Persondata (abbr. PD ) eller persondata - oplysninger, der direkte eller indirekte vedrører en specifik eller identificerbar fysisk person ( emnet for persondata), som kan gives til andre personer [1] .
Selvom begrebet persondata er ret gammelt, har udviklingen af kommunikationsnetværk og automatiseret dataanalyse gjort det muligt centralt at indsamle og massivt sælge data om en person. I nogle tilfælde endda stjæle . Disse data hjælper med at opspore en person, planlægge en forbrydelse mod ham eller en udefrakommende udgiver sig for at være en anden ; en mere fredelig brug af sådanne personlige data er reklame .
Personlige data er et lovligt , ikke et teknisk koncept, men moderne dataanalyseteknologier gør det muligt at skelne en person fra en anden ved indirekte tegn.
Ansvaret for videregivelse af personlige oplysninger på Den Russiske Føderations territorium kommer i overensstemmelse med del 1, 2, art. 13 i føderal lov nr. 323-FZ "Om det grundlæggende i at beskytte borgernes sundhed i Den Russiske Føderation" i forhold til oplysninger, der for eksempel udgør medicinske hemmeligheder , hvis afsløring ikke er tilladt, herunder efter døden af en borger. Disse omfatter [2] :
Også i fodnoten til art. 137 i Den Russiske Føderations straffelov fastslår, at den giver mulighed for strafferetligt ansvar for ulovlig indsamling eller spredning af oplysninger om en persons privatliv, der udgør hans personlige eller familiehemmelighed, uden hans samtykke, eller spredning af disse oplysninger i en offentlige taler, offentligt demonstreret arbejde eller medierne , samt for de samme handlinger begået af en person, der bruger sin officielle stilling . Fra ovenstående artikler er det klart, at enhver person, der overtræder den føderale lov, kan holdes ansvarlig. Det viser sig, at mens mobile applikationer ( sociale netværk osv.), såvel som tingenes internet (IoT) ikke udfører nogen handlinger uden deres bekræftelse, det vil sige, at lovens krav overholdes, men brugeren skal være særlig forsigtig, når du bekræfter visse rettigheder til at få adgang til fortrolige oplysninger . Dette gælder også for virksomhedernes databeskyttelsesstandarder [2] .
Selvom det er muligt at konfigurere brugeradgang i sociale netværk, løser dette ikke problemet med at beskytte personlige data. Der er andre måder til datalækage , nemlig: offentlige data, der frivilligt er lagt ud af brugere på sociale netværk, kan behandles af tredjepartstjenester , men en person har altid ret til at udelukke disse data ved at sende en tilsvarende anmodning til persondataoperatøren ( for eksempel en teleoperatør eller hoster ), ifølge hvilken sidstnævnte er forpligtet til straks at stoppe behandlingen af denne persons personoplysninger [3] . Glem heller ikke muligheden for informationslækage.
I kraft af art. 13 i den føderale lov af 22. december 2008 N 262-FZ "Om sikring af adgang til oplysninger om domstolenes aktiviteter i Den Russiske Føderation" offentliggørelse af oplysninger om domstolenes aktiviteter i medierne udføres i overensstemmelse med lovgivningen i den Russiske Føderation om massemedierne , som Den Russiske Føderations lov finder anvendelse på dateret 27. december 1991 N 2124-1 "Om massemedierne", samt andre lovgivningsmæssige retsakter fra Den Russiske Føderation udstedt i overensstemmelse hermed. På grundlag af stk.. I h. 2 artikel. 14 i den føderale lov af 22. december 2008 N 262-FZ "Om at give adgang til oplysninger om domstolenes aktiviteter i Den Russiske Føderation", er oplysninger om sager i retten offentliggjort på internettet : sagsregistreringsnumre, deres navne eller tvistens genstand, oplysninger om deltagere i retssagen , oplysninger om sagernes forløb i retten, samt oplysninger om udstedelse af retsakter baseret på resultaterne af behandlingen af sager.
Oplysninger om deltagerne i retssagen offentliggøres på internettet under hensyntagen til kravene i artikel 15 i den føderale lov af 22. december 2008 N 262-FZ "Om at give adgang til oplysninger om domstolenes aktiviteter i det russiske Føderation". I kraft af stk. 1 time 4 spsk. 15 [4] er personoplysninger efternavne , fornavne og patronymer på deltagerne i retssagen, fødselsdato og -sted, bopæl eller opholdssted, telefonnumre, oplysninger om pas eller andet identitetsdokument, identifikationsnummer på en skatteyder - en individuel, hovedstatsregistreringsnummer individuel iværksætter , forsikringsnummer på en individuel personlig konto . Når den russiske Føderations højesteret , med undtagelse af teksterne til retsakter vedtaget af Den Russiske Føderations højesteret i overensstemmelse med den proceduremæssige voldgiftslovgivning, på internettet placerer tekster af retsakter vedtaget af domstole med generel jurisdiktion , For at sikre sikkerheden for deltagerne i retssagen og beskytte staten og andre hemmeligheder, der er beskyttet ved lov, er personoplysninger specificeret i del 4 i artikel 4 i den føderale lov N 262-FZ udelukket fra disse handlinger.
