Diese Anweisung zur Verarbeitung personenbezogener Daten (im Folgenden als Anweisung bezeichnet) wurde in Übereinstimmung mit dem Bundesgesetz vom 27. Juli 2006 erstellt. Nr. 152-FZ „Über personenbezogene Daten“. Diese Weisung definiert das Verfahren zur Verarbeitung personenbezogener Daten und Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei CardsProService LLC, um die Rechte und Freiheiten von Einzelpersonen und Bürgern bei der Verarbeitung ihrer personenbezogenen Daten zu schützen, einschließlich des Schutzes der Rechte auf Privatsphäre, Persönlichkeit und Familie Geheimnisse.

1. BEGRIFFE UND DEFINITIONEN

1) Persönliche Angaben- alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person (Gegenstand personenbezogener Daten) beziehen;

2) Betreiber (Kunde) - staatliche Stelle, kommunale Körperschaft, juristische Person oder Einzelperson, unabhängig oder gemeinsam mit anderen Personen, die die Verarbeitung personenbezogener Daten organisieren und (oder) durchführen sowie die Zwecke der Verarbeitung personenbezogener Daten und die Zusammensetzung der zu verarbeitenden personenbezogenen Daten festlegen , mit personenbezogenen Daten durchgeführte Aktionen (Operationen);

3) Verarbeitung personenbezogener Daten- jede Aktion (Operation) oder Reihe von Aktionen (Operationen), die mithilfe von Automatisierungstools oder ohne Verwendung solcher Mittel mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Verwendung, Weitergabe (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten;

4) Automatisierte Verarbeitung personenbezogener Daten- Verarbeitung personenbezogener Daten mittels Computertechnologie;

5) Weitergabe personenbezogener Daten- Maßnahmen, die darauf abzielen, personenbezogene Daten an eine unbestimmte Anzahl von Personen weiterzugeben;

6) Bereitstellung personenbezogener Daten- Handlungen, die darauf abzielen, personenbezogene Daten an eine bestimmte Person oder einen bestimmten Personenkreis weiterzugeben;

7) Sperrung personenbezogener Daten- vorübergehende Einstellung der Verarbeitung personenbezogener Daten (außer in Fällen, in denen die Verarbeitung zur Klärung personenbezogener Daten erforderlich ist);

8) Vernichtung personenbezogener Daten- Handlungen, durch die es unmöglich wird, den Inhalt personenbezogener Daten im Informationssystem für personenbezogene Daten wiederherzustellen, und (oder) durch die materielle Träger personenbezogener Daten vernichtet werden;

9) Autorisierte Personen des Kunden- Personen, die gemäß der Vereinbarung handeln über
mit dem Kunden geschlossene Vertraulichkeitsvereinbarungen.

10) UMDepersonalisierung personenbezogener Daten- Handlungen, durch die es ohne die Verwendung zusätzlicher Informationen unmöglich wird, das Eigentum an personenbezogenen Daten einer bestimmten Person personenbezogener Daten zu bestimmen;

11) Informationssystem für personenbezogene Daten- die Gesamtheit der in Datenbanken enthaltenen personenbezogenen Daten sowie die Informationstechnologien und technischen Mittel, die ihre Verarbeitung gewährleisten;

12) Grenzüberschreitende Übermittlung personenbezogener Daten- Übermittlung personenbezogener Daten an
das Hoheitsgebiet eines fremden Staates an eine Behörde eines fremden Staates, eine ausländische natürliche Person oder eine ausländische juristische Person;

13) Testamentsvollstrecker- CardsProService LLC (123610, Moskau, Krasnopresnenskaya-Damm, Gebäude 12, Bürogebäude 1, Raum-ID, Raum 42; OGRN 1157746550070).

2. AUFTRAG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

2.1. Der Kunde ist der Betreiber personenbezogener Daten gemäß Artikel 3 Absatz 1. 6 des Bundesgesetzes vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ weist an, und der Auftragnehmer verpflichtet sich, personenbezogene Daten der Subjekte im Interesse des Kunden und zur Verfolgung von zu verarbeiten
Nutzungsbedingungen.

3. VERFAHREN ZUR INTERAKTION DER PARTEIEN

3.1. Grundlage für die Verarbeitung personenbezogener Daten von Subjekten durch den Auftragnehmer im Interesse des Auftraggebers ist die Nutzungsvereinbarung.

3.2. Das Verfahren zur Organisation der Einholung der Einwilligungen von Personen, die personenbezogene Daten betroffen sind, zur Verarbeitung und Übermittlung ihrer personenbezogenen Daten sowie die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, mit personenbezogenen Daten durchgeführte Aktionen (Vorgänge):

3.2.1. Zweck der Verarbeitung personenbezogener Daten.

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Durchführung von Treueprogrammen.

3.2.2. Liste der personenbezogenen Daten, deren Verarbeitung dem Auftragnehmer anvertraut wird

• Vollständiger Name;
• Ort, Jahr und Datum der Geburt;
• Kontakt Nummer;
• Registrierungsadresse;
• Adresse des tatsächlichen Wohnsitzes (Aufenthalts);
• Passdaten (Serie, Passnummer, von wem und wann ausgestellt);
• Telefonnummer (privat, beruflich, mobil).

• Erhebung personenbezogener Daten.
• Systematisierung personenbezogener Daten.
• Erhebung personenbezogener Daten.
• Verwendung personenbezogener Daten zur Durchführung von Treueprogrammen und zur Kommunikation mit Personen, die personenbezogene Daten verarbeiten.
• Speicherung personenbezogener Daten.
• Klärung (Aktualisierung, Änderung) personenbezogener Daten:
  
  
• Extraktion (Entladen) – nach zusätzlichen schriftlichen Anweisungen des Kunden.
• Depersonalisierung personenbezogener Daten:
  -
  - auf rechtlichen Antrag des Betroffenen der personenbezogenen Daten, mit obligatorischer schriftlicher Mitteilung an den Kunden;
  - auf Antrag staatlicher Aufsichtsbehörden zum Schutz der Rechte personenbezogener Daten, mit zwingender schriftlicher Mitteilung an den Kunden.
• Sperrung personenbezogener Daten:
  - nach zusätzlichen schriftlichen Anweisungen des Kunden;
  - auf rechtlichen Antrag des Betroffenen der personenbezogenen Daten, mit obligatorischer schriftlicher Mitteilung an den Kunden;
  - auf Antrag staatlicher Aufsichtsbehörden zum Schutz der Rechte personenbezogener Daten, mit zwingender schriftlicher Mitteilung an den Kunden.
• Persönliche Daten löschen:
  - nach zusätzlichen schriftlichen Anweisungen des Kunden;
  - auf rechtlichen Antrag des Betroffenen der personenbezogenen Daten, mit obligatorischer schriftlicher Mitteilung an den Kunden;
  - auf Antrag staatlicher Aufsichtsbehörden zum Schutz der Rechte personenbezogener Daten, mit zwingender schriftlicher Mitteilung an den Kunden.
• Vernichtung personenbezogener Daten – nach zusätzlichen schriftlichen Anweisungen des Kunden.

Die Verarbeitung personenbezogener Daten muss auf die Erreichung bestimmter, vorab festgelegter und legitimer Zwecke beschränkt sein. Eine Verarbeitung personenbezogener Daten, die mit den Zwecken der Erhebung personenbezogener Daten nicht vereinbar ist, ist nicht gestattet.
Es ist nicht gestattet, Datenbanken mit personenbezogenen Daten zusammenzuführen, deren Verarbeitung zu miteinander unvereinbaren Zwecken erfolgt.
Von der Verarbeitung unterliegen nur personenbezogene Daten, die den Zwecken ihrer Verarbeitung entsprechen.
Inhalt und Umfang der verarbeiteten personenbezogenen Daten müssen den angegebenen Verarbeitungszwecken entsprechen. Die verarbeiteten personenbezogenen Daten dürfen im Hinblick auf die angegebenen Zwecke ihrer Verarbeitung nicht überflüssig sein.
Bei der Verarbeitung personenbezogener Daten müssen die Richtigkeit der personenbezogenen Daten, ihre Angemessenheit sowie ihre Relevanz für die Zwecke der Verarbeitung personenbezogener Daten gewährleistet sein.
Die Speicherung personenbezogener Daten muss in einer Form erfolgen, die eine Identifizierung des Subjekts personenbezogener Daten ermöglicht, und zwar nicht länger als für die Zwecke der Verarbeitung personenbezogener Daten erforderlich, sofern in den Vertragsbedingungen nichts anderes festgelegt ist. Die verarbeiteten personenbezogenen Daten unterliegen der Vernichtung oder Anonymisierung bei Erreichen der Verarbeitungsziele oder bei Wegfall der Notwendigkeit zur Erreichung dieser Ziele, sofern in den Vertragsbedingungen nichts anderes bestimmt ist.

3.2.5. Organisation des Schutzes personenbezogener Daten

Schutzgegenstände

• Informationen, die personenbezogene Daten von Subjekten enthalten;
• Computermedien mit personenbezogenen Daten von Personen;
• Informationssysteme für personenbezogene Daten;
• personenbezogene Daten von Personen, die in elektronischen Datenbanken von Informationssystemen für personenbezogene Daten enthalten sind.

Um die Sicherheit personenbezogener Daten zu gewährleisten, muss der Auftragnehmer folgende Maßnahmen ergreifen:

• Erforderliche rechtliche, organisatorische und technische Maßnahmen oder deren Ergreifung sicherstellen, um personenbezogene Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, Änderung, Sperrung, Kopieren, Bereitstellung, Verbreitung personenbezogener Daten sowie vor anderen rechtswidrigen Handlungen in Bezug auf personenbezogene Daten zu schützen.
• Bereitstellung des Zugangs für die Mitarbeiter des Auftragnehmers zu personenbezogenen Daten, die im Auftrag des Kunden verarbeitet werden, nachdem diese eine Verpflichtung zur Geheimhaltung personenbezogener Daten unterzeichnet haben, Prüfung der Anforderungen des Kunden an das Verfahren zur Verarbeitung und zum Schutz personenbezogener Daten sowie lokale Vorschriften, die das Verfahren regeln Organisation und Gewährleistung des Schutzes personenbezogener Daten sowie Schulung zum Umgang mit personenbezogenen Daten.
• Identifizierung von Bedrohungen für die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten.
• Anwendung organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten, die zur Erfüllung der Anforderungen an den Schutz personenbezogener Daten erforderlich sind und deren Umsetzung das von der Regierung festgelegte Maß an Sicherheit personenbezogener Daten gewährleistet Russische Föderation.
• Bewertung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten vor der Inbetriebnahme des Informationssystems für personenbezogene Daten.
• Buchhaltung für Computerspeichermedien personenbezogener Daten.
• Feststellung von Tatsachen des unbefugten Zugriffs auf personenbezogene Daten und Ergreifen von Maßnahmen.
• Wiederherstellung personenbezogener Daten, die aufgrund unbefugten Zugriffs verändert oder zerstört wurden.
• Festlegung von Regeln für den Zugriff auf personenbezogene Daten, die im Informationssystem für personenbezogene Daten verarbeitet werden, sowie Sicherstellung der Registrierung und Abrechnung aller mit personenbezogenen Daten durchgeführten Aktionen im Informationssystem für personenbezogene Daten.
• Überwachung der Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten und des Sicherheitsniveaus von Informationssystemen für personenbezogene Daten.

Die Vernichtung personenbezogener Daten der Subjekte kann vom Auftragnehmer nur durchgeführt werden:

• nach zusätzlichen schriftlichen Anweisungen des Kunden;
• auf rechtlichen Antrag des Betroffenen der personenbezogenen Daten, mit obligatorischer schriftlicher Mitteilung an den Kunden;
• auf Antrag staatlicher Aufsichtsbehörden zum Schutz der Rechte personenbezogener Datensubjekte, mit obligatorischer schriftlicher Mitteilung an den Kunden.

