Наредбата за обработката и защитата на личните данни установява процедурата за събиране, натрупване, съхраняване, използване, изтриване и др. Информация, съдържаща информация за служителите на компанията. Документът трябва да описва процедурата за прехвърляне на PD на трети страни, характеристиките на автоматизираната и неавтоматизирана обработка на PD, процедурата за достъп до PD, процедурата за организиране на вътрешния контрол и отговорността за нарушения по време на обработката на PD.
Как да изготвим регламент относно обработката и защитата на личните данни
Документът е разработен в съответствие със законодателството на Руската федерация за личните данни и нормативните и методически документи на изпълнителните органи на държавната власт за сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни.
Регламентът за защита на личните данни обикновено се състои от 11 раздела:
- Общи разпоредби.
- Цели и задачи на PD обработката.
- Лични данни, обработвани в ISPDN (име, дата на раждане, телефонен номер за контакт, адрес за регистрация, действителен адрес на пребиваване).
- Достъп до PD.
- Основни изисквания за защита на личните данни.
- Съгласие за обработка на PD.
- Права на субекта във връзка с личните данни, обработвани от оператора.
- Права и задължения на оператора на ISPD.
- Процедурата за обработка и защита на личните данни.
- Особености на обработката на лични данни на служителите на оператора.
- Отговорност за нарушаване на тази разпоредба.
Регламентът за обработката и защитата на личните данни се прилага за всички процеси за събиране, систематизиране, натрупване, съхранение, изясняване, използване, разпространение (включително прехвърляне), обезличаване, блокиране, унищожаване на лични данни, извършвани с използването на автоматизация инструменти и без тяхното използване.
Субекти на лични данни
Субектите на лични данни включват:
- Персонал на оператора.
- Кандидати за работа.
- Клиенти (потребители на услугите на оператора).
- Индивидуалните предприемачи са изпълнители на оператора.
- Клиенти на организации, изпълнители на оператора (обслужване на корпоративни клиенти).
- Други лица, чиито лични данни се обработват от оператора.
Регламентът за обработването и защитата на личните данни влиза в сила от момента на неговото одобрение и е в сила за неопределено време, докато не бъде заменен от нов регламент. Всички служители на организацията трябва да бъдат запознати с този документ срещу подпис.
| (Пълно име на оператора) | ||||||||||||||||||
| „ОДОБРЕНО“ | |||||
| Индивидуален предприемач | |||||
| (позиция) | (личен подпис) | (пълно име) | |||
| № |
Регламент относно обработката и защитата на личните данни
Общи разпоредби
1.1.
Настоящият регламент е разработен в съответствие със законодателството на Руската федерация относно личните данни (наричано по-долу PD) и нормативните и методически документи на изпълнителните органи на държавната власт по сигурността на PD при обработката им в информационните системи на PD (по-долу наричан PDIS).
1.2.
За целите на настоящия регламент се използват следните термини:
лични данни (PD) - всяка информация, отнасяща се пряко или косвено до конкретно или идентифициращо се лице (субект на PD);
оператор - държавен орган, общински орган, юридическо или физическо лице, независимо или съвместно с други лица, организиране и (или) извършване на обработката на PD, както и определяне на целите на обработване на PD, състава на PD до да бъдат обработвани, действия (операции), извършвани с PD;
pD обработка - всяко действие (операция) или съвкупност от действия (операции), извършени с използването на инструменти за автоматизация или без използването на такива инструменти с PD, включително събиране, запис, систематизация, натрупване, съхранение, изясняване (актуализация, промяна) , извличане, използване, прехвърляне (разпространение, предоставяне, достъп), обезличаване, блокиране, изтриване, унищожаване на PD;
автоматизирана обработка на лични данни - обработка на лични данни с помощта на компютърни технологии;
разпространение на лични данни - действия, насочени към разкриване на лични данни на неопределен кръг от лица;
предоставяне на лични данни - действия, насочени към разкриване на лични данни на определено лице или определен кръг от лица;
pD блокиране - временно спиране на обработката на PD (с изключение на случаите, когато обработката е необходима за изясняване на PD);
унищожаване на PD - действия, в резултат на които става невъзможно да се възстанови съдържанието на PD в PDIS и / или в резултат на което се унищожават материалните носители на PD;
обезличаване на PD - действия, в резултат на които става невъзможно да се определи собствеността на PD на конкретен субект на PD, без да се използва допълнителна информация;
информационна система за лични данни (ISPDN) - набор от лични данни, съдържащи се в базите данни и осигуряващи обработката им на информационни технологии и технически средства;
трансграничен трансфер на лични данни - прехвърляне на лични данни на територията на чужда държава на властта на чужда държава, на чуждестранно физическо лице или на чуждестранно юридическо лице.
1.3.
Настоящият регламент определя процедурата и условията за обработка на PD в (по-долу наричан Оператор), включително процедурата за прехвърляне на PD на трети страни, характеристики на автоматизираната и неавтоматизирана обработка на PD, процедурата за достъп до PD, защита на PD система, процедурата за организиране на вътрешен контрол и отговорност за нарушения при обработка на PD, други въпроси.
1.4.
Настоящият регламент се прилага за всички процеси за събиране, систематизиране, натрупване, съхранение, изясняване, използване, разпространение (включително прехвърляне), обезличаване, блокиране, унищожаване на PD, извършвани с използването на инструменти за автоматизация и без тяхното използване.
1.5.
Настоящото правило влиза в сила от момента, в който е одобрено от Оператора и е в сила за неопределено време, докато не бъде заменено с ново Регламент.
1.6.
Всички промени в Правилника се извършват по поръчка.
1.7.
Всички служители на Оператора трябва да бъдат запознати с настоящия регламент срещу подпис.
Цели и задачи на PD обработката
2.1.
Обработката на PD трябва да бъде ограничена до постигането на конкретни, предварително определени и легитимни цели. Не се допуска обработка на PD, несъвместима с целите на събирането на PD.
2.2.
Не е разрешено комбинирането на бази данни, съдържащи лични данни, чиято обработка се извършва за цели, несъвместими помежду си.
2.3.
На обработка подлежат само PD, които отговарят на целите на тяхната обработка.
2.4.
2.5.
Обработката на лични данни на служителите на Оператора може да се извършва единствено с цел осигуряване на спазване на законите и други нормативни правни актове, подпомагане на служителите при наемане на работа, обучение и повишаване, осигуряване на личната безопасност на служителите, наблюдение на количеството и качеството на извършена работа и осигуряване безопасността на собствеността на Оператора.
2.6.
Основните цели на обработката на PD са:
Допълнителните цели на обработката на PD са :.
2.7.
ISPDn предоставя решение на следните задачи :.
Лични данни, обработвани в ISPD
3.1.
PDIS обработва PD на следните субекти на PD:
3.1.1.
служители на оператора;
3.1.2.
клиенти (потребители на услугите на Оператора);
3.1.3.
индивидуални предприемачи - изпълнители на Оператора;
3.1.4.
