Enhetligt register över personuppgifter. Registrering hos Roskomnadzor som personuppgiftsansvarig


Alla organisationers verksamhet involverar oundvikligen behandling av personuppgifter i ett informationssystem (ISPD). Varje företag som använder konfidentiell information om anställda, kunder, partners och andra individer måste registrera sig som personuppgiftsansvarig.

Rutin för lagring och skydd av personuppgifter

Att organisera skyddet av konfidentiell information sker i flera steg:

  • Undersökning inledande arbete om behandling av personuppgifter (revidering av det lokala regelverket, analys informationsflöden PD och ISPD i allmänhet, identifiera brister och hot mot informationssystemets säkerhet, lägga fram förslag för att rätta till brister, förbättra system för skydd av personuppgifter).
  • Utveckling av ett regelverk för skydd av personuppgifter. Detta skede omfattar klassificering av ISPD och registrering som personuppgiftsansvarig i Roskomnadzor.
  • Utformning av ett personuppgiftsskyddssystem - val av metoder, åtgärder och klasser av personuppgiftsskyddsmedel, utveckling teknisk dokumentation för skapandet av ett informationsskyddssystem, samt utvecklingen av specifika åtgärder för att skydda information i varje specifikt informationssystem.
  • Implementering av PDPD – driftsättning av PD-skyddssystem och konfigurering av befintliga ISPD-skyddssystem.
  • Bedömning av överensstämmelse med ISPD, inom ramen för vilken utvärderingstester av ISPD utförs och motsvarande certifikat utfärdas.

Registrering som personuppgiftsansvarig i Roskomnadzorregistret ingår i allmän process organisation av behandling och skydd av personuppgifter.

Stadier för att registrera en ISPDn-operatör i Roskomnadzor

Registrering av en ISPDn-operatör inkluderar följande steg:

  • Utveckling och antagande av ett regelverk för behandling och skydd av personuppgifter.
  • Fylla i anmälningsformuläret för avsikten att behandla personuppgifter på webbplatsen för Roskomnadzors territoriella organ.
  • Skicka ett meddelande till informationssystemet för det auktoriserade organet för skydd av rättigheter för personuppgiftsansvariga.
  • Skriv ut det ifyllda formuläret med underskrifter.
  • Skicka ett utskrivet anmälningsformulär till lämplig territoriellt organ Roskomnadzor på platsen för registrering av operatören.

Vi inbjuder dig att förbereda de dokument som krävs för registrering som personuppgiftsoperatör med hjälp av vår onlinetjänst. Denna sida innehåller lagar, instruktioner, föreskrifter, tidskrifter, meddelanden och andra dokument.

Används ofta med detta mönster:

  • Informationsbrev om att göra ändringar i uppgifter i registret över personuppgiftsansvariga
  • Samtycke att överföra personuppgifter till tredje part
  • Lista över personuppgifter som omfattas av skydd i ISPDn
  • Skydd av personuppgifter i utbildningsinstitutioner

Populära dokument och procedurer:

Registrering av en operatör av personuppgifter för internt bruk

punkt 4 - varje juridisk person måste göra detta. person eller enskild företagare, om det handlar om behandling av personuppgifter om anställda och kunder?

Vi är ett företag som har skapat och diskuterar ett system där personuppgifter om kundens kunder finns, en uppsättning av dessa dokument är inte lämpliga för oss, det är mer lämpligt när arbetsgivaren behandlar uppgifterna om sina anställda, men detsamma är inte helt sant.

Hallå! Jag har några frågor om att ställa in mallar. 1) Berätta för mig hur man ställer in ISPD-systemmallar för att klassificera systemet under nuvarande hot Typ 1 och behovet av att säkerställa den första säkerhetsnivån. Kommer de föreslagna mallarna i det här fallet att överensstämma med varandra? 2.) Är det möjligt att i förväg fylla i alla systemdokument (28 dokument) med de initialt inmatade uppgifterna (namn på juridisk person, kategori av personuppgifter), eller måste de anges varje gång när ett separat systemdokument fylls i ?

Vänligen ange vilken lägsta möjliga nivå av PD-säkerhet som kan skapas baserat på dina mallar? (vi är intresserade av att minimera kostnaderna för systemet. Personuppgifter om anställda och entreprenörer kommer att behandlas. Vi behandlar inga speciella kategorier av personuppgifter och biometriska uppgifter)

Hallå! Vi är intresserade av att använda mekanismen för att underhålla och registrera uppgifter som en del av våra anställdas arbetsuppgifter, genom att registrera ett konto (personligt konto) med den anställdes namn (användarnamn) och tillhandahålla en unik identifierare (inloggning) och lösenord för denna post , som rekommenderas i din mall för "Regler" för immateriella rättigheter", klausul 6.2. Samtidigt anger punkt 6.4 i nämnda immaterialrättsliga regler att alla adresser till företag E-post och alla inloggningar eller användarnamn i mjukvaruverktygen anges i ett särskilt internt dokument som godkänts av företagets generaldirektör, som uppdateras och uppmärksammas av alla anställda på företaget vid behov, dvs. uppgifterna lämnas ut till andra personer. Förklara följande frågor: 1.) om uppgifterna avser personuppgifter (och i så fall till vilken kategori), konto(personligt konto) med medarbetarens namn (användarnamn) och medarbetarens unika identifierare (inloggning) och lösenord i Operatörens interna system, medarbetarens e-postadress i Operatörens interna system? 2.) om sådana uppgifter hänför sig till personuppgifter, kommer det att finnas några specifika egenskaper för deras användning i dina ISPD-mallar (skulle detta medföra behov av att köpa kryptografiska medel skydd etc.)?

Hallå! Enligt lagen finns det inget behov av att meddela tillsynsmyndigheten vid behandling av personuppgifter som behandlas i enlighet med arbetslagstiftningen. Hur är det med kandidater som inte anställs? Deras data finns kvar, har vi rätt att lagra dem utan att meddela tillsynsmyndigheten? Till exempel om kandidaten inte klarade provanställningen (här finns ett uppenbart anställningsförhållande). Eller fick han till exempel inte ens göra provet? Vi behöver helt enkelt inte dessa uppgifter idag, men imorgon lägger vi upp en profil, bjöd in en person och anställde honom. Kommer detta att vara dispositionen av artikel 86 i arbetslagen i delen "behandling av en anställds personuppgifter kan utföras enbart i syfte att säkerställa efterlevnad av lagar och andra bestämmelser, hjälpa anställda att hitta anställning" och kan följaktligen utföras utan tillsynsmyndighetens vetskap?

Hallå. Är paketet med databehandlingsdokument utformat för anställda eller entreprenörer?

Behöver du fylla i dokument online eller efter nedladdning bara i WORD?

Hallå! Om du behandlar dina anställdas eller kunders personuppgifter är det absolut nödvändigt att skydda dem. Det är nödvändigt att utveckla den korrekta uppsättningen av lokala föreskrifter som presenteras i förfarandet, samt tillhandahålla tekniska åtgärder, om behandlingen utförs i ett automatiserat eller delvis automatiserat läge, och organisatoriska. Det enda undantaget gäller inlämnande av en anmälan till Roskomnadzor för registrering som personuppgiftsoperatör. Alla dessa undantag föreskrivs i artikel 22, punkt 2 i 152-FZ. De vanligaste undantagen är behandling av personuppgifter om anställda inom ramen för arbetslagstiftningen, behandling av kunders personuppgifter som en del av genomförandet av ett kontrakt (för att till exempel kunna leverera varor till en kund måste du vet hans adress, passuppgifter).

Hallå! Enligt punkt 2 i art. 3 i lag nr 152-FZ förstås en personuppgiftsoperatör i synnerhet som en juridisk person som självständigt eller tillsammans med andra personer organiserar och (eller) utför behandlingen av personuppgifter. Behandling av personuppgifter avser varje åtgärd (operation) eller uppsättning av åtgärder (operationer) som utförs med hjälp av automationsverktyg eller utan användning av sådana verktyg med personuppgifter, inklusive insamling, registrering, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), utvinning , användning, överföring (distribution, tillhandahållande, åtkomst), depersonalisering, blockering, radering, förstörelse av personuppgifter (Klausul 3 i artikel 3 i lag nr 152-FZ Således, om, när du utför arbete med att underhålla webbplatsen). , utför du någon eller en eller en kombination av de åtgärder som anges ovan - enligt lagen är du operatören av personuppgifter, med alla därpå följande ansvar. Lagen gör inga undantag för de operatörer som inte samlat in personuppgifter direkt från försökspersoner, utan fått personuppgifter från en annan operatör. Operatör – den som utför bearbetningen, d.v.s. varje person som utför minst en av de som anges i art. 3 federal lag nr 152 åtgärder med PD. Och i det här fallet rekommenderar vi att du följer proceduren: http://www..Tack för att du använder tjänsten!

