Regulamentul privind prelucrarea și protecția datelor cu caracter personal stabilește procedura de colectare, acumulare, stocare, utilizare, ștergere etc. a informațiilor care conțin informații despre angajații întreprinderii. Documentul trebuie să descrie procedura de transfer a PD către terți, caracteristicile procesării automate și neautomatizate PD, procedura de accesare a PD, procedura de organizare a controlului intern și responsabilitatea pentru încălcări în timpul prelucrării PD.
Cum se elaborează un regulament privind prelucrarea și protecția datelor cu caracter personal
Documentul este elaborat în conformitate cu legislația Federației Ruse privind datele cu caracter personal și documentele de reglementare și metodologice ale organelor executive ale puterii de stat privind problemele de securitate PD în timpul procesării acestora în sisteme de informare PDn.
Regulamentul privind protecția datelor cu caracter personal constă de obicei din 11 secțiuni:
- Dispoziții generale.
- Scopurile și obiectivele procesării PD.
- Datele cu caracter personal prelucrate în ISPD (numele complet, data nașterii, numar de contact, adresa de înregistrare, adresa de reședință reală).
- Acces la PD.
- Cerințe de bază pentru protecția datelor cu caracter personal.
- Consimțământ pentru prelucrarea PD.
- Drepturile subiectului în legătură cu datele personale prelucrate de operator.
- Drepturile și obligațiile operatorului ISPDn.
- Procedura de prelucrare si protectie a datelor cu caracter personal.
- Particularități ale prelucrării datelor cu caracter personal ale angajaților operatorului.
- Răspunderea pentru încălcarea acestei prevederi.
Prevederile privind prelucrarea și protecția datelor cu caracter personal se aplică tuturor proceselor de colectare, sistematizare, acumulare, stocare, clarificare, utilizare, distribuire (inclusiv transfer), depersonalizare, blocare, distrugere a datelor cu caracter personal, efectuate cu ajutorul instrumentelor de automatizare și fără a acestora. utilizare.
Subiecții datelor cu caracter personal
Subiectele PD includ:
- Angajații operatorului.
- Candidați la angajare.
- Clienți (consumatori de servicii de operator).
- Antreprenorii individuali sunt contrapărțile operatorului.
- Clienți ai organizațiilor, contrapărți ale operatorului (deservirea clienților corporativi).
- Alte persoane fizice ale căror date cu caracter personal sunt prelucrate de către operator.
Regulamentul privind prelucrarea și protecția datelor cu caracter personal intră în vigoare din momentul aprobării sale și este valabil pe termen nedeterminat până la înlocuirea acestuia cu un nou regulament. Toți angajații organizației trebuie să fie familiarizați cu acest document împotriva semnării.
| (Numele complet al operatorului) | ||||||||||||||||||
| "APROBAT" | |||||
| Antreprenor individual | |||||
| (denumirea funcției) | (semnătură personală) | (Numele complet) | |||
| № |
Reglementări privind prelucrarea și protecția datelor cu caracter personal
Dispoziții generale
1.1.
Prezentul Regulament a fost elaborat în conformitate cu legislația Federației Ruse privind datele cu caracter personal (denumită în continuare PD) și documentele de reglementare și metodologice ale organelor executive ale puterii de stat privind problemele de securitate PD atunci când sunt prelucrate în sistemele de informații PD (denumite în continuare: ca ISPD).
1.2.
În sensul prezentului Regulament, se folosesc următorii termeni:
date personale (PD) - orice informație referitoare la o persoană fizică direct sau indirect identificată sau identificabilă (subiect PD);
operator - organ de stat, organ municipal, persoană juridică sau persoană fizică care, independent sau împreună cu alte persoane, organizează și (sau) realizează prelucrarea datelor cu caracter personal, precum și determinarea scopurilor prelucrării datelor cu caracter personal, componența datele de prelucrat, acțiuni (operațiuni) efectuate cu date personale;
Prelucrare PD - orice acțiune (operație) sau set de acțiuni (operații) efectuate folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente cu PD, inclusiv colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea, utilizarea , transfer (distribuire, furnizare, acces), depersonalizare, blocare, ștergere, distrugere a datelor cu caracter personal;
prelucrare automată a datelor cu caracter personal - prelucrarea datelor cu caracter personal folosind tehnologie informatică;
distribuirea datelor cu caracter personal - acțiuni care vizează dezvăluirea datelor cu caracter personal unui număr nedeterminat de persoane;
furnizarea de PD - acțiuni care vizează dezvăluirea PD unei anumite persoane sau unui anumit cerc de persoane;
Blocarea PD - încetarea temporară a procesării PD (cu excepția cazurilor în care prelucrarea este necesară pentru clarificarea PD);
distrugerea PD - acțiuni în urma cărora devine imposibilă restabilirea conținutului PD în ISPD și/sau în urma cărora mediile materiale ale PD sunt distruse;
depersonalizarea datelor cu caracter personal - acțiuni în urma cărora devine imposibil fără utilizare Informații suplimentare determina dacă PD aparține unui anumit subiect PD;
sistem de informare a datelor cu caracter personal (PDIS) - un set de date cu caracter personal conținute în baze de date și care asigură prelucrarea acestora tehnologia Informatieiși mijloace tehnice;
transfer transfrontalier de date cu caracter personal - transfer de date cu caracter personal pe teritoriul unui stat străin către o autoritate a unui stat străin, o persoană fizică străină sau o persoană juridică străină.
1.3.
Prezentul Regulament stabilește procedura și condițiile de prelucrare a PD în (denumit în continuare Operator), inclusiv procedura de transfer al PD către terți, caracteristicile procesării automate și neautomatizate PD, procedura de accesare a PD, PD sistem de protecție, procedura de organizare a controlului intern și răspunderea pentru încălcări în timpul prelucrării PD, alte întrebări.
1.4.
Prezentul Regulament se aplică tuturor proceselor de colectare, sistematizare, acumulare, stocare, clarificare, utilizare, distribuire (inclusiv transfer), depersonalizare, blocare, distrugere a datelor cu caracter personal, efectuate folosind instrumente de automatizare și fără utilizarea acestora.
1.5.
Prezentul Regulament intră în vigoare din momentul în care este aprobat de către Operator și este valabil pe termen nelimitat până când este înlocuit cu un nou Regulament.
1.6.
Toate modificările la Regulament se fac prin ordin.
1.7.
Toți angajații Operatorului trebuie să fie familiarizați cu prezentul Regulament la semnare.
Scopurile și obiectivele procesării PD
2.1.
Prelucrarea datelor cu caracter personal ar trebui să se limiteze la atingerea unor scopuri specifice, predefinite și legitime. Prelucrarea datelor cu caracter personal care este incompatibilă cu scopurile colectării datelor cu caracter personal nu este permisă.
2.2.
Nu este permisă combinarea bazelor de date care conțin date cu caracter personal, a căror prelucrare se efectuează în scopuri care sunt incompatibile între ele.
2.3.
Sunt supuse prelucrării numai datele cu caracter personal care îndeplinesc scopurile prelucrării acestora.
2.4.
2.5.
Prelucrarea datelor cu caracter personal ale angajaților Operatorului poate fi efectuată exclusiv în scopul asigurării respectării legilor și altor reglementări, asistarea angajaților în angajare, formare și promovare, asigurarea securității personale a angajaților, monitorizarea cantității și calității muncii prestate și asigurarea sigurantei proprietatii Operatorului.
2.6.
Principalele scopuri ale procesării PD sunt:
Scopuri suplimentare pentru prelucrarea datelor cu caracter personal sunt: .
2.7.
ISPDn oferă soluții pentru următoarele sarcini: .
Datele personale prelucrate în ISPDn
3.1.
ISPD prelucrează datele cu caracter personal ale următoarelor persoane vizate:
3.1.1.
angajații operatorului;
3.1.2.
clienți (consumatori ai serviciilor Operatorului);
3.1.3.
antreprenori individuali - contrapartide ale Operatorului;
3.1.4.
clienți ai organizațiilor, contrapărți ale Operatorului (deservirea clienților corporativi);
3.2.
Această listă poate fi revizuită dacă este necesar.
3.3.
Datele personale ale subiecților PD includ:
3.4.
