Determinarea scopurilor prelucrării datelor cu caracter personal și a modului de lucru cu acestea. Regulamentul privind prelucrarea și protecția datelor cu caracter personal Scopul prelucrării datelor cu caracter personal exemplu

Acest ordin de prelucrare a datelor cu caracter personal (denumit în continuare Ordin) a fost elaborat în conformitate cu Legea federală din 27.07.2006. Nr. 152-FZ „Cu privire la datele personale”. Acest ordin stabilește procedura de prelucrare a datelor cu caracter personal și măsurile de asigurare a securității datelor cu caracter personal în CardsProService LLC în scopul protejării drepturilor și libertăților unei persoane și ale cetățeanului atunci când prelucrează datele sale cu caracter personal, inclusiv protejarea drepturilor la viață privată, personală și familială. secrete.

1. TERMENI ȘI DEFINIȚII

1) Date personale- orice informație care se referă direct sau indirect la o persoană fizică specifică sau identificabilă (subiectul datelor cu caracter personal);

2) Operator (client) - un organ de stat, un organ municipal, o persoană juridică sau o persoană fizică, independent sau în comun cu alte persoane care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile prelucrării datelor cu caracter personal, componența date de prelucrat, acțiuni (operațiuni) efectuate cu date personale;

3) Prelucrarea datelor cu caracter personal- orice acțiune (operație) sau un set de acțiuni (operații) efectuate folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente cu date personale, inclusiv colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea, utilizarea, transferul (distribuire, furnizare, acces), depersonalizare, blocare, ștergere, distrugere a datelor cu caracter personal;

4) Prelucrarea automată a datelor cu caracter personal- prelucrarea datelor cu caracter personal cu ajutorul tehnologiei informatice;

5) Diseminarea datelor personale- acțiuni care vizează dezvăluirea datelor cu caracter personal unui cerc nedeterminat de persoane;

6) Furnizarea datelor personale- acțiuni care vizează dezvăluirea datelor cu caracter personal unei anumite persoane sau unui anumit cerc de persoane;

7) Blocarea datelor personale- suspendarea temporară a prelucrării datelor cu caracter personal (cu excepția cazului în care prelucrarea este necesară pentru clarificarea datelor cu caracter personal);

8) Distrugerea datelor personale- acțiuni, în urma cărora devine imposibilă restabilirea conținutului datelor cu caracter personal în sistemul de informații cu caracter personal și (sau) în urma cărora purtătorii materiale de date cu caracter personal sunt distruși;

9) Persoane autorizate ale Clientului- persoanele care actioneaza in conformitate cu acordul privind
confidențialitate încheiată cu Clientul.

10) Oanonimizarea datelor personale- acțiuni, în urma cărora devine imposibilă determinarea dreptului de proprietate asupra datelor cu caracter personal de către un anumit subiect de date cu caracter personal fără utilizarea unor informații suplimentare;

11) Sistemul informatic al datelor cu caracter personal- un set de date cu caracter personal conținute în baze de date și tehnologii informaționale și mijloace tehnice care asigură prelucrarea acestora;

12) Transfer transfrontalier de date cu caracter personal- transferul datelor cu caracter personal către
teritoriul unui stat străin unei autorități a unui stat străin, unei persoane fizice străine sau unei persoane juridice străine;

13) Executor testamentar- CardsProService LLC (123610, Moscova, terasament Krasnopresnenskaya, clădirea 12, clădirea de birouri 1, camera Id, camera 42; OGRN 1157746550070).

2. COMANDAREA PRELUCRĂRII DATELOR PERSONALE

2.1. Clientul, fiind Operatorul de date cu caracter personal, în conformitate cu paragraful 3 al art. 6 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, instruiește, iar Antreprenorul se obligă să prelucreze datele cu caracter personal ale subiecților, în interesul Clientului și în temeiul
Acordul Utilizatorului.

3. ORDINEA DE INTERACȚIUNE A PĂRȚILOR

3.1. Baza pentru #nbsp; pentru prelucrarea datelor cu caracter personal ale subiecților, efectuată în interesul Clientului, este Acordul de utilizare.

3.2. Procedura de organizare a colectării consimțământurilor persoanelor vizate pentru prelucrarea și transferul datelor cu caracter personal ale acestora, precum și scopurile prelucrării datelor cu caracter personal, componența datelor cu caracter personal care urmează a fi prelucrate, acțiunile (operațiunile) efectuate cu datele personale:

3.2.1. Scopul prelucrării datelor cu caracter personal.

Prelucrarea datelor cu caracter personal este încredințată în vederea implementării programelor de fidelitate.