I stedet for udelukkede personlige data bruges initialer , pseudonymer og andre betegnelser, der ikke tillader identifikation af deltagerne i forsøget.
Identifikationsnummeret for en skatteyder - en individuel iværksætter, hovedregistreringsnummeret for en individuel iværksætter, efternavne , fornavne og patronymer på sagsøgeren , sagsøgte , tredjemand , civil sagsøger , civil sagsøgt , administrativ sagsøger, administrativ sagsøgt, interesseret person, person, over for hvem sagen behandles i en sag om en administrativ lovovertrædelse, efternavne, navne og patronymer på den dømte , frikendte, retssekretær, dommer (dommere), der behandlede sagen, samt anklageren , advokaten og repræsentanten .
Den føderale lov "om personoplysninger" regulerer relationer relateret til behandling af personoplysninger udført af føderale statslige myndigheder , statslige myndigheder i de konstituerende enheder i Den Russiske Føderation , andre statslige organer, lokale regeringer , andre kommunale organer, juridiske enheder og enkeltpersoner ved hjælp af automatiseringsværktøjer, herunder i informations- og telekommunikationsnetværk (del 1 af artikel 1). I henhold til del 2 i artikel 8 i lov om personoplysninger skal oplysninger om emnet for personoplysninger til enhver tid udelukkes fra offentlige kilder til personoplysninger efter anmodning fra den person, der er omfattet af personoplysninger eller ved afgørelse truffet af en domstol eller anden autoriserede statslige organer. I henhold til paragraf 5 i del 2 finder nævnte føderale lov ikke anvendelse på forhold, der hidrører fra autoriserede organers levering af oplysninger om domstolenes aktiviteter i Den Russiske Føderation i overensstemmelse med føderal lov nr. 262-FZ af 22.12. ", som er en særlov, der skal anvendes på omtvistede retsforhold.
Et andet aspekt af personalisering er den voksende udbredelse af åbne data på internettet. Mange virksomheder eksponerer deres data for internettet gennem API'er , webtjenester og åbne datastandarder. [5] De data, der leveres på denne måde, er struktureret, så de kan linkes og genbruges af tredjeparter. [6] Adgang til tilgængelige data i brugerens personlige sociale graf kan udføres af tredjepartssoftware, der er egnet til en personlig webside eller informationsenhed.
Websider kan personaliseres baseret på brugeregenskaber (interesser, social kategori , kontekst osv.), handlinger, hensigt om at foretage et køb, tjekke status for et objekt osv. Bemærk, at denne oplevelse sjældent kun er en brugeroplevelse, men er et forhold mellem brugeren og webstedsdesignernes ønsker, når der skal foretages specifikke handlinger for at nå mål (for eksempel øge salgskonverteringer på siden).
Personalisering overvejes også til brug i mindre åbne kommercielle applikationer for at forbedre brugeroplevelsen på nettet. [7]
Massepersonalisering er defineret som tilpasning i henhold til slutbrugernes smag og præferencer. Bulk personalisering kan ses som et samarbejde mellem kunder og producenter, der har forskellige sæt af prioriteter og skal arbejde sammen for at finde løsninger, der bedst passer til individuelle kundebehov med tilpasningsmuligheder for producenter.
Den største forskel mellem massetilpasning og massetilpasning er, at tilpasning er en virksomheds evne til at give sine kunder mulighed for at skabe og vælge et produkt i henhold til visse specifikationer , men det har begrænsninger. Et eksempel på massetilpasning: et websted, der kender en brugers placering og indkøbsvaner, vil tilbyde tilbud, der er skræddersyet til den pågældende brugers demografi . Hver bruger er klassificeret efter en bestemt karakteristik (placering, alder osv.). Adfærdsmålretning er et koncept, der ligner massepersonalisering .
Det normative grundlag for beskyttelse af personoplysninger er normerne i Den Russiske Føderations forfatning , den føderale lov "om personlige data" , dekretet fra præsidenten for Den Russiske Føderation "På listen over fortrolige oplysninger" og andre handlinger. Det juridiske grundlag for den var Verdenserklæringen om Menneskerettigheder , proklameret af De Forenede Nationers Generalforsamling i 1948. Ifølge art. 12 i dette dokument "ingen må udsættes for vilkårlig indblanding i sit privat- og familieliv ved et vilkårligt angreb på hans ære og omdømme." Bestemmelserne i erklæringen blev videreudviklet i andre internationale juridiske dokumenter og dokumenter fra Den Europæiske Union , især i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder vedtaget den 4. december 1950 .
