Begreppet personuppgifter, samtycke till behandling, offentligt tillgängliga personuppgifter. Förfarandet för användning av personuppgifter


Hej!
Vi har ett statligt företag (FSUE), icke-anställda måste tillhandahålla sina passuppgifter för att få ett engångskort.

Tidigare såg processen ut så här: om du bjuder in en besökare begär du hans data via e -post eller skriver via telefon, fyller i och skriver ut formuläret i excel och hänvisar det till säkerhetsansvarig för underskrift, varefter det redan skrivs ut kl. kontrollpunkten, där besökarens PD kontrolleras mot passet som presenteras för honom och på grundval av detta ger de honom ett besökarkort.

Vi skrev en liten webbapplikation som är tillgänglig på företagets interna nätverk och låter dig ange all besöksdata (och fullständigt namn och PD), men tillåter dem inte senare att se och redigera, möjligheten att se och korrigera inmatade passdata är endast tillgängliga för säkerhetspersonal, differentieringsåtkomst utförs på applikationsnivå i programkoden, baserat på inställningarna lagrade i databasen.

Microsofts produkter används som en stapel - IIS och MSSQL Server, applikationen implementeras på ASP.NET MVC -ramverket, webbläsaren fungerar som klientdelen.

Nu arbetar en tredje parts organisation med certifiering av andra system som behandlar personuppgifter, för det beskrivna systemet föreslog de ett alternativ med begränsat antal PC, tk. enligt dem, bearbetning av Pers. data händer (potentiellt) på alla maskiner i företaget. Det vill säga, de föreslår att installera speciell programvara på, grovt sett, 50 datorer och fabrikat möjligt arbete med applikationen endast från dessa maskiner. Vi är inte särskilt nöjda med det här alternativet, helst skulle vi vilja ha alla användare lokalt nätverk företaget hade möjlighet att ange all data från besökaren i databasen (det kan antas att besökarens samtycke för att använda hans data är tillgängligt).
För andra system var allt enklare, det fanns en begränsad krets av användare (till exempel hela bokföringsavdelningen), de togs helt enkelt ut till ett separat undernät bakom brandväggen, det finns inget sätt att göra detta, så långt jag förstå. åtkomstkontroll utförs inte på nätverkslager, men på applikationen, i logiken för serversidan av applikationen.

Det verkar för mig att denna situation inte är unik, kan någon berätta för mig vad som är alternativen för att organisera skyddet av personuppgifter i enlighet med lagens krav, jag är intresserad av de system som skulle ordnas av tillsynsmyndigheterna.

Tack på förhand.

P.S. Jag glömde att klargöra, många företagsdatorer har tillgång till Internet via vår proxyserver, hela nätverket är domänbaserat, autentisering i applikationen är också domänbaserad. Det finns ett serverrum för säker placering av servern, endast alternativen för programvara eller maskinvarudataskydd är av intresse.

Alla företag och enskilda företagare vet inte om de är operatörer av personuppgifter och om de behöver överföra information om sig själva till Roskomnadzor. Vi kommer att ta reda på vem tjänsten följer närmare och hur vi kan meddela medborgarna om början av behandlingen av personuppgifter.

Vem är personuppgiftsoperatörer och vad gör de

De flesta vet att personuppgifter (nedan - PD) innehåller information om efternamn, förnamn och patronym för en medborgare, information från hans pass, nummer mobiltelefon, bostadsadress, e-post. Vilken annan information kan du inkludera i den här listan? Det visar sig hur som helst: en uttömmande lista presenteras inte någonstans, och i princip kan den inte vara det. Detta bekräftas av formuleringen i Federal lag av 27.07.2006 nr 152-FZ:

Personuppgifter - all information som direkt eller indirekt rör en specifik eller fastställbar naturlig person(till föremålet för personuppgifter).

Det visar sig att i vissa fall räcker det med efternamn, förnamn och bilnummer för att identifiera en medborgare, medan du i andra också behöver hans körkortnummer och registreringsadress.

