Kişisel verilerin işlenme amaçlarının ve bunlarla nasıl çalışılacağının belirlenmesi. Kişisel verilerin işlenmesi ve korunmasına ilişkin düzenlemeler Kişisel verilerin işlenme amacı örneği

Kişisel verilerin işlenmesine ilişkin bu talimat (bundan sonra Talimat olarak anılacaktır) 27 Temmuz 2006 tarihli Federal Kanuna uygun olarak geliştirilmiştir. No. 152-FZ “Kişisel Veriler Hakkında”. Bu talimat, kişisel verilerin işlenmesi prosedürünü ve gizlilik, kişisel ve aile haklarının korunması da dahil olmak üzere bireylerin ve vatandaşların kişisel verilerini işlerken hak ve özgürlüklerini korumak amacıyla CardsProService LLC'de kişisel verilerin güvenliğini sağlamaya yönelik önlemleri tanımlar. sırlar.

1. TERİMLER VE TANIMLAR

1) Kişisel bilgi- doğrudan veya dolaylı olarak tanımlanmış veya kimliği belirlenebilir bir kişiye (kişisel veri konusu) ilişkin her türlü bilgi;

2) Operatör (Müşteri) - devlet organı, belediye organı, tüzel kişi veya birey, bağımsız olarak veya diğer kişilerle birlikte kişisel verilerin işlenmesini organize eder ve (veya) yürütür, ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini belirler. kişisel verilerle gerçekleştirilen eylemler (işlemler);

3) Kişisel verilerin işlenmesi- toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma dahil olmak üzere, otomasyon araçları kullanılarak veya kişisel verilerle bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya eylem dizisi (işlemler), kişisel verilerin aktarımı (dağıtım, provizyon, erişim), duyarsızlaştırma, engelleme, silme, imha etme;

4) Kişisel verilerin otomatik olarak işlenmesi- kişisel verilerin bilgisayar teknolojisi kullanılarak işlenmesi;

5) Kişisel verilerin yayılması- kişisel verilerin belirsiz sayıda kişiye ifşa edilmesini amaçlayan eylemler;

6) Kişisel verilerin sağlanması- kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) Kişisel verileri engelleme- kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) Kişisel verilerin imhası- kişisel veri içeriğinin kişisel veri bilgi sistemindeki geri yüklenmesinin imkansız hale geldiği ve (veya) kişisel verilerin maddi ortamının imha edildiği eylemler;

9) Müşterinin yetkili kişileri- anlaşmaya uygun olarak hareket eden kişiler
Müşteri ile gizlilik sözleşmesi imzalanmıştır.

10) HAKKINDAkişisel verilerin kişiselleştirilmesi- ek bilgi kullanılmadan kişisel verilerin belirli bir kişisel veri konusuna ait olduğunu belirlemenin imkansız hale geldiği eylemler;

11) Kişisel veri bilgi sistemi- veritabanlarında yer alan kişisel verilerin tamamı ve bunların işlenmesini sağlayan bilgi teknolojileri ve teknik araçlar;

12) Kişisel verilerin sınır ötesi aktarımı- kişisel verilerin aktarılması
yabancı bir devletin topraklarının yabancı bir devletin makamına, yabancı bir gerçek kişiye veya yabancı bir tüzel kişiye;

13) İcracı- CardsProService LLC (123610, Moskova, Krasnopresnenskaya dolgu, bina 12, ofis binası 1, oda kimliği, oda 42; OGRN 1157746550070).

2. KİŞİSEL VERİLERİN İŞLENMESİ EMRİ

2.1. Kişisel verilerin Operatörü olan Müşteri, Sanatın 3. maddesi uyarınca. 27 Temmuz 2006 tarih ve 152-FZ sayılı Federal Kanunun 6'sı “Kişisel Verilere İlişkin” talimatını verir ve Yüklenici, konuların kişisel verilerini Müşterinin çıkarları doğrultusunda ve uyarınca işlemeyi taahhüt eder.
Kullanıcı Sözleşmesi.

3. TARAFLARIN ETKİLEŞİM PROSEDÜRÜ

3.1. Yüklenicinin, Müşterinin çıkarları doğrultusunda gerçekleştirdiği kişilerin kişisel verilerini işlemesinin temeli Kullanıcı Sözleşmesidir.

3.2. Kişisel veri sahiplerinin, kişisel verilerinin işlenmesi ve aktarılmasına ilişkin rızalarının toplanmasının yanı sıra kişisel verilerin işlenme amaçları, işlenecek kişisel verilerin bileşimi, kişisel verilerle gerçekleştirilen eylemler (işlemler):

3.2.1. Kişisel verilerin işlenme amacı.

Kişisel verilerin işlenmesi, sadakat programlarının uygulanması amacıyla görevlendirilir.