клиенти на организации, изпълнители на Оператора (обслужване на корпоративни клиенти);
3.2.
Този списък може да бъде преработен при необходимост.
3.3.
Личните данни на субектите на PD включват:
3.4.
Пълните списъци на обработените PD се формират в списъка на PD, които трябва да бъдат защитени в ISPD на оператора.
Достъп до PD
4.1.
Служителите на Оператора, които поради служебните си задължения непрекъснато работят с PD, получават допускане до необходимите категории PD за времето на съответните им трудови задължения въз основа на списъка на лицата, допуснати до работа с PD, който се одобрява от ръководителя на Оператора. Списъкът е съставен въз основа на концепцията за информационна сигурност и политиката за информационна сигурност.
4.2.
Списъкът на лицата, които имат достъп до PD за информационната система, трябва да се актуализира.
4.3.
Операторът е установил разрешителна процедура за достъп до PD. На служителите на Оператора се предоставя достъп до работа с PD само до степента и степента, необходима за изпълнение на задълженията им въз основа на решението на ръководителя
4.4.
Временно или еднократно допускане до работа с PD във връзка с бизнес необходимост може да бъде получено от служител на Оператора, както е уговорено от Управителя.
4.5.
Забранен е достъпът до PD от трети страни, които не са служители на Оператора без съгласието на субекта на PD, с изключение на достъпа на служители на изпълнителни органи, осъществяван в рамките на мерки за контрол и надзор на прилагането на законодателството, упражняване функциите и правомощията на съответните държавни органи. Предоставянето на информация по искане или искане на публичен орган се извършва със съгласието на ръководителя на оператора.
4.6.
Ако служител на организация на трета страна се нуждае от достъп до PD на оператора, е необходимо договорът с организацията на трета страна да посочи условията за поверителност на PD и задължението на организацията трета страна и нейните служители да спазват изискванията на действащото законодателство в областта на защитата на ПД. Освен това, в случай на достъп до PD на лица, които не са служители на Оператора, трябва да се получи съгласието на субектите на PD, за да предоставят PD на трети страни. Това съгласие не се изисква, ако PD се предоставя с цел изпълнение на граждански договор, сключен от Оператора с субекта на PD.
4.7.
Достъпът на служителя на Оператора до PD се прекратява от датата на прекратяване на трудовото правоотношение или от датата на промяна в трудовите задължения на служителя и / или изключването на служителя от списъка на лицата, които имат право на достъп PD. В случай на уволнение всички носители, съдържащи лични данни, които в съответствие със служебните задължения са били на разположение на служителя по време на работа, трябва да бъдат прехвърлени на съответното длъжностно лице.
Основни изисквания за защита на личните данни
5.1.
При обработка на PD в информационната система трябва да се осигури следното:
а) предприемане на мерки, насочени към предотвратяване на неоторизиран достъп до лични данни и / или прехвърлянето им на лица, които нямат право на достъп до такава информация;
б) своевременно откриване на факти за неоторизиран достъп до лични данни;
в) предотвратяване на въздействие върху техническите средства за автоматизирана обработка на PD, в резултат на което тяхното функциониране може да бъде нарушено;
г) възможността за незабавно възстановяване на PD, модифициран или унищожен поради неоторизиран достъп до тях;
д) постоянен контрол за осигуряване на нивото на сигурност на PD.
5.2.
Операторът е длъжен да предприеме необходимите правни, организационни, технически и други мерки, за да осигури сигурността на PD.
5.3.
За разработване на изисквания за сигурност и внедряване на система за сигурност на личните данни, Операторът е разработил „Модел на заплахи за сигурността на личните данни по време на тяхната обработка в ISPDN“, базиран на регулаторния и методологичен документ на FSTEC на Русия „Основен модел на заплахи за сигурността на личните данни по време на тяхната обработка в информационните системи за лични данни. "
5.4.
Операторът в съответствие с ръководния документ на държавните органи - Постановление на правителството на Руската федерация от 01.11.2012 г. № 1119 "За одобряване на изискванията за защита на личните данни при обработката им в информационни системи за лични данни" е извършена класификация на ISPD на оператора.
5.5.
Комисията е изготвила Акт за класификация на ISPD, обработени с инструменти за автоматизация:
| Акт за класификация по ISPD | Дата на класификация на ISPD | Необходимо ниво на сигурност |
5.6.
Въз основа на акта за проверка на ISPD и в съответствие с регулаторния и методологичен документ на FSTEC на Русия "Основни мерки за организацията и техническото осигуряване на сигурността на личните данни, обработвани в информационните системи за лични данни", е разработен и изпълни набор от мерки за защита и осигуряване на сигурността на PD („План за действие за осигуряване на безопасността на PD“).
5.7.
Операторът използва технически средства и софтуер за обработка и защита на лични данни. Води се и дневник за регистриране на средствата за защита на личните данни.
5.8.
Операторът поддържа дневник на счетоводството и съхранението на сменяеми носители.
5.9.
Горните технически средства на ISPD се намират в офиса и помещенията на Оператора.
5.10.
Всички лица, допуснати да работят с PD, както и тези, свързани с експлоатацията и техническата поддръжка на ISPD, трябва да бъдат запознати с изискванията на настоящия регламент чрез подпис и също да подпишат „Споразумението за гарантиране на поверителността на личните данни от служителите на Оператора ", съдържащи се в допълнението към настоящото правило.
5.11.
Операторът е организирал процес на обучение за използване на средства за защита на личните данни, експлоатирани от Оператора. Обучението в тази област се препоръчва за лица, които имат постоянен достъп до PD, както и за лица, работещи с хардуера и софтуера на ISPD и средствата за защита на ISPD. Лицата, отговорни за експлоатацията на средства за защита на информацията ISPDN, трябва да преминат обучение непременно.
5.12.
Служителите са длъжни незабавно да информират съответното длъжностно лице на Оператора за загубата или недостига на носители на информация, съставляващи PD, както и за причините и условията за евентуално изтичане на PD. В случай на опит от неупълномощени лица да получат от служителя личните данни, обработвани от Оператора, незабавно уведомете съответното длъжностно лице на Оператора за това.
Съгласие за обработка на PD
6.1.
Субектът на PD взема решение да предостави своя PD и се съгласява да ги обработва свободно, по собствена воля и в свой интерес. Съгласието за обработване на PD трябва да бъде конкретно, информирано и добросъвестно. Съгласие за обработване на PD може да бъде дадено от субекта на PD или негов представител под каквато и да е форма, която позволява да се потвърди фактът на получаването му, освен ако законодателството на Руската федерация не предвижда друго. В случай на получаване на съгласие за обработка на PD от представител на субекта на PD, правомощията на този представител да дава съгласие от името на PD субекта се проверяват от Оператора.
6.2.
Получаването на писмено съгласие за обработване на PD се извършва от служител на Оператора, при получаване на PD от субекта на PD, чрез издаване на писмено съгласие във формата, установена от Оператора на PDIS.
Права на субекта във връзка с личните данни, обработвани от оператора
7.1.