En personuppgiftsansvarig är ett statligt eller kommunalt organ, juridisk person eller individ, som:

  • oberoende eller gemensamt med andra personer organiserar och / eller utför behandlingen av PD;
  • definierar målen att arbeta med personlig information, dess sammansättning, samt åtgärder (operationer) med den.

Det vill säga att alla som begär och använder PD är deras operatör. Och alla som har tillgång till och bearbetar information genom vilken en medborgare kan identifieras, arbetar i själva verket med PD och är ansvariga för bristande efterlevnad av lagen om deras skydd.

Låt oss föreställa oss vem som kan vara en PD -operatör. Banker? ja! Webbplatser som samlar in prenumerationsmaterial? ja! Juridiska och redovisningsföretag tillhandahåller olika tjänster? ja! Butiker och skönhetssalonger som erbjuder ett bonuskort? Återigen, ja! Husägareförening, universitet, dagis, resebyråer, medicinska institutioner, automatiserade system, inklusive statliga sådana? Ja ja ja! PD -operatörer - överallt, på vilket område som helst!

Operatörens skyldigheter vid behandling av personuppgifter

Alla som behandlar PD är skyldiga att följa vissa regler för insamling, säkerställande av säkerhet, förtydligande, blockering och förstörelse av denna typ av information. Enligt lag nr 152-FZ måste operatörer:

Registrering hos Roskomnadzor som personuppgiftsoperatör

Lagen föreskriver att innan du påbörjar arbetet med PD måste du kontakta det auktoriserade tillsynsorganet och meddela om arbetets start med personlig information. Detta betyder inte att varje företag måste ingå i registret över personuppgiftsoperatörer i Roskomnadzor. Denna lista innehåller inte:

  • arbetsgivare. De samlar in och lagrar information i enlighet med arbetslagstiftningen, till exempel vid upprättandet av arbetskontrakt, olika order av personalkaraktär;
  • mobil- eller fastbolag telefonanslutning om uppgifterna uteslutande erhålls för tillhandahållande av kommunikationstjänster enligt det ingångna avtalet, inte distribueras och inte tillhandahålls till tredje part utan godkännande av PD -personen;
  • offentliga föreningar eller religiösa organisationer som får tillgång till data från sina medlemmar (deltagare) för att uppnå de mål som anges i ingående handlingar;
  • organisationer och individer som använder offentligt tillgänglig information som PD -ämnen själva avslöjade, till exempel på personliga webbplatser;
  • alla företag som har ett pass -system. Om en medborgares passinformation skrivs om för att få ett engångskort till organisationens territorium behöver du inte registrera dig.
  • system med status som statliga automatiserade informationssystem, samt statliga PD -system som skapats för att skydda statens och allmän ordning. Det finns många av dem, inklusive "Era-Glonass" och "Management" -systemen, AIS-redovisning för ideella och religiösa organisationer och många andra på federal och regional nivå;
  • medborgare och organisationer som behandlar information utan att använda automatiseringsverktyg (dator). I detta fall måste de styras av de krav som godkänts av Regeringsdekret av den 15 september 2008 N 687;
  • organisationer som begär data för att säkerställa en säker drift av transportkomplexet, till exempel vid bokning och köp av biljetter, bland annat via onlinetjänster från transportörer eller mellanhänder.

Med hänsyn till sådana formuleringar ingår många av organisationerna inte längre i registret över operatörer som arbetar med behandling av personuppgifter, som underhålls av Roskomnadzor. Men de som inte omfattas av undantagen måste finnas på tillsynsmyndighetens lista.

Registreringsförfarandet består i att skicka in en anmälan i viss form. Det kan hittas genom registret över personuppgifter för Roskomnadzor, portalen för statliga tjänster, eller med hjälp av Order från ministeriet för telekom och masskommunikation i Ryssland från 21.12.2011 N 346... Gratis nedladdning obligatoriskt dokument kan du också i slutet av denna artikel.