3.2.2. Lista datelor cu caracter personal, a căror prelucrare este încredințată Antreprenorului

  • Numele complet;
  • Locul, anul și data nașterii;
  • Numar de contact;
  • Adresa de inregistrare;
  • Adresa locului de reședință efectivă (ședere);
  • Datele pașaportului (serie, numărul pașaportului, de către cine și când este eliberat);
  • Numar de telefon (acasa, serviciu, mobil).
3.2.3. Lista acțiunilor (operațiilor) cu #nbsp; date personale pe care Contractorul este instruit să le efectueze:
  • Colectarea datelor personale.
  • Sistematizarea datelor cu caracter personal.
  • Acumularea datelor personale.
  • Utilizarea datelor cu caracter personal pentru implementarea programelor de loialitate și comunicarea cu persoanele vizate.
  • Stocarea datelor personale.
  • Clarificarea (actualizarea, modificarea) datelor cu caracter personal:

  • Extragere (descarcare) - prin comanda suplimentara scrisa a Clientului.
  • Depersonalizarea datelor cu caracter personal:
    -
    - la solicitarea legală a subiectului datelor cu caracter personal, cu notificarea obligatorie în scris a Clientului;
    - la solicitarea autorităților de reglementare ale statului pentru protecția drepturilor subiecților datelor cu caracter personal, cu o notificare scrisă obligatorie a Clientului.
  • Blocarea datelor cu caracter personal:
    - prin comanda suplimentara scrisa a Clientului;
    - la solicitarea legală a subiectului datelor cu caracter personal, cu notificarea obligatorie în scris a Clientului;
    - la solicitarea autorităților de reglementare ale statului pentru protecția drepturilor subiecților datelor cu caracter personal, cu o notificare scrisă obligatorie a Clientului.
  • Ștergerea datelor cu caracter personal:
    - prin comanda suplimentara scrisa a Clientului;
    - la solicitarea legală a subiectului datelor cu caracter personal, cu notificarea obligatorie în scris a Clientului;
    - la solicitarea autorităților de reglementare ale statului pentru protecția drepturilor subiecților datelor cu caracter personal, cu o notificare scrisă obligatorie a Clientului.
  • Distrugerea datelor personale - prin ordin scris suplimentar al Clientului.
3.2.4. Procedura de prelucrare a datelor cu caracter personal

Prelucrarea datelor cu caracter personal ar trebui să se limiteze la realizarea unor scopuri specifice, predeterminate și legitime. Nu este permisă prelucrarea datelor cu caracter personal care sunt incompatibile cu scopurile colectării datelor cu caracter personal.
Nu este permisă combinarea bazelor de date care conțin date cu caracter personal, a căror prelucrare se efectuează în scopuri care sunt incompatibile între ele.
Sunt supuse prelucrării numai datele cu caracter personal care îndeplinesc scopurile prelucrării lor.
Conținutul și domeniul de aplicare al datelor cu caracter personal prelucrate trebuie să corespundă scopurilor declarate ale prelucrării. Datele cu caracter personal prelucrate nu trebuie să fie excesive în raport cu scopurile declarate ale prelucrării lor.
La prelucrarea datelor cu caracter personal, trebuie să se asigure acuratețea datelor cu caracter personal, suficiența acestora, precum și relevanța în raport cu scopurile prelucrării datelor cu caracter personal.
Stocarea datelor cu caracter personal ar trebui să fie efectuată într-o formă care să permită determinarea subiectului datelor cu caracter personal, nu mai mult decât este cerut de scopurile prelucrării datelor cu caracter personal, cu excepția cazului în care se specifică altfel în termenii contractului. Datele cu caracter personal prelucrate sunt supuse distrugerii sau depersonalizării la realizarea scopurilor prelucrării sau în cazul pierderii necesității de a realiza aceste scopuri, cu excepția cazului în care se prevede altfel în termenii contractului.