Субектът на PD има право:
Да получава информация от Оператора относно обработката на личните му данни. Информацията трябва да бъде предоставена на субекта на PD от Оператора в достъпна форма и не трябва да съдържа PD, свързана с други субекти на PD, освен ако няма законови основания за оповестяването на такава PD. Списъкът с информация и процедурата за получаване на информация са предвидени от действащото законодателство на Руската федерация;
Изисквайте от Оператора да изясни своя PD, да го блокира или унищожи, ако личните данни са непълни, остарели, неточни, незаконно получени или не са необходими за посочената цел на обработката, както и да предприеме мерки, предвидени в законодателството на Руската федерация, за да защита на техните права;
При условие на предварително писмено съгласие при обработка на PD с цел популяризиране на стоки, произведения, услуги на пазара чрез осъществяване на директни контакти с потенциален потребител, използващ средства за комуникация, както и за политическа кампания;
При условие на писмено съгласие при вземане, въз основа на изключително автоматизирана обработка на PD, решения на Оператора, които пораждат правни последици по отношение на субекта на PD или засягат по друг начин неговите права и законни интереси;
Да повдига възражения срещу решенията на Оператора въз основа на изключително автоматизирано обработване на личните му данни и възможните правни последици от такова решение;
Обжалване на действията или бездействието на Оператора пред упълномощения орган за защита правата на субектите на PD или в съда.
Права и задължения на оператора ISPDN
8.1.
Операторът ISPDn има правото:
8.1.1.
Да се \u200b\u200bповери обработката на PD на друго лице със съгласието на субекта на PD, освен ако федералният закон не предвижда друго въз основа на споразумение, сключено с това лице, включително държавен или общински договор, или чрез приемане на подходящ акт от държавен или общински орган.
8.1.2.
Ако субектът на PD отмени своето съгласие за обработка на PD, продължете обработката на PD без съгласието на субекта на PD, ако има основания, посочени в законодателството на Руската федерация.
8.1.3.
Откажете субекта на PD да извърши повторно искане за информация, която не отговаря на условията, предвидени в законодателството на Руската федерация. Такъв отказ трябва да бъде мотивиран. Операторът е отговорен за предоставяне на доказателства за валидността на отказа да изпълни повторното искане.
8.1.4.
Да определят самостоятелно състава и списъка на мерките, необходими и достатъчни, за да осигурят изпълнението на задълженията на оператора на ISPDN, предвидени от законодателството на Руската федерация.
8.2.
Операторът на ISPDN е длъжен:
8.2.1.
Преди началото на обработката на PD операторът е длъжен да уведоми упълномощения орган за защита правата на субектите на PD за намерението си да обработва PD, с изключение на случаите, предвидени в законодателството на Руската федерация.
8.2.2.
Когато получавате достъп до PD, не разкривайте на трети страни или разпространявайте PD без съгласието на субекта на PD, освен ако федералният закон не предвижда друго.
8.2.3.
Предоставете доказателство за получаване на съгласието на субекта на PD за обработване на неговия PD или доказателство за съществуването на правно основание, обработващо PD без съгласието на субекта на PD.
8.2.4.
Преди да започнете трансграничния трансфер на PD, уверете се, че чуждестранната държава, на чиято територия се извършва трансферът на PD, осигурява адекватна защита на правата на субектите на PD.
8.2.5.
По искане на субекта на PD, спрете да обработвате неговия PD, за да популяризирате стоки, произведения, услуги на пазара чрез осъществяване на директни контакти с потенциален потребител, използващ комуникации, както и за политическа кампания.
8.2.6.
Обяснете на субекта на PD процедурата за вземане на решение въз основа на единствено автоматизирано обработване на неговия PD и възможните правни последици от такова решение, предоставете възможност за възражение срещу такова решение, както и обяснете процедурата за защита на PD субект на неговите права и законни интереси.
Операторът е длъжен да разгледа възражението в рамките на тридесет дни от датата на получаването му и да уведоми субекта на PD за резултатите от разглеждането на такова възражение.
8.2.7.
Когато събирате PD, предоставете на субекта на PD по негово искане информацията, предвидена от законодателството на Руската федерация.
Ако предоставянето на PD на оператора за субекта на PD е задължително в съответствие с федералния закон, операторът е длъжен да обясни на субекта на PD правните последици от отказа да предостави своя PD.
8.2.8.
Ако PD не се получи от субекта на PD, Операторът, с изключение на случаите, предвидени от законодателството на Руската федерация, преди началото на обработката на такъв PD, предоставя на субекта на PD следната информация:
1) името или фамилията, собственото име, бащиното име и адреса на оператора или негов представител;
2) целта на обработването на PD и неговото правно основание;
3) потенциални потребители на PD;
4) правата на субекта на лични данни, установени от този федерален закон;
5) източникът на получаване на PD.
8.2.9.
Вземете необходимите и достатъчни мерки, за да осигурите изпълнението на задълженията на оператора на ISPDN, предвидени в законодателството на Руската федерация.
8.2.11.
Когато събирате PD, използвайки информационни и телекомуникационни мрежи, публикувайте в съответната информационна и телекомуникационна мрежа документ, определящ нейната политика по отношение на обработката на PD, и информация за изискванията за PD защита, която се прилага, както и предоставяне на възможност за достъп до този документ, използвайки подходящата информация - телекомуникационна мрежа.
8.2.12.
По искане на упълномощения орган за защита на правата на субектите на PD.
8.2.13.
Когато обработвате PD, вземете необходимите правни, организационни и технически мерки или осигурете тяхното приемане, за да защитите PD от неоторизиран или случаен достъп до тях, унищожаване, модифициране, блокиране, копиране, предоставяне, разпространение на PD, както и от други незаконни действия в отношение към PD.
8.2.14.
Да информира, по начина, предписан от законодателството на Руската федерация, субекта на PD или негов представител безплатно за наличието на PD, свързан със съответния PD предмет, както и да предостави възможност да се запознае с тези PD, когато PD субект или негов представител, или в рамките на тридесет дни от датата на получаване на искането на субекта PD или негов представител.
8.2.15.
В случай на отказ да се предостави информация за наличието на PD на съответния PD или PD субект на PD или негов представител при поискване или при получаване на искане от субекта на PD или негов представител, операторът трябва да даде мотивиран отговор в писмена форма, съдържаща препратка към разпоредбата на законодателството на Руската федерация, която е основание за такъв отказ, в срок не по-дълъг от тридесет дни от датата на искането на субекта на PD или негов представител или от датата на получаване на искането на субекта на PD или негов представител.
8.2.16.
В срок, не по-дълъг от седем работни дни от датата, в която субектът на PD или негов представител предоставя информация, потвърждаваща, че PD е непълна, неточна или ирелевантна, Операторът е длъжен да направи необходимите промени в тях. В срок, не по-дълъг от седем работни дни от датата, на която субектът на PD или негов представител представи информация, потвърждаваща, че такава PD е получена незаконно или не е необходима за посочената цел на обработката, операторът е длъжен да унищожи такава PD. Операторът е длъжен да уведоми субекта на PD или негов представител за предприетите промени и мерки и да предприеме разумни мерки, за да уведоми трети страни, на които PD е прехвърлен.