Oavsett metod för att informera tjänstemän måste meddelandet ange:

  • fullständigt och förkortat företagets namn med angivelse av organisations- och juridisk form, samt juridiska och postadresser, TIN;
  • behandlingsändamål som deklareras i de ingående handlingarna eller faktiskt genomförts.
  • PD -kategorier som ska bearbetas;
  • ämnen vars PD planeras att behandlas, inklusive relationer med dem, till exempel en passagerare, låntagare, abonnent, insättare, försäkringstagare;
  • den grund på vilken du har rätt att behandla (till exempel artiklar Av Ryska federationens flygkod eller civilrättslagen om civilrättsliga handlingar), inklusive närvaron av en licens för den typ av verksamhet som utförs;
  • en beskrivning av de metoder som används för behandling av PD och deras lista: icke-automatiserad, automatiserad eller blandad behandling;
  • information om de personer som är ansvariga för att organisera behandlingen av PD, deras telefonnummer, postadresser, e-post;
  • information om kryptering (kryptografiska) medel;
  • startdatum, liksom villkoren för upphörande av PD -behandling;
  • information om var uppgifterna lagras under behandlingen, inklusive om landet där databaserna med information om medborgarnas personliga identitet finns Ryska Federationen;
  • information om att säkerställa PD: s säkerhet i enlighet med de fastställda kraven Dekret från Ryska federationens regering av 01.11.2012 N 1119.

Observera att registrering av en personuppgiftsoperatör på Roskomnadzors webbplats sker inom 30 dagar. Om en elektronisk ansökan lämnas in måste företaget skicka till territoriellt organ dessutom en papperskopia av anmälan. Om det inte finns tillräckligt med information kommer tjänstemän att skicka en begäran om att förtydliga de inlämnade dokumenten. Du kan inte vägra att acceptera meddelandet och ange information om organisationen i registret.

Om, av olika anledningar, har organisationen ändrat syftet med PD -behandling eller är det nödvändigt att göra andra ändringar, inom 10 dagar skickar den ett brev till Roskomnadzor i föreskriven form. Dokumentet hittar du nedan. Dessutom kan webbplatsens läsare ladda ner formuläret för det dokument som krävs för att utesluta ett företag från registret.

Alla tjänster som tillhandahålls av Roskomnadzor i detta fall är kostnadsfria.

Ansvar för vägran att registrera sig i registret

Den nuvarande lagstiftningen föreskriver administrativt ansvar för brott mot kraven för skydd av personuppgifter. Enligt Federal Law daterad 07.02.2017 nr 13-FZ, som började fungera den 1 juli 2017, i artikel 13.11 i ryska federationens administrativa brott det finns flera typer av brott för vilka personuppgiftsoperatörer kan få böter. Beroende på brottet, böter för juridiska personer för denna artikel varierar de från 15 000 till 75 000 rubel, och för enskilda företagare - från 5 000 till 20 000 rubel.

Vägran att registrera sig i registret kan betraktas som underlåtenhet att lämna information till tillsynsmyndigheten. Straffet för detta anges i artikel 19.7 i Ryska federationens kodex för administrativa brott... Under det står tjänstemän inför en böter på 300 till 500 rubel och juridiska - från 3 000 till 5 000 rubel.

Hur man säkerställer insamling, behandling och skydd av den anställdes personuppgifter, vilka lagar som reglerar arbetet med personuppgifter i organisationen - om detta i artikeln.

Från artikeln lär du dig:

Personuppgiftsskydd och bearbetningspolicy

Ladda ner relaterade dokument:

Denna lista är inte uttömmande. Med hänsyn till särdragen i enskilda positioner eller typer av arbete kan arbetsgivaren begära av sökandena ett intyg om hälsotillstånd, samt inget kriminalregister eller andra personuppgifter. Ta reda på hur för att undvika Roskomnadzor -böterna

Skyddet av den anställdes personuppgifter säkerställs i enlighet med bestämmelserna i den ryska lagstiftningen. Separata standarder fastställer allmän ordning behandling av information som rör konfidentiell information finns i artiklarna 86-90 i Ryska federationens arbetslag, i artiklarna 137, 140 och 272 i Ryska federationens strafflag, artiklarna 5.39, 13.11-13.14 i den administrativa koden för Ryska federationen, och i artiklarna 150-152 och 946 i Ryska federationens civillag.