Liste complete de date cu caracter personal prelucrate sunt formate în lista datelor cu caracter personal supuse protecției în sistemul informatic al Operatorului.
Accesul la datele personale
4.1.
Angajații Operatorului care, din cauza atribuțiilor lor oficiale, lucrează în mod constant cu date cu caracter personal, beneficiază de acces la categoriile de date cu caracter personal necesare pe perioada îndeplinirii atribuțiilor lor oficiale, pe baza listei persoanelor autorizate să lucreze cu date cu caracter personal, care este aprobat de şeful Operatorului. Lista este întocmită pe baza Conceptului securitatea informatieiși Politica de securitate a informațiilor.
4.2.
Lista persoanelor care au acces la datele personale pentru sistemul informatic trebuie ținută la zi.
4.3.
Operatorul a stabilit o procedură de autorizare a accesului la datele cu caracter personal. Angajaților Operatorului li se oferă acces la lucru cu date personale numai în măsura și în măsura necesară pentru îndeplinirea atribuțiilor oficiale pe baza deciziei Managerului.
4.4.
Permisiunea temporară sau unică de a lucra cu date personale din cauza nevoilor oficiale poate fi obținută de un angajat al Operatorului cu aprobarea Managerului.
4.5.
Accesul la PD al terților care nu sunt angajați ai Operatorului fără acordul subiectului PD este interzis, cu excepția accesului angajaților autorităților executive, realizat ca parte a măsurilor de control și supraveghere a punerii în aplicare a legislației, implementarea funcțiilor și competențelor organelor guvernamentale relevante. Furnizarea de informații la solicitarea sau solicitarea unei autorități guvernamentale se realizează cu cunoștințele șefului Operatorului.
4.6.
Dacă un angajat al unei organizații terțe are nevoie de acces la PD-ul Operatorului, atunci este necesar ca acordul cu organizația terță să prevadă condițiile de confidențialitate a PD și obligația organizației terțe și a angajaților săi de a respecta cerinţele legislaţiei actuale în domeniul protecţiei PD. În plus, în cazul accesului la date cu caracter personal de către persoane care nu sunt angajați ai Operatorului, trebuie obținut consimțământul subiecților datelor cu caracter personal de a furniza datele lor personale către terți. Consimțământul specificat nu este necesar dacă PD este furnizat în scopul executării unui contract civil încheiat de Operator cu subiectul PD.
4.7.
Accesul angajatului Operatorului la datele cu caracter personal încetează de la data încetării raportului de muncă, sau de la data modificării responsabilităților de serviciu ale angajatului și/sau excluderea angajatului din lista persoanelor îndreptățite să acceseze datele cu caracter personal. În cazul concedierii, toate suporturile care conțin date cu caracter personal, care, în conformitate cu atribuțiile oficiale, au fost la dispoziția angajatului în timpul lucrului, trebuie să fie transferate funcționarului corespunzător.
Cerințe de bază pentru protecția datelor cu caracter personal
5.1.
La prelucrarea datelor cu caracter personal în sistemul informatic trebuie să se asigure următoarele:
a) realizarea de măsuri menite să prevină accesul neautorizat la datele cu caracter personal și/sau transferul acestora către persoane care nu au dreptul de a accesa aceste informații;
b) detectarea la timp a faptelor de acces neautorizat la datele cu caracter personal;
c) prevenirea influenței asupra mijloacelor tehnice de prelucrare automată a datelor cu caracter personal, în urma cărora funcționarea acestora poate fi perturbată;
d) posibilitatea restabilirii imediate a datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;
e) control constant asupra asigurării nivelului de securitate PD.
5.2.
Operatorul este obligat să ia măsurile legale, organizatorice, tehnice și de altă natură necesare pentru a asigura securitatea datelor cu caracter personal.
5.3.
Pentru a dezvolta cerințe de securitate și a implementa un sistem de securitate a datelor cu caracter personal, Operatorul a dezvoltat un „Model de amenințări la adresa securității datelor cu caracter personal atunci când le prelucrează într-un ISPD” bazat pe documentul de reglementare și metodologic al FSTEC din Rusia „Model de bază de amenințări la adresa securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal.”
5.4.
Operator în conformitate cu documentul de guvernare al agențiilor guvernamentale - Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” a fost efectuată clasificarea ISPD al Operatorului.
5.5.
Comisia a întocmit un certificat de clasificare a ISPD procesat folosind instrumente de automatizare:
| Actul de clasificare ISPD | Data clasificării ISPD | Nivel de securitate necesar |
5.6.
Operatorul, pe baza raportului de verificare ISPD și în conformitate cu documentul normativ și metodologic al FSTEC din Rusia „Principalele măsuri pentru organizarea și sprijinul tehnic al securității datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal”, a elaborat și a implementat un set de măsuri pentru a proteja și asigura securitatea datelor cu caracter personal („Planul de acțiune”) pentru a asigura securitatea datelor cu caracter personal”).
5.7.
Operatorul folosește mijloace tehnice și software pentru a prelucra și proteja datele cu caracter personal. De asemenea, se păstrează un jurnal al mijloacelor de protecție a datelor cu caracter personal.
5.8.
Operatorul ține un jurnal de contabilitate și stocare suporturi amovibile informație.
5.9.
Mijloacele tehnice de mai sus ale ISPD sunt situate în biroul și sediul Operatorului.
5.10.
Toate persoanele autorizate să lucreze cu PD, precum și cele asociate cu funcționarea și suportul tehnic al ISPD, trebuie să fie familiarizate cu cerințele prezentului Regulament la semnare și, de asemenea, trebuie să semneze „Acordul privind asigurarea confidențialității datelor cu caracter personal de către Angajații operatorului”, prevăzuți în Anexa la prezentul Regulament.
5.11.
Operatorul a organizat un proces de instruire pentru utilizarea mijloacelor de protecție a datelor cu caracter personal operate de Operator. Instruirea în acest domeniu este recomandată persoanelor care au acces constant la datele personale, precum și persoanelor care utilizează instrumente hardware și software pentru sistemele informaționale și sistemele de securitate a informațiilor. Persoanele responsabile cu operarea instrumentelor de securitate a informațiilor ISPD trebuie să urmeze formare obligatorie.
5.12.
Angajații sunt obligați să notifice imediat oficialul relevant al Operatorului despre pierderea sau lipsa suporturilor de stocare care constituie date cu caracter personal, precum și despre motivele și condițiile unei posibile scurgeri de date cu caracter personal. Dacă persoane neautorizate încearcă să obțină de la un angajat PD procesată de Operator, anunțați imediat oficialul relevant al Operatorului.
Consimțământ pentru prelucrarea PD
6.1.
Subiectul PD decide să furnizeze PD-ul său și își dă acordul pentru prelucrarea acestuia în mod liber, din proprie voință și în propriul interes. Consimțământul pentru prelucrarea datelor cu caracter personal trebuie să fie specific, informat și conștient. Consimțământul pentru prelucrarea datelor cu caracter personal poate fi dat de subiectul datelor cu caracter personal sau de reprezentantul acestuia sub orice formă care permite confirmarea faptului primirii acestora, cu excepția cazului în care legislația Federației Ruse prevede altfel. Dacă consimțământul pentru prelucrarea PD este primit de la un reprezentant al subiectului PD, competențele acestui reprezentant de a da consimțământul în numele subiectului PD sunt verificate de către Operator.
6.2.
Obținerea consimțământului scris pentru prelucrarea datelor cu caracter personal se realizează de către un angajat al Operatorului, la primirea datelor cu caracter personal de la subiectul datelor cu caracter personal, prin emiterea unui consimțământ scris în forma stabilită de Operatorul ISPD.
Drepturile subiectului în legătură cu datele personale prelucrate de operator
7.1.