8.2.17.
Информирайте упълномощения орган за защита правата на субектите на PD по искане на този орган необходимата информация в рамките на тридесет дни от датата на получаване на такова искане.
8.2.18.
В случай, че незаконната обработка на PD бъде открита от оператора или лице, действащо от името на оператора, операторът, в срок не по-дълъг от три работни дни от датата на тази идентификация, е длъжен да спре незаконната обработка на PD или да гарантира, че незаконната обработка на PD е спряна от лицето, действащо от името на Оператора. Ако е невъзможно да се осигури законността на обработването на PD, Операторът, в срок не по-дълъг от десет работни дни от датата на откриване на незаконна обработка на PD, е длъжен да унищожи такива PD или да осигури тяхното унищожаване. Операторът е длъжен да уведоми субекта на PD или негов представител за отстраняване на нарушения или унищожаване на PD, а ако искането на субекта на PD или негов представител или искането на упълномощения орган за защита на правата на субектите на PD са изпратени от упълномощения орган за защита правата на субектите на PD, също посочения орган ...
8.2.19.
Ако целта на обработката на PD е постигната, Операторът е длъжен да спре обработването на PD или да осигури нейното прекратяване (ако обработката на PD се извършва от друго лице, действащо от името на оператора) и да унищожи PD или да осигури тяхното унищожаване (ако обработката на PD е извършено от друго лице, действащо от името на Оператора) в срок, не по-дълъг от тридесет дни от датата на постигане на целта за обработка на PD, освен ако в договора не е предвидено друго, страната на която, бенефициентът или поръчителят, съгласно която субектът на PD е друго споразумение между Оператора и субекта на PD или ако Операторът няма право да обработва PD без съгласието на субекта на PD на основанията, предвидени в законодателството на Руската федерация.
8.2.20.
Ако субектът на PD оттегли съгласието си за обработката на неговия PD, спрете да го обработвате или осигурете прекратяването на тази обработка (ако обработването на PD се извършва от друго лице, действащо от името на оператора) и ако съхранението на PD не е по-дълги, необходими за целите на обработката на PD, унищожават PD или осигуряват тяхното унищожаване (ако обработването на лични данни се извършва от друго лице, действащо от името на Оператора) в рамките на период, не по-дълъг от тридесет дни от датата на получаване на споменатия отмяна, освен ако в договора не е предвидено друго, страната, на която бенефициентът или поръчителят е субект на личните данни, друго споразумение между оператора и субекта на PD или ако Операторът няма право да обработва PD без съгласието на субекта на PD на основанията, предвидени в законодателството на Руската федерация.
8.2.21.
Назначете лице, отговорно за организирането на обработката на PD.
Процедурата за обработка и защита на личните данни
9.1.
Осигуряването на поверителност на PD, обработвано от Оператора, е задължително изискване за всички лица, на които PD стана известно.
9.2.
Служителите на оператора, които обработват документите, са длъжни да получат, в установени случаи, съгласието на субектите на PD за обработка.
9.3.
В случай на нарушение на установената процедура за обработка на лични данни, служителите на Оператора носят отговорност в съответствие с раздел 9 от настоящия регламент.
9.4.
Личните данни на субектите на хартиен носител, обработвани от Оператора, се съхраняват в отдели (служители), които имат разрешение да обработват съответните PD. Правото на допускане на служители до неавтоматизиран ISPD се определя от заповедта на ръководителя. PD превозвачите не трябва да се оставят без надзор. Когато напускат работното място, служителите, извършващи PD обработка, трябва да поставят носителя в безопасен, заключващ се шкаф или по друг начин да ограничат неоторизиран достъп до носителя. В случай на загуба или повреда на лични данни, тяхното възстановяване се извършва, когато е възможно.
9.5.
Места за съхранение на документи, съдържащи лични данни:
9.5.1.
Личните данни на клиентите на Оператора (договори, актове, споразумения, въпросници, копия на паспорти, други подобни документи, съдържащи личните данни на клиентите на Оператора, носители на данни (флаш карти, CD-дискове и др.) Се съхраняват в основната и резервни офиси на Оператора, се поставят на рафтовете и се заключват с ключ. Отговорното лице, отговарящо за контрола, се определя със заповедта на Ръководителя.
9.5.2.
Личните данни на служителите на Оператора - документи, носители за съхранение (флаш карти, CD-дискове и др.) Се съхраняват в сейфа на компанията и се заключват с ключ. Отговорно лице, упражняващо контрол, е ръководителят на оператора.
9.6.
Издаването на документи за преглед се извършва на лица, допуснати до съответната информация, за да изпълняват служебните си задължения, за период не по-дълъг от един работен ден.
9.7.
Други носители могат да се съхраняват в главните и резервни офиси на Оператора, да се поставят на рафтове и да се заключват с ключ или в сейфа на организацията. Отговорното лице, упражняващо контрол върху други медии, се определя със заповедта на ръководителя.
9.8.
При работа със софтуера на автоматизираната система на Оператора, която реализира функциите за преглед и редактиране на PD, е забранено да се демонстрират екранни формуляри, съдържащи такива данни, на лица, които нямат подходящо разрешение.
9.9.
При получаване на PD от служител на Оператора, който в съответствие с работните си задължения получава PD от клиент, служител на друго лице, точността на PD е задължителна. Въвеждането на PD, получено от Оператора в информационната система, се извършва от служители, които имат достъп до съответния PD. Служителите, които въвеждат информация, носят отговорност за точността и пълнотата на въведената информация.
9.10.
Спецификата на обработката на PD, съдържаща се на хартия, без използване на средства за автоматизация (при съставяне на документи не се използва компютър) се установява в съответствие с Постановлението на правителството на Руската федерация от 15.09.2008 г. N 687 "За одобрение на регламента относно спецификата на обработката на лични данни, извършена без използване на инструменти за автоматизация "...
9.11.
За ръчна обработка на различни категории лични данни трябва да се използва отделен материален носител за всяка категория лични данни.
9.12.
За неавтоматизирано обработване на лични данни на хартия:
9.12.1.
Не е разрешено да се фиксира PD върху един хартиен носител, чиито цели на обработка очевидно са несъвместими;
9.12.2.
PD трябва да бъдат отделени от друга информация, по-специално чрез фиксирането им върху отделни носители на хартия, в специални раздели или в полетата на формуляри (формуляри);
9.13.
Когато се използват стандартни форми на документи, естеството на информацията, в която се предполага или позволява включването на PD (наричани по-долу стандартни формуляри), трябва да се спазват следните условия:
9.13.1.