3.2.2. İşlenmesi Yükleniciye emanet edilen kişisel verilerin listesi

  • Ad Soyad;
  • Doğum yeri, yılı ve tarihi;
  • İletişim numarası;
  • Kayıt adresi;
  • Gerçek ikamet yerinin adresi (kalış);
  • Pasaport verileri (seri, pasaport numarası, kimin tarafından ve ne zaman verildiği);
  • Telefon numarası (ev, iş, cep telefonu).
3.2.3. Yüklenicinin gerçekleştirmesi için görevlendirildiği #nbsp;kişisel verileri içeren eylemlerin (işlemlerin) listesi:
  • Kişisel verilerin toplanması.
  • Kişisel verilerin sistemleştirilmesi.
  • Kişisel verilerin birikmesi.
  • Sadakat programlarının uygulanması ve kişisel veri sahipleri ile iletişim için kişisel verilerin kullanılması.
  • Kişisel verilerin saklanması.
  • Kişisel verilerin açıklığa kavuşturulması (güncellenmesi, değiştirilmesi):

  • Çıkarma (boşaltma) - Müşterinin ek yazılı talimatları üzerine.
  • Kişisel verilerin kişiselleştirilmesi:
    -
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
  • Kişisel verilerin engellenmesi:
    - Müşterinin ek yazılı talimatları üzerine;
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
  • Kişisel verilerin silinmesi:
    - Müşterinin ek yazılı talimatları üzerine;
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
    - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
  • Kişisel verilerin imhası - Müşterinin ek yazılı talimatı üzerine.
3.2.4. Kişisel verilerin işlenmesine ilişkin prosedür

Kişisel verilerin işlenmesi belirli, önceden tanımlanmış ve meşru amaçların gerçekleştirilmesiyle sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan şekilde işlenmesine izin verilmez.
Birbiriyle bağdaşmayan amaçlarla işlenen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.
Yalnızca işlenme amaçlarına uygun olan kişisel veriler işleme tabi tutulur.
İşlenen kişisel verilerin içeriği ve hacmi belirtilen işleme amaçlarına uygun olmalıdır. İşlenen kişisel veriler, belirtilen işlenme amaçlarına göre gereksiz olmamalıdır.
Kişisel verileri işlerken, kişisel verilerin doğruluğu, yeterliliği ve ayrıca kişisel verilerin işlenme amaçlarına uygunluğu sağlanmalıdır.
Kişisel verilerin saklanması, sözleşme şartlarında aksi belirtilmedikçe, kişisel verilerin işlenme amaçlarının gerektirdiği süreden daha uzun olmamak üzere, kişisel verilerin konusunun belirlenmesine olanak tanıyan bir biçimde gerçekleştirilmelidir. İşlenen kişisel veriler, sözleşme şartlarında aksi belirtilmedikçe, işleme amaçlarına ulaşıldığında veya bu amaçlara ulaşma ihtiyacının ortadan kalkması durumunda imha edilmeye veya kişiliksizleştirmeye tabi tutulur.

3.2.5. Kişisel verilerin korunması organizasyonu

Koruma nesneleri

  • deneklerin kişisel verilerini içeren bilgiler;
  • deneklerin kişisel verilerini içeren bilgisayar ortamı;
  • kişisel veri bilgi sistemleri;
  • kişisel veri bilgi sistemlerinin elektronik veritabanlarında yer alan konuların kişisel verileri.
3.2.6. Kişisel verilerin düzenlenmesi ve güvenliğinin sağlanmasına yönelik tedbirler

Kişisel verilerin güvenliğini sağlamak için Yüklenici aşağıdaki önlemleri almalıdır:

  • Kişisel verileri yetkisiz veya kazara erişime, imhaya, değiştirmeye, engellemeye, kopyalamaya, sağlamaya, dağıtmaya ve ayrıca kişisel verilerle ilgili diğer yasa dışı eylemlere karşı korumak için gerekli yasal, organizasyonel ve teknik önlemler veya bunların benimsenmesini sağlayın.
  • Yüklenici çalışanlarının, Kişisel Verileri İfşa Etmeme Yükümlülüğünü imzaladıktan sonra Müşteri adına işlenen kişisel verilere erişiminin sağlanması, Müşterinin kişisel verilerin işlenmesi ve korunması prosedürüne ilişkin gerekliliklerinin incelenmesi, bu prosedürü düzenleyen yerel düzenlemeler kişisel verilerin korunmasını organize etmek ve sağlamak ve kişisel verilerin işlenmesine ilişkin prosedür konusunda eğitim almak.
  • Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğine yönelik tehditlerin belirlenmesi.
  • Kişisel verilerin korunmasına ilişkin gereklilikleri yerine getirmek için gerekli olan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamaya yönelik kurumsal ve teknik önlemlerin uygulanması; uygulanması, Hükümetin belirlediği kişisel veri güvenliği seviyelerini sağlar. Rusya Federasyonu.
  • Kişisel veri bilgi sistemi devreye alınmadan önce kişisel verilerin güvenliğinin sağlanmasına yönelik alınan tedbirlerin etkinliğinin değerlendirilmesi.
  • Kişisel verilerin bilgisayar depolama ortamının muhasebeleştirilmesi.
  • Kişisel verilere yetkisiz erişim olgularının tespiti ve tedbirlerin alınması.
  • Yetkisiz erişim nedeniyle değiştirilen veya yok edilen kişisel verilerin restorasyonu.
  • Kişisel veri bilgi sisteminde işlenen kişisel verilere erişime ilişkin kuralların oluşturulması ve ayrıca kişisel verilerle gerçekleştirilen tüm işlemlerin kişisel veri bilgi sisteminde kayıt altına alınmasının ve muhasebeleştirilmesinin sağlanması.
  • Kişisel verilerin güvenliğinin sağlanmasına yönelik alınan tedbirlerin ve kişisel veri bilgi sistemlerinin güvenlik düzeyinin takibi.
3.2.7. Kişisel verilerin imhası