Hallå! Du måste svara på frågorna i frågeformuläret till vänster på sidan - paket nödvändiga dokument kommer att genereras automatiskt. Om värdet som anges i något dokument är identiskt med ett annat dokument i det allmänna paketet, kommer det automatiskt att fyllas i i detta dokument. Dokumentmallar är lämpliga för att säkerställa den första nivån av personuppgiftssäkerhet. Vi uppmärksammar dig på att det förutom att utveckla dokumentation också är nödvändigt att utveckla och implementera tekniska skyddsåtgärder. Sammansättningen och innehållet av sådana "grundläggande" åtgärder definieras i FSTEC Order nr 21 daterad 18 februari 2013 "Om godkännande av sammansättningen och innehållet i organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter när de behandlas i informationssystem personliga uppgifter.” Tack för att du använder vår tjänst!

se svaret nedan

Hej! Personlig information är all information som gör att du kan identifiera enskild(i betydelsen av federal lag av den 27 juli 2006 N 152-FZ "Om personuppgifter"). I I detta fall, enskilda företags e-postadresser och inloggningar eller användarnamn är personuppgifter om anställda som är nödvändiga för arbetsgivaren i samband med anställningsförhållanden, vilket i sig inte medför detaljerna för att tillämpa en särskild skyddsordning (under förutsättning att de krav som fastställts av kapitel 14 i Ryska federationens arbetslag. Vi rekommenderar att du bekantar dig med proceduren som finns på länken: http://www.. Tack för att du använder vår tjänst!

Hallå. Arbetsgivaren har rätt att, utan att meddela Roskomnadzor, behandla personuppgifter om kandidater till tjänster, spara deras meritförteckningar, bilda både en pappers- och elektronisk databas över sökande, om de har sitt skriftliga medgivande. Denna slutsats grundas på att enligt punkt 1, del 2, art. 22 i den federala lagen av den 27 juli 2006 nr 152-FZ "Om personuppgifter", utan att meddela det auktoriserade organet, kan uppgifter som behandlas i enlighet med arbetslagstiftningen behandlas Personuppgifter om sökande kan lagras i databasen arbetsgivaren, om det ges skriftligt medgivande från kandidaten och tidsperioden för sådan lagring anges. När det gäller tidigare anställda (som de som inte klarade testet), anser vi att om Ryska federationens arbetslagstiftning eller andra lagar inte ålägger en skyldighet för arbetsgivaren att behandla tidigare anställdas uppgifter, bör sådan behandling vara utförs endast med anmälan av Roskomnadzor (såvida det inte finns andra skäl för att behandla personuppgifter utan att lämna in anmälningar, till exempel behandling av personuppgifter utan användning av automatiseringsverktyg). Vi rekommenderar att du klargör denna fråga med det auktoriserade organet. Tack för din förfrågan.

22 Artikel 152-FZ läst. Men eftersom vi inte inleder anställningsförhållanden med alla sökande vars personuppgifter vi samlar in (vi accepterar dem för testning eller åtminstone bjuder in dem till intervjuer) behöver Roskomnadzor ändå meddelas i detta fall

Hallå. Behandlingen av sökandes personuppgifter sker också inom ramen för arbetslagstiftningen. Enligt den fjärde skiljedomsdomstolens ståndpunkt ska den grund som anges i punkt 1 i del 2 i art. 22 i federal lag nr 152-FZ av den 27 juli 2006 "Om personuppgifter" gäller även för personalvalsaktiviteter (Resolution nr. 04AP-127/2018 daterad den 7 februari 2018 i mål nr A19-17054/2017). Detta beror på det faktum att arbetslagstiftningen inte bara regleras av Ryska federationens arbetskod utan också av andra förordningar. Således föreskriver federal lag nr 1032-1 av den 19 april 1991 "Om sysselsättning i Ryska federationen" att arbetsgivare främjar sysselsättningspolitik, särskilt genom anställning. Vi anser att sökandens skriftliga samtycke att lagra vissa av sina uppgifter under den period som anges i samtycket kommer att vara tillräckligt för att följa lagen på detta område. Det finns ingen anledning att meddela Roskomnadzor. Men för att undvika tvister rekommenderar vi att du klargör denna fråga med det auktoriserade organet. Tack för din förfrågan.

Tack! Jag läste domstolsbeslutet. Det är en knepig fråga. Detta domstolsbeslut tyder på att Roskomnadzors ståndpunkt är att underrätta, men Irkutsk Region Administration, tillsammans med överklagandet, ställde sig på den juridiska personens sida. Med tanke på Roskomnadzors välkända position är det okänt om AS i vår region kommer att ta vår sida. Därför skickade vi ett brev med en fråga.

Hallå. Tack för ditt svar. Det skulle vara intressant och användbart att se resultatet av ditt meddelande på vår diskussionssida. Med vänliga hälsningar, FreshDoc-företag.

Jag ska se till att skriva hur de svarar! Ditt råd hjälpte mig mycket med att utveckla en rättslig ståndpunkt i denna fråga)

Skrev. Vad tror du att de svarade? Ingenting! Det vill säga, naturligtvis, svarade de, men om ingenting. Kärnan i brevet handlar om att det är upp till dig att skicka in ett meddelande eller inte. Jag ville försäkra mig om att jag hade deras svar i händelse av verifiering, men det gick inte. Och att gömma oss bakom ett domstolsbeslut i en annan region.. Vi har ännu inte ett anglosaxiskt rättssystem, utan ett kontinentalt, och för mig är huvudslutsatsen från den resonerande delen av domstolsbeslutet Roskomnadzors vision, och kommer vår regionala domstol att stå på vår sida, som den stod i Irkutsk okänt

Hallå. Tack för ditt svar. Närvaron av ett svar från Roskomnadzor är inte ett garanterat skydd mot åtal. För domstolen är avdelningens uppfattning, vad den än må vara, inte heller avgörande. Vi rekommenderar att du bildar din egen motiverade uppfattning och, om möjligt, skaffar rättsliga beslut som är lämpliga för ärendet. Med vänliga hälsningar, FreshDoc-företag.

I vilket fall som helst, oavsett om det finns ett meddelande eller inte, måste alla operatörer följa kraven i artiklarna 18.1, 19 i federal lag nr 152 vid behandling av personuppgifter: utse en ansvarig person, utveckla och godkänna en policy och förordning om personuppgifter , etc. Dessutom genomför Roskomnadzor Schemalagda inspektioner i förhållande till alla operatörer, och inte bara i förhållande till de som ingår i Roskomnadzor-registret enligt Anmälan

Hallå. Ja, det är PD-operatörens ansvar att vidta nödvändiga och tillräckliga åtgärder för att säkerställa uppfyllandet av skyldigheterna enligt den federala lagen av den 27 juli 2006 nr 152-FZ "Om personuppgifter", oavsett dess närvaro/ frånvaro i operatörsregistret (sända en anmälan till Roskomnadzor). Samtidigt, för att uppfylla kraven i art. 22 federal lag av den 27 juli 2006 nr 152-FZ "Om personuppgifter", är operatören, innan behandlingen av personuppgifter påbörjas, skyldig att meddela Roskomnadzor sin avsikt att behandla personuppgifter, annars riskerar han böter enligt art. . 19.7 Koden för Ryska federationens administrativa brott.

Hallå. Utbudet av ämnen för personuppgifter fastställs i avsnitt 3 "Personuppgifter som behandlas i ISPD" i Föreskrifterna om behandling och skydd av personuppgifter, som ingår i dokumentpaketet och finns på länken https:// www.site/?oid=7086347. Den fastställer i synnerhet att uppgifterna om följande personer behandlas: anställda hos Operatören; aktieägare/grundare av operatören, personer associerade med anställda, aktieägare, grundare (barn för vilka underhållsbidrag betalas, fruar, etc.); kunder (konsumenter av operatörens tjänster); enskilda entreprenörer - operatörens motparter; kunder till organisationer, motparter till operatören (tjänst företagskunder). Det är också fastställt att denna lista kan komma att revideras. Tack för att du hörde av dig.

Du kan fylla i dokumenten direkt på hemsidan.

Om bara ett par dagar, den 1 juli 2017, träder ändringar som gjorts i lagen om administrativa överträdelser och skärpt ansvar för bristande efterlevnad (nedan kallad lag nr 152-FZ) i kraft. Det fanns tillräckligt med information om detta ämne; "Clerk" skrev också om det.

Men frågor kvarstår fortfarande.

Det känns som att det bara är uppståndelse kring detta ämne. Vad hände egentligen? I allmänhet har lagen inte ändrats. Ändringar gjordes endast i fråga om böter.