Subiectul PD are dreptul:
Pentru a primi informații de la Operator cu privire la prelucrarea datelor sale personale. Informațiile trebuie furnizate subiectului PD de către Operator într-o formă accesibilă și nu ar trebui să conțină PD referitoare la alte subiecte PD, cu excepția cazului în care există temeiuri legale pentru dezvăluirea unei astfel de PD. Lista informațiilor și procedura de obținere a informațiilor sunt prevăzute de legislația actuală a Federației Ruse;
Solicitați Operatorului să-și clarifice datele personale, să le blocheze sau să le distrugă dacă datele cu caracter personal sunt incomplete, depășite, inexacte, obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării și, de asemenea, să ia măsurile prevăzute de legislația rusă. Federația pentru a-și proteja drepturile;
Sub rezerva consimțământului prealabil scris, atunci când se prelucrează date cu caracter personal în scopul promovării bunurilor, lucrărilor, serviciilor pe piață prin realizarea de contacte directe cu potențialii consumatori utilizând comunicări, precum și în scopuri de propagandă politică;
Sub rezerva consimțământului scris la luarea, pe baza prelucrării exclusiv automatizate a PD, a deciziilor de către Operator care dau naștere la consecințe juridice în legătură cu subiectul PD sau îi afectează în alt mod drepturile și interesele legitime;
Depune obiecții la deciziile Operatorului bazate exclusiv pe prelucrarea automată a datelor sale personale și posibilele consecințe juridice ale unei astfel de decizii;
Contestați acțiunile sau inacțiunea Operatorului la organul abilitat pentru protecția drepturilor persoanelor vizate sau în instanță.
Drepturile și obligațiile operatorului ISPDn
8.1.
Operatorul ISPDn are dreptul:
8.1.1.
Încredințați prelucrarea PD unei alte persoane cu acordul subiectului PD, cu excepția cazului în care legea federală prevede altfel, pe baza unui acord încheiat cu această persoană, inclusiv a unui contract de stat sau municipal, sau prin adoptarea unui act corespunzător de către un organism de stat sau municipal.
8.1.2.
Dacă subiectul PD își retrage consimțământul pentru prelucrarea PD, continuați prelucrarea PD fără consimțământul subiectului PD, dacă există motive specificate în legislația Federației Ruse.
8.1.3.
Refuzați subiectul datelor cu caracter personal pentru a îndeplini o solicitare repetată de informații care nu respectă condițiile prevăzute de legislația Federației Ruse. Un astfel de refuz trebuie motivat. Obligația de a face dovada validității refuzului de a îndeplini o cerere repetată revine operatorului.
8.1.4.
Stabiliți în mod independent compoziția și lista măsurilor necesare și suficiente pentru a asigura îndeplinirea obligațiilor operatorului IPDN prevăzute de legislația Federației Ruse.
8.2.
Operatorul ISPD este obligat să:
8.2.1.
Înainte de a începe procesarea PD, operatorul este obligat să notifice organismului autorizat pentru protecția drepturilor subiecților PD intenția sa de a procesa PD, cu excepția cazurilor prevăzute de legislația Federației Ruse.
8.2.2.
Când obțineți acces la PD, nu dezvăluiți PD terților și nu distribuiți PD fără consimțământul subiectului PD, cu excepția cazului în care legea federală prevede altfel.
8.2.3.
Furnizați dovada obținerii consimțământului subiectului PD pentru prelucrarea PD sau dovada existenței temeiului legal pentru prelucrarea PD fără consimțământul subiectului PD.
8.2.4.
Înainte de începerea transferului transfrontalier de date cu caracter personal, asigurați-vă că statul străin pe al cărui teritoriu sunt transferate datele cu caracter personal asigură o protecție adecvată a drepturilor persoanelor vizate de date cu caracter personal.
8.2.5.
La solicitarea subiectului PD, opriți prelucrarea PD-ului acestuia în scopul promovării bunurilor, lucrărilor, serviciilor pe piață prin realizarea de contacte directe cu potențialii consumatori utilizând comunicații, precum și în scopuri de propagandă politică.
8.2.6.
Explicați subiectului PD procedura de luare a unei decizii bazată exclusiv pe prelucrarea automată a PD-ului său și posibilele consecințe juridice ale unei astfel de decizii, oferiți posibilitatea de a se opune unei astfel de decizii și, de asemenea, explicați procedura pe care PD trebuie să o protejeze drepturile și interesele sale legitime.
Operatorul este obligat să ia în considerare obiecția în termen de treizeci de zile de la data primirii acesteia și să notifice subiectul PD cu privire la rezultatele examinării unei astfel de obiecții.
8.2.7.
La colectarea PD, furnizați subiectului PD, la cererea acestuia, informațiile prevăzute de legislația Federației Ruse.
Dacă furnizarea PD către Operator pentru subiectul PD este obligatorie în conformitate cu legea federală, Operatorul este obligat să explice subiectului PD consecințele juridice ale refuzului de a furniza PD.
8.2.8.
În cazul în care PD nu este primit de la subiectul PD, Operatorul, cu excepția cazurilor prevăzute de legislația Federației Ruse, înainte de a procesa un astfel de PD, furnizează subiectului PD următoarele informații:
1) numele sau prenumele, prenumele, patronimul și adresa operatorului sau reprezentantului acestuia;
2) scopul prelucrării PD și temeiul său legal;
3) utilizatorii vizați ai datelor cu caracter personal;
4) drepturile subiectului datelor cu caracter personal stabilite prin prezenta lege federală;
5) sursa de obținere a PD.
8.2.9.
Luați măsurile necesare și suficiente pentru a asigura îndeplinirea obligațiilor operatorului IPDN prevăzute de legislația Federației Ruse.
8.2.11.
Atunci când colectați PD utilizând rețelele de informații și telecomunicații, publicați în rețeaua relevantă de informații și telecomunicații un document care definește politica sa cu privire la prelucrarea PD și informații despre cerințele implementate pentru protecția PD, precum și asigurarea capacității de a accesa informațiile specificate. document folosind mijloacele de informare adecvate -rețeaua de telecomunicații.
8.2.12.
Să prezinte documentele și actele locale prevăzute de legislația Federației Ruse și/sau să confirme în alt mod adoptarea măsurilor necesare și suficiente pentru a asigura îndeplinirea obligațiilor Operatorului IPDN, la solicitarea organismului autorizat pentru protecția drepturile subiecţilor PD.
8.2.13.
La prelucrarea PD, luați măsurile legale, organizatorice și tehnice necesare sau asigurați adoptarea acestora pentru a proteja PD de accesul neautorizat sau accidental la acesta, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea PD, precum și de alte acțiuni ilegale în raport cu PD.
8.2.14.
Informați, în modul prevăzut de legislația Federației Ruse, subiectul PD sau informațiile reprezentantului său în mod gratuit despre disponibilitatea PD referitoare la subiectul relevant PD și, de asemenea, oferă posibilitatea de a se familiariza cu aceste PD atunci când depune cerere la subiectul PD sau reprezentantul acestuia sau în termen de treizeci de zile de la data primirii cererii subiectului PD sau reprezentantul acestuia.
8.2.15.
În cazul refuzului de a furniza informații despre disponibilitatea PD despre subiectul PD sau PD corespunzător subiectului PD sau reprezentantului acestuia la cererea acestora sau la primirea unei cereri din partea subiectului PD sau a reprezentantului acestuia, operatorul este obligat să dea scris un răspuns motivat care să conțină o trimitere la prevederile legislației Federației Ruse, care stă la baza unui astfel de refuz, într-un termen care nu depășește treizeci de zile de la data aplicării subiectului PD sau a reprezentantului acestuia sau de la data primirea cererii subiectului PD sau reprezentantului acestuia.
8.2.16.
Într-un termen care nu depășește șapte zile lucrătoare de la data la care subiectul PD sau reprezentantul acestuia furnizează informații care confirmă că PD-ul este incomplet, inexact sau irelevant, Operatorul este obligat să le facă modificările necesare. Într-un termen care nu depășește șapte zile lucrătoare de la data la care subiectul PD sau reprezentantul său prezintă informații care confirmă că un astfel de PD este obținut ilegal sau nu este necesar pentru scopul declarat al prelucrării, operatorul este obligat să distrugă respectivul PD. Operatorul este obligat să notifice subiectul PD sau reprezentantul acestuia despre modificările efectuate și măsurile luate și să ia măsuri rezonabile pentru a notifica terții cărora le-a fost transferat PD-ul acestui subiect.
8.2.17.
Sesizează organismul abilitat pentru protecția drepturilor persoanelor vizate de date cu caracter personal la solicitarea acestui organism informatie necesaraîn termen de treizeci de zile de la data primirii acestei cereri.