Kişilerin kişisel verilerinin imhası yalnızca Yüklenici tarafından gerçekleştirilebilir:

  • Müşterinin ek yazılı talimatları üzerine;
  • Kişisel verilerin konusunun yasal talebi üzerine, Müşteriye zorunlu yazılı bildirimde bulunmak suretiyle;
  • Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
Kişilerin işlenmiş kişisel verilerinin imhası garanti edilmeli ve kişisel veri içeriğinin kişisel veri bilgi sisteminde veya bunları içeren ortamda geri yüklenmesinin imkansızlığı sağlanmalıdır.

3.2.8. Kişisel verilerin işlenmesinin sonlandırılması prosedürü

Kişisel verilerin işlenmesinin sona erdirilmesi şu şekilde gerçekleştirilir:

  • kişisel verilerin işlenmesine esas olan sözleşme ilişkisinin sona ermesi halinde;
  • Müşterinin ek yazılı talimatları üzerine;
  • Devlet düzenleyici otoritelerinin yazılı emriyle.
Kişisel verilerin işlenmesinin sona erdirildiği tüm durumlarda, veritabanlarının sonraki amacı, Müşteri tarafından kişisel veri tabanlarının sonraki amacına ilişkin yazılı bir bildirimin hazırlanmasıyla belirlenir.

4. TARAFLARIN HAK VE YÜKÜMLÜLÜKLERİ

4.1. Müşteri şunları taahhüt eder:

4.1.1. Kişisel verilerin konusu, kişisel verilerin işlenmesine ilişkin rızayı geri çekerse ve 27 Temmuz Federal Kanununun 6. maddesinin 1. bölümünün 2 - 11. paragraflarında, 10. maddesinin 2. bölümünde ve 11. maddesinin 2. bölümünde belirtilen gerekçeler yoksa , 2006 Sayı. 152-FZ “İşlenebilecek Kişisel Veriler Hakkında”
Kişisel veriler, konunun rızası olmadan, Yükleniciye, konunun kişisel verilerinin silinmesi veya kişiselleştirilmesine yönelik çalışmalar yapılması için yazılı bir emir göndermek.

4.1.2. Kişisel verilerin konusundan, 27 Temmuz 2006 tarihli ve 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanunun 14. Maddesinin 7. Bölümünde belirtilen bilgilerin veya konunun iyileştirilmesine ilişkin taleplerin sağlanması yönünde bir talep alınması üzerine Kişisel verilerin eksik, güncelliğini yitirmiş, hatalı, hukuka aykırı olarak elde edilmiş olması veya belirtilen işleme amacı için gerekli olmaması halinde, bunların engellenmesi veya yok edilmesi, Yükleniciye yazılı bir talimat göndermesi,
kişinin kişisel verileriyle bilgi sağlamak veya belirli eylemler gerçekleştirmek.

4.2. Yüklenici şunları taahhüt eder:

4.2.1. Kişisel verileri yasal olarak ve bu Talimatın şartlarına tam olarak uygun şekilde işleyin.

4.2.2. Müşterinin ilk yazılı talebi üzerine, kendisi adına işlenen kişisel veri tabanlarını talepte belirtilen şekilde aktarmak (iade etmek).

4.2.4. Kişisel veri sahiplerinin haklarının korunmasına ilişkin yetkili organın talebi üzerine, kişisel veri sahiplerinin kişisel verilerinin işlenmesine ilişkin bu Talimat çerçevesinde toplanan rızalarının alındığına veya kişisel verilerin işlenmesine izin veren 27 Temmuz 2006 tarihli ve 152-FZ sayılı "Kişisel Verilere Dair" Federal Kanunun 6. maddesinin 1. bölümünün 2 - 11. paragraflarında, 10. maddesinin 2. bölümünde ve 11. maddesinin 2. bölümünde belirtilen gerekçeler Kişinin izni olmadan veriler.

Bu bilgi, kişinin kişisel verileriyle ilgili herhangi bir eylem veya işlemdir: toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama, çıkarma, kullanma, aktarma, duyarsızlaştırma, engelleme, silme, imha.

