O operador de dados pessoais é Funções e responsabilidades, características

2024 Autor: Howard Calhoun | [email protected]. Última modificação: 2023-12-17 10:38

Operador de dados pessoais - quem é esse? Nem todos sabem que tipo de atividade é essa. Enquanto isso, na era da tecnologia, está cada vez mais em demanda. Então, quem é o operador de dados pessoais? Vamos falar sobre isso no artigo. E para deixar mais claro, vamos começar com uma definição.

Definição

Um operador de dados pessoais é uma pessoa física ou jurídica, bem como uma instituição municipal ou estadual que processa e recebe informações pessoais, determina as finalidades e procedimentos para os dados fornecidos.

O operador tem o direito de trabalhar de forma autônoma, ou pode recorrer a terceiros para obter ajuda. Estes últimos também são considerados operadores neste caso.

O que são dados pessoais

Descobrimos quem está processando informações pessoais. Este é o operador de dados pessoais. Mas o que se entende por dados pessoais? A lei não tem uma lista que responda claramente a essa pergunta. Em regra, as informações pessoais incluem dados do passaporte, número de identificação, antiguidade, localregistro e residência, local de trabalho, composição familiar, escolaridade. Em casos raros, isso pode incluir dados sobre benefícios ou estado de saúde.

Na verdade, um operador de dados pessoais é uma instituição que aceita informações pessoais de uma pessoa. Mesmo que sejam apenas dados de passaporte, a organização ainda é considerada a operadora de dados pessoais.

Os exemplos mais famosos de tais operadores podem ser dados. São bancos que trabalham com clientes e informações sobre contribuintes, agências de viagens. Isso também inclui sites que exigem informações sobre o assinante para cadastro, lojas onde são emitidos cartões de desconto. A lista também inclui clínicas que têm acesso a cartões médicos. Esta não é uma lista definitiva, é simplesmente impossível listar todas as organizações e instituições que processam informações pessoais.

Onde se encontra a informação

Naturalmente, tal volume de informação deve estar contido em algum lugar. Por esta razão, foi introduzido um registo de operadores de dados pessoais. Esta é uma base específica do Roskomnadzor, que reflete todas as pessoas jurídicas e pessoas físicas que são consideradas operadoras.

Para ser incluído no banco de dados, basta declarar independentemente às autoridades de Roskomnadzor, enviando um pedido por escrito ou enviando um e-mail. E você também pode notificar as autoridades no papel timbrado da empresa. Este procedimento foi descrito em detalhes na ordem do Ministério de Telecomunicações e Comunicações de Massa da Rússia de 2011.

Como todos os operadores estão incluídos no registro de operadores de dados pessoais, eles são obrigados a notificar o Roskomnadzor de todas as alterações,que dizem respeito a operações com informações pessoais, seu processamento. Este, por sua vez, controla o trabalho dos operadores e realiza verificações periódicas.

A lista de operadores de dados pessoais do Roskomnadzor está disponível para todos, pode ser visualizada no site oficial do serviço.

A propósito, a autoridade não pode recusar o registro de uma pessoa física ou jurídica. Se isso acontecer, o serviço viola a lei, o que significa que uma multa é imposta ao Roskomnadzor. A quantidade deste último pode chegar a quinhentos mil rublos.

Obrigações dos operadores

Como em qualquer atividade, trabalhar com informações pessoais está sujeito a obrigações e direitos. Considere as responsabilidades dos operadores de dados pessoais.

