سازماندهی کار با داده های شخصی. اصول، شرایط و اهداف پردازش داده های شخصی داده های شخصی پردازش شده به منظور تجزیه و تحلیل اطلاعات

مقررات مربوط به پردازش و حفاظت از داده های شخصی روشی را برای جمع آوری، انباشت، ذخیره، استفاده، حذف و غیره اطلاعات حاوی اطلاعات مربوط به کارکنان شرکت تعیین می کند. این سند باید روش انتقال PD به اشخاص ثالث، ویژگی های پردازش خودکار و غیر خودکار PD، روش دسترسی به PD، روش سازماندهی کنترل داخلی و مسئولیت تخلفات در طول پردازش PD را شرح دهد.

نحوه تنظیم مقررات مربوط به پردازش و حفاظت از داده های شخصی

این سند مطابق با قوانین فدراسیون روسیه در مورد داده های شخصی و اسناد نظارتی و روش شناختی دستگاه های اجرایی قدرت دولتی در مورد مسائل امنیتی PD در طول پردازش آنها در حال توسعه است. سیستم های اطلاعاتی PDn.

مقررات حفاظت از داده های شخصی معمولاً از 11 بخش تشکیل شده است:

مقررات عمومی
اهداف و اهداف پردازش PD.
داده های شخصی پردازش شده در ISPD (نام کامل، تاریخ تولد، شماره تماس، آدرس ثبت نام، آدرس واقعی سکونت).
دسترسی به PD
الزامات اساسی برای حفاظت از داده های شخصی
رضایت به پردازش PD.
حقوق موضوع در رابطه با داده های شخصی پردازش شده توسط اپراتور.
حقوق و تعهدات اپراتور ISPDn.
رویه پردازش و حفاظت از داده های شخصی.
ویژگی های پردازش داده های شخصی کارکنان اپراتور.
مسئولیت نقض این ماده.

مقررات مربوط به پردازش و حفاظت از داده‌های شخصی برای کلیه فرآیندهای جمع‌آوری، سیستم‌سازی، انباشت، ذخیره‌سازی، شفاف‌سازی، استفاده، توزیع (از جمله انتقال)، غیرشخصی‌سازی، مسدود کردن، تخریب داده‌های شخصی که با استفاده از ابزارهای اتوماسیون و بدون آنها انجام می‌شود، اعمال می‌شود. استفاده کنید.

موضوعات داده های شخصی

موضوعات PD عبارتند از:

کارکنان اپراتور
داوطلبان استخدام.
مشتریان (مصرف کنندگان خدمات اپراتور).
کارآفرینان فردی طرف مقابل اپراتور هستند.
مشتریان سازمان ها، طرف مقابل اپراتور (خدمت به مشتریان شرکتی).
سایر افراد که اطلاعات شخصی آنها توسط اپراتور پردازش می شود.

آیین‌نامه پردازش و حفاظت از داده‌های شخصی از لحظه تصویب لازم‌الاجرا می‌شود و تا زمانی که با آیین‌نامه جدیدی جایگزین شود، به‌طور نامحدود معتبر است. کلیه کارکنان سازمان باید با این سند در مقابل امضا آشنا باشند.



(نام کامل اپراتور)


"تایید شده"
شخص کارآفرین
(عنوان شغلی)	(امضای شخصی)	(نام و نام خانوادگی)
№

مقررات مربوط به پردازش و حفاظت از داده های شخصی

مقررات عمومی

1.1.

این آیین نامه مطابق با قوانین فدراسیون روسیه در مورد داده های شخصی (از این پس به عنوان PD نامیده می شود) و اسناد نظارتی و روش شناختی دستگاه های اجرایی قدرت دولتی در مورد مسائل امنیت PD هنگام پردازش در سیستم های اطلاعات PD (از این پس به عنوان ISPD).

1.2.

برای اهداف این آیین نامه از اصطلاحات زیر استفاده می شود:

داده های شخصی (PD) - هر گونه اطلاعات مربوط به مستقیم یا غیر مستقیم یک فرد شناسایی شده یا قابل شناسایی (موضوع PD).

اپراتور - یک نهاد دولتی، ارگان شهرداری، شخص حقوقی یا فردی که به طور مستقل یا مشترک با سایر افراد، پردازش داده های شخصی را سازماندهی و (یا) انجام می دهد و همچنین اهداف پردازش داده های شخصی، ترکیب اطلاعات شخصی را تعیین می کند. داده هایی که باید پردازش شوند، اقدامات (عملیات) انجام شده با داده های شخصی؛

پردازش PD - هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی با PD انجام می شود، از جمله جمع آوری، ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استخراج، استفاده ، انتقال (توزیع، ارائه، دسترسی)، غیر شخصی سازی، مسدود کردن، حذف، تخریب داده های شخصی؛

پردازش خودکار داده های شخصی - پردازش داده های شخصی با استفاده از فناوری رایانه؛

توزیع داده های شخصی - اقداماتی با هدف افشای داده های شخصی به تعداد نامحدودی از افراد؛

ارائه PD - اقدامات با هدف افشای PD به یک فرد خاص یا یک حلقه خاص از افراد؛

مسدود کردن PD - توقف موقت پردازش PD (به جز مواردی که پردازش برای روشن شدن PD ضروری است).

تخریب PD - اقداماتی که در نتیجه بازیابی محتوای PD در ISPD غیرممکن می شود و / یا در نتیجه رسانه های مادی PD از بین می رود.

شخصی سازی اطلاعات شخصی - اقداماتی که در نتیجه بدون استفاده غیرممکن می شود اطلاعات اضافیتعیین اینکه آیا PD به یک موضوع خاص PD تعلق دارد یا خیر.

سیستم اطلاعات شخصی (PDIS) - مجموعه ای از داده های شخصی موجود در پایگاه های داده و اطمینان از پردازش آنها فناوری اطلاعاتو وسایل فنی؛

انتقال فرامرزی داده های شخصی - انتقال داده های شخصی به قلمرو یک کشور خارجی به مقام یک دولت خارجی، یک فرد خارجی یا یک شخص حقوقی خارجی.

1.3.

این آیین نامه روش و شرایط پردازش PD در (از این پس اپراتور نامیده می شود) را تعیین می کند، از جمله روش انتقال PD به اشخاص ثالث، ویژگی های پردازش خودکار و غیر خودکار PD، روش دسترسی به PD، PD. سیستم حفاظتی، روش سازماندهی کنترل داخلی و مسئولیت تخلفات در طول پردازش PD، سوالات دیگر.

1.4.

این مقررات در مورد کلیه فرآیندهای جمع آوری، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی، استفاده، توزیع (از جمله انتقال)، شخصی سازی، مسدود کردن، تخریب داده های شخصی که با استفاده از ابزارهای اتوماسیون و بدون استفاده از آنها انجام می شود، اعمال می شود.

1.5.

این آیین نامه از لحظه تصویب توسط اپراتور لازم الاجرا بوده و تا زمان جایگزینی با آیین نامه جدید به مدت نامحدود معتبر است.

1.6.

کلیه تغییرات در مقررات به صورت سفارشی انجام می شود.

1.7.

کلیه کارکنان اپراتور باید پس از امضا با این مقررات آشنا باشند.

اهداف و اهداف پردازش PD

2.1.

پردازش داده های شخصی باید محدود به دستیابی به اهداف خاص، از پیش تعریف شده و مشروع باشد. پردازش داده های شخصی که با اهداف جمع آوری داده های شخصی ناسازگار است مجاز نیست.

2.2.

ترکیب پایگاه‌های اطلاعاتی حاوی داده‌های شخصی، که پردازش آنها برای اهداف ناسازگار با یکدیگر انجام می‌شود، مجاز نیست.

2.3.

فقط داده های شخصی که اهداف پردازش آنها را برآورده می کند، تحت پردازش قرار می گیرند.

2.4.

2.5.

پردازش اطلاعات شخصی کارکنان اپراتور ممکن است صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارکنان در استخدام، آموزش و ارتقاء، اطمینان از ایمنی شخصی کارکنان، نظارت بر کمیت و کیفیت کار انجام شده و اطمینان از ایمنی اموال اپراتور.

2.6.

اهداف اصلی پردازش PD عبارتند از:

اهداف اضافی برای پردازش داده های شخصی عبارتند از: .

2.7.

ISPDn راه حل هایی را برای وظایف زیر ارائه می دهد: .

داده های شخصی پردازش شده در ISPDn

3.1.

ISPD داده های شخصی افراد سوژه داده های شخصی زیر را پردازش می کند:

3.1.1.

کارکنان اپراتور؛

3.1.2.

مشتریان (مصرف کنندگان خدمات اپراتور)؛

3.1.3.

کارآفرینان فردی - طرف مقابل اپراتور؛

3.1.4.

مشتریان سازمان ها، طرف مقابل اپراتور (خدمت به مشتریان شرکتی)؛

3.2.

این فهرست ممکن است در صورت لزوم اصلاح شود.

3.3.

داده های شخصی افراد PD شامل:

3.4.

فهرست های کامل داده های شخصی پردازش شده در لیست داده های شخصی مشمول حفاظت در سیستم اطلاعات اپراتور تشکیل می شود.

دسترسی به داده های شخصی

4.1.