Neden konu hakkında bilgi toplayıp analizine izin vermelisiniz?

Müşteri/hasta için

Bir vatandaşın sağlık durumuna ilişkin bilgiler, özel bir kişisel veri kategorisine aittir. Bölüm 2, Madde 4, Sanat'a göre. 10 152 Sayılı Federal Kanun, aşağıdaki amaçlarla gerçekleştirilmesi koşuluyla, bu tür bilgilerin konunun rızası olmadan işlenmesine izin verilir:

  • tanı koymak;
  • hastalığın önlenmesi;
  • tıbbi ve tıbbi-sosyal hizmetlerin sağlanması.

Bu kural, işlemenin Rusya Federasyonu mevzuatı uyarınca tıbbi gizliliği korumakla yükümlü profesyonel bir doktor tarafından gerçekleştirildiği durumlar için geçerlidir.

Bunun istisnası, rıza alınmasının mümkün olmadığı durumlardır. ancak hastanın yaşamını veya sağlığını korumak için gereklidir.

Bir kişi herhangi bir hizmeti kullanıyorsa - bir sözleşme yaparsa, kredi başvurusunda bulunursa - yani müşteri ise, onunla ilgili kişisel bilgiler de 152 sayılı Federal Kanun uyarınca işlenebilir.

Müşteri verileri aşağıdakiler için kullanılabilir:

  1. Danışmanlık, bilgi ve aracılık hizmetleri sağlamak.
  2. Müşteri ile bir sözleşmenin imzalanması ve yürütülmesi.
  3. İnsan kaynakları ve muhasebe hizmetlerini yürütmek.
  4. Rusya Federasyonu mevzuatı tarafından yasaklanmayan diğer işlemler.

Kuruluşun bir çalışanı için

İşverenin çalışanlarına hakkı vardır, bu Sanatta yer almaktadır. 22 152 Sayılı Federal Kanun. Kişisel verilerin kurumda işlenme amaçları:

  • Rusya Federasyonu Mevzuatı ve İşletme Şartı tarafından öngörülen vatandaşlarla yapılan sivil sözleşmelerin tescili.
  • Personel kayıtları, yasalara uygunluk ve iş ve medeni hukuk sözleşmeleri kapsamındaki yükümlülüklerin kaydı.
  • İş bulma, eğitim alma veya terfi etme, kayıt olma ve sosyal yardımlardan yararlanma konusunda yardım.
  • Çalışanın kişisel güvenliğinin ve mal güvenliğinin sağlanması.
  • Emeklilik sigortasına katkı paylarının hesaplanmasında vergi ve emeklilik mevzuatı gerekliliklerine uygunluk.
  • İstatistiklerin Çalışma, Vergi Kanunları ve federal yasalara uygun olarak oluşturulması.
  • Çalışanın yaptığı işin takibi.

(30 Aralık 2001 tarih ve 197-FZ tarihli “Rusya Federasyonu İş Kanunu”nun 86. Maddesi). “Özel” olarak sınıflandırılan bir çalışana ait kişisel bilgiler işveren tarafından işleme tabi değildir.

Kişisel verilerin işlenmesine ilişkin Rızanın geçerlilik süresi belirlenmelidir; bu, belirli bir tarih veya olay olabilir; örneğin, bir çalışanın işten çıkarılması veya rızasının geri çekilmesi.

Örnekler

Bankacılık sektörü

Banka "Finansal" Müşterinin kişisel verilerinin işlenme amacının bankacılık ve diğer işlemlerin yürütülmesi olması, içermek:

  1. Banka hesaplarının açılması ve bakımı.
  2. Fonların banka hesaplarına aktarılması.
  3. Bir banka hesabı açmadan bireylerden - bireylerden ve tüzel kişilerden fon transferi.
  4. Döviz alım satımı.
  5. Bir e-posta adresi de dahil olmak üzere danışmanlık ve bilgi hizmetleri sağlamak.

Tıbbi organizasyon

Tıbbi organizasyon "Sağlık". İşlemenin amacı:

  • Tıbbi bakımın organizasyonu.
  • Tercihli reçetelerin yayınlanması.
  • Zorunlu sağlık sigortası ve gönüllü sağlık sigortası sisteminde faturaların ödenmesi.
  • İstatistik ve araştırma çalışmaları için kullanın.
  • Test sonuçları, devam eden promosyonlar ve uzmanların çalışma programları hakkında SMS bildirimleri ile bilgilendirme.

Çözüm

Bir müşteri veya hastayla ilgili her şey ilk bakışta göründüğü kadar basit değildir. Aynı şekilde, rıza ve uyarı olmaksızın üçüncü kişilere devredilemez veya konunun kabul etmediği amaçlarla kullanılamaz. Bir kişi kişisel verilerinin sızdırıldığı gerçeğiyle karşı karşıya kalırsa, her zaman Roskomnadzor'a veya mahkemeye başvurabilir.

