Personuppgifter (förkortning PD ) eller personuppgifter - information som direkt eller indirekt hänför sig till en specifik eller identifierbar fysisk person ( föremålet för personuppgifter), som kan lämnas till andra personer [1] .
Även om begreppet personuppgifter är ganska gammalt, har utvecklingen av kommunikationsnätverk och automatiserad dataanalys gjort det möjligt att centralt samla in och massivt sälja data om en person. I vissa fall till och med stjäla . Denna information hjälper till att spåra en person, planera ett brott mot honom eller en utomstående utger sig för att vara en annan ; en mer fredlig användning av sådana personuppgifter är reklam .
Personuppgifter är ett lagligt , inte ett tekniskt koncept, men modern dataanalysteknik gör det möjligt att skilja en person från en annan med indirekta tecken.
Ansvaret för avslöjandet av personlig information på Ryska federationens territorium kommer, i enlighet med delar 1, 2, art. 13 i federal lag nr 323-FZ "Om grunderna för att skydda medborgarnas hälsa i Ryska federationen" i samband med information som utgör, till exempel medicinska hemligheter , vars avslöjande inte är tillåtet, inklusive efter döden av en medborgare. Dessa inkluderar [2] :
Även i fotnoten till art. 137 i Ryska federationens strafflag anger att det föreskrivs straffansvar för olaglig insamling eller spridning av information om en persons privatliv som utgör hans personliga hemlighet eller familjehemlighet, utan hans medgivande, eller spridning av denna information i en offentligt tal, offentligt demonstrerat arbete eller media , samt för samma handlingar som begås av en person som använder sin officiella ställning . Av ovanstående artiklar är det tydligt att varje person som bryter mot den federala lagen kan hållas ansvarig. Det visar sig att även om mobilapplikationer ( sociala nätverk , etc.), liksom Internet of things (IoT) inte utför några åtgärder utan deras bekräftelse, det vill säga lagens krav följs, men användaren måste vara särskilt försiktig när du bekräftar vissa rättigheter att få tillgång till konfidentiell information . Detta gäller även företagens dataskyddsstandarder [2] .
Även om det är möjligt att konfigurera användaråtkomst i sociala nätverk, löser detta inte problemet med att skydda personuppgifter. Det finns andra sätt för dataläckage , nämligen: offentliga uppgifter som frivilligt publiceras av användare på sociala nätverk kan behandlas av tredjepartstjänster , men en individ har alltid rätt att utesluta dessa uppgifter genom att skicka en motsvarande begäran till personuppgiftsoperatören ( till exempel en teleoperatör eller värd ), enligt vilken den senare är skyldig att omedelbart sluta behandla denna persons personuppgifter [3] . Glöm inte heller möjligheten för informationsläckage.
Med stöd av art. 13 i den federala lagen av den 22 december 2008 N 262-FZ "Om att säkerställa tillgång till information om domstolarnas verksamhet i Ryska federationen" avslöjande av information om domstolarnas verksamhet i media utförs i enlighet med lagstiftningen om ryska federationen om massmedia , på vilken den ryska federationens lag gäller daterad den 27 december 1991 N 2124-1 "Om massmedia", samt andra tillsynsrättsakter från Ryska federationen utfärdade i enlighet med den. På grundval av punkt I h. 2 Artikel. 14 i den federala lagen av den 22 december 2008 N 262-FZ "Om att ge tillgång till information om verksamheten vid domstolarna i Ryska federationen", läggs information om mål i domstol ut på Internet : ärenderegistreringsnummer, deras namn eller föremålet för tvisten, information om deltagare i rättegången , information om hur målen fortskrider i domstol, samt information om utfärdande av rättsakter baserat på resultaten av behandlingen av ärenden.
Information om deltagarna i rättegången läggs ut på Internet, med beaktande av kraven enligt artikel 15 i den federala lagen av den 22 december 2008 N 262-FZ "Om att ge tillgång till information om domstolarnas verksamhet i ryska Federation". Med stöd av mom. 1 timme 4 msk. 15 [4] är personuppgifter efternamn , förnamn och patronymer för deltagarna i rättegången, födelsedatum och födelseort, bosättnings- eller vistelseort, telefonnummer, uppgifter om pass eller annan identitetshandling, identifikationsnummer för en skattebetalare - en individ, huvudstatligt registreringsnummer enskild företagare , försäkringsnummer för ett individuellt personligt konto . När du lägger ut texter av rättsakter som antagits av domstolar med allmän jurisdiktion på Internet, ryska federationens högsta domstol , med undantag för texterna till rättsakter som antagits av Ryska federationens högsta domstol i enlighet med lagstiftningen om skiljeförfarande , För att säkerställa säkerheten för deltagare i rättegången och skydda staten och andra hemligheter som skyddas av lag, är personuppgifter som anges i del 4 i artikel 4 i den federala lagen N 262-FZ undantagna från dessa handlingar.