Nu enligt art. 13.11 i förvaltningskoden finns det bara en överträdelse med böter på 10 000 rubel för juridiska personer. Efter den 1 juli kommer det att finnas sju av dem och de totala böterna kan bli upp till 295 000 rubel.

Varför tar myndigheterna upp personuppgifter nu? Alla böter, som träder i kraft den 1 juli, är de vanligaste överträdelserna som Roskomnadzor har identifierat under de senaste fem åren.

En av huvudfrågorna: behöver verkligen alla sajter registrera sig som personuppgiftsoperatör hos Roskomnadzor?

Det visar sig inte. Det är möjligt att undvika detta behov. Men som? Data som kommer från användare ska behandlas på basen Användaravtal. Underklausul 2 i klausul 2 i artikel 22 i lag nr 152-FZ innehåller följande.

Vi citerar:

"...2. Operatören har rätt att behandla personuppgifter utan att meddela det auktoriserade organet för skydd av personuppgiftspersoners rättigheter:

…2) som tas emot av operatören i samband med ingående av ett avtal i vilket föremålet för personuppgifter är part, om personuppgifter inte distribueras, och inte lämnas till tredje part utan samtycke från föremålet för personuppgifter och används av operatören endast för genomförandet av det angivna avtalet och ingående av avtal med föremålet för personuppgifter."

Om en organisations eller individs webbplats har ett formulär för insamling av besöksdata - till exempel ett formulär respons, en rad för att prenumerera på nyhetsbrevet, registrera eller Personligt område, anses detta som behandling av personuppgifter.

Hur man organiserar behandlingen av personalens personuppgifter. Register över personuppgiftsoperatörer för Roskomnadzor. Hur man får en anställds samtycke till behandlingen av hans personuppgifter.

Fråga:Är det kommunala enhetsföretaget skyldigt att registrera sig i Roskomnadzors register över personuppgiftsoperatörer, samt utveckla en uppsättning dokument om skydd av personuppgifter?

Svar: Ja, ett kommunalt enhetsföretag är skyldigt att registrera sig i registret över personuppgiftsansvariga, samt ta fram en uppsättning dokument om skydd av personuppgifter om det kommunala enhetsföretaget anställer anställda och det kommunala enhetsföretaget behandlar deras personuppgifter eller kommunalt enhetligt företag behandlar personuppgifter från olika individer (kunder, partners).

Logisk grund

Hur man organiserar behandlingen av anställdas personuppgifter

Begreppet personuppgifter

Vilka personuppgifter om en anställd har organisationen rätt att få?

Offentliga personuppgifter

Fråga från praktiken: vilka personuppgifter som anses vara offentliga

Offentlig information är allmänt känd information och annan information till vilken tillgången inte är begränsad. Sådan information kan användas av alla personer efter eget gottfinnande, med förbehåll för laglig efterlevnad. fastställda restriktioner för dess distribution. Detta anges i paragraferna, artikel 7 i lagen av den 27 juli 2006 nr 149-FZ.

Offentliga personuppgifter är uppgifter som personuppgiftssubjektet har gjort tillgängliga som sådana. Offentliga personuppgifter kan innefatta information tillgänglig för ett obegränsat antal personer (till exempel data från öppna kataloger, adressböcker och så vidare.).

Eftersom vem som helst har tillgång till dem kräver de inte längre någon speciell säkerhet.

Vid bearbetning av sådana uppgifter behöver operatören inte anmäla det auktoriserade organet för skydd av rättigheterna för personuppgiftspersoner (klausul 4, del 2, artikel 22 i lagen av den 27 juli 2006 nr 152-FZ).

Samtycke till behandling av personuppgifter

Hur man får en anställds samtycke till behandlingen av hans personuppgifter

Under sin verksamhet behöver arbetsgivaren behandla anställdas personuppgifter. Behandlingen av sådana uppgifter, med undantag för vissa fall, sker endast med skriftligt medgivande från anställda. I detta fall måste samtycket innehålla följande information:

  • efternamn, förnamn, patronym, anställds adress, uppgifter om passet (ett annat dokument som styrker hans identitet), inklusive information om datumet för utfärdandet av dokumentet och den utfärdande myndigheten;
  • namn eller efternamn, förnamn, patronym och adress till arbetsgivaren (operatören) som får arbetstagarens samtycke;
  • syftet med att behandla personuppgifter;
  • lista över personuppgifter för behandlingen av vilka samtycke ges;
  • namn eller efternamn, förnamn, patronym och adress till den person som behandlar personuppgifter för arbetsgivarens räkning, om behandlingen kommer att anförtros en sådan person;
  • lista över åtgärder med personuppgifter för vilka samtycke ges, allmän beskrivning metoder som används av arbetsgivaren för att behandla personuppgifter;
  • den period under vilken den anställdes samtycke är giltigt, såväl som metoden för dess återkallande, om inte annat fastställs av federal lag;
  • den anställdes underskrift.

Sådana krav fastställs i del 4

Om en anställd är arbetsoförmögen, ges skriftligt samtycke till behandlingen av hans personuppgifter av hans juridiska ombud: förälder, vårdnadshavare (del 6 av artikel 9 i lagen av den 27 juli 2006 nr 152-FZ).

En anställd kan när som helst återkalla samtycke till behandlingen av hans personuppgifter genom att skicka feedback till arbetsgivaren i valfri form. I en sådan situation har organisationen rätt att fortsätta att behandla personuppgifter utan samtycke från den anställde, med beaktande av de begränsningar som anges i punkterna 2-11 i del 1 i artikel 6, del 2 i artikel 10 och del 2 i artikel 11 i lagen av den 27 juli 2006 nr 152-FZ, till exempel för att skipa rättvisa eller skydda den anställdes liv (hälsa). Detta anges i del 2 av artikel 9 i lagen av den 27 juli 2006 nr 152-FZ.

Det bör noteras att om en tvist uppstår åvilar skyldigheten att bevisa att arbetstagarens samtycke till behandlingen av hans personuppgifter har erhållits på arbetsgivaren (del 3 av artikel 9 i lagen av den 27 juli 2006 nr 152). -F Z).

Med samtycke från den anställde har organisationen också rätt att anförtro behandlingen av personuppgifter till en annan person (del 3 av artikel 6 i lagen av den 27 juli 2006 nr 152-FZ). I det här fallet kommer arbetsgivaren att fortsätta att vara ansvarig gentemot den anställde för den angivna personens handlingar, och den person som behandlar personuppgifter på uppdrag av arbetsgivaren kommer att vara ansvarig direkt gentemot arbetsgivaren (del 5 av artikel 6 i lagen om 27 juli 2006 nr 152 – Federal Law).

Det bör noteras att arbetsgivaren måste inhämta samtycke till behandling av personuppgifter inte bara från anställda, det vill säga personer som han har ett anställningsförhållande med, utan även från sökande, samt från personer med vilka civilrättsliga avtal har ingåtts. ingås i organisationen. Detta anges i punkt 5 i förtydligandena av Roskomnadzor daterat den 14 december 2012.

Universellt samtycke

Fråga från praktiken:Är det möjligt att vid ingående av ett anställningsavtal få skriftligt medgivande från den anställde att lämna ut sina personuppgifter till tredje part i alla nödvändiga situationer före uppsägning?

Nej det kan du inte.

För att överföra anställdas data till tredje part måste organisationen inhämta skriftligt medgivande från denna anställd. Utan skriftligt medgivande från den anställde kan hans personuppgifter överföras till tredje part när detta är nödvändigt för att förhindra ett hot mot den anställdes liv och hälsa, och i andra fall enligt federala lagar. Sådana regler fastställs av del 1 i artikel 88 i Ryska federationens arbetslag.

Den ryska federationens arbetskod innehåller inga krav på innehållet i skriftligt samtycke för överföring av data. Men, punkt 1 i artikel 9 i lagen av den 27 juli 2006 nr 152-FZ fastställer att samtycke till behandling av personuppgifter måste vara specifikt, informerat och medvetet. Av detta följer att organisationen måste begära skriftligt samtycke från den anställde för varje fall av överföring av dennes personuppgifter till tredje part. Endast under sådana förhållanden kan kravet på specificitet och informerat samtycke anses uppfyllt. Listan över information som måste ingå i skriftligt samtycke till överföring av personuppgifter fastställs i punkt 4 i artikel 9 i lagen av den 27 juli 2006 nr 152-FZ.

Behandling av utövande personuppgifter enligt GPA

Fråga från praktiken:Är det nödvändigt att erhålla skriftligt samtycke för behandling av personuppgifter från medborgare med vilka civilrättsliga avtal har slutits?

Ja, i allmänhet är det nödvändigt, på samma sätt som med heltidsanställda.

