این دستورالعمل برای پردازش داده های شخصی (از این پس به عنوان دستورالعمل نامیده می شود) مطابق با قانون فدرال 27 ژوئیه 2006 تدوین شده است. شماره 152-FZ "در مورد داده های شخصی". این دستورالعمل روش پردازش داده های شخصی و اقداماتی را برای اطمینان از امنیت داده های شخصی در CardsProService LLC به منظور محافظت از حقوق و آزادی های افراد و شهروندان در هنگام پردازش داده های شخصی آنها، از جمله حفاظت از حقوق حریم خصوصی، شخصی و خانوادگی تعریف می کند. اسرار

1. اصطلاحات و تعاریف

1) اطلاعات شخصی- هر گونه اطلاعات مربوط به یک فرد مستقیم یا غیر مستقیم شناسایی شده یا قابل شناسایی (موضوع داده های شخصی)؛

2) اپراتور (مشتری) - ارگان ایالتی، ارگان شهرداری، شخص حقوقی یا فردی، به طور مستقل یا مشترک با سایر اشخاص که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف پردازش داده های شخصی، ترکیب داده های شخصی مورد پردازش را تعیین می کنند. ، اقدامات (عملیات) انجام شده با داده های شخصی؛

3) پردازش داده های شخصی- هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین وسایلی با داده های شخصی انجام می شود، از جمله جمع آوری، ضبط، سیستم سازی، تجمع، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استخراج، استفاده، انتقال (توزیع، ارائه، دسترسی)، غیر شخصی سازی، مسدود کردن، حذف، تخریب داده های شخصی؛

4) پردازش خودکار داده های شخصی- پردازش داده های شخصی با استفاده از فناوری رایانه؛

5) انتشار داده های شخصی- اقدامات با هدف افشای داده های شخصی به تعداد نامحدودی از افراد؛

6) ارائه داده های شخصی- اقدامات با هدف افشای داده های شخصی به یک شخص خاص یا یک حلقه خاص از افراد؛

7) مسدود کردن اطلاعات شخصی- توقف موقت پردازش داده های شخصی (به استثنای مواردی که پردازش برای شفاف سازی داده های شخصی ضروری است).

8) تخریب اطلاعات شخصی- اقداماتی که در نتیجه بازیابی محتوای داده های شخصی در سیستم اطلاعات داده های شخصی غیرممکن می شود و (یا) در نتیجه رسانه های مادی داده های شخصی از بین می روند.

9) افراد مجاز مشتری- اشخاصی که طبق توافقنامه در مورد
محرمانه بودن با مشتری منعقد شده است.

10) در بارهشخصی سازی اطلاعات شخصی- اقداماتی که در نتیجه آن تعیین مالکیت داده های شخصی برای یک موضوع خاص از داده های شخصی بدون استفاده از اطلاعات اضافی غیرممکن می شود.

11) سیستم اطلاعات شخصی- مجموع داده های شخصی موجود در پایگاه های داده و فناوری های اطلاعاتی و ابزارهای فنی که پردازش آنها را تضمین می کند.

12) انتقال برون مرزی داده های شخصی- انتقال داده های شخصی به
قلمرو یک کشور خارجی به یک مقام یک دولت خارجی، یک شخص خارجی یا یک شخص حقوقی خارجی؛

13) مجری- CardsProService LLC (123610، مسکو، خاکریز Krasnopresnenskaya، ساختمان 12، ساختمان اداری 1، اتاق شناسه، اتاق 42؛ OGRN 1157746550070).

2. دستور پردازش داده های شخصی

2.1. مشتری، که اپراتور داده های شخصی است، مطابق بند 3 هنر. 6 قانون فدرال 27 ژوئیه 2006 شماره 152-FZ "درباره داده های شخصی" دستور می دهد و پیمانکار متعهد می شود که داده های شخصی افراد را به نفع مشتری و به دنبال آن پردازش کند.
توافق کاربر.

3. رویه تعامل طرفین

3.1. مبنایی برای پیمانکار برای پردازش داده های شخصی افراد که به نفع مشتری انجام می شود، توافق نامه کاربر است.

3.2. روش سازماندهی جمع آوری رضایت افراد سوژه داده های شخصی برای پردازش و انتقال داده های شخصی آنها و همچنین اهداف پردازش داده های شخصی، ترکیب داده های شخصی مورد پردازش، اقدامات (عملیات) انجام شده با داده های شخصی:

3.2.1. هدف از پردازش داده های شخصی

پردازش داده های شخصی به منظور اجرای برنامه های وفاداری سپرده شده است.

3.2.2. فهرست داده های شخصی که پردازش آنها به پیمانکار سپرده شده است

• نام و نام خانوادگی؛
• محل، سال و تاریخ تولد؛
• شماره تماس؛
• آدرس ثبت نام؛
• آدرس محل سکونت واقعی (اقامت)؛
• اطلاعات گذرنامه (سری، شماره گذرنامه، توسط چه کسی و چه زمانی صادر شده است)؛
• شماره تلفن (خانه، محل کار، موبایل).

• جمع آوری داده های شخصی.
• سیستم سازی داده های شخصی
• جمع آوری داده های شخصی
• استفاده از داده های شخصی برای اجرای برنامه های وفاداری و ارتباط با افراد دارای داده های شخصی.
• ذخیره سازی داده های شخصی.
• شفاف سازی (به روز رسانی، تغییر) داده های شخصی:
  
  
• استخراج (تخلیه) - بر اساس دستورالعمل های کتبی اضافی از مشتری.
• غیرشخصی سازی داده های شخصی:
  -
  - به درخواست قانونی موضوع داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری؛
  - به درخواست مقامات نظارتی ایالتی برای حمایت از حقوق افراد داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری.
• مسدود کردن اطلاعات شخصی:
  - بر اساس دستورالعمل های کتبی اضافی از مشتری؛
  - به درخواست قانونی موضوع داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری؛
  - به درخواست مقامات نظارتی ایالتی برای حمایت از حقوق افراد داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری.
• حذف اطلاعات شخصی:
  - بر اساس دستورالعمل های کتبی اضافی از مشتری؛
  - به درخواست قانونی موضوع داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری؛
  - به درخواست مقامات نظارتی ایالتی برای حمایت از حقوق افراد داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری.
• تخریب داده های شخصی - بر اساس دستورالعمل های کتبی اضافی از مشتری.

پردازش داده های شخصی باید محدود به دستیابی به اهداف خاص، از پیش تعریف شده و قانونی باشد. پردازش داده های شخصی که با اهداف جمع آوری داده های شخصی ناسازگار است مجاز نیست.
ترکیب پایگاه‌های اطلاعاتی حاوی داده‌های شخصی، که پردازش آنها برای اهداف ناسازگار با یکدیگر انجام می‌شود، مجاز نیست.
فقط داده های شخصی که اهداف پردازش آنها را برآورده می کند، تحت پردازش قرار می گیرند.
محتوا و حجم داده های شخصی پردازش شده باید با اهداف ذکر شده پردازش مطابقت داشته باشد. داده های شخصی پردازش شده نباید در رابطه با اهداف ذکر شده از پردازش آنها اضافی باشد.
هنگام پردازش داده های شخصی، باید از صحت داده های شخصی، کافی بودن آنها و همچنین مرتبط بودن آنها در رابطه با اهداف پردازش داده های شخصی اطمینان حاصل شود.
ذخیره سازی داده های شخصی باید به شکلی انجام شود که امکان شناسایی موضوع داده های شخصی را فراهم کند، نه بیشتر از زمانی که برای اهداف پردازش داده های شخصی لازم است، مگر اینکه در شرایط قرارداد طور دیگری مشخص شده باشد. داده‌های شخصی پردازش‌شده در صورت دستیابی به اهداف پردازش یا در صورت از بین رفتن نیاز به دستیابی به این اهداف، در معرض تخریب یا غیرشخصی‌سازی قرار می‌گیرند، مگر اینکه در شرایط قرارداد طور دیگری تعیین شده باشد.

3.2.5. سازمان حفاظت از داده های شخصی

اشیاء حفاظتی

• اطلاعات حاوی اطلاعات شخصی افراد؛
• رسانه های رایانه ای حاوی اطلاعات شخصی افراد؛
• سیستم های اطلاعات شخصی؛
• داده های شخصی افراد موجود در پایگاه های الکترونیکی سیستم های اطلاعات داده های شخصی.

برای اطمینان از امنیت داده های شخصی، پیمانکار باید اقدامات زیر را انجام دهد:

• اقدامات قانونی، سازمانی و فنی لازم یا اطمینان از اتخاذ آنها برای محافظت از داده های شخصی در برابر دسترسی غیرمجاز یا تصادفی، تخریب، تغییر، مسدود کردن، کپی کردن، ارائه، توزیع داده های شخصی و همچنین سایر اقدامات غیرقانونی در رابطه با داده های شخصی.
• فراهم کردن دسترسی کارکنان پیمانکار به داده های شخصی پردازش شده از طرف مشتری، پس از امضای تعهد عدم افشای داده های شخصی، مطالعه الزامات مشتری برای رویه پردازش و حفاظت از داده های شخصی، مقررات محلی که رویه را تنظیم می کند. سازماندهی و تضمین حفاظت از داده های شخصی و گذراندن دوره آموزشی در مورد روش کار با داده های شخصی.
• شناسایی تهدیدات برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی.
• بکارگیری اقدامات سازمانی و فنی برای تضمین امنیت داده های شخصی در حین پردازش آنها در سیستم های اطلاعات شخصی لازم برای تحقق الزامات حفاظت از داده های شخصی، که اجرای آن سطوح امنیت داده های شخصی را که توسط دولت تعیین شده است تضمین می کند. فدراسیون روسیه.
• ارزیابی اثربخشی اقدامات انجام شده برای اطمینان از امنیت داده های شخصی قبل از راه اندازی سیستم اطلاعات داده های شخصی.
• حسابداری برای رسانه های ذخیره سازی کامپیوتری داده های شخصی.
• کشف حقایق دسترسی غیرمجاز به داده های شخصی و اتخاذ تدابیر.
• بازیابی اطلاعات شخصی که به دلیل دسترسی غیرمجاز به آن تغییر یافته یا از بین رفته است.
• ایجاد قوانین برای دسترسی به داده های شخصی پردازش شده در سیستم اطلاعات شخصی و همچنین اطمینان از ثبت و حسابداری کلیه اقدامات انجام شده با داده های شخصی در سیستم اطلاعات شخصی.
• نظارت بر اقدامات انجام شده برای اطمینان از امنیت داده های شخصی و سطح امنیت سیستم های اطلاعات داده های شخصی.

