Определяне на целите за обработване на лични данни и начина на работа с тях. Регламент за обработката и защитата на личните данни Цел на обработката на лични данни пример

Тази заповед за обработка на лични данни (наричана по-долу заповедта) е разработена в съответствие с Федералния закон от 27.07.2006 г. № 152-FZ „Относно личните данни“. Тази заповед определя процедурата за обработка на лични данни и мерките за гарантиране на сигурността на личните данни в CardsProService LLC с цел защита на правата и свободите на човек и гражданин при обработване на личните му данни, включително защита на правата на неприкосновеност на личния живот, лични и семейни тайни.

1. ТЕРМИНИ И ОПРЕДЕЛЕНИЯ

1) Лични данни- всякаква информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице (субект на лични данни);

2) Оператор (Клиент) - държавен орган, общински орган, юридическо или физическо лице, самостоятелно или съвместно с други лица, организиращи и (или) извършващи обработката на лични данни, както и определяне на целите на обработката на лични данни, състава на личните данни данни, които ще се обработват, действия (операции), извършвани с лични данни;

3) Обработка на лични данни- всяко действие (операция) или набор от действия (операции), извършени с помощта на инструменти за автоматизация или без използване на такива инструменти с лични данни, включително събиране, запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане, използване, трансфер (разпространение, предоставяне, достъп), обезличаване, блокиране, изтриване, унищожаване на лични данни;

4) Автоматизирана обработка на лични данни- обработка на лични данни с помощта на компютърни технологии;

5) Разпространение на лични данни- действия, насочени към разкриване на лични данни на неопределен кръг лица;

6) Предоставяне на лични данни- действия, насочени към разкриване на лични данни на определено лице или определен кръг лица;

7) Блокиране на лични данни- временно спиране на обработването на лични данни (освен ако обработването е необходимо за изясняване на личните данни);

8) Унищожаване на лични данни- действия, в резултат на които става невъзможно да се възстанови съдържанието на личните данни в информационната система за лични данни и (или) в резултат на които се унищожават материални носители на лични данни;

9) Упълномощени лица на Клиента- лица, действащи в съответствие със споразумението за
конфиденциалност, сключена с Клиента.

10) Оанонимизиране на личните данни- действия, в резултат на които става невъзможно да се определи собствеността върху личните данни на конкретен субект на лични данни без използването на допълнителна информация;

11) Информационна система за лични данни- набор от лични данни, съдържащи се в бази данни и информационни технологии и технически средства, които осигуряват тяхната обработка;

12) Трансграничен трансфер на лични данни- прехвърляне на лични данни към
територията на чужда държава на орган на чужда държава, чуждестранно физическо лице или чуждестранно юридическо лице;

13) Изпълнител- CardsProService LLC (123610, Москва, насип Краснопресненская, сграда 12, офис сграда 1, стая Id, стая 42; OGRN 1157746550070).

2. НАРЕЖДАНЕ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ

2.1. Клиентът, който е Оператор на лични данни, в съответствие с параграф 3 на чл. 6 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, инструктира, а Изпълнителят се задължава да обработва личните данни на субектите в интерес на Клиента и в изпълнение
Споразумение с потребителя.

3. РЕД ЗА ВЗАИМОДЕЙСТВИЕ НА СТРАНИТЕ

3.1. Основата за Изпълнителя за #nbsp; обработка на лични данни на субекти, извършвана в интерес на Клиента, е потребителското споразумение.

3.2. Процедурата за организиране на събирането на съгласие на субектите на лични данни за обработка и прехвърляне на техните лични данни, както и целите на обработката на лични данни, състава на личните данни, които ще бъдат обработвани, действия (операции), извършвани с лични данни:

3.2.1. Цел на обработката на личните данни.

Обработването на личните данни е поверено с цел изпълнение на програми за лоялност.

