個人データの公開データベースを作成することは合法ですか?

2015 年の終わりに、私は LiveJournal の興味深い記事に関するディスカッションに参加しました。その記事は、悪徳求職者に関する公的にアクセス可能な単一のデータベースを作成する必要性をテーマにしていました。

このアイデアは新しいものではなく、確かに多くの企業が応募者の内部データベースを持っていると言わざるを得ません。 このようなデータベースの助けを借りて、人事担当者は最小限の時間で不適切な候補者を排除します。 理論的に、国内のすべての人事部がそのような拠点を自由に使えると仮定できれば、それはすべての人にとってどれほど良いことでしょう。 そうですね？ ありがたいことに、いいえ、そんなことはありません。 この記事のコメンテーターが正しく指摘したように、潜在的な利益は、データベースのデータの悪用、そのようなデータベースへの人々の不当な包含/排除、評判、名誉、尊厳の問題から必然的に生じるマイナス面によって容易に相殺される可能性があります。データベースに含まれる人々の数。

幸いなことに、ロシアでは 2006 年以来、「個人データについて」という連邦法が施行されており、そのようなデータベースが存在できる条件が明確に定義されています。

2. 連邦法の「個人データについて」第 6 条は、「個人データの処理は、個人データの処理に対する個人データの主体の同意を得て行われる」と定めています。

3. 連邦法の第 7 条「個人データについて」は、「オペレーターおよび個人データにアクセスできるその他の者は、別段の定めがない限り、個人データの主体の同意なしに個人データを第三者に開示または配布しない義務がある」と定めています。連邦法によって定められている。」

4. 連邦法の「個人データについて」第 8 条では、次のように定められています。 情報サポートを目的として作成される場合があります。 公的情報源個人データ (ディレクトリ、 アドレス帳）。 個人データの公的情報源には、個人データの対象者の書面による同意を得た上で、対象者の姓、名、父称、生年月日、出生地、住所、加入者番号、職業に関する情報、および対象者によって報告されたその他の個人データが含まれる場合があります。個人データの。 2. 個人データの主体に関する情報は、個人データの主体の要請に応じて、または裁判所やその他の権限のある政府機関の決定によって、いつでも公的に利用可能な個人データの情報源から除外されなければなりません。」

5. そして最後に、第 13.11 条です。 コード ロシア連邦行政違反については、「国民に関する情報 (個人データ) の収集、保管、使用、配布に関して法律で定められた手順に違反した場合、警告または国民に対する 300 対 5 の行政罰金の賦課が必要となる」と決定されています。 100ルーブル。 役人の場合 - 500ルーブルから1000ルーブル。 の上 法人- 5,000ルーブルから1万ルーブルまで。」

言い換えれば、簡単に言うと：

1. 個人に関するデータ (電話番号のみを含む) はすべて個人的なものです。

2. 個人データを処理するには同意を取得する必要がありますが、同意はいつでも撤回できます。

3. 誰かが個人データに合法的にアクセスできる場合、適用される法律で別段の定めがない限り、個人データ主体の同意なしにそれを誰かに開示したり、誰かと共有したりすることは禁止されています。

4. 書面による同意書は、特に公的に利用可能な個人データのソースの作成を希望する人のために提供されます。

5. 個人データの収集および保管に関して確立された手順に違反した場合は、責任が負います。

結論は非常に単純かつ明確です。不注意な求職者に関する公的にアクセス可能な単一のデータベースの作成は、同じ不注意な求職者の書面による同意があった場合にのみ可能であり、当然のことながら、そのようなデータベースが法的に作成される可能性はゼロになります。 。 このようなデータベースを作成して友人と共有しようとしている人には、現在施行されている罰則についてよく理解しておくことをお勧めします。

匿名化されたデータには次のものが含まれます。

• 名、名、父称。
• インターネット上の対象者のニックネーム/ログイン名。
• 電子メールアドレス (フルネームにはリンクされていません);
• 役職、勤務先 (個人データに関する情報は含まれません)。

