsi que les actes internes sur les questions de traitement. Il est également chargé d'organiser le traitement des recours et demandes des personnes dont les données sont en cours de traitement, ainsi que la réception de ces recours. Outre le briefing, il est nécessaire de contrôler l’utilisation des moyens techniques pour assurer la sécurité et de publier les documents qui régissent la politique de l’entreprise sur cette question.

Quant à la politique de l'opérateur des données personnelles, elle doit être publique. Pour cela, le document est affiché sur le site Internet de l'opérateur, et tous ceux qui en ont besoin peuvent se familiariser avec lui. Si le site est manquant, vous pouvez installer un stand avec les informations nécessaires dans un tel endroit afin que tous les clients et visiteurs de l'organisation puissent en prendre connaissance.

Il est important de se rappeler que pour les opérateurs de données personnelles dont les documents sont demandés via Internet, l'option n'est possible qu'avec publication sur le site. Sur le site Web de Roskomnadzor, vous pouvez trouver des informations concernant la politique de l'opérateur.

Il y a souvent une substitution de concepts concernant la politique de l'entreprise et les dispositions sur le stockage, la protection et le traitement des informations personnelles. Le dernier document est considéré comme un acte interne, donc seuls les employés de l'entreprise apprennent à le connaître, après quoi ils apposent une signature.

Un autre devoir de l'opérateur est de se conformer aux exigences de localisation des informations personnelles des citoyens de notre pays. Le fait est que depuis 2015, tous les opérateurs lors de la collecte d'informations personnelles sont tenus de les traiter à l'aide de bases de données situées dans notre pays. Dès que la loi a été adoptée, de nombreuses ambiguïtés sont restées, mais avec le temps, elles ont été résolues. Or, on sait précisément que, par exemple, les opérateurs de données personnelles sur la communication sont obligés d'utiliser des bases de données d'information.

La dernière obligation est la nécessité d'arrêter le traitement des informations personnelles à temps. Si les informations ont été utilisées et que la personne dont les données ont été traitées a décidé d'annuler le consentement au traitement, l'opérateur doit arrêter le traitement des données et les supprimer dans un délai d'un mois. Il est important de comprendre qu'un terme différent peut être spécifié dans l'accord, il est donc très important de lire les documents.

Droits des opérateurs

En plus des devoirs, les opérateurs ont leurs propres droits. Certes, ils sont peu nombreux, mais il est néanmoins impossible de les oublier. La liste des opérateurs de données personnelles ne confère à ces derniers qu'un seul droit: recevoir des informations sur les modifications de la loi si elles concernent des données personnelles.

Qui rejoint la base de données

Nous avons déjà dit ci-dessus que tout le monde n'a pas besoin d'entrer des données personnelles dans le registre des opérateurs. Qui devrait déposer un avis?

  1. Ressources Internet. Cela inclut les portails, les réseaux sociaux, les forums, car l'enregistrement nécessite des données personnelles, quoique un peu.
  2. Magasins en ligne. Ils en ont besoin, car les acheteurs laissent un numéro de téléphone pour un rappel ou une adresse postale lors de la commande.
  3. Sites qui publient des informations sur le sujet ou les envoient par e-mail. Et ici aussi, vous pouvez inclure les sites qui contiennent déjà des informations personnelles.
  4. Organisations, entreprises ou entrepreneurs engagés dans un traitement continu des données. Il s'agit des bureaux comptables et juridiques, des agences de voyage, du logement et des services communaux, des registraires, des registraires, des institutions médicales et des banques, des établissements d'enseignement, des entreprises qui fournissent des services de maintenance et émettent des cartes de club.
  5. Organisations travaillant dans le cadre de contrats de droit civil avec des employés non salariés.
  6. Entreprises qui utilisent des systèmes CRM.

Attention! Roskomnadzor peut bloquer la ressource Internet si celle-ci viole la loi dans le domaine du traitement des données.

L'employeur est-il opérateur ou non?

Nous avons déjà indiqué que tout devrait apporter des modifications au registre des opérateurs de données à caractère personnel, mais les avis sur les employeurs sont toujours différents. En règle générale, ils sont classés comme opérateurs de données personnelles, mais il existe quelques exceptions. Il s'agit par exemple des managers qui ne stockent et ne collectent des informations que pour rédiger un contrat de travail ou un ordre interne conformément à la loi.

Qui n'est pas considéré comme un opérateur

L'enregistrement d'un opérateur de données personnelles n'est pas nécessaire pour toutes les personnes et organisations. Qui peut s'en passer?

