個人データ処理の基本

私たちはすでに個人データ、その収集と処理について話し始めました。 しかし、私たちはこれについて延々と話すことができ、私たちは続けます。 前回法律の変更について話しましたが、最も重要なことを考慮しませんでした-あなたは自分自身の法律を読んではいけません！そして、フィードバックから判断すると、情報はより詳細な研究を必要とします。

したがって、私たちはすべての法律とその改正を何度も読み直します。 彼らはそれから一種の絞り出しをしました。 主な基準と要件の概要を明確に示しています。

基礎

「個人データの処理は、合法性と正義の原則に基づいています」 -連邦法-152「個人データについて」を読みます。 これらの概念から、プロセスとしての個人データの処理の本質を反映する他の原則が残ります。 そして、ここであなたが覚えておく必要があるものです：



1.個人データの処理は、個人データを収集する目的と一致している必要があります。

これは、PD処理エンティティ（バイヤー、クライアント、従業員など）に処理目的を通知する必要があることを意味します。 したがって、目標は個人データの処理に対する書面による同意の形で反映される必要があります。



2.互換性のない目的で処理される個人データを含むデータベースは結合しないでください。

ここではすべてが明白です。たとえば、会社の従業員に関する財政情報を含む個人データベースと、会社の顧客の個人データベースを組み合わせてはなりません。



3.個人データの処理量は、処理の目的に関して過剰であってはなりません。

靴下を販売するオンラインストアは、購入者の個人データを処理できますが、これには選好、マーケティング活動に関する情報が含まれる場合がありますが、購入者の個人データは、たとえば病気などがあることを示しているため、明らかに冗長です。



4.個人データを処理する場合、処理の目的に関する正確性、十分性、および関連性を確保する必要があります。

これは主に、個人データが使用される法的に関連するアクションを高品質でタイムリーに実行するために必要です。 たとえば、商品を直接購入する場合。



5.個人データの保存は、個人データを処理する目的で必要な期間を超えて実行しないでください。

処理された個人データは、処理目標の達成時、またはこれらの目標を達成する必要性が失われた場合、破壊または非個人化の対象となります。 つまり、オンラインストアが閉鎖された場合、顧客の個人データのデータベースを「敵」に任せることはできません。少なくとも匿名化する必要があります。

個人データを扱う段階

1.コレクション

サイト訪問者から個人データを収集するときは、次のことを示すことをお勧めします。

• オペレーターの名前;
• 個人データの処理の目的とその法的根拠;
• 個人データの見込みユーザー。
• 個人データの主題の法的権利;
• 個人データのソース。

さらに、市民の要求に応じて、パーソナル処理オペレーターは以下を提供する必要があります。

• オペレーターによる個人データの処理の事実の確認;
• オペレーターの名前と場所、個人データにアクセスできる人、またはオペレーターとの合意に基づいて、または連邦法に基づいて個人データが開示される可能性のある人に関する情報。
• 個人データの処理条件;
• 完了または提案された国境を越えたデータ転送に関する情報。

2.ストレージ

保管と記録、体系化、蓄積、明確化は、ロシア連邦の領土で実施されるべきです-誰もがすでにこれを知っています。 個人データは、紙を含むあらゆる形式で保存できます。

ロシア連邦のデータベースに同量以上の個人データが含まれている場合、個人データの処理は海外で実行できます。



3.使用する

覚えて！ 収集された個人データを使用して実行されるアクションは、提供された目的に厳密に従って実行する必要があります。

つまり、オンラインストア「A」で靴下を購入するときにデータを収集する場合、これらのデータが残されているストア「A」の販売にのみ使用する必要があります。 このデータを使用して別のリソースでアパートを販売する場合、これはすでに個人データの違法使用と見なされます。



4.ブロッキング

被験者が彼のデータが違法に使用されていることを発見し、あなた（または彼の代表者/関連当局）に苦情を申し立てた場合、あなたは彼の個人データをブロックし、それらの使用の正当性を検証する必要があります。 このデータが請負業者によって処理される場合、申請者のデータをブロックして検証するためにすべてを行う必要があります。

被験者が自分のデータに不正確さを発見した場合にも同じことをしなければなりません。

個人データのブロックが個人データまたは第三者の対象の権利と正当な利益を侵害しない場合、ブロックはそのような控訴の瞬間から、または検証期間のリクエストを受け取ったときに実行されるべきです。



5.破壊

ただし、同意を取り消す場合は、データを破棄するか、使用の終了を確認する必要があります。 また、個人データの保存に個人データの処理が不要になった場合。

これはすべて、契約で別段の定めがない限り、リコールの受領日から30日以内の期間内に行わなければなりません。



市民に関する情報の収集、保管、使用または配布に関する法定手順の違反は、警告または行政罰金を伴うことを思い出してください。

• 300から500ルーブルの市民のために;
• 役人-500から1000ルーブル;
• 法人の場合-5000〜10,000ルーブル。

金額自体は小さいが、監督当局の注意を引くという事実は、はるかに深刻な問題につながる可能性がある。

ボーナス

国境を越えたデータ転送が可能であり、誰もそれを禁止していません。

しかし、あなたは借りている

• ロシア連邦のサーバー上のすべてのデータ（プライマリデータベース）を保存および更新する
• 「個人データの処理に関する契約」で、このデータを他の国に転送することを計画していること、および特定の目的（法律で特定の国を指定するかどうかは指定されていません）

転送されたデータの使用に関する責任は、これらのデータベースの転送先のオペレーターにあります。



FZ-242は、ロシア連邦の領土にあるデータベースに別の州の領土からリモートアクセスを提供することを禁止されていません。



それだけです、同僚。 エルの慈悲があなたと共にありますように！