از بین بردن اطلاعات شخصی افراد فقط توسط پیمانکار انجام می شود:

• بر اساس دستورالعمل های کتبی اضافی از مشتری؛
• به درخواست قانونی موضوع داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری؛
• به درخواست مقامات نظارتی ایالتی برای حمایت از حقوق اشخاص داده های شخصی، با اطلاع رسانی کتبی اجباری به مشتری.

3.2.8. رویه خاتمه پردازش داده های شخصی

خاتمه پردازش داده های شخصی انجام می شود:

• در صورت خاتمه رابطه قراردادی که مبنای پردازش داده های شخصی است.
• بر اساس دستورالعمل های کتبی اضافی از مشتری؛
• با دستور کتبی مقامات نظارتی دولتی

4. حقوق و تعهدات طرفین

4.1. مشتری متعهد می شود:

4.1.1. اگر موضوع داده های شخصی رضایت خود را از پردازش داده های شخصی پس بگیرد و هیچ دلیلی وجود نداشته باشد که در بندهای 2 - 11 قسمت 1 ماده 6 ، قسمت 2 ماده 10 و قسمت 2 ماده 11 قانون فدرال 27 ژوئیه مشخص شده است. 2006 شماره 152-FZ "در مورد داده های شخصی" اجازه پردازش را می دهد
داده های شخصی بدون رضایت موضوع، یک دستور کتبی به پیمانکار ارسال کنید تا کاری برای حذف یا غیر شخصی کردن داده های شخصی موضوع انجام دهد.

4.1.2. پس از دریافت درخواست از موضوع داده های شخصی برای ارائه اطلاعات مشخص شده در قسمت 7 ماده 14 قانون فدرال 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی" یا درخواست های موضوع برای اصلاح اطلاعات شخصی وی، مسدود شدن یا از بین رفتن آنها در صورت وقوع، اگر داده های شخصی ناقص، قدیمی، نادرست، به طور غیرقانونی به دست آمده یا برای اهداف ذکر شده از پردازش ضروری نیست، یک دستور کتبی به پیمانکار ارسال کنید.
ارائه اطلاعات یا انجام اقدامات خاص با داده های شخصی موضوع.

4.2. پیمانکار متعهد می شود:

4.2.1. داده های شخصی را به طور قانونی و مطابق با شرایط این دستورالعمل پردازش کنید.

4.2.2. در اولین درخواست کتبی مشتری، پایگاه داده های شخصی پردازش شده از طرف او را به روشی که در درخواست مشخص شده است، منتقل کنید (بازگردانید).

4.2.4. بنا به درخواست نهاد مجاز برای حمایت از حقوق افراد موضوع داده های شخصی، مدرکی مبنی بر دریافت رضایت افراد موضوع داده های شخصی جمع آوری شده در چارچوب این دستورالعمل برای پردازش داده های شخصی آنها یا اثبات وجود دلایل مشخص شده در بندهای 2 - 11 قسمت 1 ماده 6، قسمت 2 ماده 10 و قسمت 2 ماده 11 قانون فدرال مورخ 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی" که امکان پردازش اطلاعات شخصی را فراهم می کند. داده ها بدون رضایت سوژه

مطابق با قسمت 2 هنر. 85 قانون کار فدراسیون روسیه پردازش اطلاعات شخصی کارکنان -این دریافت، ذخیره سازی، ترکیب، انتقال یا هر استفاده دیگری از داده های شخصی کارمند است.

پردازش اطلاعات شخصی یک کارمند صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارمند در استخدام، آموزش و ارتقاء، تضمین امنیت سرمایه و همچنین نظارت بر کمیت و کیفیت کار انجام می شود. او انجام می دهد و ایمنی اموال را تضمین می کند (بند 1 ماده 86 قانون کار فدراسیون روسیه).

طبق بند 3 هنر. 3 قانون فدرال "در مورد داده های شخصی"، پردازش داده های شخصی اقدامات (عملیات) با داده های شخصی، از جمله جمع آوری، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استفاده، توزیع (از جمله انتقال)، غیر شخصی سازی است. ، مسدود کردن ، از بین بردن اطلاعات شخصی. باید در نظر داشت که صرف نظر از تعداد عملیات عملکردی ذکر شده در قانون، مقررات قانونی باید تمام مراحل پردازش داده های شخصی - از دریافت تا تخریب، بدون استثنا یا استثنا را پوشش دهد.

اصول پردازش داده های شخصی شامل موارد زیر است:

• قانونی بودن اهداف و روش های پردازش و انصاف؛
• انطباق اهداف پردازش با اهداف از پیش تعیین شده و بیان شده هنگام جمع آوری داده های شخصی و همچنین با اختیارات اپراتور.
• انطباق حجم و ماهیت داده های پردازش شده، روش های پردازش با اهداف پردازش آنها؛
• قابل اعتماد بودن داده های شخصی، کافی بودن آنها برای اهداف پردازش، غیرقابل قبول بودن پردازش داده های شخصی که به اهداف ذکر شده در هنگام جمع آوری داده ها مربوط نمی شود.
• غیر قابل قبول بودن ترکیب پایگاه های داده سیستم های اطلاعات داده های شخصی ایجاد شده برای اهداف ناسازگار.

پردازش اطلاعات شخصی یک کارمند با دریافت آن آغاز می شود. به عنوان یک قاعده کلی، تمام اطلاعات شخصی باید از خود کارمند به دست آید. در موارد استثنایی، زمانی که اطلاعات شخصی کارمند را فقط می توان از شخص ثالث به دست آورد، باید از قبل به کارمند اطلاع داده شود و رضایت کتبی از او گرفته شود. کارفرما موظف است کارمند را در مورد اهداف، منابع مورد نظر و روش های به دست آوردن اطلاعات شخصی و همچنین ماهیت داده های شخصی دریافتی و عواقب امتناع کارمند از دادن رضایت کتبی برای دریافت آن مطلع کند (بند 3). ماده 86 قانون کار فدراسیون روسیه). با این حال، کارفرما حق دریافت و پردازش داده های شخصی کارمند در مورد عقاید سیاسی، مذهبی و سایر عقاید و زندگی خصوصی او را ندارد (بند 4 ماده 86 قانون کار فدراسیون روسیه). همچنین، اگر این موضوع به توانایی کارمند برای انجام وظایف کاری مربوط نباشد، کارفرما نمی تواند اطلاعاتی در مورد وضعیت سلامتی کارمند درخواست کند (ماده 88 قانون کار فدراسیون روسیه).

قانون کار فدراسیون روسیه الزامات خاصی را بر سازمان و فناوری پردازش داده های شخصی توسط کارفرما تحمیل می کند. الزام به آشنایی کارکنان و نمایندگان آنها، در مقابل امضا، با اسناد کارفرما مبنی بر ایجاد روش پردازش داده های شخصی کارکنان، و همچنین حقوق و مسئولیت های آنها در این زمینه، مستلزم نیاز به تدوین و اتخاذ یک قانون قانونی نظارتی محلی مناسب است. . چنین عملی بسته به ویژگی های فعالیت و صلاحدید کارفرما می تواند آیین نامه یا دستورالعمل نامیده شود و قاعدتاً شامل بخش های زیر است:

• مفاهیم و مقررات اساسی؛
• پردازش اطلاعات شخصی کارکنان؛
• تولید اطلاعات شخصی کارکنان؛
• ثبت، ذخیره و انتقال داده های شخصی کارکنان؛
• حقوق و تعهدات کارمند در زمینه پردازش و حفاظت از داده های شخصی وی.

چنین قانون قانونی نظارتی محلی، رژیم محرمانه (دسترسی محدود) اطلاعات شخصی یک کارمند را در یک کارفرمای خاص تعیین می کند. کارمندان کارفرمایی که اطلاعات شخصی کارمند را دریافت می کنند ملزم به رعایت این رژیم هستند که نه تنها در شرح وظایف آنها بلکه در قراردادهای کاری منعقد شده با آنها نیز باید ذکر شود. مقررات (دستورالعمل) در مورد حفاظت از داده های شخصی سند اصلی است که منعکس کننده مشخصات پردازش و انتقال داده های شخصی کارمند در یک سازمان خاص، برای یک کارآفرین فردی خاص است. اگر یک جزء خودکار در این فعالیت وجود داشته باشد، کارفرما حق تصمیم گیری در مورد کارمند را بر اساس داده های شخصی که صرفاً در نتیجه پردازش خودکار یا دریافت الکترونیکی آنها به دست آمده است (بند 6 ماده 86 قانون کار) را ندارد. فدراسیون روسیه). یک کارفرما ممکن است محدود به اتخاذ مقرراتی در مورد حفاظت از داده های شخصی کارکنان در سازمان خود نباشد. با این حال، حضور این قانون محلی الزامی است و عدم وجود آن توسط بازرسی کار دولتی به عنوان نقض جدی قانون کار تلقی می شود.

در این مورد و سایر موارد تخلف از ضوابط مربوط به دریافت، رسیدگی و کارمند، کارفرما می تواند مرتکبین را به مسئولیت مادی و انتظامی و دستگاه های دولتی ذی ربط را به مسئولیت مدنی، اداری و کیفری برساند.

همه سازمان ها اطلاعات مربوط به کارکنان خود را جمع آوری، ذخیره و استفاده می کنند. اطلاعات شخصی در حال حاضر از ارزش بالایی برخوردار است و زمانی که به دست کلاهبرداران بیفتد وسیله ای برای ارتکاب جرم می شود. در این مقاله به شما خواهیم گفت که شرکت‌ها چگونه و برای چه هدفی داده‌های شخصی را پردازش می‌کنند و آیا باید رضایت کارمندان را برای انجام این کار جلب کنند.

پردازش اطلاعات شخصی چیست

مفهوم "پردازش داده های شخصی" شامل هرگونه اقداماتی است که توسط اپراتور با اطلاعات فردی انجام می شود. از جمله:

1. مجموعه؛
2. شفاف سازی؛
3. سیستم سازی؛
4. استفاده؛
5. حذف؛
6. ذخیره سازی.