کارکنان اپراتور که به دلیل وظایف رسمی خود دائماً با داده های شخصی کار می کنند ، به دسته های مورد نیاز از داده های شخصی برای دوره انجام وظایف رسمی مربوطه خود بر اساس لیست افراد مجاز به کار با داده های شخصی دسترسی پیدا می کنند. که به تایید رئیس اپراتور می رسد. لیست بر اساس مفهوم گردآوری شده است امنیت اطلاعاتو سیاست امنیت اطلاعات

4.2.

لیست افرادی که برای سیستم اطلاعاتی به داده های شخصی دسترسی دارند باید به روز نگه داشته شود.

4.3.

اپراتور یک روش مجوز برای دسترسی به داده های شخصی ایجاد کرده است. دسترسی کارکنان اپراتور به کار با داده های شخصی تنها در حد و اندازه ای که برای انجام وظایف رسمی خود بر اساس تصمیم مدیر ضروری است فراهم می شود.

4.4.

مجوز موقت یا یکبار کار با داده های شخصی به دلیل نیازهای رسمی توسط کارمند اپراتور با تأیید مدیر قابل دریافت است.

4.5.

دسترسی به PD توسط اشخاص ثالثی که کارمند اپراتور نیستند بدون رضایت موضوع PD ممنوع است، به استثنای دسترسی کارکنان مقامات اجرایی که به عنوان بخشی از اقدامات کنترل و نظارت بر اجرای قانون انجام می شود. اجرای وظایف و اختیارات نهادهای دولتی مربوطه. ارائه اطلاعات به درخواست یا درخواست یک مقام دولتی با اطلاع رئیس اپراتور انجام می شود.

4.6.

اگر کارمند یک سازمان شخص ثالث نیاز به دسترسی به PD اپراتور داشته باشد، لازم است در توافق نامه با سازمان شخص ثالث، شرایط محرمانه بودن PD و تعهد سازمان شخص ثالث و کارکنان آن به رعایت موارد ذکر شده باشد. الزامات قانون فعلی در زمینه حفاظت از PD. علاوه بر این، در صورت دسترسی افرادی که کارمند اپراتور نیستند به داده های شخصی، باید رضایت افراد اطلاعات شخصی برای ارائه داده های شخصی خود به اشخاص ثالث جلب شود. اگر PD به منظور اجرای قرارداد مدنی منعقد شده توسط اپراتور با موضوع PD ارائه شده باشد، رضایت مشخص شده لازم نیست.

4.7.

دسترسی کارمند اپراتور به داده های شخصی از تاریخ خاتمه رابطه کاری یا تاریخ تغییر در مسئولیت های شغلی کارمند و/یا حذف کارمند از لیست اشخاصی که حق دسترسی به داده های شخصی را دارند خاتمه می یابد. در صورت اخراج، کلیه رسانه های حاوی اطلاعات شخصی که طبق وظایف رسمی در حین کار در اختیار کارمند بوده است، باید به مقام مربوطه منتقل شود.

الزامات اساسی برای حفاظت از داده های شخصی

5.1.

هنگام پردازش داده های شخصی در سیستم اطلاعاتی، موارد زیر باید رعایت شود:

الف) انجام اقداماتی با هدف جلوگیری از دسترسی غیرمجاز به داده های شخصی و/یا انتقال آنها به افرادی که حق دسترسی به چنین اطلاعاتی را ندارند.

ب) تشخیص به موقع حقایق دسترسی غیرمجاز به داده های شخصی؛

ج) جلوگیری از تأثیرگذاری بر ابزارهای فنی پردازش خودکار داده‌های شخصی، که در نتیجه ممکن است عملکرد آنها مختل شود.

د) امکان بازیابی فوری داده های شخصی تغییر یافته یا تخریب شده به دلیل دسترسی غیرمجاز به آنها؛

ه) کنترل دائمی بر تضمین سطح امنیت PD.

5.2.

اپراتور موظف است اقدامات قانونی، سازمانی، فنی و غیره لازم را برای تضمین امنیت اطلاعات شخصی به عمل آورد.

5.3.

برای توسعه الزامات امنیتی و پیاده سازی یک سیستم امنیت داده های شخصی، اپراتور "مدل تهدیدات برای امنیت داده های شخصی هنگام پردازش آنها در یک ISPD" را بر اساس سند نظارتی و روش شناختی FSTEC روسیه "مدل اساسی تهدیدی برای امنیت داده های شخصی هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی."

5.4.

اپراتور مطابق با سند حاکم بر سازمان های دولتی - فرمان دولت فدراسیون روسیه مورخ 1 نوامبر 2012 شماره 1119 "در مورد تصویب الزامات حفاظت از داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"طبقه بندی ISPD اپراتور انجام شده است.

5.5.

کمیسیون یک گواهی طبقه بندی ISPD پردازش شده با استفاده از ابزارهای اتوماسیون تهیه کرده است:


قانون طبقه بندی ISPD	تاریخ طبقه بندی ISPD	سطح امنیتی مورد نیاز

5.6.

اپراتور بر اساس گزارش تأیید ISPD و مطابق با سند قانونی و روش شناختی FSTEC روسیه "اقدامات اصلی برای سازماندهی و پشتیبانی فنی از امنیت داده های شخصی پردازش شده در سیستم های اطلاعات داده های شخصی" را توسعه داده است. و مجموعه ای از اقدامات را برای محافظت و تضمین امنیت داده های شخصی ("برنامه اقدام") برای اطمینان از امنیت داده های شخصی اجرا کرد").

5.7.

اپراتور از ابزارها و نرم افزارهای فنی برای پردازش و محافظت از داده های شخصی استفاده می کند. گزارشی از وسایل حفاظت از داده های شخصی نیز نگهداری می شود.

5.8.

اپراتور گزارشی از حسابداری و ذخیره سازی دارد رسانه قابل جابجاییاطلاعات

5.9.

وسایل فنی فوق ISPD در دفتر و محل اپراتور قرار دارد.

5.10.

تمام افرادی که مجاز به کار با PD هستند، و همچنین افرادی که با عملیات و پشتیبانی فنی ISPD مرتبط هستند، باید پس از امضا با الزامات این آیین نامه آشنا باشند و همچنین باید "توافق نامه اطمینان از محرمانه بودن داده های شخصی توسط سازمان" را امضا کنند. کارکنان اپراتور» که در پیوست این آیین نامه آمده است.

5.11.

اپراتور یک فرآیند آموزشی برای استفاده از وسایل حفاظت از داده های شخصی که توسط اپراتور اداره می شود سازماندهی کرده است. آموزش در این زمینه برای افرادی که دسترسی دائمی به داده های شخصی دارند و برای افرادی که از ابزارهای سخت افزاری و نرم افزاری برای سیستم های اطلاعاتی و سیستم های امنیت اطلاعات استفاده می کنند توصیه می شود. افرادی که مسئول عملیات ابزارهای امنیت اطلاعات ISPD هستند باید آموزش های اجباری را طی کنند.

5.12.

کارمندان موظفند در مورد از بین رفتن یا کمبود رسانه ذخیره سازی اطلاعات شخصی و همچنین دلایل و شرایط نشت احتمالی داده های شخصی، بلافاصله به مقام مربوطه اپراتور اطلاع دهند. در صورتی که افراد غیرمجاز اقدام به دریافت PD کارمندی که توسط اپراتور پردازش شده است، بلافاصله به مقام مربوطه اپراتور اطلاع دهید.

رضایت به پردازش PD

6.1.

سوژه PD تصمیم می گیرد که PD خود را ارائه دهد و با پردازش آن آزادانه، به میل خود و به نفع خود موافقت می کند. رضایت به پردازش داده های شخصی باید مشخص، آگاهانه و آگاهانه باشد. رضایت پردازش داده های شخصی می تواند توسط موضوع داده های شخصی یا نماینده وی به هر شکلی که امکان تأیید واقعیت دریافت آن را فراهم می کند، ارائه شود، مگر اینکه در قانون فدراسیون روسیه به گونه دیگری پیش بینی شده باشد. اگر رضایت پردازش PD از نماینده موضوع PD دریافت شود، اختیارات این نماینده برای رضایت از طرف موضوع PD توسط اپراتور تأیید می شود.

6.2.

اخذ رضایت کتبی برای پردازش داده های شخصی توسط کارمند اپراتور، پس از دریافت اطلاعات شخصی از موضوع داده های شخصی، با صدور رضایت نامه کتبی به شکلی که توسط اپراتور ISPD تعیین شده است، انجام می شود.

حقوق موضوع در رابطه با داده های شخصی پردازش شده توسط اپراتور

7.1.

موضوع PD حق دارد:

برای دریافت اطلاعات از اپراتور در مورد پردازش داده های شخصی وی. اطلاعات باید توسط اپراتور به صورت در دسترس به موضوع PD ارائه شود، و نباید حاوی PD مربوط به سایر موضوعات PD باشد، مگر اینکه دلایل قانونی برای افشای چنین PD وجود داشته باشد. فهرست اطلاعات و روش به دست آوردن اطلاعات توسط قانون فعلی فدراسیون روسیه ارائه شده است.

