Esta instrucción para el procesamiento de datos personales (en adelante, la Instrucción) fue desarrollada de conformidad con la Ley Federal del 27 de julio de 2006. No. 152-FZ “Sobre Datos Personales”. Esta instrucción define el procedimiento para el procesamiento de datos personales y las medidas para garantizar la seguridad de los datos personales en CardsProService LLC con el fin de proteger los derechos y libertades de las personas y los ciudadanos al procesar sus datos personales, incluida la protección de los derechos a la privacidad, personal y familiar. misterios.

1. TÉRMINOS Y DEFINICIONES

1) Informacion personal- cualquier información relativa a una persona física identificada o identificable directa o indirectamente (sujeto de datos personales);

2) Operador (Cliente) - organismo estatal, organismo municipal, persona jurídica o persona física, de forma independiente o junto con otras personas, que organiza y (o) lleva a cabo el procesamiento de datos personales, así como para determinar los fines del procesamiento de datos personales, la composición de los datos personales a procesar , acciones (operaciones) realizadas con datos personales;

3) Tratamiento de datos personales- cualquier acción (operación) o conjunto de acciones (operaciones) realizadas utilizando herramientas de automatización o sin el uso de tales medios con datos personales, incluida la recopilación, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), extracción, uso, transferencia (distribución, provisión, acceso), despersonalización, bloqueo, eliminación, destrucción de datos personales;

4) Tratamiento automatizado de datos personales- procesamiento de datos personales utilizando tecnología informática;

5) Difusión de datos personales- acciones destinadas a revelar datos personales a un número indefinido de personas;

6) Proporcionar datos personales- acciones destinadas a revelar datos personales a una determinada persona o a un determinado círculo de personas;

7) Bloqueo de datos personales- cese temporal del procesamiento de datos personales (excepto en los casos en que el procesamiento sea necesario para aclarar los datos personales);

8) Destrucción de datos personales- acciones como resultado de las cuales resulta imposible restaurar el contenido de los datos personales en el sistema de información de datos personales y (o) como resultado de las cuales se destruyen los medios materiales de datos personales;

9) Personas autorizadas del Cliente- personas que actúan de conformidad con el acuerdo sobre
confidencialidad concluida con el Cliente.

10) ACERCA DEdespersonalización de datos personales- acciones como resultado de las cuales resulta imposible determinar la propiedad de los datos personales de un sujeto específico de datos personales sin el uso de información adicional;

11) Sistema de información de datos personales.- la totalidad de los datos personales contenidos en bases de datos y las tecnologías de la información y los medios técnicos que aseguran su procesamiento;

12) Transferencia transfronteriza de datos personales- transferencia de datos personales a
el territorio de un Estado extranjero a una autoridad de un Estado extranjero, a una persona física o jurídica extranjera;

13) Ejecutor- CardsProService LLC (123610, Moscú, terraplén Krasnopresnenskaya, edificio 12, edificio de oficinas 1, sala Id, sala 42; OGRN 1157746550070).

2. ORDEN DE TRATAMIENTO DE DATOS PERSONALES

2.1. El Cliente, siendo el Operador de datos personales, de conformidad con el inciso 3 del art. 6 de la Ley Federal de 27 de julio de 2006 No. 152-FZ “Sobre Datos Personales”, instruye, y el Contratista se compromete a procesar los datos personales de los sujetos, en interés del Cliente y de conformidad con
Acuerdo del Usuario.

3. PROCEDIMIENTO DE INTERACCIÓN DE LAS PARTES

3.1. La base para que el Contratista procese datos personales de los sujetos en interés del Cliente es el Acuerdo de Usuario.

3.2. El procedimiento para organizar la recopilación de consentimientos de los interesados ​​para el procesamiento y transferencia de sus datos personales, así como los fines del procesamiento de datos personales, la composición de los datos personales a procesar, las acciones (operaciones) realizadas con datos personales:

3.2.1. Finalidad del tratamiento de datos personales.

El tratamiento de datos personales se encomienda con la finalidad de implementar programas de fidelización.

3.2.2. Lista de datos personales cuyo procesamiento se confía al contratista

• Nombre completo;
• Lugar, año y fecha de nacimiento;
• Número de contacto;
• Dirección de Registro;
• Dirección del lugar de residencia real (estancia);
• Datos del pasaporte (serie, número de pasaporte, quién y cuándo lo emitió);
• Número de teléfono (casa, trabajo, móvil).

• Recogida de datos personales.
• Sistematización de datos personales.
• Acumulación de datos personales.
• Uso de datos personales para la implementación de programas de fidelización y comunicación con sujetos de datos personales.
• Almacenamiento de datos personales.
• Aclaración (actualización, modificación) de datos personales:
  
  
• Extracción (descarga): previa instrucción adicional por escrito del Cliente.
• Despersonalización de datos personales:
  -
  - a petición legal del titular de los datos personales, con notificación obligatoria por escrito al Cliente;
  - a solicitud de las autoridades reguladoras estatales para la protección de los derechos de los interesados, con notificación obligatoria por escrito al Cliente.
• Bloqueo de datos personales:
  - previa instrucción adicional por escrito del Cliente;
  - a petición legal del titular de los datos personales, con notificación obligatoria por escrito al Cliente;
  - a solicitud de las autoridades reguladoras estatales para la protección de los derechos de los interesados, con notificación obligatoria por escrito al Cliente.
• Eliminación de datos personales:
  - previa instrucción adicional por escrito del Cliente;
  - a petición legal del titular de los datos personales, con notificación obligatoria por escrito al Cliente;
  - a solicitud de las autoridades reguladoras estatales para la protección de los derechos de los interesados, con notificación obligatoria por escrito al Cliente.
• Destrucción de datos personales - previa instrucción adicional por escrito del Cliente.

El tratamiento de datos personales debe limitarse a la consecución de finalidades específicas, predefinidas y legítimas. No se permite el tratamiento de datos personales que sea incompatible con los fines de recogida de datos personales.
No está permitido combinar bases de datos que contengan datos personales cuyo procesamiento se realice con fines incompatibles entre sí.
Sólo están sujetos a tratamiento los datos personales que cumplan con los fines de su procesamiento.
El contenido y el volumen de los datos personales procesados ​​deben corresponder a los fines de procesamiento indicados. Los datos personales procesados ​​no deben ser redundantes en relación con los fines declarados de su procesamiento.
Al procesar datos personales, se debe garantizar la exactitud de los datos personales, su suficiencia, así como la relevancia en relación con los fines del procesamiento de datos personales.
El almacenamiento de datos personales debe realizarse en una forma que permita identificar al sujeto de los datos personales, no más de lo requerido por los fines del procesamiento de datos personales, a menos que se especifique lo contrario en los términos del contrato. Los datos personales procesados ​​están sujetos a destrucción o despersonalización al alcanzar los objetivos del procesamiento o en caso de pérdida de la necesidad de alcanzar estos objetivos, a menos que los términos del contrato determinen lo contrario.

3.2.5. Organización de la protección de datos personales.

Objetos de protección

• información que contenga datos personales de los sujetos;
• soportes informáticos que contienen datos personales de sujetos;
• sistemas de información de datos personales;
• datos personales de sujetos contenidos en bases de datos electrónicas de sistemas de información de datos personales.

Para garantizar la seguridad de los datos personales, el Contratista deberá tomar las siguientes medidas:

• Medidas legales, organizativas y técnicas necesarias o garantizar su adopción para proteger los datos personales del acceso no autorizado o accidental, destrucción, modificación, bloqueo, copia, suministro, distribución de datos personales, así como de otras acciones ilegales en relación con los datos personales.
• Proporcionar acceso a los empleados del Contratista a los datos personales procesados ​​​​en nombre del Cliente, después de haber firmado una Obligación de no divulgación de datos personales, estudiar los requisitos del Cliente para el procedimiento de procesamiento y protección de datos personales, las regulaciones locales que regulan el procedimiento para organizar y garantizar la protección de los datos personales y recibir formación sobre el procedimiento de tratamiento de datos personales.
• Identificación de amenazas a la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales.
• Aplicación de medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales necesarios para cumplir los requisitos de protección de datos personales, cuya implementación garantiza los niveles de seguridad de los datos personales establecidos por el Gobierno de la Federación Rusa.
• Evaluar la eficacia de las medidas adoptadas para garantizar la seguridad de los datos personales antes de la puesta en funcionamiento del sistema de información de datos personales.
• Contabilización de medios de almacenamiento informático de datos personales.
• Detección de hechos de acceso no autorizado a datos personales y toma de medidas.
• Restauración de datos personales modificados o destruidos por acceso no autorizado a los mismos.
• Establecer reglas para el acceso a los datos personales tratados en el sistema de información de datos personales, así como asegurar el registro y contabilidad de todas las acciones realizadas con datos personales en el sistema de información de datos personales.
• Seguimiento de las medidas adoptadas para garantizar la seguridad de los datos personales y el nivel de seguridad de los sistemas de información de datos personales.