公開データには、オープン情報ソースから取得できる対象者に関する情報が含まれます。 電話帳またはアドレス帳。 データは、対象者の書面による同意を得て、公的にアクセス可能なデータベースに入力されます。 : 特徴 公開個人データの特徴は、オープンな情報源に掲載できることです。 つまり、組織の連絡先ディレクトリに職員の連絡先情報 (たとえば、職員の研修や雇用に携わる職員) が含まれている場合、そのようなデータは公開されているとみなされます。

個人データの概念と種類

ロシア連邦の労働法）。 個人データの処理とは、ロシア連邦の法律で規定されているさまざまな業務を指します。 PDの処理には、収集、体系化、蓄積、保管、更新、利用、非個人化、破棄などがあり、法規で定められた手順に従って行われます。

ステータスによりそのような権利を有する州、連邦、地方自治体および組織は、個人データの取引を行うことができます。 すべての PD は次のセクションに分かれています。

• 公的に入手可能な個人データ。
• 特別な個人データ。
• 生体認証の個人データ。

個人データ情報システム (ISPD) を作成する場合は、FSTEC、FSB、および省の命令に従うことをお勧めします。 情報技術および13日付のロシア連邦第55/86/20号の通信。
02.

公開個人データ

このような情報の悪用は法律により罰せられます。 個人情報保護法は個人だけでなく法人も対象となります。

注意

財務状況や従業員のデータに関する情報が誰でも利用できるようになっても、それを好む人はほとんどいないでしょう。 これにより、詐欺師の生活ははるかに楽になりますが、一般市民も法執行官も望んでいません。

法律の下ではどのようなデータが個人とみなされますか? 法律は、個人とみなされる情報の明確なリストを提供していません。 コンテンツ：

• 公開個人データ
• 第8条。

公開個人データは、

たとえば、法律は電話番号が個人データを構成するかどうかを正確に定義していません。 ロスコムナゾール氏は国民からの要請に応え、番号だけで個人を正確に特定することは不可能だと説明した。

それ自体は個人的なものではありませんが、所有者のフルネームと居住地を組み合わせて PD を指します。 したがって、パーソナライズされていない SMS メッセージの送信は連邦法第 152 号の違反とはみなされません。

一般的な PD は、パスポート、軍人 ID、卒業証書、個人従業員カード、勤務記録簿などに含まれています。このデータを取得するために書面による許可は必要ありません。たとえば、図の対応する項目の横にチェック マークを付けるだけで十分です。オンライン申請フォーム。
アクセスが比較的容易なため、押しつけがましい広告から恐喝やローン申請書の偽造に至るまで、個人データの対象である一般の人々に問題が生じることがよくあります。

どのような個人データが公開されていると見なされますか?

たとえば、次のようなものです。

• 保管する必要がある バックアップデータベース全体。
• 情報システムを管理する専門家が必要です。
• 特別に設計された機器やソフトウェアには費用が必要です。
• 個人データを処理する従業員は高度な読み書き能力を持っている必要があります。

従業員の個人情報を効果的に保護するためにどのような方法が使用されていますか?

• 個人データが処理される施設を他の従業員がアクセスできないように完全に閉鎖します。
• 従業員が情報を入手するには、特別な許可を得る必要があります。
• データストレージは明確に整理する必要があります。

各方法には欠点と利点の両方が存在するため、雇用主は原則としてそれらを組み合わせます。

第 8 条. 個人データの公的情報源

給与は報酬制度に関わるものであるため、企業秘密にはなり得ません。 しかし、これは労働法に従って従業員を解雇できるPDのリストから除外されるものではありません。

そして、従業員が法廷でこの決定に異議を申し立て始めた場合、雇用主は、開示された情報が秘密に関連しており、その情報は従業員が誰にも開示しないことを約束したものであることを証明する義務があります。 コンテンツに戻る 種類 個人データの種類は次のように分類できます。

• それらに含まれるコンテンツ:
• このカテゴリには、第 10 条で指定されたリストが含まれます: 人種、国籍、宗教、健康、私生活、政治的信念。 ただし、連邦法 152 によれば、ここには制限があります。つまり、アクセスは所有者の書面による許可がなければ実行できません。

給与は個人情報ですか？

重要

情報サポートの目的で、公的に利用可能な個人データのソース (ディレクトリ、アドレス帳を含む) が作成される場合があります。 個人データの公的情報源には、個人データの対象者の書面による同意を得た上で、対象者の姓、名、父称、生年月日、出生地、住所、加入者番号、職業に関する情報、および対象者によって報告されたその他の個人データが含まれる場合があります。個人データの。