Den 28. januar 1981 vedtog Europarådet konventionen om beskyttelse af enkeltpersoner med hensyn til automatisk behandling af personoplysninger (herefter benævnt konventionen om beskyttelse af enkeltpersoner) og en tillægsprotokol til konventionen vedrørende tilsynsmyndigheder og grænseoverskridende overførsler af data. To direktiver fra Europa-Parlamentet og Rådet for Den Europæiske Union er også blevet vedtaget (direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af enkeltpersoners rettigheder med hensyn til behandling af personoplysninger og om fri bevægelighed af sådanne data og direktiv 97/66/EF af 15. december 1997 om brug af personoplysninger og beskyttelse af privatlivets fred inden for telekommunikation); og henstillinger fra Ministerkomitéen til Europarådets medlemsstater om beskyttelse af privatlivets fred på internettet (19. februar 1999)
Den Russiske Føderations føderale lov dateret den 27. juli 2006 152-FZ "Om personlige data" er den grundlæggende inden for beskyttelse af personoplysninger . Denne lov blev vedtaget for at opfylde Den Russiske Føderations internationale forpligtelser, der opstod efter undertegnelsen og ratificeringen af Europarådets konvention om beskyttelse af enkeltpersoner med hensyn til automatisk behandling af personoplysninger dateret den 28. januar 1981. Konventionen blev ratificeret med ændringer godkendt af Europarådets Ministerkomité den 15. juni 1999, underskrevet på vegne af Den Russiske Føderation i byen Strasbourg den 7. november 2001.
Et af hovedkravene i konventionen og 152-FZ er at tage fra emnet for persondatasamtykke til behandling af personoplysninger .
Dekret fra Den Russiske Føderations regering af 1. november 2012 N 1119 "Om godkendelse af kravene til beskyttelse af personoplysninger, når de behandles i persondatainformationssystemer" definerer sikkerhedsniveauerne og nye typer informationssystemer .
Dokumentet instruerer den føderale sikkerhedstjeneste i Den Russiske Føderation og den føderale tjeneste for teknisk og eksportkontrol om inden for deres kompetence at godkende lovgivningsmæssige retsakter og metodologiske dokumenter, der er nødvendige for at opfylde kravene i forordningen.
I 2008 blev følgende dokumenter vedtaget (i henhold til dekret fra Den Russiske Føderations regering nr. 781 - på nuværende tidspunkt er dette dekret blevet annulleret, men metodologiske materialer bruges).
I 2012 blev et nyt regeringsdekret nr. 1119 [8] [9] vedtaget , og i 2013 blev en ny FSTEC-bekendtgørelse nr. 21 sat i kraft, samt yderligere ændringer af føderal lov nr. 152 af 27/07/ 2011. Disse dokumenter stiller nye krav til operatøren af personoplysninger [10] [11] .
Dokumenter, der ikke gælder:
senere:
Bekendtgørelse fra Federal Service for Technical and Export Control (FSTEC i Rusland) af 18. februar 2013 N 21 Moskva "Om godkendelse af sammensætningen og indholdet af organisatoriske og tekniske foranstaltninger for at sikre sikkerheden af personoplysninger under deres behandling i persondataoplysninger systemer." Dokumentet blev registreret hos Justitsministeriet i Den Russiske Føderation den 14. maj 2013, offentliggjort den 22. maj 2013 i Rossiyskaya Gazeta (nr. 6083), trådte i kraft den 1. juni 2013.
Anerkender som ugyldig ordre fra FSTEC i Rusland dateret 5. februar 2010 N 58 "Om godkendelse af metoder og midler til beskyttelse af information i persondatainformationssystemer" (registreret af Ruslands justitsministerium den 19. februar 2010, registrering N 16456).
I overensstemmelse med bestemmelserne i den føderale lov af 27. december 2009 nr. 363-FZ "Om ændringer til artikel 19 og 25 i den føderale lov" om personoplysninger "", som trådte i kraft den 29. december 2009, i lov nr. 152-FZ i del 1 Artikel 19 udelukkede kravet om, at operatøren skal bruge kryptering (kryptografiske) midler ved behandling af PD . Således er kravene til det metodologiske materiale udviklet af FSB i Rusland og rettet mod at forklare kravene til at sikre sikkerheden af personlige data ved at organisere kryptografisk databeskyttelse ophørt med at være obligatoriske.
Dokumentet er en metodisk anbefaling til klassificering af informationssystemer. Alle persondataoperatører, der behandler ved hjælp af automatiseringsværktøjer, bør klassificere persondatainformationssystemer .