La destrucción de los datos personales de los interesados ​​podrá ser realizada por el Contratista únicamente:

• previa instrucción adicional por escrito del Cliente;
• a petición legal del titular de los datos personales, con notificación obligatoria por escrito al Cliente;
• a solicitud de las autoridades reguladoras estatales para la protección de los derechos de los interesados, con notificación obligatoria por escrito al Cliente.

3.2.8. Procedimiento para poner fin al tratamiento de datos personales

La terminación del tratamiento de datos personales se lleva a cabo:

• en caso de terminación de la relación contractual que sea base para el tratamiento de datos personales;
• previa instrucción adicional por escrito del Cliente;
• por orden escrita de las autoridades reguladoras gubernamentales.

4. DERECHOS Y OBLIGACIONES DE LAS PARTES

4.1. El cliente se compromete:

4.1.1. Si el sujeto de los datos personales retira su consentimiento para el procesamiento de datos personales y no existen los motivos especificados en los párrafos 2 a 11 de la parte 1 del artículo 6, parte 2 del artículo 10 y parte 2 del artículo 11 de la Ley Federal del 27 de julio. , 2006 No. 152-FZ “Sobre datos personales" que permite el procesamiento
datos personales sin el consentimiento del sujeto, enviar una orden por escrito al Contratista para realizar trabajos para eliminar o despersonalizar los datos personales del sujeto.

4.1.2. Al recibir una solicitud del sujeto de datos personales para proporcionar la información especificada en la Parte 7 del Artículo 14 de la Ley Federal de 27 de julio de 2006 No. 152-FZ "Sobre Datos Personales", o las solicitudes del sujeto para el refinamiento de sus datos personales, su bloqueo o destrucción en caso de que los datos personales estén incompletos, desactualizados, inexactos, obtenidos ilegalmente o no sean necesarios para el propósito de procesamiento indicado, enviar una orden por escrito al Contratista para
proporcionar información o realizar acciones específicas con los datos personales del interesado.

4.2. El Contratista se compromete:

4.2.1. Tratar los datos personales de forma lícita, en estricto apego a los términos de esta Instrucción.

4.2.2. A la primera solicitud escrita del Cliente, transferir (devolver) las bases de datos personales procesadas en su nombre en la forma especificada en la solicitud.

4.2.4. A solicitud del organismo autorizado para la protección de los derechos de los interesados, proporcionar evidencia de la recepción de los consentimientos de los interesados ​​recopilados en el marco de esta Instrucción para el procesamiento de sus datos personales o prueba de la existencia del motivos especificados en los párrafos 2 a 11 de la parte 1 del artículo 6, parte 2 del artículo 10 y parte 2 del artículo 11 de la Ley Federal de 27 de julio de 2006 No. 152-FZ "Sobre Datos Personales", que permite el procesamiento de datos personales sin el consentimiento del interesado.

De conformidad con la parte 2 del art. 85 Código del Trabajo de la Federación de Rusia procesamiento de datos personales de los empleados - se trata de la recepción, almacenamiento, combinación, transferencia o cualquier otro uso de los datos personales del empleado.

El procesamiento de los datos personales de un empleado puede realizarse únicamente con el fin de garantizar el cumplimiento de las leyes y otras regulaciones, ayudar al empleado en el empleo, la capacitación y la promoción, garantizar la seguridad del capital, así como controlar la cantidad y calidad del trabajo. realiza y garantiza la seguridad de la propiedad (cláusula 1 del artículo 86 del Código del Trabajo de la Federación de Rusia).

Según el apartado 3 del art. 3 de la Ley Federal “Sobre Datos Personales”, el procesamiento de datos personales son acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), uso, distribución (incluida la transferencia), despersonalización. , bloqueo , destrucción de datos personales. Debe tenerse en cuenta que, independientemente del número de operaciones funcionales enumeradas en la legislación, la regulación legal debe cubrir todas las etapas del procesamiento de datos personales, desde la recepción hasta la destrucción, sin excepciones ni exenciones.

Los principios para el procesamiento de datos personales incluyen los siguientes:

• legalidad de los fines y medios del procesamiento y equidad;
• cumplimiento de los fines del procesamiento con los objetivos predeterminados y establecidos en el momento de la recopilación de datos personales, así como con las facultades del operador;
• conformidad del volumen y la naturaleza de los datos procesados, los métodos de procesamiento con los fines de su procesamiento;
• la fiabilidad de los datos personales, su suficiencia para los fines del procesamiento, la inadmisibilidad del procesamiento de datos personales que no estén relacionados con los fines declarados al recopilar los datos;
• la inadmisibilidad de combinar bases de datos de sistemas de información de datos personales creados con fines incompatibles.

El tratamiento de los datos personales de un empleado comienza con su recepción. Como regla general, todos los datos personales deben obtenerse del propio empleado. En casos excepcionales, cuando los datos personales del empleado sólo puedan obtenerse de un tercero, se deberá notificar al empleado con antelación y obtener su consentimiento por escrito. El empleador está obligado a informar al empleado sobre los propósitos, las fuentes previstas y los métodos para obtener datos personales, así como la naturaleza de los datos personales que se recibirán y las consecuencias de la negativa del empleado a dar su consentimiento por escrito para recibirlos (Cláusula 3 del artículo 86 del Código del Trabajo de la Federación de Rusia). Sin embargo, el empleador no tiene derecho a recibir y procesar los datos personales del empleado sobre sus creencias políticas, religiosas y de otro tipo y su vida privada (cláusula 4 del artículo 86 del Código del Trabajo de la Federación de Rusia). Además, el empleador no puede solicitar información sobre el estado de salud del empleado si esto no se relaciona con la cuestión de la capacidad del empleado para desempeñar una función laboral (artículo 88 del Código del Trabajo de la Federación de Rusia).

El Código del Trabajo de la Federación de Rusia impone ciertos requisitos a la organización y tecnología de procesamiento de datos personales por parte del empleador. La obligación de familiarizar a los empleados y sus representantes, previa firma, con los documentos del empleador que establecen el procedimiento para el procesamiento de datos personales de los empleados, así como sus derechos y responsabilidades en esta área, presupone la necesidad de desarrollar y adoptar un acto legal regulatorio local apropiado. . Tal acto, dependiendo de las características específicas de la actividad y de la discreción del empleador, puede denominarse reglamento o instrucción y, por regla general, incluye las siguientes secciones:

• conceptos y disposiciones básicos;
• procesamiento de datos personales de los empleados;
• generación de datos personales de los empleados;
• registro, almacenamiento y transferencia de datos personales de empleados;
• derechos y obligaciones del empleado en el ámbito del tratamiento y protección de sus datos personales.

Un acto legal regulatorio local de este tipo determina el régimen de confidencialidad (acceso limitado) de los datos personales de un empleado en un empleador en particular. Los empleados del empleador que reciben los datos personales del empleado están obligados a cumplir con este régimen, el cual debe indicarse no solo en las descripciones de sus puestos, sino también en los contratos de trabajo celebrados con ellos. El reglamento (instrucción) sobre la protección de datos personales es el documento principal que refleja los detalles del procesamiento y transferencia de los datos personales de un empleado dentro de una organización específica, para un empresario individual específico. Si existe un componente automatizado dentro de esta actividad, el empleador no tiene derecho a tomar decisiones con respecto al empleado basándose en datos personales obtenidos únicamente como resultado de su procesamiento automatizado o recibo electrónico (cláusula 6 del artículo 86 del Código del Trabajo de La Federación Rusa). Un empleador no puede limitarse a adoptar una disposición sobre la protección de los datos personales de los empleados de su organización. Sin embargo, la presencia de esta ley local es obligatoria y la inspección del trabajo estatal considera su ausencia como una violación grave de la legislación laboral.

Por esta y otras violaciones de las normas que rigen la recepción, el procesamiento y el empleado, el empleador puede exigir responsabilidad material y disciplinaria a los autores, y responsabilidad civil, administrativa y penal a los órganos gubernamentales pertinentes.

Todas las organizaciones recopilan, almacenan y utilizan información sobre sus empleados. La información personal ahora tiene un gran valor y, cuando cae en manos de estafadores, se convierte en un medio para cometer delitos. En este artículo te contamos cómo y con qué finalidad las empresas procesan datos personales y si deben obtener el consentimiento de los empleados para hacerlo.

¿Qué es el procesamiento de datos personales?