Behandling av personuppgifter är endast möjlig med skriftligt samtycke från föremålet för personuppgifter, med undantag för vissa fall då sådan behandling är möjlig utan deras samtycke (). Samtidigt kan ämnena för personuppgifter vara både anställda som arbetar under ett anställningsavtal och medborgare som organisationen har ingått civilrättsliga avtal med.

En organisation i allmänhet måste således inhämta samtycke till behandling av personuppgifter, inklusive medborgare med vilka civilrättsliga avtal har slutits, för att utesluta eventuella tvister om obehörig överföring av uppgifter utanför räckvidden av villkoren i det civilrättsliga avtalet.

Den utövande konstnärens vägran att ge sådant samtycke är inte ett hinder för att ingå ett civilrättsligt avtal.

Databehandling utan samtycke

I vilka fall krävs inte arbetstagarens samtycke att överföra personuppgifter?

I vissa fall är behandling av personuppgifter möjlig utan samtycke från den anställde. Till exempel, om behandlingen av personuppgifter är nödvändig för att uppfylla ett avtal som ingåtts med en anställd eller för att uppnå de mål som föreskrivs i lag för genomförandet och fullgörandet av de funktioner, befogenheter och ansvar som tilldelats operatören enligt rysk lagstiftning , kan det utföras utan samtycke från den anställde - föremål för personuppgifter. Detta anges i lagen av den 27 juli 2006 nr 152-FZ.

Sådana fall inkluderar överföring av information till:

  • Ryska federationens pensionsfond ();
  • skattemyndigheter ();
  • militära kommissarier ();
  • andra organ, när skyldigheten att överföra information till dem om den anställdes personuppgifter tilldelas arbetsgivaren enligt lag eller är nödvändig för att uppnå de mål som fastställts i lag (till exempel domstolar, åklagarmyndigheter etc.).

Dessutom krävs inte samtycke i följande fall:

  • skyldigheten att behandla föreskrivs i lag, inklusive publicering och publicering av personaluppgifter om anställda på Internet (till exempel lag av den 21 november 2011 nr 323-FZ, lag av den 9 februari 2009 nr 8-FZ och ett antal andra akter).
  • personuppgifter om nära släktingar till den anställde behandlas i den utsträckning som det personliga kortet föreskriver (enligt den enhetliga blanketten nr T-2 eller en självständigt utvecklad blankett), såväl som i fall av att ta emot underhållsbidrag, behandla sociala förmåner och tillgång till statshemligheter;
  • bearbetning av information om den anställdes hälsotillstånd relaterar till frågan om hans förmåga att utföra sin arbetsfunktion;
  • databehandling är relaterad till den anställdes prestation jobbansvar, inklusive under hans affärsresa;
  • behandlingen av personuppgifter utförs vid utförande åtkomstkontroll till territoriet för arbetsgivarens kontorsbyggnader och lokaler, förutsatt att organisationen av tillträdeskontroll utförs av arbetsgivaren självständigt.

Om det lokala dokumentet ger alternativ för uppgörelser med anställda eller i allmänhet det här ögonblicket inte är registrerad, så har anställda rätt att självständigt bestämma om de ska få sin lön via kassa eller på bankkort. Och om arbetsgivaren beslutar att överföra löner till bankkort för alla anställda, bör varje anställd uppmanas att samtycka till behandlingen av personuppgifter och deras överföring till en tredje part - banken. I en sådan situation har anställda rätt att inte ge samtycke, och arbetsgivaren, i avsaknad av sådant samtycke, kommer inte att kunna fortsätta att behandla uppgifterna och överföra till banken information om de anställda som vägrat.

Mer om ämnet:Är det nödvändigt att erhålla medarbetarnas samtycke igen för behandling av personuppgifter när man byter bank för att överföra löner?

Fråga från praktiken:Är det nödvändigt att inhämta medarbetarnas samtycke för behandling av personuppgifter igen när man byter bank för att överföra löner?

Nej, det är inte nödvändigt, förutsatt att de befintliga samtyckena inte angav den specifika bank som uppgifterna lämnades till. Om det tidigare medgivandet har upprättats för en specifik bank, måste arbetsgivaren inhämta ett nytt samtycke för generella regler ().

Dessutom finns det inget behov av att inhämta samtycke om organisationens lokala dokument föreskriver utbetalning av lön specifikt för bankkort och den anställde, vid anställningen eller under arbetets gång, blev bekant med dessa dokument (del 2 av artikel 9 i lagen av den 27 juli 2006 nr 152-FZ). Se detaljer.

Roskomnadzor anmälan

Hur man underrättar tillsynsmyndigheten om påbörjande av behandling av personuppgifter om anställda

Innan han behandlar personuppgifter om anställda måste arbetsgivaren meddela Roskomnadzors territoriella organ om avsikten att utföra behandling. Undantagen är fall av behandling av personuppgifter:

  • behandlas i enlighet med arbetslagstiftningen;
  • offentliggörs av anställda;
  • som tas emot av organisationen i samband med ingående av ett avtal som arbetstagaren är part i (förutsatt att personuppgifter inte distribueras eller lämnas till tredje part utan arbetstagarens samtycke och används av arbetsgivaren enbart för genomförandet av det angivna avtalet och ingående av andra avtal med den anställde);
  • relaterade till medlemmar (deltagare) i en offentlig sammanslutning eller religiös organisation;
  • inklusive endast efternamn, förnamn och patronymer för anställda;
  • nödvändig för en anställds engångsinresa på arbetsgivarens territorium och för andra liknande ändamål;
  • ingår i informationssystem för personuppgifter som, i enlighet med federala lagar, har status som statliga automatiserade informationssystem, såväl som i statliga informationssystem för personuppgifter skapade för att skydda statens säkerhet och allmän ordning;
  • behandlas utan användning av automatiseringsverktyg i enlighet med rättsakter som fastställer krav för att säkerställa säkerheten för personuppgifter under behandlingen av dem och för att respektera de personuppgiftsansvarigas rättigheter;
  • behandlas i ärenden som föreskrivs i rysk lagstiftning om transportsäkerhet.

Vid upphörande av behandling av personuppgifter är arbetsgivaren även skyldig att meddela det behöriga organet om detta. Detta ska göras inom tio arbetsdagar från datumet för upphörande av databehandlingen. Standardformuläret för meddelande om uppsägning av databehandling har inte godkänts, så arbetsgivaren kan upprätta det i valfri form ().

Fråga från praktiken: vad som ska förstås med behandling av anställdas personuppgifter

Skydd av personlig information

Hur man organiserar skyddet av personuppgifter för anställda i en organisation

För att förhindra avslöjande av personuppgifter, skapa pålitligt system deras skydd. Förfarandet för att ta emot, bearbeta, överföra och lagra sådan information är fastställt i en lokal handling från organisationen, till exempel i (artikel, Ryska federationens arbetslag,). Bestämmelserna godkänns av organisationens chef. Bekanta dig med organisationens underskrift Detta anges i del 1 i artikel 86 i Rysslands arbetslag.

Organisationen måste också utse en person som är ansvarig för att arbeta med personuppgifter (del 5 i artikel 88 i Ryska federationens arbetslag). Som regel är en sådan anställd en personaltjänstanställd, eftersom det är han som oftast stöter på personuppgifter om anställda under sitt arbete. Utse ansvarig för att arbeta med personuppgifter genom beställning i valfri form.

Särskilda åtgärder för att säkerställa säkerheten för anställdas personuppgifter under deras behandling föreskrivs i lagen av den 27 juli 2006 nr 152-FZ och de godkända kraven. Utifrån dem kan organisationen utveckla sin egen eget system skydd av personuppgifter.

Vid behandling av personuppgifter i ett informationssystem är det således nödvändigt att säkerställa skyddet och säkerheten för personuppgifter. Samtidigt är ett hot mot säkerheten för personuppgifter en uppsättning villkor och faktorer som skapar faran för obehörig (inklusive oavsiktlig) tillgång till personuppgifter under deras behandling i systemet, vilket kan resultera i:

  • förstörelse;
  • förändra;
  • blockering;
  • kopiering;
  • tillhandahållande;
  • spridning;
  • andra olagliga handlingar med personuppgifter.

Det bör noteras att valet specifika medel informationsskydd för informationssystemet för behandling av personuppgifter utförs av arbetsgivaren i enlighet med bestämmelserna från Rysslands FSB och Rysslands FSTEC. Fastställande av typen av hot mot säkerheten för personuppgifter som är relevanta för systemet för behandling och skydd av personuppgifter görs med hänsyn till bedömningen av möjlig skada och i enlighet med föreskrifterna från nämnda organ (klausul , Krav godkända genom förordning av Ryska federationens regering den 1 november 2012 nr 1119).