3.2.8. Verfahren zur Beendigung der Verarbeitung personenbezogener Daten

Die Beendigung der Verarbeitung personenbezogener Daten erfolgt:

• im Falle der Beendigung des Vertragsverhältnisses, das der Verarbeitung personenbezogener Daten zugrunde liegt;
• nach zusätzlichen schriftlichen Anweisungen des Kunden;
• durch schriftliche Anordnung staatlicher Aufsichtsbehörden.

4. RECHTE UND PFLICHTEN DER PARTEIEN

4.1. Der Kunde verpflichtet sich:

4.1.1. Wenn der Betroffene der personenbezogenen Daten seine Einwilligung zur Verarbeitung personenbezogener Daten widerruft und keine in den Absätzen 2 bis 11 von Teil 1 von Artikel 6, Teil 2 von Artikel 10 und Teil 2 von Artikel 11 des Bundesgesetzes vom 27. Juli genannten Gründe vorliegen , 2006 Nr. 152-FZ „Über personenbezogene Daten“, die die Verarbeitung ermöglichen
Wenn Sie personenbezogene Daten ohne Zustimmung des Subjekts löschen, senden Sie einen schriftlichen Auftrag an den Auftragnehmer, Arbeiten zur Löschung oder Anonymisierung der personenbezogenen Daten des Subjekts durchzuführen.

4.1.2. Nach Erhalt einer Anfrage des Subjekts personenbezogener Daten zur Bereitstellung der in Teil 7 von Artikel 14 des Bundesgesetzes vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ genannten Informationen oder der Anforderungen des Subjekts zur Verfeinerung seine personenbezogenen Daten, deren Sperrung oder Vernichtung für den Fall, dass personenbezogene Daten unvollständig, veraltet, unrichtig, unrechtmäßig erlangt oder für den angegebenen Zweck der Verarbeitung nicht erforderlich sind, eine schriftliche Anordnung an den Auftragnehmer richten
Bereitstellung von Informationen oder Durchführung spezifischer Aktionen mit den personenbezogenen Daten der betroffenen Person.

4.2. Der Auftragnehmer verpflichtet sich:

4.2.1. Verarbeiten Sie personenbezogene Daten rechtmäßig und in strikter Übereinstimmung mit den Bestimmungen dieser Anleitung.

4.2.2. Auf erste schriftliche Anfrage des Kunden werden die in seinem Namen verarbeiteten personenbezogenen Daten auf die in der Anfrage angegebene Weise übertragen (zurückgegeben).

4.2.4. Auf Verlangen der zuständigen Stelle zum Schutz der Rechte von Personen mit personenbezogenen Daten einen Nachweis über den Erhalt der Einwilligungen von Personen mit personenbezogenen Daten vorlegen, die im Rahmen dieser Weisung zur Verarbeitung ihrer personenbezogenen Daten erhoben wurden, oder einen Nachweis über das Vorliegen dieser Einwilligungen erbringen Gründe gemäß den Absätzen 2 bis 11 von Teil 1 von Artikel 6, Teil 2 von Artikel 10 und Teil 2 von Artikel 11 des Bundesgesetzes vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“, die die Verarbeitung personenbezogener Daten ermöglichen Daten ohne Einwilligung des Betroffenen.

Gemäß Teil 2 der Kunst. 85 Arbeitsgesetzbuch der Russischen Föderation Verarbeitung personenbezogener Mitarbeiterdaten - Hierbei handelt es sich um die Entgegennahme, Speicherung, Zusammenführung, Übermittlung oder sonstige Nutzung der personenbezogenen Daten des Mitarbeiters.

Die Verarbeitung der personenbezogenen Daten eines Mitarbeiters darf ausschließlich zu dem Zweck erfolgen, die Einhaltung von Gesetzen und anderen Vorschriften sicherzustellen, den Mitarbeiter bei der Beschäftigung, Ausbildung und Beförderung zu unterstützen, die Sicherheit des Kapitals zu gewährleisten sowie die Quantität und Qualität der Arbeit zu überwachen er führt und gewährleistet die Sicherheit des Eigentums (Absatz 1 Artikel 86 des Arbeitsgesetzbuchs der Russischen Föderation).

Gemäß Absatz 3 der Kunst. Gemäß Art. 3 des Bundesgesetzes „Über personenbezogene Daten“ handelt es sich bei der Verarbeitung personenbezogener Daten um Handlungen (Vorgänge) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung (einschließlich Übermittlung), Depersonalisierung , Sperrung, Vernichtung personenbezogener Daten. Es ist zu bedenken, dass die gesetzliche Regelung unabhängig von der Anzahl der in der Gesetzgebung aufgeführten Funktionsvorgänge alle Phasen der Verarbeitung personenbezogener Daten abdecken muss – von der Entgegennahme bis zur Vernichtung, ohne Ausnahmen oder Ausnahmen.

Die Grundsätze für die Verarbeitung personenbezogener Daten umfassen Folgendes:

• Rechtmäßigkeit der Zwecke und Mittel der Verarbeitung und Fairness;
• Übereinstimmung der Verarbeitungszwecke mit den bei der Erhebung personenbezogener Daten vorgegebenen und angegebenen Zielen sowie mit den Befugnissen des Betreibers;
• Übereinstimmung des Umfangs und der Art der verarbeiteten Daten sowie der Verarbeitungsmethoden mit den Zwecken ihrer Verarbeitung;
• die Zuverlässigkeit personenbezogener Daten, ihre Eignung für die Verarbeitungszwecke, die Unzulässigkeit der Verarbeitung personenbezogener Daten, die nicht mit den bei der Datenerhebung angegebenen Zwecken in Zusammenhang stehen;
• die Unzulässigkeit der Kombination von Datenbanken von Informationssystemen für personenbezogene Daten, die für inkompatible Zwecke erstellt wurden.

Die Verarbeitung personenbezogener Daten eines Mitarbeiters beginnt mit deren Erhalt. Grundsätzlich sollten alle personenbezogenen Daten vom Arbeitnehmer selbst erhoben werden. In Ausnahmefällen, in denen die personenbezogenen Daten des Arbeitnehmers nur von Dritten eingeholt werden können, ist der Arbeitnehmer hierüber vorab zu informieren und eine schriftliche Einwilligung von ihm einzuholen. Der Arbeitgeber ist verpflichtet, den Arbeitnehmer über die Zwecke, beabsichtigten Quellen und Methoden der Erhebung personenbezogener Daten sowie über die Art der zu erhaltenden personenbezogenen Daten und die Folgen der Verweigerung der schriftlichen Einwilligung des Arbeitnehmers zum Erhalt dieser Daten zu informieren (Absatz 3). des Artikels 86 des Arbeitsgesetzbuches der Russischen Föderation). Der Arbeitgeber ist jedoch nicht berechtigt, personenbezogene Daten des Arbeitnehmers über seine politischen, religiösen und sonstigen Überzeugungen sowie sein Privatleben zu erhalten und zu verarbeiten (Artikel 86 Absatz 4 des Arbeitsgesetzbuchs der Russischen Föderation). Außerdem kann der Arbeitgeber keine Informationen über den Gesundheitszustand des Arbeitnehmers verlangen, wenn diese nicht mit der Frage der Fähigkeit des Arbeitnehmers zur Ausübung einer Arbeitsfunktion zusammenhängen (Artikel 88 des Arbeitsgesetzbuchs der Russischen Föderation).

Das Arbeitsgesetzbuch der Russischen Föderation stellt bestimmte Anforderungen an die Organisation und Technologie der Verarbeitung personenbezogener Daten durch den Arbeitgeber. Die Verpflichtung, Arbeitnehmer und ihre Vertreter gegen Unterschrift mit den Unterlagen des Arbeitgebers vertraut zu machen, die das Verfahren zur Verarbeitung personenbezogener Daten der Arbeitnehmer sowie ihre Rechte und Pflichten in diesem Bereich festlegen, setzt die Notwendigkeit der Entwicklung und Verabschiedung eines entsprechenden lokalen Regulierungsgesetzes voraus . Ein solches Gesetz kann je nach den Besonderheiten der Tätigkeit und dem Ermessen des Arbeitgebers als Verordnung oder Weisung bezeichnet werden und umfasst in der Regel folgende Abschnitte:

• Grundkonzepte und Bestimmungen;
• Verarbeitung personenbezogener Mitarbeiterdaten;
• Generierung personenbezogener Mitarbeiterdaten;
• Erfassung, Speicherung und Übermittlung personenbezogener Daten der Mitarbeiter;
• Rechte und Pflichten des Arbeitnehmers im Bereich der Verarbeitung und des Schutzes seiner personenbezogenen Daten.

Ein solcher lokaler Rechtsakt legt die Vertraulichkeitsregelung (eingeschränkter Zugriff) der personenbezogenen Daten eines Arbeitnehmers bei einem bestimmten Arbeitgeber fest. Die Arbeitnehmer des Arbeitgebers, die personenbezogene Daten des Arbeitnehmers erhalten, sind zur Einhaltung dieser Regelung verpflichtet, die nicht nur in ihren Stellenbeschreibungen, sondern auch in den mit ihnen geschlossenen Arbeitsverträgen angegeben werden muss. Die Verordnung (Anweisung) zum Schutz personenbezogener Daten ist das wichtigste Dokument, das die Besonderheiten der Verarbeitung und Übermittlung personenbezogener Daten eines Mitarbeiters innerhalb einer bestimmten Organisation für einen bestimmten einzelnen Unternehmer widerspiegelt. Wenn in dieser Tätigkeit eine automatisierte Komponente vorhanden ist, hat der Arbeitgeber nicht das Recht, Entscheidungen über den Arbeitnehmer auf der Grundlage personenbezogener Daten zu treffen, die ausschließlich durch deren automatisierte Verarbeitung oder den elektronischen Empfang gewonnen wurden (Artikel 86 Absatz 6 des Arbeitsgesetzbuchs). Die Russische Föderation). Ein Arbeitgeber darf sich nicht darauf beschränken, eine Bestimmung zum Schutz personenbezogener Daten der Arbeitnehmer in seiner Organisation zu erlassen. Das Vorhandensein dieses örtlichen Gesetzes ist jedoch zwingend erforderlich, und sein Fehlen wird von der staatlichen Arbeitsinspektion als schwerwiegender Verstoß gegen das Arbeitsrecht angesehen.

Für diesen und andere Verstöße gegen die Empfangs-, Bearbeitungs- und Arbeitnehmervorschriften kann der Arbeitgeber die Täter materiell und disziplinarisch haftbar machen und die zuständigen staatlichen Stellen zivil-, verwaltungs- und strafrechtlich haftbar machen.

Alle Organisationen sammeln, speichern und nutzen Informationen über ihre Mitarbeiter. Persönliche Daten haben heutzutage einen hohen Wert, und wenn sie in die Hände von Betrügern gelangen, werden sie zu einem Mittel zur Begehung von Straftaten. In diesem Artikel verraten wir Ihnen, wie und zu welchem ​​Zweck Unternehmen personenbezogene Daten verarbeiten und ob sie hierfür eine Einwilligung der Mitarbeiter einholen müssen.

Was ist die Verarbeitung personenbezogener Daten?