Det finns också en separat regleringsakt som fullständigt avslöjar sådana begrepp som: "personuppgifter", "behandling av personuppgifter och" skydd av personuppgifter. " den federala lagen Nr 152-FZ av den 27 juli 2006. Denna förordning gäller alla arbetsgivare, utan undantag, oavsett verksamhetsområde, från personalstruktur och från företagens organisatoriska och juridiska form. Ta reda på för vilken nu böter de hårdare.

Personuppgifter och skydd av personuppgifter för en anställd: Lag 152-F3

Personuppgifter är inte begränsade till en specifik typ av information. Personlig information är indelad i tre kategorier:

  • allmän;
  • särskild;
  • biometrisk.

Personuppgifterna innehåller följande information:

  1. skicklighetsnivå;
  2. utbildning och erfarenhet;
  3. inkomstens storlek;
  4. social eller egendomsstatus;
  5. bostadsort;
  6. tidigare anställning;
  7. födelsedatum, efternamn, namn och patronym för den anställde.

Vid insamling av sådan information får arbetsgivaren, i enlighet med lag nr 152-FZ, status som operatör, den anställde hänvisar till föremålet för personuppgifter. Insamling, bearbetning och skydd personlig information den anställde måste utföras på ett lagligt sätt. Du kan få information om en anställd endast direkt från honom och inte via tredje part. Om information på grund av vissa omständigheter endast kan erhållas från en tredje part, är det värt att meddela arbetstagaren detta i förväg efter att ha fått den. skriftligt avtal... Du kan inte begränsa dig till ett muntligt avtal.

organisationens lokala regleringsakt, till exempel i förordningen om arbete med personuppgifter om anställda (artiklarna 8, 87 i Ryska federationens arbetslag, punkt 2 i del 1 i artikel 18.1 i lagen av den 27 juli 2006 152-FZ).

Förordningen om skydd av personuppgifter om anställda godkänns av företagets chef. MED regleringsdokument alla anställda introduceras under signaturen. Organisationen utser en person som ansvarar för arbetet med personuppgifter (del 5 i artikel 88 i Ryska federationens arbetslag). Oftast är den ansvariga personen personalservicespecialisten, eftersom han under sitt arbete står inför behandling personlig information anställda. Den ansvarige utses av en order utfärdad i vilken form som helst.

Förordning om förfarandet för lagring och skydd av personuppgifter om användare

Beställning om utnämning av en person som ansvarar för arbetet med personuppgifter

Ladda ner blank blankett
Ladda ner in.doc

Ladda ner slutfört prov
Ladda ner in.doc

Anonymisering av information för att skydda personuppgifter om anställda

Anonymisering av data utförs i fall som föreskrivs i lag. I synnerhet deponerar statliga och kommunala myndigheter personuppgifter som behandlas i informationssystem, inklusive de som fungerar och skapas och inom ramen för att säkerställa genomförandet av federala riktade program(del "z" -klausul 1 i listan som godkändes av RF -regeringens dekret av den 21 mars 2012 nr 211).

Anonymisering förstås som handlingar som gör det omöjligt att avgöra tillhörighet personlig information specifik person utan användning av ytterligare information (artikel 3 i lagen av den 27 juli 2006 nr 152-FZ).

Organisationschefen godkänner de grundläggande reglerna för arbete med anonymiserade uppgifter för att skydda personuppgifter om anställda. Kravet på att anonymisera personuppgifter gör att du kan säkerställa skydd och förhindra obehörig behandling.


disciplinärt, materiellt, administrativt och straffrättsligt ansvar (artikel 90 i Ryska federationens arbetsbalk, del 1 i artikel 24 i lagen av den 27 juli 2006 nr 152-FZ).

Ansvariga medarbetare kan åläggas disciplinära eller ekonomiska ansvar för att arbeta med personuppgifter om gällande regler bryts och detta har lett till skada. För dessa kränkningar kommer även tjänstemän i organisationen att bli böter.