Roskomnadzor obriga a notificar o serviço que começou a processar a informação. Esta obrigação é imposta de acordo com o artigo 22 da Lei "Sobre Dados Pessoais". O aviso deve conter as seguintes informações:

1. Endereço, nome ou nome do operador, sobrenome, patronímico.
2. Base para processamento de informações pessoais.
3. Categoria de informações pessoais.
4. Categoria do sujeito cujos dados pessoais serão processados.
5. Link para documentos regulatórios que permitem o processamento de informações.
6. Lista de ações que o operador realizará para o tratamento de dados pessoais, bem como descrição dos métodos que utilizará no processo.
7. Medidas tomadas para proteger as informações.
8. Nome da pessoa jurídicaa pessoa ou nome, apelido e patronímico da pessoa responsável pela organização do processo de tratamento. Além disso, números de telefone de contato, endereço de e-mail e endereço postal devem ser fornecidos.
9. Data a partir da qual o processamento de dados começa.
10. Termos para processamento e condições sob as quais ele é encerrado.
11. Informações sobre se há ou não uma transferência de dados transfronteiriça no momento do processamento.
12. Informações sobre a localização do banco de dados, que contém as informações pessoais dos cidadãos do nosso país.
13. Dados sobre a segurança da informação e se ela atende aos requisitos estabelecidos pelo governo do nosso país.

Isso não significa que, em qualquer situação, os operadores de processamento de dados pessoais devam notificar o Roskomnadzor. Há momentos em que isso não é necessário. Por exemplo, não há necessidade de notificação se um empregador processar informações sobre seus funcionários. Isso também inclui a situação em que um contrato é celebrado com um cliente para algo. Nesse caso, a regra funciona apenas enquanto a informação não for fornecida a terceiros sem o consentimento do cliente. Não há necessidade de escrever um aviso para aqueles que emitem um passe único para algum território, processam os dados que estão disponíveis gratuitamente, usam apenas o primeiro nome, sobrenome e patronímico de uma pessoa.

O registro de operadores de dados pessoais da Roskomnadzor impõe uma obrigação na forma de garantir a confidencialidade das informações pessoais. Ou seja, é impossível distribuir qualquer informação sobre uma pessoa sem o seu consentimento. istoum dos principais requisitos para os operadores.

Obrigações dos empregadores

Existem pontos que os empregadores devem cumprir ao transferir dados:

1. Não divulgue informações sobre um funcionário a terceiros sem o seu consentimento. É importante lembrar que o consentimento deve ser dado por escrito. Mas isso não se aplica a situações em que a transmissão de informações ajuda a evitar uma ameaça à saúde e à vida de um funcionário ou é necessária a transferência de dados para serviços governamentais. Estes últimos incluem o Fundo de Pensões, agências de aplicação da lei, Serviço Judicial Federal, comissariados militares, Ministério Público e outros órgãos.
2. Avisar as pessoas que recebem informações pessoais que elas só podem ser usadas para o propósito a que se destinam. A propósito, o empregador tem todo o direito de exigir a confirmação do cumprimento desta regra.
3. Transferir dados pessoais dentro de apenas uma empresa ou um empreendedor. Isso deve ocorrer de acordo com um documento interno que o funcionário estudou e assinou.
4. Permitir que apenas pessoas autorizadas lidem com informações pessoais. Isso não significa que essas pessoas possam solicitar qualquer informação, elas têm o direito de usar apenas os dados necessários para realizar determinadas tarefas.
5. Não toque na saúde de um funcionário se isso não afetar suas obrigações diretas de trabalho.
6. Limite as informações que um representante de funcionários recebe apenas ao que é necessário para desempenhar as funções especificadas pelo representante.

Todas estas normas são definidas pela Lei "Sobre Dados Pessoais" e alguns artigos do Código do Trabalho. Vamos voltar ao registro de operadores de dados pessoais de Roskomnadzor e seus deveres.

Outras funções

Já mencionamos acima o que os operadores devem fazer. Vamos voltar a este assunto.