همه سازمان ها و شرکت ها اپراتور داده های شخصی هستند زیرا آنها را پردازش می کنند. در هنر. 22 قانون شماره 152-FZ مبنای قانونی برای پردازش داده های شخصی را فراهم می کند. بر اساس متن مقاله، کارفرما حق دارد با اطلاعات شخصی کارکنان بدون اطلاع مقامات Roskomnadzor از این قصد اقداماتی انجام دهد.

چندین روش برای انجام اقدامات با اطلاعات شخصی استفاده می شود. پردازش خودکار داده های شخصی پردازش در رایانه است. روش غیر خودکار شامل استفاده از رسانه های کاغذی است. امروزه در بیشتر موارد از پردازش ترکیبی استفاده می شود که عناصر پردازش خودکار و دستی را با هم ترکیب می کند.

اهداف پردازش داده های شخصی در شرکت

اهداف زیر از پردازش داده های شخصی در سازمان متمایز می شود:

1. انعقاد، اجرا و خاتمه قراردادهای مدنی با شهروندان، اشخاص حقوقی، کارآفرینان فردی و سایر اشخاص در شرایطی که توسط قانون و اساسنامه شرکت پیش بینی شده است.
2. سازماندهی سوابق پرسنل سازمان، حصول اطمینان از رعایت قوانین، انعقاد و انجام تعهدات طبق قراردادهای کار و مدنی.
3. انجام سوابق پرسنلی، کمک به کارکنان در استخدام، آموزش و ارتقاء و استفاده از مزایا.
4. رعایت الزامات قانون مالیات در مورد محاسبه و پرداخت مالیات بر درآمد شخصی و مالیات یکپارچه اجتماعی، قانون بازنشستگی در تشکیل و انتقال داده های شخصی در مورد هر دریافت کننده درآمد به صندوق بازنشستگی، که در هنگام محاسبه سهم در نظر گرفته می شود. به بیمه بازنشستگی اجباری
5. تکمیل اسناد آماری اولیه مطابق با قانون کار، قانون مالیات و قوانین فدرال.

رضایت به پردازش داده های شخصی چیست

همراه با ارائه مدارک لازم هنگام انعقاد قرارداد کار، رضایت کارمند برای پردازش اطلاعات شخصی کارمند امضا می شود. با توجه به هنر. 3 قانون فدرال شماره 152، چنین داده هایی شامل تمام اطلاعات در مورد یک شخص - از نام و نام خانوادگی تا ورودی های کتاب کار است.

داده های شخصی به 3 دسته تقسیم می شوند:

• عمومی- اطلاعات اولیه شخصی، از جمله نام کامل، جنسیت، تاریخ و محل تولد.
• بیومتریک- اطلاعات در مورد ظاهر و برخی از ویژگی های فیزیولوژیکی، اگر آنها به صورت بصری تعیین شوند.
• ویژه- ملیت، مذهب، وضعیت سلامت، سابقه کیفری، جزئی - اطلاعات در مورد کار (دلایل اخراج و غیره).

داده‌های شخصی محرمانه هستند (به استثنای داده‌های در دسترس عموم)، بنابراین رضایت شخص برای پردازش آن ضروری است.

مدت اعتبار رضایت برای پردازش داده های شخصی الزامی است. لحظه پایان آن یا یک تاریخ خاص یا یک رویداد خاص است، از جمله انصراف کارمند از رضایت خود. این الزام در بند 4 هنر مشخص شده است. 9 قانون فدرال شماره 152.

در چه مواردی برای پردازش داده های شخصی رضایت لازم است؟

برای پردازش داده های خاص و بیومتریک رضایت لازم است. اطلاعات در دسترس عموم ممکن است آزادانه مورد استفاده قرار گیرد، مگر اینکه مغایر با قانون، و همچنین استانداردهای اخلاقی و اخلاقی پذیرفته شده عمومی باشد.

شرایطی که رضایت برای پردازش داده های شخصی لازم نیست

استثنا مواردی است که یک پرونده جنایی در حال بررسی است و فعالیت های جستجوی عملیاتی در حال انجام است. اگر شخصی مدارک نداشته باشد ممکن است برای تعیین هویت به داده های بیومتریک نیاز باشد. در چنین شرایطی، رضایت برای پردازش اطلاعات شخصی لازم نیست.

نمونه فرم رضایت و شرح سند

درخواست موافقت با پردازش اطلاعات شخصی به صورت کتبی به رئیس سازمان ارائه می شود. سربرگ سند نشان می دهد:

1. سمت مدیر و نام سازمانی که او سرپرستی می کند.
2. نام کامل سر؛
3. موقعیت کارمند؛
4. نام کامل کارمند؛
5. تاریخ؛
6. محل تالیف

نمونه متن سند به شرح زیر است:
«با این بیانیه، موافقت خود را با جمع‌آوری، پردازش، استفاده و ذخیره‌سازی داده‌های شخصی خود تا حدی که برای اطمینان از حقوق کاری و اجتماعی‌ام، پرداخت مالیات تعیین‌شده، هزینه‌ها و سایر پرداخت‌های اجباری، کسر کمک‌های اجباری لازم است، تأیید می‌کنم. وجوه دولتی و برای اهداف دیگر ناشی از کار و روابط حقوقی مرتبط بین من و کارفرما در چارچوب قوانین جاری. کارفرما فقط در مواردی که قانون تعیین کرده است حق دارد اطلاعات شخصی من را در اختیار اشخاص ثالث قرار دهد.»
کارمند امضای خود را زیر متن درخواست می گذارد.

آیا از نظر قانون می توان از پردازش داده های شخصی امتناع کرد؟

طبق قانون، امتناع از رضایت از پردازش اطلاعات شخصی عواقب قانونی ندارد. در قسمت 1 هنر. 9 قانون فدرال شماره 152 بیان می کند که خود رضایت آزادانه و داوطلبانه ابراز می شود.

بخش 5 هنر. 6 همان قانون عدم رضایت برای پردازش اطلاعات شخصی را در صورتی که برای اجرای یک قرارداد، از جمله قرارداد کار لازم باشد، مجاز می‌داند. بنابراین، کارفرمایان در حین انجام وظایف خود، ممکن است بدون کسب رضایت، اطلاعات شخصی خود را در راستای منافع کارکنان پردازش کنند. این فقط برای کارمندانی اعمال می شود که قبلاً در لیست حقوق و دستمزد هستند. اگر فردی از پردازش اطلاعات شخصی امتناع ورزد، استخدام غیرممکن است. در این مورد هنوز قرارداد کار منعقد نشده است. از آنجایی که این سند وجود ندارد، کارفرما تعهدی به انجام آن ندارد.

گاهی اوقات امتناع از پردازش اطلاعات شخصی می تواند عواقب منفی داشته باشد. اگر شرکت دارای رژیم عبور باشد، در چنین شرایطی کارمند قادر به صدور یا جایگزینی مجوز نخواهد بود - چنین اقدامی فراتر از محدوده اهداف رسمی است. بنابراین عدم رضایت موجب عدم امکان انجام وظایف کارگری خواهد شد.

سوالات خود را در نظرات مقاله بپرسید و از یک متخصص پاسخ بگیرید

مقررات مربوط به پردازش و حفاظت از داده های شخصی روشی را برای جمع آوری، انباشت، ذخیره، استفاده، حذف و غیره اطلاعات حاوی اطلاعات مربوط به کارکنان شرکت تعیین می کند. این سند باید روش انتقال PD به اشخاص ثالث، ویژگی های پردازش خودکار و غیر خودکار PD، روش دسترسی به PD، روش سازماندهی کنترل داخلی و مسئولیت تخلفات در طول پردازش PD را شرح دهد.

نحوه تنظیم مقررات مربوط به پردازش و حفاظت از داده های شخصی

این سند مطابق با قوانین فدراسیون روسیه در مورد داده های شخصی و اسناد نظارتی و روش شناختی دستگاه های اجرایی قدرت دولتی در مورد مسائل امنیتی PD هنگام پردازش در سیستم های اطلاعات PD در حال توسعه است.

مقررات حفاظت از داده های شخصی معمولاً از 11 بخش تشکیل شده است:

1. مقررات عمومی
2. اهداف و اهداف پردازش PD.
3. داده های شخصی پردازش شده در ISPD (نام کامل، تاریخ تولد، شماره تلفن تماس، آدرس ثبت نام، آدرس محل سکونت واقعی).
4. دسترسی به PD
5. الزامات اساسی برای حفاظت از داده های شخصی
6. رضایت به پردازش PD.
7. حقوق موضوع در رابطه با داده های شخصی پردازش شده توسط اپراتور.
8. حقوق و تعهدات اپراتور ISPDn.
9. رویه پردازش و حفاظت از داده های شخصی.
10. ویژگی های پردازش داده های شخصی کارکنان اپراتور.
11. مسئولیت نقض این ماده.

مقررات مربوط به پردازش و حفاظت از داده‌های شخصی برای کلیه فرآیندهای جمع‌آوری، سیستم‌سازی، انباشت، ذخیره‌سازی، شفاف‌سازی، استفاده، توزیع (از جمله انتقال)، غیرشخصی‌سازی، مسدود کردن، تخریب داده‌های شخصی که با استفاده از ابزارهای اتوماسیون و بدون آنها انجام می‌شود، اعمال می‌شود. استفاده کنید.

موضوعات داده های شخصی

موضوعات PD عبارتند از:

• کارکنان اپراتور.
• داوطلبان استخدام.
• مشتریان (مصرف کنندگان خدمات اپراتور).
• کارآفرینان فردی طرف مقابل اپراتور هستند.
• مشتریان سازمان ها، طرف مقابل اپراتور (خدمت به مشتریان شرکتی).
• سایر افراد که اطلاعات شخصی آنها توسط اپراتور پردازش می شود.

آیین‌نامه پردازش و حفاظت از داده‌های شخصی از لحظه تصویب لازم‌الاجرا می‌شود و تا زمانی که با آیین‌نامه جدیدی جایگزین شود، به‌طور نامحدود معتبر است. کلیه کارکنان سازمان باید با این سند در مقابل امضا آشنا باشند.

مقررات مربوط به پردازش و حفاظت از داده های شخصی

مقررات عمومی

1.1.