Företagets chef, ansvariga personer för:

olaglig insamling eller distribution av konfidentiell information om de anställdas privata liv, om denna information utgör en personlig eller familjehemlighet;


olaglig spridning av den angivna informationen i offentliga tal, offentliga verk eller i media.

Personliga uppgifter om anställda - all information som krävs av administrationen i samband med arbetsförhållanden och som rör en specifik anställd (klausul 1 i artikel 3 i lagen av den 27 juli 2006 nr 152 -FZ).

Fullständigt namn och all annan information om en individ är personuppgifter. Om du har anställda eller lagrar personlig information om arbetssökande, kunder eller andra individer måste du följa krav på personuppgifter Nr 152-ФЗ daterad 2006-06-27

Bokförings- och personalavdelningen lagrar dokument där personuppgifter om anställda - lönesedlar, personliga kort, personliga filer och andra. Alla personuppgifter om en anställd kan endast erhållas från honom. Om personuppgifter endast kan erhållas från tredje part, meddela först den anställde och få skriftligt samtycke från honom. Informera den anställde om syften, avsedda källor och metoder för att erhålla personuppgifter. Dessutom informera honom om arten av de personuppgifter som ska tas emot och konsekvenserna av den anställdes vägran att godkänna mottagandet.

Viktig! - löneinformation - även personuppgifter. Detta anges i Roskomnadzors brev av den 07.02.2014 nr 08KM-3681. För att revisorn felaktigt lagrar eller skyddar data om periodiseringar och betalningar till anställda ,. Till exempel, utan den anställdes samtycke, kan du inte ge sin ex-fru information om lönen.

Organisationen har inte rätt att samla in personuppgifter som inte är direkt relaterade till arbetstagarens arbete, till exempel information om religion, politiska preferenser, bostadsförhållanden etc. Denna information utgör en personlig eller familjehemlighet för en medborgare, som han har rätt att inte lämna ut till någon. Detta framgår av klausul 4 i del 1 i artikel 86 i arbetslagen och lagen av den 27 juli 2006 nr 152-FZ.

Efter att ha fått personuppgifter åtar sig arbetsgivaren att inte distribuera eller lämna ut dem till tredje part utan arbetstagarens samtycke (artikel 7 i lagen av den 27 juli 2006 nr 152-FZ).

Arbetsgivaren förvarar kopior med anställda

pass, militärt ID, vigselbevis, barns födelse, inspektörer från Roskomnadzor kan betraktas som behandling av personuppgifter som är överflödiga i förhållande till de angivna ändamålen med behandlingen. Det finns domstolar som stöder denna ståndpunkt (beslut av Federal Antimonopoly Service i norra Kaukasus-distriktet den 21/04/2014 nr A53-13327/2013, 2014-03-11 nr A53-10287/2013). I det här fallet, organisationen och dess tjänstemän.

Förordning om skydd av personuppgifter, beslut om att utse en ansvarig person

Att förebygga utlämnande av personuppgifter, du måste skapa pålitligt system deras skydd. Förfarandet för att ta emot, behandla, överföra och lagra sådan information fastställs i organisationens lokala handling, till exempel i förordningen om arbete med personuppgifter om anställda (.docx 52Kb). Tjänsten godkänns av chefen för organisationen. Bekanta de anställda med det dokument som ska undertecknas (artikel 8, punkt 8, del 1, artikel 86, 87 i arbetslagen, punkt 2, del 1, artikel 18.1 i lagen av 27.07.2006 nr 152-FZ ).

För att undvika sanktioner, se memot för vilka åtgärder med personuppgifter en revisor kan straffas.

Det är nödvändigt att utse en person som ansvarar för arbetet med personuppgifter. Som regel är en sådan medarbetare anställd i personaltjänsten, eftersom det är han som under sitt arbete oftast stöter på personuppgifter om anställda. Utse den person som är ansvarig för att arbeta med personuppgifter på beställning (.docx 36Kb) i vilken form som helst (del 5 i artikel 88 i arbetslagen).