3.2.5. Organizarea protectiei datelor cu caracter personal

Obiecte de protectie

  • informații care conțin date cu caracter personal ale subiecților;
  • suporturi automate care conțin date personale ale subiecților;
  • sisteme de informare a datelor cu caracter personal;
  • datele cu caracter personal ale subiecților conținute în bazele de date electronice ale sistemelor informatice de date cu caracter personal.
3.2.6. Măsuri de organizare și asigurare a securității datelor cu caracter personal

Pentru a asigura securitatea datelor cu caracter personal, Antreprenorul trebuie să ia următoarele măsuri:

  • Măsurile legale, organizatorice și tehnice necesare sau asigură adoptarea acestora pentru a proteja datele cu caracter personal împotriva accesului neautorizat sau accidental la acestea, distrugerii, modificării, blocării, copierii, furnizarii, distribuirii datelor cu caracter personal, precum și împotriva altor acțiuni ilegale în legătură cu datele personale. .
  • Asigurarea accesului angajatilor Antreprenorului la datele personale prelucrate in numele Clientului, dupa semnarea Obligatiei de nedivulgare a datelor cu caracter personal, studierea cerintelor Clientului pentru prelucrarea si protectia datelor cu caracter personal, reglementarile locale care guverneaza organizatia si asigurarea protectiei a datelor cu caracter personal și transmiterea de instrucțiuni privind procedura de contact cu datele personale.
  • Determinarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.
  • Aplicarea măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal necesare îndeplinirii cerințelor de protecție a datelor cu caracter personal, a căror implementare asigură nivelurile de protecție a datelor cu caracter personal stabilite de Guvernul Federația Rusă.
  • Evaluarea eficacității măsurilor luate pentru asigurarea securității datelor cu caracter personal înainte de punerea în funcțiune a sistemului informatic de date cu caracter personal.
  • Contabilitatea mașinilor purtătoare de date cu caracter personal.
  • Detectarea faptelor de acces neautorizat la datele personale și luarea de măsuri.
  • Recuperarea datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea.
  • Stabilirea regulilor de acces la datele cu caracter personal prelucrate în sistemul informatic al datelor cu caracter personal, precum și asigurarea înregistrării și contabilizării tuturor acțiunilor efectuate cu datele cu caracter personal în sistemul informatic al datelor cu caracter personal.
  • Controlul asupra măsurilor luate pentru asigurarea securității datelor cu caracter personal și a nivelului de securitate a sistemelor informatice de date cu caracter personal.
3.2.7. Distrugerea datelor personale

Distrugerea datelor cu caracter personal ale subiecților poate fi efectuată de către Antreprenor, numai:

  • prin comandă scrisă suplimentară a Clientului;
  • la cererea legală a subiectului datelor cu caracter personal, cu notificarea scrisă obligatorie a Clientului;
  • la solicitarea autorităților de reglementare ale statului pentru protecția drepturilor subiecților datelor cu caracter personal, cu o notificare scrisă obligatorie a Clientului.
Distrugerea datelor cu caracter personal prelucrate ale subiecților trebuie să fie garantată și să asigure imposibilitatea restabilirii conținutului datelor cu caracter personal în sistemul informațional de date cu caracter personal sau purtători care le conțin.

3.2.8. Procedura de încetare a prelucrării datelor cu caracter personal

Încetarea prelucrării datelor cu caracter personal se efectuează:

  • în cazul încetării relației contractuale care stă la baza prelucrării datelor cu caracter personal;
  • prin comandă scrisă suplimentară a Clientului;
  • prin ordin scris al autorităților de reglementare ale statului.
În toate cazurile de încetare a prelucrării datelor cu caracter personal, scopul ulterioar al bazelor de date este determinat de către Client cu pregătirea unei notificări scrise cu privire la scopul ulterioar al bazelor de date cu caracter personal.

4. DREPTURILE ŞI OBLIGAŢIILE PĂRŢILOR

4.1. Clientul se obliga:

4.1.1. În cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea datelor cu caracter personal și nu există motive specificate în alineatele 2-11 din partea 1 din articolul 6, partea 2 din articolul 10 și partea 2 din articolul 11 ​​din Legea federală din 27 iulie 2006 Nr.152-FZ „Cu privire la datele personale care pot fi prelucrate
datele cu caracter personal fără acordul subiectului, trimiteți Antreprenorului un ordin scris de a efectua lucrări de ștergere sau depersonalizare a datelor cu caracter personal ale subiectului.

4.1.2. La primirea unei cereri din partea subiectului de date cu caracter personal de a furniza informațiile specificate în partea 7 a articolului 14 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, sau cerințele subiectului pentru subțierea datele sale personale, blocarea sau distrugerea acestora în cazul în care datele cu caracter personal sunt incomplete, depășite, inexacte, obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării, trimiteți Contractantului o comandă scrisă către
furnizarea de informații sau efectuarea de acțiuni specifice cu datele personale ale subiectului.

4.2. Antreprenorul se obligă:

4.2.1. Efectuează prelucrarea datelor cu caracter personal în temeiul legal, în strictă conformitate cu termenii prezentului Ordin.