این آیین نامه مطابق با قوانین فدراسیون روسیه در مورد داده های شخصی (از این پس به عنوان PD نامیده می شود) و اسناد نظارتی و روش شناختی دستگاه های اجرایی قدرت دولتی در مورد مسائل امنیت PD هنگام پردازش در سیستم های اطلاعات PD (از این پس به عنوان ISPD).

1.2.

برای اهداف این آیین نامه از اصطلاحات زیر استفاده می شود:

داده های شخصی (PD) - هر گونه اطلاعات مربوط به مستقیم یا غیر مستقیم یک فرد شناسایی شده یا قابل شناسایی (موضوع PD).

اپراتور - یک نهاد دولتی، ارگان شهرداری، شخص حقوقی یا فردی که به طور مستقل یا مشترک با سایر افراد، پردازش داده های شخصی را سازماندهی و (یا) انجام می دهد و همچنین اهداف پردازش داده های شخصی، ترکیب اطلاعات شخصی را تعیین می کند. داده هایی که باید پردازش شوند، اقدامات (عملیات) انجام شده با داده های شخصی؛

پردازش PD - هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی با PD انجام می شود، از جمله جمع آوری، ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استخراج، استفاده ، انتقال (توزیع، ارائه، دسترسی)، غیر شخصی سازی، مسدود کردن، حذف، تخریب داده های شخصی؛

پردازش خودکار داده های شخصی - پردازش داده های شخصی با استفاده از فناوری رایانه؛

توزیع داده های شخصی - اقداماتی با هدف افشای داده های شخصی به تعداد نامحدودی از افراد؛

ارائه PD - اقدامات با هدف افشای PD به یک فرد خاص یا یک حلقه خاص از افراد؛

مسدود کردن PD - توقف موقت پردازش PD (به جز مواردی که پردازش برای روشن شدن PD ضروری است).

تخریب PD - اقداماتی که در نتیجه بازیابی محتوای PD در ISPD غیرممکن می شود و / یا در نتیجه رسانه های مادی PD از بین می رود.

غیر شخصی سازی PD - اقداماتی که در نتیجه آن تعیین مالکیت PD بر یک موضوع خاص PD بدون استفاده از اطلاعات اضافی غیرممکن می شود.

سیستم اطلاعات شخصی (PDIS) - مجموعه ای از فناوری های اطلاعاتی و ابزارهای فنی موجود در پایگاه های داده PD و اطمینان از پردازش آنها.

انتقال فرامرزی داده های شخصی - انتقال داده های شخصی به قلمرو یک کشور خارجی به مقام یک دولت خارجی، یک فرد خارجی یا یک شخص حقوقی خارجی.

1.3.

این آیین نامه روش و شرایط پردازش PD در (از این پس اپراتور نامیده می شود) را تعیین می کند، از جمله روش انتقال PD به اشخاص ثالث، ویژگی های پردازش خودکار و غیر خودکار PD، روش دسترسی به PD، PD. سیستم حفاظتی، روش سازماندهی کنترل داخلی و مسئولیت تخلفات در طول پردازش PD، سوالات دیگر.

1.4.

این مقررات در مورد کلیه فرآیندهای جمع آوری، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی، استفاده، توزیع (از جمله انتقال)، شخصی سازی، مسدود کردن، تخریب داده های شخصی که با استفاده از ابزارهای اتوماسیون و بدون استفاده از آنها انجام می شود، اعمال می شود.

1.5.

این آیین نامه از لحظه تصویب توسط اپراتور لازم الاجرا بوده و تا زمان جایگزینی با آیین نامه جدید به مدت نامحدود معتبر است.

1.6.

کلیه تغییرات در مقررات به صورت سفارشی انجام می شود.

1.7.

کلیه کارکنان اپراتور باید پس از امضا با این مقررات آشنا باشند.

اهداف و اهداف پردازش PD

2.1.

پردازش داده های شخصی باید محدود به دستیابی به اهداف خاص، از پیش تعریف شده و مشروع باشد. پردازش داده های شخصی که با اهداف جمع آوری داده های شخصی ناسازگار است مجاز نیست.

2.2.

ترکیب پایگاه‌های اطلاعاتی حاوی داده‌های شخصی، که پردازش آنها برای اهداف ناسازگار با یکدیگر انجام می‌شود، مجاز نیست.

2.3.

فقط داده های شخصی که اهداف پردازش آنها را برآورده می کند، تحت پردازش قرار می گیرند.

2.4.

2.5.

پردازش اطلاعات شخصی کارکنان اپراتور ممکن است صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارکنان در استخدام، آموزش و ارتقاء، اطمینان از ایمنی شخصی کارکنان، نظارت بر کمیت و کیفیت کار انجام شده و اطمینان از ایمنی دارایی اپراتور.

2.6.

اهداف اصلی پردازش PD عبارتند از:

اهداف اضافی برای پردازش داده های شخصی عبارتند از: .

2.7.

ISPDn راه حل هایی را برای وظایف زیر ارائه می دهد: .

داده های شخصی پردازش شده در ISPDn

3.1.

ISPD داده های شخصی افراد سوژه داده های شخصی زیر را پردازش می کند:

3.1.1.

کارکنان اپراتور؛

3.1.2.

مشتریان (مصرف کنندگان خدمات اپراتور)؛

3.1.3.

کارآفرینان فردی - طرف مقابل اپراتور؛

3.1.4.

مشتریان سازمان ها، طرف مقابل اپراتور (خدمت به مشتریان شرکتی)؛

3.2.

این فهرست ممکن است در صورت لزوم اصلاح شود.

3.3.

داده های شخصی افراد PD شامل:

3.4.

فهرست های کامل داده های شخصی پردازش شده در لیست داده های شخصی مشمول حفاظت در سیستم اطلاعات اپراتور تشکیل می شود.

دسترسی به داده های شخصی

4.1.

کارکنان اپراتور که به دلیل وظایف رسمی خود دائماً با داده های شخصی کار می کنند ، به دسته های مورد نیاز از داده های شخصی برای دوره انجام وظایف رسمی مربوطه خود بر اساس لیست افراد مجاز به کار با داده های شخصی دسترسی پیدا می کنند. که به تایید رئیس اپراتور می رسد. این فهرست بر اساس مفهوم امنیت اطلاعات و خط مشی امنیت اطلاعات تهیه شده است.

4.2.

لیست افرادی که برای سیستم اطلاعاتی به داده های شخصی دسترسی دارند باید به روز نگه داشته شود.

4.3.

اپراتور یک روش مجوز برای دسترسی به داده های شخصی ایجاد کرده است. دسترسی کارکنان اپراتور به کار با داده های شخصی تنها در حد و اندازه ای که برای انجام وظایف رسمی خود بر اساس تصمیم مدیر ضروری است فراهم می شود.

4.4.

مجوز موقت یا یکبار کار با داده های شخصی به دلیل نیازهای رسمی توسط کارمند اپراتور با تأیید مدیر قابل دریافت است.

4.5.

دسترسی به PD توسط اشخاص ثالثی که کارمند اپراتور نیستند بدون رضایت موضوع PD ممنوع است، به استثنای دسترسی کارکنان مقامات اجرایی که به عنوان بخشی از اقدامات کنترل و نظارت بر اجرای قانون انجام می شود. اجرای وظایف و اختیارات نهادهای دولتی مربوطه. ارائه اطلاعات به درخواست یا درخواست یک مقام دولتی با اطلاع رئیس اپراتور انجام می شود.

4.6.

اگر کارمند یک سازمان شخص ثالث نیاز به دسترسی به PD اپراتور داشته باشد، لازم است در توافق نامه با سازمان شخص ثالث، شرایط محرمانه بودن PD و تعهد سازمان شخص ثالث و کارکنان آن به رعایت موارد ذکر شده باشد. الزامات قانون فعلی در زمینه حفاظت از PD. علاوه بر این، در صورت دسترسی افرادی که کارمند اپراتور نیستند به داده های شخصی، باید رضایت افراد اطلاعات شخصی برای ارائه داده های شخصی خود به اشخاص ثالث جلب شود. اگر PD به منظور اجرای قرارداد مدنی منعقد شده توسط اپراتور با موضوع PD ارائه شده باشد، رضایت مشخص شده لازم نیست.

4.7.

دسترسی کارمند اپراتور به داده های شخصی از تاریخ خاتمه رابطه کاری یا تاریخ تغییر در مسئولیت های شغلی کارمند و/یا حذف کارمند از لیست اشخاصی که حق دسترسی به داده های شخصی را دارند خاتمه می یابد. در صورت اخراج، کلیه رسانه های حاوی اطلاعات شخصی که طبق وظایف رسمی در حین کار در اختیار کارمند بوده است، باید به مقام مربوطه منتقل شود.

الزامات اساسی برای حفاظت از داده های شخصی

5.1.

هنگام پردازش داده های شخصی در سیستم اطلاعاتی، موارد زیر باید رعایت شود:

الف) انجام اقداماتی با هدف جلوگیری از دسترسی غیرمجاز به داده های شخصی و/یا انتقال آنها به افرادی که حق دسترسی به چنین اطلاعاتی را ندارند.

ب) تشخیص به موقع حقایق دسترسی غیرمجاز به داده های شخصی؛

ج) جلوگیری از تأثیرگذاری بر ابزارهای فنی پردازش خودکار داده‌های شخصی، که در نتیجه ممکن است عملکرد آنها مختل شود.

د) امکان بازیابی فوری داده های شخصی تغییر یافته یا تخریب شده به دلیل دسترسی غیرمجاز به آنها؛

ه) کنترل دائمی بر تضمین سطح امنیت PD.

5.2.

اپراتور موظف است اقدامات قانونی، سازمانی، فنی و غیره لازم را برای تضمین امنیت اطلاعات شخصی به عمل آورد.

5.3.

برای توسعه الزامات امنیتی و پیاده سازی یک سیستم امنیت داده های شخصی، اپراتور "مدل تهدیدات برای امنیت داده های شخصی هنگام پردازش آنها در یک ISPD" را بر اساس سند نظارتی و روش شناختی FSTEC روسیه "مدل اساسی تهدیدی برای امنیت داده های شخصی هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی."

5.4.

اپراتور مطابق با سند حاکم بر سازمان های دولتی - فرمان دولت فدراسیون روسیه مورخ 1 نوامبر 2012 شماره 1119 "در مورد تصویب الزامات حفاظت از داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"طبقه بندی ISPD اپراتور انجام شده است.

5.5.

