Skydd av anställdas personuppgifter. Förbered dokument i tjänsten Personuppgifter


Varje dag utför människor många operationer i nätverket som involverar användning av personuppgifter från en medborgare. De flesta av dem känner inte till enkla säkerhetsregler när de använder Internet. Av denna anledning har regeringen tilldelat skyldigheten att skydda dessa medborgare till institutioner som använder anställdas information.

Det huvudsakliga juridiska dokumentet som reglerar behandlingen av personlig information av olika organisationer är lagen om personuppgifter av den 27 juli 2006 nr 152-FZ.

Bestämmelserna i lagen gäller för organisationer som arbetar med behandling av personuppgifter för medborgare eller de som har tillgång till dem.

Åtgärder som inte regleras av lagen 152-FZ:

  • Personlig information behandlas av individer för personliga behov. Det bör noteras att bearbetning inte bör kränka dataägarens rättigheter;
  • Organisering av arkiv, som regleras av lagstiftning om arkivering i Ryssland;
  • Behandla personuppgifter som innehåller information relaterad till statshemligheter;
  • Personuppgifter som hänför sig till rättsväsendet och som lämnades in i domstol;
  • Personlig information relaterad till domstolarnas verksamhet.

Men visste du att lagen med föregående nummer 151 ägnas åt frågan.

När accepteras det?

152-ФЗ antogs av statsdumaen den 8 juli 2006. Federationsrådet godkände det den 14 juli 2006. Den senaste versionen av lagen inträffade den 22 februari i år. Hon agerade till 1 mars 2017.

Förfarandet för användning av personuppgifter

Enligt Rysslands lag måste företagets chef godkänna proceduren för användning av personlig information. De nödvändiga standarderna anges i organisationens lokala dataskyddsdokument. De måste uppfylla kraven i Rysslands rättsakter och 152-FZ.

En personuppgiftsoperatör är en myndighet, kommunalt organ eller enskild juridisk person som organiserar behandlingen av personlig information och bestämmer syftet med deras användning.

Operatörens ansvar inkluderar :

1. Vid insamling av personlig information tillhandahåller operatören på begäran av en medborgare information om vars uppgifter han mottog, information som föreskrivs i art. 14 h. 7 152-FZ.

2. Om en medborgare är skyldig att lämna sin information enligt lagen i Ryssland måste operatören förklara för honom att i fall av vägran kan rättsliga konsekvenser uppstå.

3. Om den personliga information som mottagits av operatören för behandling inte tillhandahölls av dess ägare är han skyldig att ge honom följande information:

  • Operatörens namn och adress;
  • För vilket ändamål behandlas uppgifterna och baseras på vilka rättsakter;
  • Rättigheterna för medborgaren vars data erhölls;
  • Vilken källa användes för att få personlig information.

4. Enligt bestämmelserna i 152-FZ utser operatören en ansvarig person i en viss organisation som organiserar behandling av mottagna material. En auktoriserad person får instruktioner om ytterligare åtgärder från operatören.

Hantering av personlig information under 152-ФЗ är tillåten i följande fall:

  • Analysen av personlig information har rätt att utföras med medgivande från den medborgare vars data mottogs;
  • Om informationsbehandling krävs för att uppnå de mål som föreskrivs i Rysslands lag eller Rysslands internationella fördrag;
  • Informationsanalys är nödvändig för domstolen;
  • Behandling av information krävs för att skydda en medborgares liv;
  • Det produceras för statistiska eller forskningsändamål, med undantag för de syften som anges i artikel 15, 152-FZ.

Förresten, texten i lagen om posttjänster är också viktig att studera. detaljer

Nya ändringar av den federala lagen "om skydd av personuppgifter"

Eftersom lagstiftningsakter ofta genomgår anpassningar gjordes också ändringar av 152-FZ.

På grund av ikraftträdandet av den federala lagen av den 03.07.2016 nr 230-ФЗ har villkoren för analys av personlig information som beskrivs i federal lag 152 ändrats.

Avsnitt 3

Avsnitt 3 i lagen beskriver de grundläggande begreppen som används i lagen: personuppgifter, operatör, behandling av personlig information samt distribution och tillhandahållande av personlig information. I den senaste upplagan har den skickade artikeln inte ändrats.

Avsnitt 5

Artikel 5 i den federala lagen beskriver principerna för informationsanalys. Det noteras att behandling av information endast utförs enligt lag och att det är förbjudet att kombinera databasen med personuppgifter från medborgarna. I den senaste revisionen har den aktuella artikeln inte ändrats.

Avsnitt 7

I den sjunde art. 152-FZ uppger att operatörer och andra ansvariga personer som har fått tillgång till personuppgifter är skyldiga att inte sprida information utan att ha fått samtycke från ägaren. Artikeln har inte genomgått förändringar.

Avsnitt 9

I den nionde art. 152-ФЗ information om ämnets samtycke till behandlingen av hans personuppgifter anges. Ger information om hur man utarbetar ett skriftligt samtycke.

Med den senaste revisionen gjordes inga ändringar i den aktuella artikeln.

Avsnitt 19

19, artikel 152 i den federala lagen anger åtgärder för att säkerställa säkerheten för personlig information vid analysen av den.