Istället för uteslutna personuppgifter används initialer , pseudonymer och andra beteckningar som inte gör det möjligt att identifiera deltagarna i försöket.
Identifikationsnumret för en skattskyldig - en enskild företagare, en enskild företagares huvudstatliga registreringsnummer , kärandens efternamn , förnamn och patronymer för käranden , svaranden , tredje part , civilrättslig kärande , civila svaranden , administrativ målsägande, administrativ svarande, berörd person, person för vilken handläggning i ett ärende om administrativt brott, efternamn, namn och patronymer för den dömde , frikände, domstolssekreterare, domare (domare) som behandlade målet, samt åklagaren , advokaten och ombudet .
Den federala lagen "om personuppgifter" reglerar relationer relaterade till behandling av personuppgifter som utförs av federala statliga myndigheter , statliga myndigheter i de ingående enheterna i Ryska federationen , andra statliga organ, lokala myndigheter , andra kommunala organ, juridiska personer och individer använda automationsverktyg, inklusive i informations- och telekommunikationsnät (del 1 av artikel 1). Enligt del 2 i artikel 8 i lagen om personuppgifter ska information om föremålet för personuppgifter när som helst undantas från offentliga källor för personuppgifter på begäran av föremålet för personuppgifter eller genom beslut av domstol eller annan auktoriserade statliga organ. I enlighet med klausul 5 i del 2, gäller den nämnda federala lagen inte på förbindelser som härrör från tillhandahållande av auktoriserade organ av information om verksamheten vid domstolar i Ryska federationen i enlighet med federal lag nr 262-FZ av 22.12. Federation ", som är en särskild lag som ska tillämpas på omtvistade rättsförhållanden.
En annan aspekt av personalisering är den växande förekomsten av öppna data på Internet. Många företag exponerar sina data för webben genom API :er , webbtjänster och öppna datastandarder. [5] Uppgifterna som tillhandahålls på detta sätt är strukturerade så att de kan länkas och återanvändas av tredje part. [6] Tillgång till data tillgänglig i användarens personliga sociala graf kan utföras av tredjepartsprogramvara som är lämplig för en personlig webbsida eller informationsenhet.
Webbsidor kan anpassas utifrån användaregenskaper (intressen, social kategori , sammanhang , etc.), åtgärder, avsikt att göra ett köp, kontrollera status för ett objekt, etc. Observera att denna upplevelse sällan bara är en användarupplevelse, utan är en relation mellan användaren och webbplatsdesigners önskemål när de vidtar specifika åtgärder för att uppnå mål (till exempel öka försäljningskonverteringar på sidan).
Personalisering övervägs också för användning i mindre öppna kommersiella applikationer för att förbättra användarupplevelsen på webben. [7]
Masspersonalisering definieras som anpassning enligt slutanvändarnas smak och preferenser. Bulkpersonalisering kan ses som ett samarbete mellan kunder och tillverkare som har olika prioriteringar och som behöver arbeta tillsammans för att hitta lösningar som bäst passar individuella kunders behov med anpassningsmöjligheter för tillverkare.
Den största skillnaden mellan massanpassning och masspersonalisering är att anpassning är förmågan hos ett företag att ge sina kunder möjligheten att skapa och välja en produkt enligt vissa specifikationer , men det har begränsningar. Ett exempel på massanpassning: en webbplats som känner till en användares plats och shoppingvanor kommer att erbjuda erbjudanden som är skräddarsydda för användarens demografi . Varje användare klassificeras enligt en viss egenskap (plats, ålder , etc.). Beteendeinriktning är ett koncept som liknar masspersonalisering .
Den normativa grunden för skydd av personuppgifter är normerna i Ryska federationens konstitution , den federala lagen "Om personuppgifter" , dekretet från Rysslands president "På listan över konfidentiell information" och andra handlingar. Den rättsliga grunden för den var den allmänna förklaringen om de mänskliga rättigheterna , som proklamerades av FN:s generalförsamling 1948. Enligt art. 12 i detta dokument "ingen får utsättas för godtycklig inblandning i sitt privatliv och familjeliv genom ett godtyckligt angrepp på hans heder och anseende." Bestämmelserna i deklarationen utvecklades ytterligare i andra internationella juridiska dokument och dokument från Europeiska unionen , särskilt i den europeiska konventionen för skydd av mänskliga rättigheter och grundläggande friheter som antogs den 4 december 1950 .