Стандартният формуляр или свързаните с него документи (инструкции за попълването му, карти, регистри и списания) трябва да съдържат информация за целта на неавтоматизираната обработка на PD, името (заглавието) и адреса на оператора, фамилията, името, бащиното име и адрес на субекта на PD, източник на получаване на PD, условия на обработка на PD, списък с действия с PD, които ще бъдат извършени по време на тяхната обработка, общо описание на методите, използвани от оператора за обработка на PD;
9.13.2.
Стандартният формуляр трябва да включва поле, в което субектът на PD може да постави отметка върху своето съгласие за ръчната обработка на PD - ако е необходимо да се получи писмено съгласие за обработката на PD;
9.13.3.
Стандартният формуляр трябва да бъде изготвен по такъв начин, че всеки от субектите на PD, съдържащи се в документа, да има възможност да се запознае със своите PD, съдържащи се в документа, без да нарушава правата и законните интереси на други субекти на PD;
9.13.4.
Стандартният формуляр трябва да изключва комбинацията от полета, предназначени за въвеждане на PD, чиито цели на обработка очевидно са несъвместими.
9.14.
Съхранението на PD трябва да се извършва във форма, която позволява да се определи субектът на PD, не по-дълъг от целта на обработката на PD, ако периодът на съхранение на PD не е установен от федералния закон, споразумение, на което е обектът на PD страна, бенефициент или поръчител.
9.15.
Случаи на унищожаване, блокиране и изясняване на PD:
9.16.
Унищожаването или обезличаването на част от личните данни, ако е позволено от материален носител, може да се извърши по начин, който изключва по-нататъшната обработка на тези лични данни, като същевременно се запазва възможността за обработка на други данни, записани на материален носител (изтриване, изтриване ).
9.17.
Изясняването на PD при тяхната обработка без използване на средства за автоматизация се извършва чрез актуализиране или промяна на данните на материалния носител, а ако това не е позволено от техническите характеристики на материалния носител - чрез фиксиране на същия носител на информация за направените промени към тях или като се направи нов материален носител с актуализиран PD.
9.18.
Унищожаването на превозвачи, съдържащи лични данни, се извършва в следния ред:
9.18.1.
PD на хартия се унищожават с помощта на шредери (шредери за документи), инсталирани в офиса на Оператора.
9.18.2.
PD, съхранени в паметта на компютъра, се унищожават чрез изтриването им от паметта на компютъра.
9.18.3.
PD, поставени на флаш карта, CD-диск, друг носител на информация, се унищожават чрез изтриване на файла от носителя, ако е необходимо, чрез нарушаване на работата на флаш картата или CD-диска.
9.19.
Съставя се акт за унищожаване на носителя на информация (за формите на актовете вижте приложенията).
9.20.
Офисът, помещенията на Оператора, в края на работния ден и отсъствието на служители в офиса, помещенията трябва да бъдат заключени, прозорците трябва да бъдат затворени, алармата трябва да бъде включена (ако има такава).
9.21.
Мрежовото оборудване, сървърите трябва да бъдат разположени на места, недостъпни за неоторизирани лица (в специални помещения, шкафове, кутии).
9.22.
Почистването на помещенията и поддръжката на техническите средства на ISPD трябва да се извършва под контрола на лицата, отговорни за тези помещения и технически средства при спазване на мерки за изключване на неоторизиран достъп до PD, носители на информация, софтуер и хардуер за обработка, предаване и защита на информация ISPD.
9.23.
Отговорностите на администраторите на ISPD включват управление на акаунтите на потребителите на ISPD, поддържане на редовната работа на ISPD, осигуряване на архивиране на данни, както и инсталиране и конфигуриране на хардуера и софтуера на ISPD, които не са свързани с осигуряване на сигурността на PD в ISPD . Също така, отговорностите на администраторите на ISPD включват осигуряване на съответствието на процедурата за обработка и осигуряване на сигурността на PD в ISPD с изискванията за поверителност, целостта и наличността на PD, приложими за конкретен PDIS, и общите изисквания за сигурност на PD установени от федералното законодателство.
9.24.
Задълженията на администраторите на ISPD включват също инсталиране, конфигуриране и администриране на хардуерни и софтуерни средства за защита на информацията по ISPD, отчитане и съхранение на машинни PD, периодичен одит на регистрационните файлове за сигурност и анализ на защитата на ISPD, както и участие в официални разследвания на нарушения на установената процедура за обработка и осигуряване на сигурността на PD ...
9.25.
За да се осигури разпределението на правомощията, осъществяването на взаимен контрол и предотвратяване на концентрацията, от решаващо значение за сигурността на PD, правомощията на едно лице, не се препоръчва да се комбинират ролите на потребителя на ISPD и администратора на ISPD, представлявани от един служител.
9.26.
Квалификационните изисквания и подробен списък на правата и задълженията на администраторите на ISPD са фиксирани в съответните длъжностни характеристики, с които служителите, възложени на тези роли, трябва да бъдат запознати с подписването.
9.27.
Организацията на вътрешен контрол на процеса на обработка на PD при Оператора се извършва с цел проучване и оценка на действителното състояние на сигурността на PD, навременна реакция при нарушения на установената процедура за тяхната обработка, както и с цел подобряване на това процедура и да се гарантира нейното съответствие.
9.28.
Мерките за осъществяване на вътрешен контрол върху обработката и сигурността на PD са насочени към решаване на следните задачи:
9.28.1.
Гарантиране, че служителите на Оператора спазват изискванията на настоящия регламент и нормативните правни актове, уреждащи обхвата на личните данни.
9.28.2.
Оценка на компетентността на персонала, участващ в обработката на PD.
9.28.3.
Осигуряване на работоспособността и ефективността на техническите средства на средствата за защита ISPD и PD, тяхното съответствие с изискванията на упълномощените изпълнителни органи по сигурността на PD.
9.28.4.
Идентифициране на нарушения на установената процедура за обработка на лични данни и своевременно предотвратяване на негативни последици от такива нарушения.
9.28.5.
Предприемане на коригиращи мерки, насочени към отстраняване на установените нарушения, както в процедурата за обработка на PD, така и при експлоатацията на техническите средства на ISPD.
9.28.7.
Изпълнение на вътрешен контрол по изпълнение на препоръки и инструкции за отстраняване на нарушения.
9.29.
Резултатите от контролните дейности са формализирани в актове и са основа за разработване на препоръки за подобряване на процедурата за обработка и осигуряване на сигурността на PD, за модернизиране на техническите средства на PDIS и средства за защита на PD, за обучение и повишаване на компетентността на персонала, участващ в обработката на PD.
Характеристики на управлението на PD на служителите на оператора
10.1.
Този раздел установява допълнителни права и задължения на Оператора и служителите при обработката на личните данни на служителите на Оператора.
10.2.
PD на служител - информация, изисквана от Оператора във връзка с трудовите правоотношения и касаеща конкретен служител.
10.3.
Обработката на лични данни на служител може да се извършва единствено с цел осигуряване на спазване на законите и други нормативни нормативни актове, подпомагане на служителите при наемане на работа, обучение и повишаване, осигуряване на лична безопасност на служителите, наблюдение на количеството и качеството на работата извършено и осигуряващо безопасността на имуществото.