Ladda ner 152-FZ

För att lösa en konfliktsituation eller andra problem relaterade till skyddet av personuppgifter, studera den senaste upplagan av Rysslands 152-FZ. Alla ändringar, tillägg och ändringar presenteras i. Du kan ladda ner den ändrade lagen genom

Personuppgifter om anställda - all information som är nödvändig för administrationen i samband med arbetsförhållanden och som rör en viss anställd (punkt 1 i artikel 3 i lagen av 27 juli 2006 nr 152-FZ).

Namn och annan information om en person är personuppgifter. Om du har anställda eller lagrar personuppgifter om sökande, kunder eller andra individer måste du följa detta krav på personuppgifter   Nr 152-ФЗ daterad 06/27/2006

Bokförings- och personaltjänsterna lagrar dokument där de anställdas personuppgifter - lön, personliga kort, personliga filer och andra. Alla anställdas personuppgifter kan endast erhållas från sig själv. Om personlig information endast kan erhållas från tredje part, meddela först den anställde om detta och få skriftligt medgivande från honom. Informera medarbetaren om målen, de påstådda källorna och metoderna för att få personuppgifter. Underrätta honom dessutom om arten av de personuppgifter som ska tas emot och konsekvenserna av den anställdes vägran att godkänna deras mottagande.

Viktigt! - löninformation - också personuppgifter. Detta framgår av Roskomnadzors brev av den 07.02.2014 nr 08KM-3681. Eftersom revisoren felaktigt lagrar eller skyddar data om periodiseringar och betalningar till anställda. Till exempel, utan en anställds samtycke, kan inte löninformation delas med sin ex-fru.

Organisationen har inte rätt att samla in personuppgifter som inte är direkt relaterade till den anställdes arbete, till exempel information om religion, politiska tillhörigheter, bostadsförhållanden, etc. Denna information utgör en medborgares personliga eller familjiga hemlighet, som han har rätt att inte avslöja för någon. Detta anges i punkt 4 i del 1 i artikel 86 i arbetslagen och lagen av 27 juli 2006 nr 152-FZ.

Vid mottagande av personuppgifter samtycker arbetsgivaren till att inte distribuera eller lämna ut dem till tredje part utan medarbetarens samtycke (artikel 7 i lagen av 27 juli 2006 nr 152-FZ).

Arbetsgivaren förvarar kopior av de anställda

inspektörer från Roskomnadzor kan beteckna pass, militära ID, äktenskapscertifikat, förlossningscertifikat som behandling av personuppgifter som är överflödiga med avseende på de angivna syftena med deras behandling. Det finns domstolar som stöder denna ståndpunkt (beslut av FAS i Nordkaukasusdistriktet daterat 04.21.2014 nr A53-13327 / 2013, daterat 11.03.2014 nr A53-10287 / 2013). I detta fall organisationen och dess tjänstemän.

Förordning om skydd av personuppgifter, beslut om utnämning av den ansvariga

För att förhindra avslöjande av personuppgifter, måste du skapa ett pålitligt system för att skydda dem. Förfarandet för att erhålla, bearbeta, överföra och lagra sådan information anges i organisationens lokala lag, till exempel i förordningen om att arbeta med anställdas personuppgifter (.docx 52Kb). Tjänsten godkänns av organisationschefen. Bekanta medarbetare med det undertecknade dokumentet (artikel 8, punkt 8, del 1, artikel 86, 87 i arbetslagen, punkt 2, del 1, artikel 18.1 i lagen av 27 juli 2006 nr 152-FZ).

För att undvika sanktioner, leta i memo för vilka handlingar med personuppgifter som kan straffa en revisor.

Det är nödvändigt att utse en person som ansvarar för att arbeta med personuppgifter. Som regel är en sådan anställd en anställd i personaltjänsten, eftersom det är under hans arbete som han ofta möter anställdas personuppgifter. Ange den person som är ansvarig för att arbeta med personuppgifter efter beställning (.docx 36Kb) i vilken form som helst (del 5 i artikel 88 i tullkoden).

Obs: Ladda ner en annan provorder "Om utnämning av ansvariga tjänstemän för skydd av personuppgifter" (.docx 14Kb)

Vid behandling av personuppgifter i ett informationssystem är det nödvändigt att säkerställa skyddet och säkerheten för personuppgifter. Samtidigt är ett hot mot säkerheten för personuppgifter en kombination av villkor och faktorer som skapar risken för obehörig (inklusive oavsiktlig) åtkomst till personuppgifter under deras behandling i systemet, vilket kan leda till:

  • förstörelse;
  • förändras;
  • blockering;
  • kopiering;
  • bestämmelse;
  • distribution;
  • andra olagliga handlingar med personuppgifter.

Anmärkning: Klausul 6 i kraven som godkänts i regeringsdekretet 01.11.2012 nr 1119.