3.2.2. Списък с лични данни, чиято обработка е поверена на Изпълнителя

  • Пълно име;
  • Място, година и дата на раждане;
  • Телефон за връзка;
  • Адрес за регистрация;
  • Адрес на действителното място на пребиваване (престой);
  • Паспортни данни (серия, номер на паспорта, от кого и кога е издаден);
  • Телефонен номер (домашен, служебен, мобилен).
3.2.3. Списъкът с действия (операции) с #nbsp; лични данни, които Изпълнителят е инструктиран да извърши:
  • Събиране на лични данни.
  • Систематизиране на личните данни.
  • Натрупване на лични данни.
  • Използване на лични данни за изпълнение на програми за лоялност и комуникация със субектите на лични данни.
  • Съхранение на лични данни.
  • Уточняване (актуализация, промяна) на лични данни:

  • Вадене (разтоварване) - по допълнителна писмена поръчка на Клиента.
  • Деперсонализация на лични данни:
    -
    - по правно искане на субекта на личните данни, със задължително писмено уведомяване на Клиента;
    - по искане на държавни регулаторни органи за защита на правата на субектите на лични данни, със задължително писмено уведомяване на Клиента.
  • Блокиране на лични данни:
    - по допълнителна писмена поръчка на Клиента;
    - по правно искане на субекта на личните данни, със задължително писмено уведомяване на Клиента;
    - по искане на държавни регулаторни органи за защита на правата на субектите на лични данни, със задължително писмено уведомяване на Клиента.
  • Изтриване на лични данни:
    - по допълнителна писмена поръчка на Клиента;
    - по правно искане на субекта на личните данни, със задължително писмено уведомяване на Клиента;
    - по искане на държавни регулаторни органи за защита на правата на субектите на лични данни, със задължително писмено уведомяване на Клиента.
  • Унищожаване на лични данни – по допълнително писмено нареждане на Клиента.
3.2.4. Процедурата за обработка на лични данни

Обработването на лични данни следва да бъде ограничено до постигането на конкретни, предварително определени и законни цели. Не се допуска обработване на лични данни, които са несъвместими с целите за събиране на лични данни.
Не се допуска комбиниране на бази данни, съдържащи лични данни, чиято обработка се извършва за цели, които са несъвместими една с друга.
На обработка подлежат само лични данни, които отговарят на целите на обработването им.
Съдържанието и обхватът на обработваните лични данни трябва да съответстват на посочените цели на обработване. Обработваните лични данни не трябва да бъдат прекомерни по отношение на посочените цели на обработването им.
При обработването на лични данни трябва да се гарантира точността на личните данни, тяхната достатъчност, както и уместността им по отношение на целите на обработването на личните данни.
Съхранението на лични данни трябва да се извършва във форма, която позволява да се определи предметът на личните данни, не по-дълго от изискваното от целите на обработката на лични данни, освен ако не е посочено друго в условията на договора. Обработваните лични данни подлежат на унищожаване или обезличаване при постигане на целите на обработване или при отпадане на необходимостта от постигане на тези цели, освен ако в условията на договора не е посочено друго.

3.2.5. Организация на защитата на личните данни

Обекти на защита

  • информация, съдържаща лични данни на субекти;
  • машинни носители, съдържащи лични данни на субекти;
  • информационни системи за лични данни;
  • лични данни на субекти, съдържащи се в електронни бази данни на информационни системи за лични данни.
3.2.6. Мерки за организиране и осигуряване на сигурността на личните данни

За да гарантира сигурността на личните данни, Изпълнителят трябва да предприеме следните мерки:

  • Необходими правни, организационни и технически мерки или осигуряване на тяхното приемане за защита на личните данни от неоторизиран или случаен достъп до тях, унищожаване, промяна, блокиране, копиране, предоставяне, разпространение на лични данни, както и от други незаконни действия във връзка с лични данни. .
  • Осигуряване на достъп на служителите на Изпълнителя до личните данни, обработвани от името на Клиента, след подписване на Задължение за неразкриване на лични данни, запознаване с изискванията на Клиента за обработка и защита на личните данни, местните разпоредби, регулиращи организацията и осигуряване на защита на лични данни и преминаване на инструкция за процедурата за контакт с лични данни.
  • Определяне на заплахи за сигурността на личните данни при обработването им в информационни системи за лични данни.
  • Прилагане на организационни и технически мерки за осигуряване на сигурността на личните данни при обработването им в информационни системи за лични данни, необходими за изпълнение на изискванията за защита на личните данни, чието прилагане осигурява установените от правителството нива на защита на личните данни Руска федерация.
  • Оценка на ефективността на предприетите мерки за гарантиране сигурността на личните данни преди въвеждане в експлоатация на информационната система за лични данни.
  • Отчитане на машинни носители на лични данни.
  • Откриване на факти за неоторизиран достъп до лични данни и предприемане на действия.
  • Възстановяване на лични данни, променени или унищожени поради неоторизиран достъп до тях.
  • Създаване на правила за достъп до личните данни, обработвани в информационната система за лични данни, както и осигуряване на регистриране и отчитане на всички действия, извършени с лични данни в информационната система за лични данни.
  • Контрол върху предприетите мерки за гарантиране сигурността на личните данни и нивото на сигурност на информационните системи за лични данни.
3.2.7. Унищожаване на лични данни