Os operadores são obrigados a tomar medidas para garantir a segurança das informações pessoais. Para o efeito, a empresa seleciona uma pessoa responsável pela organização do tratamento dos dados pessoais. Esta pessoa deve controlar o desempenho das funções do operador de dados pessoais, cumprindo os requisitos deste último para a segurança do uso da informação. A mesma pessoa é obrigada a dar a conhecer aos colaboradores envolvidos no tratamento as novas alterações à Lei "Sobre Dados Pessoais", bem como os atos internos sobre questões de tratamento. Compete-lhe ainda organizar o tratamento dos recursos e pedidos das pessoas cujos dados estão a ser tratados, bem como a receção desses recursos. Além do briefing, é necessário monitorar o uso de equipamentos técnicos de segurança e emitir documentos que regulem a política da empresa sobre o assunto.

Quanto à política do operador de dados pessoais, deve ser pública. Para isso, o documento é postado no site da operadora, e todos que precisam dele podem se familiarizar com ele. Se o site não estiver disponível, você pode instalar um estande com as informações necessárias em um local que todos os clientes e visitantes da organização possam se familiarizar com ele.

É importante lembrar que parapara os operadores de dados pessoais cujos documentos sejam solicitados via Internet, a opção só é possível com publicação no site. No site do Roskomnadzor, você pode encontrar informações sobre a política da operadora.

Muitas vezes há uma substituição de conceitos sobre a política da empresa e as disposições sobre armazenamento, proteção e processamento de informações pessoais. O último documento é considerado um ato interno, portanto, apenas os funcionários da empresa o conhecem, após o que o assinam.

Outra responsabilidade da operadora é cumprir os requisitos para a localização de informações pessoais de cidadãos de nosso país. O fato é que, desde 2015, todos os operadores, ao coletar informações pessoais, são obrigados a processá-las usando bancos de dados localizados em nosso país. Assim que a lei foi aprovada, houve muitas ambiguidades, mas com o tempo elas foram resolvidas. Agora sabe-se com certeza que, por exemplo, os operadores de dados pessoais por comunicação são obrigados a utilizar bases de dados de informação.

O último dever é a necessidade de parar de processar informações pessoais a tempo. Se a informação tiver sido usada e a pessoa cujos dados estavam sendo processados decidir retirar o consentimento para o processamento, o operador deve interromper o processamento dos dados e excluí-los dentro de um mês. É importante entender que um termo diferente pode ser especificado no contrato, por isso é tão importante ler os documentos.

Direitos do operador

Além dos deveres, os operadores têm seus próprios direitos. É verdade que eles são poucos, mas, no entanto, não devem ser esquecidos. A lista de operadores de dados pessoais dá a este último apenas umo direito de receber informações sobre mudanças na lei se estiverem relacionadas a dados pessoais.

Quem está incluído no banco de dados

Já dissemos acima que nem todos precisam ser cadastrados no cadastro de operadores de dados pessoais. Quem deve registrar a notificação?

1. Recursos da Internet. Isso inclui portais, redes sociais, fóruns, porque o registro requer dados pessoais, ainda que um pouco.
2. Compras online. Eles precisam disso porque os compradores deixam um número de telefone de contato para um retorno de chamada ou endereço postal ao fazer o pedido.
3. Sites que publicam informações sobre o assunto ou enviam para e-mail. E também aqui você pode incluir os sites que já contêm informações pessoais.
4. Organizações, empresas ou empreendedores que estão constantemente processando dados. São escritórios de contabilidade e jurídicos, agências de viagens, serviços habitacionais e comunitários, registradores, registradores, instituições médicas e bancos, instituições educacionais, empresas que prestam serviços e emitem cartões de clube.
5. Organizações que trabalham sob contratos de direito civil com freelancers.
6. Empresas que utilizam sistemas de CRM.

Atenção! Roskomnadzor pode bloquear um recurso da Internet se este violar a lei no campo do processamento de dados.

Empregador - operador ou não?

Já indicamos que todos devem fazer alterações no cadastro de operadores de dados pessoais, mas as opiniões sobre os empregadores ainda são diferentes. Quãoem regra, são classificados como operadores de dados pessoais, mas há exceções. Por exemplo, são os gerentes que armazenam e coletam informações apenas para elaborar um contrato de trabalho ou uma ordem interna de acordo com a lei.