För att kontrollera säkerheten för personuppgifter under deras behandling utför arbetsgivaren eller en person som är auktoriserad av honom minst en gång vart tredje år kontrollkontroller, vilka specifika datum arbetsgivaren bestämmer oberoende. Vid behov kan organisationer eller enskilda företagare som har tillstånd att genomföra aktiviteter för teknisk skydd av konfidentiell information vara inblandade i att genomföra en revision på avtalsbasis (punkt 17 i kraven, godkänd i regeringsdekret nr 1119 av 1 november 2012)

Samtycke till behandlingen av personuppgifter

Under verksamheten måste arbetsgivaren behandling av personuppgifter från anställda. Behandlingen av sådana uppgifter, med undantag för enskilda fall, sker endast med anställdas skriftliga medgivande. I detta fall bör medgivandet innehålla följande information:

  • efternamn, namn, patronym, anställdes adress, passens uppgifter (annat dokument som bevisar hans identitet), inklusive information om utfärdandet av dokumentet och myndigheten som utfärdade det;
  • namn eller efternamn, namn, patronym och adress till arbetsgivaren (operatören) som får arbetstagarens samtycke;
  • syfte att behandla personuppgifter;
  • en lista över personuppgifter för behandling av vilket samtycke ges;
  • namn eller efternamn, namn, patronym och adress till den person som behandlar personuppgifterna på arbetsgivarens vägnar, om behandlingen anförtros en sådan person;
  • en lista över åtgärder med personuppgifter för vilka samtycke ges; en allmän beskrivning av de metoder som arbetsgivaren använder för att behandla personuppgifter;
  • den period under vilken arbetstagarens samtycke är giltigt, samt metoden för återkallelse, om inte annat anges i federal lag;
  • anställdes signatur

Om arbetstagaren är oförmögen, ges skriftligt samtycke till behandlingen av hans personuppgifter av hans juridiska ombud: förälder, vårdnadshavare (del 6 i artikel 9 i lagen av 27 juli 2006 nr 152-FZ).

Den anställde kan när som helst dra tillbaka samtycke till behandling av personuppgiftergenom att skicka en godtycklig granskning till arbetsgivaren. I en sådan situation har organisationen rätt att fortsätta behandla personuppgifter utan medgivarens medgivande, med hänsyn till begränsningarna från klausul 2–11 i artikel 6, del 2 i artikel 10, del 2 i artikel 11 i lag nr 152-FZ av 27 juli 2006. Till exempel för att få rättvisa eller skydda anställdas liv eller hälsa. Detta anges i del 2 i artikel 9 i lagen av 27 juli 2006 nr 152-FZ.

I händelse av tvist är arbetsgivaren skyldig att tillhandahålla bevis på att arbetstagarens samtycke till behandlingen av hans personuppgifter (del 3 i artikel 9 i lagen av den 27 juli 2006 nr 152-FZ).

Med medarbetarens samtycke har organisationen också rätt att överlåta behandlingen av personuppgifter till en annan person (del 3 i artikel 6 i lagen av 27 juli 2006 nr 152-FZ). I detta fall är arbetsgivaren fortfarande ansvarig gentemot den anställda för den angivna personens handlingar, och den som direkt behandlar personuppgifter på arbetsgivarens vägnar kommer att vara ansvarig direkt mot arbetsgivaren (del 5 i artikel 6 i lagen av 27 juli 2006 nr 152-FZ).

Samtycke till behandlingen av personuppgifter   arbetsgivaren måste ta emot inte bara från anställda som de har ett anställningsförhållande med, utan också från arbetssökande, liksom från personer med vilka civilrättsliga avtal ingås i organisationen. Detta anges i punkt 5 i förklaringarna från Roskomnadzor daterad 12/14/2012.

Är det nödvändigt att få medgivande från en anställd för behandling av personuppgifter under anställningen

Det beror på vilken information organisationen vill få.

En arbetsgivare får endast ta emot, lagra och överföra information om en anställd som är nödvändig för att uppfylla ett anställningsavtal (klausul 2, 5 del 1 i artikel 6 i lagen av 27 juli 2006 nr 152-ФЗ, nedan - lag nr 152-ФЗ, punkt 1, 2 förtydliganden av Roskomnadzor daterad 12/14/2012, nedan - Förklaringar). En anställd agerar som part i ett anställningsavtal, därför är det inte nödvändigt att få samtycke från honom för att behandla personuppgifter i alla fall. Till exempel har en arbetsgivare rätten, utan en anställds samtycke, att behandla personuppgifter som han har fått:

  • enligt resultaten av en obligatorisk preliminär medicinsk undersökning (artikel 69 i arbetslagen, klausul 3 i förtydligningarna);
  • från de dokument som den anställd presenterade vid anställningskontraktets ingång (artikel 65 i arbetslagen);
  • på uppdrag av ett rekryteringsbyrå som handlar på sökandens vägnar (punkt 12 s. 5 Förklaringar);
  • från kandidatens CV på Internet, tillgängligt för ett obegränsat antal personer (klausul 10 del 1 i artikel 6 i lag nr 152-FZ, punkt 12 i punkt 5 i förtydligningarna).

Samtycke till behandlingen av uppgifter i det belopp som tillhandahålls av ett personligt kort krävs inte. Inklusive att du kan be den anställde om information om hans nära släktingar (punkt 2 i förklaringarna).

Samtycke behövs när du vill få ytterligare information från den sökande som inte behövs för att uppfylla anställningsavtalet. Till exempel en personlig e-postadress eller telefonnummer. Få också samtycke om du överför personalens personuppgifter till tredje part. Till exempel en säkerhetsorganisation som övervakar åtkomstkontroll i ditt företag, eller en tredje part som håller register över ditt företag (avsnitt 5 i förklaringarna).