Vid behandling av personuppgifter i system kan fyra säkerhetsnivåer fastställas beroende på vilken kategori av uppgifter och antalet anställda som systemet innehåller information om. Beroende på säkerhetsnivån bör arbetsgivaren vidta olika åtgärder för att skydda system för behandling av personuppgifter enligt punkterna 13-16 i de krav som godkänts av dekret från Ryska federationens regering av 1 november 2012 nr 1119. Till exempel upprättande av en regim för att säkerställa säkerheten i lokaler där personuppgifter finns, utse personer som ansvarar för att säkerställa säkerheten för personuppgifter i informationssystemet etc. Särskilda krav på de angivna åtgärderna för att säkerställa säkerheten för personuppgifter under deras bearbetning fastställs av sammansättningen och innehållet i organisatoriska och tekniska åtgärder som godkänts genom order från FSTEC i Ryssland av den 18 februari 2013 nr 21.

För att kontrollera säkerheten för personuppgifter under behandlingen av dem utför arbetsgivaren eller en person som är auktoriserad av honom minst en gång vart tredje år, vars specifika tidpunkt bestäms av arbetsgivaren självständigt. Vid behov kan organisationer eller enskilda företagare som har tillstånd att bedriva verksamhet vara med och genomföra en besiktning på avtalsbasis. tekniskt skydd konfidentiell information (klausul 17 i kraven godkända genom dekret från Ryska federationens regering av 1 november 2012 nr 1119).

Uttalande om personuppgifter

Fråga från praktiken:Är förordningen om arbete med anställdas personuppgifter ett obligatoriskt dokument?

Ja det är det.

Förfarandet för att lagra, behandla och använda personliga uppgifter om anställda fastställs av arbetsgivaren, med hänsyn till kraven i Ryska federationens arbetslagstiftning och andra federala lagar (). Detta innebär att arbetsgivaren självständigt måste bestämma förfarandet för sådan behandling och slå fast det i en lokal lag, i synnerhet föreskrifterna om att arbeta med personuppgifter om anställda. Alla anställda i organisationen, när de anställs, måste bekanta sig med bestämmelserna för underskrift (del 3 av artikel 68 i Rysslands arbetslagstiftning).

Baserat på ovanstående följer att föreskrifterna om arbete med personuppgifter är ett obligatoriskt dokument från organisationen, och dess frånvaro medför administrativt ansvar (). Domstolarna pekar också på detta (se t.ex. resolutionen från den federala antimonopoltjänsten i Moskvadistriktet daterad den 26 oktober 2006 nr KA-A40/10220-06).

Ett exempel på utformningen av Regelverket om arbete med personuppgifter om anställda

Organisationschefen godkände föreskrifterna om arbete med anställdas personuppgifter.

Det finns ingen personaltjänst i organisationen. Organisationens revisor V.N utsågs till ansvarig för att föra personalboken. Zaitseva.

Fråga från praktiken: hur man skyddar personlig information som finns i datorbas data

Att förebygga obehörig åtkomst för personuppgifter som finns i en datoriserad databas, fastställa i föreskrifterna ett förfarande för att skydda sådan information. Ju högre risk för obehörig åtkomst till personuppgifter är, desto fler åtgärder måste vidtas för att skydda sådan information. Till exempel kan en organisation införa ett system med individuella lösenord som kommer att ändras med vissa intervall, begränsa anställdas åtkomst till datorer på vilka personuppgifter lagras och lagra diskar och disketter med sådan information i låsta skåp.

Behandlingen av personuppgifter i informationssystemet måste utföras i enlighet med bestämmelserna i punkterna 8–16 i de krav som godkänts av dekret från Ryska federationens regering av 1 november 2012 nr 1119.

En organisation kan säkerställa skyddet av personuppgifter både oberoende och med inblandning av tredjepartsorganisationer som har tillstånd att utföra aktiviteter för att skydda konfidentiell information. Sådana förtydliganden ges i punkt 17 i de krav som godkänts genom dekret från Ryska federationens regering av 1 november 2012 nr 1119.

Fråga från praktiken:Är det möjligt för icke-HR-anställda att ges rätt att få tillgång till andra anställdas personuppgifter?

Ja, det kan du om anställda behöver tillgång till sådan information för att utföra vissa jobbfunktioner.

Endast särskilt auktoriserade personer som behöver sådan åtkomst för att utföra specifika funktioner kan ha tillgång till personalens personuppgifter. Detta anges i Ryska federationens arbetslagstiftning.

Som regel, på grund av den specifika karaktären av deras verksamhet, bör anställda ha tillgång till personuppgifter:

  • personaltjänstanställda;
  • personal på ekonomiavdelning;
  • vd och vid behov hans ställföreträdare;
  • prefekter och närmaste chefer.

Samtidigt var och en av angivna kategorier anställda ställer in sin egen åtkomstnivå. Till exempel kan redovisningsanställda ges tillgång till vissa av de anställdas adressuppgifter och deras civilstånd, avdelningschefer - när det gäller personlig information uteslutande om sina underordnade.

Åtkomstnivåerna för vissa personer, såväl som det specifika förfarandet för överföring av personuppgifter om anställda inom organisationen måste föreskrivas i dess lokala dokument, till exempel i förordningarna om skydd av personuppgifter om anställda (punkt 5 i artikel 88) i Ryska federationens arbetslag). Behöriga personer måste känna till bestämmelserna i dokumentet och varnas för sina rättigheter och skyldigheter, samt ansvar för att använda information för andra ändamål ().

Råd: Villkoren för att lägga ut personuppgifter om anställda på företagets webbplats framgår av Regelverket om arbete med personuppgifter. Gör samtidigt en bilaga till den, där du anger en lista över anställda som samtycker (eller inte håller med) om att personuppgifter publiceras. Därmed kommer kravet att uppfyllas, och organisationen kommer att kunna lägga upp personuppgifter om anställda som samtycker till en sådan placering på företagets webbplats.

För att säkerställa sina anställdas rättigheter är organisationen och dess representanter, när de behandlar personuppgifter, skyldiga att följa de krav som regleras av den ryska federationens arbetskod. Personer som gör sig skyldiga till brott mot reglerna för skydd av personuppgifter är föremål för administrativt och straffrättsligt ansvar (). Eller de kan avskedas med formuleringen "för att avslöja en annan anställds personuppgifter på grundval av stycket "c" i punkt 6 i del 1 av artikel 81 i Ryska federationens arbetslagstiftning."

Fråga från praktiken: har chefen för en strukturell enhet rätt att kräva av redovisningsavdelningen att månadsvis lämna information om upplupna löner för anställda som är underställda honom

Information om belopp som tillfallit anställda avser personuppgifter (klausul 1, artikel 3 i lag nr 152-FZ av den 27 juli 2006). Den närmaste arbetsledaren kan begära dem om lämpligt tillstånd fastställs i en lokal lag och den anställdes samtycke till behandlingen av hans personuppgifter har erhållits.

Samtidigt innehåller bemanningstabellen information om löner och bonusar för anställda. Personalbordär ett lokalt dokument från organisationen och hänför sig inte till personuppgifter. Chefen för en strukturell enhet kan vid behov kontakta det här dokumentet, om tillhandahållet arbetsbeskrivning ledare eller lokal akt i organisationen. Detta kommer att tillåta honom att få nödvändig information utan att kontakta ekonomiavdelningen.

Vägran att behandla uppgifter

Fråga från praktiken: vad man ska göra om en person vägrar att samtycka till behandlingen av sina personuppgifter

Organisationen har rätt att fortsätta att behandla en persons personuppgifter utan dennes samtycke om det finns vissa skäl. Samtidigt är volymen av sådan bearbetning ganska stor och gör att organisationen kan utföra aktuella aktiviteter utan avbrott.

I synnerhet får arbetsgivaren inte kräva samtycke till behandling av personuppgifter från sökande för att ingå ett anställnings- och civilrättsligt avtal, skicka personliga rapporter till myndigheterna i Ryska federationens pensionsfond, skatteredovisning i Rysslands federala skattetjänst, information om de som är ansvariga för militärtjänstgöring i militärkommissariat, såväl som för lagring av dokument med personuppgifter, inklusive anställnings- och civila kontrakt, personliga kort, personliga angelägenheter etc. Det vill säga när arbetsgivaren fullgör de uppgifter som enligt lag ålagts honom.

Sådana regler fastställs i punkterna 2-11 i del 1 i artikel 6, del 2 i artikel 10 och del 2 i artikel 11 i lagen av den 27 juli 2006 nr 152-FZ.

För att utföra alla andra åtgärder måste organisationen inhämta personens samtycke för att behandla hans personuppgifter (del 4 av artikel 9 i lagen av den 27 juli 2006 nr 152-FZ).