اپراتور را ملزم کنید که داده های شخصی خود را روشن کند، آن را مسدود کند یا در صورتی که داده های شخصی ناقص، قدیمی، نادرست، به طور غیرقانونی به دست آمده یا برای هدف ذکر شده از پردازش لازم نیست، آن را مسدود یا از بین ببرد، و همچنین اقدامات پیش بینی شده توسط قانون روسیه را انجام دهد. فدراسیون برای حفظ حقوق آنها؛

مشروط به رضایت کتبی قبلی هنگام پردازش داده های شخصی به منظور تبلیغ کالاها، آثار، خدمات در بازار از طریق برقراری تماس مستقیم با مصرف کنندگان بالقوه با استفاده از ارتباطات، و همچنین برای اهداف تبلیغات سیاسی؛

مشروط به شرط رضایت کتبی هنگام اتخاذ تصمیمات اپراتور بر اساس پردازش انحصاری خودکار PD که منجر به عواقب قانونی در رابطه با موضوع PD می شود یا به نحو دیگری بر حقوق و منافع مشروع وی تأثیر می گذارد.

اعتراض خود را به تصمیمات اپراتور صرفاً بر اساس پردازش خودکار داده های شخصی وی و پیامدهای قانونی احتمالی چنین تصمیمی ارائه دهید.

نسبت به اقدامات یا عدم اقدام اپراتور به نهاد مجاز برای حمایت از حقوق افراد اطلاعات شخصی یا در دادگاه تجدید نظر کنید.

حقوق و تعهدات اپراتور ISPDn

8.1.

اپراتور ISPD حق دارد:

8.1.1.

بر اساس توافقنامه ای که با این شخص منعقد شده است، از جمله یک قرارداد ایالتی یا شهرداری، یا با تصویب یک قانون مربوطه توسط یک فرد، رسیدگی به PD را با رضایت موضوع PD به شخص دیگری واگذار کنید، مگر اینکه قانون فدرال طور دیگری مقرر کرده باشد. ارگان ایالتی یا شهرداری

8.1.2.

اگر موضوع PD رضایت خود را از پردازش PD پس گرفت، در صورت وجود دلایل مشخص شده در قوانین فدراسیون روسیه، پردازش PD را بدون رضایت موضوع PD ادامه دهید.

8.1.3.

از موضوع داده های شخصی برای انجام درخواست مکرر اطلاعاتی که با شرایط مقرر در قانون فدراسیون روسیه مطابقت ندارد خودداری کنید. چنین امتناع باید با انگیزه باشد. تعهد به ارائه شواهدی مبنی بر اعتبار امتناع از انجام درخواست مکرر بر عهده اپراتور است.

8.1.4.

به طور مستقل ترکیب و فهرست اقدامات لازم و کافی را برای اطمینان از اجرای تعهدات اپراتور IPDN پیش بینی شده توسط قانون فدراسیون روسیه تعیین کنید.

8.2.

اپراتور ISPD موظف است:

8.2.1.

قبل از شروع پردازش PD، اپراتور موظف است به سازمان مجاز برای حمایت از حقوق افراد PD از قصد خود برای پردازش PD اطلاع دهد، به استثنای مواردی که توسط قانون فدراسیون روسیه پیش بینی شده است.

8.2.2.

هنگام دسترسی به PD، PD را در اختیار اشخاص ثالث قرار ندهید یا PD را بدون رضایت موضوع PD توزیع نکنید، مگر اینکه در قانون فدرال طور دیگری مقرر شده باشد.

8.2.3.

ارائه مدارکی دال بر کسب رضایت شخص PD موضوع رسیدگی به PD وی یا اثبات وجود زمینه های قانونی برای پردازش PD بدون رضایت موضوع PD.

8.2.4.

قبل از شروع انتقال فرامرزی داده‌های شخصی، مطمئن شوید که کشور خارجی که داده‌های شخصی به قلمرو آن منتقل می‌شود، حمایت کافی از حقوق افراد موضوع داده‌های شخصی را فراهم می‌کند.

8.2.5.

به درخواست سوژه PD، پردازش PD خود را به منظور تبلیغ کالاها، آثار، خدمات در بازار از طریق برقراری تماس مستقیم با مصرف کنندگان بالقوه با استفاده از ارتباطات و همچنین برای اهداف تبلیغات سیاسی متوقف کنید.

8.2.6.

روش تصمیم گیری صرفاً بر اساس پردازش خودکار PD وی و عواقب قانونی احتمالی چنین تصمیمی را برای موضوع PD توضیح دهید، فرصت اعتراض به چنین تصمیمی را فراهم کنید، و همچنین روش حمایت از موضوع PD را توضیح دهید. حقوق و منافع مشروع او.

اپراتور موظف است ظرف سی روز از تاریخ وصول به اعتراض رسیدگی و نتایج رسیدگی به چنین اعتراضی را به موضوع PD اعلام کند.

8.2.7.

هنگام جمع آوری PD، به درخواست وی، اطلاعات مقرر در قانون فدراسیون روسیه را به موضوع PD ارائه دهید.

اگر ارائه PD به اپراتور برای موضوع PD مطابق با قانون فدرال اجباری باشد، اپراتور موظف است عواقب قانونی امتناع از ارائه PD خود را به موضوع PD توضیح دهد.

8.2.8.

اگر PD از موضوع PD دریافت نشود، اپراتور، به جز مواردی که توسط قانون فدراسیون روسیه پیش بینی شده است، قبل از پردازش چنین PD، اطلاعات زیر را در اختیار موضوع PD قرار می دهد:

1) نام یا نام خانوادگی، نام، نام خانوادگی و آدرس اپراتور یا نماینده وی.

2) هدف از پردازش PD و مبنای قانونی آن؛

3) کاربران مورد نظر داده های شخصی؛

4) حقوق موضوع داده های شخصی که توسط این قانون فدرال تعیین شده است.

5) منبع به دست آوردن PD.

8.2.9.

اقدامات لازم و کافی را برای اطمینان از اجرای تعهدات اپراتور IPDN پیش بینی شده توسط قانون فدراسیون روسیه انجام دهید.

8.2.11.

هنگام جمع آوری PD با استفاده از شبکه های اطلاعاتی و مخابراتی، سندی را در شبکه اطلاعاتی و مخابراتی مربوطه منتشر کنید که خط مشی آن را در مورد پردازش PD مشخص می کند و اطلاعاتی در مورد الزامات اجرا شده برای حفاظت از PD و همچنین اطمینان از توانایی دسترسی به موارد مشخص شده سند با استفاده از ابزار مناسب شبکه اطلاعاتی - مخابراتی.

8.2.12.

اسناد و اقدامات محلی پیش بینی شده توسط قانون فدراسیون روسیه را ارائه دهید و / یا در غیر این صورت تأیید اتخاذ تدابیر لازم و کافی برای اطمینان از انجام تعهدات اپراتور IPDN را به درخواست نهاد مجاز برای حفاظت از حقوق افراد PD

8.2.13.

هنگام پردازش PD، اقدامات قانونی، سازمانی و فنی لازم را انجام دهید یا از اتخاذ آنها اطمینان حاصل کنید تا از PD در برابر دسترسی غیرمجاز یا تصادفی به آن، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع PD و همچنین سایر اقدامات غیرقانونی در آن محافظت شود. ارتباط با PD

8.2.14.

به روشی که توسط قانون فدراسیون روسیه مقرر شده است، موضوع PD یا اطلاعات نماینده او را به صورت رایگان در مورد در دسترس بودن PD مربوط به موضوع PD مربوطه اطلاع دهید و همچنین فرصتی را برای آشنایی با این PD در هنگام درخواست ارائه دهید. موضوع PD یا نماینده او یا ظرف سی روز از تاریخ دریافت درخواست موضوع PD یا نماینده وی.

8.2.15.

در صورت امتناع از ارائه اطلاعات در مورد در دسترس بودن PD در مورد موضوع PD یا PD مربوط به موضوع PD یا نماینده وی بنا به درخواست آنها یا در صورت دریافت درخواست از سوژه PD یا نماینده وی، اپراتور موظف است ارائه دهد. نوشتنیک پاسخ مستدل حاوی ارجاع به مفاد قانون فدراسیون روسیه که مبنای چنین امتناع است، ظرف مدت حداکثر سی روز از تاریخ درخواست موضوع PD یا نماینده وی یا از تاریخ دریافت درخواست موضوع PD یا نماینده وی.

8.2.16.

ظرف مدت حداکثر هفت روز کاری از تاریخی که موضوع PD یا نماینده او اطلاعاتی را ارائه می دهد که تأیید می کند PD ناقص، نادرست یا نامربوط است، اپراتور موظف است تغییرات لازم را در آنها ایجاد کند. ظرف مدت حداکثر هفت روز کاری از تاریخی که موضوع PD یا نماینده او اطلاعاتی را ارائه می دهد که تأیید می کند چنین PD به طور غیرقانونی به دست آمده است یا برای هدف ذکر شده پردازش ضروری نیست، اپراتور موظف است چنین PD را از بین ببرد. اپراتور موظف است تغییرات ایجاد شده و اقدامات انجام شده را به موضوع PD یا نماینده وی اطلاع دهد و اقدامات منطقی را برای اطلاع اشخاص ثالثی که PD این موضوع به آنها منتقل شده است انجام دهد.