4.2.2. La prima solicitare scrisă a Clientului, transferați (returnați) bazele de date cu caracter personal prelucrate în numele acestuia în modul specificat în cerere.

4.2.4. La solicitarea organismului autorizat pentru protecția drepturilor persoanelor vizate, furnizați dovada primirii consimțământului persoanelor vizate de date cu caracter personal colectate în temeiul prezentului Ordin pentru prelucrarea datelor lor personale sau dovada existenței motivelor specificate la alineatele 2-11 din partea 1 a articolului 6, partea 2 a articolului 10 și partea 2 a articolului 11 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, permițând prelucrarea datelor cu caracter personal fără consimțământul subiectului.

Această informație reprezintă orice acțiune sau operațiune cu datele personale ale subiectului: colectare, înregistrare, sistematizare, acumulare, stocare, clarificare, extragere, utilizare, transfer, depersonalizare, blocare, ștergere, distrugere.

De ce să colectezi informații despre subiect și să dai consimțământul analizei acestuia?

Pentru client/pacient

Informațiile despre starea de sănătate a unui cetățean aparțin unei categorii speciale de date cu caracter personal. Conform Partii 2, Clauza 4, Art. 10 din Legea federală nr. 152, prelucrarea acestor informații este permisă fără acordul subiectului, cu condiția ca aceasta să fie efectuată în scopul:

  • stabilirea unui diagnostic;
  • prevenirea bolilor;
  • prestarea de servicii medicale si medico-sociale.

Această regulă este valabilă pentru situațiile în care prelucrarea este efectuată de un medic profesionist care este obligat să păstreze secretele medicale în conformitate cu legislația Federației Ruse.

Excepție fac acele situații în care este imposibil să se obțină consimțământul, dar este necesar pentru a proteja viața sau sănătatea pacientului.

Dacă o persoană folosește orice serviciu - încheie un acord, încheie un împrumut - adică este un client, informațiile personale despre el pot fi, de asemenea, prelucrate în conformitate cu Legea federală nr. 152.

Datele clienților pot fi folosite pentru:

  1. Furnizare de servicii de consultanta, informare si mediere.
  2. Incheierea si executarea contractului cu clientul.
  3. Gestionarea serviciilor de HR și contabilitate.
  4. Alte tranzacții care nu sunt interzise de legislația Federației Ruse.

Pentru un angajat al organizației

Angajatorul are dreptul la salariatii sai, acesta fiind consacrat in art. 22 FZ Nr 152. Scopurile prelucrării datelor cu caracter personal în organizație:

  • Înregistrarea contractelor de drept civil cu cetățenii, prevăzută de legislația Federației Ruse și de Carta întreprinderii.
  • Evidența personalului, respectarea legilor și, înregistrarea obligațiilor din contractele de muncă și de drept civil.
  • Asistență pentru angajare, educație sau promovare, înregistrare și utilizarea beneficiilor.
  • Asigurarea securității personale a angajatului și a siguranței proprietății.
  • Respectarea cerințelor legislației fiscale și pensiilor la calcularea contribuțiilor pentru asigurarea de pensie.
  • Formarea de statistici în conformitate cu Codurile Muncii, Fiscale și legile federale.
  • Controlul muncii prestate de angajat.

(Articolul 86 din „Codul Muncii al Federației Ruse” din 30 decembrie 2001 nr. 197-FZ). Informațiile personale despre un angajat care sunt clasificate drept „speciale” nu fac obiectul prelucrării de către angajator.

Perioada de valabilitate a Consimțământului pentru prelucrarea datelor cu caracter personal trebuie stabilită, poate fi o dată sau un eveniment specific, de exemplu, concedierea sau retragerea consimțământului de către un angajat.

Exemple

Bancar

Banca „financiară”. Scopul prelucrării datelor cu caracter personal ale clientului este de a efectua operațiuni bancare și alte operațiuni, inclusiv:

  1. Deschiderea si mentinerea conturilor bancare.
  2. Transfer de fonduri prin conturi bancare.
  3. Transfer de fonduri de la persoane fizice - persoane fizice și juridice fără deschiderea unui cont bancar.
  4. Cumpărarea și vânzarea de valută străină.
  5. Furnizarea de servicii de consultanță și informare, inclusiv prin intermediul unei adrese de e-mail.

Organizatie medicala

Organizația medicală „Sănătate”. Scopul prelucrarii:

  • Organizarea îngrijirilor medicale.
  • Eliberarea prescripțiilor concesionale.
  • Plata facturilor in sistemul CHI si VHI.
  • Utilizați pentru statistici și lucrări de cercetare.
  • Informarea prin notificare prin SMS despre rezultatele analizelor, promoțiile în curs și programul de lucru al specialiștilor.