Obs: Ladda ner ytterligare en provorder "På utnämning av ansvariga tjänstemän för skydd av personuppgifter" (.docx 14Kb)

Vid behandling av personuppgifter i informationssystem det är nödvändigt att säkerställa skyddet och säkerheten för personuppgifter. Samtidigt är ett hot mot säkerheten för personuppgifter en uppsättning villkor och faktorer som skapar risk för obehörig (inklusive oavsiktlig) tillgång till personuppgifter under behandlingen i systemet, vilket kan resultera i:

  • förstörelse;
  • ändringen;
  • blockering;
  • kopiering;
  • tillhandahållande;
  • Spridning;
  • andra olagliga handlingar med personuppgifter.

Anm .: Klausul 6 i kraven som godkänts av regeringsdekret nr 1119 av den 01.11.2012.

För att kontrollera säkerheten för personuppgifter under behandlingen utför arbetsgivaren eller dennes auktoriserade person, minst vart tredje år, kontroller, vars specifika villkor arbetsgivaren bestämmer självständigt. Vid behov har organisationer eller enskilda företagare licensierat att utföra aktiviteter på tekniskt skydd konfidentiell information (klausul 17 i kraven som godkänts av regeringsdekretet av 01.11.2012 nr 1119).

Samtycke till behandling av personuppgifter

Under verksamheten har arbetsgivaren ett behov av behandling av personuppgifter om anställda... Behandlingen av sådana uppgifter, med undantag för enskilda fall, sker endast med de anställdas skriftliga medgivande. I detta fall måste samtycket innehålla följande information:

  • efternamn, namn, patronym, arbetstagarens adress, uppgifter om passet (annat dokument som styrker hans identitet), inklusive information om datum för utfärdande av dokumentet och den utfärdande myndigheten;
  • namn eller efternamn, förnamn, förnamn och adress för arbetsgivaren (operatören) som får arbetstagarens samtycke;
  • syftet med behandling av personuppgifter;
  • en lista över personuppgifter för behandling av vilka samtycke ges;
  • namn eller efternamn, förnamn, patronym och adress för den person som behandlar personuppgifter för arbetsgivarens räkning, om behandlingen anförtrotts en sådan person;
  • en lista över åtgärder med personuppgifter, för vilka samtycke ges, allmän beskrivning de metoder som arbetsgivaren använder för att behandla personuppgifter;
  • den period under vilken medarbetarens samtycke är giltigt, liksom metoden för dess återkallelse, om inte annat anges av federal lag;
  • den anställdes underskrift.

Om den anställde är arbetsoförmåga, ges skriftligt medgivande till behandlingen av hans personuppgifter av hans juridiska ombud: förälder, vårdnadshavare (del 6 i artikel 9 i lagen av 27.07.2006 nr 152-FZ).

Den anställde kan när som helst återkalla samtycke till behandling av dina personuppgifter genom att skicka feedback till arbetsgivaren i vilken form som helst. I en sådan situation har organisationen rätt att fortsätta behandla personuppgifter utan den anställdes samtycke, med beaktande av begränsningarna från punkterna 2-11 i artikel 1, del 1 i artikel 6, del 2 i artikel 10 och del 2 i artikel 11 i lagen av 27.07.2006 nr 152-FZ. Till exempel att göra rättvisa eller skydda den anställdes liv eller hälsa själv. Detta anges i del 2 i artikel 9 i lagen av 27.07.2006 nr 152-FZ.

I händelse av en tvist ligger skyldigheten att lämna bevis för att arbetstagarens samtycke till behandling av hans personuppgifter har erhållits hos arbetsgivaren (del 3 i artikel 9 i lagen av den 27 juli 2006 nr 152-FZ) .

Med den anställdes samtycke har organisationen också rätt att överlåta behandlingen av personuppgifter till en annan person (artikel 3 i artikel 6 i lagen av den 27 juli 2006 nr 152-FZ). I detta fall kommer arbetsgivaren att fortsätta att bära ansvaret för den anställde för den angivna personens handlingar, och den som direkt behandlar personuppgifter för arbetsgivarens räkning kommer att vara ansvarig direkt mot arbetsgivaren (del 5 i artikel 6 i lagen om 27 juli 2006 nr 152-FZ).