Der Begriff „Verarbeitung personenbezogener Daten“ umfasst alle Handlungen, die der Betreiber mit personenbezogenen Daten durchführt. Unter ihnen:

1. Sammlung;
2. Klärung;
3. Systematisierung;
4. Verwendung;
5. Streichung;
6. Lagerung.

Alle Organisationen und Unternehmen sind Betreiber personenbezogener Daten, weil sie diese verarbeiten. In Kunst. 22 des Gesetzes Nr. 152-FZ bildet die Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Basierend auf dem Wortlaut des Artikels hat der Arbeitgeber das Recht, Maßnahmen mit den personenbezogenen Daten von Arbeitnehmern zu ergreifen, ohne die Behörden von Roskomnadzor über diese Absicht zu informieren.

Zur Durchführung von Aktionen mit personenbezogenen Daten werden verschiedene Methoden verwendet. Bei der automatisierten Verarbeitung personenbezogener Daten handelt es sich um die Verarbeitung auf einem Computer. Bei der nicht automatisierten Methode werden Papiermedien verwendet. Heutzutage wird in den meisten Fällen die Mischverarbeitung eingesetzt, die Elemente der automatisierten und manuellen Verarbeitung kombiniert.

Zwecke der Verarbeitung personenbezogener Daten im Unternehmen

Folgende Zwecke der Verarbeitung personenbezogener Daten in der Organisation werden unterschieden:

1. Abschluss, Ausführung und Beendigung von Zivilverträgen mit Bürgern, juristischen Personen, Einzelunternehmern und anderen Personen in den gesetzlich und in der Satzung des Unternehmens vorgesehenen Situationen.
2. Organisation der Personalakten der Organisation, Sicherstellung der Einhaltung von Gesetzen, Abschluss und Erfüllung von Verpflichtungen aus arbeits- und zivilrechtlichen Verträgen.
3. Führen von Personalakten, Unterstützen von Mitarbeitern bei Beschäftigung, Schulung und Beförderung sowie Inanspruchnahme von Sozialleistungen.
4. Einhaltung der Anforderungen der Steuergesetzgebung zur Berechnung und Zahlung der Einkommensteuer und der einheitlichen Sozialsteuer, Rentengesetzgebung bei der Bildung und Übermittlung personenbezogener Daten über jeden Einkommensempfänger an die Pensionskasse, die bei der Beitragsberechnung berücksichtigt werden zur obligatorischen Rentenversicherung.
5. Ausfüllen der primären statistischen Dokumentation gemäß Arbeits-, Steuergesetzbuch und Bundesgesetzen.

Was ist eine Einwilligung zur Verarbeitung personenbezogener Daten?

Zusammen mit der Bereitstellung der erforderlichen Unterlagen wird bei Abschluss eines Arbeitsvertrages auch die Einwilligung des Arbeitnehmers zur Verarbeitung seiner personenbezogenen Daten unterzeichnet. Gemäß Art. Gemäß Art. 3 Bundesgesetz Nr. 152 umfassen diese Daten alle Informationen über eine Person – vom Vor- und Nachnamen bis hin zu Einträgen im Arbeitsbuch.

Personenbezogene Daten werden in 3 Kategorien unterteilt:

• Öffentlich- grundlegende personenbezogene Daten, einschließlich vollständiger Name, Geschlecht, Geburtsdatum und -ort.
• Biometrisch- Informationen über das Aussehen und einige physiologische Eigenschaften, sofern diese visuell bestimmt werden.
• Besonders- Nationalität, Religion, Gesundheitszustand, Vorstrafen, teilweise - Angaben zur Arbeit (Kündigungsgründe etc.).

Personenbezogene Daten sind vertraulich (mit Ausnahme öffentlich zugänglicher Daten). Für deren Verarbeitung ist daher die Einwilligung der betroffenen Person einzuholen.

Die Gültigkeitsdauer der Einwilligung zur Verarbeitung personenbezogener Daten ist zwingend. Der Zeitpunkt ihres Endes ist entweder ein bestimmtes Datum oder ein bestimmtes Ereignis, einschließlich des Widerrufs der Einwilligung des Arbeitnehmers. Diese Anforderung ist in Absatz 4 der Kunst festgelegt. 9 Bundesgesetz Nr. 152.

In welchen Fällen ist für die Verarbeitung personenbezogener Daten eine Einwilligung erforderlich?

Für die Verarbeitung spezieller und biometrischer Daten ist eine Einwilligung erforderlich. Öffentlich zugängliche Informationen dürfen frei verwendet werden, es sei denn, sie verstoßen gegen das Gesetz sowie allgemein anerkannte Standards der Moral und Ethik.

Situationen, in denen eine Einwilligung zur Verarbeitung personenbezogener Daten nicht erforderlich ist

Eine Ausnahme bilden Fälle, in denen ein Strafverfahren untersucht und operative Suchmaßnahmen durchgeführt werden. Biometrische Daten können zur Feststellung der Identität erforderlich sein, wenn eine Person nicht über Dokumente verfügt. In solchen Situationen ist eine Einwilligung zur Verarbeitung personenbezogener Daten nicht erforderlich.

Muster-Einverständniserklärung und Beschreibung des Dokuments

Ein Antrag auf Einwilligung in die Verarbeitung personenbezogener Daten wird schriftlich beim Leiter der Organisation eingereicht. In der Kopfzeile des Dokuments steht:

1. die Position des Managers und der Name der Organisation, die er leitet;
2. Vollständiger Name des Leiters;
3. Mitarbeiterposition;
4. Vollständiger Name des Mitarbeiters;
5. Datum von;
6. Ort der Zusammenstellung.

Ein Beispieldokumenttext lautet wie folgt:
„Mit dieser Erklärung bestätige ich mein Einverständnis mit der Erhebung, Verarbeitung, Nutzung und Speicherung meiner personenbezogenen Daten, soweit dies zur Wahrung meiner arbeitsrechtlichen und sozialen Rechte, zur Zahlung festgesetzter Steuern, Gebühren und anderer Pflichtzahlungen sowie zur Abführung von Pflichtbeiträgen erforderlich ist.“ staatliche Mittel und für andere Zwecke, die sich aus Arbeits- und damit verbundenen Rechtsbeziehungen zwischen mir und dem Arbeitgeber im Rahmen der geltenden Gesetzgebung ergeben. Der Arbeitgeber hat das Recht, meine personenbezogenen Daten nur in den gesetzlich vorgesehenen Fällen an Dritte weiterzugeben.“
Der Mitarbeiter setzt seine Unterschrift unter den Antragstext.

Ist es aus rechtlicher Sicht möglich, die Verarbeitung personenbezogener Daten zu verweigern?

Laut Gesetz hat die Verweigerung der Einwilligung zur Verarbeitung personenbezogener Daten keine rechtlichen Konsequenzen. In Teil 1 der Kunst. 9 Das Bundesgesetz Nr. 152 besagt, dass die Einwilligung selbst frei und freiwillig geäußert wird.

Teil 5 Kunst. 6 desselben Gesetzes ermöglicht das Fehlen einer Einwilligung zur Verarbeitung personenbezogener Daten, wenn diese für die Durchführung eines Vertrags, einschließlich eines Arbeitsvertrags, erforderlich ist. Daher können Arbeitgeber bei der Erfüllung ihrer Pflichten ihre personenbezogenen Daten im Interesse der Arbeitnehmer verarbeiten, ohne deren Einwilligung einzuholen. Dies gilt nur für Mitarbeiter, die bereits auf der Gehaltsliste stehen. Es ist unmöglich, eine Person einzustellen, wenn sie sich weigert, personenbezogene Daten zu verarbeiten. In diesem Fall ist der Arbeitsvertrag noch nicht abgeschlossen. Da dieses Dokument nicht existiert, besteht für den Arbeitgeber keine Verpflichtung, es zu erfüllen.

Manchmal kann die Weigerung, personenbezogene Daten zu verarbeiten, negative Folgen haben. Verfügt das Unternehmen über eine Ausweisregelung, ist der Arbeitnehmer unter solchen Umständen nicht in der Lage, einen Ausweis auszustellen oder zu ersetzen – eine solche Maßnahme würde den Rahmen der dienstlichen Zwecke sprengen. Daher führt das Fehlen einer Einwilligung dazu, dass die Ausübung der Arbeitsaufgaben nicht möglich ist.

Stellen Sie Fragen in den Kommentaren zum Artikel und erhalten Sie eine Antwort von einem Spezialisten

Die Verordnung über die Verarbeitung und den Schutz personenbezogener Daten legt das Verfahren zum Sammeln, Sammeln, Speichern, Verwenden, Löschen usw. von Informationen fest, die Informationen über Mitarbeiter des Unternehmens enthalten. Das Dokument muss das Verfahren zur Übermittlung personenbezogener Daten an Dritte, Merkmale der automatisierten und nicht automatisierten Verarbeitung personenbezogener Daten, das Verfahren zum Zugriff auf personenbezogene Daten, das Verfahren zur Organisation der internen Kontrolle und die Verantwortung für Verstöße bei der Verarbeitung personenbezogener Daten beschreiben.

So erstellen Sie eine Verordnung zur Verarbeitung und zum Schutz personenbezogener Daten

Das Dokument wird in Übereinstimmung mit der Gesetzgebung der Russischen Föderation über personenbezogene Daten und regulatorischen und methodischen Dokumenten der Exekutivorgane der Staatsgewalt zu Fragen der PD-Sicherheit bei der Verarbeitung in PD-Informationssystemen entwickelt.

Die Verordnung zum Schutz personenbezogener Daten besteht normalerweise aus 11 Abschnitten:

1. Allgemeine Bestimmungen.
2. Ziele und Zielsetzungen der PD-Verarbeitung.
3. Im ISPD verarbeitete personenbezogene Daten (vollständiger Name, Geburtsdatum, Kontakttelefonnummer, Meldeadresse, tatsächliche Wohnadresse).
4. Zugriff auf PD.
5. Grundvoraussetzungen für den Schutz personenbezogener Daten.
6. Einwilligung zur Verarbeitung personenbezogener Daten.
7. Rechte des Betroffenen in Bezug auf die vom Betreiber verarbeiteten personenbezogenen Daten.
8. Rechte und Pflichten des ISPDn-Betreibers.
9. Verfahren zur Verarbeitung und zum Schutz personenbezogener Daten.
10. Besonderheiten bei der Verarbeitung personenbezogener Daten der Mitarbeiter des Betreibers.
11. Haftung bei Verstößen gegen diese Bestimmung.

Die Bestimmungen zur Verarbeitung und zum Schutz personenbezogener Daten gelten für alle Prozesse der Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung, Nutzung, Verbreitung (einschließlich Übermittlung), Depersonalisierung, Sperrung, Vernichtung personenbezogener Daten, die mit und ohne Automatisierungstools durchgeführt werden verwenden.

Themen personenbezogener Daten

Zu den PD-Fächern gehören:

• Mitarbeiter des Betreibers.
• Kandidaten für eine Anstellung.
• Kunden (Verbraucher von Betreiberdiensten).
• Gegenparteien des Betreibers sind Einzelunternehmer.
• Kunden von Organisationen, Gegenparteien des Betreibers (Betreuung von Firmenkunden).
• Sonstige Personen, deren personenbezogene Daten vom Betreiber verarbeitet werden.

Die Verordnung über die Verarbeitung und den Schutz personenbezogener Daten tritt mit ihrer Genehmigung in Kraft und gilt auf unbestimmte Zeit, bis sie durch eine neue Verordnung ersetzt wird. Alle Mitarbeiter der Organisation müssen mit diesem Dokument gegen Unterschrift vertraut sein.

Regelungen zur Verarbeitung und zum Schutz personenbezogener Daten

Allgemeine Bestimmungen

1.1.

Diese Verordnung wurde in Übereinstimmung mit der Gesetzgebung der Russischen Föderation über personenbezogene Daten (im Folgenden „PD“ genannt) und den regulatorischen und methodischen Dokumenten der Exekutivorgane der Staatsgewalt zu Fragen der Sicherheit von PD bei der Verarbeitung in PD-Informationssystemen (im Folgenden „PD“ genannt) entwickelt als ISPD).