8.2.18.
Dacă este detectată o prelucrare ilegală a PD, efectuată de Operator sau de o persoană care acționează în numele Operatorului, Operatorul, într-un termen care nu depășește trei zile lucrătoare de la data acestei detectări, este obligat să înceteze prelucrarea ilegală a PD. sau să asigure încetarea prelucrării ilegale a PD de către o persoană care acționează în numele Operatorului. În cazul în care este imposibil să se asigure legalitatea prelucrării PD, Operatorul, într-un termen care nu depășește zece zile lucrătoare de la data detectării prelucrării ilegale a PD, este obligat să distrugă respectivul PD sau să asigure distrugerea acestuia. Operatorul este obligat să înștiințeze subiectul PD sau reprezentantul acestuia cu privire la eliminarea încălcărilor sau distrugerea PD, precum și în cazul în care contestația subiectului PD sau reprezentantul acestuia sau solicitarea organului abilitat pentru protecția drepturilor subiecților PD. a fost transmisă de către organul împuternicit pentru apărarea drepturilor subiecților PD, tot de către organismul specificat.
8.2.19.
Dacă scopul prelucrării datelor cu caracter personal este atins, Operatorul este obligat să înceteze prelucrarea datelor cu caracter personal sau să asigure încetarea acesteia (dacă prelucrarea datelor cu caracter personal este efectuată de o altă persoană care acționează în numele Operatorului) și să distrugă datele cu caracter personal sau să asigure distrugerea acestora. (dacă prelucrarea datelor cu caracter personal este efectuată de o altă persoană care acționează în numele Operatorului) la timp, nu depășind treizeci de zile de la data atingerii scopului prelucrării PD, cu excepția cazului în care se prevede altfel prin acordul la care subiectul PD este un parte, beneficiar sau garant, un alt acord între Operator și subiectul PD sau dacă Operatorul nu are dreptul de a procesa PD fără consimțământul subiectului PD din motivele prevăzute de legislația Federației Ruse.
8.2.20.
În cazul în care subiectul PD își retrage consimțământul pentru prelucrarea PD, opriți prelucrarea acestora sau asigurați încetarea unei astfel de prelucrări (dacă prelucrarea PD este efectuată de o altă persoană care acționează în numele Operatorului) și dacă păstrarea PD nu mai este necesare în scopul prelucrării PD, distruge PD sau asigură distrugerea acestora (dacă prelucrarea PD este efectuată de o altă persoană care acționează în numele Operatorului) într-un termen care nu depășește treizeci de zile de la data primirii răspunsului menționat, cu excepția cazului în care altfel prevăzut de acordul la care subiectul PD este parte, beneficiar sau garant, sau un alt acord între operator și subiectul PD sau dacă Operatorul nu are dreptul de a procesa PD fără acordul subiectului PD din motivele prevăzute pentru conform legislației Federației Ruse.
8.2.21.
Numiți o persoană responsabilă cu organizarea prelucrării datelor cu caracter personal.
Procedura de prelucrare si protectie a datelor cu caracter personal
9.1.
Asigurarea confidențialității datelor cu caracter personal prelucrate de Operator este o cerință obligatorie pentru toate persoanele cărora datele cu caracter personal au devenit cunoscute.
9.2.
Angajații Operatorului care prelucrează documente sunt obligați să obțină, în anumite cazuri, acordul subiecților PD pentru prelucrare.
9.3.
În cazul încălcării procedurii stabilite de prelucrare a PD, angajații Operatorului sunt răspunzători în conformitate cu Secțiunea 9 din prezentul Regulament.
9.4.
PD-ul subiectelor pe hârtie, procesat de Operator, este stocat în departamentele (cu angajați) care au permisiunea de a procesa PD-ul relevant. Dreptul angajatilor de a accesa sisteme informatice neautomatizate este determinat prin ordin al Managerului. Purtătorii de date cu caracter personal nu trebuie lăsați nesupravegheați. Atunci când părăsesc locul de muncă, angajații care prelucrează date cu caracter personal trebuie să pună media într-un dulap sigur, încuiat sau să restricționeze în alt mod acces neautorizat la transportatori. Dacă PD este pierdut sau deteriorat, acesta este restaurat ori de câte ori este posibil.
9.5.
Locații de stocare pentru documentele care conțin PD:
9.5.1.
PD ale clienților Operatorului (contracte, acte, acorduri, chestionare, copii ale pașapoartelor, alte documente similare care conțin PD ale clienților Operatorului, medii de stocare (flash carduri, CD-uri etc.) sunt stocate în birourile principale și de rezervă ale Operatorului. , asezat pe rafturi si incuiat cu cheie.Persoana responsabila care exercita controlul este determinata prin ordin al Managerului.
9.5.2.
Datele personale ale angajaților Operatorului - documentele, mediile de stocare (carduri flash, CD-uri etc.) sunt stocate în seiful companiei și încuiate cu cheie. Persoana responsabilă care exercită controlul este Șeful Operatorului.
9.6.
Eliberarea documentelor în vederea revizuirii se efectuează persoanelor admise la informațiile relevante în scopul îndeplinirii atribuțiilor oficiale, pe o perioadă de cel mult o zi lucrătoare.
9.7.
Alte medii de stocare pot fi stocate în birourile principale și de rezervă ale Operatorului, așezate pe rafturi și încuiate cu o cheie sau în seiful organizației. Persoana responsabilă care exercită controlul asupra altor purtători de informații este stabilită prin ordin al Managerului.
9.8.
Când lucrați cu software sistem automatizat Operatorului care implementează funcțiile de vizualizare și editare PD îi este interzis să demonstreze formulare de ecran care conțin astfel de date persoanelor care nu au permisiunea corespunzătoare.
9.9.
La primirea PD de către un angajat al Operatorului, care, în conformitate cu atribuțiile de serviciu, primește PD de la un client sau un angajat al altei persoane, trebuie verificată autenticitatea PD. PD primit de Operator este introdus în sistemul informatic de către angajații care au acces la PD relevant. Angajații care introduc informații sunt responsabili pentru acuratețea și caracterul complet al informațiilor introduse.
9.10.
Caracteristicile de prelucrare a datelor cu caracter personal conținute pe hârtie fără utilizarea instrumentelor de automatizare (un computer personal nu este utilizat la întocmirea documentelor) sunt stabilite în conformitate cu Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687 „La aprobare din Reglementările privind caracteristicile prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare”.
9.11.
Pentru procesare neautomatizată diverse categorii PD trebuie utilizat pe un suport material separat pentru fiecare categorie de PD.
9.12.
În cazul prelucrării neautomatizate a datelor cu caracter personal pe hârtie:
9.12.1.
Nu este permisă înregistrarea pe un suport de hârtie PD, ale cărui scopuri de prelucrare sunt evident incompatibile;
9.12.2.
PD trebuie separată de alte informații, în special prin înregistrarea lor pe suporturi de hârtie separate, în secțiuni speciale sau în câmpurile formularelor (formulare);
9.13.
Atunci când se utilizează formulare standard de documente, natura informațiilor în care sugerează sau permite includerea PD în acestea (denumite în continuare formulare standard), trebuie îndeplinite următoarele condiții:
9.13.1.
Formularul tip sau documentele aferente (instrucțiuni de completare, fișe, registre și jurnale) trebuie să conțină informații despre scopul prelucrării neautomatizate a PD, numele (numele) și adresa Operatorului, prenume, prenume, patronim. și adresa subiectului PD, sursa de primire a PD, termenele limită de prelucrare a datelor cu caracter personal, o listă a acțiunilor cu date personale care vor fi efectuate în timpul prelucrării acestora, descriere generala metode de procesare PD utilizate de operator;
9.13.2.
Formularul standard ar trebui să includă un câmp în care subiectul PD își poate marca consimțământul pentru prelucrarea PD neautomatizată, dacă este necesar să se obțină consimțământul scris pentru prelucrarea PD;
9.13.3.
Formularul tip trebuie întocmit în așa fel încât fiecare dintre subiecții PD conținut în document să aibă posibilitatea de a se familiariza cu PD-ul lor conținut în document fără a încălca drepturile și interesele legitime ale altor subiecți PD;
9.13.4.