کمیسیون یک گواهی طبقه بندی ISPD پردازش شده با استفاده از ابزارهای اتوماسیون تهیه کرده است:

5.6.

اپراتور بر اساس گزارش تأیید ISPD و مطابق با سند قانونی و روش شناختی FSTEC روسیه "اقدامات اصلی برای سازماندهی و پشتیبانی فنی از امنیت داده های شخصی پردازش شده در سیستم های اطلاعات داده های شخصی" را توسعه داده است. و مجموعه ای از اقدامات را برای حفاظت و تضمین امنیت داده های شخصی ("برنامه اقدام") برای اطمینان از امنیت داده های شخصی اجرا کرد."

5.7.

اپراتور از ابزارها و نرم افزارهای فنی برای پردازش و محافظت از داده های شخصی استفاده می کند. گزارشی از وسایل حفاظت از داده های شخصی نیز نگهداری می شود.

5.8.

اپراتور گزارشی از حسابداری و ذخیره سازی رسانه های ذخیره سازی قابل جابجایی را نگهداری می کند.

5.9.

وسایل فنی فوق ISPD در دفتر و محل اپراتور قرار دارد.

5.10.

تمام افرادی که مجاز به کار با PD هستند، و همچنین افرادی که با عملیات و پشتیبانی فنی ISPD مرتبط هستند، باید پس از امضا با الزامات این آیین نامه آشنا باشند و همچنین باید "توافق نامه اطمینان از محرمانه بودن داده های شخصی توسط سازمان" را امضا کنند. کارکنان اپراتور» که در پیوست این آیین نامه آمده است.

5.11.

اپراتور یک فرآیند آموزشی برای استفاده از وسایل حفاظت از داده های شخصی که توسط اپراتور اداره می شود سازماندهی کرده است. آموزش در این زمینه برای افرادی که دسترسی دائمی به داده های شخصی دارند و برای افرادی که از ابزارهای سخت افزاری و نرم افزاری برای سیستم های اطلاعاتی و سیستم های امنیت اطلاعات استفاده می کنند توصیه می شود. افرادی که مسئول عملیات ابزارهای امنیت اطلاعات ISPD هستند باید آموزش های اجباری را طی کنند.

5.12.

كاركنان موظفند فوراً از بين رفتن يا كمبود رسانه ذخيره سازي اطلاعات شخصي و همچنين دلايل و شرايط نشت احتمالي داده هاي شخصي را به مقام مربوطه اپراتور اطلاع دهند. در صورتی که افراد غیرمجاز اقدام به دریافت PD کارمندی که توسط اپراتور پردازش شده است، بلافاصله به مقام مربوطه اپراتور اطلاع دهید.

رضایت به پردازش PD

6.1.

سوژه PD تصمیم می گیرد PD خود را ارائه دهد و با پردازش آن آزادانه، به میل خود و به نفع خود موافقت می کند. رضایت به پردازش داده های شخصی باید مشخص، آگاهانه و آگاهانه باشد. رضایت پردازش داده های شخصی می تواند توسط موضوع داده های شخصی یا نماینده وی به هر شکلی که امکان تأیید واقعیت دریافت آن را فراهم می کند، ارائه شود، مگر اینکه در قانون فدراسیون روسیه طور دیگری مقرر شده باشد. اگر رضایت پردازش PD از نماینده موضوع PD دریافت شود، اختیارات این نماینده برای رضایت از طرف موضوع PD توسط اپراتور تأیید می شود.

6.2.

اخذ رضایت کتبی برای پردازش داده های شخصی توسط کارمند اپراتور، پس از دریافت اطلاعات شخصی از موضوع داده های شخصی، با صدور رضایت نامه کتبی به شکلی که توسط اپراتور ISPD تعیین شده است، انجام می شود.

حقوق موضوع در رابطه با داده های شخصی پردازش شده توسط اپراتور

7.1.

موضوع PD حق دارد:

برای دریافت اطلاعات از اپراتور در مورد پردازش داده های شخصی وی. اطلاعات باید توسط اپراتور به صورت در دسترس به موضوع PD ارائه شود، و نباید حاوی PD مربوط به سایر موضوعات PD باشد، مگر اینکه دلایل قانونی برای افشای چنین PD وجود داشته باشد. فهرست اطلاعات و روش به دست آوردن اطلاعات توسط قانون فعلی فدراسیون روسیه ارائه شده است.

اپراتور را ملزم کنید که داده های شخصی خود را روشن کند، آن را مسدود کند یا در صورتی که داده های شخصی ناقص، قدیمی، نادرست، به طور غیرقانونی به دست آمده یا برای هدف ذکر شده از پردازش لازم نیست، آن را مسدود یا از بین ببرد، و همچنین اقدامات پیش بینی شده توسط قانون روسیه را انجام دهد. فدراسیون برای حفظ حقوق آنها؛

مشروط به رضایت کتبی قبلی هنگام پردازش داده های شخصی به منظور تبلیغ کالاها، آثار، خدمات در بازار از طریق برقراری تماس مستقیم با مصرف کنندگان بالقوه با استفاده از ارتباطات، و همچنین برای اهداف تبلیغات سیاسی؛

مشروط به شرط رضایت کتبی هنگام اتخاذ تصمیمات اپراتور بر اساس پردازش انحصاری خودکار PD که منجر به عواقب قانونی در رابطه با موضوع PD می شود یا به نحو دیگری بر حقوق و منافع مشروع وی تأثیر می گذارد.

اعتراض خود را به تصمیمات اپراتور صرفاً بر اساس پردازش خودکار داده های شخصی وی و پیامدهای قانونی احتمالی چنین تصمیمی ارائه دهید.

نسبت به اقدامات یا عدم اقدام اپراتور به مرجع مجاز برای حمایت از حقوق افراد اطلاعات شخصی یا در دادگاه تجدید نظر کنید.

حقوق و تعهدات اپراتور ISPDn

8.1.

اپراتور ISPDn حق دارد:

8.1.1.

بر اساس توافقنامه ای که با این شخص منعقد شده است، از جمله یک قرارداد ایالتی یا شهرداری، یا با تصویب یک قانون مربوطه توسط یک فرد، رسیدگی به PD را با رضایت موضوع PD به شخص دیگری واگذار کنید، مگر اینکه قانون فدرال طور دیگری مقرر کرده باشد. ارگان ایالتی یا شهرداری

8.1.2.

اگر موضوع PD رضایت خود را از پردازش PD پس گرفت، در صورت وجود دلایل مشخص شده در قوانین فدراسیون روسیه، پردازش PD را بدون رضایت موضوع PD ادامه دهید.

8.1.3.

از موضوع داده های شخصی برای انجام درخواست مکرر اطلاعاتی که با شرایط مقرر در قانون فدراسیون روسیه مطابقت ندارد خودداری کنید. چنین امتناع باید با انگیزه باشد. تعهد به ارائه شواهدی مبنی بر اعتبار امتناع از انجام درخواست مکرر بر عهده اپراتور است.

8.1.4.

به طور مستقل ترکیب و فهرست اقدامات لازم و کافی را برای اطمینان از انجام تعهدات اپراتور IPDN پیش بینی شده توسط قانون فدراسیون روسیه تعیین کنید.

8.2.

اپراتور ISPD موظف است:

8.2.1.

قبل از شروع پردازش PD، اپراتور موظف است به سازمان مجاز برای حمایت از حقوق افراد PD از قصد خود برای پردازش PD اطلاع دهد، به استثنای مواردی که توسط قانون فدراسیون روسیه پیش بینی شده است.

8.2.2.

هنگام دسترسی به PD، PD را در اختیار اشخاص ثالث قرار ندهید یا PD را بدون رضایت موضوع PD توزیع نکنید، مگر اینکه در قانون فدرال طور دیگری مقرر شده باشد.

8.2.3.

ارائه مدارکی دال بر کسب رضایت شخص PD موضوع رسیدگی به PD وی یا اثبات وجود زمینه های قانونی برای پردازش PD بدون رضایت موضوع PD.

8.2.4.

قبل از شروع انتقال فرامرزی داده‌های شخصی، مطمئن شوید که کشور خارجی که داده‌های شخصی به قلمرو آن منتقل می‌شود، حمایت کافی از حقوق افراد موضوع داده‌های شخصی را فراهم می‌کند.

8.2.5.

به درخواست سوژه PD، پردازش PD خود را به منظور تبلیغ کالاها، آثار، خدمات در بازار از طریق برقراری تماس مستقیم با مصرف کنندگان بالقوه با استفاده از ارتباطات و همچنین برای اهداف تبلیغات سیاسی متوقف کنید.

8.2.6.

روش تصمیم گیری صرفاً بر اساس پردازش خودکار PD وی و عواقب قانونی احتمالی چنین تصمیمی را برای موضوع PD توضیح دهید، فرصت اعتراض به چنین تصمیمی را فراهم کنید، و همچنین روش حمایت از موضوع PD را توضیح دهید. حقوق و منافع مشروع او.

اپراتور موظف است ظرف سی روز از تاریخ وصول به اعتراض رسیدگی و نتایج رسیدگی به چنین اعتراضی را به موضوع PD اعلام کند.

8.2.7.

هنگام جمع آوری PD، به درخواست وی، اطلاعات مقرر در قانون فدراسیون روسیه را به موضوع PD ارائه دهید.

اگر ارائه PD به اپراتور برای موضوع PD مطابق با قانون فدرال اجباری باشد، اپراتور موظف است عواقب قانونی امتناع از ارائه PD خود را به موضوع PD توضیح دهد.

8.2.8.

اگر PD از موضوع PD دریافت نشود، اپراتور، به جز مواردی که توسط قانون فدراسیون روسیه پیش بینی شده است، قبل از پردازش چنین PD، اطلاعات زیر را در اختیار موضوع PD قرار می دهد:

1) نام یا نام خانوادگی، نام، نام خانوادگی و آدرس اپراتور یا نماینده وی.

2) هدف از پردازش PD و مبنای قانونی آن؛

3) کاربران مورد نظر داده های شخصی؛

4) حقوق موضوع داده های شخصی که توسط این قانون فدرال تعیین شده است.

5) منبع به دست آوردن PD.

8.2.9.

اقدامات لازم و کافی را برای اطمینان از اجرای تعهدات اپراتور IPDN پیش بینی شده توسط قانون فدراسیون روسیه انجام دهید.