  1. Les compagnies de téléphone qui utilisent les données des abonnés uniquement pour fournir des services de communication.
  2. Organisations religieuses et publiques qui n'utilisent les informations personnelles des membres qu'aux fins spécifiées dans la documentation constitutive.
  3. Institutions et personnes qui utilisent les données que le sujet a divulguées de manière indépendante.
  4. Entreprises pour lesquelles des laissez-passer uniques sont délivrés.
  5. Indiquer les systèmes de données personnelles créés pour protéger et maintenir l'ordre public.
  6. Les organisations qui traitent des données sans systèmes automatisés.
  7. Entreprises de transport qui reçoivent des informations sur les voyages.

Il est important de comprendre qu'il n'est pas important pour Roskomnadzor que l'organisation ou la personne soit incluse dans le registre des opérateurs qui traitent ou non les données personnelles. Le service a le droit de visiter une institution. Autrement dit, même ceux qui, du point de vue de la loi, ne sont pas considérés comme des opérateurs, peuvent être tenus responsables du non-respect des exigences de protection des données personnelles.

Comment obtenir le droit de traiter des informations personnelles

Afin d'assurer la sécurité du transfert et du stockage des informations personnelles, une procédure a été développée pour obtenir une licence et une certification pour les organisations qui stockent et collectent des données.

Pour obtenir une licence, il ne suffit pas d'envoyer des employés en formation, il faut quand même acheter une protection technique. L'obtention d'une licence se déroule en plusieurs étapes:

  1. Envoi d'une notification au registre des opérateurs de traitement de données à caractère personnel concernant l'intention de traitement existante.
  2. Passer un examen préliminaire des systèmes d'information de l'entreprise.
  3. Conception d'un système de sécurité prenant en compte les infrastructures d'automatisation et d'équipements informatiques.
  4. L'acquisition et la mise en place d'équipements de protection.
  5. Mise des locaux en conformité avec les exigences de protection, sécurité incendie, alimentation.
  6. Formation des employés ou amélioration de leurs compétences dans le domaine de la protection des informations personnelles avec certification ultérieure.

Si tous les points sont respectés, le stockage et la protection des informations personnelles seront efficaces.

Il est important de comprendre que tous les points concernent le traitement des informations sous forme électronique, bien que cette méthode ne puisse pas être qualifiée de sûre pour les données stockées.

Vérification des activités des opérateurs

L'opérateur qui traite les données personnelles est vérifié périodiquement par Roskomnadzor. Ce dernier peut être réalisé selon le plan, ou peut-être par la plainte d'une personne qui a souffert des actions illégales de l'opérateur.

Trois départements contrôlent le respect de la loi sur le traitement des données personnelles:

  1. Roskomnadzor. Il procède à la vérification du respect des exigences réglementaires de la législation et est également responsable de la conduite de l'audit.
  2. Service fédéral d'exportation et de contrôle technique. Ce service protège les données qui résident sur les ordinateurs de l'organisation et leurs canaux de transmission. Cette dernière ne se produit que dans les cas où les informations ne sont pas cryptées.
  3. Service fédéral de sécurité. Effectue le contrôle des moyens de cryptage de transmission et de traitement des informations personnelles. Elle développe et distribue également ces outils.

Vous pouvez vérifier à quelle organisation appartient l'un ou l'autre opérateur. Pour ce faire, accédez au site Web de Roskomnadzor et recherchez le registre des opérateurs.

Pour voir les informations, il vous suffit de saisir le numéro d'enregistrement de l'entreprise ou son nom. Un numéro d'identification fiscale fera l'affaire.

Vous pouvez également découvrir la légitimité des informations demandées. Si l'entreprise n'est pas répertoriée, vous pouvez contacter Roskomnadzor. Il l'inclura dans le registre ou interdira les activités illégales de collecte de données personnelles.

L'audit est effectué sur la base d'un appel des citoyens ou à l'initiative d'un organe départemental, par exemple le parquet. En cas de violation du traitement et du stockage des informations personnelles, la responsabilité est engagée. La sanction peut être administrative, pénale ou disciplinaire, tout dépend de la gravité de la violation.

Comment se protéger?

En théorie, afin d'éviter de tels problèmes, il est conseillé aux citoyens, avant de donner leur consentement au traitement des informations personnelles, de vérifier que l'organisation figure sur la liste correspondante.

En fait, les gens le font rarement, ne serait-ce que parce que la plupart ne connaissent même pas l'existence d'un tel registre.