8.2.17.

در صورت درخواست این نهاد، به سازمان مجاز برای حمایت از حقوق افراد موضوع داده های شخصی اطلاع دهید اطلاعات لازمظرف سی روز از تاریخ دریافت چنین درخواستی.

8.2.18.

اگر پردازش غیرقانونی PD توسط اپراتور یا شخصی که از طرف اپراتور عمل می کند شناسایی شود، اپراتور موظف است ظرف مدت حداکثر سه روز کاری از تاریخ این کشف، پردازش غیرقانونی PD را متوقف کند. یا از توقف پردازش غیرقانونی PD توسط شخصی که از طرف اپراتور عمل می کند اطمینان حاصل کند. اگر اطمینان از قانونی بودن پردازش PD غیرممکن باشد، اپراتور موظف است ظرف مدت حداکثر ده روز کاری از تاریخ شناسایی پردازش غیرقانونی PD، چنین PD را از بین ببرد یا از تخریب آن اطمینان حاصل کند. اپراتور موظف است رفع تخلف و یا از بین رفتن PD را به موضوع PD یا نماینده وی اطلاع دهد و در صورت درخواست تجدیدنظر از موضوع PD یا نماینده وی یا درخواست مرجع مجاز برای حمایت از حقوق افراد PD. توسط نهاد مجاز برای حمایت از حقوق افراد PD، همچنین ارگان مشخص شده ارسال شده است.

8.2.19.

اگر هدف از پردازش داده های شخصی محقق شود، اپراتور موظف است پردازش داده های شخصی را متوقف کند یا از خاتمه آن اطمینان حاصل کند (در صورتی که پردازش داده های شخصی توسط شخص دیگری که از طرف اپراتور انجام می شود) و داده های شخصی را از بین ببرد یا از نابودی آنها اطمینان حاصل کند. (در صورتی که پردازش داده های شخصی توسط شخص دیگری که از طرف اپراتور عمل می کند انجام شود) به موقع، حداکثر سی روز از تاریخ دستیابی به هدف پردازش PD، مگر اینکه در توافق نامه ای که موضوع PD یک آن است، طور دیگری مقرر شده باشد. طرف، ذینفع یا ضامن، توافق دیگری بین اپراتور و موضوع PD، یا اگر اپراتور حق پردازش PD را بدون رضایت موضوع PD به دلایل پیش بینی شده توسط قانون فدراسیون روسیه نداشته باشد.

8.2.20.

اگر موضوع PD رضایت خود را از پردازش PD خود پس گرفت، پردازش آنها را متوقف کنید یا از خاتمه چنین پردازشی اطمینان حاصل کنید (اگر پردازش PD توسط شخص دیگری که به نمایندگی از اپراتور انجام می شود) و اگر حفظ PD دیگر وجود ندارد. برای اهداف پردازش PD مورد نیاز است، PD را از بین ببرید یا از نابودی آنها اطمینان حاصل کنید (اگر پردازش PD توسط شخص دیگری از طرف اپراتور انجام شود) ظرف مدت حداکثر سی روز از تاریخ دریافت پاسخ مذکور، مگر اینکه در غیر این صورت توسط قراردادی که موضوع PD طرف، ذینفع یا ضامن آن است، یا توافق دیگری بین اپراتور و موضوع PD پیش بینی شده است یا اگر اپراتور به دلایل پیش بینی شده حق پردازش PD را بدون رضایت موضوع PD نداشته باشد. طبق قوانین فدراسیون روسیه.

8.2.21.

شخصی مسئول سازماندهی پردازش داده های شخصی را تعیین کنید.

رویه پردازش و حفاظت از داده های شخصی

9.1.

اطمینان از محرمانه بودن داده های شخصی پردازش شده توسط اپراتور یک الزام اجباری برای همه افرادی است که داده های شخصی برای آنها شناخته شده است.

9.2.

کارکنان اپراتور که اسناد را پردازش می کنند، در موارد خاص، ملزم به کسب رضایت افراد PD برای پردازش هستند.

9.3.

در صورت نقض رویه تعیین شده برای پردازش PD، کارکنان اپراتور مطابق بند 9 این آیین نامه مسئول هستند.

9.4.

PD موضوعات روی کاغذ، پردازش شده توسط اپراتور، در بخش هایی (با کارمندان) که مجوز پردازش PD مربوطه را دارند ذخیره می شود. حق دسترسی کارکنان به سیستم های اطلاعاتی غیرخودکار به دستور مدیر تعیین می شود. حامل های داده های شخصی نباید بدون مراقبت رها شوند. هنگام خروج از محل کار، کارمندانی که داده های شخصی را پردازش می کنند باید رسانه ها را در یک کابینت امن، قفل شده قرار دهند یا به شکل دیگری محدود کنند. دسترسی غیرمجازبه حامل ها اگر PD گم شود یا آسیب ببیند، در صورت امکان بازیابی می شود.

9.5.

مکان های ذخیره سازی اسناد حاوی PD:

9.5.1.

PD مشتریان اپراتور (قراردادها، اعمال، قراردادها، پرسشنامه ها، کپی پاسپورت ها، سایر اسناد مشابه حاوی PD مشتریان اپراتور، رسانه های ذخیره سازی (فلش کارت، سی دی و غیره) در دفاتر اصلی و رزرو اپراتور ذخیره می شود. ، در قفسه ها قرار می گیرد و با کلید قفل می شود مسئول اعمال کنترل با دستور مدیر تعیین می شود.

9.5.2.

اطلاعات شخصی کارکنان اپراتور - اسناد، رسانه های ذخیره سازی (فلش کارت، سی دی و غیره) در گاوصندوق شرکت ذخیره می شود و با یک کلید قفل می شود. شخص مسئول اعمال کنترل، رئیس اپراتور است.

9.6.

صدور اسناد برای بررسی برای افرادی که به منظور انجام وظایف رسمی در اطلاعات مربوطه پذیرفته شده اند، برای مدت حداکثر یک روز کاری انجام می شود.

9.7.

سایر رسانه‌های ذخیره‌سازی ممکن است در دفاتر اصلی و پشتیبان اپراتور، در قفسه‌ها و قفل‌شده با کلید یا در گاوصندوق سازمان ذخیره شوند. شخص مسئول اعمال کنترل بر سایر حامل های اطلاعات به دستور مدیر تعیین می شود.

9.8.

هنگام کار با نرم افزار سیستم خودکاراپراتور اجرای عملکردهای مشاهده و ویرایش PD از نمایش فرم های صفحه حاوی چنین داده هایی برای افرادی که مجوز مناسب را ندارند ممنوع است.

9.9.

هنگام دریافت PD توسط یک کارمند اپراتور، که مطابق وظایف شغلی خود، PD را از مشتری یا کارمند شخص دیگری دریافت می کند، صحت PD باید بررسی شود. PD دریافت شده توسط اپراتور توسط کارکنانی که به PD مربوطه دسترسی دارند وارد سیستم اطلاعاتی می شود. کارکنانی که اطلاعات را وارد می کنند، مسئول صحت و کامل بودن اطلاعات وارد شده هستند.

9.10.

ویژگی های پردازش داده های شخصی موجود بر روی کاغذ، بدون استفاده از ابزارهای اتوماسیون (از رایانه شخصی در هنگام تنظیم اسناد استفاده نمی شود) مطابق با فرمان دولت فدراسیون روسیه مورخ 15 سپتامبر 2008 N 687 "در مورد" تصویب آیین نامه ویژگی های پردازش داده های شخصی بدون استفاده از ابزارهای اتوماسیون".

9.11.

برای پردازش غیر خودکار دسته بندی های مختلف PD باید در یک محیط مادی جداگانه برای هر دسته از PD استفاده شود.

9.12.

در صورت پردازش غیر خودکار داده های شخصی بر روی کاغذ:

9.12.1.

ضبط روی یک رسانه کاغذی PD که اهداف پردازش آن آشکارا ناسازگار است مجاز نیست.

9.12.2.

PD باید از سایر اطلاعات جدا شود، به ویژه با ثبت آنها در رسانه های کاغذی جداگانه، در بخش های خاص یا در زمینه فرم ها (فرم ها).

9.13.

هنگام استفاده از فرم های استاندارد اسناد، ماهیت اطلاعاتی که در آن گنجاندن PD در آنها را پیشنهاد می کند یا اجازه می دهد (که از این پس به عنوان فرم های استاندارد نامیده می شود)، شرایط زیر باید رعایت شود:

9.13.1.

فرم استاندارد یا اسناد مرتبط (دستورالعمل برای پر کردن آن، کارت ها، ثبت نام و مجلات) باید حاوی اطلاعاتی در مورد هدف پردازش غیر خودکار PD، نام (نام) و آدرس اپراتور، نام خانوادگی، نام، نام خانوادگی باشد. و آدرس موضوع PD، منبع دریافت PD، مهلت های پردازش داده های شخصی، لیستی از اقدامات با داده های شخصی که در طول پردازش آنها انجام می شود، توضیحات کلیروش های پردازش PD که توسط اپراتور استفاده می شود.

9.13.2.

فرم استاندارد باید شامل فیلدی باشد که در آن فرد PD می‌تواند رضایت خود را برای پردازش غیر خودکار PD علامت‌گذاری کند، در صورت نیاز به کسب رضایت کتبی برای پردازش PD.