El concepto de “procesamiento de datos personales” incluye cualquier acción realizada por el operador con información individual. Entre ellos:

1. recopilación;
2. aclaración;
3. sistematización;
4. uso;
5. supresión;
6. almacenamiento.

Todas las organizaciones y empresas son operadores de datos personales porque los procesan. En arte. 22 de la Ley N ° 152-FZ proporciona la base legal para el procesamiento de datos personales. Según el texto del artículo, el empleador tiene derecho a tomar medidas con los datos personales de los empleados sin notificar esta intención a las autoridades de Roskomnadzor.

Se utilizan varios métodos para realizar acciones con información personal.  El procesamiento automatizado de datos personales es el procesamiento en una computadora. El método no automatizado implica el uso de soportes de papel. Hoy en día se utiliza en la mayoría de los casos el procesamiento mixto, que combina elementos de procesamiento automatizado y manual.

Finalidades del tratamiento de datos personales en la empresa.

Se distinguen las siguientes finalidades del tratamiento de datos personales en la organización:

1. Celebración, ejecución y terminación de contratos civiles con ciudadanos, personas jurídicas, empresarios individuales y otras personas en las situaciones previstas por la ley y los estatutos de la empresa.
2. Organización de los registros de personal de la organización, velando por el cumplimiento de las leyes, celebración y cumplimiento de obligaciones derivadas de contratos laborales y civiles.
3. Llevar registros de personal, ayudar a los empleados en el empleo, capacitación y promoción, y utilizar beneficios.
4. Cumplimiento de los requisitos de la legislación tributaria sobre el cálculo y pago del impuesto sobre la renta personal y el impuesto social unificado, la legislación sobre pensiones en la formación y transferencia al Fondo de Pensiones de datos personalizados sobre cada perceptor de ingresos, que se tienen en cuenta al calcular las contribuciones. para el seguro de pensiones obligatorio.
5. Diligenciamiento de documentación estadística primaria de acuerdo con el Código del Trabajo, Tributario y las leyes federales.

¿Qué es el consentimiento para el tratamiento de datos personales?

Junto con la presentación de los documentos necesarios al celebrar un contrato de trabajo, se firma el consentimiento del empleado para el procesamiento de sus datos personales. Según el art. 3 Ley Federal No. 152, dichos datos incluyen toda la información sobre una persona, desde el nombre y apellido hasta las entradas en el libro de trabajo.

Los datos personales se dividen en 3 categorías:

• Público- datos personales básicos, incluidos nombre completo, sexo, fecha y lugar de nacimiento.
• Biométrico- información sobre la apariencia y algunas características fisiológicas, si se determinan visualmente.
• Especial- nacionalidad, religión, estado de salud, antecedentes penales, parcialmente - información sobre el trabajo (motivos del despido, etc.).

Los datos personales son confidenciales (excepto los datos disponibles públicamente), por lo que es necesario obtener el consentimiento de la persona para procesarlos.

El plazo de validez del consentimiento para el tratamiento de datos personales es obligatorio. El momento de su finalización es una fecha determinada o un acontecimiento determinado, incluida la retirada del consentimiento por parte del empleado. Este requisito se especifica en el apartado 4 del art. 9 Ley Federal No. 152.

¿En qué casos se requiere el consentimiento para el tratamiento de datos personales?

Se requiere consentimiento para el procesamiento de datos especiales y biométricos. La información disponible públicamente podrá utilizarse libremente, salvo que sea contraria a la ley, así como a las normas de moralidad y ética generalmente aceptadas.

Situaciones en las que no se requiere el consentimiento para el tratamiento de datos personales

La excepción es cuando se investiga una causa penal y se llevan a cabo actividades de búsqueda operativa. Es posible que se necesiten datos biométricos para establecer la identidad si una persona no tiene documentos. En tales situaciones, no se requiere el consentimiento para el procesamiento de información personal.

Modelo de formulario de consentimiento y descripción del documento.

La solicitud de consentimiento para el procesamiento de información personal se presenta por escrito al director de la organización. El encabezado del documento indica:

1. el cargo del gerente y el nombre de la organización que encabeza;
2. Nombre completo del titular;
3. puesto de empleado;
4. Nombre completo del empleado;
5. fecha de;
6. lugar de compilación.

Un texto de documento de ejemplo es el siguiente:
“Con esta declaración confirmo mi consentimiento para la recolección, procesamiento, uso y almacenamiento de mis datos personales en la medida necesaria para garantizar mis derechos laborales y sociales, pago de impuestos, tasas y otros pagos obligatorios establecidos, deducción de contribuciones obligatorias a fondos estatales y para otros fines , derivados de relaciones laborales y jurídicas conexas entre yo y el empleador en el marco de la legislación vigente. El empleador tiene derecho a proporcionar mis datos personales a terceros sólo en los casos establecidos por la ley.”
El empleado pone su firma debajo del texto de la solicitud.

¿Es posible rechazar el tratamiento de datos personales desde el punto de vista de la ley?

Según la ley, la denegación del consentimiento para el procesamiento de datos personales no tiene consecuencias legales. En la parte 1 del art. 9 La Ley Federal No. 152 establece que el consentimiento en sí se expresa libre y voluntariamente.

Parte 5 arte. 6 de la misma ley permite la falta de consentimiento para el procesamiento de información personal si es necesario para la ejecución de un contrato, incluido un contrato de trabajo. Por lo tanto, los empleadores, en el cumplimiento de sus funciones, pueden procesar sus datos personales en interés de los empleados sin obtener el consentimiento. Esto sólo aplica para los empleados que ya están en nómina. Es imposible contratar a una persona si se niega a procesar datos personales. En este caso, el contrato de trabajo aún no se ha celebrado. Dado que este documento no existe, el empleador no tiene la obligación de cumplirlo.

En ocasiones, negarse a procesar información personal puede tener consecuencias negativas. Si la empresa tiene un régimen de pases, en tales circunstancias el empleado no podrá emitir ni reemplazar un pase; tal acción iría más allá del alcance de los fines oficiales. Por tanto, la falta de consentimiento supondrá la imposibilidad de realizar funciones laborales.

Haga preguntas en los comentarios del artículo y obtenga una respuesta de un especialista.

El reglamento sobre procesamiento y protección de datos personales establece el procedimiento para recopilar, acumular, almacenar, utilizar, eliminar, etc. información que contenga información sobre los empleados de la empresa. El documento debe describir el procedimiento para transferir PD a terceros, las características del procesamiento de PD automatizado y no automatizado, el procedimiento para acceder a PD, el procedimiento para organizar el control interno y la responsabilidad por violaciones durante el procesamiento de PD.

Cómo elaborar un reglamento sobre el tratamiento y protección de datos personales

El documento se está elaborando de conformidad con la legislación de la Federación de Rusia sobre datos personales y los documentos reglamentarios y metodológicos de los órganos ejecutivos del poder estatal sobre cuestiones de seguridad de la DP cuando se procesan en los sistemas de información de la DP.

El Reglamento de Protección de Datos Personales suele constar de 11 apartados:

1. Provisiones generales.
2. Metas y objetivos del procesamiento de DP.
3. Datos personales tratados en ISPD (nombre completo, fecha de nacimiento, teléfono de contacto, dirección de registro, dirección de residencia real).
4. Acceso a la DP.
5. Requisitos básicos de protección de datos personales.
6. Consentimiento para el procesamiento de DP.
7. Derechos del sujeto en relación con los datos personales tratados por el operador.
8. Derechos y obligaciones del operador ISPDn.
9. Procedimiento de tratamiento y protección de datos personales.
10. Peculiaridades del procesamiento de datos personales de los empleados del operador.
11. Responsabilidad por violación de esta disposición.

Las disposiciones sobre procesamiento y protección de datos personales se aplican a todos los procesos de recolección, sistematización, acumulación, almacenamiento, aclaración, uso, distribución (incluida la transferencia), despersonalización, bloqueo, destrucción de datos personales, realizados utilizando herramientas de automatización y sin su usar.

Sujetos de datos personales

Los temas de DP incluyen:

• Empleados del operador.
• Candidatos al empleo.
• Clientes (consumidores de servicios de operador).
• Los empresarios individuales son las contrapartes del operador.
• Clientes de organizaciones, contrapartes del operador (atención a clientes corporativos).
• Otras personas físicas cuyos datos personales sean tratados por el operador.

El reglamento sobre tratamiento y protección de datos personales entra en vigor desde el momento de su aprobación y tiene una vigencia indefinida hasta que sea sustituido por un nuevo reglamento. Todos los empleados de la organización deben conocer este documento previa firma.

Normativa sobre tratamiento y protección de datos personales

Provisiones generales

1.1.