(2011 年 7 月 25 日付けの連邦法 N 261-FZ により修正) (前版の本文を参照) 2. 個人データの主題に関する情報は、公的に入手可能な個人データの情報源からの要請に応じていつでも除外されなければなりません。個人データの主題、または裁判所の決定またはその他の権限のある政府機関による。 (2011 年 7 月 25 日の連邦法第 261-FZ により修正) (参照。
コンテンツ

• 生体認証。 生理機能を特徴づけます。
• 生体認証ではありません。 生体認証ではないデータ。

個人データの種類 個人データはどのような種類に分類されますか? これはどういう意味ですか？ 特定の従業員に関して企業に保存されているすべての情報は、2 つの異なる観点から見ることができることを理解することが重要です。

• 従業員（個人）の婚姻状況および家族に関するデータ、つまり扶養家族の有無、子供の有無、年齢と人数、健康状態。
• 特定の従業員に関する情報、つまり氏名（パスポート）、職業、健康状態、および特別な状況。

企業のトップは、個人データの保管を決定する手順を考慮した、地域的に重要な規制法を策定する義務があります。

個人データは公開されており、それに何が適用されるか

開示に対する責任 連邦法第 152 条「個人データの保護について」では、従業員の個人データの開示に対する企業の管理上の責任のみが規定されていることに注意することが重要です。 これは、組織が従業員の個人情報の絶対的な保護を保証できない場合、罰金のみを科せられることを意味します。 さらに、個人データの不適切な保管に対する罰金の金額はまったくばかげています。 一般に、それらは5から1万ルーブルの範囲です。 もちろん、これは単一支払いについてのみ話している場合に当てはまります。 一般に、この種の問題が発生した企業では複数の違反があり、罰金の額が大幅に増加します。 しかし、個人データが間違った方法で使用されるという事実による最も重要な結果は、金銭的コストとは程遠いものです。 これは会社の評判を大きく傷つけます。
たとえば、次のようなものです。

• 特別な施設、設備、金庫などの追加の保管リソースの利用可能性。
• プロセスの労働強度。
• 紙の記録を維持するには特別なスキルが必要です。

場合によっては、人事部門が 1 人の従業員に関する情報を個別に (テーマ別のフォルダーに) 保存したい場合があります。 したがって、全従業員のすべての雇用契約書、アンケート、その他の文書は個別に保管されます。 検索しやすいように番号が付けられています。 この方法は、上記で説明した方法よりも労力がかからず、人事部門の従業員に特別なスキルを必要としません。 ただし、欠点がないわけではありません。
個人情報の取り扱いに関するお知らせ よくある間違い PD 処理が実行できなかった場合、オペレーターは PD 処理の通知を提供します。 それでも Roskomnadzor に通知することに決めた場合は、次のような推奨事項があります。

• 2006 年 7 月 27 日付けのロシア連邦法第 22 条の第 2 部をよく読んでください。

  N 152-FZ 「個人データについて」。

• 処理されたデータを見てください。 場合によっては、PD キャリアとの調整が必要になります。

個人データの処理について通知できない理由の 1 つは、連邦法第 22 条第 2 部第 2 項に示されており、次のとおりです。個人とのビジネス関係の確立を例に挙げてみましょう。サービスを実行します。

すべての準備が整っており、数十キロメートルを運転する必要がないことを明確にするために、職長は慎重にあなたの電話番号を聞き出し、良い知らせを伝えました。

2006 年 7 月 27 日の連邦法の解説 N 152-FZ 「個人データについて」ペトロフ・ミハイル・イゴレヴィッチ

第 8 条. 公的にアクセス可能な個人データのソース

個人データの公的情報源

第8条の解説

1. コメントされた法律の意味の範囲内で、個人データのソースは公的に利用可能であると認識され、そのアクセスは制限されず、個人データの主体の事前の同意も必要ありません。 個人データの公開ソースは、そのような情報の配布に関して連邦法によって定められた制限に従って、誰でも自分の裁量で使用できます。