9.13.3.

فرم استاندارد باید به گونه ای تنظیم شود که هر یک از افراد PD موجود در سند این فرصت را داشته باشند که بدون نقض حقوق و منافع مشروع سایر افراد PD، خود را با PD موجود در سند آشنا کنند.

9.13.4.

فرم استاندارد باید ترکیبی از فیلدهای در نظر گرفته شده برای وارد کردن داده های شخصی را که اهداف پردازش آنها آشکارا ناسازگار است، حذف کند.

9.14.

ذخیره سازی PD باید به شکلی انجام شود که امکان شناسایی موضوع PD را فراهم کند، نه بیشتر از زمانی که اهداف پردازش PD لازم است، مگر اینکه دوره ذخیره سازی PD توسط قانون فدرال تعیین شده باشد، توافق نامه ای که موضوع PD مطابق آن است. یک طرف، ذینفع یا ضامن

9.15.

موارد تخریب، مسدود کردن و شفاف سازی اطلاعات شخصی:

9.16.

تخریب یا غیرشخصی بخشی از داده های شخصی، در صورتی که توسط یک رسانه ملموس مجاز باشد، می تواند به گونه ای انجام شود که از پردازش بیشتر این داده های شخصی جلوگیری کند و در عین حال امکان پردازش سایر داده های ثبت شده در یک رسانه ملموس (حذف، پاک کردن) حفظ شود.

9.17.

شفاف سازی داده های شخصی هنگام پردازش آنها بدون استفاده از ابزارهای اتوماسیون با به روز رسانی یا تغییر داده ها در یک رسانه ملموس انجام می شود و اگر این مجاز نباشد ویژگی های فنیرسانه مادی - با ضبط بر روی همان رسانه مادی اطلاعات در مورد تغییرات ایجاد شده در آنها، یا با تولید یک رسانه جدید با PD به روز شده.

9.18.

تخریب رسانه های حاوی داده های شخصی به ترتیب زیر انجام می شود:

9.18.1.

PD روی کاغذ با استفاده از دستگاه های خردکن (خردکن اسناد) نصب شده در دفتر اپراتور از بین می رود.

9.18.2.

PD واقع در حافظه رایانه شخصی با حذف آن از حافظه رایانه شخصی از بین می رود.

9.18.3.

PD واقع بر روی فلش کارت، سی دی یا سایر رسانه های ذخیره سازی با حذف فایل از رسانه، در صورت لزوم، با اختلال در عملکرد فلش کارت یا سی دی از بین می رود.

9.19.

گزارشی در مورد تخریب محیط ذخیره سازی تهیه می شود (برای اشکال گزارش ها به ضمائم مراجعه کنید).

9.20.

دفتر، محل اپراتور، در پایان روز کاری و غیبت کارمندان در محل اداری، باید قفل باشد، پنجره ها بسته باشد، زنگ هشدار روشن شود (در صورت وجود).

9.21.

تجهیزات شبکه و سرورها باید در مکان هایی قرار گیرند که برای افراد غیرمجاز قابل دسترس نیست (در اتاق های ویژه، کابینت ها، جعبه ها).

9.22.

تمیز کردن محل و نگهداری تجهیزات فنی ISPD باید تحت کنترل افراد مسئول این اماکن و وسایل فنی با رعایت اقداماتی انجام شود که دسترسی غیرمجاز به PD، حامل های اطلاعات، نرم افزار و سخت افزار برای پردازش، انتقال و حفاظت از اطلاعات ISPD را ممنوع می کند. .

9.23.

مسئولیت‌های مدیران ISPDn شامل مدیریت حساب‌های کاربری ISPDn، حفظ عملکرد منظم ISPDn، حصول اطمینان از کپی رزرو کنیدداده ها و همچنین نصب و پیکربندی سخت افزار و نرم افزار ISPDn مربوط به تضمین امنیت PD در ISPDn نیست. همچنین، مسئولیت‌های مدیران ISPD شامل حصول اطمینان از انطباق رویه پردازش و تضمین امنیت PD در ISPD با الزامات محرمانه بودن، یکپارچگی و در دسترس بودن PD تحمیل‌شده بر یک ISPD خاص، و الزامات عمومی برای امنیت PD ایجاد شده توسط فدرال است. قانون گذاری.

9.24.

مسئولیت های مدیران ISPD همچنین شامل نصب، پیکربندی و مدیریت سخت افزار و نرم افزارحفاظت از اطلاعات ISPD، حسابداری و ذخیره سازی رسانه ماشین PD، ممیزی دوره ای گزارش های امنیتی و تجزیه و تحلیل امنیت ISPD، و همچنین مشارکت در تحقیقات داخلی نقض رویه تعیین شده برای پردازش و اطمینان از امنیت PD.

9.25.

به منظور اطمینان از توزیع اختیارات، اجرای کنترل متقابل و جلوگیری از تمرکز قدرت های حیاتی برای ایمنی داده های شخصی در یک شخص، ترکیب نقش های کاربر ISPD و مدیر ISPD در شخص یک کارمند

9.26.

الزامات صلاحیت و فهرست دقیق حقوق و مسئولیت های مدیران ISPD در شرح وظایف مربوطه آمده است، که کارکنان منصوب به این نقش ها باید پس از امضا با آنها آشنا باشند.

9.27.

سازماندهی کنترل داخلی فرآیند پردازش PD در اپراتور به منظور مطالعه و ارزیابی وضعیت واقعی امنیت PD، پاسخ به موقع به نقض رویه تعیین شده برای پردازش آنها و همچنین به منظور بهبود این رویه انجام می شود. و از انطباق آن اطمینان حاصل کنید.

9.28.

اقدامات برای اجرای کنترل داخلی بر روی پردازش و امنیت داده های شخصی با هدف حل وظایف زیر انجام می شود:

9.28.1.

اطمینان از انطباق کارکنان اپراتور با الزامات این مقررات و مقررات حاکم بر دامنه داده های شخصی.

9.28.2.

ارزیابی شایستگی پرسنل درگیر در پردازش داده های شخصی.

9.28.3.

حصول اطمینان از عملکرد و اثربخشی وسایل فنی ISPD و وسایل حفاظت PD، مطابقت آنها با الزامات مقامات اجرایی مجاز در مورد مسائل امنیتی PD.

9.28.4.

تشخیص نقض رویه تعیین شده برای پردازش داده های شخصی و جلوگیری به موقع از عواقب منفی چنین تخلفاتی.

9.28.5.

انجام اقدامات اصلاحی با هدف از بین بردن تخلفات شناسایی شده، هم در روند پردازش PD و هم در عملیات ابزارهای فنی ISPD.

9.28.7.

اعمال کنترل داخلی بر اجرای توصیه ها و دستورالعمل ها برای رفع تخلفات.

9.29.

نتایج فعالیت‌های کنترلی در قوانین ثبت شده و مبنایی برای توسعه توصیه‌هایی برای بهبود روش پردازش و تضمین امنیت داده‌های شخصی، برای نوسازی ابزارهای فنی سیستم‌های اطلاعاتی و ابزارهای حفاظت از داده‌های شخصی، برای آموزش و بهبود صلاحیت پرسنل درگیر در پردازش داده های شخصی.

ویژگی های مدیریت داده های شخصی کارکنان اپراتور

10.1.

این بخش حقوق و تعهدات اضافی اپراتور و کارکنان را هنگام پردازش اطلاعات شخصی کارکنان اپراتور تعیین می کند.

10.2.

اطلاعات شخصی کارکنان اطلاعاتی است که اپراتور در رابطه با روابط کار و مربوط به یک کارمند خاص مورد نیاز است.

10.3.

پردازش اطلاعات شخصی یک کارمند صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارکنان در استخدام، آموزش و ارتقاء، اطمینان از ایمنی شخصی کارکنان، نظارت بر کمیت و کیفیت کار انجام شده و اطمینان از ایمنی اموال

10.4.

اپراتور حق دریافت و پردازش اطلاعات شخصی کارمند را در مورد عضویت وی در انجمن های عمومی یا فعالیت های اتحادیه کارگری ندارد، مگر در مواردی که توسط قوانین فدرال پیش بینی شده است.

10.5.

هنگام اتخاذ تصمیماتی که بر منافع یک کارمند تأثیر می گذارد، اپراتور حق ندارد به داده های شخصی کارمند که صرفاً در نتیجه پردازش خودکار یا دریافت الکترونیکی آنها به دست آمده است اعتماد کند.

10.6.

کارکنان نباید از حقوق خود برای حفظ و حفاظت از اسرار چشم پوشی کنند.

10.7.

اپراتور متعهد می شود که اطلاعات شخصی کارمند را برای مقاصد تجاری بدون رضایت کتبی وی فاش نکند.

10.8.

اپراتور متعهد می شود که به کارکنان اپراتور و اشخاص ثالثی که اطلاعات شخصی کارمند را دریافت می کنند (با رضایت وی) هشدار دهد که این داده ها فقط می توانند برای اهدافی استفاده شوند که برای آنها ارسال شده است و از این افراد می خواهد تا تأیید کنند که این قانون رعایت شده است. افرادی که اطلاعات شخصی یک کارمند را دریافت می کنند ملزم به رعایت رژیم محرمانه (محرمانه) هستند. رژیم محرمانه با امضای توافق نامه با شخص تضمین می شود (پیوست این مقررات). این ماده در مورد تبادل اطلاعات شخصی کارکنان به روشی که توسط قانون فدراسیون روسیه تعیین شده است اعمال نمی شود.