8.2.11.

هنگام جمع آوری PD با استفاده از شبکه های اطلاعاتی و مخابراتی، سندی را در شبکه اطلاعاتی و مخابراتی مربوطه منتشر کنید که خط مشی آن را در مورد پردازش PD مشخص می کند و اطلاعاتی در مورد الزامات اجرا شده برای حفاظت از PD و همچنین اطمینان از توانایی دسترسی به موارد مشخص شده سند با استفاده از ابزار مناسب شبکه اطلاعاتی - مخابراتی.

8.2.12.

اسناد و اقدامات محلی پیش بینی شده توسط قانون فدراسیون روسیه را ارائه دهید و / یا در غیر این صورت تأیید اتخاذ تدابیر لازم و کافی برای اطمینان از انجام وظایف اپراتور IPDN به درخواست نهاد مجاز برای حفاظت از حقوق افراد PD

8.2.13.

هنگام پردازش PD، اقدامات قانونی، سازمانی و فنی لازم را انجام دهید یا از اتخاذ آنها اطمینان حاصل کنید تا از PD در برابر دسترسی غیرمجاز یا تصادفی به آن، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع PD و همچنین سایر اقدامات غیرقانونی در آن محافظت شود. ارتباط با PD

8.2.14.

به روشی که توسط قانون فدراسیون روسیه مقرر شده است، موضوع PD یا اطلاعات نماینده او را به صورت رایگان در مورد در دسترس بودن PD مربوط به موضوع PD مربوطه اطلاع دهید و همچنین فرصتی را برای آشنایی با این PD در هنگام درخواست ارائه دهید. موضوع PD یا نماینده او یا ظرف سی روز از تاریخ دریافت درخواست موضوع PD یا نماینده وی.

8.2.15.

در صورت امتناع از ارائه اطلاعات در مورد در دسترس بودن PD در مورد موضوع PD یا PD مربوط به موضوع PD یا نماینده وی بنا به درخواست آنها یا در صورت دریافت درخواست از سوژه PD یا نماینده وی، اپراتور موظف است پاسخ مستدل کتبی حاوی ارجاع به مقررات قانون فدراسیون روسیه که مبنای چنین امتناع است، ظرف مدت حداکثر سی روز از تاریخ درخواست موضوع PD یا نماینده وی یا از تاریخ دریافت درخواست موضوع PD یا نماینده وی.

8.2.16.

ظرف مدت حداکثر هفت روز کاری از تاریخی که موضوع PD یا نماینده او اطلاعاتی را ارائه می دهد که تأیید می کند PD ناقص، نادرست یا نامربوط است، اپراتور موظف است تغییرات لازم را در آنها ایجاد کند. ظرف مدت حداکثر هفت روز کاری از تاریخی که موضوع PD یا نماینده او اطلاعاتی را ارائه می دهد که تأیید می کند چنین PD به طور غیرقانونی به دست آمده است یا برای هدف ذکر شده پردازش ضروری نیست، اپراتور موظف است چنین PD را از بین ببرد. اپراتور موظف است تغییرات ایجاد شده و اقدامات انجام شده را به موضوع PD یا نماینده وی اطلاع دهد و اقدامات منطقی را برای اطلاع اشخاص ثالثی که PD این موضوع به آنها منتقل شده است انجام دهد.

8.2.17.

در صورت درخواست این نهاد، اطلاعات لازم را ظرف 30 روز از تاریخ دریافت چنین درخواستی به مرجع مجاز برای حمایت از حقوق مشمولان داده های شخصی گزارش دهید.

8.2.18.

اگر پردازش غیرقانونی PD توسط اپراتور یا شخصی که از طرف اپراتور عمل می کند شناسایی شود، اپراتور موظف است ظرف مدت حداکثر سه روز کاری از تاریخ این کشف، پردازش غیرقانونی PD را متوقف کند. یا از توقف پردازش غیرقانونی PD توسط شخصی که از طرف اپراتور عمل می کند اطمینان حاصل کند. اگر اطمینان از قانونی بودن پردازش PD غیرممکن باشد، اپراتور موظف است ظرف مدت حداکثر ده روز کاری از تاریخ شناسایی پردازش غیرقانونی PD، چنین PD را از بین ببرد یا از تخریب آن اطمینان حاصل کند. اپراتور موظف است رفع تخلف و یا از بین رفتن PD را به موضوع PD یا نماینده وی اطلاع دهد و در صورت درخواست تجدیدنظر از موضوع PD یا نماینده وی یا درخواست مرجع مجاز برای حمایت از حقوق افراد PD. توسط نهاد مجاز برای حمایت از حقوق افراد PD، همچنین ارگان مشخص شده ارسال شده است.

8.2.19.

اگر هدف از پردازش داده های شخصی محقق شود، اپراتور موظف است پردازش داده های شخصی را متوقف کند یا از خاتمه آن اطمینان حاصل کند (در صورتی که پردازش داده های شخصی توسط شخص دیگری که از طرف اپراتور انجام می شود) و داده های شخصی را از بین ببرد یا از نابودی آنها اطمینان حاصل کند. (در صورتی که پردازش داده های شخصی توسط شخص دیگری که از طرف اپراتور عمل می کند انجام شود) به موقع، حداکثر سی روز از تاریخ دستیابی به هدف پردازش PD، مگر اینکه در توافق نامه ای که موضوع PD یک آن است، طور دیگری مقرر شده باشد. طرف، ذینفع یا ضامن، توافق دیگری بین اپراتور و موضوع PD، یا اگر اپراتور حق پردازش PD را بدون رضایت موضوع PD به دلایل پیش بینی شده توسط قانون فدراسیون روسیه نداشته باشد.

8.2.20.

اگر موضوع PD رضایت خود را از پردازش PD خود پس گرفت، پردازش آنها را متوقف کنید یا از خاتمه چنین پردازشی اطمینان حاصل کنید (اگر پردازش PD توسط شخص دیگری که به نمایندگی از اپراتور انجام می شود) و اگر حفظ PD دیگر وجود ندارد. برای اهداف پردازش PD مورد نیاز است، PD را از بین ببرید یا از نابودی آنها اطمینان حاصل کنید (اگر پردازش PD توسط شخص دیگری از طرف اپراتور انجام شود) ظرف مدت حداکثر سی روز از تاریخ دریافت پاسخ مذکور، مگر اینکه در غیر این صورت توسط قراردادی که موضوع PD طرف، ذینفع یا ضامن آن است، یا توافق دیگری بین اپراتور و موضوع PD پیش بینی شده است یا اگر اپراتور به دلایل پیش بینی شده حق پردازش PD را بدون رضایت موضوع PD نداشته باشد. طبق قوانین فدراسیون روسیه.

8.2.21.

شخصی مسئول سازماندهی پردازش داده های شخصی را تعیین کنید.

رویه پردازش و حفاظت از داده های شخصی

9.1.

اطمینان از محرمانه بودن داده های شخصی پردازش شده توسط اپراتور یک الزام اجباری برای همه افرادی است که داده های شخصی برای آنها شناخته شده است.

9.2.

کارکنان اپراتور که اسناد را پردازش می کنند، در موارد خاص، ملزم به کسب رضایت افراد PD برای پردازش هستند.

9.3.

در صورت نقض رویه تعیین شده برای پردازش PD، کارکنان اپراتور مطابق بند 9 این آیین نامه مسئول هستند.

9.4.

PD موضوعات روی کاغذ، پردازش شده توسط اپراتور، در بخش هایی (با کارمندان) که مجوز پردازش PD مربوطه را دارند ذخیره می شود. حق دسترسی کارکنان به سیستم های اطلاعاتی غیرخودکار به دستور مدیر تعیین می شود. حامل های داده های شخصی نباید بدون مراقبت رها شوند. هنگام خروج از محل کار، کارمندانی که داده های شخصی را پردازش می کنند باید رسانه ها را در یک کابینت امن و قفل شده قرار دهند یا دسترسی غیرمجاز به رسانه ها را محدود کنند. اگر PD گم شود یا آسیب ببیند، در صورت امکان بازیابی می شود.

9.5.

مکان های ذخیره سازی اسناد حاوی PD:

9.5.1.

PD مشتریان اپراتور (قراردادها، اعمال، قراردادها، پرسشنامه ها، کپی پاسپورت ها، سایر اسناد مشابه حاوی PD مشتریان اپراتور، رسانه های ذخیره سازی (فلش کارت، سی دی و غیره) در دفاتر اصلی و رزرو اپراتور ذخیره می شود. در قفسه ها قرار می گیرد و با کلید قفل می شود.مسئول اعمال کنترل با دستور مدیر تعیین می شود.

9.5.2.

اطلاعات شخصی کارکنان اپراتور - اسناد، رسانه های ذخیره سازی (فلش کارت، سی دی و غیره) در گاوصندوق شرکت ذخیره می شود و با یک کلید قفل می شود. شخص مسئول اعمال کنترل، رئیس اپراتور است.

9.6.

صدور اسناد برای بررسی برای افرادی که به منظور انجام وظایف رسمی در اطلاعات مربوطه پذیرفته شده اند، برای مدت حداکثر یک روز کاری انجام می شود.

9.7.

سایر رسانه‌های ذخیره‌سازی ممکن است در دفاتر اصلی و پشتیبان اپراتور، در قفسه‌ها و قفل‌شده با کلید یا در گاوصندوق سازمان ذخیره شوند. شخص مسئول اعمال کنترل بر سایر حامل های اطلاعات به دستور مدیر تعیین می شود.

9.8.

هنگام کار با نرم افزار سیستم خودکار اپراتور، که عملکردهای مشاهده و ویرایش PD را اجرا می کند، نمایش فرم های صفحه حاوی چنین داده هایی برای افرادی که مجوز مناسب را ندارند ممنوع است.

9.9.

هنگام دریافت PD توسط یک کارمند اپراتور، که مطابق وظایف شغلی خود، PD را از مشتری یا کارمند شخص دیگری دریافت می کند، صحت PD باید بررسی شود. PD دریافت شده توسط اپراتور توسط کارکنانی که به PD مربوطه دسترسی دارند وارد سیستم اطلاعاتی می شود. کارکنانی که اطلاعات را وارد می کنند، مسئول صحت و کامل بودن اطلاعات وارد شده هستند.

9.10.