Este Reglamento ha sido desarrollado de conformidad con la legislación de la Federación de Rusia sobre datos personales (en adelante, PD) y los documentos normativos y metodológicos de los órganos ejecutivos del poder estatal sobre cuestiones de seguridad de PD cuando se procesan en sistemas de información de PD (en adelante, PD como PDIS).

1.2.

Para efectos del presente Reglamento, se utilizan los siguientes términos:

datos personales (PD): cualquier información relacionada con un individuo identificado o identificable directa o indirectamente (sujeto PD);

operador: un organismo estatal, organismo municipal, entidad legal o individuo que, de forma independiente o junto con otras personas, organiza y (o) lleva a cabo el procesamiento de datos personales, así como también determina los propósitos del procesamiento de datos personales, la composición de los datos personales. datos a procesar, acciones (operaciones) realizadas con datos personales;

Procesamiento de PD: cualquier acción (operación) o conjunto de acciones (operaciones) realizadas utilizando herramientas de automatización o sin el uso de dichas herramientas con PD, incluida la recopilación, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción, uso. , transferencia (distribución, provisión, acceso), despersonalización, bloqueo, eliminación, destrucción de datos personales;

procesamiento automatizado de datos personales: procesamiento de datos personales utilizando tecnología informática;

distribución de datos personales: acciones destinadas a revelar datos personales a un número indefinido de personas;

provisión de PD: acciones destinadas a revelar PD a una determinada persona o a un determinado círculo de personas;

Bloqueo de PD: cese temporal del procesamiento de PD (excepto en los casos en que el procesamiento sea necesario para aclarar los PD);

destrucción de PD: acciones como resultado de las cuales resulta imposible restaurar el contenido de PD en el ISPD y/o como resultado de las cuales se destruyen los medios materiales de PD;

Despersonalización de PD: acciones como resultado de las cuales resulta imposible determinar la propiedad de PD de un sujeto de PD específico sin el uso de información adicional;

sistema de información de datos personales (PDIS): un conjunto de tecnologías de la información y medios técnicos contenidos en las bases de datos de PD y que garantizan su procesamiento;

transferencia transfronteriza de datos personales: transferencia de datos personales al territorio de un estado extranjero a una autoridad de un estado extranjero, una persona física extranjera o una entidad jurídica extranjera.

1.3.

Este Reglamento determina el procedimiento y las condiciones para el procesamiento de PD en (en adelante, el Operador), incluido el procedimiento para transferir PD a terceros, las características del procesamiento de PD automatizado y no automatizado, el procedimiento para acceder a PD, el PD. sistema de protección, el procedimiento para organizar el control interno y la responsabilidad por violaciones durante el procesamiento de PD, otras cuestiones.

1.4.

Este Reglamento se aplica a todos los procesos de recolección, sistematización, acumulación, almacenamiento, aclaración, uso, distribución (incluida la transferencia), despersonalización, bloqueo, destrucción de datos personales, realizados utilizando herramientas de automatización y sin su uso.

1.5.

Este Reglamento entra en vigor desde el momento en que es aprobado por el Operador y tiene una vigencia indefinida hasta que sea reemplazado por un nuevo Reglamento.

1.6.

Todos los cambios al Reglamento se realizan por orden.

1.7.

Todos los empleados del Operador deben estar familiarizados con este Reglamento al momento de su firma.

Metas y objetivos del procesamiento de DP.

2.1.

El procesamiento de datos personales debe limitarse a lograr fines específicos, predefinidos y legítimos. No se permite el tratamiento de datos personales que sea incompatible con los fines de recogida de datos personales.

2.2.

No está permitido combinar bases de datos que contengan datos personales cuyo procesamiento se realice con fines incompatibles entre sí.

2.3.

Sólo están sujetos a tratamiento los datos personales que cumplan con los fines de su procesamiento.

2.4.

2.5.

El procesamiento de datos personales de los empleados del Operador puede llevarse a cabo únicamente con el propósito de garantizar el cumplimiento de las leyes y otras regulaciones, ayudar a los empleados en el empleo, la capacitación y la promoción, garantizar la seguridad personal de los empleados, monitorear la cantidad y calidad del trabajo realizado y garantizar la seguridad de la propiedad del Operador.

2.6.

Los principales objetivos del procesamiento de DP son:

Las finalidades adicionales del tratamiento de datos personales son: .

2.7.

ISPDn proporciona soluciones a las siguientes tareas: .

Datos personales tratados en ISPDn

3.1.

El ISPD procesa los datos personales de los siguientes interesados:

3.1.1.

Empleados del operador;

3.1.2.

clientes (consumidores de los servicios del Operador);

3.1.3.

empresarios individuales - contrapartes del Operador;

3.1.4.

clientes de organizaciones, contrapartes del Operador (servicio a clientes corporativos);

3.2.

Esta lista podrá revisarse según sea necesario.

3.3.

Los datos personales de los sujetos de DP incluyen:

3.4.

Las listas completas de datos personales procesados ​​se forman en la lista de datos personales sujetos a protección en el sistema de información del Operador.

Acceso a datos personales

4.1.

Los empleados del Operador que, debido a sus funciones oficiales, trabajan constantemente con datos personales, reciben acceso a las categorías requeridas de datos personales durante el período de desempeño de sus respectivas funciones oficiales de acuerdo con la lista de personas autorizadas para trabajar con datos personales, el cual es aprobado por el Jefe del Operador. La lista se elabora sobre la base del Concepto de Seguridad de la Información y la Política de Seguridad de la Información.

4.2.

Se deberá mantener actualizado el listado de personas que tienen acceso a datos personales para el sistema de información.

4.3.

El operador ha establecido un procedimiento de autorización para el acceso a datos personales. Los empleados del Operador tienen acceso al trabajo con datos personales solo en la medida necesaria para que puedan desempeñar sus funciones oficiales según la decisión del Gerente.

4.4.

Un empleado del Operador puede obtener un permiso temporal o único para trabajar con datos personales debido a necesidades oficiales con la aprobación del Gerente.

4.5.

Está prohibido el acceso a los PD por parte de terceros que no sean empleados del Operador sin el consentimiento del sujeto del PD, con excepción del acceso de los empleados de las autoridades ejecutivas, realizado como parte de las medidas de control y supervisión de la implementación de la legislación, la implementación de las funciones y competencias de los órganos gubernamentales pertinentes. El suministro de información a solicitud o solicitud de una autoridad gubernamental se realiza con el conocimiento del Jefe del Operador.

4.6.

Si un empleado de una organización de terceros necesita acceso a los PD del Operador, entonces es necesario que el acuerdo con la organización de terceros estipule los términos de confidencialidad de los PD y la obligación de la organización de terceros y sus empleados de cumplir con los requisitos de la legislación vigente en materia de protección de PD. Además, en caso de acceso a datos personales por parte de personas que no sean empleados del Operador, se debe obtener el consentimiento de los titulares de datos personales para proporcionar sus datos personales a terceros. El consentimiento especificado no es necesario si el PD se proporciona con el fin de ejecutar un contrato civil celebrado por el Operador con el sujeto del PD.

4.7.

El acceso del empleado del Operador a los datos personales finaliza a partir de la fecha de terminación de la relación laboral, o la fecha del cambio en las responsabilidades laborales del empleado y/o la exclusión del empleado de la lista de personas con derecho a acceder a los datos personales. En caso de despido, todos los medios que contengan datos personales que, de conformidad con las funciones oficiales, estuvieran a disposición del empleado durante el trabajo, deberán ser entregados al funcionario correspondiente.

Requisitos básicos para la protección de datos personales

5.1.

En el tratamiento de datos personales en el sistema de información se deberá garantizar lo siguiente:

a) llevar a cabo medidas destinadas a impedir el acceso no autorizado a datos personales y/o su transferencia a personas que no tienen derecho a acceder a dicha información;

b) detección oportuna de hechos de acceso no autorizado a datos personales;

c) impedir la influencia en los medios técnicos de procesamiento automatizado de datos personales, como resultado de lo cual su funcionamiento podría verse afectado;

d) la posibilidad de restauración inmediata de los datos personales modificados o destruidos debido al acceso no autorizado a ellos;

e) control constante para garantizar el nivel de seguridad de DP.

5.2.

El operador está obligado a tomar las medidas legales, organizativas, técnicas y de otro tipo necesarias para garantizar la seguridad de los datos personales.

5.3.

Para desarrollar requisitos de seguridad e implementar un sistema de seguridad de datos personales, el Operador ha desarrollado un "Modelo de amenazas a la seguridad de los datos personales al procesarlos en un ISPD" basado en el documento normativo y metodológico del FSTEC de Rusia "Modelo básico de amenazas a la seguridad de los datos personales al procesarlos en sistemas de información de datos personales”.