Concluzie

Cu, un client sau un pacient, nu totul este atât de simplu pe cât pare la prima vedere. La fel, fără consimțământ și avertisment, acestea nu pot fi transferate către terți sau utilizate în acele scopuri cu care subiectul nu este de acord. Dacă o persoană se confruntă cu faptul că datele sale personale au fost scurse, el poate oricând să se adreseze la Roskomnadzor sau la instanță.

Nu ai găsit un răspuns la întrebarea ta? Afla, cum să vă rezolvați problema - sunați chiar acum:

În conformitate cu partea 2 a art. 85 din Codul Muncii al Federației Ruse prelucrarea datelor cu caracter personal ale unui angajat - este primirea, stocarea, combinarea, transferul sau orice altă utilizare a datelor personale ale angajatului.

Prelucrarea datelor cu caracter personal ale angajatului poate fi efectuată exclusiv în scopul asigurării respectării legilor și altor acte normative de reglementare, asistarea salariatului în angajare, formare și promovare, asigurarea securității metropolitane, precum și controlul cantității și calității muncii. efectuat de acesta și asigurând siguranța proprietății (clauza 1 articolul 86 din Codul Muncii al Federației Ruse).

Potrivit paragrafului 3 al art. 3 din Legea federală „Cu privire la datele cu caracter personal”, prelucrarea datelor cu caracter personal reprezintă acțiuni (operațiuni) cu date cu caracter personal, inclusiv colectarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea , blocarea , distrugerea datelor cu caracter personal. Trebuie avut în vedere faptul că, indiferent de numărul de operațiuni funcționale enumerate în legislație, reglementarea legală ar trebui să acopere toate etapele prelucrării datelor cu caracter personal - de la primire până la distrugere, fără excepții și excepții.

Legea menționată se referă la principiile prelucrării datelor cu caracter personal astfel:

  • legalitatea scopurilor și metodelor de prelucrare și bună-credință;
  • conformitatea scopurilor prelucrarii cu scopurile predeterminate si declarate in timpul colectarii datelor cu caracter personal, precum si a autoritatii operatorului;
  • conformitatea volumului și naturii datelor prelucrate, a metodelor de prelucrare cu scopurile prelucrării acestora;
  • fiabilitatea datelor cu caracter personal, suficiența acestora în scopul prelucrării, inadmisibilitatea prelucrării datelor cu caracter personal care nu are legătură cu scopurile declarate în timpul colectării datelor;
  • inadmisibilitatea combinării bazelor de date ale sistemelor informatice de date cu caracter personal create în scopuri incompatibile.

Prelucrarea datelor cu caracter personal ale unui angajat începe cu primirea acestora. Ca regulă generală, toate datele personale ar trebui obținute de la angajatul însuși. În cazuri excepționale, când datele personale ale angajatului pot fi obținute numai de la un terț, angajatul trebuie să fie înștiințat în prealabil despre acest lucru și trebuie să se obțină acordul scris de la acesta. Angajatorul este obligat să informeze salariatul cu privire la scopurile, presupusele surse și metodele de obținere a datelor cu caracter personal, precum și natura datelor cu caracter personal care urmează a fi obținute și consecințele refuzului salariatului de a-și da acordul scris pentru a le primi (clauza 3). al articolului 86 din Codul Muncii al Federației Ruse). Cu toate acestea, angajatorul nu are dreptul de a primi și prelucra datele personale ale angajatului despre credințele sale politice, religioase și de altă natură și despre viața privată (clauza 4 a articolului 86 din Codul Muncii al Federației Ruse). De asemenea, angajatorul nu poate solicita informații despre starea de sănătate a angajatului, dacă acest lucru nu se aplică pentru rezolvarea problemei capacității angajatului de a îndeplini o funcție de muncă (articolul 88 din Codul Muncii al Federației Ruse).

Codul Muncii al Federației Ruse impune cerințe separate privind organizarea și tehnologia de prelucrare a datelor cu caracter personal de către angajator. Obligația de familiarizare a angajaților și a reprezentanților acestora împotriva semnării cu documentele angajatorului care stabilesc procedura de prelucrare a datelor cu caracter personal ale angajaților, precum și cu drepturile și obligațiile acestora în acest domeniu, implică necesitatea elaborării și adoptării unui act juridic de reglementare local adecvat. . Un astfel de act, în funcție de specificul activității și de discreția angajatorului, poate fi denumit regulament sau instrucțiune și, de regulă, include următoarele secțiuni:

  • concepte și prevederi de bază;
  • prelucrarea datelor cu caracter personal ale unui angajat;
  • formarea datelor personale ale angajatului;
  • contabilizarea, stocarea și transferul datelor personale ale unui angajat;
  • drepturile si obligatiile angajatului in domeniul prelucrarii si protectiei datelor sale personale.