Behöver jag få medgivande till behandling av personuppgifter för en anställd för tillverkning av ett märke

Svaret på frågan beror på syftet med att göra märket. Samtycke krävs om detta förfarande inte faller i fall där databehandling inte krävs.

Personalens personuppgifter är informationnödvändig organisation och relaterar till en viss individ, det vill säga en specifik anställd. Exempel på sådan information kan vara anställdes efternamn, namn, patronym. Detta anges i artikel 3 punkt 1 i lagen av 27 juli 2006 nr 152-FZ.

I det allmänna fallet krävs medarbetarens samtycke för att behandla den anställdes personuppgifter (punkterna 2–11, del 1, artikel 6, del 2, artikel 10, del 2 i artikel 11 i lag nr 152-FZ av den 27 juli 2006). Samtidigt föreskriver lagen undantagsfall när det inte är nödvändigt att få medgivande. Om till exempel behandlingen av data är förknippad med den anställdes utförande av officiella uppgifter, inklusive när han är på affärsresa. Eller om behandlingen av personuppgifter utförs under genomförandet av åtkomstregimet inom kontorsbyggnader och lokaler för arbetsgivaren, förutsatt att organisationen organiserar åtkomstregimen på egen hand. Detta anges i punkterna 1–5 i förklaringarna från Roskomnadzor daterad 12/14/2012.

Således, om tillverkningen av ett märke på grundval av syftet faller under de angivna undantagen, är det inte nödvändigt att få ytterligare medarbetares samtycke. Om det inte passar och att göra ett märke hänvisar det till ett engångsförfarande som inte är direkt relaterat till den anställdas arbetsaktivitet, måste du få medgivande.

Om du tar ett foto på ett märke måste du få medarbetarens samtycke till behandlingen av personuppgifter. Ett fotografi är biometriska uppgifter (fastställande av Högsta domstolen den 5 mars 2018 nr 307-KG18-101).

Förbered dokument i tjänsten Personuppgifter

Disciplinär, materiellt, administrativt och straffrättsligt ansvar för brott mot arbete med perser

För brott mot förfarandet för mottagande, behandling, lagring och skydd av personuppgifter om anställda tillhandahålls disciplinära, materiella, administrativa och straffrättsliga ansvar (, del 1 i artikel 24 i lagen av 07.27.2006).

Disciplinära åtgärder

endast de anställda som har åtagit sig att följa reglerna för att arbeta med personuppgifter och har brutit mot dem får vara inblandade.

material ansvar

kan uppstå om direkt faktisk skada orsakas på grund av brott mot reglerna för att arbeta med organisationens personuppgifter (artikel 192, artikel 238 i tullkodexen).

För brott mot förfarandet för insamling, lagring, användning eller spridning av personuppgifter kommer organisationen och dess tjänstemän att bli böter. Vid en inspektion kan Roskomnadzor upptäcka flera olika kränkningar. Då kommer han att ålägga flera böter samtidigt.

Storleken på böterna beror på typen av brott. Så, tjänstemän kan bli böter med 3 000 till 20 000 rubel, enskilda företagare - från 5 000 till 20 000 rubel, en organisation - med 15 000 till 75 000 rubel.

Straffrättsligt ansvar

Enligt artikel 137 i strafflagen kan det för chefen för en organisation eller annan person som ansvarar för att arbeta med personuppgifter uppstå om det är olagligt:

  • samla in eller sprida information om anställdas privata liv, som utgör hans personliga eller familjiga hemlighet, utan hans samtycke;
  • att sprida information om anställdas liv i ett offentligt anförande, ett offentligt visat arbete eller media.

Följande ansvarsåtgärder tillhandahålls för dessa brott:

  • ett böter på upp till 200 000 rubel. (eller i beloppet på fängelsens inkomst för en period av upp till 18 månader);
  • obligatoriskt arbete i upp till 360 timmar;
  • krigsarbete i upp till ett år;
  • tvångsarbete i upp till två år med berövande av rätten att besätta vissa positioner eller bedriva viss verksamhet under en period av upp till tre år eller utan den;
  • gripande i upp till fyra månader;
  • fängelse i upp till två år med berövande av rätten att besätta vissa positioner eller bedriva viss verksamhet under en period på upp till tre år.

Om till följd av kränkningar som begåtts av arbetsgivaren när han arbetar med personuppgifter kränks den anställdes rättigheter har han också rätt att kräva ersättning från organisationen för icke-ekonomisk skada. Ersättning för icke-ekonomisk skada utförs oavsett kompensation för egendomskador och andra förluster som anställden har uppstått. Detta anges i del 2 i artikel 24 i lagen av 07.27.2006. Förfarandet för kompensation för icke-ekonomisk skada regleras av civilrätt ().

TIN är inte personuppgifter

Varje skattebetalare tilldelas ett enda TIN i hela Ryssland för alla typer av skatter och avgifter. Den är utformad som en digital kod som består av en sekvens av siffror som karakteriserar skattemyndighetskoden (4 siffror), serienumret för personens post i USRN (6 siffror) och ett kontrollnummer (2 siffror).

TIN är faktiskt numret på personregistret i Unified State Register of Taxpayers och är inte information som ingår i listan över personuppgifter, används endast för att effektivisera skattebetalarnas redovisning inom skattemyndigheternas system och tjänar också till att påskynda behandlingen av ett enormt informationsflöde i syfte att följa skattebetalarnas rättigheter .