5.4.

Operador de acuerdo con el documento que rige las agencias gubernamentales - Decreto del Gobierno de la Federación de Rusia de 1 de noviembre de 2012 No. 1119 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en los sistemas de información de datos personales" Se ha realizado la clasificación del ISPD del Operador.

5.5.

La Comisión ha elaborado un Certificado de Clasificación de ISPD procesados ​​mediante herramientas de automatización:

5.6.

El operador, sobre la base del informe de verificación ISPD y de acuerdo con el documento normativo y metodológico del FSTEC de Rusia "Principales medidas para la organización y soporte técnico de la seguridad de los datos personales procesados ​​en los sistemas de información de datos personales", ha desarrollado e implementado un conjunto de medidas para proteger y garantizar la seguridad de los datos personales (“Plan de Acción”) para garantizar la seguridad de los datos personales").

5.7.

El operador utiliza medios técnicos y software para procesar y proteger datos personales. También se lleva un registro de las medidas de protección de datos personales.

5.8.

El operador mantiene un registro de contabilidad y almacenamiento de medios de almacenamiento extraíbles.

5.9.

Los medios técnicos de ISPD mencionados anteriormente se encuentran en las oficinas y locales del Operador.

5.10.

Todas las personas autorizadas para trabajar con PD, así como aquellas asociadas con la operación y soporte técnico de ISPD, deben estar familiarizadas con los requisitos de este Reglamento al momento de la firma, y ​​también deben firmar el “Acuerdo para garantizar la confidencialidad de los datos personales por parte del Empleados del operador”, que figura en el Anexo de este Reglamento.

5.11.

El Operador ha organizado un proceso de capacitación para el uso de los medios de protección de datos personales operados por el Operador. Se recomienda la capacitación en esta área para personas que tienen acceso constante a datos personales y para personas que utilizan herramientas de hardware y software para sistemas de información y sistemas de seguridad de la información. Las personas responsables de operar las herramientas de seguridad de la información de ISPD deben recibir capacitación obligatoria.

5.12.

Los empleados están obligados a notificar inmediatamente al funcionario correspondiente del Operador sobre la pérdida o escasez de medios de almacenamiento que constituyen datos personales, así como las razones y condiciones de una posible filtración de datos personales. Si personas no autorizadas intentan obtener de un empleado datos personales procesados ​​por el Operador, notifique inmediatamente al funcionario correspondiente del Operador.

Consentimiento para el procesamiento de DP

6.1.

El sujeto de DP decide prestar sus DP y consiente su tratamiento libremente, por voluntad propia y en interés propio. El consentimiento al tratamiento de datos personales debe ser específico, informado y consciente. El consentimiento para el procesamiento de datos personales puede ser otorgado por el titular de los datos personales o su representante en cualquier forma que permita confirmar el hecho de su recepción, a menos que la legislación de la Federación de Rusia disponga lo contrario. Si se recibe el consentimiento para el procesamiento de PD de un representante del sujeto de PD, el Operador verifica los poderes de este representante para dar consentimiento en nombre del sujeto de PD.

6.2.

La obtención del consentimiento por escrito para el procesamiento de datos personales la lleva a cabo un empleado del Operador, al recibir los datos personales del sujeto de los datos personales, mediante la emisión de un consentimiento por escrito en la forma establecida por el Operador ISPD.

Derechos del sujeto en relación con los datos personales tratados por el operador

7.1.

El sujeto de PD tiene derecho:

Recibir información del Operador sobre el procesamiento de sus datos personales. La información debe ser proporcionada al sujeto de PD por el Operador en un formato accesible y no debe contener PD relacionados con otros sujetos de PD, a menos que existan bases legales para divulgar dichos PD. La lista de información y el procedimiento para obtenerla están previstos en la legislación vigente de la Federación de Rusia;

Exigir al Operador que aclare sus datos personales, los bloquee o los destruya si los datos personales están incompletos, desactualizados, son inexactos, obtenidos ilegalmente o no son necesarios para el propósito de procesamiento declarado, y también tomar las medidas previstas por la legislación rusa. Federación para proteger sus derechos;

Sujeto a consentimiento previo por escrito cuando se procesen datos personales con el fin de promocionar bienes, obras o servicios en el mercado mediante el establecimiento de contactos directos con consumidores potenciales mediante comunicaciones, así como con fines de propaganda política;

Sujeto a la condición de consentimiento por escrito al tomar, sobre la base del procesamiento exclusivamente automatizado de PD, decisiones por parte del Operador que den lugar a consecuencias legales en relación con el tema de PD o afecten de otro modo sus derechos e intereses legítimos;

Presentar objeciones a las decisiones del Operador basadas únicamente en el procesamiento automatizado de sus datos personales y las posibles consecuencias legales de tal decisión;

Apelar las acciones o inacción del Operador ante el organismo autorizado para la protección de los derechos de los interesados ​​o ante los tribunales.

Derechos y obligaciones del operador ISPDn

8.1.

El operador ISPDn tiene derecho:

8.1.1.

Encomendar el procesamiento de PD a otra persona con el consentimiento del sujeto de PD, a menos que la ley federal disponga lo contrario, sobre la base de un acuerdo celebrado con esta persona, incluido un contrato estatal o municipal, o mediante la adopción de un acto correspondiente por parte de un organismo estatal o municipal.

8.1.2.

Si el sujeto de DP retira su consentimiento para el procesamiento de DP, continúe el procesamiento de DP sin el consentimiento del sujeto de DP si existen motivos especificados en la legislación de la Federación de Rusia.

8.1.3.

Negarse al sujeto de datos personales a cumplir con una solicitud repetida de información que no cumpla con las condiciones previstas por la legislación de la Federación de Rusia. Tal negativa deberá estar motivada. La obligación de aportar pruebas de la validez de la negativa a atender una solicitud reiterada recae en el operador.

8.1.4.

Determinar de forma independiente la composición y lista de medidas necesarias y suficientes para garantizar el cumplimiento de las obligaciones del Operador de IPDN previstas por la legislación de la Federación de Rusia.

8.2.

El operador ISPD está obligado a:

8.2.1.

Antes de iniciar el procesamiento de DP, el operador está obligado a notificar al organismo autorizado para la protección de los derechos de los sujetos de DP su intención de procesar DP, excepto en los casos previstos por la legislación de la Federación de Rusia.

8.2.2.

Al obtener acceso a PD, no revele PD a terceros ni distribuya PD sin el consentimiento del sujeto de PD, a menos que la ley federal disponga lo contrario.

8.2.3.

Aportar prueba de la obtención del consentimiento del sujeto de PD para el procesamiento de su PD o prueba de la existencia de fundamento legal para el procesamiento de PD sin el consentimiento del sujeto de PD.

8.2.4.

Antes de que comience la transferencia transfronteriza de datos personales, asegúrese de que el estado extranjero a cuyo territorio se transfieren los datos personales brinde una protección adecuada de los derechos de los interesados.

8.2.5.

A petición del sujeto de PD, suspender el procesamiento de su PD con el fin de promocionar bienes, obras y servicios en el mercado mediante el establecimiento de contactos directos con consumidores potenciales a través de comunicaciones, así como con fines de propaganda política.

8.2.6.

Explicar al sujeto de PD el procedimiento para tomar una decisión basada únicamente en el procesamiento automatizado de su PD y las posibles consecuencias legales de dicha decisión, brindarle la oportunidad de oponerse a dicha decisión y también explicar el procedimiento para el sujeto de PD a proteger. sus derechos e intereses legítimos.

El operador está obligado a considerar la objeción dentro de los treinta días siguientes a la fecha de su recepción y notificar al sujeto del PD sobre los resultados de la consideración de dicha objeción.

8.2.7.

Al recopilar PD, proporcionar al sujeto de PD, si lo solicita, la información prevista por la legislación de la Federación de Rusia.

Si la provisión de PD al Operador para el sujeto de PD es obligatoria de acuerdo con la ley federal, el Operador está obligado a explicar al sujeto de PD las consecuencias legales de negarse a proporcionar su PD.

8.2.8.

Si no se reciben PD del sujeto de PD, el Operador, excepto en los casos previstos por la legislación de la Federación de Rusia, antes de procesar dichos PD, proporciona al sujeto de PD la siguiente información:

1) nombre o apellido, nombre, patronímico y dirección del operador o su representante;

2) el propósito del procesamiento de DP y su base legal;

3) usuarios previstos de datos personales;

4) los derechos del titular de los datos personales que establece esta Ley Federal;

5) fuente de obtención de PD.

8.2.9.