Унищожаването на личните данни на субектите може да се извърши от Изпълнителя само:

  • по допълнителна писмена поръчка на Клиента;
  • по правно искане на субекта на лични данни, със задължителното писмено уведомяване на Клиента;
  • по искане на държавни регулаторни органи за защита на правата на субектите на лични данни, със задължително писмено уведомяване на Клиента.
Унищожаването на обработваните лични данни на субектите трябва да бъде гарантирано и да гарантира невъзможността за възстановяване на съдържанието на личните данни в информационната система на лични данни или носители, които ги съдържат.

3.2.8. Процедурата за прекратяване на обработката на лични данни

Прекратяването на обработката на лични данни се извършва:

  • при прекратяване на договорното правоотношение, което е основание за обработване на лични данни;
  • по допълнителна писмена поръчка на Клиента;
  • по писмено разпореждане на държавните регулаторни органи.
Във всички случаи на прекратяване на обработването на лични данни, по-нататъшното предназначение на базите данни се определя от Клиента с изготвяне на писмено уведомление за по-нататъшното предназначение на базите с лични данни.

4. ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

4.1. Клиентът се задължава:

4.1.1. В случай, че субектът на личните данни оттегли съгласието си за обработка на лични данни и няма основания, посочени в параграфи 2-11 на част 1 на член 6, част 2 на член 10 и част 2 на член 11 от Федералния закон от 27 юли 2006 г. № 152-FZ „Относно личните данни, които могат да бъдат обработвани
лични данни без съгласието на субекта, изпрати на Изпълнителя писмено нареждане за извършване на работа за изтриване или обезличаване на личните данни на субекта.

4.1.2. При получаване на искане от субекта на личните данни да предостави информацията, посочена в част 7 на член 14 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, или изискванията на субекта за изтъняване на личните му данни, тяхното блокиране или унищожаване, в случай че личните данни са непълни, остарели, неточни, незаконно получени или не са необходими за посочената цел на обработване, изпраща на Изпълнителя писмено нареждане до
предоставяне на информация или извършване на конкретни действия с личните данни на субекта.

4.2. Изпълнителят се задължава:

4.2.1. Да извършва обработката на лични данни на законово основание, в строго съответствие с условията на тази Заповед.

4.2.2. При първо писмено искане на Клиента да прехвърли (върне) обработваните от негово име бази лични данни по начина, посочен в искането.

4.2.4. При поискване от упълномощения орган за защита правата на субектите на лични данни да представи доказателства за получаване на събраните по тази заповед съгласия на субектите на лични данни за обработване на личните им данни или доказателства за наличие на основанията, посочени в параграфи 2-11 от част 1 на член 6, част 2 от член 10 и част 2 от член 11 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, позволяващи обработването на лични данни без съгласие на субекта.

Тази информация е всяко действие или операция с личните данни на субекта: събиране, запис, систематизиране, натрупване, съхранение, изясняване, извличане, използване, прехвърляне, деперсонализация, блокиране, изтриване, унищожаване.

Защо да събираме информация за обекта и да даваме съгласие за нейния анализ?

За клиент/пациент

Информацията за здравословното състояние на гражданин принадлежи към специална категория лични данни.Съгласно част 2, клауза 4, чл. 10 от Федералния закон № 152, обработката на такава информация е разрешена без съгласието на субекта, при условие че се извършва за целите на:

  • установяване на диагноза;
  • профилактика на заболяванията;
  • предоставяне на медицински и медико-социални услуги.

Това правило важи за ситуации, при които обработката се извършва от професионален лекар, който е длъжен да пази медицинска тайна в съответствие със законодателството на Руската федерация.

Изключения са тези ситуации, при които е невъзможно да се получи съгласие,но е необходимо за защита на живота или здравето на пациента.