Uppmärksamhet: nuvarande lagstiftande församling inte förpliktar en person att ge samtycke till behandling av personuppgifter, därför kan vägran från hans sida inte betraktas som en kränkning och skäl för vägran att ingå ett avtal. En personalanställd kan inte heller avskedas eller utsättas för andra disciplinära åtgärder för att vägra ge samtycke till behandling av personuppgifter.

Fråga från praktiken: vad man ska göra om en anställd vägrar att lämna personuppgifter om familjemedlemmar för att fylla i personaldokument

Depersonalisering av personuppgifter avser handlingar som ett resultat av vilka det blir omöjligt utan användning ytterligare information bestämma äganderätten till personuppgifter till en specifik person ().

Om det är nödvändigt att avpersonalisera personuppgifter godkänner organisationscheferna:

  • regler för att arbeta med anonymiserad data;
  • lista över befattningar för anställda som ansvarar för att utföra åtgärder för att anonymisera behandlade personuppgifter.

Sådana regler föreskrivs i stycket "b" i punkt 1 i listan som godkändes genom dekret från Ryska federationens regering av den 21 mars 2012 nr 211.

Specifika krav och metoder för att avpersonalisera personuppgifter som behandlas i informationssystem fastställs i de krav och metoder som godkänts av Roskomnadzor Order nr 996 daterad 5 september 2013.

Huvudkravet för avpersonalisering av personuppgifter är att säkerställa inte bara skydd mot obehörig användning, utan också möjligheten till behandling av dem. För att göra detta måste anonymiserad data ha egenskaper som bevarar de grundläggande egenskaperna hos anonymiserade personuppgifter. Sådana egenskaper inkluderar i synnerhet:

  • fullständighet, det vill säga bevarande av all information om specifika personer eller grupper av människor som var tillgänglig före avpersonaliseringen;
  • struktureradhet, det vill säga bevarande av strukturella kopplingar mellan anonymiserade data specifik person eller grupper av människor som fanns före avpersonaliseringen;
  • tillämplighet, det vill säga förmågan att lösa problem med att behandla personuppgifter utan att först avpersonalisera hela mängden register om människor;
  • anonymitet, det vill säga omöjligheten att entydigt identifiera registrerade personer som erhållits till följd av depersonalisering, utan användning av ytterligare information.

Huvudkraven för metoder för att anonymisera personuppgifter är:

  • säkerställa de nödvändiga egenskaperna hos anonymiserade data;
  • överensstämmelse med kraven för metodernas egenskaper;
  • implementering av metoder i olika program;
  • lösa de tilldelade uppgifterna att behandla personuppgifter.

Till de mest lovande och bekväma för praktisk applikation Följande depersonaliseringsmetoder inkluderar:

  • metoden för att införa identifierare, det vill säga att ersätta en del av personuppgifterna med identifierare och skapa en tabell över överensstämmelse med identifierare till de ursprungliga uppgifterna;
  • metod för att ändra sammansättningen eller semantiken, det vill säga att ändra sammansättningen eller semantiken för personuppgifter genom att ersätta resultaten av statistisk bearbetning, sammanfatta eller radera en del av informationen;
  • nedbrytningsmetod, det vill säga att dela upp en rad personuppgifter i flera delar med efterföljande separat lagring;
  • blandningsmetod, det vill säga omarrangera enskilda poster, såväl som grupper av poster i en rad personuppgifter.

För säkerhets skull när de arbetar med personliga uppgifter om anställda har kommersiella organisationer också rätt, men är inte skyldiga, att engagera sig i avpersonalisering (klausul 3 i artikel 3 i lag nr 152-FZ av den 27 juli 2006). Om en organisation bestämmer sig för att anonymisera personuppgifter, då specifik metod depersonalisering bör inskrivas i en lokal lag, till exempel i förordningarna om att arbeta med personliga uppgifter om anställda (artikel, Ryska federationens arbetslag,).

Kontroller av efterlevnad av krav för behandling av personuppgifter

Hur efterlevnadskontroller för behandling av personuppgifter går till

Roskomnadzor gör inspektioner hos arbetsgivaren avseende behandling av personuppgifter. Order nr 312 från Rysslands ministerium för telekom och masskommunikation av den 14 november 2011 godkände de administrativa föreskrifterna för utförande av denna tjänst av funktionerna att utöva statlig kontroll (tillsyn).

Ämnet för kontroll över arbetsgivarens verksamhet i samband med behandlingen av personuppgifter är:

  • dokumenterar arten av den information som föreslår eller tillåter inkludering av personuppgifter;
  • informationssystem för personuppgifter;
  • bearbetningsverksamhet.

Roskomnadzor genomför både planerade och oplanerade inspektioner i form av dokumentinspektioner eller inspektioner på plats (lag nr 294-FZ av den 26 december 2008). Rättigheterna och skyldigheterna för Roskomnadzors tjänstemän under inspektioner bestäms av paragrafer och administrativa föreskrifter som godkänts genom order från Rysslands ministerium för telekom och masskommunikation av den 14 november 2011 nr 312.

Tidsramen för att kontrollera en arbetsgivares aktiviteter vid behandling av personuppgifter under både schemalagda och oplanerade kontroller får inte överstiga 20 arbetsdagar. Samtidigt, för småföretag, får den totala perioden för planerade inspektioner på plats inte överstiga ett år:

  • 50 timmar - för ett litet företag;
  • 15 timmar - för ett mikroföretag.

I undantagsfall kan perioden för att genomföra en planerad inspektion på plats förlängas, men med högst 20 arbetsdagar, och för små företag och mikroföretag - med högst 15 timmar. Detta är möjligt om det under inspektionen uppstår behov av att:

  • komplex och långdragen forskning och testning;
  • särskilda undersökningar och utredningar.

Endast de anställda som har åtagit sig att följa reglerna för att arbeta med personuppgifter och har brutit mot dem () kan bli föremål för disciplinansvar. Ekonomiskt ansvar kan uppstå om direkt faktisk skada orsakas organisationen på grund av brott mot reglerna för att arbeta med personuppgifter ().

För brott mot förfarandet för att samla in, lagra, använda eller distribuera personuppgifter kommer organisationen och dess tjänstemän att dömas till böter. Under en inspektion kan Roskomnadzor upptäcka flera olika överträdelser. Då kommer han att driva in flera böter på en gång.

Böternas storlek beror på vilken typ av brott som begåtts. Således kan tjänstemän bötfällas i mängden 3 000 till 20 000 rubel, enskilda entreprenörer - i mängden 5 000 till 20 000 rubel, organisationer - i mängden 15 000 till 75 000 rubel. För mer information om böterna för överträdelser i arbetet med personuppgifter, se tabellen.

Sådana ansvarsåtgärder föreskrivs i artiklarna i Ryska federationens kod för administrativa brott.

Straffansvar för chefen för en organisation (en annan person som är ansvarig för att arbeta med personuppgifter) kan uppstå för olagligt:

  • samla in eller distribuera information om en anställds privatliv som utgör hans personliga hemlighet eller familjehemlighet, utan hans samtycke;
  • spridning av denna information i ett offentligt tal, offentligt visade verk eller media.

Följande påföljder föreskrivs för dessa överträdelser:

  • böter på upp till 200 000 rubel. (eller i beloppet av den dömde personens inkomst under en period på upp till 18 månader);
  • obligatoriskt arbete i upp till 360 timmar;
  • kriminalvård i upp till ett år;
  • tvångsarbete under en tid av upp till två år med eller utan fråntagande av rätten att inneha vissa befattningar eller ägna sig åt viss verksamhet under en period av upp till tre år;
  • arrestering i upp till fyra månader;
  • fängelse i högst två år med fråntagande av rätten att inneha vissa befattningar eller ägna sig åt viss verksamhet i högst tre år.

I det här fallet är samma handlingar som begås av en person som använder sin officiella ställning straffbara:

  • böter på 100 000 till 300 000 rubel. (eller i beloppet av den dömde personens inkomst under en period av ett till två år);
  • fråntagande av rätten att inneha vissa befattningar eller engagera sig i viss verksamhet under en period av två till fem år;
  • tvångsarbete för en tid av upp till fyra år med eller utan fråntagande av rätten att inneha vissa befattningar eller engagera sig i viss verksamhet under en period av upp till fem år;
  • arrestering för en period av fyra till sex månader;
  • fängelse i högst fyra år med fråntagande av rätten att inneha vissa befattningar eller ägna sig åt viss verksamhet i högst fem år.

Fråga från praktiken:Är det möjligt att föreskriva att konfidentiell information inte ska lämnas ut i anställningsavtal för anställda?

Jo det kan du.

Men bara för de anställda som direkt arbetar med personuppgifter: HR-ansvariga, HR-chefer, sekreterare (). I det här fallet, när du anställer, bekanta medarbetaren med bestämmelserna om arbete med personuppgifter.