Un astfel de act juridic de reglementare local determină regimul de confidențialitate (acces limitat) al datelor personale ale angajatului la un anumit angajator. Angajații angajatorului care primesc datele personale ale salariatului sunt obligați să respecte acest regim, care trebuie să fie indicat nu doar în fișele postului, ci și în contractele de muncă încheiate cu aceștia. Regulamentul (instrucțiunea) privind protecția datelor cu caracter personal este documentul principal care reflectă specificul prelucrării și transferului datelor cu caracter personal ale unui angajat în cadrul unei anumite organizații, de la un anumit antreprenor individual. Dacă în cadrul acestei activități există o componentă automatizată, angajatorul nu are dreptul de a lua decizii cu privire la angajat pe baza datelor cu caracter personal obținute numai ca urmare a prelucrării automate sau a primirii lor electronice (clauza 6 din articolul 86 din Codul Muncii al Federației Ruse). Un angajator nu se poate limita la adoptarea unei prevederi privind protecția datelor cu caracter personal ale angajaților din organizația sa. Prezența acestui act local este însă obligatorie, iar absența acestuia este considerată de inspectoratul de stat de muncă drept o încălcare gravă a legislației muncii.

Pentru aceasta și alte încălcări ale regulilor care reglementează primirea, prelucrarea și angajatul, angajatorul poate aduce făptuitorii la răspundere materială, disciplinară, iar organele competente ale statului - la civil, administrativ și penal.

Se realizează pe baza punerii în aplicare a legilor și a altor reglementări.

Ce este prelucrarea datelor cu caracter personal? Acest proces include următorii pași:

Reglementarea legală a muncii cu date personale acoperă toate procesele și etapele de lucru cu acestea.

Ţintă

Pentru ce este prelucrarea datelor cu caracter personal? Prelucrarea datelor cu caracter personal ale unui angajat se realizează la întreprindere, în organizație pentru a-l facilita.

Principalele scopuri ale prelucrării datelor cu caracter personal:

  • in angajare;
  • în aparatul într-o instituție de învățământ sau pentru pregătire, pentru pregătire avansată;
  • pentru a proteja organizarea muncii;
  • pentru promovare și control, pentru oportunități de carieră;
  • pentru a controla cantitatea si calitatea muncii efectuate.

Legislația prevede acumularea și transmiterea datelor cu caracter personal ale unui angajat exclusiv în scopul dezvoltării sale și al utilizării adecvate a abilităților și experienței sale. , include obiective multifuncționale.

Scopul prelucrării datelor cu caracter personal ale angajaților include utilizarea și prelucrarea datelor cu caracter personal prin sinteza și interconectarea acestora, care determină relevanța capacităților angajatului în contextul organizării procesului de producție.

Obiectivele stabilite și anunțate pentru prelucrarea datelor cu caracter personal nu pot fi modificate fără notificarea angajatului.

Cine se realizează?

Datele cu caracter personal sunt înțelese ca astfel de informații care conțin informații de bază despre o persoană de interes pentru un anumit cerc de reprezentanți ai statului și ai altor servicii.

În special, în producție (într-o organizație), datele personale prezintă interes pentru angajator, care gestionează organizarea muncii în producție pe baza informațiilor despre angajații săi.

Angajatorul are dreptul de a solicita orice date personale disponibile în evidențele salariatului. Pe lângă el, accesul la datele personale are un cerc restrâns de persoane care desfășoară activități operaționale. De regulă, aceștia sunt ofițerii de secretariat și de personal.

Este instruit un operator care desfășoară activități de informare cu date personale, înainte de începerea lucrării desemnate. El face cunoștință cu regulile de lucru și principiile care interzic dezvăluirea informațiilor conținute în datele personale.

Implementarea tipurilor de muncă enumerate poate urmări doar acele scopuri care au determinat colectarea de informații. Utilizarea abuzivă a datelor cu caracter personal sau dezvăluirea acestora este considerată o încălcare gravă, pentru care se impune răspunderea.

Încălcări

După cum sa discutat mai devreme, încălcările în prelucrarea datelor cu caracter personal sunt luate în considerare:


Activitatea operatorului cu datele personale este supusă unui control strict de către serviciile autorizate, iar pentru neajunsuri, încălcări neintenționate sau deliberate, operatorul este tras la răspundere.