1.2.

Für die Zwecke dieser Verordnung werden die folgenden Begriffe verwendet:

personenbezogene Daten (PD) – alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare Person (PD-Subjekt) beziehen;

Betreiber – eine staatliche Stelle, eine kommunale Körperschaft, eine juristische Person oder eine natürliche Person, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie die Zwecke der Verarbeitung personenbezogener Daten und die Zusammensetzung personenbezogener Daten festlegt Zu verarbeitende Daten, mit personenbezogenen Daten durchgeführte Aktionen (Vorgänge);

PD-Verarbeitung – jede Aktion (Operation) oder Reihe von Aktionen (Operationen), die mithilfe von Automatisierungstools oder ohne Verwendung solcher Tools mit PD durchgeführt wird, einschließlich Sammlung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Verwendung , Weitergabe (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten;

automatisierte Verarbeitung personenbezogener Daten – Verarbeitung personenbezogener Daten mithilfe von Computertechnologie;

Weitergabe personenbezogener Daten – Maßnahmen, die darauf abzielen, personenbezogene Daten an eine unbestimmte Anzahl von Personen weiterzugeben;

Bereitstellung von PD – Maßnahmen, die darauf abzielen, PD an eine bestimmte Person oder einen bestimmten Personenkreis weiterzugeben;

PD-Sperrung – vorübergehende Einstellung der PD-Verarbeitung (außer in Fällen, in denen die Verarbeitung zur Klärung der PD erforderlich ist);

Zerstörung von PD – Handlungen, durch die es unmöglich wird, den Inhalt von PD im ISPD wiederherzustellen und/oder durch die die materiellen Datenträger von PD zerstört werden;

Depersonalisierung von PD – Handlungen, durch die es unmöglich wird, den Besitz von PD an einem bestimmten PD-Subjekt ohne die Verwendung zusätzlicher Informationen zu bestimmen;

Informationssystem für personenbezogene Daten (PDIS) – eine Reihe von Informationstechnologien und technischen Mitteln, die in PD-Datenbanken enthalten sind und deren Verarbeitung sicherstellen;

Grenzüberschreitende Übermittlung personenbezogener Daten – Übermittlung personenbezogener Daten in das Hoheitsgebiet eines ausländischen Staates an eine Behörde eines ausländischen Staates, eine ausländische natürliche Person oder eine ausländische juristische Person.

1.3.

Diese Verordnung legt das Verfahren und die Bedingungen für die Verarbeitung personenbezogener Daten in (im Folgenden als Betreiber bezeichnet) fest, einschließlich des Verfahrens zur Übermittlung personenbezogener Daten an Dritte, der Merkmale der automatisierten und nicht automatisierten Verarbeitung personenbezogener Daten, des Verfahrens für den Zugriff auf personenbezogene Daten und der personenbezogenen Daten Schutzsystem, das Verfahren zur Organisation der internen Kontrolle und Haftung für Verstöße bei der Verarbeitung von PD, andere Fragen.

1.4.

Diese Verordnung gilt für alle Prozesse der Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung, Nutzung, Verbreitung (einschließlich Übermittlung), Depersonalisierung, Sperrung und Vernichtung personenbezogener Daten, die unter Verwendung von Automatisierungstools und ohne deren Verwendung durchgeführt werden.

1.5.

Diese Verordnung tritt ab dem Zeitpunkt ihrer Genehmigung durch den Betreiber in Kraft und ist auf unbestimmte Zeit gültig, bis sie durch eine neue Verordnung ersetzt wird.

1.6.

Alle Änderungen der Geschäftsordnung erfolgen auf Anordnung.

1.7.

Alle Mitarbeiter des Betreibers müssen mit dieser Ordnung bei der Unterzeichnung vertraut sein.

Ziele und Zielsetzungen der PD-Verarbeitung

2.1.

Die Verarbeitung personenbezogener Daten sollte auf die Erreichung spezifischer, vorab festgelegter und legitimer Zwecke beschränkt werden. Eine Verarbeitung personenbezogener Daten, die mit den Zwecken der Erhebung personenbezogener Daten nicht vereinbar ist, ist nicht gestattet.

2.2.

Es ist nicht gestattet, Datenbanken mit personenbezogenen Daten zusammenzuführen, deren Verarbeitung zu miteinander unvereinbaren Zwecken erfolgt.

2.3.

Von der Verarbeitung unterliegen nur personenbezogene Daten, die den Zwecken ihrer Verarbeitung entsprechen.

2.4.

2.5.

Die Verarbeitung personenbezogener Daten der Mitarbeiter des Betreibers darf ausschließlich zu dem Zweck erfolgen, die Einhaltung von Gesetzen und anderen Vorschriften sicherzustellen, die Mitarbeiter bei der Beschäftigung, Ausbildung und Beförderung zu unterstützen, die persönliche Sicherheit der Mitarbeiter zu gewährleisten, die Quantität und Qualität der geleisteten Arbeit zu überwachen und Gewährleistung der Sicherheit des Eigentums des Betreibers.

2.6.

Die Hauptzwecke der Verarbeitung personenbezogener Daten sind:

Weitere Zwecke der Verarbeitung personenbezogener Daten sind: .

2.7.

ISPDn bietet Lösungen für folgende Aufgaben: .

In ISPDn verarbeitete personenbezogene Daten

3.1.

Das ISPD verarbeitet die personenbezogenen Daten der folgenden personenbezogenen Datensubjekte:

3.1.1.

Mitarbeiter des Betreibers;

3.1.2.

Kunden (Verbraucher der Dienste des Betreibers);

3.1.3.

Einzelunternehmer – Gegenparteien des Betreibers;

3.1.4.

Kunden von Organisationen, Gegenparteien des Betreibers (Betreuung von Firmenkunden);

3.2.

Diese Liste kann bei Bedarf überarbeitet werden.

3.3.

Zu den personenbezogenen Daten von PD-Personen gehören:

3.4.

Vollständige Listen der verarbeiteten personenbezogenen Daten werden in der Liste der schutzwürdigen personenbezogenen Daten im Informationssystem des Betreibers erstellt.

Zugriff auf personenbezogene Daten

4.1.

Mitarbeiter des Betreibers, die aufgrund ihrer dienstlichen Aufgaben ständig mit personenbezogenen Daten arbeiten, erhalten für die Dauer der Erfüllung ihrer jeweiligen dienstlichen Aufgaben Zugang zu den erforderlichen Kategorien personenbezogener Daten auf der Grundlage der Liste der zur Arbeit mit personenbezogenen Daten berechtigten Personen, die vom Leiter des Betreibers genehmigt wird. Die Liste wird auf Basis des Informationssicherheitskonzepts und der Ierstellt.

4.2.

Die Liste der Personen, die Zugriff auf personenbezogene Daten für das Informationssystem haben, muss aktuell gehalten werden.

4.3.

Der Betreiber hat ein Genehmigungsverfahren für den Zugriff auf personenbezogene Daten eingerichtet. Den Mitarbeitern des Betreibers wird der Zugriff auf personenbezogene Daten nur in dem Umfang gewährt, der für die Erfüllung ihrer dienstlichen Aufgaben aufgrund der Entscheidung des Managers erforderlich ist

4.4.

Eine vorübergehende oder einmalige Erlaubnis zur Arbeit mit personenbezogenen Daten aus behördlichen Gründen kann von einem Mitarbeiter des Betreibers mit Zustimmung des Managers eingeholt werden.

4.5.

Der Zugriff auf PD durch Dritte, die nicht Mitarbeiter des Betreibers sind, ohne Zustimmung des PD-Subjekts ist verboten, mit Ausnahme des Zugriffs durch Mitarbeiter von Exekutivbehörden, der im Rahmen von Maßnahmen zur Kontrolle und Überwachung der Umsetzung von Rechtsvorschriften erfolgt Umsetzung der Funktionen und Befugnisse der zuständigen Regierungsstellen. Die Bereitstellung von Informationen auf Anfrage oder Anfrage einer Regierungsbehörde erfolgt mit Wissen des Leiters des Betreibers.

4.6.

Wenn ein Mitarbeiter einer Drittorganisation Zugriff auf die PD des Betreibers benötigt, ist es erforderlich, dass in der Vereinbarung mit der Drittorganisation die Bedingungen der PD-Vertraulichkeit und die Verpflichtung der Drittorganisation und ihrer Mitarbeiter zur Einhaltung festgelegt werden die Anforderungen der aktuellen Gesetzgebung im Bereich des PD-Schutzes. Darüber hinaus muss im Falle des Zugriffs auf personenbezogene Daten durch Personen, die keine Mitarbeiter des Betreibers sind, die Zustimmung der Betroffenen zur Weitergabe ihrer personenbezogenen Daten an Dritte eingeholt werden. Die angegebene Zustimmung ist nicht erforderlich, wenn die PD zum Zweck der Ausführung eines zivilrechtlichen Vertrages bereitgestellt wird, den der Betreiber mit dem PD-Subjekt geschlossen hat.

4.7.

Der Zugriff des Mitarbeiters des Betreibers auf personenbezogene Daten endet mit dem Datum der Beendigung des Arbeitsverhältnisses oder dem Datum der Änderung der beruflichen Verantwortlichkeiten des Mitarbeiters und/oder des Ausschlusses des Mitarbeiters aus der Liste der Personen, die zum Zugriff auf personenbezogene Daten berechtigt sind. Im Falle einer Kündigung sind alle Datenträger mit personenbezogenen Daten, die dem Arbeitnehmer im Rahmen seiner Dienstpflichten während der Tätigkeit zur Verfügung standen, an den zuständigen Beamten zu übergeben.

Grundvoraussetzungen für den Schutz personenbezogener Daten

5.1.

Bei der Verarbeitung personenbezogener Daten im Informationssystem ist Folgendes sicherzustellen:

a) Durchführung von Maßnahmen zur Verhinderung des unbefugten Zugriffs auf personenbezogene Daten und/oder deren Weitergabe an Personen, die nicht zum Zugriff auf diese Informationen berechtigt sind;

b) rechtzeitige Erkennung von Tatsachen eines unbefugten Zugriffs auf personenbezogene Daten;

c) Verhinderung des Einflusses auf technische Mittel zur automatisierten Verarbeitung personenbezogener Daten, wodurch deren Funktion beeinträchtigt werden könnte;

d) die Möglichkeit der sofortigen Wiederherstellung personenbezogener Daten, die aufgrund eines unbefugten Zugriffs geändert oder zerstört wurden;

e) ständige Kontrolle über die Gewährleistung des PD-Sicherheitsniveaus.

5.2.

Der Betreiber ist verpflichtet, die erforderlichen rechtlichen, organisatorischen, technischen und sonstigen Maßnahmen zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten.

5.3.

Um Sicherheitsanforderungen zu entwickeln und ein System zur Sicherheit personenbezogener Daten zu implementieren, hat der Betreiber ein „Modell der Bedrohungen der Sicherheit personenbezogener Daten bei deren Verarbeitung in einem ISPD“ entwickelt, das auf dem regulatorischen und methodischen Dokument des FSTEC Russlands „Grundmodell von“ basiert Bedrohungen für die Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen für personenbezogene Daten.“

5.4.

Betreiber gemäß dem maßgeblichen Dokument der Regierungsbehörden - Dekret der Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119 „Über die Genehmigung von Anforderungen zum Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“ Die Klassifizierung des ISPD des Betreibers wurde durchgeführt.

5.5.

Die Kommission hat ein Zertifikat zur Klassifizierung von ISPD erstellt, das mithilfe von Automatisierungstools verarbeitet wird:

5.6.