10.4.
Операторът няма право да получава и обработва личните данни на служителя относно неговото членство в обществени сдружения или неговите синдикални дейности, с изключение на случаите, предвидени от федералните закони;
10.5.
Когато взема решения, засягащи интересите на служител, Операторът няма право да разчита на личните данни на служителя, получени единствено в резултат на тяхната автоматизирана обработка или електронно получаване;
10.6.
Служителите не трябва да се отказват от правата си да поддържат и защитават тайните;
10.7.
Операторът се задължава да не разкрива личните данни на служителя за търговски цели без неговото писмено съгласие;
10.8.
Операторът се задължава да предупреди служителите на Оператора, трети страни, които получават личните данни на служителя (с негово съгласие), че тези данни могат да се използват само за целите, за които са съобщени, и изисква от тези лица да потвърдят, че това правило е спазено . Лицата, които получават PD на служителя, са длъжни да спазват режима на тайна (поверителност). Поверителността се гарантира чрез подписване на споразумение с лицето (допълнение към настоящия регламент). Тази разпоредба не се прилага за обмена на лични данни на служителите по реда, предписан от законодателството на Руската федерация;
10.9.
Достъпът до личните данни на служителите се осъществява въз основа на заповеди и разпоредби, одобрени от Оператора.
10.10.
Операторът се задължава да не изисква информация за здравословното състояние на служителя, с изключение на тази информация, която се отнася до въпроса за способността на служителя да изпълнява трудовата функция;
10.11.
Операторът се задължава да прехвърли PD на служителя на представители на служителите по реда, предписан от законодателството на Руската федерация, и да ограничи тази информация само до PD PD на служителя, които са необходими на посочените представители да изпълняват своите функции.
10.12.
Служителят има право да определя своите представители за защита на личните му данни.
Отговорност за нарушаване на тази разпоредба
11.1.
Ръководството на Оператора носи отговорност за неспазване на поверителността на PD и неспазване на правата и свободите на субектите на PD във връзка с тяхното PD, включително правата на личен живот, лични и семейни тайни.
11.4.
В случаи на нарушение на установената процедура за обработка и осигуряване на сигурността на личните данни, неоторизиран достъп до лични данни, разкриване на лични данни и причиняване на материални или други щети на Оператора, неговите служители, клиенти и контрагенти, виновните лица носят граждански, наказателна, административна, дисциплинарна и друга отговорност, предвидена в законодателството на Руската федерация.
На 1 юли 2017 г. влезе в сила Федерален закон № 13-FZ от 7 февруари 2017 г., който изменя чл. 13.11 от Административния кодекс и предвижда разширяване на списъка на основанията за привеждане към административна отговорност за незаконни х и значително увеличение на глобите.
Един от задължителните документи, които операторът на лични данни трябва да подготви, за да се съобрази с изискванията на Федерален закон № 152-FZ от 27 юли 2006 г., се нарича Политика за обработка на лични данни, обяснява как работи компанията данните на служители, клиенти и други лица. Този файл е свободно достъпен на почти всички сайтове, които имат някаква форма за събиране на лични данни.
Как да съставя правилно Политика за обработка на лични данни, кои раздели трябва да бъдат включени? Roskomnadzor предоставя разяснения по тези въпроси.
Структура на политиката за обработка на лични данни
- Общи разпоредби
- Цел на събиране на лични данни
- Правно основание за обработката на лични данни
- Обем и категории обработвани лични данни, категории субекти на лични данни
- Процедурата и условията за обработване на лични данни
- Актуализиране, коригиране, изтриване и унищожаване на лични данни, отговаряне на заявки от субекти за достъп до лични данни
1. Общи цели
В този раздел вие всъщност отговаряте на въпроса - за какво служи Политиката за обработка на лични данни? Той също така обяснява основните понятия, които се използват в документа, както и правата и задълженията на оператора и субекта на личните данни.
2. Цел на събиране на лични данни
Изкуство. 5 от Федералния закон от 27.07.2006 г. № 152-FZ изисква определянето на конкретни, легитимни цели на събирането на данни. Следователно е невъзможно да се обработват лични данни, които не отговарят на тези цели.
Роскомнадзор посочва, че целите на обработването на лични данни могат да възникнат, включително:
- от анализа на нормативни актове, регулиращи дейността на оператора;
- целите на действително извършените от оператора дейности;
- от дейностите, предвидени в учредителните документи на оператора;
- от специфични бизнес процеси на оператора в конкретни информационни системи за лични данни (чрез структурни подразделения на оператора и техните процедури във връзка с определени категории субекти на лични данни).
3. Правно основание за обработката на лични данни
Федералният закон № 152-FZ от 27.07.2006 г. не е правно основание за обработката на лични данни. Тази роля се изпълнява от правни актове, в съответствие с които операторът обработва данни.
По този начин в Политиката за обработка на данни като правно основание могат да бъдат посочени: федерални закони и нормативни правни актове, приети на тяхна основа, регулиращи отношения, свързани с дейността на оператора; нормативни документи на оператора; договори, сключени между оператора и субекта на лични данни; съгласие за обработване на лични данни (в случаите, които не са изрично предвидени от законодателството на Руската федерация, но съответстват на правомощията на оператора).
4. Обемът и категориите обработвани лични данни, категориите субекти на лични данни
Важно е обемът на обработваните лични данни да не се отклонява от посочените цели на обработване.
Категориите субекти на лични данни могат да включват: служители - както настоящи, така и бивши, кандидати за свободни работни места, роднини на служители, клиенти и контрагенти (физически лица), представители или служители на клиенти и контрагенти.
Роскомнадзор обръща внимание на факта, че за всяка категория субекти и във връзка с конкретни цели трябва да бъдат посочени всички обработени лични данни. Всички случаи на обработка на специални категории лични данни и биометрични лични данни (ако е приложимо) са описани отделно.
5. Процедура и условия за обработка на лични данни
Какво е посочено в този раздел:
- списък на действията, извършени с лични данни;
- методи за обработка на лични данни;
- условия за обработка на лични данни.
Ако, за да постигне целите на обработката на лични данни, операторът взаимодейства с трети страни, то той се нуждае от:
- обяснява условията за прехвърляне на лични данни на трети страни (включително трансграничен трансфер на данни);
- посочете името и местоположението на трети страни;
- посочете целта на трансфера на данни и техния обхват;
- да изброи действията, методите и другите условия за обработка, включително изискванията за защита на обработваните лични данни.
Операторът има право да предава лични данни на органите за разследване и разследване, както и на други упълномощени органи на основанията, предвидени в закона.
Политиката за обработка на лични данни трябва да включва информация за спазване на изискванията за поверителност на личните данни (те са посочени в член 7 от Федералния закон от 27 юли 2006 г. № 152-FZ) и информация за приемането на мерки (част 2 от Член 18.1, част 1 от член 19).