Sorunuzun cevabını bulamadınız mı? Anlamak, Sorununuzu tam olarak nasıl çözebilirsiniz - hemen arayın:

Sanatın 2. Bölümüne göre. 85 Rusya Federasyonu İş Kanunu çalışanların kişisel verilerinin işlenmesi - bu, çalışanın kişisel verilerinin alınması, saklanması, birleştirilmesi, aktarılması veya başka herhangi bir şekilde kullanılmasıdır.

Çalışanın kişisel verilerinin işlenmesi, münhasıran kanun ve diğer mevzuata uygunluğun sağlanması, çalışanın işe alım, eğitim ve terfisine yardımcı olmak, sermaye güvenliğinin sağlanması, yapılan işin miktar ve niteliğinin takibi amaçlarıyla gerçekleştirilebilecektir. mülkiyet güvenliğini gerçekleştirir ve sağlar (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. maddesi).

Sanatın 3. paragrafına göre. Federal Kanunun “Kişisel Verilere İlişkin” 3'ü, kişisel verilerin işlenmesi, toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma dahil olmak üzere kişisel verilerle yapılan eylemlerdir (işlemler). kişisel verilerin engellenmesi, yok edilmesi. Mevzuatta listelenen işlevsel işlemlerin sayısına bakılmaksızın, yasal düzenlemenin kişisel verilerin işlenmesinin tüm aşamalarını - alınmasından imhasına kadar - herhangi bir istisna veya muafiyet olmaksızın kapsaması gerektiği unutulmamalıdır.

Kişisel verilerin işlenmesine ilişkin ilkeler aşağıdakileri içermektedir:

  • işleme amaçlarının ve yöntemlerinin yasallığı ve adalet;
  • işleme amaçlarının, kişisel verileri toplarken önceden belirlenen ve belirtilen hedeflere ve ayrıca operatörün yetkilerine uygunluğu;
  • işlenen verilerin hacminin ve niteliğinin, işleme yöntemlerinin işlenme amaçlarına uygunluğu;
  • kişisel verilerin güvenilirliği, işlenme amaçları açısından yeterliliği, veri toplanırken belirtilen amaçlarla ilgisi olmayan kişisel verilerin işlenmesinin kabul edilemezliği;
  • Uyumsuz amaçlarla oluşturulan kişisel veri bilgi sistemleri veritabanlarının birleştirilmesinin kabul edilemezliği.

Bir çalışanın kişisel verilerinin işlenmesi, bu verilerin alınmasıyla başlar. Genel kural olarak tüm kişisel veriler çalışanın kendisinden alınmalıdır. İstisnai durumlarda, çalışanın kişisel verilerinin yalnızca üçüncü bir kişiden alınabileceği durumlarda, bu durumun çalışana önceden bildirilmesi ve kendisinden yazılı onay alınması gerekmektedir. İşveren, çalışanı, kişisel verilerin elde edilmesinin amaçları, amaçlanan kaynakları ve yöntemleri ile alınacak kişisel verilerin niteliği ve çalışanın bu verileri almaya yazılı onay vermeyi reddetmesinin sonuçları hakkında bilgilendirmekle yükümlüdür (Madde 3). Rusya Federasyonu İş Kanunu'nun 86. Maddesi). Ancak işverenin, çalışanın siyasi, dini ve diğer inançları ile özel hayatına ilişkin kişisel verilerini alma ve işleme hakkı yoktur (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 4. fıkrası). Ayrıca, işveren, çalışanın bir iş işlevini yerine getirme yeteneği konusuyla ilgili değilse, çalışanın sağlık durumu hakkında bilgi talep edemez (Rusya Federasyonu İş Kanunu'nun 88. Maddesi).

Rusya Federasyonu İş Kanunu, kişisel verilerin işveren tarafından işlenmesinin organizasyonu ve teknolojisine ilişkin belirli şartlar getirmektedir. Çalışanları ve temsilcilerini, çalışanların kişisel verilerinin işlenmesi prosedürünü belirleyen işveren belgelerini ve bu alandaki hak ve sorumluluklarını imza karşılığında bilgilendirme yükümlülüğü, uygun bir yerel düzenleyici yasal düzenlemenin geliştirilmesi ve benimsenmesi ihtiyacını varsayar. . Faaliyetin özelliklerine ve işverenin takdirine bağlı olarak böyle bir yasa, yönetmelik veya talimat olarak adlandırılabilir ve kural olarak aşağıdaki bölümleri içerir:

  • temel kavramlar ve hükümler;
  • çalışanların kişisel verilerinin işlenmesi;
  • çalışanların kişisel verilerinin oluşturulması;
  • çalışanların kişisel verilerinin kaydedilmesi, saklanması ve aktarılması;
  • Çalışanın kişisel verilerinin işlenmesi ve korunması alanındaki hak ve yükümlülükleri.