Pentru toate acțiunile neautorizate în prelucrarea datelor cu caracter personal pot urma pedepse: disciplinare, administrative, în unele cazuri - penale.

La 1 iulie 2017 a intrat în vigoare Legea federală nr. 13-FZ din 7 februarie 2017, care modifică art. 13.11 din Codul contravențiilor administrative și prevede extinderea listei motivelor de tragere la răspundere administrativă pentru ilegal x și majorarea semnificativă a amenzilor.

Unul dintre documentele obligatorii pe care un operator de date cu caracter personal trebuie să le pregătească pentru a respecta cerințele Legii federale din 27 iulie 2006 nr. 152-FZ se numește Politica de prelucrare a datelor cu caracter personal, care explică modul în care compania lucrează cu datele. de angajați, clienți și alte persoane. Acest fișier este disponibil gratuit pe aproape toate site-urile care au orice formă de colectare a datelor personale.

Cum să întocmești corect o Politică de prelucrare a datelor cu caracter personal, ce secțiuni trebuie incluse? Roskomnadzor oferă clarificări cu privire la aceste aspecte.

Structura Politicii de prelucrare a datelor cu caracter personal

  • Dispoziții generale
  • Scopurile colectării datelor cu caracter personal
  • Temeiuri legale pentru prelucrarea datelor cu caracter personal
  • Domeniul de aplicare și categoriile de date cu caracter personal prelucrate, categorii de persoane vizate
  • Procedura și condițiile de prelucrare a datelor cu caracter personal
  • Actualizarea, corectarea, ștergerea și distrugerea datelor cu caracter personal, răspunsuri la solicitările subiecților de acces la datele cu caracter personal

1. Obiective generale

În această secțiune, răspundeți de fapt la întrebarea - pentru ce este Politica de prelucrare a datelor cu caracter personal? De asemenea, se explică conceptele de bază care sunt utilizate în document, precum și drepturile și obligațiile operatorului și ale subiectului datelor cu caracter personal.

2. Scopurile colectării datelor cu caracter personal

Artă. 5 din Legea federală din 27 iulie 2006 nr. 152-FZ impune definirea unor scopuri specifice, legitime, pentru colectarea datelor. Prin urmare, datele personale care nu corespund acestor scopuri nu pot fi prelucrate.

Roskomnadzor indică faptul că scopurile prelucrării datelor cu caracter personal pot apărea, inclusiv:

  • din analiza actelor juridice care reglementează activitățile operatorului;
  • din scopurile activităților desfășurate efectiv de operator;
  • din activități care sunt prevăzute de actele constitutive ale operatorului;
  • din procesele de afaceri specifice ale operatorului în sistemele informaționale specifice de date cu caracter personal (conform diviziunilor structurale ale operatorului și procedurilor acestora în raport cu anumite categorii de persoane vizate).

3. Temeiuri juridice pentru prelucrarea datelor cu caracter personal

Legea federală nr. 152-FZ din 27 iulie 2006 nu este un temei legal pentru prelucrarea datelor cu caracter personal. Acest rol este îndeplinit de actele juridice în conformitate cu care operatorul prelucrează datele.

Astfel, în Politica de prelucrare a datelor, ca temeiuri legale, puteți preciza: legile federale și actele juridice de reglementare adoptate în baza acestora care reglementează relațiile legate de activitățile operatorului; actele statutare ale operatorului; contractele încheiate între operator și subiectul datelor cu caracter personal; consimțământul pentru prelucrarea datelor cu caracter personal (în cazurile care nu sunt prevăzute expres de legislația Federației Ruse, dar care corespund autorității operatorului).

4. Domeniul de aplicare și categoriile de date cu caracter personal prelucrate, categorii de persoane vizate

Este important ca cantitatea de date cu caracter personal prelucrate să nu difere de scopurile declarate de prelucrare.

Categoriile de persoane vizate pot include: angajați - atât actuali, cât și foști, candidați pentru posturi vacante, rude ale angajaților, clienți și contrapărți (persoane fizice), reprezentanți sau angajați ai clienților și contrapărților.

Roskomnadzor atrage atenția asupra faptului că pentru fiecare categorie de subiecți și în raport cu scopurile specifice, trebuie indicate toate datele cu caracter personal prelucrate. Separat, sunt descrise toate cazurile de prelucrare a categoriilor speciale de date cu caracter personal și a datelor cu caracter personal biometrice (dacă este cazul).