Освен това операторът трябва да посочи условието за прекратяване на обработката на лични данни. Това може да бъде постигане на целите за обработка, изтичане на съгласието за обработка, оттегляне на съгласието на субекта на лични данни за обработка, идентифициране на незаконна обработка на данни.
Специално внимание трябва да се обърне на такъв въпрос като съхранението на лични данни. Първо, условията са задължителни. На второ място, се използват бази данни, разположени на територията на Руската федерация. Трето, отчита се фактът, че съхранението трябва да се извършва във форма, която дава възможност да се идентифицира субектът на личните данни не по-дълго от целта на обработването. Четвърто, необходимо е да се споменат други условия за съхранение, включително при обработка на данни без използване на инструменти за автоматизация.
6. Актуализиране, коригиране, изтриване и унищожаване на лични данни, отговори на искания на субекти за достъп до лични данни
Съгласно чл. 21 No 152-FZ, личните данни трябва да се актуализират от оператора, ако се потвърди фактът на неточност на личните данни. Същото се отнася и за потвърждението на факта, че обработката е била незаконна.
Личните данни подлежат на унищожаване, когато целите на тяхното обработване са постигнати и ако субектът на личните данни оттегли съгласието си за тяхната обработка, освен ако: друго е предвидено в договора, страната, на която бенефициентът или поръчителят на който е обект на лични данни; в противен случай не е предвидено от друго споразумение между оператора и субекта на личните данни. Операторът няма право да извършва обработка без съгласието на субекта на лични данни на основанията, предвидени във Федерален закон № 152-FZ от 27 юли 2006 г. или други федерални закони.
На основание чл. 20 операторът е длъжен да информира субекта на лични данни за извършената от него обработка на лични данни при поискване.
Роскомнадзор препоръчва да се включат в Политиката за обработка на лични данни правилата за отговор на искания и жалби от субекти на лични данни, техни представители, упълномощени органи относно неточност на данните, незаконна обработка, оттегляне на съгласие и достъп до техните данни. Няма да е излишно да добавите подходящи форми на искания и обжалвания към Политиката.
Поставяне на Политиката за обработка на лични данни в офиса и на уебсайта
Всяко лице, чиито данни се обработват от компанията, има право да се запознае с Политиката за обработка на лични данни. Следователно тя трябва да бъде поставена на обществено място. Например използвайте информационна стойка за това.
Ако дадена компания събира лични данни чрез Интернет, тя е длъжна да публикува Политиката на сайта. Посетителят на сайта може да се запознае с него, като щракне върху връзката.
За да научите за най-важните бизнес промени, присъединете се към нашия канал на адрес
1. Обработката на лични данни трябва да се извършва в съответствие с принципите и правилата, предвидени в този федерален закон. Обработката на лични данни е разрешена в следните случаи:
1) обработката на лични данни се извършва със съгласието на субекта на лични данни за обработването на личните му данни;
2) обработката на лични данни е необходима за постигане на целите, предвидени в международен договор на Руската федерация или в закон, за изпълнение и изпълнение на функциите, правомощията и задълженията, наложени от законодателството на Руската федерация на оператора ;
3) обработката на лични данни се извършва във връзка с участието на лице в конституционни, граждански, административни, наказателни производства, съдебни производства в арбитражни съдилища;
3.1) обработката на лични данни е необходима за изпълнението на съдебен акт, акт на друг орган или длъжностно лице, подлежащ на изпълнение в съответствие със законодателството на Руската федерация относно изпълнителното производство (наричано по-долу изпълнението на съдебен акт акт);
4) обработката на лични данни е необходима за изпълнението на правомощията на федералните изпълнителни органи, органите на държавните извънбюджетни фондове, изпълнителните органи на държавната власт на съставните образувания на Руската федерация, органите на местното самоуправление и функциите на организациите участващи в предоставянето на държавни и общински услуги, съответно, предвидени от Федералния закон от 27 юли 2010 г. N 210-FZ "За организацията на предоставянето на държавни и общински услуги", включително регистрацията на субекта на лични данни на единния портал за държавни и общински услуги и (или) регионални портали за държавни и общински услуги;
(виж текста в предишното издание)
5) обработката на лични данни е необходима за изпълнението на договор, по който субектът на личните данни е страна или бенефициент или поръчител, както и за сключване на споразумение, инициирано от субекта на лични данни или споразумение, съгласно което субектът на личните данни ще бъде бенефициент или поръчител;
(виж текста в предишното издание)
6) обработката на лични данни е необходима за защита на живота, здравето или други жизненоважни интереси на субекта на лични данни, ако получаването на съгласието на субекта на лични данни е невъзможно;
7) обработката на лични данни е необходима за упражняване на правата и законните интереси на оператора или трети страни, включително в случаите, предвидени от Федералния закон "За защита на правата и правните интереси на физическите лица при изпълнението на дейности за връщане на просрочени задължения и за изменения на Федералния закон „За микрофинансовите дейности и микрофинансовите организации“, или за постигане на социално значими цели, при условие че това не нарушава правата и свободите на субекта на личните данни;
(виж текста в предишното издание)
8) обработката на лични данни е необходима за осъществяването на професионалните дейности на журналист и (или) законната дейност на медиите или научни, литературни или други творчески дейности, при условие че това не нарушава правата и законните интереси на субектът на личните данни;
9) обработката на лични данни се извършва за статистически или други изследователски цели, с изключение на целите, посочени в член 15 от този федерален закон, при условие на задължително обезличаване на личните данни;
10) извършва се обработка на лични данни, достъп на неограничен брой лица, до които се предоставя от субекта на лични данни или по негово искане (по-нататък - лични данни, направени публично достъпни от субекта на лични данни);
11) обработка на лични данни, които подлежат на публикуване или задължително разкриване в съответствие с федералния закон.
1.1. Обработката на лични данни на обекти на държавна защита и членове на техните семейства се извършва, като се вземат предвид спецификите, предвидени във Федералния закон от 27 май 1996 г. N 57-FZ "За държавната защита".
2. Особеностите на обработването на специални категории лични данни, както и биометрични лични данни, са установени в съответствие с този федерален закон.
3. Операторът има право да възложи обработването на лични данни на друго лице със съгласието на субекта на личните данни, освен ако не е предвидено друго от федералния закон, въз основа на споразумение, сключено с това лице, включително щат или община договор, или чрез приемане на подходящ акт от държавен или общински орган (оттук нататък - заповед на оператора). Лице, което обработва лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в този Федерален закон. Заповедта на оператора трябва да дефинира списък от действия (операции) с лични данни, които ще бъдат извършени от лицето, което обработва лични данни, и целите на обработването, задължението на такова лице да поддържа поверителността на личните данни и да гарантира сигурността на личните данни по време на тяхната обработка, както и изискванията за защита на обработваните лични данни в съответствие с член 19 от този федерален закон трябва да бъдат посочени.
4. Лице, което обработва лични данни от името на оператора, не е задължено да получи съгласието на субекта на лични данни за обработка на личните му данни.
5. Ако операторът повери обработването на лични данни на друго лице, операторът носи отговорност пред субекта на личните данни за действията на това лице. Лицето, което обработва лични данни от името на оператора, е отговорно пред оператора.