Formularul standard ar trebui să excludă combinația de câmpuri destinate introducerii datelor cu caracter personal, ale căror scopuri de prelucrare sunt în mod evident incompatibile.
9.14.
Stocarea PD trebuie efectuată într-o formă care să permită identificarea subiectului PD, nu mai mult decât este cerut de scopurile prelucrării PD, cu excepția cazului în care perioada de stocare a PD este stabilită de legea federală, acord la care subiectul PD este o parte, beneficiar sau garant.
9.15.
Cazuri de distrugere, blocare și clarificare a datelor cu caracter personal:
9.16.
Distrugerea sau depersonalizarea unei părți a datelor cu caracter personal, dacă este permisă de un mediu tangibil, poate fi efectuată într-un mod care să împiedice prelucrarea ulterioară a acestor date cu caracter personal, menținând în același timp posibilitatea de prelucrare a altor date înregistrate pe un mediu tangibil (ștergere, ștergere).
9.17.
Clarificarea datelor cu caracter personal la prelucrarea acestora fără utilizarea instrumentelor de automatizare se realizează prin actualizarea sau modificarea datelor pe un mediu tangibil, iar dacă acest lucru nu este permis caracteristici tehnice suport material - prin înregistrarea pe același suport material informații despre modificările aduse acestora, sau prin producerea unui nou mediu material cu PD actualizat.
9.18.
Distrugerea suporturilor care conțin date cu caracter personal se realizează în următoarea ordine:
9.18.1.
PD pe hârtie este distrus cu ajutorul unor shreddere (docătoare de documente) instalate în biroul Operatorului.
9.18.2.
PD situat în memoria PC-ului este distrus prin ștergerea lui din memoria PC-ului.
9.18.3.
PD situat pe un card flash, CD sau alt mediu de stocare este distrus prin ștergerea fișierului de pe mediu, dacă este necesar, prin întreruperea funcționalității cardului flash sau a CD-ului.
9.19.
Se întocmește un proces-verbal de distrugere a suportului de stocare (pentru formele de proces-verbal, vezi anexe).
9.20.
Biroul, sediul Operatorului, la sfârșitul zilei de lucru și absența angajaților în sediul biroului, trebuie să fie încuiat, geamurile trebuie închise, alarma trebuie să fie activată (dacă există).
9.21.
Echipamentele de rețea și serverele trebuie amplasate în locuri inaccesibile persoanelor neautorizate (în încăperi speciale, dulapuri, cutii).
9.22.
Curățarea spațiilor și întreținerea echipamentelor tehnice ISPD trebuie efectuate sub controlul persoanelor responsabile de aceste spații și mijloace tehnice cu respectarea măsurilor care exclud accesul neautorizat la PD, purtători de informații, software și hardware pentru prelucrarea, transmiterea și protejarea informațiilor ISPD. .
9.23.
Responsabilitățile administratorilor ISPDn includ gestionarea conturilor de utilizator ISPDn, menținerea funcționării regulate a ISPDn, asigurarea Rezervă copie date, precum și instalarea și configurarea hardware-ului și software ISPDn nu are legătură cu asigurarea securității PD în ISPDn. De asemenea, responsabilitățile administratorilor ISPD includ asigurarea conformității procedurii de prelucrare și asigurare a securității PD în ISPD cu cerințele de confidențialitate, integritate și disponibilitate a PD impuse unui anumit ISPD, precum și cerințele generale de securitate PD stabilite de federale. legislație.
9.24.
Responsabilitățile administratorilor ISPD includ, de asemenea, instalarea, configurarea și administrarea hardware-ului și software protecția informațiilor ISPD, contabilizarea și stocarea suporturilor mașinii de PD, auditul periodic al jurnalelor de securitate și analiza securității ISPD, precum și participarea la investigațiile interne privind încălcările procedurii stabilite pentru prelucrarea și asigurarea securității PD.
9.25.
Pentru a asigura repartizarea puterilor, implementarea controlului reciproc și prevenirea concentrării puterilor critice pentru siguranța datelor cu caracter personal într-o singură persoană, nu se recomandă combinarea rolurilor de utilizator ISPD și de administrator ISPD în persoana unui angajat.
9.26.
Cerințele de calificare și o listă detaliată a drepturilor și responsabilităților administratorilor ISPD sunt stabilite în fișele de post relevante, pe care angajații numiți în aceste roluri trebuie să fie familiarizați la semnare.
9.27.
Organizarea controlului intern al procesului de prelucrare a PD la Operator se realizează în scopul studierii și evaluării stării actuale a securității PD, a răspunsului în timp util la încălcările procedurii stabilite pentru prelucrarea acestora, precum și în scopul îmbunătățirii acestei proceduri. și să asigure conformitatea acestuia.
9.28.
Măsurile de implementare a controlului intern asupra prelucrării și securității datelor cu caracter personal vizează rezolvarea următoarelor sarcini:
9.28.1.
Asigurarea conformității de către angajații Operatorului cu cerințele prezentelor Regulamente și reglementări care reglementează domeniul de aplicare al datelor cu caracter personal.
9.28.2.
Evaluarea competenței personalului implicat în prelucrarea datelor cu caracter personal.
9.28.3.
Asigurarea operabilității și eficacității mijloacelor tehnice ISPD și a mijloacelor de protecție a PD, conformarea acestora cu cerințele autorităților executive autorizate în probleme de securitate PD.
9.28.4.
Detectarea încălcărilor procedurii stabilite pentru prelucrarea datelor cu caracter personal și prevenirea în timp util a consecințelor negative ale unor astfel de încălcări.
9.28.5.
Luarea de măsuri corective care vizează eliminarea încălcărilor identificate, atât în procedura de prelucrare a PD, cât și în funcționarea mijloacelor tehnice ale ISPD.
9.28.7.
Exercitarea controlului intern asupra implementării recomandărilor și instrucțiunilor pentru eliminarea încălcărilor.
9.29.
Rezultatele activităților de control sunt documentate în acte și stau la baza elaborării recomandărilor pentru îmbunătățirea procedurii de prelucrare și asigurare a securității datelor cu caracter personal, pentru modernizarea mijloacelor tehnice ale sistemelor informatice și a mijloacelor de protecție a datelor cu caracter personal, pentru formarea și îmbunătățirea competența personalului implicat în prelucrarea datelor cu caracter personal.
Caracteristici de gestionare a datelor personale ale angajaților operatorului
10.1.
Această secțiune stabilește drepturi și obligații suplimentare ale Operatorului și ale angajaților atunci când prelucrează datele cu caracter personal ale angajaților Operatorului.
10.2.
Datele personale ale angajatului sunt informații solicitate de Operator în legătură cu relațiile de muncă și referitoare la un anumit angajat.
10.3.
Prelucrarea datelor cu caracter personal ale unui angajat poate fi efectuată exclusiv în scopul asigurării respectării legilor și altor reglementări, asistarea angajaților în angajare, formare și promovare, asigurarea securității personale a angajaților, monitorizarea cantității și calității muncii prestate și asigurarea siguranța proprietății.
10.4.
Operatorul nu are dreptul de a primi și prelucra datele personale ale unui angajat despre apartenența sa la asociații publice sau activitățile sale sindicale, cu excepția cazurilor prevăzute de legile federale;
10.5.
Atunci când ia decizii care afectează interesele unui angajat, Operatorul nu are dreptul de a se baza pe datele personale ale angajatului obținute numai ca urmare a prelucrării automate sau a primirii lor electronice;
10.6.
Angajații nu trebuie să renunțe la drepturile lor de a păstra și proteja secretele;
10.7.
Operatorul se obligă să nu dezvăluie informațiile personale ale angajatului în scopuri comerciale fără acordul scris al acestuia;
10.8.
Operatorul se obligă să avertizeze angajații Operatorului și terții care primesc datele personale ale angajatului (cu acordul acestuia) că aceste date pot fi utilizate numai în scopurile pentru care au fost comunicate și să solicite acestor persoane să confirme că această regulă este respectată. Persoanele care primesc datele personale ale unui angajat sunt obligate să respecte un regim de secret (confidențialitate). Regimul de confidențialitate se asigură prin semnarea unui acord cu persoana respectivă (Anexa la prezentul Regulament). Această prevedere nu se aplică schimbului de date cu caracter personal ale angajaților în modul stabilit de legislația Federației Ruse;
10.9.