Il convient en particulier de s'intéresser aux petites organisations qui ne disposent pas toujours des conditions appropriées pour traiter les informations. S'il y a des soupçons à ce sujet, le consentement n'est pas nécessaire. Laissez-les vous refuser au même endroit, mais vous pouvez trouver une organisation plus appropriée et vous n'aurez aucun problème.

Droits de la personne concernée

Bien que chaque opérateur ait sa propre politique en matière de données personnelles, il ne doit pas aller à l'encontre de la loi. Autrement dit, tous les droits des personnes qui fournissent des informations personnelles les concernant doivent être respectés.

Les droits fondamentaux comprennent:

  1. Le droit d'accéder à vos propres informations. Autrement dit, une personne a le droit de savoir qui traite ses données, dans quel but et qui verra les informations. Une personne peut avoir besoin de clarifier les données, de les bloquer ou de les supprimer complètement. Pour accéder à vos données, vous devez soumettre une demande à l'opérateur. Cela peut être fait à la fois par le sujet lui-même et son représentant. Il existe des limites à ce droit, par exemple, si les données affectent la sécurité de l'État, violent les libertés et droits constitutionnels de tiers ou interfèrent avec les activités de recherche opérationnelle.
  2. Le droit de traiter des informations personnelles pour promouvoir des biens, des services ou des travaux sur le marché ou pour des campagnes politiques. Le traitement des données n'a lieu que si le sujet est d'accord. En cas de conflit, le traitement est réputé avoir eu lieu sans le consentement du client, sauf si l'opérateur a pu prouver le contraire. Dès que le sujet demande à arrêter le traitement des données, l'opérateur est obligé de le faire.
  3. Le droit du sujet de prendre une décision, qui est basé sur le traitement automatisé des informations personnelles. La loi interdit le traitement des données sans le consentement écrit d'une personne, uniquement sur la base d'un traitement automatisé. Des exceptions sont prévues par la loi fédérale.
  4. Le droit de faire appel contre l'inaction ou les actions de l'opérateur. Une personne a le droit de s'adresser à l'organisme habilité pour la protection des droits des sujets de renseignements personnels ou à un tribunal. Mais il doit y avoir des motifs pour un tel traitement, par exemple, une violation des droits ou un traitement inapproprié des données.

Une entité peut également réclamer des dommages-intérêts ou une compensation matérielle dans une procédure judiciaire.

Conclusion

Comme vous pouvez le voir, cette question est sérieusement réglementée. En effet, c'est précisément à cause de la réception incontrôlée d'informations personnelles que les citoyens de notre pays sont victimes de fraudeurs et simplement de gens déshonorants. L'État essaie de resserrer les exigences autant que possible afin qu'il soit possible de garantir en quelque sorte la sécurité du stockage des données.

Divers systèmes de protection sont en cours de développement, les entreprises subissent une certification et une licence afin de faciliter la vie des citoyens ordinaires.

Cependant, les gens ne devraient pas non plus être inactifs. Après tout, notre propre bien-être dépend de nous. Dans l'article, nous avons expliqué comment vérifier si une organisation figure dans le registre ou non. Utilisez ces informations, ne consentez pas au traitement des données par des institutions douteuses, et vous n'aurez alors pas à prouver que vos droits ont été violés. Le problème pour la plupart d'entre nous vient de la négligence, et tout cela parce que nous n'avons pas l'habitude de lire les documents avant de les signer. Pendant ce temps, cela doit être enseigné à partir du berceau, ainsi que prendre soin des connaissances juridiques de l'enfant. Plus tôt nous commencerons à préparer les enfants à l'âge adulte, plus ce sera facile pour eux.

Articles Populaires

Service "Yudu" à Moscou. YouDo: recherche d'emploi, avis
recrutement

Service "Yudu" à Moscou. YouDo: recherche d'emploi, avis

Description de l'emploi Ambulance paramédic
gestion de carrière

Description de l'emploi Ambulance paramédic

Recrutement Moko: avis des employés, qualité du travail
recrutement

Recrutement Moko: avis des employés, qualité du travail

Pourquoi vous devriez embaucher des gens qui voyagent fréquemment: 10 raisons
recrutement

Pourquoi vous devriez embaucher des gens qui voyagent fréquemment: 10 raisons

Comment obtenir un entretien chez Sberbank? Questions, réponses, avis
gestion de carrière

Comment obtenir un entretien chez Sberbank? Questions, réponses, avis

Profession professeur: pour et contre. Les spécificités du travail et les exigences des enseignants.
gestion de carrière

Profession professeur: pour et contre. Les spécificités du travail et les exigences des enseignants.