Böyle bir yerel düzenleyici yasal düzenleme, bir çalışanın kişisel verilerinin belirli bir işverendeki gizlilik rejimini (sınırlı erişim) belirler. Çalışanın kişisel verilerini alan işveren çalışanlarının, yalnızca iş tanımlarında değil aynı zamanda kendileriyle yapılan iş sözleşmelerinde de belirtilmesi gereken bu rejime uymaları gerekmektedir. Kişisel verilerin korunmasına ilişkin yönetmelik (talimat), belirli bir bireysel girişimci için bir çalışanın kişisel verilerinin belirli bir kuruluş içinde işlenmesi ve aktarılmasının özelliklerini yansıtan ana belgedir. Bu faaliyet kapsamında otomatik bir bileşen varsa, işverenin, yalnızca otomatik işlenmesi veya elektronik alınması sonucunda elde edilen kişisel verilere dayanarak çalışan hakkında karar verme hakkı yoktur (İş Kanunu'nun 86. maddesinin 6. fıkrası). Rusya Federasyonu). Bir işveren, kendi kuruluşunda çalışanların kişisel verilerinin korunmasına ilişkin bir hüküm benimsemekle sınırlı olamaz. Bununla birlikte, bu yerel yasanın varlığı zorunludur ve yokluğu, devlet iş müfettişliği tarafından iş mevzuatının ciddi bir ihlali olarak değerlendirilmektedir.

Bu ve teslim alma, işleme ve çalışanı düzenleyen kuralların diğer ihlalleri için işveren, failleri maddi ve disiplin sorumluluğuna, ilgili devlet organlarını ise hukuki, idari ve cezai sorumluluğa getirebilir.

Kanunların ve diğer düzenlemelerin uygulanması esas alınarak gerçekleştirilir.

Kişisel verilerin işlenmesi nedir? Bu süreç aşağıdaki adımları içerir:

Kişisel verilerle çalışmaya ilişkin yasal düzenleme, onlarla çalışmanın tüm süreç ve aşamalarını kapsamaktadır.

Hedef

Kişisel verilerin işlenmesi neden gereklidir? Bir çalışanın kişisel verilerinin işlenmesi, bunu kolaylaştırmak amacıyla işletme veya kuruluşta gerçekleştirilir.

Kişisel verilerin işlenmesinin temel amaçları:

  • iş bulmada;
  • ileri eğitim için bir eğitim kurumuna yerleştirme veya eğitim için;
  • emeğin korunması amacıyla;
  • kariyer fırsatlarının terfisi ve kontrolü için;
  • Yapılan işin miktarını ve kalitesini izlemek.

Mevzuat, bir çalışanın kişisel verilerinin yalnızca gelişimi ve yeteneklerinin ve deneyiminin uygun şekilde kullanılması amacıyla birikmesini ve iletilmesini sağlar. , çok işlevli hedefleri içerir.

Çalışanların kişisel verilerinin işlenmesinin amaçları arasında, çalışanın üretim sürecini organize etme koşullarındaki yeteneklerinin uygunluğunu belirleyen kişisel verilerin sentezi ve ilişkileri yoluyla kullanılması ve işlenmesi yer alır.

Kişisel verilerin işlenmesine ilişkin belirlenen ve belirtilen hedefler, çalışana bilgi verilmeden değiştirilemez.

Kim tarafından gerçekleştirildi?

Kişisel veriler, belirli bir hükümet ve diğer hizmet temsilcilerinin ilgisini çeken bir kişi hakkında temel bilgileri içeren bilgiler anlamına gelir.

Özellikle üretimde (bir kuruluşta), kişisel veriler, çalışanları hakkındaki bilgilere dayanarak üretimdeki işin organizasyonunu yöneten işvereni ilgilendirmektedir.

İşveren, çalışanın kayıtlarında bulunan her türlü kişisel veriyi talep etme hakkına sahiptir. Ona ek olarak, kişisel verilere erişim, operasyonel çalışmalar yürüten sınırlı bir kişi çemberine sahiptir. Kural olarak bunlar sekreterlik ve personel departmanı çalışanlarıdır.

Kişisel verilerle bilgilendirme faaliyeti yürüten operatör, belirlenen işe başlamadan önce talimatlara tabi tutulur. Kişisel verilerde yer alan bilgilerin ifşa edilmesini yasaklayan çalışma kuralları ve ilkeleri hakkında bilgi sahibi olur.

Listelenen çalışma türlerinin uygulanması, yalnızca bilgi toplamanın nedeni olan amaçları takip edebilir. Kişisel verilerin kötüye kullanılması veya açıklanması, sorumluluk gerektiren ağır bir ihlal olarak kabul edilir.

İhlaller

Daha önce de belirtildiği gibi, kişisel verilerin işlenmesindeki ihlaller şu şekilde değerlendirilmektedir:


İşletmecinin kişisel verilerle çalışması yetkili servisler tarafından sıkı kontrole tabi tutulmakta olup, eksikliklerden, kasıtsız veya kasıtlı ihlallerden işletmeci sorumlu tutulmaktadır.