Samtycke till behandling av personuppgifter arbetsgivaren ska ta emot inte bara från anställda med vilka det finns ett anställningsförhållande, utan också från arbetssökande, liksom från personer med vilka civilrättsliga avtal ingås med organisationen. Detta anges i punkt 5 i förtydligandena av Roskomnadzor av den 12/12/2012.

Är det nödvändigt att inhämta samtycke från den anställde för behandling av personuppgifter under anställning

Allt beror på vilken information organisationen vill få.

Arbetsgivaren kan endast ta emot, lagra och överföra den information om arbetstagaren som är nödvändig för anställningskontraktets genomförande (klausulerna 2, 5, del 1 i artikel 6 i lagen av 27.07.2006 nr 152 -FZ, nedan - Lag nr 152 -FZ, punkt 1, 2 förtydliganden av Roskomnadzor av den 12/12/2012, nedan - förtydliganden). Arbetstagaren agerar som part i anställningsavtalet, därför är det inte nödvändigt att inhämta samtycke från honom för behandling av personuppgifter i alla fall. Till exempel har arbetsgivaren rätt, utan arbetstagarens samtycke, att behandla personuppgifter som han fått:

  • baserat på resultaten av en obligatorisk preliminär medicinsk undersökning (artikel 69 i arbetslagen, punkt 3 i förtydligandena);
  • från de dokument som den anställde presenterade när han slöt ett anställningsavtal (artikel 65 i arbetslagen);
  • från rekryteringsbyrå agerar på den sökandes vägnar (punkt 12, punkt 5 i förtydligandena);
  • från kandidatens CV på Internet, tillgängligt för ett obegränsat antal personer (klausul 10, del 1, artikel 6 i lag nr 152-FZ, punkt 12, punkt 5 i förtydligandena).

Samtycke krävs inte för behandling av data i den utsträckning som tillhandahålls personligt kort... Du kan bland annat be den anställde om information om sina nära släktingar (punkt 2 i förtydligandena).

Samtycke behövs när du vill få något slags Ytterligare information, som inte behövs för utförandet av ett anställningsavtal. Till exempel en personlig adress E-post eller telefonnummer. Få också samtycke om du överför personuppgifter om en anställd till tredje part. Till exempel en säkerhetsorganisation som övervakar åtkomstkontrollen på ditt företags territorium eller en tredjepartsorganisation som håller register över ditt företag (klausul 5 i förtydligandena).

Behöver jag få samtycke till behandling av personuppgifter om en anställd för att göra honom till ett märke

Svaret på frågan beror på syftet med att göra märket. Samtycke kommer att krävas om detta förfarande inte omfattas av fall där databehandling inte krävs.

Personuppgifter om en anställd är information, nödvändigt för organisationen och avser en specifik individ, det vill säga en specifik medarbetare. Exempel på sådan information kan innefatta efternamn, namn, patronym för en anställd. Detta anges i punkt 1 i artikel 3 i lagen av 27.07.2006 nr 152-FZ.

I allmänhet kräver behandling av personuppgifter för en anställd hans samtycke (klausulerna 2-11, del 1 i artikel 6, del 2 i artikel 10, del 2 i artikel 11 i lagen av 27.07.2006 nr 152-FZ) . Samtidigt föreskriver lagen undantagsfall när det inte är nödvändigt att inhämta samtycke. Till exempel om databehandlingen är relaterad till en anställds prestation jobbansvar, inklusive under hans uppdrag. Eller om behandlingen av personuppgifter utförs i implementeringen åtkomstkontroll på arbetsplatsens kontorsbyggnader och lokaler, förutsatt att arbetsgivaren organiserar åtkomstkontrollen självständigt. Detta anges i punkterna 1-5 i förklaringarna från Roskomnadzor av den 12/12/2012.

Om produktionen av ett märke på grundval av syftet faller under de angivna undantagen är det därför inte nödvändigt att få ytterligare medgivande från den anställde. Om tillverkningen av ett märke inte gäller och tillverkningen av ett märke hänvisar till ett engångsförfarande som inte är direkt relaterat till arbetstagarens arbetskraft, måste samtycke inhämtas.