Den 28 januari 1981 antog Europarådet konventionen om skydd för enskilda med avseende på automatisk behandling av personuppgifter (nedan kallad konventionen om skydd för enskilda) och ett tilläggsprotokoll till konventionen rörande tillsynsmyndigheter och gränsöverskridande överföringar av uppgifter. Två direktiv från Europaparlamentet och Europeiska unionens råd har också antagits (direktiv 95/46/EG av den 24 oktober 1995 om skydd av enskildas rättigheter med avseende på behandling av personuppgifter och om fri rörlighet av sådana uppgifter och direktiv 97/66/EG av den 15 december 1997 om användning av personuppgifter och skydd av privatlivet inom telekommunikationsområdet). och ministerkommitténs rekommendationer till Europarådets medlemsstater om skydd av privatlivet på Internet (19 februari 1999)
Ryska federationens federala lag av den 27 juli 2006 152-FZ "Om personuppgifter" är den grundläggande inom området för skydd av personuppgifter . Denna lag antogs för att uppfylla Ryska federationens internationella förpliktelser som uppstod efter undertecknandet och ratificeringen av Europarådets konvention för skydd av enskilda med avseende på automatisk behandling av personuppgifter daterad den 28 januari 1981. Konventionen ratificerades med ändringar som godkändes av Europarådets ministerkommitté den 15 juni 1999, undertecknad på Ryska federationens vägnar i staden Strasbourg den 7 november 2001.
Ett av huvudkraven i konventionen och 152-FZ är att ta från ämnet för personuppgifter samtycke till behandling av personuppgifter .
Dekret från Ryska federationens regering av den 1 november 2012 N 1119 "Om godkännande av kraven för skydd av personuppgifter när de behandlas i informationssystem för personuppgifter" definierar säkerhetsnivåerna och nya typer av informationssystem .
Dokumentet instruerar den federala säkerhetstjänsten i Ryska federationen och den federala tjänsten för teknisk och exportkontroll att inom sin kompetens godkänna lagar och metodologiska dokument som är nödvändiga för att uppfylla kraven i förordningen.
Under 2008 antogs följande dokument (enligt dekret från Ryska federationens regering nr 781 - för närvarande har detta dekret annullerats, men metodiskt material används).
År 2012 antogs ett nytt regeringsdekret nr 1119 [8] [9] och 2013 trädde en ny FSTEC Order nr 21 i kraft, liksom ytterligare ändringar av federal lag nr 152 av 27/07/ 2011. Dessa dokument ställer nya krav på operatören av personuppgifter [10] [11] .
Dokument som inte gäller:
senare:
Order från Federal Service for Technical and Export Control (FSTEC of Russia) daterad 18 februari 2013 N 21 Moskva "Om godkännande av sammansättningen och innehållet i organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter under deras behandling av personuppgifter. system." Dokumentet registrerades hos Ryska federationens justitieministerium den 14 maj 2013, publicerad den 22 maj 2013 i Rossiyskaya Gazeta (nr 6083), trädde i kraft den 1 juni 2013.
Erkänner som ogiltig ordern från Rysslands FSTEC av den 5 februari 2010 N 58 "Om godkännande av metoder och sätt att skydda information i informationssystem för personuppgifter" (registrerad av Rysslands justitieministerium den 19 februari 2010, registrering N 16456).
I enlighet med bestämmelserna i den federala lagen av den 27 december 2009 nr 363-FZ "Om ändringar av artiklarna 19 och 25 i den federala lagen" om personuppgifter "", som trädde i kraft den 29 december 2009, i lag nr 152-FZ i del 1 Artikel 19 uteslöt kravet på operatören att använda kryptering (kryptografiska) medel vid behandling av PD . Således har kraven för det metodologiska material som utvecklats av Rysslands FSB och som syftar till att förklara kraven för att säkerställa säkerheten för personuppgifter genom att organisera kryptografiskt dataskydd upphört att vara obligatoriska.
Dokumentet är en metodologisk rekommendation för klassificering av informationssystem. Alla personuppgiftsoperatörer som behandlar med hjälp av automationsverktyg bör klassificera personuppgiftsinformationssystem .