Accesul la datele personale ale angajaților se realizează pe baza comenzilor și reglementărilor aprobate de Operator.
10.10.
Operatorul se obligă să nu solicite informații despre starea de sănătate a angajatului, cu excepția informațiilor care se referă la problema capacității salariatului de a îndeplini o funcție de serviciu;
10.11.
Operatorul se obligă să transfere PD-ul salariatului către reprezentanții angajaților în modul stabilit de legislația Federației Ruse și să limiteze aceste informații numai la acelor PD-ului angajaților care sunt necesare reprezentanților menționați pentru a-și îndeplini funcțiile.
10.12.
Un angajat are dreptul de a-și determina reprezentanții să-și protejeze datele personale.
Răspunderea pentru încălcarea acestei prevederi
11.1.
Conducerea Operatorului este responsabilă pentru neasigurarea confidențialității datelor cu caracter personal și nerespectarea drepturilor și libertăților persoanelor vizate de date cu caracter personal în legătură cu datele lor personale, inclusiv drepturile la confidențialitate, secretele personale și de familie.
11.4.
În cazurile de încălcare a procedurii stabilite pentru prelucrarea și asigurarea securității PD, accesul neautorizat la PD, dezvăluirea PD și cauzarea de prejudicii materiale sau de altă natură Operatorului, angajaților, clienților și contrapărților acestuia, făptuitorii poartă răspundere civilă, penală, administrativă. , răspunderea disciplinară și de altă natură prevăzute de legislația Federației Ruse.
La 1 iulie 2017 a intrat în vigoare Legea federală nr. 13-FZ din 02.07.2017, care modifică art. 13.11 din Codul contravențiilor administrative și prevede extinderea listei motivelor de tragere la răspundere administrativă pentru activități ilegale și majorarea semnificativă a amenzilor.
Unul dintre documentele obligatorii pe care operatorul de date cu caracter personal trebuie să le pregătească pentru a respecta cerințele Legii federale din 27 iulie 2006 nr. 152-FZ se numește Politica privind prelucrarea datelor cu caracter personal și explică modul în care funcționează compania. cu datele angajaților, clienților și altora indivizii. Acest fișier este disponibil gratuit pe aproape toate site-urile care au orice formă de colectare a datelor personale.
Cum să întocmești corect o Politică de prelucrare a datelor cu caracter personal, ce secțiuni trebuie incluse? Roskomnadzor oferă clarificări cu privire la aceste aspecte.
Structura Politicii de prelucrare a datelor cu caracter personal
- Dispoziții generale
- Scopurile colectării datelor cu caracter personal
- Temeiuri legale pentru prelucrarea datelor cu caracter personal
- Volumul și categoriile de date cu caracter personal prelucrate, categoriile de persoane vizate
- Procedura si conditiile de prelucrare a datelor cu caracter personal
- Actualizarea, corectarea, ștergerea și distrugerea datelor cu caracter personal, răspunsuri la solicitările subiecților de acces la datele cu caracter personal
1. Obiective generale
În această secțiune, răspundeți de fapt la întrebarea - pentru ce este Politica de prelucrare a datelor cu caracter personal? De asemenea, se explică conceptele de bază utilizate în document, precum și drepturile și obligațiile operatorului și ale subiectului datelor cu caracter personal.
2. Scopurile colectării datelor cu caracter personal
Artă. 5 din Legea federală nr. 152-FZ din 27 iulie 2006 impune determinarea unor scopuri specifice, legitime, pentru colectarea datelor. Prin urmare, nu este posibilă prelucrarea datelor cu caracter personal care nu corespund acestor scopuri.
Roskomnadzor indică faptul că scopurile prelucrării datelor cu caracter personal pot include:
- din analiza actelor juridice care reglementează activitățile operatorului;
- din scopurile activităților desfășurate efectiv de operator;
- din activitățile prevăzute de actele constitutive ale operatorului;
- din procesele de afaceri specifice ale operatorului în sistemele informaționale specifice de date cu caracter personal (prin divizii structurale ale operatorului și procedurile acestora în raport cu anumite categorii de persoane vizate).
3. Temeiuri legale pentru prelucrarea datelor cu caracter personal
Legea federală nr. 152-FZ din 27 iulie 2006 nu reprezintă temeiul legal pentru prelucrarea datelor cu caracter personal. Acest rol este îndeplinit de actele juridice în conformitate cu care operatorul prelucrează datele.
Astfel, în Politica de prelucrare a datelor pot fi precizate următoarele temeiuri juridice: legi federale și acte juridice de reglementare adoptate pe baza acestora care reglementează relațiile legate de activitățile operatorului; actele statutare ale operatorului; acorduri încheiate între operator și subiectul datelor cu caracter personal; consimțământul pentru prelucrarea datelor cu caracter personal (în cazurile care nu sunt prevăzute direct de legislația Federației Ruse, dar care corespund atribuțiilor operatorului).
4. Volumul și categoriile de date cu caracter personal prelucrate, categorii de persoane vizate
Este important ca volumul datelor cu caracter personal prelucrate să nu difere de scopurile declarate ale prelucrării.
Categoriile de persoane vizate pot include: angajați - atât actuali, cât și foști, candidați pentru posturi vacante, rude ale angajaților, clienți și contrapărți (persoane fizice), reprezentanți sau angajați ai clienților și contrapărților.
Roskomnadzor atrage atenția asupra faptului că pentru fiecare categorie de subiecți și în raport cu scopuri specifice, trebuie indicate toate datele personale prelucrate. Toate cazurile de prelucrare a categoriilor speciale de date cu caracter personal și a datelor cu caracter personal biometrice (dacă este cazul) sunt descrise separat.
5. Procedura și condițiile de prelucrare a datelor cu caracter personal
Ce se spune în această secțiune:
- lista acțiunilor efectuate cu date personale;
- metode de prelucrare a datelor cu caracter personal;
- termenii de prelucrare a datelor cu caracter personal.
Dacă, pentru a atinge obiectivele prelucrării datelor cu caracter personal, operatorul interacționează cu terți, atunci acesta trebuie să:
- explicați condițiile pentru transferul datelor cu caracter personal către terți (inclusiv despre care vorbimși privind transferul transfrontalier de date);
- indicați numele și locația terților;
- indicați scopul transferului de date și volumul acestuia;
- enumerați acțiunile de prelucrare, metodele și alte condiții de prelucrare, inclusiv cerințele pentru protecția datelor cu caracter personal prelucrate.
Operatorul are dreptul de a transfera datele cu caracter personal către organele de anchetă și anchetă, precum și către alte organisme abilitate în temeiurile prevăzute de lege.
Politica de prelucrare a datelor cu caracter personal ar trebui să includă informații cu privire la respectarea cerințelor de confidențialitate a datelor cu caracter personal (acestea sunt denumite în articolul 7 din Legea federală din 27 iulie 2006 nr. 152-FZ) și informații privind luarea măsurilor (partea 2 a articolului 18.1). , Partea 1 a Art. 19).
În plus, operatorul trebuie să indice condiția de încetare a prelucrării datelor cu caracter personal. Aceasta poate fi atingerea obiectivelor de prelucrare, expirarea consimțământului pentru prelucrare, retragerea consimțământului subiectului de date cu caracter personal pentru prelucrare, identificarea prelucrării ilegale a datelor.
O atenție deosebită ar trebui acordată unei astfel de probleme precum stocarea datelor cu caracter personal. În primul rând, trebuie menționate termenele limită. În al doilea rând, sunt utilizate baze de date situate pe teritoriul Federației Ruse. În al treilea rând, se ține cont de faptul că stocarea trebuie efectuată într-o formă care să permită identificarea subiectului datelor cu caracter personal nu mai mult decât este cerut de scopurile prelucrării. În al patrulea rând, este necesar să menționăm și alte condiții de stocare, inclusiv atunci când se prelucrează date fără utilizarea instrumentelor de automatizare.
6. Actualizarea, corectarea, ștergerea și distrugerea datelor cu caracter personal, răspunsuri la solicitările subiecților de acces la datele cu caracter personal
Potrivit art. 21 Nr. 152-FZ, datele cu caracter personal trebuie actualizate de către operator dacă se confirmă faptul inexactității datelor cu caracter personal. Același lucru este valabil și pentru confirmarea ilegalității prelucrării.