ویژگی های پردازش داده های شخصی موجود بر روی کاغذ، بدون استفاده از ابزارهای اتوماسیون (از رایانه شخصی در هنگام تنظیم اسناد استفاده نمی شود) مطابق با فرمان دولت فدراسیون روسیه مورخ 15 سپتامبر 2008 N 687 "در مورد" تصویب آیین نامه ویژگی های پردازش داده های شخصی بدون استفاده از ابزارهای اتوماسیون".

9.11.

هنگام پردازش دستی دسته‌های مختلف داده‌های شخصی، باید برای هر دسته از داده‌های شخصی از یک رسانه مادی جداگانه استفاده شود.

9.12.

در صورت پردازش غیر خودکار داده های شخصی بر روی کاغذ:

9.12.1.

ضبط روی یک رسانه کاغذی PD که اهداف پردازش آن آشکارا ناسازگار است مجاز نیست.

9.12.2.

PD باید از سایر اطلاعات جدا شود، به ویژه با ثبت آنها در رسانه های کاغذی جداگانه، در بخش های خاص یا در زمینه فرم ها (فرم ها).

9.13.

هنگام استفاده از فرم های استاندارد اسناد، ماهیت اطلاعاتی که در آن گنجاندن PD در آنها را پیشنهاد می کند یا اجازه می دهد (از این پس به عنوان فرم های استاندارد نامیده می شود)، شرایط زیر باید رعایت شود:

9.13.1.

فرم استاندارد یا اسناد مرتبط (دستورالعمل برای پر کردن آن، کارت ها، ثبت نام ها و مجلات) باید حاوی اطلاعاتی در مورد هدف پردازش غیر خودکار PD، نام (نام) و آدرس اپراتور، نام خانوادگی، نام، نام خانوادگی باشد. و آدرس موضوع PD، منبع دریافت PD، مهلت های پردازش داده های شخصی، لیستی از اقدامات با داده های شخصی که در طول پردازش آنها انجام خواهد شد، شرح کلی روش های پردازش داده های شخصی مورد استفاده توسط اپراتور ;

9.13.2.

فرم استاندارد باید شامل فیلدی باشد که در آن فرد PD می‌تواند رضایت خود را برای پردازش غیر خودکار PD علامت‌گذاری کند، در صورت نیاز به کسب رضایت کتبی برای پردازش PD.

9.13.3.

فرم استاندارد باید به گونه ای تنظیم شود که هر یک از افراد PD موجود در سند این فرصت را داشته باشند که بدون نقض حقوق و منافع مشروع سایر افراد PD، خود را با PD موجود در سند آشنا کنند.

9.13.4.

فرم استاندارد باید ترکیبی از فیلدهای در نظر گرفته شده برای وارد کردن داده های شخصی را که اهداف پردازش آنها آشکارا ناسازگار است، حذف کند.

9.14.

ذخیره سازی PD باید به شکلی انجام شود که امکان شناسایی موضوع PD را فراهم کند، نه بیشتر از زمانی که اهداف پردازش PD لازم است، مگر اینکه دوره ذخیره سازی PD توسط قانون فدرال تعیین شده باشد، توافق نامه ای که موضوع PD مطابق آن است. یک طرف، ذینفع یا ضامن

9.15.

موارد تخریب، مسدود کردن و شفاف سازی اطلاعات شخصی:

9.16.

تخریب یا غیرشخصی بخشی از داده های شخصی، در صورتی که توسط یک رسانه ملموس مجاز باشد، می تواند به گونه ای انجام شود که از پردازش بیشتر این داده های شخصی جلوگیری کند و در عین حال امکان پردازش سایر داده های ثبت شده در یک رسانه ملموس (حذف، پاک کردن) حفظ شود.

9.17.

شفاف سازی داده های شخصی هنگام پردازش آنها بدون استفاده از ابزارهای اتوماسیون با به روز رسانی یا تغییر داده ها در یک رسانه ملموس انجام می شود و در صورتی که ویژگی های فنی رسانه فیزیکی این اجازه را نداشته باشد - با ضبط بر روی همان رسانه فیزیکی اطلاعات مربوط به تغییرات ایجاد شده در آنها یا با تولید یک رسانه جدید با PD به روز شده.

9.18.

تخریب رسانه های حاوی داده های شخصی به ترتیب زیر انجام می شود:

9.18.1.

PD روی کاغذ با استفاده از دستگاه های خردکن (خردکن اسناد) نصب شده در دفتر اپراتور از بین می رود.

9.18.2.

PD واقع در حافظه رایانه شخصی با حذف آن از حافظه رایانه شخصی از بین می رود.

9.18.3.

PD واقع بر روی فلش کارت، سی دی یا سایر رسانه های ذخیره سازی با حذف فایل از رسانه، در صورت لزوم، با اختلال در عملکرد فلش کارت یا سی دی از بین می رود.

9.19.

گزارشی در مورد تخریب محیط ذخیره سازی تهیه می شود (برای اشکال گزارش ها به ضمائم مراجعه کنید).

9.20.

دفتر، محل اپراتور، در پایان روز کاری و غیبت کارمندان در محل اداری، باید قفل باشد، پنجره ها بسته باشد، زنگ هشدار روشن شود (در صورت وجود).

9.21.

تجهیزات شبکه و سرورها باید در مکان هایی قرار گیرند که برای افراد غیرمجاز قابل دسترس نیست (در اتاق های ویژه، کابینت ها، جعبه ها).

9.22.

تمیز کردن محل و نگهداری تجهیزات فنی ISPD باید تحت کنترل افراد مسئول این اماکن و وسایل فنی با رعایت اقداماتی انجام شود که دسترسی غیرمجاز به PD، حامل های اطلاعات، نرم افزار و سخت افزار برای پردازش، انتقال و حفاظت از اطلاعات ISPD را ممنوع می کند. .

9.23.

مسئولیت‌های مدیران ISPD شامل مدیریت حساب‌های کاربری ISPD، حفظ عملکرد عادی ISPD، اطمینان از پشتیبان‌گیری از داده‌ها، و همچنین نصب و پیکربندی سخت‌افزار و نرم‌افزار ISPD غیر مرتبط با تضمین امنیت داده‌ها در ISPD است. همچنین، مسئولیت‌های مدیران ISPD شامل حصول اطمینان از انطباق رویه پردازش و تضمین امنیت PD در ISPD با الزامات محرمانه بودن، یکپارچگی و در دسترس بودن PD تحمیل‌شده بر یک ISPD خاص، و الزامات عمومی برای امنیت PD ایجاد شده توسط فدرال است. قانون گذاری.

9.24.

مسئولیت‌های مدیران ISPD همچنین شامل نصب، پیکربندی و مدیریت ابزارهای سخت‌افزاری و نرم‌افزاری برای حفاظت از اطلاعات ISPD، حسابداری و ذخیره‌سازی رسانه‌های PD ماشین، ممیزی دوره‌ای گزارش‌های امنیتی و تجزیه و تحلیل امنیت ISPD و همچنین مشارکت در تحقیقات رسمی تخلفات است. رویه تعیین شده برای پردازش و تضمین امنیت PD .

9.25.

به منظور اطمینان از توزیع اختیارات، اجرای کنترل متقابل و جلوگیری از تمرکز قدرت های حیاتی برای ایمنی داده های شخصی در یک شخص، ترکیب نقش های کاربر ISPD و مدیر ISPD در شخص یک کارمند توصیه نمی شود.

9.26.

الزامات صلاحیت و فهرست دقیق حقوق و مسئولیت های مدیران ISPD در شرح وظایف مربوطه آمده است، که کارکنان منصوب به این نقش ها باید پس از امضا با آنها آشنا باشند.

9.27.

سازماندهی کنترل داخلی فرآیند پردازش PD در اپراتور به منظور مطالعه و ارزیابی وضعیت واقعی امنیت PD، پاسخ به موقع به نقض رویه تعیین شده برای پردازش آنها و همچنین به منظور بهبود این رویه انجام می شود. و از انطباق آن اطمینان حاصل کنید.

9.28.

اقدامات برای اجرای کنترل داخلی بر روی پردازش و امنیت داده های شخصی با هدف حل وظایف زیر انجام می شود:

9.28.1.

حصول اطمینان از انطباق کارکنان اپراتور با الزامات این مقررات و مقررات حاکم بر دامنه داده های شخصی.

9.28.2.

ارزیابی شایستگی پرسنل درگیر در پردازش داده های شخصی.

9.28.3.

حصول اطمینان از عملکرد و اثربخشی وسایل فنی ISPD و وسایل حفاظت PD، مطابقت آنها با الزامات مقامات اجرایی مجاز در مورد مسائل امنیتی PD.

9.28.4.

تشخیص نقض رویه تعیین شده برای پردازش داده های شخصی و جلوگیری به موقع از عواقب منفی چنین تخلفاتی.

9.28.5.

انجام اقدامات اصلاحی با هدف از بین بردن تخلفات شناسایی شده، هم در روند پردازش PD و هم در عملیات ابزارهای فنی ISPD.

9.28.7.

اعمال کنترل داخلی بر اجرای توصیه ها و دستورالعمل ها برای رفع تخلفات.

9.29.

نتایج فعالیت‌های کنترلی در قوانین ثبت شده است و مبنایی برای توسعه توصیه‌هایی برای بهبود روش پردازش و تضمین امنیت داده‌های شخصی، نوسازی ابزارهای فنی سیستم‌های اطلاعاتی و ابزارهای حفاظت از داده‌های شخصی، آموزش و بهبود صلاحیت پرسنل درگیر در پردازش داده های شخصی.

ویژگی های مدیریت داده های شخصی کارکنان اپراتور

10.1.

این بخش حقوق و تعهدات اضافی اپراتور و کارکنان را هنگام پردازش اطلاعات شخصی کارکنان اپراتور تعیین می کند.

10.2.

اطلاعات شخصی کارکنان اطلاعاتی است که اپراتور در رابطه با روابط کار و مربوط به یک کارمند خاص مورد نیاز است.

10.3.

پردازش اطلاعات شخصی یک کارمند صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارکنان در استخدام، آموزش و ارتقاء، اطمینان از ایمنی شخصی کارکنان، نظارت بر کمیت و کیفیت کار انجام شده و اطمینان از ایمنی اموال

10.4.

اپراتور حق دریافت و پردازش اطلاعات شخصی کارمند را در مورد عضویت وی در انجمن های عمومی یا فعالیت های اتحادیه کارگری ندارد، مگر در مواردی که توسط قوانین فدرال پیش بینی شده است.