Der Betreiber hat auf der Grundlage des ISPD-Verifizierungsberichts und in Übereinstimmung mit dem regulatorischen und methodischen Dokument des FSTEC Russlands „Hauptmaßnahmen für die Organisation und technische Unterstützung der Sicherheit personenbezogener Daten, die in Informationssystemen für personenbezogene Daten verarbeitet werden“ entwickelt und eine Reihe von Maßnahmen zum Schutz und zur Gewährleistung der Sicherheit personenbezogener Daten („Aktionsplan“) umgesetzt, um die Sicherheit personenbezogener Daten zu gewährleisten“).

5.7.

Der Betreiber setzt technische Mittel und Software ein, um personenbezogene Daten zu verarbeiten und zu schützen. Darüber hinaus wird ein Protokoll über die Maßnahmen zum Schutz personenbezogener Daten geführt.

5.8.

Der Betreiber führt ein Protokoll über die Abrechnung und Speicherung von Wechselspeichermedien.

5.9.

Die oben genannten technischen Mittel von ISPD befinden sich im Büro und in den Räumlichkeiten des Betreibers.

5.10.

Alle zur Arbeit mit PD berechtigten Personen sowie Personen, die mit dem Betrieb und der technischen Unterstützung von ISPD in Verbindung stehen, müssen bei der Unterzeichnung mit den Anforderungen dieser Verordnung vertraut gemacht werden und außerdem die „Vereinbarung zur Gewährleistung der Vertraulichkeit personenbezogener Daten durch“ unterzeichnen „Mitarbeiter des Betreibers“ im Anhang zu dieser Verordnung.

5.11.

Der Betreiber hat einen Schulungsprozess für den Einsatz der vom Betreiber betriebenen Mittel zum Schutz personenbezogener Daten organisiert. Eine Schulung in diesem Bereich wird Personen empfohlen, die ständig Zugriff auf personenbezogene Daten haben, sowie Personen, die Hardware- und Softwaretools für Informationssysteme und Informationssicherheitssysteme verwenden. Personen, die für den Betrieb von ISPD-Informationssicherheitstools verantwortlich sind, müssen eine obligatorische Schulung absolvieren.

5.12.

Die Mitarbeiter sind verpflichtet, den zuständigen Beamten des Betreibers unverzüglich über den Verlust oder Mangel an Speichermedien, die personenbezogene Daten darstellen, sowie über die Gründe und Bedingungen für einen möglichen Verlust personenbezogener Daten zu informieren. Wenn Unbefugte versuchen, von einem vom Betreiber verarbeiteten personenbezogenen Daten eines Mitarbeiters zu gelangen, benachrichtigen Sie unverzüglich den zuständigen Beamten des Betreibers.

Einwilligung zur Verarbeitung personenbezogener Daten

6.1.

Der PD-Betroffene entscheidet sich für die Bereitstellung seiner PD und stimmt deren Verarbeitung freiwillig, aus freiem Willen und in seinem eigenen Interesse zu. Die Einwilligung zur Verarbeitung personenbezogener Daten muss konkret, informiert und bewusst erfolgen. Die Zustimmung zur Verarbeitung personenbezogener Daten kann von der betroffenen Person oder ihrem Vertreter in jeder Form erteilt werden, die eine Bestätigung des Erhalts ermöglicht, sofern die Gesetzgebung der Russischen Föderation nichts anderes vorsieht. Wenn die Zustimmung zur PD-Verarbeitung von einem Vertreter des PD-Subjekts eingeholt wird, werden die Befugnisse dieses Vertreters, die Einwilligung im Namen des PD-Subjekts zu erteilen, vom Betreiber überprüft.

6.2.

Die Einholung der schriftlichen Einwilligung zur Verarbeitung personenbezogener Daten erfolgt durch einen Mitarbeiter des Betreibers nach Erhalt personenbezogener Daten vom Betroffenen durch Erteilung einer schriftlichen Einwilligung in der vom Betreiber ISPD festgelegten Form.

Rechte des Betroffenen in Bezug auf die vom Betreiber verarbeiteten personenbezogenen Daten

7.1.

Das PD-Fach hat das Recht:

Vom Betreiber Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Die Informationen müssen dem PD-Subjekt vom Betreiber in zugänglicher Form zur Verfügung gestellt werden und dürfen keine PD-Daten enthalten, die sich auf andere PD-Subjekte beziehen, es sei denn, es gibt rechtliche Gründe für die Offenlegung dieser PD-Subjekte. Die Liste der Informationen und das Verfahren zur Informationsbeschaffung sind in der geltenden Gesetzgebung der Russischen Föderation festgelegt;

Vom Betreiber verlangen, dass er seine personenbezogenen Daten klärt, sperrt oder vernichtet, wenn die personenbezogenen Daten unvollständig, veraltet, unrichtig sind, illegal erlangt wurden oder für den angegebenen Verarbeitungszweck nicht erforderlich sind, und außerdem Maßnahmen ergreifen, die in der Gesetzgebung der Russischen Föderation vorgesehen sind Föderation zum Schutz ihrer Rechte;

Vorbehaltlich der vorherigen schriftlichen Zustimmung bei der Verarbeitung personenbezogener Daten zum Zweck der Förderung von Waren, Werken und Dienstleistungen auf dem Markt durch direkte Kontaktaufnahme mit potenziellen Verbrauchern über Kommunikationsmittel sowie zum Zwecke der politischen Propaganda;

Vorbehaltlich der schriftlichen Zustimmung, wenn der Betreiber auf der Grundlage einer ausschließlich automatisierten Verarbeitung personenbezogener Daten Entscheidungen trifft, die rechtliche Konsequenzen in Bezug auf den personenbezogenen Datengegenstand nach sich ziehen oder seine Rechte und berechtigten Interessen anderweitig beeinträchtigen;

Einspruch gegen die Entscheidungen des Betreibers einlegen, die ausschließlich auf der automatisierten Verarbeitung seiner personenbezogenen Daten beruhen, und gegen die möglichen rechtlichen Konsequenzen einer solchen Entscheidung;

Legen Sie gegen die Handlungen oder Unterlassungen des Betreibers Berufung bei der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten oder vor Gericht ein.

Rechte und Pflichten des ISPDn-Betreibers

8.1.

Der ISPDn-Betreiber hat das Recht:

8.1.1.

Übertragen Sie die Verarbeitung personenbezogener Daten einer anderen Person mit Zustimmung des PD-Subjekts, sofern das Bundesrecht nichts anderes vorsieht, auf der Grundlage einer mit dieser Person geschlossenen Vereinbarung, einschließlich eines Staats- oder Kommunalvertrags, oder durch Erlass eines entsprechenden Gesetzes durch a staatliche oder kommunale Körperschaft.

8.1.2.

Wenn die PD-Person ihre Zustimmung zur PD-Verarbeitung widerruft, setzen Sie die PD-Verarbeitung ohne die Zustimmung der PD-Person fort, wenn dafür in der Gesetzgebung der Russischen Föderation festgelegte Gründe vorliegen.

8.1.3.

Weigern Sie sich, dem Betroffenen personenbezogener Daten die Erfüllung einer wiederholten Informationsanfrage zu verweigern, die nicht den in der Gesetzgebung der Russischen Föderation vorgesehenen Bedingungen entspricht. Eine solche Weigerung muss begründet sein. Die Pflicht zum Nachweis der Berechtigung der Weigerung, einer wiederholten Anfrage nachzukommen, obliegt dem Betreiber.

8.1.4.

Bestimmen Sie unabhängig die Zusammensetzung und Liste der Maßnahmen, die erforderlich und ausreichend sind, um die Erfüllung der in der Gesetzgebung der Russischen Föderation vorgesehenen Pflichten des IPDN-Betreibers sicherzustellen.

8.2.

Der ISPD-Betreiber ist verpflichtet:

8.2.1.

Vor Beginn der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, die autorisierte Stelle zum Schutz der Rechte von Personen mit personenbezogenen Daten über seine Absicht zu informieren, personenbezogene Daten zu verarbeiten, mit Ausnahme der in der Gesetzgebung der Russischen Föderation vorgesehenen Fälle.

8.2.2.

Wenn Sie Zugang zu PD erhalten, geben Sie PD nicht an Dritte weiter und verbreiten Sie PD nicht ohne Zustimmung des PD-Subjekts, sofern das Bundesgesetz nichts anderes vorsieht.

8.2.3.

Legen Sie einen Nachweis über die Einholung der Zustimmung des PD-Subjekts zur Verarbeitung seiner PD oder einen Nachweis über das Vorliegen einer Rechtsgrundlage für die Verarbeitung von PD ohne Zustimmung des PD-Subjekts vor.

8.2.4.

Stellen Sie vor Beginn der grenzüberschreitenden Übermittlung personenbezogener Daten sicher, dass der ausländische Staat, in dessen Hoheitsgebiet die personenbezogenen Daten übermittelt werden, einen angemessenen Schutz der Rechte der Betroffenen personenbezogener Daten gewährleistet.

8.2.5.

Stoppen Sie auf Wunsch des PD-Subjekts die Verarbeitung seiner PD, um Waren, Werke und Dienstleistungen auf dem Markt zu bewerben, indem Sie direkte Kontakte mit potenziellen Verbrauchern über Kommunikationsmittel herstellen, sowie für Zwecke der politischen Propaganda.

8.2.6.

Erklären Sie dem PD-Subjekt das Verfahren zur Entscheidungsfindung ausschließlich auf der Grundlage der automatisierten Verarbeitung seiner PD und die möglichen Rechtsfolgen einer solchen Entscheidung, geben Sie die Möglichkeit, gegen eine solche Entscheidung Einspruch zu erheben, und erläutern Sie auch das Verfahren für das zu schützende PD-Subjekt seine Rechte und berechtigten Interessen.

Der Betreiber ist verpflichtet, den Einspruch innerhalb von dreißig Tagen nach Erhalt zu prüfen und den PD-Betroffenen über die Ergebnisse der Prüfung eines solchen Einspruchs zu informieren.

8.2.7.

Stellen Sie dem PD-Betroffenen bei der Erhebung von PD auf dessen Verlangen die in der Gesetzgebung der Russischen Föderation vorgesehenen Informationen zur Verfügung.

Wenn die Bereitstellung von PD an den Betreiber für den PD-Subjekt gemäß Bundesrecht obligatorisch ist, ist der Betreiber verpflichtet, dem PD-Subjekt die rechtlichen Konsequenzen einer Verweigerung der Bereitstellung seiner PD zu erläutern.

8.2.8.

Wenn vom PD-Subjekt keine PD eingegangen ist, stellt der Betreiber dem PD-Subjekt vor der Verarbeitung dieser PD, außer in den in der Gesetzgebung der Russischen Föderation vorgesehenen Fällen, die folgenden Informationen zur Verfügung:

1) Vor- oder Nachname, Vorname, Vatersname und Anschrift des Betreibers oder seines Vertreters;

2) der Zweck der Verarbeitung personenbezogener Daten und ihre Rechtsgrundlage;

3) vorgesehene Nutzer personenbezogener Daten;

4) die in diesem Bundesgesetz festgelegten Rechte des Betroffenen personenbezogener Daten;

5) Quelle der PD.

8.2.9.

Ergreifen Sie die erforderlichen und ausreichenden Maßnahmen, um die Erfüllung der in der Gesetzgebung der Russischen Föderation vorgesehenen Pflichten des IPDN-Betreibers sicherzustellen.

8.2.11.