Anmärkning: Finansministeriets brev nr 03-01-11 / 76554 av den 10.25.2018.

Inte alla företag och enskilda företagare vet om de är operatörer av personuppgifter och om de behöver överföra information om sig själva till Roskomnadzor. Låt oss ta reda på vem tjänsten övervakar närmare och hur man informerar medborgarna om behandlingen av personlig information.

Vem är personuppgiftsoperatörerna och vad gör de

De flesta vet att personuppgifter (nedan kallat PD) innehåller information om medborgarnas efternamn, namn och patronym, information från hans pass, mobiltelefonnummer, bostadsadress, e-post. Vilken annan information kan ingå i denna lista? Det visar sig att någon: en uttömmande lista visas inte någonstans, och i princip kan den inte vara det. Detta bekräftas av formuleringen i Federal lag av den 27 juli 2006 nr 152-FZ:

Personuppgifter - all information som direkt eller indirekt hänför sig till en specifik eller bestämbar fysisk person (föremål för personuppgifter).

Det visar sig att i vissa fall bilens efternamn, namn och nummer räcker för att identifiera medborgaren, och i andra kommer du också att behöva numret på hans körkort och registreringsadress.

En operatör av personuppgifter är en statlig eller kommunal myndighet, juridisk person eller person som:

  • oberoende eller tillsammans med andra personer organiserar och / eller utför PD-behandling;
  • definierar målen att arbeta med personlig information, dess sammansättning samt åtgärder (operationer) med den.

Det vill säga att alla som begär och använder PD är operatören. Och alla som har tillgång och bearbetar information som kan användas för att identifiera en medborgare arbetar faktiskt med PD och är ansvariga för att de inte uppfyller lagen om deras skydd.

Låt oss föreställa oss vem som kan relatera till operatörerna av PD. Banker? Yes! Webbplatser som samlar in material om prenumeranter? Yes! Lag- och redovisningsföretag som tillhandahåller olika tjänster? Yes! Butiker och skönhetssalonger som erbjuder att köpa ett bonuskort? Ja igen! Husägarföreningar, universitet, dagisar, resebyråer, medicinska anläggningar, automatiska system, inklusive statliga? Ja, ja, ja! PD-operatörer - överallt, i alla områden!

Operatörens ansvar vid behandlingen av personuppgifter

Alla som arbetar med PD måste följa vissa regler för insamling, säkerhet, förtydligande, blockering och förstöring av denna typ av information. Enligt lag nr 152-FZ måste operatörer:

Registrering i Roskomnadzor som personuppgiftsoperatör

Lagen föreskriver att innan du börjar arbeta med PD måste du kontakta den auktoriserade handledaren och meddela om arbetets start med personlig information. Detta betyder inte att varje företag bör ingå i registret över personuppgiftsoperatörer i Roskomnadzor. Denna lista inkluderar inte:

  • arbetsgivare. De samlar in och lagrar information i enlighet med arbetsrätten, till exempel vid upprättande av anställningsavtal, olika personalorder;
  • mobiltelefonföretag eller fasttelefonföretag, om uppgifterna endast erhålls för tillhandahållande av kommunikationstjänster enligt det ingående avtalet, inte distribueras och inte tillhandahålls tredje man utan PD-medgivarens samtycke
  • offentliga föreningar eller religiösa organisationer som får tillgång till uppgifter från sina medlemmar (deltagare) för att uppnå de mål som anges i de ingående dokumenten;
  • organisationer och individer som använder offentligt tillgänglig information som PD-enheter själva har avslöjat, till exempel på personliga webbplatser;
  • alla företag med ett passsystem. Om en medborgares passdata skrivs om för att utfärda ett enda pass till organisationens territorium behöver du inte registrera dig;
  • system med status som statliga automatiserade informationssystem, samt statliga PD-system skapade för att skydda statens säkerhet och allmän ordning. Det finns många av dem, inklusive "Era-Glonass" och "Management" -systemen, AIS-redovisning för ideella och religiösa organisationer och många andra på federala och regionala nivåer;
  • medborgare och organisationer som bearbetar information utan att använda automatiseringsverktyg (dator). Samtidigt måste de styras av de godkända kraven Regeringsbeslut av den 15 september 2008 N 687;
  • organisationer som begär data för att säkerställa att transportkomplexet fungerar säkert, till exempel vid bokning och köp av biljetter, inklusive via onlinetjänster av transportörer eller mellanhänder.

Med tanke på dessa formuleringar faller många organisationer inte längre i registret över operatörer som behandlar personuppgifter, som underhålls av Roskomnadzor. Men de som undantag inte gäller måste nödvändigtvis vara på listan över regleringsorgan.

Registreringsförfarandet består i att lämna in ett meddelande i en viss form. Det kan hittas genom registret av personuppgifter från Roskomnadzor, public service portal eller med hjälp av Order från Rysslands kommunikationsministerium av den 12.21.2011 N 346. Du kan ladda ner nödvändigt dokument gratis i slutet av denna artikel.