Kişisel verilerin işlenmesi sırasındaki tüm izinsiz eylemler cezayla sonuçlanabilir: disiplin, idari ve bazı durumlarda cezai.

1 Temmuz 2017 tarihinde, Maddeyi değiştiren 02/07/2017 tarihli ve 13-FZ sayılı Federal Kanun yürürlüğe girmiştir. İdari Suçlar Kanunu'nun 13.11'i ve yasadışı faaliyetler için idari sorumluluğa getirilme gerekçeleri listesinin genişletilmesini ve para cezalarında önemli bir artış sağlanmasını sağlar.

Kişisel veri operatörünün 27 Temmuz 2006 tarih ve 152-FZ sayılı Federal Kanun gereklerine uymak için hazırlaması gereken zorunlu belgelerden biri, kişisel verilerin işlenmesine ilişkin Politika olarak adlandırılmakta ve şirketin nasıl çalıştığını açıklamaktadır; çalışanların, müşterilerin ve diğer bireylerin verileri. Bu dosya, kişisel veri toplamanın herhangi bir biçimine sahip olan hemen hemen tüm sitelerde ücretsiz olarak mevcuttur.

Kişisel Veri İşleme Politikası doğru şekilde nasıl hazırlanır, hangi bölümler içermelidir? Roskomnadzor bu konulara açıklık getiriyor.

Kişisel Veri İşleme Politikasının Yapısı

  • Genel Hükümler
  • Kişisel verilerin toplanma amaçları
  • Kişisel verilerin işlenmesinin hukuki dayanakları
  • İşlenen kişisel verilerin hacmi ve kategorileri, kişisel veri sahiplerinin kategorileri
  • Kişisel verilerin işlenmesine ilişkin usul ve koşullar
  • Kişisel verilerin güncellenmesi, düzeltilmesi, silinmesi ve yok edilmesi, kişilerin kişisel verilere erişim taleplerine yanıt verilmesi

1. Genel hedefler

Bu bölümde aslında Kişisel Veri İşleme Politikası nedir sorusunun cevabını bulacaksınız. Ayrıca belgede kullanılan temel kavramların yanı sıra operatörün hak ve yükümlülükleri ile kişisel verilerin konusu da açıklanmaktadır.

2. Kişisel verilerin toplanma amaçları

Sanat. 27 Temmuz 2006 tarih ve 152-FZ sayılı Federal Kanunun 5'i, veri toplamaya ilişkin belirli, meşru amaçların belirlenmesini gerektirir. Dolayısıyla bu amaçlara uygun olmayan kişisel verilerin işlenmesi mümkün değildir.

Roskomnadzor, kişisel verilerin işlenme amaçlarının şunları içerebileceğini belirtmektedir:

  • operatörün faaliyetlerini düzenleyen yasal düzenlemelerin analizinden;
  • operatör tarafından fiilen gerçekleştirilen faaliyetlerin amaçlarından;
  • operatörün kurucu belgeleri tarafından sağlanan faaliyetlerden;
  • operatörün belirli kişisel veri bilgi sistemlerindeki belirli iş süreçlerinden (operatörün yapısal bölümleri ve belirli kişisel veri sahibi kategorileriyle ilgili prosedürleri).

3. Kişisel Verilerin İşlenmesinin Hukuki Sebebi

27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanun, kişisel verilerin işlenmesinin yasal dayanağı değildir. Bu rol, operatörün verileri işlediği yasal düzenlemelerle yerine getirilir.

Bu nedenle, Veri İşleme Politikasında aşağıdaki yasal dayanaklar belirtilebilir: operatörün faaliyetleriyle ilgili ilişkileri düzenleyen, esas alınarak kabul edilen federal yasalar ve düzenleyici yasal düzenlemeler; operatörün yasal belgeleri; operatör ile kişisel verilerin konusu arasında yapılan anlaşmalar; kişisel verilerin işlenmesine izin vermek (doğrudan Rusya Federasyonu mevzuatı tarafından öngörülmeyen, ancak operatörün yetkilerine karşılık gelen durumlarda).

4. İşlenen kişisel verilerin hacmi ve kategorileri, kişisel veri sahiplerinin kategorileri

İşlenen kişisel veri miktarının belirtilen işleme amaçlarından sapmaması önemlidir.

Kişisel veri konularının kategorileri şunları içerebilir: hem mevcut hem de eski çalışanlar, açık pozisyon adayları, çalışanların akrabaları, müşteriler ve karşı taraflar (bireyler), müşterilerin ve karşı tarafların temsilcileri veya çalışanları.

Roskomnadzor, her konu kategorisi için ve belirli amaçlarla ilgili olarak işlenen tüm kişisel verilerin belirtilmesi gerektiğine dikkat çekiyor. Özel kategorilerdeki kişisel verilerin ve biyometrik kişisel verilerin (varsa) işlenmesine ilişkin tüm durumlar ayrı olarak açıklanmaktadır.