Ако дадено лице използва някаква услуга - сключва споразумение, тегли заем - тоест той е клиент, личната информация за него също може да бъде обработвана в съответствие с Федерален закон № 152.

Клиентските данни могат да се използват за:

  1. Предоставяне на консултантски, информационни и посреднически услуги.
  2. Сключване и изпълнение на договора с клиента.
  3. Управление на човешки ресурси и счетоводни услуги.
  4. Други сделки, които не са забранени от законодателството на Руската федерация.

За служител на организация

Работодателят има право на служителите си, залегнало е в чл. 22 FZ № 152. Цели на обработката на личните данни в организацията:

  • Регистрация на гражданскоправни договори с граждани, предвидени от законодателството на Руската федерация и устава на предприятието.
  • Кадрови дела, спазване на законите и регистрация на задължения по трудови и граждански договори.
  • Помощ при наемане на работа, образование или повишение, регистрация и използване на предимства.
  • Гарантиране на личната безопасност на служителя и безопасността на имуществото.
  • Спазване на изискванията на данъчното и пенсионното законодателство при изчисляване на вноските за пенсионно осигуряване.
  • Формиране на статистика в съответствие с Трудовия, Данъчния кодекс и федералните закони.
  • Контрол на извършената от служителя работа.

(Член 86 от „Кодекс на труда на Руската федерация“ от 30 декември 2001 г. № 197-FZ). Лична информация за служител, която е класифицирана като „специална“, не подлежи на обработка от работодателя.

Срокът на валидност на Съгласието за обработка на лични данни трябва да бъде установен, може да бъде конкретна дата или събитие, например уволнение или оттегляне на съгласието от служител.

Примери

Банкиране

Банка "Финансова". Целта на обработването на личните данни на клиента е извършване на банкови и други операции,включително:

  1. Откриване и поддържане на банкови сметки.
  2. Прехвърляне на средства по банкови сметки.
  3. Парични преводи от физически лица - физически и юридически лица без откриване на банкова сметка.
  4. Покупко-продажба на валута.
  5. Предоставяне на консултантски и информационни услуги, включително чрез електронен адрес.

Медицинска организация

Медицинска организация "Здраве". Цел на обработката:

  • Организация на медицинското обслужване.
  • Издаване на облекчени рецепти.
  • Плащане на сметки в системата CHI и VHI.
  • Използвайте за статистика и изследователска работа.
  • Информиране чрез SMS известяване за резултатите от анализите, текущите промоции и работния график на специалистите.

Заключение

С клиент или пациент, не всичко е толкова просто, колкото изглежда на пръв поглед.Просто така, без съгласие и предупреждение, те не могат да бъдат прехвърляни на трети страни или използвани за цели, с които субектът не е съгласен. Ако човек се сблъска с факта, че личните му данни са изтекли, той винаги може да се обърне към Роскомнадзор или към съда.

Не намерихте отговор на въпроса си? Разбирам, как да разрешите проблема си - обадете се веднага:

В съответствие с част 2 на чл. 85 от Кодекса на труда на Руската федерация обработка на лични данни на служител -е получаване, съхраняване, комбиниране, прехвърляне или друго използване на личните данни на служителя.

Обработването на личните данни на служителя може да се извършва единствено с цел осигуряване на спазването на законите и други нормативни правни актове, подпомагане на служителя при наемане, обучение и повишение, осигуряване на градска сигурност, както и контрол на количеството и качеството на работата извършвани от него и осигуряващи безопасността на имуществото (клауза 1, член 86 от Кодекса на труда на Руската федерация).

Съгласно параграф 3 на чл. 3 от Федералния закон „За личните данни“, обработката на лични данни е действия (операции) с лични данни, включително събиране, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), използване, разпространение (включително трансфер), обезличаване. , блокиране , унищожаване на лични данни. Трябва да се има предвид, че независимо от броя на функционалните операции, изброени в законодателството, правната уредба трябва да обхваща всички етапи на обработката на лични данни - от получаването до унищожаването, без изключения и изключения.