Oavsett metod för att informera tjänstemännen måste anmälan ange:

  • fullständigt och förkortat namn på företaget som anger den juridiska formen, samt juridisk och postadress, TIN;
  • de behandlingsmål som anges i de ingående dokumenten eller faktiskt genomförts;
  • pD-kategorier som ska behandlas;
  • försökspersoner vars PD planeras behandlas, inklusive förhållanden med dem, till exempel en passagerare, en låntagare, en abonnent, en insättare, en försäkrad;
  • grunden för vilken det finns rätt till behandling (till exempel artiklar Rysslands luftkod   eller civil lag   om handlingar av civil status), inklusive tillgången på en licens för en pågående typ av verksamhet;
  • beskrivning av använda PD-bearbetningsmetoder och deras lista: manuell, automatiserad eller blandad bearbetning;
  • information om de personer som ansvarar för att organisera behandlingen av PD, deras telefonnummer, postadresser, e-post;
  • information om kryptering (kryptografiska) medel;
  • datum för inledningen, samt villkoren för avslutande av behandlingen av PD
  • information om var data lagras under behandlingen, inklusive om det land där databaserna med information om PD för medborgare i Ryssland finns;
  • information om att säkerställa säkerheten för PD i enlighet med fastställda krav Enligt Rysslands regering av den 11.11.2012 N 1119.

Observera att registreringen av personuppgiftsoperatören på Roskomnadzors webbplats görs under en 30-dagarsperiod. Om en elektronisk ansökan lämnas in måste företaget skicka en ytterligare papperskopia av anmälan till den territoriella myndigheten. Om det inte finns tillräcklig information skickar tjänstemän en begäran om förtydligande av de inlämnade dokumenten. Det är omöjligt att vägra att acceptera anmälan och ange information om organisationen i registret.

Om organisationen av olika skäl har ändrat syftet med att behandla PD eller om andra ändringar behöver göras, skickar den inom tio dagar ett brev till Roskomnadzor i föreskriven form. Dokumentet kan hittas nedan. Dessutom finns webbplatsen tillgänglig för läsarna att ladda ner det dokumentformulär som är nödvändigt för att utesluta företaget från registret.

Alla tjänster som tillhandahålls i detta fall av Roskomnadzor är gratis.

Ansvar för vägran att registrera sig i registret

Nuvarande lagstiftning föreskriver administrativt ansvar för brott mot kraven för skydd av PD. Enligt Federal lag av den 7 februari 2017 nr 13-FZ, som började verka den 1 juli 2017, år artikel 13.11 i Rysslands administrativa kod   Det finns flera brott för vilka personuppgiftsoperatörer kan bli böter. Beroende på brottet varierar böterna för juridiska personer enligt denna artikel från 15 000 till 75 000 rubel och för individer - från 5 000 till 20 000 rubel.

Ett vägran att registrera sig i registret kan betraktas som underlåtenhet att lämna information till tillsynsmyndigheten. Straff för detta föreskrivs i artikel 19.7 i Rysslands administrativa kod. Enligt det har tjänstemän en böter på 300 till 500 rubel och lagligt - från 3 000 till 5 000 rubel.

Vad gäller överträdelser av lagen om personuppgifter. De träder i kraft den 1 juli 2017 och kommer att påverka alla som samlar in, bearbetar och lagrar all personlig information.

Böter delades upp efter typ av överträdelse och ökade tiofaldigt. Om du till exempel inte publicerar en integritetspolicy på webbplatsen kan individer böjas 10 000 rubel och ett företag 30 tusen. Och om du behandlar personuppgifter utan samtycke från klienten till onlinebutiken eller abonnenten på informationskursen kommer böterna för en juridisk enhet att uppgå till 75 tusen rubel. Företagets chef eller företagaren måste betala upp till 20 tusen. Om det finns flera överträdelser kommer det att bli flera böter.

Behöver akut att städa dina webbplatser. Kontroller pågår redan 💻

Nu kan rapporter om överträdelser endast utfärdas av åklagarmyndigheten. Böterna beror inte på typ av överträdelse och uppgår till högst 1000 rubel för en enskild företagare eller direktör och 10 tusen rubel för en juridisk enhet. Förfarandet tar mycket tid, böterna är små, så de kontrollerar sällan och inte alla.

Hur vet jag om jag är en personuppgiftsoperatör?

Personuppgifter är all information om en person genom vilken han kan identifieras. Det finns ingen lista över sådana uppgifter i lagen, så vi måste gissa oss själva. Till exempel kan du inte förstå vilken typ av person det är med namn eller inloggning, men du kan med namn och telefon eller namn och e-post.

Troligtvis är du operatör av personuppgifter om du på något sätt får från någon sådan information i någon kombination:

  • efternamn
  • mellannamn
  • någon form av fysisk adress
  • e-post,
  • telefon
  • födelsedatum eller plats,
  • ett fotografi
  • länk till en personlig webbplats eller sociala nätverk,
  • yrke
  • utbildning
  • inkomstnivå
  • äktenskaplig status.

Detta innebär att alla ägare till webbplatser som har personliga konton, feedback, prenumerations- eller registreringsformulär, där du kan köpa något, placera en annons, fylla i ett formulär, är operatörer av personuppgifter. Även om webbplatsen bara har en knapp för att beställa ett samtal eller skicka ett meddelande, bearbetar detta också personuppgifter.

Och om jag spelar in en väns telefon eller flickas e-post på en datingsida, måste jag följa denna lag?