5. Procedura și condițiile de prelucrare a datelor cu caracter personal

Ce este inclus în această secțiune:

  • lista acțiunilor efectuate cu date personale;
  • modalități de prelucrare a datelor cu caracter personal;
  • termenii de prelucrare a datelor cu caracter personal.

Dacă, ca parte a atingerii obiectivelor de prelucrare a datelor cu caracter personal, operatorul interacționează cu terți, atunci acesta trebuie să:

  • explicați condițiile pentru transferul datelor cu caracter personal către terți (inclusiv transferul transfrontalier de date);
  • indicați numele și locația terților;
  • indicați scopurile transferului de date și scopul acestora;
  • enumerați acțiunile de prelucrare, metodele și alte condiții de prelucrare, inclusiv cerințele pentru protecția datelor cu caracter personal prelucrate.

Operatorul are dreptul de a transfera datele cu caracter personal către organele de anchetă și anchetă, precum și către alte organisme abilitate în temeiurile prevăzute de lege.

Politica de prelucrare a datelor cu caracter personal ar trebui să includă informații cu privire la respectarea cerințelor de confidențialitate a datelor cu caracter personal (acestea sunt denumite în articolul 7 din Legea federală din 27 iulie 2006 nr. 152-FZ) și informații privind luarea măsurilor (Partea 2 a Articolul 18.1, Partea 1 a Art. 19).

În plus, operatorul trebuie să precizeze condiția de încetare a prelucrării datelor cu caracter personal. Aceasta poate fi realizarea scopurilor de prelucrare, expirarea consimțământului pentru prelucrare, retragerea consimțământului subiectului de date cu caracter personal la prelucrare, identificarea prelucrării ilegale a datelor.

O atenție deosebită ar trebui acordată unei astfel de probleme precum stocarea datelor cu caracter personal. În primul rând, termenele trebuie anunțate. În al doilea rând, sunt utilizate baze de date situate pe teritoriul Federației Ruse. În al treilea rând, ține cont de faptul că stocarea trebuie efectuată într-o formă care să permită identificarea subiectului datelor cu caracter personal nu mai mult decât este cerut de scopurile prelucrării. În al patrulea rând, este necesar să menționăm și alte condiții de stocare, inclusiv atunci când procesăm date fără a utiliza instrumente de automatizare.

6. Actualizarea, corectarea, ștergerea și distrugerea datelor cu caracter personal, răspunsuri la solicitările subiecților de acces la datele cu caracter personal

Potrivit art. 21 Nr. 152-FZ, datele cu caracter personal trebuie actualizate de către operator dacă se confirmă faptul de inexactitate a datelor cu caracter personal. Același lucru este valabil și pentru confirmarea faptului prelucrării ilegale.

Datele cu caracter personal sunt supuse distrugerii atunci când sunt îndeplinite scopurile prelucrării lor și în cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea lor, cu excepția cazului în care: prin contract se prevede altfel, partea căreia, beneficiarul sau garantul căruia este subiectul datelor cu caracter personal; altfel nu este prevăzut de un alt acord între operator și subiectul datelor cu caracter personal. Operatorul nu are dreptul de a prelucra datele cu caracter personal fără consimțământul subiectului din motivele prevăzute de Legea federală nr. 152-FZ din 27 iulie 2006 sau alte legi federale.

În baza art. 20, operatorul este obligat să informeze subiectul datelor cu caracter personal despre prelucrarea datelor cu caracter personal efectuate de acesta la cerere.

Roskomnadzor recomandă ca Politica de prelucrare a datelor cu caracter personal să includă reglementări pentru răspunsul la solicitările și contestațiile persoanelor vizate, reprezentanților acestora, organismelor autorizate cu privire la inexactitatea datelor, prelucrarea ilegală, retragerea consimțământului și accesul la datele acestora. Nu va fi de prisos să adăugați formele adecvate de cereri și contestații la Politică.

Plasarea Politicii de prelucrare a datelor cu caracter personal în birou și pe site

Orice persoană ale cărei date sunt prelucrate de companie are dreptul de a lua cunoștință cu Politica de prelucrare a datelor cu caracter personal. Prin urmare, trebuie amplasat într-un loc public. De exemplu, utilizați un stand de informații pentru aceasta.

În cazul în care compania colectează date personale prin Internet, atunci este obligată să plaseze Politica pe site. Vizitatorul site-ului îl poate vizualiza făcând clic pe link.

Pentru a fi la curent cu cele mai importante schimbări de afaceri, alăturați-vă canalului nostru pe