公的に利用可能な個人データのソースの作成は、情報サポートの必要性によるものです。 現在の法律を分析すると、現在公開されている個人データのソースには、ディレクトリ、アドレス帳、百科事典、図書館やアーカイブのオープンコレクションに蓄積された文書、 情報システム政府機関、地方自治体、公的団体、公益団体、または国民の権利、自由、責任の履行に必要な団体。 同時に 現代科学実務では、情報の公開部分と機密部分を明確に区別できる効果的な基準を開発することがまだできていません。

個人データの公的にアクセス可能なソースの作成には、姓、名、父称、生年月日、出生地、住所、加入者番号、職業に関する情報、および個人データの主体によって提供されるその他の個人データが含まれます。後者の強制的な同意。 さらに、個人データの主体は、そのような情報を広める者に対し、そのような情報の出所として自らを明らかにするよう要求する権利を有します。

公的に入手可能な情報源からの個人データの使用は、利益を得る可能性の排除を意味します。

公的に入手可能な個人データを処理する場合、処理される個人データが公的に入手可能であることを証明する責任はオペレーターにあります。

2. 個人データの主体の権利と正当な利益を保護するために、立法者は、公的に入手可能な情報源で使用されている個人データを回収する可能性を規定しています。 それらの除外は、個人データの主体の要請に応じて、または裁判所または特別に権限を与えられた政府機関の決定によって実行できます。

第 74 条の 1。 個人データの保護に関する法律に違反した個人データの処理 (1) 個人データ情報システムにおける処理中に個人データの安全性を確保するための要件を遵守しない場合は、罰金が科せられます。

第 85 条 従業員の個人データの概念。 従業員の個人データの処理 従業員の個人データは、雇用関係および特定の従業員の個人データの処理に関連して雇用主にとって必要な情報です。

第 88 条 従業員の個人データの移転 雇用主は、従業員の個人データを移転する場合、次の要件を遵守しなければなりません。 下記の場合を除き、従業員の書面による同意なしに従業員の個人データを第三者に開示してはなりません。

第 5 条 個人データ処理の原則 第 51 条の解説。この条項の解説により、立法者は個人データの取り扱いにおける基本原則を確立し、その収集と処理は合法的に行われます。 最新

第 6 条 個人データの処理条件 第 61 条の解説 前条に示した個人データの処理原則の遵守だけが、国民の権利と正当な利益の保護を保証する条件ではありません。

第 7 条 個人データの機密保持 第 71 条の解説。個人データの処理中の機密保持と、個人データとの連携および処理への同意取得に関する確立された原則を確保することは、必須の条件です。

第 9 条. 個人データの処理に対する個人データの主体の同意 第 91 条の注釈。コメントの記事は、個人データの処理に対する個人データの主体の同意を得る手順、条件、および根拠を定義します。 議員はこう強調する

第 10 条. 個人データの特別なカテゴリー 第 101 条の解説。コメントの記事では、個人データの特別なカテゴリーを特定し、その処理の一般的な禁止を定めています。 特別なカテゴリの個人データには、次のことを明らかにする情報が含まれます。

第 12 条 個人データの国境を越えた転送 第 121 条の解説 この法案は、個人データの国境を越えた転送の原則を定義しています。 これらの原則は、個人データの分野における主要な国際法と調和しています。

第 15 条. 市場で商品、作品、サービスを宣伝する目的、および政治的扇動の目的で個人データを処理する場合の個人データ主体の権利 第 151 条の解説。 コメント記事の内容は、国民に訴えます。民法第150条の規定

第 16 条. 個人データの自動処理のみに基づいて意思決定を行う場合の個人データ主体の権利 第 161 条の注釈。注釈付きの記事では、養子縁組に関する個人データ主体の権利を定義しています。

第 20 条 個人データ主体またはその法定代理人からの要求を申請または受領する場合の運営者の義務、および個人データ主体の権利保護のための権限を有する機関の義務 第 201 条の解説。 コメント条項の規範で

第 21 条. 個人データの処理中に犯された法律違反を排除し、個人データを明確にし、ブロックし、破棄する運営者の義務 第 211 条の解説. コメント条項の規定により手順が決定される