Tomar las medidas necesarias y suficientes para asegurar el cumplimiento de las obligaciones del Operador IPDN previstas por la legislación de la Federación de Rusia.

8.2.11.

Al recopilar PD utilizando redes de información y telecomunicaciones, publicar en la red de información y telecomunicaciones correspondiente un documento que defina su política con respecto al procesamiento de PD e información sobre los requisitos implementados para la protección de PD, así como garantizar la capacidad de acceder a los datos especificados. documento utilizando los medios de información adecuados: red de telecomunicaciones.

8.2.12.

Presentar los documentos y actos locales previstos por la legislación de la Federación de Rusia, y/o de otro modo confirmar la adopción de las medidas necesarias y suficientes para asegurar el cumplimiento de las funciones del Operador de IPDN, a solicitud del organismo autorizado para la protección de los derechos de los sujetos con EP.

8.2.13.

Al procesar PD, tomar las medidas legales, organizativas y técnicas necesarias o garantizar su adopción para proteger los PD del acceso no autorizado o accidental a los mismos, destrucción, modificación, bloqueo, copia, suministro, distribución de los PD, así como de otras acciones ilegales en relación con la EP.

8.2.14.

Informar, en la forma prescrita por la legislación de la Federación de Rusia, al sujeto de PD o a su representante información gratuita sobre la disponibilidad de PD en relación con el sujeto de PD correspondiente, y también brindarle la oportunidad de familiarizarse con estos PD cuando presente una solicitud para el sujeto PD o su representante o dentro de los treinta días siguientes a la fecha de recepción de la solicitud del sujeto PD o su representante.

8.2.15.

En caso de negativa a proporcionar información sobre la disponibilidad de PD sobre el sujeto de PD correspondiente o PD al sujeto de PD o su representante a petición de ellos o al recibir una solicitud del sujeto de PD o su representante, el operador está obligado a dar una respuesta motivada por escrito que contenga una referencia a la disposición de la legislación de la Federación de Rusia, que es la base de dicha denegación, en un plazo no superior a treinta días a partir de la fecha de solicitud del sujeto de DP o su representante o desde la fecha de recepción de la solicitud del sujeto de DP o de su representante.

8.2.16.

En un plazo no mayor a siete días hábiles a partir de la fecha en que el sujeto de los PD o su representante proporcione información que confirme que los PD son incompletos, inexactos o irrelevantes, el Operador está obligado a realizar los cambios necesarios en los mismos. En un plazo no superior a siete días hábiles a partir de la fecha en que el sujeto de los DP o su representante presente información que confirme que dichos DP se obtuvieron ilegalmente o no son necesarios para el propósito de procesamiento declarado, el operador está obligado a destruir dichos DP. El operador está obligado a notificar al sujeto de PD o su representante sobre los cambios realizados y las medidas tomadas y tomar medidas razonables para notificar a los terceros a quienes se transfirieron los PD de este sujeto.

8.2.17.

Informar al organismo autorizado para la protección de los derechos de los titulares de datos personales, a solicitud de este organismo, la información necesaria dentro de los treinta días siguientes a la fecha de recepción de dicha solicitud.

8.2.18.

Si se detecta un procesamiento ilegal de PD, realizado por el Operador o una persona que actúa en nombre del Operador, el Operador, dentro de un período no mayor a tres días hábiles a partir de la fecha de esta detección, está obligado a detener el procesamiento ilegal de PD. o garantizar el cese del procesamiento ilegal de PD por parte de una persona que actúa en nombre del Operador. Si es imposible garantizar la legalidad del procesamiento de PD, el Operador, en un plazo que no exceda los diez días hábiles a partir de la fecha de detección del procesamiento ilegal de PD, está obligado a destruir dichos PD o garantizar su destrucción. El Operador está obligado a notificar al sujeto de PD o su representante sobre la eliminación de violaciones o la destrucción de PD, y si la apelación del sujeto de PD o su representante o la solicitud del organismo autorizado para la protección de los derechos de los sujetos de PD fue enviado por el organismo autorizado para la protección de los derechos de los sujetos de PD, también el organismo especificado.

8.2.19.

Si se logra el propósito del procesamiento de datos personales, el Operador está obligado a dejar de procesar datos personales o garantizar su terminación (si el procesamiento de datos personales lo lleva a cabo otra persona que actúa en nombre del Operador) y destruir los datos personales o garantizar su destrucción. (si el procesamiento de datos personales lo lleva a cabo otra persona que actúa en nombre del Operador) en el tiempo, que no exceda los treinta días a partir de la fecha en que se logró el propósito del procesamiento de PD, a menos que se disponga lo contrario en el acuerdo al que está sujeto el PD. parte, beneficiario o garante, otro acuerdo entre el Operador y el sujeto de PD, o si el Operador no tiene derecho a procesar PD sin el consentimiento del sujeto de PD por los motivos previstos por la legislación de la Federación de Rusia.

8.2.20.

Si el sujeto de los PD retira su consentimiento para el procesamiento de sus PD, detener su procesamiento o garantizar la terminación de dicho procesamiento (si el procesamiento de los PD lo lleva a cabo otra persona que actúa en nombre del Operador) y si la preservación de los PD ya no es requerido para los fines del procesamiento de PD, destruir los PD o garantizar su destrucción (si el procesamiento de PD lo lleva a cabo otra persona que actúa en nombre del Operador) dentro de un período que no exceda los treinta días a partir de la fecha de recepción de dicha respuesta, a menos que lo contrario dispuesto por el acuerdo en el que el sujeto de PD es parte, beneficiario o garante, u otro acuerdo entre el operador y el sujeto de PD o si el Operador no tiene derecho a procesar PD sin el consentimiento del sujeto de PD por los motivos previstos por la legislación de la Federación de Rusia.

8.2.21.

Designar un responsable de organizar el tratamiento de datos personales.

Procedimiento de tratamiento y protección de datos personales

9.1.

Garantizar la confidencialidad de los datos personales procesados ​​por el Operador es un requisito obligatorio para todas las personas a quienes se les ha llegado a conocer los datos personales.

9.2.

Los empleados del Operador que procesan documentos deben obtener, en ciertos casos, el consentimiento de los sujetos del PD para su procesamiento.

9.3.

En caso de violación del procedimiento establecido para el procesamiento de PD, los empleados del Operador son responsables de conformidad con el Artículo 9 de este Reglamento.

9.4.

Los PD de los sujetos en papel, procesados ​​por el Operador, se almacenan en departamentos (con empleados) que tienen permiso para procesar los PD correspondientes. El derecho a admitir empleados en un ISPD no automatizado se determina por orden del Gerente. Los soportes de datos personales no deben dejarse desatendidos. Al salir del lugar de trabajo, los empleados que procesan datos personales deben guardar los medios en un gabinete seguro y cerrado con llave o limitar de otra manera el acceso no autorizado a los medios. Si los datos personales se pierden o dañan, se restauran siempre que sea posible.

9.5.

Lugares de almacenamiento de documentos que contienen PD:

9.5.1.

Los PD de los clientes del Operador (contratos, actas, acuerdos, cuestionarios, copias de pasaportes, otros documentos similares que contienen PD de los clientes del Operador, medios de almacenamiento (tarjetas flash, CD, etc.) se almacenan en las oficinas principales y de reserva del Operador. , colocados en los estantes y cerrados con llave. El responsable que ejerce el control se determina por orden del Gerente.

9.5.2.

Los datos personales de los empleados del Operador: documentos, medios de almacenamiento (tarjetas flash, CD, etc.) se almacenan en la empresa de forma segura y cerrada con llave. El responsable que ejerce el control es el Jefe del Operador.

9.6.

La emisión de documentos para revisión se realiza a las personas admitidas a la información relevante con el fin de desempeñar funciones oficiales, por un período no mayor a un día hábil.

9.7.

Otros medios de almacenamiento podrán almacenarse en las oficinas principal y de respaldo del Operador, colocados en estantes y cerrados con llave, o en la caja fuerte de la organización. La persona responsable que ejerce el control sobre otros soportes de información se determina por orden del Administrador.

9.8.

Al trabajar con el software del sistema automatizado del Operador, que implementa las funciones de visualización y edición de datos personales, está prohibido mostrar formularios de pantalla que contengan dichos datos a personas que no tengan el permiso correspondiente.

9.9.

Al recibir PD por parte de un empleado del Operador que, de acuerdo con sus funciones laborales, recibe PD de un cliente o de un empleado de otra persona, se debe verificar la autenticidad de los PD. Los DP recibidos por el Operador son ingresados ​​en el sistema de información por los empleados que tienen acceso a los DP relevantes. Los empleados que ingresan información son responsables de la exactitud e integridad de la información ingresada.

9.10.