Посоченият закон препраща към принципите на обработка на лични данни, както следва:

  • законосъобразност на целите и методите на обработване и добросъвестност;
  • съответствие на целите на обработване с целите, предварително определени и декларирани при събирането на лични данни, както и правомощията на оператора;
  • съответствие на обема и характера на обработваните данни, методите на обработване с целите на тяхното обработване;
  • надеждността на личните данни, тяхната достатъчност за целите на обработката, недопустимостта на обработка на лични данни, която не е свързана с целите, посочени по време на събирането на данни;
  • недопустимостта на комбиниране на бази данни от информационни системи за лични данни, създадени за несъвместими цели.

Обработването на лични данни на служител започва с тяхното получаване. Като общо правило всички лични данни трябва да бъдат получени от самия служител. В изключителни случаи, когато личните данни на служителя могат да бъдат получени само от трето лице, служителят трябва да бъде предварително уведомен за това и да бъде получено писмено съгласие от него. Работодателят е длъжен да информира служителя за целите, предполагаемите източници и методи за получаване на лични данни, както и естеството на личните данни, които ще бъдат получени, и последиците от отказа на служителя да даде писмено съгласие за получаването им (клауза 3 член 86 от Кодекса на труда на Руската федерация). Работодателят обаче няма право да получава и обработва лични данни на служителя относно неговите политически, религиозни и други убеждения и личен живот (клауза 4 от член 86 от Кодекса на труда на Руската федерация). Също така работодателят не може да изисква информация за здравословното състояние на служителя, ако това не се отнася за решаването на въпроса за способността на служителя да изпълнява трудова функция (член 88 от Кодекса на труда на Руската федерация).

Кодексът на труда на Руската федерация налага отделни изисквания за организацията и технологията на обработка на лични данни от работодателя. Задължението за запознаване на служителите и техните представители срещу подпис с документите на работодателя, установяващи процедурата за обработка на лични данни на служителите, както и техните права и задължения в тази област, предполага необходимостта от разработване и приемане на подходящ местен регулаторен правен акт . Такъв акт, в зависимост от спецификата на дейността и преценката на работодателя, може да се нарече наредба или инструкция и като правило включва следните раздели:

  • основни понятия и положения;
  • обработка на лични данни на служител;
  • формиране на лични данни на служителя;
  • отчитане, съхранение и трансфер на лични данни на служител;
  • правата и задълженията на служителя в областта на обработването и защитата на личните му данни.

Такъв местен регулаторен правен акт определя режима на поверителност (ограничен достъп) на личните данни на служителя при конкретен работодател. Служителите на работодателя, които получават личните данни на служителя, са длъжни да спазват този режим, който трябва да бъде посочен не само в длъжностните им характеристики, но и в сключените с тях трудови договори. Регламентът (инструкцията) за защита на личните данни е основният документ, отразяващ спецификата на обработката и предаването на лични данни на служител в рамките на определена организация, от определен индивидуален предприемач. Ако в рамките на тази дейност има автоматизиран компонент, работодателят няма право да взема решения по отношение на служителя въз основа на лични данни, получени единствено в резултат на тяхната автоматизирана обработка или електронно получаване (клауза 6 на член 86 от Кодекс на труда на Руската федерация). Работодателят не може да бъде ограничен до приемането на разпоредба относно защитата на личните данни на служителите в неговата организация. Наличието на този местен акт обаче е задължително, а липсата му се счита от държавната инспекция по труда за сериозно нарушение на трудовото законодателство.

За това и други нарушения на правилата за приемане, обработка и работа на служителите работодателят може да привлече виновните към материална, дисциплинарна отговорност, а съответните държавни органи - към гражданска, административна и наказателна.

Осъществява се въз основа на прилагането на закони и други нормативни актове.

Какво представлява обработката на лични данни? Този процес включва следните стъпки:

Правната уредба на работата с лични данни обхваща всички процеси и етапи на работа с тях.

Цел

За какво се обработват лични данни? Обработването на лични данни на служител се извършва в предприятието, в организацията с цел улесняването му.

Основни цели на обработка на лични данни:

  • при заетост;
  • в устройството в образователна институция или за обучение, за повишаване на квалификацията;
  • с цел защита на организацията на труда;
  • за повишение и контрол, за възможности за кариера;
  • да контролира количеството и качеството на извършената работа.

Законодателството предвижда събирането и предаването на лични данни на служител единствено с цел неговото развитие и подходящо използване на неговите способности и опит. , включват многофункционални цели.