Om du tar ett foto på märket, se till att få medarbetarens samtycke till behandling av personuppgifter. Ett fotografi är biometriska data (definition Högsta domstolen daterad 05.03.2018 nr 307-KG18-101).

Förbered dokument i tjänsten "Personuppgifter"

Disciplinärt, materiellt, administrativt och straffansvar för kränkningar i arbetet med personuppgifter

För överträdelse av förfarandet för att erhålla, behandla, lagra och skydda personuppgifter om anställda tillhandahålls disciplinära, materiella, administrativa och straffrättsliga ansvar (del 1 i artikel 24 i lagen av den 27 juli 2006).

Disciplinärt ansvar

endast de anställda som har åtagit sig att följa reglerna för arbete med personuppgifter och har brutit mot dem kan involveras.

Materialansvar

kan inträffa om, i samband med brott mot reglerna för arbete med organisationens personuppgifter, direkt faktisk skada orsakas (artikel 192, artikel 238 i arbetslagen).

För brott mot förfarandet för insamling, lagring, användning eller distribution av personuppgifter kommer organisationen och dess tjänstemän att bli böter. Inom ramen för en inspektion kan Roskomnadzor upptäcka flera olika kränkningar. Då kommer han att ta ut flera böter samtidigt.

Bötesbeloppet beror på vilken typ av brott som begås. Således kan tjänstemän bötfällas med 3 000 till 20 000 rubel, enskilda företagare - med 5 000 till 20 000 rubel, en organisation - med 15 000 till 75 000 rubel.

Straffansvar

Enligt artikel 137 i brottsbalken kan det för chefen för en organisation eller annan person som ansvarar för att arbeta med personuppgifter inträffa om det är olagligt:

  • samla in eller sprida information om en anställds privata liv, som utgör hans personliga eller familjehemlighet, utan hans medgivande;
  • sprida information om en anställds liv i ett offentligt tal, offentligt visat arbete eller i media.

Följande ansvarsåtgärder planeras för dessa överträdelser:

  • böter på upp till 200 000 rubel. (eller i den dömdes inkomst för en period på upp till 18 månader);
  • obligatoriskt arbete i upp till 360 timmar;
  • kriminalvård i upp till ett år;
  • tvångsarbete i upp till två år med eller utan fråntagande av rätten att inneha vissa positioner eller bedriva viss verksamhet i upp till tre år;
  • arrestering i upp till fyra månader;
  • fängelse i upp till två år med berövande av rätten att inneha vissa positioner eller bedriva viss verksamhet i upp till tre år.

Om arbetstagarens rättigheter kränks till följd av kränkningar som begås av arbetsgivaren när han arbetar med personuppgifter, har han också rätt att kräva ersättning för moralisk skada från organisationen. Ersättning för moralisk skada utförs oavsett ersättning för egendomsskada och andra förluster som den anställde ådrar sig. Detta anges i del 2 i artikel 24 i lagen av 27.07.2006. Förfarandet för ersättning för moralisk skada regleras av civilrätt ().

TIN är inte personuppgifter

Varje skattebetalare tilldelas en enda skattebetalare för hela Ryska federationens territorium för alla typer av skatter och avgifter TIN. Det bildas som digital kod, bestående av en sekvens av nummer som kännetecknar skattemyndighetskoden (4 siffror), serienummer register över en person i USRN (6 tecken) och ett kontrollnummer (2 tecken).

TIN är faktiskt numret på personens register i Unified State Register of Taxpayers och är inte information som ingår i personuppgiftslistan; det används enbart för att effektivisera bokföringen av skattebetalare inom systemet med skattemyndigheter, och även tjänar bara till att påskynda behandlingen av ett enormt informationsflöde för att iaktta skattebetalarnas rättigheter ...

Anm .: Finansministeriets brev nr 03-01-11 / 76554 daterad 25.10.2018.







2021 gtavrl.ru.