10.5.

هنگام اتخاذ تصمیماتی که بر منافع یک کارمند تأثیر می گذارد، اپراتور حق ندارد به داده های شخصی کارمند که صرفاً در نتیجه پردازش خودکار یا دریافت الکترونیکی آنها به دست آمده است اعتماد کند.

10.6.

کارکنان نباید از حقوق خود برای حفظ و حفاظت از اسرار چشم پوشی کنند.

10.7.

اپراتور متعهد می شود که اطلاعات شخصی کارمند را برای مقاصد تجاری بدون رضایت کتبی وی فاش نکند.

10.8.

اپراتور متعهد می شود که به کارکنان اپراتور و اشخاص ثالثی که اطلاعات شخصی کارمند را دریافت می کنند (با رضایت وی) هشدار دهد که این داده ها فقط می توانند برای اهدافی استفاده شوند که برای آنها ارسال شده است و از این افراد می خواهد تا تأیید کنند که این قانون رعایت شده است. افرادی که اطلاعات شخصی یک کارمند را دریافت می کنند ملزم به رعایت رژیم محرمانه (محرمانه) هستند. رژیم محرمانه با امضای توافق نامه با شخص تضمین می شود (پیوست این مقررات). این ماده در مورد تبادل اطلاعات شخصی کارکنان به روشی که توسط قانون فدراسیون روسیه تعیین شده است اعمال نمی شود.

10.9.

دسترسی به اطلاعات شخصی کارکنان بر اساس دستورات و مقررات تایید شده توسط اپراتور انجام می شود.

10.10.

اپراتور متعهد می شود که اطلاعاتی در مورد وضعیت سلامتی کارمند درخواست نکند، به استثنای اطلاعاتی که مربوط به موضوع توانایی کارمند برای انجام یک وظیفه شغلی است.

10.11.

اپراتور متعهد می شود که PD کارمند را به روشی که توسط قانون فدراسیون روسیه تعیین شده است به نمایندگان کارمند منتقل کند و این اطلاعات را فقط به آن دسته از PD کارمند که برای انجام وظایف خود برای نمایندگان مذکور ضروری است محدود کند.

10.12.

یک کارمند حق دارد نمایندگان خود را برای محافظت از اطلاعات شخصی خود تعیین کند.

مسئولیت نقض این ماده

11.1.

مدیریت اپراتور مسئول عدم اطمینان از محرمانه بودن داده های شخصی و عدم رعایت حقوق و آزادی های افراد سوژه داده های شخصی در رابطه با داده های شخصی آنها، از جمله حقوق حفظ حریم خصوصی، اسرار شخصی و خانوادگی است.

11.4.

در موارد نقض رویه تعیین شده برای پردازش و تضمین امنیت PD، دسترسی غیرمجاز به PD، افشای PD و ایجاد خسارت مادی یا دیگر به اپراتور، کارکنان، مشتریان و طرفین آن، مرتکبین متحمل مدنی، کیفری، اداری هستند. ، مسئولیت انضباطی و سایر مسئولیت های مقرر در قانون فدراسیون روسیه.

از اواخر تابستان، قانون اطلاعات شخصی در نسخه جدید لازم الاجرا شده است. قوانین به دست آوردن و حفاظت از اطلاعات تغییر کرده است. برای کارفرما، این فقط یک چیز است - اسناد اضافی. در این مقاله در مورد نحوه تنظیم مقررات مربوط به کار با داده های شخصی کارمندان و انتصاب فردی مسئول سازماندهی کار با داده های شخصی صحبت خواهیم کرد.

داده های شخصی چیست

قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 "در مورد داده های شخصی" (از این پس به عنوان قانون شماره 152-FZ نامیده می شود) تعریف می کند. اطلاعات شخصیبه عنوان هر اطلاعاتی که به طور مستقیم یا غیرمستقیم به یک فرد مربوط می شود (به موضوع داده های شخصی). این در بند 1 هنر بیان شده است. 3 قانون شماره 152-FZ.

طبق قسمت 1 هنر. 85 قانون کار، داده های شخصی یک کارمند به معنای اطلاعات مربوط به یک کارمند خاص است که برای کارفرما در رابطه با روابط کار ضروری است. ما در مورد داده هایی مانند:

• نام و نام خانوادگی؛
• تاریخ و محل تولد؛
• نشانی؛
• وضعیت خانوادگی؛
• موقعیت (حرفه)؛
• حقوق، سایر درآمدها؛
• مالکیت املاک و مستغلات، سپرده های نقدی و غیره؛
• آموزش، صلاحیت، آموزش حرفه ای، اطلاعات در مورد آموزش پیشرفته؛
• عادات و سرگرمی ها، از جمله موارد مضر (الکل، مواد مخدر و غیره)؛
• حقایق بیوگرافی و فعالیت کاری قبلی (محل کار، میزان درآمد، سابقه کیفری، خدمت سربازی، کار در مناصب انتخابی، خدمات عمومی و غیره)؛
• ویژگی های فیزیولوژیکی، سلامتی؛
• تجارت و سایر خصوصیات شخصی؛
• اطلاعات دیگر

لیست اسناد پرسنلی حاوی اطلاعات شخصی کارکنان در جدول آورده شده است. 1 در ص 76.

جدول 1. اسناد حاوی اطلاعات شخصی کارکنان

اپراتور پردازش اطلاعات شخصی

طبق قانون N 152-FZ، شخصی (حقوقی یا فردی) که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهد، ترکیب آن، اهداف پردازش و اقدامات انجام شده با داده های شخصی را تعیین می کند. اپراتور(بند 2 ماده 3 قانون شماره 152-FZ). در مورد ما، این کارفرما است.

پردازش داده های شخصی- هر عمل انجام شده با آنها. عملیات برای پردازش داده های شخصی:

• مجموعه؛
• ضبط؛
• سیستم سازی؛
• تجمع؛
• ذخیره سازی؛
• شفاف سازی (به روز رسانی، تغییر)؛
• استخراج؛
• استفاده؛
• انتقال (توزیع، تهیه، دسترسی)؛
• مسخ شخصیت؛
• مسدود کردن؛
• حذف؛
• تخریب داده های شخصی

مقررات مربوط به کار با داده های شخصی

رویه پردازش داده های شخصی توسط اپراتور ممکن است در مقررات مربوط به کار با داده های شخصی کارمندان (از این پس به عنوان مقررات) تعیین شود. هیچ شکل واحدی از سند وجود ندارد. بیایید نحوه تنظیم این سند را با در نظر گرفتن الزامات قانون N 152-FZ در نظر بگیریم. آیین نامه از چند بخش تشکیل شده است. آنها در جدول ارائه شده اند. 2. همچنین به طور مختصر اطلاعاتی را که بخش ها باید در بر گیرند نشان می دهد. اطلاعات دقیق در بخشی از مقررات مربوط به اطلاعات شخصی کارکنان ارائه شده است که در صفحه ارائه شده است. 80.

جدول 2. ساختار مقررات مربوط به اطلاعات شخصی کارکنان

بخشی از مقررات مربوط به اطلاعات شخصی کارکنان

معرفی مقررات لازم الاجرا

آیین نامه مربوط به داده های شخصی به تصویب رئیس شرکت می رسد و به دستور سازمان اجرایی می شود (نمونه در ص 90 آمده است). ثبت تایید آیین نامه باید در ثبت مقررات محلی ثبت شود.

اگر اتحادیه کارگری وجود داشته باشد

اگر شرکت دارای اتحادیه صنفی باشد، مقررات باید با آن موافقت شود. برای انجام این کار، پیش نویس مقررات به هیئت منتخب اتحادیه کارگری ارسال می شود (ماده 372 قانون کار فدراسیون روسیه). وی باید حداکثر پنج روز کاری از تاریخ دریافت پروژه نظر خود را (به صورت کتبی) اعلام کند. اگر اتحادیه با پروژه موافق نباشد یا پیشنهادهایی برای بهبود آن داشته باشد، اداره دو راه دارد. اولین مورد موافقت است. دوم انجام رایزنی های تکمیلی با اتحادیه کارگری ظرف سه روز پس از دریافت نظر مستدل به منظور دستیابی به راه حل قابل قبول طرفین. اگر این کمکی نکرد، باید یک پروتکل اختلاف تنظیم شود. پس از این، اداره حق دارد بدون در نظر گرفتن خواسته های اتحادیه، مقررات را تصویب کند. با این حال، او می تواند از مقررات درخواست تجدید نظر کند یا روند اختلاف کار جمعی را به روشی که در فصل مقرر شده آغاز کند. 61 قانون کار.

آشنایی کارکنان با مقررات

کارمندان باید با مقررات ضد امضا (بند 8 ماده 86 قانون کار فدراسیون روسیه) آشنا باشند. این واقعیت قابل ثبت است:

• در متن قرارداد کار برای هر کارمند (فهرست مقررات محلی که کارمند قبل از امضای قرارداد با آن آشنا است)؛
• - برگه ای برای آشنایی با مقررات (نمونه در صفحه 91).
• - دفترچه ای برای آشنایی کارکنان با مقررات محلی (نمونه در ص 91).

برگه نمونه برای آشنایی با مقررات محلی

بخشی از گزارش معرفیآئین نامهدر مورد داده های شخصی

توجه داشته باشید. دوره ذخیره سازی داده های شخصی

مقررات محلی (مقررات، دستورالعمل ها) در مورد داده های شخصی باید به طور دائم ذخیره شوند. در مورد اظهارات رضایت کارکنان برای پردازش داده ها (در شماره های آینده مورد بحث قرار خواهد گرفت) و سایر اسناد کارمند، آنها به مدت 75 سال ذخیره می شوند. این در فهرست تأیید شده توسط وزارت فرهنگ روسیه مورخ 25 اوت 2010 N 558 آمده است.

مسئولیت اداری

اقدامات مسئولیت اداری (بیشتر جریمه ارائه می شود، رد صلاحیت در این مورد اعمال نمی شود) برای یک شرکت و مقامات آن به دلیل نقض رویه دریافت، پردازش، ذخیره و حفاظت از داده های شخصی کارکنان در جدول آورده شده است. 3.

جدول 3. مسئولیت نقض رویه به دست آوردن، پردازش، ذخیره و حفاظت از داده های شخصی کارکنان