Целта на обработката на личните данни на служителите включва използването и обработването на лични данни чрез тяхното синтезиране и взаимно свързване, които определят релевантността на възможностите на служителя в контекста на организацията на производствения процес.

Поставените и обявени цели за обработка на лични данни не могат да бъдат променяни без уведомяване на служителя.

Кой се извършва?

Под лични данни се разбира такава информация, която съдържа основна информация за лице, представляващо интерес за определен кръг представители на държавни и други служби.

По-специално, в производството (в организация) личните данни представляват интерес за работодателя, който управлява организацията на труда в производството въз основа на информация за своите служители.

Работодателят има право да изисква всякакви лични данни, налични в досиетата на служителя. Освен него достъп до личните данни имат ограничен кръг лица, които извършват оперативна дейност. По правило това са секретариатът и служителите по персонала.

Оператор, извършващ информационна дейност с лични данни, преди започване на определената работа се инструктира. Запознава се с правилата за работа и принципите, забраняващи разкриването на информация, съдържаща се в личните данни.

Изпълнението на изброените видове работа може да преследва само онези цели, които са причинили събирането на информация. Злоупотребата с лични данни или тяхното разкриване се счита за грубо нарушение, за което се носи отговорност.

Нарушения

Както беше обсъдено по-рано, нарушенията при обработката на лични данни се считат за:


Работата на оператора с личните данни подлежи на строг контрол от оторизираните служби, като за пропуски, неволни или умишлени нарушения операторът носи отговорност.

За всички неразрешени действия при обработката на лични данни могат да последват наказания: дисциплинарни, административни, в някои случаи - наказателни.

На 1 юли 2017 г. влезе в сила Федерален закон № 13-FZ от 7 февруари 2017 г., който изменя чл. 13.11 от Кодекса за административните нарушения и предвижда разширяване на списъка с основания за привличане към административна отговорност за незаконни х и значително увеличение на глобите.

Един от задължителните документи, които операторът на лични данни трябва да подготви, за да изпълни изискванията на Федералния закон от 27 юли 2006 г. № 152-FZ, се нарича Политика за обработка на лични данни, която обяснява как компанията работи с данните на служители, клиенти и други лица. Този файл е свободно достъпен на почти всички сайтове, които имат някаква форма за събиране на лични данни.

Как да съставите правилно Политика за обработка на лични данни, кои раздели трябва да бъдат включени? Роскомнадзор предоставя разяснения по тези въпроси.

Структура на Политиката за обработка на лични данни

  • Общи положения
  • Цели на събиране на лични данни
  • Правни основания за обработка на лични данни
  • Обхват и категории обработвани лични данни, категории субекти на лични данни
  • Редът и условията за обработка на лични данни
  • Актуализиране, коригиране, изтриване и унищожаване на лични данни, отговори на искания от субекти за достъп до лични данни

1. Общи цели

В този раздел вие всъщност отговаряте на въпроса – за какво служи Политиката за обработка на лични данни? Разяснява и основните понятия, които се използват в документа, както и правата и задълженията на оператора и субекта на личните данни.

2. Цели на събиране на лични данни

Изкуство. 5 от Федералния закон от 27 юли 2006 г. № 152-FZ изисква определянето на конкретни, законни цели за събиране на данни. Следователно лични данни, които не отговарят на тези цели, не могат да бъдат обработвани.

Roskomnadzor посочва, че целите на обработката на лични данни могат да възникнат, включително:

  • от анализа на правни актове, регулиращи дейността на оператора;
  • от целите на реално извършваните от оператора дейности;
  • от дейности, предвидени в учредителните документи на оператора;
  • от конкретни бизнес процеси на оператора в конкретни информационни системи за лични данни (съгласно структурните подразделения на оператора и техните процедури по отношение на определени категории субекти на лични данни).

3. Правно основание за обработване на лични данни

Федерален закон № 152-FZ от 27 юли 2006 г. не е правно основание за обработка на лични данни. Тази роля се изпълнява от правните актове, в съответствие с които операторът обработва данните.

По този начин в Политиката за обработка на данни като правни основания можете да посочите: федерални закони и регулаторни правни актове, приети въз основа на тях, които регулират отношенията, свързани с дейността на оператора; нормативни документи на оператора; договори, сключени между оператора и субекта на личните данни; съгласие за обработка на лични данни (в случаите, които не са изрично предвидени от законодателството на Руската федерация, но съответстват на правомощията на оператора).