Компанията не може без получаване на лична информация от служители, клиенти и изпълнители. Нуждаем се от имена, адреси, друга информация. Въпреки това, компанията има право да обработва лични данни само за конкретни цели. Всяко друго използване на данни е нарушение, което ще доведе до административни мерки.
Целите, за които се иска информация, трябва да са в съответствие със закона и нуждите на компанията
В хода на правене на бизнес, една компания се занимава с информация, която се нуждае от защита. Поверителната информация включва информация за технологии, проекти, разработки, спецификата на транзакциите и др. Също така законът задължава да защитава информация за хора, които работят в компанията, са нейни клиенти или представляват контрагенти. „За личните данни“ е в сила в съответствие с конституционния принцип за защита на неприкосновеността на личния живот (чл. 2 от Закон № 152). Изискванията на закона се прилагат за всяка организация, която получава данни от своите субекти (чл. 1 от Закон № 152).
Фирма, която започва да обработва лични данни, има право да ги поиска само за конкретни цели (част 2 от член 5 от закон № 152). Освен това количеството данни зависи от целите. Не можете да поискате информация, от която компанията не се нуждае (части 4 и 5 от член 5 от закон № 152). Например, онлайн магазин няма право да изисква паспортни данни от купувача или да иска пощенски адрес, ако клиентът вземе стоката сам.
Компанията сама определя целите на обработването на лични данни на клиенти и служители
За какво точно се е изисквала информацията се определя от дружеството (клауза 2 на член 3 от закон № 152). Като правило организацията изисква лични данни на клиенти, изпълнители, служители, за да:
- Сключване на договори. Това могат да бъдат договори с потребители на услуги или стоки на компанията, с други видове клиенти, с бизнес партньори, трудови договори и др. За всеки договор, който компанията ще подпише, ще се изискват лични данни - служител, който действа в неговите интереси, представител на контрагента или самия контрагент, ако е частно лице. Включително данни са необходими, за да може компанията да изпълни задълженията си.
- Систематизиране на информация за персонала, кадровите досиета и работата в офиса. Данните за служителите са необходими не само за сключване на трудови договори, но и за всички други операции в рамките на трудово правоотношение.
- Съответствие с изискванията на закона за приспадане на данъци в бюджета, застрахователни премии и др. Компанията удържа данък върху доходите на физически лица, вноски от служители и превежда тези суми на държавата, на Пенсионния фонд на Русия и други организации (член 22 от Закон № 152, член 86 от Кодекса на труда на Руската федерация).
- Формиране на статистика. За целта данните трябва да бъдат обезличавани (клауза 9, част 1, член 6 от Закон № 152).
Госте, запознай се -!
Компанията е длъжна да предупреди субекта на лични данни за целите на обработването
Компанията е длъжна да уведоми служителя или клиента за целта, за която иска личните му данни за обработка (клауза 4, част 4, член 9 от Закон № 152). Това се прави като част от получаването на съгласие за предоставяне на информация. Целевият списък трябва:
- да бъдат изчерпателни и конкретни;
- спазва разпоредбите на хартата, както и местните актове на организацията;
- съответстват на какви цели всъщност преследва компанията.
Например банка иска информация от клиент. Целта на обработката е да обслужва акаунта му, включително:
- откриване на сметка,
- управление на профила,
- операции за прехвърляне на средства от и към сметката,
- консултиране на клиента.
Друг пример за информиране е изброяването на целите за обработка на лични данни на служителите в политиката на компанията. Организацията заявява, че информацията се използва от:
- при работа с автобиографията на кандидатите;
- да изпълнява задълженията на дружеството по трудов договор;
- да спазва трудовото, данъчното и пенсионното законодателство;
- да организира обучение за служители, да подобри тяхното професионално ниво;
- при изчисляване и изчисляване на заплати;
- да контролира качеството на работата на служителите;
- при предоставяне на различни гаранции и ползи и др.
Съгласието за обработката трябва да се получи от субекта на данните в почти всички случаи. Ако целта на събирането е популяризиране на компанията на пазара или политическа кампания, операторът е длъжен да докаже, че лицето е дало съгласие (част 1 от член 15 от закона № 152). В противен случай се счита, че не е поискано.
В допълнение към споразумението със служителя или клиента, целите за получаване на данни трябва да бъдат отразени в специален документ - политиката на компанията за работа с такива данни. Трябва да е публичен документ. По правило той се публикува на уебсайта на организацията в специален раздел.
Професионална помощна система за адвокати, където ще намерите отговора на всеки, дори и най-трудният въпрос.
Извършва се въз основа на прилагането на закони и други разпоредби.
Какво представлява обработката на лични данни? Този процес включва следните дейности:
Правното регулиране на работата с лични данни обхваща всички процеси и етапи на работа с тях.
предназначение
Каква е целта на обработването на лични данни? Обработката на личните данни на служителя се извършва в предприятието, в организацията, за да му се помогне.
Основните цели на обработката на лични данни:
- при намиране на работа;
- в устройството в образователна институция или за обучение, за напреднало обучение;
- с цел защита на организацията на труда;
- за повишаване и контрол, за възможности за кариера;
- за контрол на количеството и качеството на извършената работа.
Законодателството предвижда натрупване и предаване на лични данни на служител единствено с цел неговото развитие и рационалното използване на неговите способности и опит. ,
включват многофункционални цели.
Целите на обработването на лични данни на служителите включват използването и обработката на лични данни посредством техния синтез и взаимовръзка, които определят уместността на възможностите на служителя в контекста на организацията на производствения процес.
Декларираните и обявени цели за обработване на лични данни не могат да бъдат променяни без уведомяване на служителя.
От кого?
Лични данни означава такава информация, която съдържа основна информация за лице, представляващо интерес за определен кръг от представители на правителството и други служби.
По-специално, в производството (в организация) личните данни представляват интерес за работодателя, който управлява организацията на труда в производството въз основа на информация за своите служители.
Работодателят има право да поиска всички лични данни, налични в сметките на служителя. В допълнение към него ограничен брой лица, които извършват оперативна работа, имат достъп до лични данни. По правило това е секретариатът и персоналът на кадровия отдел.
Инструктира се операторът, извършващ информационни дейности с лични данни, преди да започне определената работа. Запознава се с правилата за работа и принципите, забраняващи разкриването на информация, съдържаща се в личните данни.
Изпълнението на изброените видове работа може да преследва само онези цели, които са били причина за събирането на информация. Злоупотребата с лични данни или тяхното разкриване се счита за грубо нарушение, за което се вменява отговорност.
Нарушения
Както беше обсъдено по-рано, нарушенията при обработката на лични данни са:
Работата на оператора с лични данни подлежи на строг контрол от оторизирани служби, а за недостатъци, неволни или умишлени нарушения, операторът носи отговорност.
За всички неразрешени действия при обработката на лични данни може да последва наказание: дисциплинарно, административно, в някои случаи - наказателно.