Quem não é considerado operador

O registro de um operador de dados pessoais não é necessário para todas as pessoas e organizações. Quem pode viver sem isso?

1. Empresas de telefonia que usam dados de assinantes apenas para fornecer serviços de comunicação.
2. Organizações religiosas e sociais que usam informações pessoais sobre os membros apenas para os fins especificados nos documentos fundadores.
3. Instituições e indivíduos que usam os dados que o sujeito divulgou.
4. Empresas que emitem passes únicos.
5. Sistemas de dados públicos projetados para proteger e manter a ordem pública.
6. Organizações que processam dados sem sistemas automatizados.
7. Empresas de transporte que recebem informações para emissão de passagens.

É importante entender que para Roskomnadzor não importa se uma organização ou pessoa está incluída no registro de operadores que processam dados pessoais ou não. O serviço tem o direito de fazer uma visita de inspeção a qualquer instituição. Ou seja, mesmo aqueles que não são legalmente considerados operadores podem ser responsabilizados pelo não cumprimento dos requisitos de proteção de dados pessoais.

Como obter o direito de processar informações pessoais

Para garantir a segurança da transmissão e armazenamento de informações pessoais, foi desenvolvido um processo de licenciamento e certificação para organizações que armazenam e coletam dados.

Para obter uma licença, não basta enviar funcionários para treinamento, é preciso também adquirir meios técnicos de proteção. A obtenção de uma licença ocorre em várias etapas:

1. Envio de notificação ao registo de operadores de tratamento de dados pessoais sobre a intenção existente de tratamento.
2. Aprovação de um levantamento preliminar dos sistemas de informação disponíveis para a empresa.
3. Projeto de um sistema de proteção levando em consideração a infraestrutura de automação e equipamentos de informática.
4. Aquisição e implementação de equipamentos de proteção.
5. Alinhamento das instalações com os requisitos de segurança, proteção contra incêndio, fornecimento de energia.
6. Treinando funcionários ou aprimorando suas habilidades na área de proteção de dados pessoais com posterior certificação.

Se todos os pontos forem atendidos, o armazenamento e a proteção de informações pessoais serão eficazes.

É importante entender que todos os pontos se referem ao processamento de informações em formato eletrônico, embora esse método não possa ser considerado seguro para dados armazenados.

Verificando as atividades dos operadores

O operador que processa dados pessoais é periodicamente submetido a inspeção pela Roskomnadzor. Este último pode ser realizado de acordo com o plano, ou pode ser baseado na denúncia da pessoa que sofreu as ações ilegais do operador.

Controlar o cumprimento da lei sobre o tratamento de dados pessoais três departamentos:

1. Roskomnadzor. Ele realiza verificações de conformidade e também é responsável por conduzir as verificações.
2. Serviço Federal de Exportação e Controle Técnico. Este serviço protege os dados que estão nos computadores da organização e seus canais de transmissão. O último só ocorre quando a informação não é criptografada.
3. Serviço de Segurança Federal. Controla os meios de criptografia de transmissão e processamento de informações pessoais. Ela também desenvolve e distribui esses produtos.

Você pode verificar a qual organização este ou aquele operador pertence a você. Para fazer isso, acesse o site do Roskomnadzor e encontre o registro dos operadores.

Para visualizar as informações, basta digitar o número de registro da empresa ou seu nome. Um número de identificação fiscal também funcionará.

Você também pode descobrir com que legitimidade a informação foi solicitada. Se a empresa não estiver na lista, você poderá entrar em contato com a Roskomnadzor. Ele o incluirá no registro ou proibirá atividades ilegais para coletar dados pessoais.