Datele cu caracter personal sunt supuse distrugerii atunci când sunt îndeplinite scopurile prelucrării lor și în cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea lor, cu excepția cazului în care: se prevede altfel prin acordul la care subiectul datelor cu caracter personal este parte, beneficiar sau garant; altfel nu este prevăzut într-un alt acord între operator și subiectul datelor cu caracter personal. Operatorul nu are dreptul de a prelucra datele cu caracter personal fără acordul subiectului în temeiul prevăzut de Legea federală nr. 152-FZ din 27 iulie 2006 sau alte legi federale.
În baza art. 20 operatorul este obligat să informeze subiectul datelor cu caracter personal despre prelucrarea datelor cu caracter personal efectuate de acesta la cerere.
Roskomnadzor recomandă includerea în Politica de prelucrare a datelor cu caracter personal a reglementărilor pentru răspunsul la solicitările și contestațiile persoanelor vizate, reprezentanților acestora și organismelor abilitate cu privire la inexactitatea datelor, ilegalitatea prelucrării acestora, retragerea consimțământului și accesul la datele acestora. Ar fi o idee bună să adăugați forme adecvate de cereri și contestații la Politică.
Publicarea Politicii de prelucrare a datelor cu caracter personal în birou și pe site
Orice persoană ale cărei date sunt prelucrate de companie are dreptul de a se familiariza cu Politica de prelucrare a datelor cu caracter personal. Prin urmare, trebuie postat într-un loc accesibil publicului. De exemplu, utilizați un stand de informații pentru aceasta.
În cazul în care o companie colectează date cu caracter personal prin internet, aceasta este obligată să posteze Politica pe site. Un vizitator al site-ului îl poate vizualiza făcând clic pe link.
Pentru a afla despre cele mai importante schimbări care afectează afacerea, alăturați-vă canalului nostru
1. Prelucrarea datelor cu caracter personal trebuie efectuată cu respectarea principiilor și regulilor prevăzute de prezenta lege federală. Prelucrarea datelor cu caracter personal este permisă în următoarele cazuri:
1) prelucrarea datelor cu caracter personal se realizează cu acordul subiectului datelor cu caracter personal la prelucrarea datelor sale cu caracter personal;
2) prelucrarea datelor cu caracter personal este necesară pentru a atinge obiectivele prevăzute de un tratat internațional al Federației Ruse sau de lege, pentru a implementa și îndeplini funcțiile, puterile și responsabilitățile atribuite operatorului de legislația Federației Ruse;
3) prelucrarea datelor cu caracter personal se efectuează în legătură cu participarea unei persoane la proceduri constituționale, civile, administrative, penale, proceduri în instanțe de arbitraj;
3.1) prelucrarea datelor cu caracter personal este necesară pentru executarea unui act judiciar, a unui alt organ sau funcționar, supus executării în conformitate cu legislația Federației Ruse privind procedurile de executare (denumită în continuare executarea unui act judiciar );
4) prelucrarea datelor cu caracter personal este necesară pentru executarea atribuțiilor autorităților executive federale, organismelor fondurilor extrabugetare de stat, autorităților executive ale autorităților de stat ale entităților constitutive ale Federației Ruse, organismelor administrația localăși funcțiile organizațiilor implicate în furnizarea, respectiv, guvern și servicii municipale prevăzute de Legea federală nr. 210-FZ din 27 iulie 2010 „Cu privire la organizarea prestării de servicii de stat și municipale”, inclusiv înregistrarea subiectului datelor cu caracter personal pe portalul unificat al serviciilor de stat și municipale și (sau) portaluri regionale ale serviciilor de stat și municipale;
(vezi textul din ediția anterioară)
5) prelucrarea datelor cu caracter personal este necesară pentru executarea unui acord la care subiectul datelor cu caracter personal este parte sau beneficiar sau garant, precum și pentru încheierea unui acord la inițiativa subiectului datelor cu caracter personal sau a unui acord prin care subiectul datelor cu caracter personal va fi un beneficiar sau un garant;
(vezi textul din ediția anterioară)
6) prelucrarea datelor cu caracter personal este necesară pentru a proteja viața, sănătatea sau alte interese vitale ale subiectului datelor cu caracter personal, dacă obținerea consimțământului subiectului datelor cu caracter personal este imposibilă;
7) prelucrarea datelor cu caracter personal este necesară pentru exercitarea drepturilor și intereselor legitime ale operatorului sau ale terților, inclusiv în cazurile prevăzute de Legea federală „Cu privire la protecția drepturilor și intereselor legitime ale persoanelor fizice atunci când desfășoară activități de rambursare; datorii restante și modificări ale Legii federale „Cu privire la activitățile de microfinanțare și organizațiile de microfinanțare”, sau pentru a atinge obiective semnificative din punct de vedere social, cu condiția ca drepturile și libertățile subiectului datelor cu caracter personal să nu fie încălcate;
(vezi textul din ediția anterioară)
8) prelucrarea datelor cu caracter personal este necesară pentru activitățile profesionale ale unui jurnalist și (sau) activitățile legale ale unui mijloc de informare în masă sau activități științifice, literare sau alte activități creative, cu condiția ca drepturile și interesele legitime ale subiectului datelor cu caracter personal nu sunt încălcate;
9) prelucrarea datelor cu caracter personal se realizează în scopuri statistice sau alte scopuri de cercetare, cu excepția scopurilor specificate la articolul 15 din prezenta lege federală, sub rezerva anonimizării obligatorii a datelor cu caracter personal;
10) se efectuează prelucrarea datelor cu caracter personal, accesul la care este asigurat de către un număr nelimitat de persoane de către subiectul datelor cu caracter personal sau la cererea acestuia (denumite în continuare date cu caracter personal puse la dispoziția publicului de către subiectul datelor cu caracter personal);
11) se realizează prelucrarea datelor cu caracter personal care fac obiectul publicării sau dezvăluirii obligatorii în conformitate cu legea federală.
1.1. Prelucrarea datelor cu caracter personal ale obiectelor protecției statului și ale membrilor familiilor acestora se realizează ținând cont de caracteristicile prevăzute de Legea federală din 27 mai 1996 N 57-FZ „Cu privire la protecția statului”.
2. Caracteristicile prelucrării categoriilor speciale de date cu caracter personal, precum și a datelor cu caracter personal biometrice, sunt stabilite în conformitate cu prezenta lege federală.
3. Operatorul are dreptul de a încredința prelucrarea datelor cu caracter personal unei alte persoane cu acordul subiectului datelor cu caracter personal, cu excepția cazului în care legea federală prevede altfel, pe baza unui acord încheiat cu această persoană, inclusiv un stat sau municipal. contract, sau prin adoptarea unui act relevant de către un organism de stat sau municipal (în continuare - instrucțiunile operatorului). Persoana care prelucrează datele cu caracter personal în numele operatorului este obligată să respecte principiile și regulile de prelucrare a datelor cu caracter personal prevăzute de prezenta lege federală. Instrucțiunile operatorului trebuie să definească o listă de acțiuni (operațiuni) cu date personale care vor fi efectuate de persoana care prelucrează datele cu caracter personal și scopurile prelucrării, trebuie stabilită obligația unei astfel de persoane de a păstra confidențialitatea datelor cu caracter personal și de a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora, precum și cerințele pentru protecția datelor cu caracter personal prelucrate trebuie specificate în conformitate cu articolul 19 din prezenta lege federală.
4. O persoană care prelucrează date cu caracter personal în numele unui operator nu este obligată să obțină consimțământul subiectului datelor cu caracter personal pentru prelucrarea datelor sale cu caracter personal.
5. În cazul în care operatorul încredințează prelucrarea datelor cu caracter personal unei alte persoane, operatorul este responsabil față de subiectul datelor cu caracter personal pentru acțiunile persoanei specificate. Persoana care prelucrează datele cu caracter personal în numele operatorului este responsabilă față de operator.