Las características del procesamiento de datos personales contenidos en papel, sin el uso de herramientas de automatización (no se utiliza una computadora personal al redactar documentos) se establecen de conformidad con el Decreto del Gobierno de la Federación de Rusia del 15 de septiembre de 2008 N 687 "Sobre aprobación del Reglamento sobre las características del procesamiento de datos personales realizado sin el uso de herramientas de automatización".

9.11.

Al procesar manualmente diferentes categorías de datos personales, se debe utilizar un soporte material separado para cada categoría de datos personales.

9.12.

En caso de tratamiento no automatizado de datos personales en papel:

9.12.1.

No está permitido registrar en un solo soporte papel PD cuyas finalidades de procesamiento sean manifiestamente incompatibles;

9.12.2.

Los datos personales deben separarse de otra información, en particular registrándolos en soportes de papel separados, en secciones especiales o en campos de formularios (formularios);

9.13.

Cuando se utilicen formularios estándar de documentos, la naturaleza de la información que sugiere o permite la inclusión de PD en ellos (en adelante, formularios estándar), se deben cumplir las siguientes condiciones:

9.13.1.

El formulario estándar o documentos relacionados (instrucciones para completarlo, tarjetas, registros y diarios) deben contener información sobre el propósito del procesamiento no automatizado de PD, el nombre (nombre) y dirección del Operador, apellido, nombre, patronímico. y dirección del sujeto de los PD, fuente de recepción de los PD, plazos para el procesamiento de datos personales, una lista de acciones con datos personales que se realizarán durante su procesamiento, una descripción general de los métodos de procesamiento de datos personales utilizados por el operador ;

9.13.2.

El formulario estándar debe incluir un campo en el que el sujeto de DP pueda marcar su consentimiento para el procesamiento de DP no automatizado, si es necesario obtener un consentimiento por escrito para el procesamiento de DP;

9.13.3.

El formulario estándar debe redactarse de tal manera que cada uno de los sujetos de PD contenidos en el documento tenga la oportunidad de familiarizarse con sus PD contenidos en el documento sin violar los derechos e intereses legítimos de otros sujetos de PD;

9.13.4.

El formulario estándar debe excluir la combinación de campos destinados a introducir datos personales cuyas finalidades de tratamiento sean evidentemente incompatibles.

9.14.

El almacenamiento de PD debe realizarse en una forma que permita identificar el sujeto de PD, no más de lo requerido por los fines del procesamiento de PD, a menos que el período de almacenamiento de PD esté establecido por la ley federal, acuerdo al que está sujeto el PD. una parte, beneficiario o garante.

9.15.

Casos de destrucción, bloqueo y aclaración de datos personales:

9.16.

La destrucción o despersonalización de parte de los datos personales, si lo permite un medio tangible, puede llevarse a cabo de manera que impida el procesamiento posterior de estos datos personales, manteniendo al mismo tiempo la posibilidad de procesar otros datos registrados en un medio tangible (eliminación, borrado).

9.17.

La aclaración de los datos personales cuando se procesan sin el uso de herramientas de automatización se lleva a cabo actualizando o modificando los datos en un soporte tangible, y si esto no lo permite las características técnicas del soporte físico, registrando en el mismo soporte físico información sobre cambios realizados en ellos o produciendo un nuevo soporte material con PD actualizado.

9.18.

La destrucción de soportes que contienen datos personales se realiza en el siguiente orden:

9.18.1.

Los PD en papel se destruyen mediante trituradoras (destructoras de documentos) instaladas en la oficina del Operador.

9.18.2.

El PD ubicado en la memoria de la PC se destruye eliminándolo de la memoria de la PC.

9.18.3.

Los PD ubicados en una tarjeta flash, CD u otro medio de almacenamiento se destruyen eliminando el archivo del medio, si es necesario, interrumpiendo la funcionalidad de la tarjeta flash o CD.

9.19.

Se elabora un informe sobre la destrucción del medio de almacenamiento (para conocer los formularios de informe, consulte los apéndices).

9.20.

La oficina, las instalaciones del Operador, al final de la jornada laboral y la ausencia de los empleados en las instalaciones de la oficina, deben estar cerradas con llave, las ventanas deben estar cerradas y la alarma debe estar encendida (si corresponde).

9.21.

Los equipos y servidores de red deben ubicarse en lugares inaccesibles para personas no autorizadas (en salas especiales, gabinetes, cajas).

9.22.

La limpieza de las instalaciones y el mantenimiento del equipo técnico de ISPD deben realizarse bajo el control de las personas responsables de estas instalaciones y los medios técnicos de conformidad con medidas que excluyen el acceso no autorizado a PD, soportes de información, software y hardware para procesar, transmitir y proteger información de ISPD. .

9.23.

Las responsabilidades de los administradores de ISPD incluyen administrar cuentas de usuario de ISPD, mantener el funcionamiento normal de ISPD, garantizar la copia de seguridad de los datos, así como instalar y configurar hardware y software de ISPD que no estén relacionados con garantizar la seguridad de los datos en ISPD. Además, las responsabilidades de los administradores de ISPD incluyen garantizar el cumplimiento del procedimiento de procesamiento y garantizar la seguridad de los PD en ISPD con los requisitos de confidencialidad, integridad y disponibilidad de los PD impuestos a un ISPD específico, y los requisitos generales para la seguridad de los PD establecidos por las autoridades federales. legislación.

9.24.

Las responsabilidades de los administradores de ISPD también incluyen la instalación, configuración y administración de herramientas de hardware y software para proteger la información de ISPD, la contabilidad y el almacenamiento de los medios de PD de la máquina, la auditoría periódica de los registros de seguridad y el análisis de la seguridad de ISPD, así como la participación en investigaciones oficiales de violaciones. del procedimiento establecido para la tramitación y garantía de la seguridad de los DP.

9.25.

Para garantizar la distribución de poderes, implementar el control mutuo y evitar la concentración de poderes críticos para la seguridad de los datos personales en una sola persona, no se recomienda combinar los roles de usuario de ISPD y administrador de ISPD en la persona de un solo empleado.

9.26.

Los requisitos de calificación y una lista detallada de derechos y responsabilidades de los administradores de ISPD se establecen en las descripciones de trabajo relevantes, con las que los empleados designados para estos roles deben estar familiarizados al momento de la firma.

9.27.

La organización del control interno del proceso de procesamiento de DP en el Operador se lleva a cabo con el fin de estudiar y evaluar el estado actual de seguridad de los DP, responder oportunamente a las violaciones al procedimiento establecido para su procesamiento, así como para mejorar este procedimiento. y velar por su cumplimiento.

9.28.

Las medidas para implementar el control interno sobre el procesamiento y la seguridad de los datos personales tienen como objetivo resolver las siguientes tareas:

9.28.1.

Asegurar el cumplimiento por parte de los empleados del Operador de los requisitos de este Reglamento y las normas que regulan el alcance de los datos personales.

9.28.2.

Evaluar la competencia del personal implicado en el tratamiento de datos personales.

9.28.3.

Asegurar la operatividad y eficacia de los medios técnicos ISPD y los medios de protección PD, su cumplimiento de los requisitos de las autoridades ejecutivas autorizadas en materia de seguridad PD.

9.28.4.

Detección de violaciones al procedimiento establecido para el procesamiento de datos personales y prevención oportuna de las consecuencias negativas de dichas violaciones.

9.28.5.

Tomar medidas correctivas encaminadas a eliminar las infracciones identificadas, tanto en el procedimiento de tramitación de DP como en el funcionamiento de los medios técnicos del ISPD.

9.28.7.

Ejercer control interno sobre la implementación de recomendaciones e instrucciones para eliminar violaciones.

9.29.

Los resultados de las actividades de control se documentan en actos y son la base para desarrollar recomendaciones para mejorar el procedimiento de procesamiento y garantizar la seguridad de los datos personales, para modernizar los medios técnicos de los sistemas de información y los medios de protección de datos personales, para capacitar y mejorar la competencia del personal involucrado en el procesamiento de datos personales.

Características de la gestión de datos personales de los empleados del operador.

10.1.

Esta sección establece derechos y obligaciones adicionales del Operador y los empleados al procesar datos personales de los empleados del Operador.

10.2.

Los datos personales de los empleados son información requerida por el Operador en relación con las relaciones laborales y en relación con un empleado específico.

10.3.

El procesamiento de los datos personales de un empleado puede llevarse a cabo únicamente con el propósito de garantizar el cumplimiento de las leyes y otras regulaciones, ayudar a los empleados en el empleo, la capacitación y la promoción, garantizar la seguridad personal de los empleados, monitorear la cantidad y calidad del trabajo realizado y garantizar la seguridad de la propiedad.

10.4.