Fråga från praktiken:Är det möjligt att ge information om en anställds arbete i en organisation per telefon till företrädare för andra företag, till exempel banker?

Ja, du kan, men bara med skriftligt medgivande från den anställde själv.

Personuppgifter avser all information som direkt eller indirekt är relaterad till en specifik individ (föremål för personuppgifter) (del 1 av artikel 3 i lagen av den 27 juli 2006 nr 152-FZ). Samtidigt är listan över personuppgifter inte uttömmande, det vill säga all information som rör en specifik person är hans personuppgifter. Sålunda är arbetsplatsen och själva arbetet, som begärts av en organisation, till exempel av ett kreditinstitut för att bekräfta att det finns arbete eller av en potentiell arbetsgivare om en tidigare anställd, personuppgifter. Därför är det möjligt att överföra uppgifter om en anställd till andra organisationer endast i enlighet med de allmänna kraven för behandling av personuppgifter, det vill säga endast med samtycke från den anställde själv (klausul 3, del 1, artikel 86 i Ryska federationens arbetslag,).

Det är således möjligt att lämna information om att anställda arbetar per telefon till oidentifierade personer, inklusive de som utger sig för bankspecialister, men endast med skriftligt medgivande från den anställde själv, oavsett om denne fortsätter att arbeta i organisationen. eller redan har slutat.

Fråga från praktiken:Är arbetsgivaren skyldig att på begäran av kronofogdemyndigheten rapportera om arbete i den gäldenärsanställdes organisation?

Att arbeta i en organisation hänvisar till den anställdes personuppgifter. Kronofogden som genomför verkställighetsförfaranden har rätt att från organisationen begära information om anställda för vilka domstolsbeslut om utbetalning av underhållsbidrag eller andra typer av utdömda utbetalningar har fattats, inklusive uppgifter som rör personuppgifter. Denna förfrågan arbetsgivaren har ingen rätt att ignorera det. Sådana regler fastställs genom lag av den 2 oktober 2007 nr 229-FZ.

Samtidigt har arbetsgivaren rätt att rapportera om arbete i organisationen av en gäldenärsanställd utan hans samtycke för att överföra personuppgifter till tredje part, eftersom behandlingen av personuppgifter i detta fall är nödvändig för rättskipningen , verkställande av en rättshandling som är föremål för verkställighet i enlighet med Rysslands lagstiftning om verkställighetsförfaranden (klausul 3, del 1, artikel 6, klausul 6, del 2, artikel 10, del 2, artikel 11 i lagen av den 27 juli 2006 nr 152-FZ).

Således är arbetsgivaren skyldig att svara på begäran från kronofogdetjänsten om det faktum att den gäldenärsanställdes arbete har utförts. Skaffa medarbetarens samtycke till

Margarita Orlova svarar,

Chef för avdelningen för administration av försäkringsavgifter vid Rysslands federala försäkringstjänst

"För att bekräfta huvudtypen av aktivitet för en separat avdelning som betalar bidrag självständigt, skicka in samma dokument som för organisationen som helhet. Den enda skillnaden är att de endast återger information om avdelningen och lämnar in den till försäkringskassans filial på registreringsorten för sådan avdelning. Hur du betalar in avgifter tills du har fått besked från Försäkringskassan om taxan för innevarande år – det får du veta i rekommendationen.”

Att arbeta med personuppgifter ålägger operatören ett antal ansvarsområden. Låt oss titta på några av de viktigaste av dem.

Meddela Roskomnadzor om påbörjandet av behandling av personuppgifter (). En sådan anmälan måste skickas till myndigheten innan databehandlingen påbörjas, med angivande av:

  • namn (fullständigt namn), adress till operatören;
  • syftet med att behandla personuppgifter;
  • kategorier av personuppgifter;
  • kategorier av ämnen vars personuppgifter behandlas;
  • rättslig grund för behandling av personuppgifter;
  • en lista över åtgärder med personuppgifter, en allmän beskrivning av de metoder som används av operatören för att behandla personuppgifter;
  • åtgärder för att skydda personuppgifter;
  • Fullständigt namn på en person eller namn juridisk enhet ansvarig för att organisera behandlingen av personuppgifter och deras antal kontaktnummer, postadresser och e-postadresser;
  • datum för påbörjande av behandling av personuppgifter;
  • villkor för upphörande av behandling av personuppgifter;
  • uppgifter om förekomst eller frånvaro av gränsöverskridande överföring av personuppgifter under behandlingen av dem;
  • information om platsen för informationsdatabasen som innehåller personuppgifter från ryssar;
  • information om att säkerställa säkerheten för personuppgifter i enlighet med kraven för skydd av personuppgifter som fastställts av Ryska federationens regering (vi talar i synnerhet om personuppgifter beroende på säkerhetshot, personuppgifter, vars utförande säkerställs av ställa in nivåer säkerhet för personuppgifter, såväl som tekniker för att lagra sådana uppgifter utanför informationssystem för personuppgifter).

Samtidigt finns det situationer då det inte är nödvändigt att meddela Roskomnadzor om behandlingen av personuppgifter. Detta är till exempel arbetsgivarens bearbetning av arbetstagares uppgifter, operatörens mottagande av kundens uppgifter vid ingående av ett avtal med honom (om denna information inte lämnas till tredje part utan ämnets samtycke och används uteslutande för genomförandet av det angivna avtalet), behandlingen av allmänt tillgängliga personuppgifter, utfärdande av ett engångskort till en persons territorium för operatören, med endast användning av ämnets fullständiga namn, etc. ().

Säkerställ konfidentialitet för personuppgifter. Detta innebär att de inte kan distribueras utan ämnets samtycke (). Denna plikt personer som har tillgång till personuppgifter är en av de viktigaste. När arbetsgivaren överför personuppgifter om anställda är arbetsgivaren särskilt skyldig att:

  • lämna inte ut den anställdes personuppgifter till en tredje part utan dennes skriftliga medgivande (förutom de fall då detta är nödvändigt för att förhindra ett hot mot den anställdes liv och hälsa, och i andra fall som föreskrivs i lag - t.ex. vid överföring av uppgifter till socialförsäkringsfonden, Ryska federationens pensionsfond, skattemyndigheter, militärkommissariat, åklagarmyndigheten, brottsbekämpande organ, GIT, etc.);
  • varna personer som tar emot den anställdes personuppgifter att denna information endast kan användas för de ändamål för vilka den kommunicerades - dessutom kan arbetsgivaren till och med kräva att sådana personer bekräftar att denna regel har följts;
  • överföra den anställdes personuppgifter inom en organisation, från en enskild företagare i enlighet med en lokal lag, som den anställde måste vara bekant med underskrift;
  • tillåta åtkomst till personliga uppgifter om anställda endast för särskilt auktoriserade personer, och de bör ha rätt att endast få de anställdas uppgifter som är nödvändiga för att utföra specifika funktioner;
  • inte begära information om den anställdes hälsotillstånd, med undantag för information som hänför sig till frågan om den anställdes förmåga att utföra en arbetsfunktion;
  • begränsa informationen som överförs till arbetstagarrepresentanterna till endast de anställda uppgifter som är nödvändiga för att de nämnda representanterna ska kunna utföra sina uppgifter ().

Vidta åtgärder för att säkerställa säkerheten för personuppgifter (). För att göra detta bör organisationen utse en person som är ansvarig för att organisera behandlingen av personuppgifter (). En sådan person är skyldig att utöva intern kontroll över operatörens och hans anställdas efterlevnad av kraven för skydd av personuppgifter, uppmärksamma de anställda på bestämmelserna och lokala bestämmelser om behandling av personuppgifter samt organisera mottagande och behandling av förfrågningar och förfrågningar från subjekt med personuppgifter. För samma ändamål bör dessutom tekniska åtgärder vidtas för att säkerställa behandlingens säkerhet, liksom dokument som definierar företagets policy för behandling av personuppgifter etc.

Samtidigt måste organisationen offentliggöra sin policy för behandling av personuppgifter (). Mest på bästa möjliga sättär att lägga upp dokumentet på operatörens webbplats. Men i de fall där detta inte är möjligt räcker det att installera en "ficka" med policyn på papper på vilken plats som helst som är tillgänglig för besökare till organisationen. Undantaget är för operatörer som samlar in personuppgifter direkt via Internet - de måste publicera policyn på webbplatsen och ge möjlighet att komma åt det angivna dokumentet. På Roskomnadzors officiella webbplats kan du hitta rekommendationer för att utarbeta en policy för behandling av personuppgifter.