Compania nu poate face fără obținerea de informații personale de la angajați, clienți și contractori. Avem nevoie de nume, adrese și alte informații. Cu toate acestea, compania are dreptul de a prelucra datele cu caracter personal numai pentru scopuri specifice. Orice altă utilizare a datelor este o încălcare care va duce la acțiuni administrative.
Scopurile pentru care se solicită informații trebuie să fie în concordanță cu legea și cu nevoile companiei.
În timpul desfășurării afacerilor, o companie se ocupă de informații care trebuie protejate. Informațiile confidențiale includ informații despre tehnologii, proiecte, evoluții, specificul tranzacțiilor etc. Legea impune și protecția informațiilor despre persoanele care lucrează pentru companie, sunt clienții acesteia sau reprezintă contrapărți. „Cu privire la datele cu caracter personal” este în vigoare în conformitate cu principiul constituțional al protecției vieții private (articolul 2 din Legea nr. 152). Cerințele legii se aplică oricăror organizații care primesc date de la subiecții lor (articolul 1 din Legea nr. 152).
O companie care începe să prelucreze date cu caracter personal are dreptul de a le solicita numai pentru anumite scopuri (Partea 2 a articolului 5 din Legea nr. 152). În plus, volumul de date depinde de obiective. Nu puteți solicita informații de care societatea nu are nevoie (părțile 4 și 5 ale articolului 5 din Legea nr. 152). De exemplu, un magazin online nu are dreptul de a solicita date de pașaport de la cumpărător sau de a cere indicarea unei adrese poștale în cazul în care clientul ridică mărfurile prin auto-ridicare.
Compania însăși determină scopurile prelucrării datelor cu caracter personal ale clienților și angajaților
Pentru ce anume au fost necesare informațiile este stabilit de companie (clauza 2, art. 3 din Legea nr. 152). De regulă, o organizație solicită date personale ale clienților, contractorilor și angajaților în scopul:
- Încheierea contractelor. Acestea pot fi contracte cu consumatorii de servicii sau bunuri ale companiei, cu alte tipuri de clienți, cu parteneri de afaceri, contracte de muncă etc. Pentru orice contract pe care compania urmează să-l semneze, vor fi necesare date cu caracter personal - un angajat care acționează în interesele sale, un reprezentant contrapartea sau contrapartea însăși, dacă este o persoană privată. Includerea datelor este necesară pentru ca societatea să își poată îndeplini obligațiile.
- Sistematizarea informațiilor despre personal, menținerea evidenței personalului și munca de birou. Datele angajaților sunt necesare nu numai pentru încheierea contractelor de muncă, ci și pentru toate celelalte tranzacții din cadrul raportului de muncă.
- Respectarea cerințelor legii privind deducerea impozitelor la buget, a primelor de asigurare etc. Societatea reține contribuțiile la impozitul pe venitul personal de la salariați și transferă aceste sume către stat, Fondul de pensii și alte organizații (art. 22 din Legea nr. 152, articolul 86 din Codul Muncii al Federației Ruse).
- Formarea statisticilor. În acest scop, datele trebuie anonimizate (Clauza 9, Partea 1, Articolul 6 din Legea nr. 152).
Oaspete, faceți cunoștință cu -!
Compania este obligată să avertizeze subiectul datelor cu caracter personal cu privire la scopurile prelucrării
Societatea este obligată să notifice angajatului sau clientului scopul pentru care solicită prelucrarea datelor sale personale (Clauza 4, Partea 4, Articolul 9 din Legea nr. 152). Acest lucru se face ca parte a obținerii consimțământului de a furniza informații. Lista obiectivelor ar trebui:
- să fie cuprinzător și specific;
- respectă prevederile cartei, precum și actele locale ale organizației;
- corespund obiectivelor pe care compania le urmărește de fapt.
De exemplu, o bancă solicită informații de la un client. Scopul prelucrării este de a deservi contul său, inclusiv:
- deschiderea unui cont,
- ținerea conturilor,
- operațiuni de transfer de fonduri din și către un cont,
- consultarea clientului.
Un alt exemplu de informare este enumerarea scopurilor de prelucrare a datelor cu caracter personal ale angajaților în politica companiei. Organizația prevede că informațiile sunt utilizate:
- atunci când lucrați cu CV-urile solicitanților;
- să îndeplinească obligațiile companiei în baza contractului de muncă;
- să respecte legile muncii, fiscale și pensiilor;
- să organizeze pregătirea angajaților și să își îmbunătățească nivelul profesional;
- la calcularea și acumularea salariilor;
- să controleze calitatea muncii angajaților;
- la acordarea diferitelor garanții și beneficii etc.
Consimțământul pentru prelucrare trebuie obținut de la persoana vizată în aproape toate cazurile. În cazul în care scopul colectării este promovarea companiei pe piață sau propagandă politică, operatorul este obligat să facă dovada că persoana și-a dat acordul (Partea 1, art. 15 din Legea nr. 152). În caz contrar se consideră că nu a fost solicitat.
Pe lângă acordul cu angajatul sau clientul, scopurile de obținere a datelor trebuie să fie reflectate într-un document special - politica companiei privind lucrul cu astfel de date. Acesta trebuie să fie un document public. De regulă, este publicat pe site-ul organizației într-o secțiune specială.
Un sistem de ajutor profesional pentru avocați în care veți găsi răspunsul la orice întrebare, chiar și la cea mai complexă.
Realizat pe baza respectării legilor și altor reglementări.
Ce este prelucrarea datelor cu caracter personal? Acest proces include următorii pași:
Reglementările legale privind lucrul cu datele personale acoperă toate procesele și etapele de lucru cu acestea.
Ţintă
De ce este necesară prelucrarea datelor cu caracter personal? Prelucrarea datelor cu caracter personal ale unui angajat se realizează la întreprindere sau organizație pentru a o facilita.
Principalele scopuri ale prelucrarii datelor cu caracter personal:
- în obținerea unui loc de muncă;
- în plasament într-o instituție de învățământ sau pentru formare, pentru pregătire avansată;
- in scopul protectiei muncii;
- pentru promovare și control asupra oportunităților de carieră;
- sa monitorizeze cantitatea si calitatea muncii efectuate.
Legislația prevede acumularea și transmiterea datelor cu caracter personal ale unui angajat exclusiv în scopul dezvoltării sale și al utilizării adecvate a abilităților și experienței sale. ,
includ obiective multifuncționale.
Scopurile prelucrării datelor cu caracter personal ale angajaților includ utilizarea și prelucrarea datelor cu caracter personal prin sinteza și interrelația acestora, care determină relevanța capacităților salariatului în condițiile organizării procesului de producție.
Obiectivele stabilite și declarate pentru prelucrarea datelor cu caracter personal nu pot fi modificate fără notificarea angajatului.
Realizat de cine?
Datele cu caracter personal înseamnă informații care conțin informații de bază despre o persoană de interes pentru un anumit cerc de reprezentanți ai guvernului și ai altor servicii.
În special, în producție (într-o organizație), datele personale prezintă interes pentru angajator, care gestionează organizarea muncii în producție pe baza informațiilor despre angajații săi.
Angajatorul are dreptul de a solicita orice date personale disponibile în conturi despre angajat. Pe lângă el, accesul la datele personale are un cerc restrâns de persoane care efectuează munca operațională. De regulă, aceștia sunt angajații secretariatului și departamentului de personal.
Operatorul care desfășoară activități de informare cu date personale este supus instrucțiunilor înainte de a începe munca desemnată. El face cunoștință cu regulile de funcționare și principiile care interzic dezvăluirea informațiilor conținute în datele cu caracter personal.
Implementarea tipurilor de lucrari enumerate poate urmari exclusiv scopurile care au constituit motivul colectarii informatiilor. Utilizarea abuzivă a datelor cu caracter personal sau dezvăluirea acestora este considerată o încălcare gravă pentru care se impune răspunderea.
Încălcări
După cum sa discutat mai devreme, încălcările în prelucrarea datelor cu caracter personal sunt luate în considerare:
Activitatea operatorului cu datele personale este supusă unui control strict de către serviciile autorizate, iar operatorul este tras la răspundere pentru neajunsuri, încălcări neintenționate sau deliberate.
Toate acțiunile neautorizate în timpul prelucrării datelor cu caracter personal pot avea ca rezultat pedepse: disciplinare, administrative și în unele cazuri penale.