Nej, inte nödvändigt. Lagen gäller inte för uppgifter för personliga och familjära behov. Men om du skickar vänens telefon till samlarna eller publicerar en annons med tjejens mail på forumet för kvinn hatare - är detta redan en kränkning.

Hur man arbetar med personuppgifter för att inte bryta mot lagen?

Som ett minimum behöver du:

  • få skriftligt medgivande från varje besökare, klient eller abonnent för behandling, lagring och spridning av personuppgifter;
  • publicera information i public domain om allt relaterat till kunders och besökares personuppgifter;
  • begär bara de uppgifter som behövs för ett specifikt syfte. Du kan till exempel inte be om din hemadress eller passinformation för att prenumerera på nyhetsbrevet via e-post;
  • använda uppgifterna endast för de syften som anges i dokumenten och som personen varnade för;
  • informera på begäran av personen vilka uppgifter du har om honom, hur och varför de behandlas och till vilka du överförde dem;
  • radera på begäran de data som används för att skicka information om rabatter och kampanjer;
  • förvara databaser på ett säkert ställe, skydda dem från hacking och läckage;
  • lär anställda att arbeta med personuppgifter;
  • registrera dig på Roskomnadzor.

Vad? Ska jag registrera mig någon annanstans?

Ja, enligt lag måste personuppgiftsoperatörer meddela Roskomnadzor. Och du måste göra detta innan databearbetningen påbörjas eller så snart som möjligt. Roskomnadzor lägger till information om operatören i det allmänna registret och kommer att utfärda den på begäran.

Meddelande kan utelämnas om:

  • endast anställdas data behandlas;
  • personuppgifter erhålls endast för att utföra ett specifikt avtal med en viss person och kommer inte längre att användas, och ännu mer - sprids;
  • personen själv har publicerat dessa uppgifter i det offentliga området;
  • du har bara klientens namn och inget mer.

Jag har en webbplats och jag får personuppgifter. Vad ska jag göra?

Om du fortfarande inte har gjort någonting, bryter du redan lagen och du kan bli böter just nu. Även om din webbplats är värd av en webbstudio eller en fjärr IT-specialist, kommer straffen fortfarande att skrivas till företaget eller enskilda företagare som anges på webbplatsen.

Förbered offentliga dokument och publicera dem på webbplatsen så att de finns tillgängliga på alla sidor. Detta kan vara ett användaravtal som "Lamoda", försäljningsregler, officiellt meddelande, som "M-video", sekretesspolicy, som "Restaurant", "Adidas" eller "Ozone". Du kan ange villkoren för behandling av personuppgifter i ett vanligt avtal eller erbjudande, som Sberbank gör.

Använd inte andras dokument. De kan tas som referens, men listan med data och syftet med användning bör skrivas ned. Vad en bank behöver för att bearbeta ett lån eller en webbutik för att leverera varor kommer inte att behövas för elektronisk post eller anslagstavlor. Att begära onödiga uppgifter är ett brott mot lagen och en anledning till böter.

Implementera en lösning som tydligt kommer att fastställa att personen har gått med på att behandla personuppgifter. Detta kan vara en bock i registreringsformuläret eller en varning när du gör en beställning. För tillförlitlighet, certifiera webbsidor hos en notarie.

Förbered interna dokument för lagring av personuppgifter och ansvaret för de anställda som arbetar med dem. Beställningar, förordningar och arbetsbeskrivningar behöver inte delas.

Skicka vid behov ett meddelande till Roskomnadzor. Om du är säker på att du inte behöver skicka ett meddelande, ordna dokumenten så att det är klart under kontrollen. Skriv till exempel i policyn att du bara använder personuppgifter för att utföra ett specifikt avtal. Eller indikera att du skapar en resurs som data placeras i den allmänna domänen på begäran av användaren.

Stämmer det att personuppgifter bara kan lagras på ryska servrar? Om jag har en värd i Europa bryter jag lagen?

Lagen har mycket oförståelse om detta. Å ena sidan måste du samla in, bearbeta och lagra databaser på ryska servrar. Men det finns en separat artikel om gränsöverskridande dataöverföring. Kommunikationsministeriets webbplats har publicerat förtydliganden om detta ämne, men de har också många motsägelser.

Dra slutsatser var du ska lagra informationen själv. Om du inte vet vad du ska göra, skicka en begäran till Roskomnadzor eller kommunikationsministeriet. Du kan också kontakta din hoster: ofta har dessa företag färdiga lösningar.

Ja, lugna ner er alla! Ingen kommer att bli böter på grund av vissa former på webbplatsen och onödiga papper.

I Tambov-regionen böter åklagare ett advokatbyrå för att fylla i ett återkopplingsformulär utan användarens samtycke till behandlingen av personuppgifter. Domstolar som stöds.

Förvaltningsbolagets styrelseledamöter fick böter för att ha överlämnat gäldenärens uppgifter till advokater för att utarbeta fordran. Han fick inte samtycke till behandling av personuppgifter från invånare. Författningsrätten hjälpte inte honom.

I Astrakhan böter åklagare på webbplatsägare för alfabetiska feedbackformulär.

Förutom böter till förmån för staten för brott mot reglerna för behandling av personuppgifter, kan de söka ersättning för icke-ekonomisk skada och till och med sätta i fängelse.