A fiscalização é realizada com base em recurso dos cidadãos ou por iniciativa de um órgão departamental, por exemplo, o Ministério Público. Por violação do processamento e armazenamento de informações pessoais, a responsabilidade é fornecida. A punição pode ser administrativa, criminal ou disciplinar, tudo depende da gravidade da violação.

Como você estáseguro?

Em teoria, para evitar tais problemas, os cidadãos são aconselhados a verificar se a organização está na lista relevante antes de dar consentimento para o processamento de informações pessoais.

Na verdade, as pessoas raramente fazem isso, mesmo porque a maioria das pessoas nem sabe da existência de tal registro.

Vale especialmente a pena olhar para as pequenas organizações que nem sempre possuem as condições adequadas para o processamento da informação. Se houver suspeitas sobre isso, o consentimento não é necessário. Deixe que eles o recusem em um só lugar, mas você pode encontrar uma organização mais adequada e não terá problemas.

Direitos do titular dos dados

Apesar de cada operador ter sua própria política de dados pessoais, ela não deve contrariar a lei. Ou seja, todos os direitos das pessoas que fornecem informações pessoais sobre si mesmas devem ser respeitados.

Os direitos fundamentais incluem:

1. O direito de acessar suas próprias informações. Ou seja, uma pessoa tem o direito de saber quem processa seus dados, com que finalidade e quem verá as informações. Uma pessoa pode exigir esclarecimentos de dados, bloqueá-los ou excluí-los completamente. Para acessar seus dados, você precisa enviar uma solicitação ao operador. Isso pode ser feito tanto pelo próprio sujeito quanto por seu representante. Também há restrições a esse direito, por exemplo, se os dados afetarem a segurança do Estado, violarem as liberdades constitucionais e os direitos de terceiros ou interferirem nas atividades de busca operacional.
2. O direito de processar informações pessoais para a promoção de bens, serviços ou obras no mercado ou para fins de campanha política. O processamento de dados ocorre apenas se o titular concordar com isso. Em caso de conflito, considera-se que o tratamento ocorreu sem o consentimento do cliente, salvo se o operador tiver provado o contrário. Assim que o titular solicitar a interrupção do processamento de dados, o operador é obrigado a fazê-lo.
3. O direito do sujeito de tomar uma decisão com base no processamento automatizado de informações pessoais. É proibido por lei processar dados sem o consentimento por escrito da pessoa, apenas com base no processamento automatizado. As exceções são fornecidas pela lei federal.
4. Direito de apelar da inação ou ação do operador. Uma pessoa tem o direito de solicitar ao órgão autorizado a proteção dos direitos dos titulares de informações pessoais ou ao tribunal. No entanto, deve haver motivos para tal tratamento, por exemplo, violação de direitos ou processamento indevido de dados.

O sujeito também pode buscar indenização ou compensação material em juízo.

Conclusão

Como você pode ver, esta questão é fortemente regulamentada. Afinal, é justamente pelo recebimento descontrolado de informações pessoais que os cidadãos do nosso país se tornam vítimas de fraudadores e simplesmente pessoas desonestas. O estado está tentando apertar os requisitos tanto quanto possível para que possa, pelo menos de alguma forma, garantir a segurança do armazenamento de dados.

Vários sistemas de proteção estão sendo desenvolvidos, empresasestão sendo certificados e licenciados apenas para facilitar a vida dos cidadãos comuns.

No entanto, as pessoas também não devem ficar ociosas. Afinal, nosso próprio bem-estar depende de nós. No artigo, descrevemos como você pode verificar se uma organização está no registro ou não. Use essas informações, não consinta com o processamento de dados por instituições duvidosas e, assim, não terá que provar que seus direitos foram violados. Os problemas da maioria de nós são devidos à desatenção, e tudo porque eles não estão acostumados a ler documentos antes de assiná-los. Entretanto, isso deve ser ensinado desde o berço, assim como cuidar do conhecimento jurídico da criança. Quanto mais cedo começarmos a preparar as crianças para a vida adulta, mais fácil será para elas.