Wenn Sie personenbezogene Daten über Informations- und Telekommunikationsnetze sammeln, veröffentlichen Sie im entsprechenden Informations- und Telekommunikationsnetz ein Dokument, in dem die Richtlinien zur Verarbeitung personenbezogener Daten und Informationen über die umgesetzten Anforderungen zum Schutz personenbezogener Daten festgelegt werden, und stellen Sie sicher, dass Sie auf die angegebenen Daten zugreifen können Dokument unter Verwendung geeigneter Informations- und Telekommunikationsnetze.

8.2.12.

Legen Sie Dokumente und örtliche Gesetze vor, die in der Gesetzgebung der Russischen Föderation vorgesehen sind, und/oder bestätigen Sie auf andere Weise die Ergreifung von Maßnahmen, die erforderlich und ausreichend sind, um die Erfüllung der Verpflichtungen des IPDN-Betreibers sicherzustellen, auf Verlangen der autorisierten Schutzbehörde die Rechte von PD-Personen.

8.2.13.

Ergreifen Sie bei der Verarbeitung personenbezogener Daten die erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen oder stellen Sie deren Annahme sicher, um personenbezogene Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, Änderung, Sperrung, Vervielfältigung, Bereitstellung, Verbreitung von personenbezogenen Daten sowie vor anderen rechtswidrigen Handlungen zu schützen Bezug zur PD.

8.2.14.

Informieren Sie den PD-Betreff oder seinen Vertreter in der durch die Gesetzgebung der Russischen Föderation vorgeschriebenen Weise kostenlos über die Verfügbarkeit von PD in Bezug auf den betreffenden PD-Betreff und geben Sie ihm auch die Möglichkeit, sich bei der Bewerbung mit diesen PD vertraut zu machen dem PD-Subjekt oder seinem Vertreter oder innerhalb von dreißig Tagen ab dem Datum des Eingangs des Antrags des Subjekts PD oder seines Vertreters.

8.2.15.

Im Falle der Weigerung, dem PD-Subjekt oder seinem Vertreter auf Anfrage oder nach Erhalt einer Anfrage des PD-Subjekts oder seines Vertreters Informationen über die Verfügbarkeit von PD über das entsprechende PD-Subjekt oder PD bereitzustellen, ist der Betreiber verpflichtet, eine Auskunft zu erteilen begründete schriftliche Antwort mit einem Verweis auf die Bestimmung der Gesetzgebung der Russischen Föderation, die die Grundlage für eine solche Ablehnung ist, innerhalb einer Frist von höchstens dreißig Tagen ab dem Datum der Antragstellung des PD-Subjekts oder seines Vertreters oder ab dem Datum des Eingangs des Antrags des PD-Betroffenen oder seines Vertreters.

8.2.16.

Innerhalb einer Frist von höchstens sieben Werktagen ab dem Datum, an dem der Betroffene der PD oder sein Vertreter Informationen übermittelt, die bestätigen, dass die PD unvollständig, unrichtig oder irrelevant sind, ist der Betreiber verpflichtet, die erforderlichen Änderungen daran vorzunehmen. Innerhalb einer Frist von höchstens sieben Werktagen ab dem Datum, an dem der PD-Betroffene oder sein Vertreter Informationen übermittelt, die bestätigen, dass diese PD illegal erlangt wurden oder für den angegebenen Zweck der Verarbeitung nicht erforderlich sind, ist der Betreiber verpflichtet, diese PD zu vernichten. Der Betreiber ist verpflichtet, den PD-Betroffenen oder seinen Vertreter über die vorgenommenen Änderungen und ergriffenen Maßnahmen zu informieren und angemessene Maßnahmen zu ergreifen, um Dritte, an die die PD dieses Subjekts übertragen wurden, zu benachrichtigen.

8.2.17.

Melden Sie der zuständigen Stelle zum Schutz der Rechte personenbezogener Daten auf Anfrage dieser Stelle die erforderlichen Informationen innerhalb von dreißig Tagen ab dem Datum des Eingangs einer solchen Anfrage.

8.2.18.

Wenn eine rechtswidrige Verarbeitung personenbezogener Daten durch den Betreiber oder eine im Namen des Betreibers handelnde Person festgestellt wird, ist der Betreiber verpflichtet, die rechtswidrige Verarbeitung personenbezogener Daten innerhalb einer Frist von höchstens drei Werktagen ab dem Datum dieser Feststellung einzustellen oder sicherzustellen, dass die rechtswidrige Verarbeitung personenbezogener Daten durch eine Person, die im Namen des Betreibers handelt, eingestellt wird. Wenn es nicht möglich ist, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten sicherzustellen, ist der Betreiber innerhalb einer Frist von höchstens zehn Werktagen ab dem Datum der Feststellung der rechtswidrigen Verarbeitung personenbezogener Daten verpflichtet, diese personenbezogenen Daten zu vernichten oder für deren Vernichtung zu sorgen. Der Betreiber ist verpflichtet, den PD-Betroffenen oder seinen Vertreter über die Beseitigung von Verstößen oder die Vernichtung von PD-Verstößen sowie über den Einspruch des PD-Betroffenen oder seines Vertreters oder einen Antrag der autorisierten Stelle zum Schutz der Rechte von PD-Betroffenen zu informieren wurde von der autorisierten Stelle zum Schutz der Rechte von PD-Personen, auch der angegebenen Stelle, gesendet.

8.2.19.

Wenn der Zweck der Verarbeitung personenbezogener Daten erreicht wird, ist der Betreiber verpflichtet, die Verarbeitung personenbezogener Daten einzustellen oder für deren Beendigung zu sorgen (wenn die Verarbeitung personenbezogener Daten durch eine andere Person erfolgt, die im Auftrag des Betreibers handelt) und personenbezogene Daten zu vernichten oder für deren Vernichtung zu sorgen (wenn die Verarbeitung personenbezogener Daten durch eine andere Person erfolgt, die im Namen des Betreibers handelt) innerhalb einer Frist, jedoch nicht länger als dreißig Tage ab dem Datum der Erreichung des Zwecks der Verarbeitung personenbezogener Daten, sofern in der Vereinbarung, der der personenbezogene Datensubjekt unterliegt, nichts anderes vorgesehen ist Partei, Begünstigter oder Bürge, eine andere Vereinbarung zwischen dem Betreiber und dem PD-Subjekt oder wenn der Betreiber nicht das Recht hat, PD ohne Zustimmung des PD-Subjekts aus den in der Gesetzgebung der Russischen Föderation vorgesehenen Gründen zu verarbeiten.

8.2.20.

Wenn der PD-Betroffene seine Zustimmung zur Verarbeitung seiner PD widerruft, stoppen Sie die Verarbeitung oder sorgen Sie für die Beendigung dieser Verarbeitung (wenn die PD-Verarbeitung von einer anderen Person durchgeführt wird, die im Namen des Betreibers handelt) und wenn die Speicherung der PD nicht mehr möglich ist die für die Zwecke der PD-Verarbeitung erforderlich ist, die PD vernichten oder für deren Vernichtung sorgen (falls die PD-Verarbeitung durch eine andere Person erfolgt, die im Namen des Betreibers handelt), innerhalb einer Frist von höchstens dreißig Tagen ab dem Datum des Erhalts der genannten Antwort, es sei denn Anders sieht es in der Vereinbarung aus, bei der der PD-Betroffene Vertragspartei, Begünstigter oder Bürge ist, oder in einer anderen Vereinbarung zwischen dem Betreiber und dem PD-Betroffenen oder wenn der Betreiber aus den vorgesehenen Gründen nicht berechtigt ist, PD ohne Zustimmung des PD-Betroffenen zu verarbeiten durch die Gesetzgebung der Russischen Föderation.

8.2.21.

Benennen Sie einen Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten.

Verfahren zur Verarbeitung und zum Schutz personenbezogener Daten

9.1.

Die Gewährleistung der Vertraulichkeit der vom Betreiber verarbeiteten personenbezogenen Daten ist eine zwingende Verpflichtung für alle Personen, denen die personenbezogenen Daten bekannt geworden sind.

9.2.

Die Mitarbeiter des Betreibers, die Dokumente bearbeiten, sind verpflichtet, in bestimmten Fällen die Zustimmung der PD-Personen zur Verarbeitung einzuholen.

9.3.

Im Falle eines Verstoßes gegen das festgelegte Verfahren zur Verarbeitung personenbezogener Daten haften die Mitarbeiter des Betreibers gemäß Abschnitt 9 dieser Ordnung.

9.4.

PD von Themen auf Papier, die vom Betreiber verarbeitet werden, werden in Abteilungen (mit Mitarbeitern) gespeichert, die zur Verarbeitung der entsprechenden PD berechtigt sind. Das Recht der Mitarbeiter auf Zugriff auf nichtautomatisierte Informationssysteme wird auf Anordnung des Managers festgelegt. Persönliche Datenträger sollten nicht unbeaufsichtigt gelassen werden. Beim Verlassen des Arbeitsplatzes müssen Mitarbeiter, die personenbezogene Daten verarbeiten, die Medien in einem sicheren, verschlossenen Schrank aufbewahren oder den unbefugten Zugriff auf die Medien auf andere Weise einschränken. Sollten personenbezogene Daten verloren gehen oder beschädigt werden, werden diese wann immer möglich wiederhergestellt.

9.5.

Speicherorte für Dokumente mit PD:

9.5.1.

PD der Kunden des Betreibers (Verträge, Akte, Vereinbarungen, Fragebögen, Kopien von Reisepässen, andere ähnliche Dokumente, die PD der Kunden des Betreibers enthalten, Speichermedien (Flash-Karten, CDs usw.) werden in den Haupt- und Reservebüros des Betreibers aufbewahrt , auf die Regale gestellt und mit einem Schlüssel verschlossen. Die verantwortliche Person, die die Kontrolle ausübt, wird auf Anordnung des Managers bestimmt.

9.5.2.

Persönliche Daten der Mitarbeiter des Betreibers – Dokumente, Speichermedien (Lernkarten, CDs etc.) – werden im Firmensafe aufbewahrt und mit einem Schlüssel verschlossen. Die verantwortliche Person, die die Kontrolle ausübt, ist der Leiter des Betreibers.

9.6.

Die Ausstellung von Unterlagen zur Prüfung erfolgt an Personen, die zur Wahrnehmung dienstlicher Aufgaben zu den entsprechenden Informationen zugelassen sind, für einen Zeitraum von höchstens einem Werktag.

9.7.

Andere Speichermedien können in den Haupt- und Ersatzbüros des Betreibers aufbewahrt, in Regalen abgelegt und mit einem Schlüssel verschlossen werden, oder im Safe der Organisation. Die verantwortliche Person, die die Kontrolle über andere Informationsträger ausübt, wird auf Anordnung des Managers bestimmt.

9.8.

Bei der Arbeit mit der Software des automatisierten Systems des Betreibers, das die Funktionen zum Anzeigen und Bearbeiten personenbezogener Daten implementiert, ist es verboten, Bildschirmformulare, die solche Daten enthalten, Personen anzuzeigen, die nicht über die entsprechende Erlaubnis verfügen.

9.9.

Beim Empfang von PD durch einen Mitarbeiter des Betreibers, der im Rahmen seiner beruflichen Pflichten PD von einem Kunden oder einem Mitarbeiter einer anderen Person erhält, ist die Echtheit der PD zu überprüfen. Die vom Betreiber erhaltenen personenbezogenen Daten werden von Mitarbeitern, die Zugriff auf die entsprechenden personenbezogenen Daten haben, in das Informationssystem eingegeben. Mitarbeiter, die Informationen eingeben, sind für die Richtigkeit und Vollständigkeit der eingegebenen Informationen verantwortlich.

9.10.