Lagen om personuppgifter är mycket oförståelig. Vi sorterade det och svarade

Hur man säkerställer insamling, behandling och skydd av en anställds personuppgifter, vilka lagar som styr arbetet med personal i en organisation - detta diskuteras i artikeln.

Från artikeln kommer du att lära dig:

Skydd och behandling av personuppgifter

Ladda ner relaterade dokument:

Denna lista är inte uttömmande. Med hänsyn till specifika uppgifter om enskilda tjänster eller typer av arbete, kan arbetsgivaren begära att sökande får ett intyg om hälsostatus samt brist på kriminella handlingar eller andra personuppgifter. Ta reda på hur för att undvika böterna från Roskomnadzor

Skyddet av anställdas personuppgifter tillhandahålls i enlighet med bestämmelserna i den ryska lagstiftningen. Separata standarder för fastställande av det allmänna förfarandet för behandling av information som rör konfidentiellt finns i artiklarna 86-90 i Rysslands arbetskod, artiklarna 137, 140 och 272 i Rysslands strafflagstiftning, artiklarna 5.39, 13.11-13.14 i Rysslands administrativa kod och artiklarna 150-152 och 946 Rysslands civillagstiftning.

Det finns också en separat lagstiftning som helt avslöjar begrepp som "personuppgifter", "behandling av personuppgifter och" skydd av personuppgifter. "Detta är federal lag nr 152-FZ av 27 juli 2006. Effekten av denna normativa handling gäller alla arbetsgivare, utan undantag, oavsett verksamhetsområde, från personalstrukturen och från den juridiska formen av företag. Ta reda på vilken   nu böter hårdare.

Personuppgifter och skydd av anställdas personuppgifter: lag 152-F3

Personuppgifter är inte begränsat till en viss typ av information. Personlig information är indelad i tre kategorier:

  • gemensamt;
  • speciell;
  • biometrisk.

Personuppgifter inkluderar följande information:

  1. färdighetsnivå;
  2. utbildning och erfarenhet;
  3. vinstens storlek;
  4. social eller fastighetsstatus;
  5. bostad
  6. tidigare arbetsplats;
  7. födelsedatum, medarbetarens efternamn, förnamn och patronym.

Vid insamling av sådan information får arbetsgivaren, i enlighet med lag nr 152-FZ, status som operatör, arbetstagaren tillhör ämnet med personuppgifter. Insamling, bearbetning och skydd personuppgifter   Den anställde måste genomföras enligt lag. Information om den anställda kan endast erhållas direkt från honom och inte via tredje part. Om information på grund av vissa omständigheter endast kan erhållas från en tredje part, är det värt att anmäla den anställde i förväg om detta, efter att ha fått den skriftligt medgivande. Du kan inte begränsas till muntligt avtal.

organisationens lokala lagstiftningsakt, till exempel i förordningen om arbete med personuppgifter för anställda (artiklarna 8, 87 i Rysslands arbetslag, artikel 18.1 i del 1 i lagen av 27 juli 2006 nr 152--).

Förordningen om skydd av anställdas personuppgifter godkänns av företagets chef. Alla anställda presenteras för det undertecknade regleringsdokumentet. Organisationen utser en person som är ansvarig för att arbeta med personuppgifter (del 5 i artikel 88 i Rysslands arbetskod). Den mest ofta ansvariga personen är HR-specialist, eftersom han i sitt arbete står inför bearbetning personuppgifter   anställda. Den ansvariga personen ska utses genom en order som upprättas i alla former.

Förordning om förfarandet för lagring och skydd av användarens personuppgifter

Beställ om utnämning av en personuppgiftsansvarig

Ladda ner blankt formulär
Ladda ner på .doc

Ladda ner det färdiga provet
Ladda ner på .doc

Anonymisering av information för att skydda anställdas personuppgifter

Personupplysning utförs i fall som tillhandahålls i lag. I synnerhet depersonaliserar statliga och kommunala myndigheter personuppgifter som behandlas i informationssystem, inklusive de som fungerar och skapas inom ramen för att säkerställa genomförandet av federala riktade program (stycke "h" i punkt 1 i listan som godkänts av Ryska federationens regering daterad 21 mars 2012 Nr 211).

Anonymisering betyder handlingar som gör det omöjligt att fastställa ägandet personuppgifter   till en specifik person utan att tillämpa ytterligare information (artikel 3 i lagen av 27 juli 2006 nr 152-FZ).

Organisationens chef godkänner de grundläggande reglerna för att arbeta med anonym data för att skydda anställdas personuppgifter. Kravet på att personifiera personuppgifterna gör att vi kan ge skydd och förhindra obehörig behandling av dem.


disciplinära, materiella, administrativa och straffrättsliga ansvar (artikel 90 i den ryska federationens arbetslag, del 1 i artikel 24 i lagen av 27 juli 2006 nr 152-FZ).

Ansvariga medarbetare för arbete med personer kan ställas till disciplinära eller materiella ansvar om de befintliga reglerna bryts och detta leder till skador. Organisationens tjänstemän kommer att bli böter för dessa brott.

Företagets chef, ansvariga personer för:

olaglig insamling eller spridning av konfidentiell information om anställdas integritet, om denna information är personlig eller familjehemlig;


olaglig distribution av denna information i offentliga tal, offentliga verk eller i media.







      2019 gtavrl.ru.