10.9.

دسترسی به اطلاعات شخصی کارکنان بر اساس دستورات و مقررات تایید شده توسط اپراتور انجام می شود.

10.10.

اپراتور متعهد می شود که اطلاعاتی در مورد وضعیت سلامتی کارمند درخواست نکند، به استثنای اطلاعاتی که مربوط به موضوع توانایی کارمند برای انجام یک وظیفه شغلی است.

10.11.

اپراتور متعهد می شود که PD کارمند را به روشی که توسط قانون فدراسیون روسیه تعیین شده است به نمایندگان کارمند منتقل کند و این اطلاعات را فقط به آن دسته از PD کارمند که برای انجام وظایف خود برای نمایندگان مذکور ضروری است محدود کند.

10.12.

یک کارمند حق دارد نمایندگان خود را برای محافظت از اطلاعات شخصی خود تعیین کند.

مسئولیت نقض این ماده

11.1.

مدیریت اپراتور مسئول عدم اطمینان از محرمانه بودن داده های شخصی و عدم رعایت حقوق و آزادی های افراد سوژه داده های شخصی در رابطه با داده های شخصی آنها، از جمله حقوق حفظ حریم خصوصی، اسرار شخصی و خانوادگی است.

11.4.

در موارد نقض رویه تعیین شده برای پردازش و تضمین امنیت PD، دسترسی غیرمجاز به PD، افشای PD و ایجاد خسارت مادی یا دیگر به اپراتور، کارکنان، مشتریان و طرفین آن، مرتکبین متحمل مدنی، کیفری، اداری هستند. ، مسئولیت انضباطی و سایر مسئولیت های مقرر در قانون فدراسیون روسیه.

در 1 ژوئیه 2017، قانون فدرال شماره 13-FZ مورخ 02/07/2017 لازم الاجرا شد که هنر را اصلاح می کند. 13.11 قانون تخلفات اداری و گسترش لیستی از زمینه های ایجاد مسئولیت اداری برای فعالیت های غیرقانونی و افزایش قابل توجه جریمه ها را فراهم می کند.

یکی از اسناد اجباری که اپراتور داده های شخصی باید برای مطابقت با الزامات قانون فدرال 27 ژوئیه 2006 شماره 152-FZ تهیه کند، سیاست مربوط به پردازش داده های شخصی نامیده می شود با داده های کارمندان، مشتریان و دیگران اشخاص حقیقی. این فایل تقریباً در تمام سایت‌هایی که به هر شکلی از جمع‌آوری داده‌های شخصی دارند، رایگان است.

چگونه می توان یک خط مشی پردازش داده های شخصی را به درستی ترسیم کرد، چه بخش هایی باید گنجانده شود؟ Roskomnadzor توضیحاتی در مورد این موضوعات ارائه می دهد.

ساختار خط مشی پردازش داده های شخصی

مقررات عمومی
اهداف جمع آوری داده های شخصی
زمینه های قانونی برای پردازش داده های شخصی
حجم و دسته‌های داده‌های شخصی پردازش‌شده، دسته‌های موضوعات داده‌های شخصی
مراحل و شرایط پردازش داده های شخصی
به روز رسانی، اصلاح، حذف و از بین بردن داده های شخصی، پاسخ به درخواست های افراد برای دسترسی به داده های شخصی

1. اهداف کلی

در این بخش، شما در واقع به این سوال پاسخ می دهید - خط مشی پردازش داده های شخصی برای چیست؟ همچنین مفاهیم اساسی مورد استفاده در سند و همچنین حقوق و تعهدات اپراتور و موضوع داده های شخصی را توضیح می دهد.

2. اهداف جمع آوری داده های شخصی

هنر 5 قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 نیاز به تعیین اهداف خاص و مشروع برای جمع آوری داده ها دارد. بنابراین، پردازش اطلاعات شخصی که با این اهداف مطابقت ندارد امکان پذیر نیست.

Roskomnadzor نشان می دهد که اهداف پردازش داده های شخصی ممکن است شامل موارد زیر باشد:

از تجزیه و تحلیل اقدامات قانونی تنظیم کننده فعالیت های اپراتور؛
از اهداف فعالیت هایی که واقعاً توسط اپراتور انجام می شود.
از فعالیت های پیش بینی شده توسط اسناد تشکیل دهنده اپراتور؛
از فرآیندهای تجاری خاص اپراتور در سیستم های اطلاعاتی خاص داده های شخصی (توسط بخش های ساختاری اپراتور و رویه های آنها در رابطه با دسته های خاصی از موضوعات داده های شخصی).

3. زمینه های قانونی برای پردازش داده های شخصی

قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 مبنای قانونی برای پردازش داده های شخصی نیست. این نقش توسط اقدامات قانونی انجام می شود که مطابق آنها اپراتور داده ها را پردازش می کند.

بنابراین، در خط مشی پردازش داده، زمینه های قانونی زیر را می توان مشخص کرد: قوانین فدرال و قوانین قانونی نظارتی اتخاذ شده بر اساس آنها روابط مربوط به فعالیت های اپراتور را تنظیم می کند. اسناد قانونی اپراتور؛ توافق نامه های منعقد شده بین اپراتور و موضوع داده های شخصی؛ رضایت از پردازش داده های شخصی (در مواردی که به طور مستقیم توسط قانون فدراسیون روسیه پیش بینی نشده است، اما مطابق با اختیارات اپراتور است).

4. حجم و دسته‌های داده‌های شخصی پردازش‌شده، دسته‌های موضوع داده‌های شخصی

مهم است که حجم داده های شخصی پردازش شده با اهداف ذکر شده پردازش متفاوت نباشد.

دسته بندی موضوعات داده های شخصی ممکن است شامل موارد زیر باشد: کارمندان - چه فعلی و چه سابق، نامزدهای مشاغل خالی، بستگان کارمندان، مشتریان و طرف مقابل (افراد)، نمایندگان یا کارمندان مشتریان و طرف مقابل.

Roskomnadzor توجه خود را به این واقعیت جلب می کند که برای هر دسته از موضوعات و در رابطه با اهداف خاص، تمام داده های شخصی پردازش شده باید نشان داده شود. تمام موارد پردازش دسته های خاص از داده های شخصی و داده های شخصی بیومتریک (در صورت وجود) به طور جداگانه شرح داده شده است.

5. رویه و شرایط پردازش داده های شخصی

آنچه در این بخش آمده است:

لیست اقدامات انجام شده با داده های شخصی؛
روش های پردازش داده های شخصی؛
شرایط پردازش داده های شخصی

اگر برای دستیابی به اهداف پردازش داده های شخصی، اپراتور با اشخاص ثالث تعامل داشته باشد، باید:

شرایط انتقال داده های شخصی به اشخاص ثالث (از جمله ما در موردو در مورد انتقال داده های مرزی)؛
نام و مکان اشخاص ثالث را مشخص کنید.
هدف از انتقال داده و حجم آن را مشخص کنید.
فهرست اقدامات پردازش، روش ها و سایر شرایط پردازش، از جمله الزامات حفاظت از داده های شخصی پردازش شده.

اپراتور حق انتقال داده های شخصی را به ارگان های تحقیق و تفحص و همچنین سایر نهادهای مجاز به دلایل پیش بینی شده در قانون دارد.

خط مشی پردازش داده های شخصی باید شامل اطلاعات مربوط به رعایت الزامات محرمانه بودن داده های شخصی باشد (آنها در ماده 7 قانون فدرال 27 ژوئیه 2006 شماره 152-FZ نامگذاری شده اند) و اطلاعاتی در مورد اقدامات انجام شده (قسمت 2 ماده). 18.1، بخش 1 از هنر 19).

علاوه بر این، اپراتور باید شرایط خاتمه پردازش داده های شخصی را مشخص کند. این ممکن است دستیابی به اهداف پردازش، انقضای رضایت از پردازش، انصراف از رضایت موضوع داده های شخصی برای پردازش، شناسایی پردازش غیرقانونی داده ها باشد.

باید توجه ویژه ای به موضوعی مانند ذخیره سازی داده های شخصی شود. ابتدا باید مهلت ها ذکر شود. در مرحله دوم، پایگاه های داده واقع در قلمرو فدراسیون روسیه استفاده می شود. ثالثاً، این واقعیت در نظر گرفته می شود که ذخیره سازی باید به شکلی انجام شود که امکان شناسایی موضوع داده های شخصی را بیش از آنچه که برای اهداف پردازش لازم است نباشد. چهارم، ذکر سایر شرایط ذخیره سازی از جمله هنگام پردازش داده ها بدون استفاده از ابزارهای اتوماسیون ضروری است.

6. به روز رسانی، اصلاح، حذف و از بین بردن داده های شخصی، پاسخ به درخواست های افراد برای دسترسی به داده های شخصی

با توجه به هنر. شماره 21 شماره 152-FZ، در صورت تأیید عدم صحت اطلاعات شخصی، داده های شخصی باید توسط اپراتور به روز شود. همین امر در مورد تأیید غیرقانونی بودن پردازش نیز صدق می کند.