Die Merkmale der Verarbeitung personenbezogener Daten, die auf Papier enthalten sind, ohne den Einsatz von Automatisierungstools (bei der Erstellung von Dokumenten wird kein Personalcomputer verwendet) werden gemäß dem Dekret der Regierung der Russischen Föderation vom 15. September 2008 N 687 „Über die Genehmigung“ festgelegt der Verordnung über die Merkmale der Verarbeitung personenbezogener Daten, die ohne den Einsatz von Automatisierungstools durchgeführt werden.

9.11.

Bei der manuellen Verarbeitung verschiedener Kategorien personenbezogener Daten muss für jede Kategorie personenbezogener Daten ein separater materieller Datenträger verwendet werden.

9.12.

Im Falle einer nicht automatisierten Verarbeitung personenbezogener Daten auf Papier:

9.12.1.

Es ist nicht gestattet, PD auf einem Papierträger aufzuzeichnen, deren Verarbeitungszwecke offensichtlich unvereinbar sind;

9.12.2.

PD müssen von anderen Informationen getrennt werden, insbesondere durch Aufzeichnung auf separaten Papierträgern, in besonderen Abschnitten oder in Formularfeldern (Formularen);

9.13.

Bei der Verwendung von Standardformularen für Dokumente, deren Art die Aufnahme von PD in sie nahelegt oder ermöglicht (im Folgenden als Standardformulare bezeichnet), müssen die folgenden Bedingungen erfüllt sein:

9.13.1.

Das Standardformular oder zugehörige Dokumente (Anweisungen zum Ausfüllen, Karten, Register und Journale) müssen Informationen über den Zweck der nicht automatisierten Verarbeitung personenbezogener Daten, den Namen (Namen) und die Adresse des Betreibers, Nachname, Vorname, Vatersname enthalten und Adresse des Subjekts der PD, die Quelle des Empfangs der PD, Fristen für die Verarbeitung personenbezogener Daten, eine Liste der Aktionen mit personenbezogenen Daten, die während ihrer Verarbeitung durchgeführt werden, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden zur Verarbeitung personenbezogener Daten ;

9.13.2.

Das Standardformular sollte ein Feld enthalten, in dem der PD-Betroffene seine Zustimmung zur nichtautomatisierten PD-Verarbeitung vermerken kann, wenn eine schriftliche Einwilligung zur PD-Verarbeitung erforderlich ist;

9.13.3.

Das Standardformular muss so gestaltet sein, dass jeder der im Dokument enthaltenen PD-Subjekte die Möglichkeit hat, sich mit seinen im Dokument enthaltenen PD-Subjekten vertraut zu machen, ohne die Rechte und berechtigten Interessen anderer PD-Subjekte zu verletzen;

9.13.4.

Das Standardformular sollte die Kombination von Feldern zur Eingabe personenbezogener Daten ausschließen, deren Verarbeitungszwecke offensichtlich unvereinbar sind.

9.14.

Die Speicherung personenbezogener Daten muss in einer Form erfolgen, die eine Identifizierung des personenbezogenen Datensubjekts ermöglicht, und zwar nicht länger als für die Zwecke der Verarbeitung personenbezogener Daten erforderlich, es sei denn, die Aufbewahrungsfrist für personenbezogene Daten ist durch Bundesgesetz oder eine Vereinbarung festgelegt, zu der das personenbezogene Datensubjekt gehört eine Partei, ein Begünstigter oder ein Bürge.

9.15.

Fälle der Vernichtung, Sperrung und Aufklärung personenbezogener Daten:

9.16.

Die Zerstörung oder Depersonalisierung eines Teils der personenbezogenen Daten kann, sofern dies durch einen materiellen Datenträger zulässig ist, in einer Weise erfolgen, die eine weitere Verarbeitung dieser personenbezogenen Daten ausschließt und gleichzeitig die Möglichkeit der Verarbeitung anderer auf einem materiellen Datenträger gespeicherter Daten (Löschung, Löschung) aufrechterhält.

9.17.

Die Klärung personenbezogener Daten bei deren Verarbeitung ohne den Einsatz von Automatisierungstools erfolgt durch Aktualisierung oder Änderung von Daten auf einem materiellen Datenträger, und wenn dies aufgrund der technischen Merkmale des physischen Datenträgers nicht zulässig ist, durch Aufzeichnung von Informationen darüber auf demselben physischen Datenträger daran vorgenommene Änderungen oder die Erstellung eines neuen materiellen Mediums mit aktualisierter PD.

9.18.

Die Vernichtung von Medien mit personenbezogenen Daten erfolgt in der folgenden Reihenfolge:

9.18.1.

PD auf Papier werden mithilfe von Aktenvernichtern (Aktenvernichtern) vernichtet, die im Büro des Betreibers installiert sind.

9.18.2.

Das im PC-Speicher befindliche PD wird durch Löschen aus dem PC-Speicher zerstört.

9.18.3.

PD, die sich auf einer Flash-Karte, CD oder einem anderen Speichermedium befinden, werden zerstört, indem die Datei vom Medium gelöscht wird, ggf. durch Beeinträchtigung der Funktionalität der Flash-Karte oder CD.

9.19.

Über die Vernichtung des Speichermediums wird ein Bericht erstellt (Formulare der Berichte siehe Anlagen).

9.20.

Das Büro und die Räumlichkeiten des Betreibers müssen am Ende des Arbeitstages und bei Abwesenheit von Mitarbeitern in den Büroräumen verschlossen, die Fenster geschlossen und der Alarm (falls vorhanden) eingeschaltet sein.

9.21.

Netzwerkgeräte und Server sollten an Orten untergebracht werden, die für Unbefugte unzugänglich sind (in speziellen Räumen, Schränken, Kästen).

9.22.

Die Reinigung der Räumlichkeiten und die Wartung der technischen Ausrüstung des ISPD müssen unter der Kontrolle der für diese Räumlichkeiten und technischen Mittel verantwortlichen Personen unter Einhaltung von Maßnahmen durchgeführt werden, die den unbefugten Zugriff auf PD, Informationsträger, Software und Hardware zur Verarbeitung, Übertragung und zum Schutz von ISPD-Informationen ausschließen .

9.23.

Zu den Aufgaben von ISPD-Administratoren gehören die Verwaltung von ISPD-Benutzerkonten, die Aufrechterhaltung des normalen Betriebs von ISPD, die Gewährleistung der Datensicherung sowie die Installation und Konfiguration von ISPD-Hardware und -Software, die nicht mit der Gewährleistung der Datensicherheit im ISPD zusammenhängen. Zu den Aufgaben der ISPD-Administratoren gehört auch die Sicherstellung der Einhaltung des Verfahrens zur Verarbeitung und Gewährleistung der Sicherheit von PD im ISPD mit den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von PD, die einem bestimmten ISPD auferlegt werden, sowie den allgemeinen Anforderungen an die Sicherheit von PD, die vom Bund festgelegt wurden Gesetzgebung.

9.24.

Zu den Aufgaben von ISPD-Administratoren gehören auch die Installation, Konfiguration und Verwaltung von Hardware- und Softwaretools zum Schutz von ISPD-Informationen, die Abrechnung und Speicherung von Maschinendatenspeichermedien, die regelmäßige Prüfung von Sicherheitsprotokollen und die Analyse der ISPD-Sicherheit sowie die Teilnahme an behördlichen Untersuchungen Verstöße gegen das festgelegte Verfahren zur Verarbeitung und Gewährleistung der Sicherheit personenbezogener Daten.

9.25.

Um die Verteilung der Befugnisse, die Umsetzung der gegenseitigen Kontrolle und die Verhinderung der Konzentration von Befugnissen, die für die Sicherheit personenbezogener Daten von entscheidender Bedeutung sind, bei einer Person sicherzustellen, wird nicht empfohlen, die Rollen eines ISPD-Benutzers und eines ISPD-Administrators zu kombinieren Person eines Mitarbeiters.

9.26.

Die Qualifikationsanforderungen sowie eine detaillierte Liste der Rechte und Pflichten von ISPD-Administratoren sind in den entsprechenden Stellenbeschreibungen aufgeführt, mit denen die für diese Rollen ernannten Mitarbeiter bei der Unterzeichnung vertraut sein müssen.

9.27.

Die Organisation der internen Kontrolle des PD-Verarbeitungsprozesses beim Betreiber erfolgt mit dem Ziel, den tatsächlichen Stand der PD-Sicherheit zu untersuchen und zu bewerten, rechtzeitig auf Verstöße gegen das festgelegte Verfahren für deren Verarbeitung zu reagieren und dieses Verfahren zu verbessern und stellen Sie deren Einhaltung sicher.

9.28.

Maßnahmen zur Umsetzung der internen Kontrolle über die Verarbeitung und Sicherheit personenbezogener Daten zielen auf die Lösung folgender Aufgaben ab:

9.28.1.

Sicherstellung der Einhaltung der Anforderungen dieser Verordnung und der Vorschriften über den Umfang personenbezogener Daten durch die Mitarbeiter des Betreibers.

9.28.2.

Beurteilung der Kompetenz des Personals, das an der Verarbeitung personenbezogener Daten beteiligt ist.

9.28.3.

Gewährleistung der Funktionsfähigkeit und Wirksamkeit der technischen ISPD-Mittel und PD-Schutzmittel sowie deren Einhaltung der Anforderungen autorisierter Exekutivbehörden in Fragen der PD-Sicherheit.

9.28.4.

Erkennung von Verstößen gegen das festgelegte Verfahren zur Verarbeitung personenbezogener Daten und rechtzeitige Verhinderung der negativen Folgen solcher Verstöße.

9.28.5.

Ergreifen von Korrekturmaßnahmen zur Beseitigung festgestellter Verstöße, sowohl im Verfahren zur Verarbeitung von PD als auch beim Betrieb der technischen Mittel des ISPD.

9.28.7.

Ausübung der internen Kontrolle über die Umsetzung von Empfehlungen und Anweisungen zur Beseitigung von Verstößen.

9.29.

Die Ergebnisse der Kontrolltätigkeiten werden in Gesetzen dokumentiert und bilden die Grundlage für die Erarbeitung von Empfehlungen zur Verbesserung des Verfahrens zur Verarbeitung und Gewährleistung der Sicherheit personenbezogener Daten, zur Modernisierung der technischen Mittel von Informationssystemen und Mitteln zum Schutz personenbezogener Daten sowie zur Schulung und Verbesserung der Kompetenz des Personals, das an der Verarbeitung personenbezogener Daten beteiligt ist.

Funktionen zur Verwaltung personenbezogener Daten von Betreibermitarbeitern

10.1.

In diesem Abschnitt werden zusätzliche Rechte und Pflichten des Betreibers und seiner Mitarbeiter bei der Verarbeitung personenbezogener Daten der Mitarbeiter des Betreibers festgelegt.

10.2.

Bei den personenbezogenen Daten des Arbeitnehmers handelt es sich um Informationen, die der Betreiber im Zusammenhang mit Arbeitsbeziehungen benötigt und die sich auf einen bestimmten Arbeitnehmer beziehen.

10.3.

Die Verarbeitung der personenbezogenen Daten eines Mitarbeiters darf ausschließlich zu dem Zweck erfolgen, die Einhaltung von Gesetzen und anderen Vorschriften sicherzustellen, Mitarbeiter bei der Beschäftigung, Ausbildung und Beförderung zu unterstützen, die persönliche Sicherheit der Mitarbeiter zu gewährleisten, die Quantität und Qualität der geleisteten Arbeit zu überwachen und sicherzustellen Sicherheit des Eigentums.

10.4.

Der Betreiber ist nicht berechtigt, personenbezogene Daten eines Arbeitnehmers über seine Mitgliedschaft in öffentlichen Verbänden oder seine Gewerkschaftsaktivitäten zu erhalten und zu verarbeiten, außer in den durch Bundesgesetze vorgesehenen Fällen;

10.5.