第 22 条 個人データの処理の通知 第 221 条の解説。コメントされた法律の意味における個人データの処理の通知手順は、個人データ主体の権利と正当な利益の尊重を保証するものの 1 つです。

ロスコムナゾール氏は、信用履歴調査機関の1つに対する計画的な立入検査の結果に基づいて、個人データの処理活動の法的要件の遵守に関する違反を特定した。 同局はモスクワ仲裁裁判所でこれらの結果に異議を申し立てようとした（事件番号A40-5250/17-144-51における2017年5月5日付のモスクワ仲裁裁判所の判決）。

ロスコムナゾールが特定した違反の本質は次のとおりです。

• 金融機関は、オープン情報ソース（以下、「オープンソース」といいます。）から個人または潜在的な顧客のデータを金融機関に転送する、Double Data Social Link および Double Data Social Attributes サービスの使用に関する通知を認可機関に提出しませんでした。法律第 152-FZ として);
• ソーシャルネットワークやインターネットポータルなどのオープンソースに含まれる個人データの処理には同意がありませんでした（）。

モスクワ仲裁裁判所は、個人データが不特定多数の人に利用可能であり、データの所有者の同意があり、情報が対象者自身によって直接提供される場合には、個人データの処理が許可されるとの判決を下した（、） 。

裁判所は、個人データの主体の書面による同意がなければ、特定の人物が同意を与えたと主張することはできないと強調した。 彼の意見では、所有者が個人データを誰でも利用できるように公開している場合、そのデータは公開されているソースにのみ含めることができます ()。 裁判所によると、ソーシャルネットワークは個人データを取得するような情報源ではないため、そこに投稿された個人に関する情報は公に入手可能なものとして分類することはできない。

仲裁決定では、公的に入手可能な個人データの情報源には、所有者の姓、名、父称、生年月日、出生地、住所、加入者番号、職業に関する情報、および書面による同意を得て通知された所有者のその他の個人データが含まれる可能性があると述べられています。彼。 裁判所は、個人データの所有者がその情報を一般に公開しておらず、その情報はソーシャル ネットワーク上の信用調査機関によって処理されたと結論付けました (、)。 これに関連して、裁判所はロスコムナゾールの命令が合法であると認め、金融機関の請求に応じることを拒否した。

企業が従業員の写真をソーシャルメディアに投稿した場合、個人の画像を本人の同意なく使用したとして責任を問われる可能性はありますか? この問題やその他の実際的な質問に対する答えは、 「法律相談サービスナレッジベース」インターネット版の GARANT システムで。 3 日間無料でフルアクセスできます!

控訴裁判所は下級裁判所の結論に同意し、個人データをソーシャルネットワークに投稿しても自動的に公開されるわけではないため、情報の処理には対象者の同意が必要であると強調した（第9回仲裁裁判所の判決）。事件番号 A40-5250/17 における 2017 年 7 月 27 日付の上訴。 破毀院とロシア連邦最高裁判所はロスコムナゾールの側に立ったが、上告された司法行為を取り消す理由は何もなかった（事件番号A40-5250/2017における2017年11月9日付のモスクワ地方仲裁裁判所の決議、事件番号 305-КГ17-21291 に関する 2018 年 1 月 29 日付けのロシア連邦最高裁判所の判決)。

したがって、裁判所は、所有者によって提供され、不特定多数の人がアクセスできるという 2 つの条件が満たされる場合、個人データは公的に利用可能であると決定しました。 彼らの意見では、個人データの所有者に関する情報をソーシャル ネットワークに投稿することに同意がないため、それら（ソーシャル ネットワーク）は公的に入手可能な情報源として分類することはできません。 この場合、オペレーターは、テロや汚職との戦いなどの適切な理由がある場合に限り、個人データの撤回の場合にのみ、個人データの主体の同意なしに個人データの処理を継続する権利を有します ()。

欧州法務局の主任弁護士 エレナ・デルジエワ条件によると注意しました ユーザー同意書ソーシャルネットワーク「Vkontakte」の個人データの所有者は、自分のページに投稿した情報へのアクセスにのみ同意し、第三者による処理には同意しません。

毎日、個人がさまざまな当局に個人情報を提供しています。 個人データオペレーターは情報を処理する責任があります。 これらは、銀行、雇用主、医療機関、インターネット サイト、その他の組織です。 事業者は個人情報を保護することが法律で義務付けられています。 彼らは、公的に利用可能な個人データ (PD) を含むソースを作成します。

パブリックPDとは何ですか?