داده‌های شخصی زمانی که اهداف پردازش آنها محقق شود و در صورتی که موضوع داده‌های شخصی رضایت خود را از پردازش آنها پس بگیرد، در معرض نابودی قرار می‌گیرند، مگر اینکه: در قراردادی که موضوع داده‌های شخصی طرف، ذینفع یا ذینفع آن است، طور دیگری مقرر شده باشد. ضامن؛ در غیر این صورت در قرارداد دیگری بین اپراتور و موضوع داده های شخصی پیش بینی نشده است. اپراتور حق پردازش بدون رضایت موضوع داده های شخصی را به دلایل پیش بینی شده توسط قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 یا سایر قوانین فدرال ندارد.

بر اساس هنر 20 اپراتور موظف است در صورت درخواست، موضوع اطلاعات داده های شخصی را در مورد پردازش داده های شخصی انجام شده توسط وی اطلاع دهد.

Roskomnadzor توصیه می‌کند در مقررات خط‌مشی پردازش داده‌های شخصی برای پاسخ به درخواست‌ها و درخواست‌های سوژه‌های داده‌های شخصی، نمایندگان آنها و نهادهای مجاز در مورد نادرستی داده‌ها، غیرقانونی بودن پردازش آنها، لغو رضایت و دسترسی به داده‌های آنها، گنجانده شود. این ایده خوبی است که فرم‌های مناسبی از درخواست‌ها و درخواست‌ها را به خط‌مشی اضافه کنید.

ارسال خط مشی پردازش داده های شخصی در دفتر و وب سایت

هر شخصی که داده های او توسط شرکت پردازش می شود، حق دارد با خط مشی پردازش داده های شخصی آشنا شود. بنابراین، باید در مکانی در دسترس عموم قرار گیرد. به عنوان مثال، برای این کار از یک استند اطلاعاتی استفاده کنید.

اگر یک شرکت اطلاعات شخصی را از طریق اینترنت جمع آوری می کند، موظف است خط مشی را در وب سایت ارسال کند. بازدیدکنندگان سایت می توانند با کلیک بر روی لینک آن را مشاهده کنند.

برای آشنایی با مهمترین تغییرات موثر بر کسب و کار، به کانال ما بپیوندید

1. پردازش داده های شخصی باید با رعایت اصول و قوانین مقرر در این قانون فدرال انجام شود. پردازش اطلاعات شخصی در موارد زیر مجاز است:

1) پردازش داده های شخصی با رضایت موضوع داده های شخصی برای پردازش داده های شخصی وی انجام می شود.

2) پردازش داده های شخصی برای دستیابی به اهداف مقرر در معاهده بین المللی فدراسیون روسیه یا قانون، برای اجرا و انجام وظایف، اختیارات و مسئولیت های تعیین شده توسط قانون فدراسیون روسیه به اپراتور ضروری است.

3) پردازش داده های شخصی در ارتباط با مشارکت شخص در دادرسی های قانون اساسی، مدنی، اداری، کیفری، رسیدگی در دادگاه های داوری انجام می شود.

3.1) پردازش داده های شخصی برای اجرای یک عمل قضایی، اقدام یک نهاد یا مقام دیگر، مشروط به اجرا مطابق با قوانین فدراسیون روسیه در مورد رسیدگی های اجرایی (از این پس به عنوان اجرای یک عمل قضایی نامیده می شود) ضروری است. )

4) پردازش داده های شخصی برای اجرای اختیارات مقامات اجرایی فدرال، نهادهای وجوه خارج از بودجه ایالتی، مقامات اجرایی مقامات دولتی نهادهای تشکیل دهنده فدراسیون روسیه، ارگان ها ضروری است. دولت محلیو وظایف سازمانهای دخیل در ارائه، به ترتیب، دولت و خدمات شهریارائه شده توسط قانون فدرال شماره 210-FZ مورخ 27 ژوئیه 2010 "در مورد سازماندهی ارائه خدمات ایالتی و شهری"، از جمله ثبت موضوع اطلاعات شخصی در پورتال واحد خدمات ایالتی و شهری و (یا) پورتال های منطقه ای خدمات دولتی و شهری؛

(به متن در نسخه قبلی مراجعه کنید)

5) پردازش داده های شخصی برای اجرای قراردادی که موضوع داده های شخصی یک طرف یا ذینفع یا ضامن است و همچنین برای انعقاد توافق نامه به ابتکار موضوع داده های شخصی یا توافق نامه ای لازم است. موضوع داده های شخصی یک ذینفع یا ضامن خواهد بود.

(به متن در نسخه قبلی مراجعه کنید)

6) پردازش داده های شخصی برای محافظت از جان، سلامت یا سایر منافع حیاتی موضوع داده های شخصی ضروری است، در صورتی که کسب رضایت موضوع داده های شخصی غیرممکن باشد.

7) پردازش داده های شخصی برای اعمال حقوق و منافع مشروع اپراتور یا اشخاص ثالث ضروری است، از جمله در موارد مقرر در قانون فدرال "در مورد حمایت از حقوق و منافع مشروع افراد در هنگام انجام فعالیت هایی برای بازپرداخت". بدهی های معوق و اصلاحات قانون فدرال "در مورد فعالیت های مالی خرد و سازمان های تامین مالی خرد" یا دستیابی به اهداف مهم اجتماعی، مشروط بر اینکه حقوق و آزادی های موضوع داده های شخصی نقض نشود.

(به متن در نسخه قبلی مراجعه کنید)

8) پردازش داده‌های شخصی برای فعالیت‌های حرفه‌ای روزنامه‌نگار و (یا) فعالیت‌های قانونی یک رسانه جمعی یا فعالیت‌های علمی، ادبی یا سایر فعالیت‌های خلاق ضروری است، مشروط بر اینکه حقوق و منافع مشروع موضوع داده‌های شخصی رعایت شود. نقض نمی شوند؛

9) پردازش داده های شخصی برای اهداف آماری یا تحقیقاتی دیگر انجام می شود، به استثنای اهداف مشخص شده در ماده 15 این قانون فدرال، مشروط به ناشناس سازی اجباری داده های شخصی.

10) پردازش داده های شخصی انجام می شود که دسترسی به آن توسط تعداد نامحدودی از افراد توسط موضوع داده های شخصی یا به درخواست وی ارائه می شود (از این پس به عنوان داده های شخصی که توسط موضوع داده های شخصی در دسترس عموم قرار می گیرد) نامیده می شود.

11) پردازش داده های شخصی مشمول انتشار یا افشای اجباری مطابق با قانون فدرال انجام می شود.

1.1. پردازش داده های شخصی اشیاء حفاظت ایالتی و اعضای خانواده آنها با در نظر گرفتن ویژگی های مقرر در قانون فدرال مورخ 27 مه 1996 N 57-FZ "در مورد حفاظت از ایالت" انجام می شود.

2. ویژگی های پردازش دسته های ویژه داده های شخصی و همچنین داده های شخصی بیومتریک مطابق با این قانون فدرال تعیین شده است.

3. اپراتور حق دارد پردازش داده های شخصی را با رضایت موضوع داده های شخصی به شخص دیگری واگذار کند، مگر اینکه قانون فدرال بر اساس توافق نامه منعقد شده با این شخص، از جمله یک ایالت یا شهرداری، خلاف آن را مقرر کند. قرارداد، یا با تصویب یک قانون مربوطه توسط یک ارگان دولتی یا شهرداری (از این پس - دستورالعمل های اپراتور). شخصی که از طرف اپراتور داده های شخصی را پردازش می کند موظف است از اصول و قوانین پردازش داده های شخصی مندرج در این قانون فدرال پیروی کند. دستورالعمل‌های اپراتور باید فهرستی از اقدامات (عملیات) با داده‌های شخصی را که توسط شخصی که داده‌های شخصی را پردازش می‌کند و اهداف پردازش انجام می‌دهد، تعریف کند، تعهد چنین شخصی باید برای حفظ محرمانه بودن داده‌های شخصی و اطمینان از امنیت داده های شخصی در طول پردازش آنها و همچنین الزامات حفاظت از داده های شخصی پردازش شده باید مطابق با ماده 19 این قانون فدرال مشخص شود.

4. شخصی که از طرف اپراتور داده های شخصی را پردازش می کند، برای پردازش داده های شخصی خود نیازی به کسب رضایت موضوع داده های شخصی ندارد.

5. اگر اپراتور پردازش داده های شخصی را به شخص دیگری واگذار کند، اپراتور در قبال موضوع داده های شخصی مسئول اقدامات شخص مشخص شده است. شخصی که اطلاعات شخصی را از طرف اپراتور پردازش می کند در مقابل اپراتور مسئول است.

این شرکت نمی تواند بدون به دست آوردن اطلاعات شخصی از کارکنان، مشتریان و پیمانکاران انجام دهد. ما به نام، آدرس و اطلاعات دیگر نیاز داریم. با این حال، شرکت حق دارد داده های شخصی را فقط برای اهداف خاص پردازش کند. هر گونه استفاده دیگر از داده ها تخلف است که منجر به اقدامات اداری می شود.