Blanda inte ihop policyn, som huvudsakligen gäller för tredje parter (motparter, kunder, etc.), med bestämmelserna om skydd, lagring, bearbetning och överföring av personuppgifter för anställda - detta dokument är, till skillnad från policyn, ett lokalt regelverk. agera, så det bör inte göras offentligt nödvändigt, men det är obligatoriskt att bekanta de anställda med det mot underskrift ().

MATERIAL OM ÄMNET

Läs om vilka problem en operatör kan stöta på vid efterlevnad av kraven för lokalisering av personuppgifter och hur man mest effektivt löser dem i vårt material "".

Följ kraven för lokalisering av ryska personuppgifter. Från och med den 1 september 2015 måste alla operatörer när de samlar in personuppgifter säkerställa deras behandling med hjälp av databaser i Ryssland (). Den så kallade lokaliseringen av personuppgifter orsakade till en början stor resonans bland specialister och operatörer - lagens krav var formulerade på ett sådant sätt att experter hade många bekymmer. Bland dem är otydligheten om vilka personuppgifter som kommer att omfattas. detta krav, vilka operatörer detta kommer att påverka, om behandling av personuppgifter är tillåten samtidigt på ryska och utländska servrar, hur man bestämmer ämnets medborgarskap etc. Roskomnadzor svarade på de flesta av dessa frågor redan innan de nya lagkraven trädde i kraft. Till exempel gav byrån operatörer rätt att självständigt avgöra frågan om att fastställa medborgarskap för den person vars uppgifter behandlas, eller att tillämpa lokaliseringskravet på personuppgifterna för alla försökspersoner. Dessutom klargjorde Roskomnadzor att i fallet när personuppgifter registrerades i en rysk databas under insamlingen, kan de därefter behandlas i elektronisk databas belägen utanför landet.

Såväl i personuppgiftspolicyn som i Föreskrifter om skydd, lagring, behandling och överföring av personuppgifter om anställda bör det framgå att verksamhetsutövaren vid insamling av personuppgifter åtar sig att säkerställa registrering, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), hämtning av personuppgifter ryssar använder databaser belägna på Rysslands territorium, och även ange platsen för en sådan databas.

Sluta behandla personuppgifter i tid. Om syftet med att behandla personuppgifter uppnås eller försökspersonen har återkallat sitt samtycke till deras behandling, måste operatören sluta behandla dessa uppgifter och radera dem inom 30 dagar, om inte en annan period anges i avtalet ().

Lagkrav på personuppgiftsansvarig

Operatören är skyldig att säkerställa sekretessen för personuppgifter. I artikel 7 i Ryska federationens federala lag av den 27 juli 2006 N 152-FZ "Om personuppgifter" (nedan kallad FZ-152) anges att operatören inte är skyldig att skydda personuppgifter om de är anonymiserade eller offentligt tillgängliga. Personuppgiftsansvarig har inte rätt att behandla uppgifter utan samtycke från den personuppgiftsansvarige, det vill säga den person som dessa uppgifter tillhör. Men i art. 6 Del 2 av Federal Law-152 föreskriver ett antal fall när samtycke från försökspersonen inte krävs.
I synnerhet krävs inte ämnets samtycke om hans personuppgifter behandlas på grundval av den federala lagen som definierar syftet och innehållet i sådan behandling (artikel 6, punkt 2, del 2). Till exempel enligt Federal lag Nr. FZ-3266-1 "On Education", utexaminerade från gymnasieskolor behöver inte erhålla samtycke till behandlingen av sina personuppgifter för tillträde till Unified State Exam. Organ och organisationer som är involverade i genomförandet av Unified State Exam utför "...överföring, bearbetning och tillhandahållande av resultat mottagna i samband med genomförandet av Unified State Examen<…>personliga uppgifter om studenter, deltagare i det enhetliga provet<…>i enlighet med kraven i Ryska federationens lagstiftning på området för personuppgifter utan att inhämta samtycke från dessa personer att behandla deras personuppgifter” (Artikel 15, klausul 5.1). Aprilnumret av tidningen "Personliga uppgifter" innehåller ett stort material som ägnas specifikt åt detta problem.
Ett annat fall när behandlingen av personuppgifter inte kräver ämnets samtycke: genomförandet av ett kontrakt, till vilken en av parterna är föremål för personuppgifter. Som ett exempel är varje avtal mellan ett företag och en privatperson för tillhandahållande av tjänster lämpligt. Massa användbar information om detta ämne finns i fackpressen. Operatören måste också tillhandahålla nödvändiga organisatoriska och tekniska åtgärder för att förhindra försök till olaglig tillgång till personuppgifter.

Nödvändiga dokument

Varje personuppgiftsoperatör är skyldig att ha ett paket med dokument som bekräftar skyddet av personuppgifter för anställda och kunder.

Listan över nödvändiga dokument kan variera beroende på detaljerna för behandling av personuppgifter, organisationsstruktur och andra egenskaper hos varje enskilt företag.

I enlighet med detta dokumentpaket måste företaget implementera tekniska medel skydd av personuppgifter.

Utarbetande av dokument som är nödvändiga för att skydda personuppgifter

Det finns flera sätt att förbereda dokument i enlighet med kraven i 152-FZ "Om personuppgifter":

Skyddsmedel

Nästan varje organisation har ett (förkortat ISPDn), som kan innehålla till exempel medarbetarens efternamn, förnamn, passdata, TIN etc. En operatör arbetar med detta informationssystem. Beroende på vilken information som finns i ISPD för en viss organisation, kan denna ISPD tillhöra en av fyra klasser, som var och en tillhandahåller olika sätt att skydda personuppgifter.

se även

Länkar

  • www.rsoc.ru Register över operatörer som behandlar personuppgifter
  • www.pd.rsoc.ru Personuppgiftsportal för det auktoriserade organet för skydd av rättigheter för personuppgiftsansvariga
  • www.privacy-journal.ru Information och analystidskrift "Personliga uppgifter"

Wikimedia Foundation. 2010.

Se vad en "Personal Data Operator" är i andra ordböcker:

    Personuppgiftsoperatör- 2) operatör myndighet, kommunalt organ, juridisk person eller individ, självständigt eller tillsammans med andra personer som organiserar och (eller) utför behandlingen av personuppgifter, samt bestämmer ändamålen med behandlingen... ... Officiell terminologi

    Varje åtgärd (operation) eller uppsättning av åtgärder (operationer) som utförs med hjälp av automationsverktyg eller utan användning av sådana medel med personuppgifter, inklusive insamling, inspelning, systematisering, ackumulering, lagring, ... ... Wikipedia

    Ämnet för personuppgifter är en individ som direkt eller indirekt identifieras eller fastställs med hjälp av personuppgifter. Innehåll 1 Interaktion med ämnet personuppgifter ... Wikipedia

    En uppsättning åtgärder av teknisk, organisatorisk och organisatorisk teknisk karaktär som syftar till att skydda information som rör en specifik eller fastställd på grundval av sådan information individ (föremål för personlig ... ... Wikipedia

    Denna artikel eller avsnitt beskriver situationen i förhållande till endast en region. Du kan hjälpa Wikipedia genom att lägga till information för andra länder och regioner. Innehåll 1 Definition ... Wikipedia

    Antal: 152 Antagande av federal lag: av statsduman den 26 juli 2006 Ikraftträdande: 26 januari 2007 Ryska federationens federala lag av den 27 juli 2006 nr 152 Federal lag "om personuppgifter" är en federal lag som reglerar bearbetningsaktiviteter (med ... Wikipedia

    Grundmodell för hot mot säkerheten för personuppgifter under deras behandling i (utdrag)- Terminologi Grundmodell hot mot säkerheten för personuppgifter under deras behandling i (utdrag): Automatiserat system ett system bestående av personal och en uppsättning automationsutrustning... ...

    RÄTTIGHETER FÖR PERSONUPPGIFTER VID BESLUT BASERADE PÅ EXKLUSIVT AUTOMATISK BEHANDLING AV DERES PERSONUPPGIFTER- enligt den federala lagen "om personuppgifter" av den 27 juli 2006 nr 152 FZ, består i att förbjuda antagandet av beslut som enbart baseras på automatiserad behandling av personuppgifter som ger upphov till rättsliga konsekvenser i förhållande till... .. .

    operatör- 4.22 operatör: Alla objekt som utför driften av systemet. Not 1 Operatörsrollen och användarrollen kan tilldelas samtidigt eller sekventiellt till samma person eller organisation. Not 2 I samband med detta... ... Ordboksuppslagsbok med termer för normativ och teknisk dokumentation

    OPERATÖR- enligt den federala lagen "om personuppgifter" av den 27 juli 2006 nr 152 FZ, - ett statligt organ, kommunalt organ, juridisk person eller individ som organiserar och/eller utför behandlingen av personuppgifter, samt bestämmer syften... Journalföring och arkivering i termer och definitioner


2024 gtavrl.ru.