El operador no tiene derecho a recibir y procesar los datos personales de un empleado sobre su membresía en asociaciones públicas o sus actividades sindicales, excepto en los casos previstos por las leyes federales;

10.5.

Al tomar decisiones que afectan los intereses de un empleado, el Operador no tiene derecho a confiar en los datos personales del empleado obtenidos únicamente como resultado de su procesamiento automatizado o recepción electrónica;

10.6.

Los empleados no deben renunciar a sus derechos de mantener y proteger secretos;

10.7.

El operador se compromete a no divulgar los datos personales del empleado con fines comerciales sin su consentimiento por escrito;

10.8.

El Operador se compromete a advertir a sus empleados y a los terceros que reciban sus datos personales (con su consentimiento) que estos datos sólo pueden utilizarse para los fines para los que fueron comunicados y a exigir a estas personas que confirmen que se cumple esta norma. Las personas que reciben datos personales de un empleado están obligadas a observar un régimen de secreto (confidencialidad). El régimen de confidencialidad se garantiza mediante la firma de un acuerdo con la persona (Anexo a este Reglamento). Esta disposición no se aplica al intercambio de datos personales de empleados en la forma prescrita por la legislación de la Federación de Rusia;

10.9.

El acceso a los datos personales de los empleados se realiza sobre la base de órdenes y reglamentos aprobados por el Operador.

10.10.

El operador se compromete a no solicitar información sobre el estado de salud del empleado, con excepción de información relacionada con la cuestión de la capacidad del empleado para realizar una función laboral;

10.11.

El operador se compromete a transferir los DP del empleado a los representantes de los empleados en la forma prescrita por la legislación de la Federación de Rusia, y a limitar esta información únicamente a aquellos DP de los empleados que sean necesarios para que dichos representantes realicen sus funciones.

10.12.

Un empleado tiene derecho a designar a sus representantes para proteger sus datos personales.

Responsabilidad por violación de esta disposición

11.1.

La dirección del Operador es responsable de no garantizar la confidencialidad de los datos personales y del incumplimiento de los derechos y libertades de los interesados ​​en relación con sus datos personales, incluidos los derechos a la privacidad y los secretos personales y familiares.

11.4.

En los casos de violación del procedimiento establecido para procesar y garantizar la seguridad de los PD, acceso no autorizado a los PD, divulgación de los PD y causar daños materiales o de otro tipo al Operador, sus empleados, clientes y contrapartes, los perpetradores asumen responsabilidad civil, penal, administrativa. , responsabilidad disciplinaria y de otro tipo prevista por la legislación de la Federación de Rusia.

Desde finales de verano está en vigor la Ley de Datos Personales en una nueva versión. Las reglas para obtener y proteger información han cambiado. Para el empresario esto sólo significa una cosa: papeleo adicional. En este artículo hablaremos sobre cómo redactar normas sobre el trabajo con datos personales de los empleados y nombrar a alguien responsable de organizar el trabajo con datos personales.

¿Qué son los datos personales?

La Ley Federal N° 152-FZ de 27 de julio de 2006 “Sobre Datos Personales” (en adelante Ley N° 152-FZ) define Informacion personal como cualquier información directa o indirectamente relacionada con un individuo (al sujeto de datos personales). Así se establece en el apartado 1 del art. 3 de la Ley N ° 152-FZ.

Según la parte 1 del art. 85 del Código del Trabajo, datos personales de un empleado significa información relacionada con un empleado específico, que es necesaria para el empleador en relación con las relaciones laborales. Estamos hablando de datos como:

• Nombre completo;
• Fecha y lugar de nacimiento;
• DIRECCIÓN;
• Estado familiar;
• puesto (profesión);
• salario, otros ingresos;
• propiedad de bienes inmuebles, depósitos en efectivo, etc.;
• educación, cualificaciones, formación profesional, información sobre formación avanzada;
• hábitos y pasatiempos, incluidos los nocivos (alcohol, drogas, etc.);
• hechos biográficos y actividad laboral previa (lugar de trabajo, monto de ingresos, antecedentes penales, servicio militar, trabajo en cargos electos, servicio público, etc.);
• características fisiológicas, salud;
• negocios y otras cualidades personales;
• otra información.

La lista de documentos personales que contienen datos personales de los empleados se muestra en la tabla. 1 en la pág. 76.

Tabla 1. Documentos que contienen datos personales de los empleados

Operador de procesamiento de datos personales

Según la Ley N 152-FZ, se denomina a la persona (jurídica o física) que organiza y (o) realiza el procesamiento de datos personales, determina su composición, las finalidades del procesamiento y las acciones que realiza con los datos personales. operador(Cláusula 2 del artículo 3 de la Ley N ° 152-FZ). En nuestro caso, este es el empleador.

Tratamiento de datos personales- cualquier acción realizada con ellos. Operaciones de tratamiento de datos personales:

• recopilación;
• grabación;
• sistematización;
• acumulación;
• almacenamiento;
• aclaración (actualización, cambio);
• extracción;
• uso;
• transmisión (distribución, provisión, acceso);
• despersonalización;
• bloqueo;
• supresión;
• destrucción de datos personales.

Normativa sobre el trabajo con datos personales.

El procedimiento para el procesamiento de datos personales por parte del operador podrá establecerse en el Reglamento sobre el trabajo con datos personales de los empleados (en adelante, el Reglamento). No existe una forma unificada del documento. Consideremos cómo redactar este documento teniendo en cuenta los requisitos de la Ley N 152-FZ. El reglamento consta de varias secciones. Se presentan en tabla. 2. También indica brevemente la información que deben contener los apartados. La información detallada se presenta en un fragmento del Reglamento sobre datos personales de los empleados, que se encuentra en la p. 80.

Tabla 2. Estructura del Reglamento sobre datos personales de los empleados

Fragmento del Reglamento sobre datos personales de los empleados

Introducción del Reglamento en vigor

El reglamento sobre datos personales es aprobado por el director de la empresa y puesto en vigor por orden de la organización (se da una muestra en la página 90). Se deberá dejar constancia de la aprobación del Reglamento en el registro de reglamentaciones locales.

Si hay un sindicato

Si la empresa tiene sindicato, el Reglamento deberá ser pactado con éste. Para ello, el proyecto de reglamento se envía al órgano electo del sindicato (artículo 372 del Código del Trabajo de la Federación de Rusia). Deberá expresar su opinión (por escrito) a más tardar cinco días hábiles a partir de la fecha de recepción del proyecto. Si el sindicato no está de acuerdo con el proyecto o tiene propuestas para mejorarlo, la administración tiene dos opciones. La primera es estar de acuerdo. La segunda es realizar consultas adicionales con el sindicato dentro de los tres días posteriores a la recepción de un dictamen motivado para lograr una solución mutuamente aceptable. Si esto no ayuda, se deberá elaborar un protocolo de disconformidad. Posteriormente, la administración tiene derecho a adoptar el Reglamento sin tener en cuenta las exigencias del sindicato. Sin embargo, podrá recurrir el Reglamento o iniciar el procedimiento de conflicto colectivo de trabajo en la forma prescrita por el Capítulo. 61 Código del Trabajo.

Familiarización de los empleados con el Reglamento.

Los empleados deben estar familiarizados con el Reglamento previa firma (cláusula 8 del artículo 86 del Código del Trabajo de la Federación de Rusia). Este hecho se puede registrar:

• en el texto del contrato de trabajo de cada empleado (una lista de las regulaciones locales que el empleado conoce antes de firmar el contrato);
• - una hoja para familiarizarse con el Reglamento (ejemplo en la pág. 91);
• - un cuaderno de bitácora para familiarizar a los empleados con la normativa local (ejemplo en la pág. 91).

Hoja de muestra para familiarizarse con las regulaciones locales.

Fragmento del registro de introducción.Reglamentossobre datos personales

Nota. Plazo de conservación de los datos personales

Las regulaciones locales (reglamentos, instrucciones) sobre datos personales deben almacenarse permanentemente. En cuanto a las declaraciones de consentimiento de los empleados para el procesamiento de datos (se discutirán en números futuros) y otros documentos de los empleados, se conservan durante 75 años. Así se establece en la Lista aprobada por Orden del Ministerio de Cultura de Rusia de 25 de agosto de 2010 N 558.

Responsabilidad administrativa

Las medidas de responsabilidad administrativa (en su mayoría se prevén multas, en este caso no se aplica la descalificación) para una empresa y sus funcionarios por violar el procedimiento para recibir, procesar, almacenar y proteger los datos personales de los empleados se detallan en la tabla. 3.

Tabla 3. Responsabilidad por violar el procedimiento de obtención, procesamiento, almacenamiento y protección de datos personales de los empleados