Bei Entscheidungen, die die Interessen eines Mitarbeiters betreffen, ist der Betreiber nicht berechtigt, sich auf die personenbezogenen Daten des Mitarbeiters zu verlassen, die ausschließlich durch deren automatisierte Verarbeitung oder den elektronischen Empfang erlangt wurden;

10.6.

Mitarbeiter dürfen nicht auf ihr Recht zur Wahrung und zum Schutz von Geheimnissen verzichten;

10.7.

Der Betreiber verpflichtet sich, die personenbezogenen Daten des Mitarbeiters nicht ohne dessen schriftliche Zustimmung zu kommerziellen Zwecken weiterzugeben;

10.8.

Der Betreiber verpflichtet sich, die Mitarbeiter des Betreibers und Dritte, die personenbezogene Daten des Mitarbeiters erhalten (mit dessen Zustimmung), darauf hinzuweisen, dass diese Daten nur für die Zwecke verwendet werden dürfen, für die sie mitgeteilt wurden, und von diesen Personen die Bestätigung der Einhaltung dieser Regel zu verlangen. Personen, die personenbezogene Daten eines Mitarbeiters erhalten, sind zur Verschwiegenheit (Vertraulichkeit) verpflichtet. Die Vertraulichkeit wird durch den Abschluss einer Vereinbarung mit der Person gewährleistet (Anhang zu dieser Geschäftsordnung). Diese Bestimmung gilt nicht für den Austausch personenbezogener Daten von Arbeitnehmern in der durch die Gesetzgebung der Russischen Föderation festgelegten Weise;

10.9.

Der Zugriff auf personenbezogene Daten der Mitarbeiter erfolgt auf der Grundlage von vom Betreiber genehmigten Anordnungen und Vorschriften.

10.10.

Der Betreiber verpflichtet sich, keine Informationen über den Gesundheitszustand des Mitarbeiters anzufordern, mit Ausnahme von Informationen, die sich auf die Frage der Fähigkeit des Mitarbeiters zur Ausübung einer Arbeitsaufgabe beziehen;

10.11.

Der Betreiber verpflichtet sich, die personenbezogenen Daten des Arbeitnehmers in der durch die Gesetzgebung der Russischen Föderation festgelegten Weise an die Arbeitnehmervertreter weiterzuleiten und diese Informationen nur auf diejenigen personenbezogenen Daten des Arbeitnehmers zu beschränken, die für die Erfüllung ihrer Aufgaben durch die genannten Vertreter erforderlich sind.

10.12.

Ein Mitarbeiter hat das Recht, seine Vertreter zum Schutz seiner personenbezogenen Daten zu bestimmen.

Haftung bei Verstößen gegen diese Bestimmung

11.1.

Die Geschäftsführung des Betreibers ist für die Nichtgewährleistung der Vertraulichkeit personenbezogener Daten und die Nichteinhaltung der Rechte und Freiheiten personenbezogener Datensubjekte in Bezug auf ihre personenbezogenen Daten, einschließlich des Rechts auf Privatsphäre sowie auf persönliche und familiäre Geheimnisse, verantwortlich.

11.4.

Bei Verstößen gegen das festgelegte Verfahren zur Verarbeitung und Gewährleistung der Sicherheit personenbezogener Daten, unbefugtem Zugriff auf personenbezogene Daten, Offenlegung personenbezogener Daten und der Entstehung materieller oder sonstiger Schäden für den Betreiber, seine Mitarbeiter, Kunden und Gegenparteien tragen die Täter zivil-, straf- und verwaltungsrechtliche Konsequenzen , disziplinarische und sonstige Haftung gemäß der Gesetzgebung der Russischen Föderation.

Seit Ende des Sommers ist das Gesetz zum Schutz personenbezogener Daten in einer neuen Fassung in Kraft. Die Regeln für die Beschaffung und den Schutz von Informationen haben sich geändert. Für den Arbeitgeber bedeutet dies nur eines: zusätzlichen Papierkram. In diesem Artikel werden wir darüber sprechen, wie man Regelungen zum Umgang mit personenbezogenen Daten von Mitarbeitern erstellt und einen Verantwortlichen für die Organisation der Arbeit mit personenbezogenen Daten ernennt.

Was sind personenbezogene Daten?

Das Bundesgesetz Nr. 152-FZ vom 27. Juli 2006 „Über personenbezogene Daten“ (im Folgenden als Gesetz Nr. 152-FZ bezeichnet) definiert Persönliche Angaben als alle Informationen, die sich direkt oder indirekt auf eine Person beziehen (zum Thema personenbezogene Daten). Dies ist in Absatz 1 der Kunst angegeben. 3 des Gesetzes Nr. 152-FZ.

Gemäß Teil 1 der Kunst. Gemäß Art. 85 des Arbeitsgesetzbuches sind personenbezogene Daten eines Arbeitnehmers Informationen über einen bestimmten Arbeitnehmer, die für den Arbeitgeber im Zusammenhang mit Arbeitsbeziehungen erforderlich sind. Wir sprechen über Daten wie:

• Vollständiger Name;
• Geburtsdatum und-ort;
• Adresse;
• Familienstand;
• Position (Beruf);
• Gehalt, sonstiges Einkommen;
• Eigentum an Immobilien, Bareinlagen usw.;
• Ausbildung, Qualifikationen, Berufsausbildung, Informationen zur Fortbildung;
• Gewohnheiten und Hobbys, auch schädliche (Alkohol, Drogen usw.);
• biografische Fakten und bisherige berufliche Tätigkeit (Arbeitsort, Höhe des Verdienstes, Vorstrafen, Wehrdienst, Tätigkeit in gewählten Ämtern, öffentlicher Dienst etc.);
• physiologische Eigenschaften, Gesundheit;
• geschäftliche und andere persönliche Qualitäten;
• andere Informationen.

Die Liste der Personaldokumente mit personenbezogenen Daten der Mitarbeiter ist in der Tabelle aufgeführt. 1 auf S. 76.

Tabelle 1. Dokumente mit personenbezogenen Daten von Mitarbeitern

Betreiber der Verarbeitung personenbezogener Daten

Gemäß Gesetz N 152-FZ wird die Person (juristische oder natürliche Person) genannt, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt, deren Zusammensetzung, die Zwecke der Verarbeitung und die mit personenbezogenen Daten durchgeführten Aktionen bestimmt Operator(Artikel 3 Absatz 2 des Gesetzes Nr. 152-FZ). In unserem Fall ist dies der Arbeitgeber.

Verarbeitung personenbezogener Daten- jede mit ihnen durchgeführte Aktion. Vorgänge zur Verarbeitung personenbezogener Daten:

• Sammlung;
• Aufzeichnung;
• Systematisierung;
• Akkumulation;
• Lagerung;
• Klarstellung (Aktualisierung, Änderung);
• Extraktion;
• Verwendung;
• Übertragung (Verbreitung, Bereitstellung, Zugriff);
• Depersonalisierung;
• Blockierung;
• Streichung;
• Vernichtung personenbezogener Daten.

Regelungen zum Umgang mit personenbezogenen Daten

Das Verfahren zur Verarbeitung personenbezogener Daten durch den Betreiber kann in der Verordnung über den Umgang mit personenbezogenen Daten von Arbeitnehmern (im Folgenden „Verordnung“ genannt) festgelegt werden. Es gibt keine einheitliche Form des Dokuments. Überlegen wir, wie dieses Dokument unter Berücksichtigung der Anforderungen des Gesetzes N 152-FZ erstellt werden kann. Die Verordnung besteht aus mehreren Abschnitten. Sie sind in der Tabelle dargestellt. 2. Außerdem wird kurz darauf hingewiesen, welche Informationen die Abschnitte enthalten sollten. Detaillierte Informationen finden Sie in einem Teil der Verordnung über personenbezogene Daten von Arbeitnehmern, der auf S. 80.

Tabelle 2. Struktur der Verordnung über personenbezogene Daten von Arbeitnehmern

Fragment der Verordnung über personenbezogene Daten von Arbeitnehmern

Inkrafttreten der Verordnung

Die Regelung zu personenbezogenen Daten wird vom Unternehmensleiter genehmigt und auf Anordnung der Organisation in Kraft gesetzt (ein Muster finden Sie auf S. 90). Die Genehmigung der Vorschriften muss im Register der örtlichen Vorschriften eingetragen werden.

Wenn es eine Gewerkschaft gibt

Verfügt das Unternehmen über eine Gewerkschaft, müssen die Regelungen mit dieser vereinbart werden. Zu diesem Zweck werden die Verordnungsentwürfe an das gewählte Gremium der Gewerkschaft geschickt (Artikel 372 des Arbeitsgesetzbuchs der Russischen Föderation). Er muss seine Stellungnahme (schriftlich) spätestens fünf Arbeitstage nach Eingang des Projekts abgeben. Wenn die Gewerkschaft mit dem Projekt nicht einverstanden ist oder Verbesserungsvorschläge hat, hat die Verwaltung zwei Möglichkeiten. Die erste besteht darin, zuzustimmen. Die zweite besteht darin, innerhalb von drei Tagen nach Erhalt einer begründeten Stellungnahme zusätzliche Konsultationen mit der Gewerkschaft durchzuführen, um eine für beide Seiten akzeptable Lösung zu erzielen. Wenn dies nicht hilft, sollte ein Protokoll der Meinungsverschiedenheit erstellt werden. Danach hat die Verwaltung das Recht, die Verordnungen zu erlassen, ohne die Forderungen der Gewerkschaft zu berücksichtigen. Er kann jedoch gegen die Verordnung Berufung einlegen oder das Verfahren für einen kollektiven Arbeitskonflikt in der im Kapitel vorgeschriebenen Weise einleiten. 61 Arbeitsgesetzbuch.

Kennenlernen der Mitarbeiter mit den Vorschriften

Mitarbeiter müssen mit den Vorschriften gegen Unterschrift vertraut sein (Artikel 86 Absatz 8 des Arbeitsgesetzbuchs der Russischen Föderation). Diese Tatsache kann festgehalten werden:

• im Text des Arbeitsvertrags für jeden Mitarbeiter (Auflistung der örtlichen Vorschriften, mit denen der Mitarbeiter vor Vertragsunterzeichnung vertraut ist);
• - ein Blatt zum Kennenlernen der Verordnungen (Muster auf S. 91);
• - ein Logbuch, um die Mitarbeiter mit den örtlichen Vorschriften vertraut zu machen (Beispiel auf S. 91).

Musterblatt zum Kennenlernen der örtlichen Vorschriften

Fragment des EinführungsprotokollsVorschriftenüber personenbezogene Daten

Notiz. Speicherdauer personenbezogener Daten

Örtliche Vorschriften (Vorschriften, Weisungen) zu personenbezogenen Daten müssen dauerhaft gespeichert werden. Die Einwilligungserklärungen der Mitarbeiter zur Datenverarbeitung (wird in späteren Ausgaben besprochen) und andere Mitarbeiterdokumente werden 75 Jahre lang gespeichert. Dies ist in der Liste angegeben, die durch die Verordnung des russischen Kulturministeriums vom 25. August 2010 N 558 genehmigt wurde.

Administrative Verantwortung

Verwaltungsrechtliche Haftungsmaßnahmen (meistens sind Geldstrafen vorgesehen, ein Ausschluss wird in diesem Fall nicht verhängt) für ein Unternehmen und seine Beamten wegen Verstößen gegen das Verfahren zur Entgegennahme, Verarbeitung, Speicherung und zum Schutz personenbezogener Daten von Mitarbeitern sind in der Tabelle aufgeführt. 3.

Tabelle 3. Verantwortung für Verstöße gegen das Verfahren zur Erhebung, Verarbeitung, Speicherung und zum Schutz personenbezogener Daten von Mitarbeitern