5. Kişisel verilerin işlenmesine ilişkin usul ve koşullar

Bu bölümde anlatılanlar:

  • kişisel verilerle gerçekleştirilen eylemlerin listesi;
  • kişisel verileri işleme yöntemleri;
  • kişisel verilerin işlenmesi şartları.

Operatörün kişisel verileri işleme hedeflerine ulaşmak için üçüncü taraflarla etkileşime girmesi durumunda:

  • kişisel verilerin üçüncü taraflara aktarılmasına ilişkin koşulları açıklamak (sınır ötesi veri aktarımı dahil);
  • üçüncü tarafların adını ve yerini belirtin;
  • veri aktarımının amacını ve hacmini belirtin;
  • işlenen kişisel verilerin korunmasına ilişkin gereklilikler de dahil olmak üzere işleme eylemlerini, yöntemlerini ve diğer işleme koşullarını listeler.

Operatör, kişisel verileri kanunun öngördüğü gerekçelerle soruşturma ve soruşturma organlarına ve diğer yetkili makamlara aktarma hakkına sahiptir.

Kişisel Veri İşleme Politikası, kişisel verilerin gizliliği gerekliliklerine uyum hakkında bilgi (bunlar 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanunun 7. Maddesinde belirtilmiştir) ve önlem alınmasına ilişkin bilgileri (Madde 2. Bölüm) içermelidir. 18.1, Madde 19'un 1. Bölümü).

Ayrıca operatör, kişisel verilerin işlenmesinin sona erdirilmesine ilişkin şartı da belirtmelidir. Bu, işleme hedeflerine ulaşılması, işleme rızasının sona ermesi, kişisel verilerin işlenmesine ilişkin rızanın geri çekilmesi, yasa dışı veri işlemenin tespiti olabilir.

Kişisel verilerin saklanması gibi bir konuya özellikle dikkat edilmelidir. Öncelikle sürelerin belirtilmesi gerekiyor. İkinci olarak, Rusya Federasyonu topraklarında bulunan veritabanları kullanılmaktadır. Üçüncüsü, depolamanın, kişisel verilerin konusunun, işleme amaçlarının gerektirdiği süreyi aşmayacak şekilde tanımlanmasına izin verecek bir biçimde yapılması gerektiği dikkate alınır. Dördüncüsü, otomasyon araçları kullanılmadan verilerin işlenmesi de dahil olmak üzere diğer depolama koşullarından bahsetmek gerekir.

6. Kişisel verilerin güncellenmesi, düzeltilmesi, silinmesi ve yok edilmesi, kişilerin kişisel verilere erişim taleplerine yanıt verilmesi

Sanat'a göre. 21 No. 152-FZ, kişisel verilerin yanlış olduğu teyit edilirse, kişisel veriler operatör tarafından güncellenmelidir. Aynı durum, işlemenin hukuka aykırılığının teyidi için de geçerlidir.

Kişisel veriler, işlenme amaçlarına ulaşıldığında ve kişisel verilerin konusunun işlenmesine ilişkin rızayı geri çekmesi durumunda, aşağıdaki durumlar haricinde imhaya tabidir: kişisel verilerin konusunun taraf, lehdar olduğu veya sözleşme tarafından aksi belirtilmedikçe garantör; aksi takdirde operatör ile kişisel verilerin konusu arasındaki başka bir sözleşmede öngörülmemiştir. Operatör, 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanun veya diğer federal kanunların öngördüğü gerekçelerle, kişisel verilerin konusunun rızası olmadan işlem yapma hakkına sahip değildir.

Sanat'a dayanarak. 20 operatör, talep üzerine kendisi tarafından gerçekleştirilen kişisel verilerin işlenmesi hakkında kişisel veri bilgilerinin konusunu bilgilendirmekle yükümlüdür.

Roskomnadzor, kişisel veri sahiplerinin, temsilcilerinin ve yetkili organlarının, verilerin yanlışlığı, işlenmesinin yasa dışı olması, rızanın geri çekilmesi ve verilere erişim ile ilgili talep ve itirazlarına yanıt verilmesine ilişkin düzenlemelerin Kişisel Veri İşleme Politikasına dahil edilmesini önerir. Politikaya uygun talep ve itiraz formlarının eklenmesi iyi bir fikir olacaktır.

Kişisel Veri İşleme Politikasının ofiste ve internet sitesinde yayınlanması

Şirket tarafından verileri işlenen her kişi, Kişisel Veri İşleme Politikasını tanıma hakkına sahiptir. Bu nedenle kamuya açık bir yerde yayınlanması gerekir. Örneğin bunun için bir bilgi standı kullanın.

Bir şirketin internet aracılığıyla kişisel veri toplaması halinde Politikayı internet sitesinde yayınlamak zorundadır. Bir site ziyaretçisi bağlantıya tıklayarak görebilir.

İşinizi etkileyen en önemli değişiklikleri öğrenmek için kanalımıza katılın.