4. Обхват и категории обработвани лични данни, категории субекти на лични данни

Важно е количеството на обработваните лични данни да не се разминава с посочените цели на обработване.

Категориите субекти на лични данни могат да включват: служители – както настоящи, така и бивши, кандидати за свободни позиции, роднини на служители, клиенти и контрагенти (физически лица), представители или служители на клиенти и контрагенти.

Роскомнадзор обръща внимание на факта, че за всяка категория субекти и във връзка с конкретни цели трябва да бъдат посочени всички обработвани лични данни. Отделно са описани всички случаи на обработка на специални категории лични данни и биометрични лични данни (ако е приложимо).

5. Ред и условия за обработка на лични данни

Какво е включено в този раздел:

  • списък на действията, извършени с лични данни;
  • начини за обработка на лични данни;
  • условия за обработка на лични данни.

Ако, като част от постигане на целите за обработка на лични данни, операторът взаимодейства с трети страни, тогава той трябва:

  • разяснете условията за предаване на лични данни на трети страни (включително трансгранично предаване на данни);
  • посочете името и местоположението на трети лица;
  • посочете целите на трансфера на данни и техния обхват;
  • изброява действията по обработване, методите и другите условия на обработване, включително изискванията за защита на обработваните лични данни.

Операторът има право да предава лични данни на органите за дознание и разследване, както и на други упълномощени органи на основанията, предвидени в закона.

Политиката за обработка на лични данни трябва да включва информация за спазването на изискванията за поверителност на личните данни (те са посочени в член 7 от Федералния закон от 27 юли 2006 г. № 152-FZ) и информация за предприемането на мерки (част 2 от член 18.1, част 1 на член 19).

Освен това операторът трябва да посочи условието за прекратяване на обработката на личните данни. Това може да бъде постигане на целите на обработката, изтичане на съгласието за обработка, оттегляне на съгласието на субекта на лични данни за обработка, идентифициране на незаконна обработка на данни.

Специално внимание трябва да се обърне на такъв въпрос като съхранението на лични данни. Първо трябва да се извикат крайните срокове. На второ място се използват бази данни, разположени на територията на Руската федерация. На трето място, взема предвид факта, че съхранението трябва да се извършва във форма, която позволява идентифицирането на субекта на личните данни не по-дълго от необходимото за целите на обработването. Четвърто, необходимо е да се споменат други условия за съхранение, включително при обработка на данни без използване на инструменти за автоматизация.

6. Актуализиране, коригиране, изтриване и унищожаване на лични данни, отговори на искания от субекти за достъп до лични данни

Съгласно чл. 21 № 152-FZ, личните данни трябва да бъдат актуализирани от оператора, ако се потвърди фактът на неточността на личните данни. Същото важи и за потвърждаването на факта на незаконна обработка.

Личните данни подлежат на унищожаване при постигане на целите на обработването им и в случай, че субектът на лични данни оттегли съгласието си за обработването им, освен ако: друго не е предвидено в договора, страна по който, бенефициент или гарант по който е субект на лични данни; друго не е предвидено в друго споразумение между оператора и субекта на личните данни. Операторът няма право да обработва без съгласието на субекта лични данни на основанията, предвидени във Федералния закон № 152-FZ от 27 юли 2006 г. или други федерални закони.

На основание чл. 20, операторът е длъжен да информира субекта на личните данни за извършваното от него обработване на лични данни при поискване.

Roskomnadzor препоръчва Политиката за обработка на лични данни да включва правила за отговор на искания и жалби от субекти на лични данни, техни представители, упълномощени органи относно неточност на данните, незаконна обработка, оттегляне на съгласие и достъп до техните данни. Няма да е излишно да добавите подходящите форми на искания и жалби към Политиката.

Поставяне на Политиката за обработка на лични данни в офиса и на уебсайта

Всяко лице, чиито данни се обработват от дружеството, има право да се запознае с Политиката за обработка на лични данни. Затова трябва да се постави на публично място. Например, използвайте информационен щанд за това.

Ако дружеството събира лични данни чрез интернет, тогава то е длъжно да постави Политиката на уебсайта. Посетителят на сайта може да го види, като кликне върху връзката.

За да сте в крак с най-важните бизнес промени, присъединете се към нашия канал на