公開情報には、個人が独自に当局に提供する個人に関する情報が含まれます。 情報への自由なアクセスを開くには、個人データの主体である本人からの書面による許可が必要です。 被験者とは、オペレーターによって PD が収集、保存、処理される個人です。 オペレーターは法人または自然人、地方自治体または州当局です。

公的 PD には、対象者を特定できる以下の情報が含まれます。

• 生年月日と出身地。
• 自宅の住所。
• 電話番号;
• 職業;
• 個人の納税者番号。
• 職場や勉強場所、その他の情報。

公開データには、法的に機密ではない情報が含まれる場合があります。 対象者のPDは、個人情報の量と重要度に応じて分類できます。

公開データには次のものも含まれます 個人情報以下が提供されます:

• 雇用中に、契約または雇用契約を締結する。
• 国勢調査中。
• 貿易業務やその他同様の状況で契約関係を正式に締結する場合。

メディアを通じて広められる被験者の個人データは、「機密情報のリスト」に従って公開されているため、機密ではありません。

PD との受信、転送、処理、およびその他のアクションについて、被験者の書面による同意は必ずしも必要ではありません。 たとえば、アンケートに参加したり、ニュースレターを購読したりする場合、PD の使用を許可するボックスにチェックを入れるだけで十分な場合があります。

一般的なデータは、一般に公開されているソースに配置できます。 これは、ソースが膨大な数の関係者によって閲覧および使用されることを意味します。 このような情報源の例としては、電話帳があります。

公開データの処理

公的に入手可能なデータの処理は、個人データの収集、体系化、保管、変更、使用、破棄などの責任を負う部門および部門によって実行されます。 個人は、データオペレーターに関する情報を要求し、オペレーターが個人データの処理中にどのような目的を追求しているかを知る権利を有します。

処理中の法律遵守の監視はロスコムナゾールに委託されています。 FSB と FSTEC は一定の監査および監視権限を持っています。 事業者は自らのニーズに合わせて個人データ保護システムを構築するため、この点でそのような活動にライセンスを付与します。

PD は、活動を実行するために従業員、サプライヤー、顧客に関する情報を収集、蓄積、処理、保存する必要がある組織によって処理されます。 場合によっては、そのようなデータが公開データに含まれることもあります。

パブリックデータ主体の権利

個人データの主体は、その情報が関連性がなくなった場合、不完全である場合、または処理の目的に必要でない場合、公的に入手可能なデータのブロック、破棄、明確化、または変更を要求する申請書を提出することができます。 被験者はまた、自分の個人データへのアクセスを要求し、オペレーターが個人データを処理するためにどのようなツールを使用しているかを知る権利を有します。

情報は、機密か公開かにかかわらず、法的要件に従って使用され、保護されなければなりません。 対象者の個人データを完全に保護し、権限のない人物のデータへのアクセスを制限するのはオペレーターの責任です。

オペレーターは、処理対象者から書面による許可を受け取った後にのみ、個人データの処理を開始します。 同意には、個人およびオペレーターのデータに関する情報 (会社名、姓、名、オペレーターの愛称、役職) が含まれます。 同意には、処理の目的と、情報を使用して実行される操作を説明するデータのリストを示すことも必要です。 個人は、個人データを撤回し、処理への同意を取り消す権利を有します。

被験者が無能力または死亡した場合、PD の処理と使用に対する同意が相続人または法定代理人に求められます。 この場合、個人データに関する連邦法に従う必要があります。

法的要件に違反した場合、加害者は行政責任、刑事責任、その他の種類の責任を負います。 PD が機密であるか公開されているかは関係ありません。個人データに関する連邦法第 152 号の第 8 条に従って、公開されている PD は、データ主体の同意がある場合にのみ、公開されているソースに掲載できます。 ロスコムナゾール、裁判所、その他の政府機関などの主体または権限を与えられた機関によって要求された場合には、個人データを情報源から除外する必要があります。