اهدافی که برای آن اطلاعات درخواست می شود باید با قانون و نیازهای شرکت مطابقت داشته باشد.

در طول انجام تجارت، یک شرکت با اطلاعاتی سر و کار دارد که باید محافظت شوند. اطلاعات محرمانه شامل اطلاعاتی درباره فناوری‌ها، پروژه‌ها، پیشرفت‌ها، ویژگی‌های معاملات و غیره است. قانون همچنین حفاظت از اطلاعات افرادی را که برای شرکت کار می‌کنند، مشتریان آن یا نماینده طرف مقابل هستند، می‌طلبد. "در مورد داده های شخصی" در پیروی از اصل قانون اساسی حمایت از زندگی خصوصی (ماده 2 قانون شماره 152) عمل می کند. الزامات قانون در مورد هر سازمانی که داده ها را از افراد خود دریافت می کند اعمال می شود (ماده 1 قانون شماره 152).

شرکتی که شروع به پردازش داده های شخصی می کند، فقط برای اهداف خاصی حق درخواست آن را دارد (قسمت 2، ماده 5 قانون شماره 152). علاوه بر این، حجم داده ها به اهداف بستگی دارد. شما نمی توانید اطلاعاتی را که شرکت به آن نیاز ندارد درخواست کنید (قسمت های 4 و 5 ماده 5 قانون شماره 152). به عنوان مثال، یک فروشگاه آنلاین حق درخواست اطلاعات گذرنامه از خریدار یا درخواست نشان دادن آدرس پستی را ندارد اگر مشتری کالا را با تحویل گرفتن خود تحویل بگیرد.

خود شرکت اهداف پردازش اطلاعات شخصی مشتریان و کارمندان را تعیین می کند

دقیقاً چه اطلاعاتی مورد نیاز بوده توسط شرکت تعیین می شود (بند 2 ماده 3 قانون شماره 152). به عنوان یک قاعده، یک سازمان اطلاعات شخصی مشتریان، پیمانکاران و کارکنان را برای اهداف زیر درخواست می کند:

انعقاد قراردادها. اینها می تواند قراردادهایی با مصرف کنندگان خدمات یا کالاهای شرکت، با انواع دیگر مشتریان، با شرکای تجاری، قراردادهای کاری و غیره باشد. برای هر قراردادی که شرکت قرار است امضا کند، اطلاعات شخصی مورد نیاز خواهد بود - کارمندی که در آن فعالیت می کند. منافع آن، نماینده طرف مقابل یا خود طرف مقابل، اگر شخص خصوصی باشد. گنجاندن داده ها مورد نیاز است تا شرکت بتواند به تعهدات خود عمل کند.
سیستماتیک کردن اطلاعات در مورد پرسنل، نگهداری سوابق پرسنل و کارهای اداری. داده های کارکنان نه تنها برای انعقاد قراردادهای کاری، بلکه برای کلیه معاملات دیگر در رابطه کاری نیز مورد نیاز است.
انطباق با الزامات قانون کسر مالیات از بودجه، حق بیمه و غیره. شرکت حق بیمه مالیات بر درآمد شخصی را از کارکنان کسر می کند و این مبالغ را به دولت، صندوق بازنشستگی و سایر سازمان ها واریز می کند (ماده 22 قانون شماره). 152، ماده 86 قانون کار فدراسیون روسیه).
تشکیل آمار. برای این منظور داده ها باید بی نام باشند (بند 9 قسمت 1 ماده 6 قانون شماره 152).

مهمان، مرا ملاقات کن!

شرکت موظف است به موضوع داده های شخصی در مورد اهداف پردازش هشدار دهد

شرکت موظف است کارمند یا مشتری را از هدفی که برای پردازش اطلاعات شخصی وی را درخواست می کند مطلع کند (بند 4 قسمت 4 ماده 9 قانون شماره 152). این به عنوان بخشی از کسب رضایت برای ارائه اطلاعات انجام می شود. فهرست اهداف باید:

جامع و مشخص باشد؛
مطابق با مفاد منشور و همچنین اقدامات محلی سازمان.
مطابق با اهدافی است که شرکت واقعاً دنبال می کند.

به عنوان مثال، یک بانک اطلاعاتی را از مشتری درخواست می کند. هدف از پردازش، سرویس دهی به حساب وی است، از جمله:

افتتاح حساب،
نگهداری حساب،
عملیات انتقال وجه از و به یک حساب،
مشاوره مشتری

نمونه دیگری از اطلاعات فهرست کردن اهداف پردازش داده های شخصی کارکنان در خط مشی شرکت است. سازمان تصریح می کند که از اطلاعات استفاده می شود:

هنگام کار با رزومه متقاضیان؛
انجام تعهدات شرکت تحت قرارداد کار؛
رعایت قوانین کار، مالیات و بازنشستگی؛
سازماندهی آموزش کارکنان و ارتقای سطح حرفه ای آنها؛
هنگام محاسبه و تعلق دستمزد؛
برای کنترل کیفیت کار کارکنان؛
هنگام ارائه ضمانت ها و مزایای مختلف و غیره.

رضایت پردازش تقریباً در همه موارد باید از سوژه داده گرفته شود. در صورتی که هدف مجموعه، تبلیغ شرکت در بازار یا تبلیغات سیاسی باشد، اپراتور موظف است رضایت خود را ثابت کند (قسمت 1 ماده 15 قانون شماره 152). در غیر این صورت تلقی می شود که درخواست نشده است.

علاوه بر توافق با کارمند یا مشتری، اهداف به دست آوردن داده ها باید در یک سند خاص منعکس شود - سیاست شرکت در مورد کار با چنین داده هایی. این باید یک سند عمومی باشد. به عنوان یک قاعده، در وب سایت سازمان در بخش ویژه منتشر می شود.

یک سیستم کمک حرفه ای برای وکلا که در آن پاسخ هر سوال، حتی پیچیده ترین، را خواهید یافت.

بر اساس رعایت قوانین و مقررات دیگر انجام می شود.

پردازش داده های شخصی چیست؟ این فرآیند شامل مراحل زیر است:

مقررات قانونی کار با داده های شخصی کلیه فرآیندها و مراحل کار با آنها را پوشش می دهد.

هدف

چرا پردازش داده های شخصی ضروری است؟ پردازش داده های شخصی یک کارمند در شرکت یا سازمان به منظور تسهیل آن انجام می شود.

اهداف اصلی پردازش داده های شخصی:

در یافتن شغل؛
در استقرار در یک موسسه آموزشی یا برای آموزش، برای آموزش پیشرفته؛
به منظور حمایت از کار؛
برای ارتقاء و کنترل فرصت های شغلی؛
نظارت بر کمیت و کیفیت کار انجام شده

این قانون انباشت و انتقال داده های شخصی یک کارمند را صرفاً به منظور توسعه وی و استفاده مناسب از توانایی ها و تجربیات وی فراهم می کند. , شامل اهداف چند منظوره است.

اهداف پردازش داده های شخصی کارکنان شامل استفاده و پردازش داده های شخصی از طریق ترکیب و روابط متقابل آنها است که ارتباط توانایی های کارمند را در شرایط سازماندهی فرآیند تولید تعیین می کند.

اهداف تعیین شده و بیان شده برای پردازش داده های شخصی بدون اطلاع کارمند قابل تغییر نیستند.

توسط چه کسی انجام شد؟

داده های شخصی به معنای اطلاعاتی است که حاوی اطلاعات اساسی در مورد یک شخص مورد علاقه حلقه خاصی از نمایندگان دولت و سایر خدمات است.

به طور خاص، در تولید (در یک سازمان)، داده های شخصی مورد علاقه کارفرما است که سازمان کار در تولید را بر اساس اطلاعات مربوط به کارکنان خود مدیریت می کند.

کارفرما حق دارد هر گونه اطلاعات شخصی موجود در آن را درخواست کند حساب هادر مورد کارمند علاوه بر او، دسترسی به داده های شخصی دارای دایره محدودی از افراد است که انجام می دهند کار عملیاتی. به عنوان یک قاعده، اینها کارکنان دبیرخانه و بخش پرسنل هستند.

اپراتور که فعالیت های اطلاعاتی را با داده های شخصی انجام می دهد، قبل از شروع کار تعیین شده، دستورالعمل ها را دریافت می کند. او با قوانین عملیاتی و اصول منع افشای اطلاعات موجود در داده های شخصی آشنا می شود.

اجرای انواع کار ذکر شده می تواند منحصراً اهدافی را دنبال کند که دلیل جمع آوری اطلاعات بوده است. سوء استفاده از داده های شخصی یا افشای آنها تخلف فاحشی تلقی می شود که مسئولیت آن در نظر گرفته شده است.

تخلفات

همانطور که قبلاً بحث شد، نقض در پردازش داده های شخصی در نظر گرفته می شود:

کار اپراتور با داده های شخصی تحت کنترل شدید خدمات مجاز است و اپراتور در قبال کاستی ها، تخلفات ناخواسته یا عمدی مسئول است.

تمام اقدامات غیرمجاز در طول پردازش داده های شخصی ممکن است منجر به مجازات شود: انضباطی، اداری و در برخی موارد جنایی.