Instruksi untuk pemrosesan data pribadi ini (selanjutnya disebut Instruksi) dikembangkan sesuai dengan Undang-Undang Federal tanggal 27 Juli 2006. 152-FZ “Tentang Data Pribadi”. Instruksi ini menjelaskan prosedur pemrosesan data pribadi dan langkah-langkah untuk memastikan keamanan data pribadi di CardsProService LLC untuk melindungi hak dan kebebasan individu dan warga negara saat memproses data pribadi mereka, termasuk perlindungan hak privasi, pribadi dan keluarga rahasia.

1. SYARAT DAN DEFINISI

1) Informasi pribadi- informasi apa pun yang berkaitan dengan individu yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung (subjek data pribadi);

2) Operator (Pelanggan) - badan negara, badan kota, badan hukum atau individu, secara mandiri atau bersama-sama dengan orang lain yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan pemrosesan data pribadi, komposisi data pribadi yang akan diproses , tindakan (operasi) yang dilakukan dengan data pribadi;

3) Pemrosesan data pribadi- setiap tindakan (operasi) atau serangkaian tindakan (operasi) yang dilakukan dengan menggunakan alat otomatisasi atau tanpa menggunakan cara tersebut dengan data pribadi, termasuk pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, pemusnahan data pribadi;

4) Pemrosesan data pribadi secara otomatis- pemrosesan data pribadi menggunakan teknologi komputer;

5) Penyebaran data pribadi- tindakan yang bertujuan untuk mengungkapkan data pribadi kepada orang dalam jumlah tidak terbatas;

6) Memberikan data pribadi- tindakan yang bertujuan untuk mengungkapkan data pribadi kepada orang tertentu atau sekelompok orang tertentu;

7) Memblokir data pribadi- penghentian sementara pemrosesan data pribadi (kecuali jika pemrosesan diperlukan untuk mengklarifikasi data pribadi);

8) Penghancuran data pribadi- tindakan yang mengakibatkan pemulihan konten data pribadi dalam sistem informasi data pribadi menjadi tidak mungkin dan (atau) akibatnya media material data pribadi dimusnahkan;

9) Orang yang berwenang dari Pelanggan- orang yang bertindak sesuai dengan kesepakatan
kerahasiaan ditutup dengan Pelanggan.

10) TENTANGdepersonalisasi data pribadi- tindakan yang mengakibatkan tidak mungkin untuk menentukan kepemilikan data pribadi pada subjek data pribadi tertentu tanpa menggunakan informasi tambahan;

11) Sistem informasi data pribadi- totalitas data pribadi yang terdapat dalam database dan teknologi informasi serta sarana teknis yang memastikan pemrosesannya;

12) Transfer data pribadi lintas batas- transfer data pribadi ke
wilayah suatu negara asing kepada penguasa negara asing, orang perseorangan asing, atau badan hukum asing;

13) Pelaksana- CardsProService LLC (123610, Moskow, tanggul Krasnopresnenskaya, gedung 12, gedung perkantoran 1, Id kamar, kamar 42; OGRN 1157746550070).

2. PERINTAH PENGOLAHAN DATA PRIBADI

2.1. Pelanggan, sebagai Operator data pribadi, sesuai dengan ayat 3 Seni. 6 Undang-Undang Federal 27 Juli 2006 No. 152-FZ “Tentang Data Pribadi”, menginstruksikan, dan Kontraktor berjanji untuk memproses data pribadi subjek, untuk kepentingan Pelanggan dan sesuai dengan
Perjanjian Pengguna.

3. TATA CARA INTERAKSI PARA PIHAK

3.1. Dasar bagi Kontraktor untuk memproses data pribadi subjek yang dilakukan untuk kepentingan Pelanggan adalah Perjanjian Pengguna.

3.2. Prosedur pengorganisasian pengumpulan persetujuan subjek data pribadi untuk pemrosesan dan transfer data pribadi mereka, serta tujuan pemrosesan data pribadi, komposisi data pribadi yang akan diproses, tindakan (operasi) yang dilakukan dengan data pribadi:

3.2.1. Tujuan pemrosesan data pribadi.

Pemrosesan data pribadi dipercayakan untuk tujuan pelaksanaan program loyalitas.

3.2.2. Daftar data pribadi, yang pengolahannya dipercayakan kepada Kontraktor

• Nama lengkap;
• Tempat, tahun dan tanggal lahir;
• Nomor kontak;
• Alamat pendaftaran;
• Alamat tempat tinggal sebenarnya (tinggal);
• Data paspor (seri, nomor paspor, oleh siapa dan kapan diterbitkan);
• Nomor telepon (rumah, kantor, ponsel).

• Pengumpulan data pribadi.
• Sistematisasi data pribadi.
• Akumulasi data pribadi.
• Penggunaan data pribadi untuk pelaksanaan program loyalitas dan komunikasi dengan subjek data pribadi.
• Penyimpanan data pribadi.
• Klarifikasi (memperbarui, mengubah) data pribadi:
  
  
• Ekstraksi (pembongkaran) - atas instruksi tertulis tambahan dari Pelanggan.
• Depersonalisasi data pribadi:
  -
  - atas permintaan sah subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan;
  - atas permintaan otoritas pengatur negara untuk perlindungan hak subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan.
• Memblokir data pribadi:
  - atas instruksi tertulis tambahan dari Pelanggan;
  - atas permintaan sah subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan;
  - atas permintaan otoritas pengatur negara untuk perlindungan hak subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan.
• Menghapus data pribadi:
  - atas instruksi tertulis tambahan dari Pelanggan;
  - atas permintaan sah subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan;
  - atas permintaan otoritas pengatur negara untuk perlindungan hak subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan.
• Pemusnahan data pribadi - atas instruksi tertulis tambahan dari Pelanggan.

Pemrosesan data pribadi harus dibatasi pada pencapaian tujuan yang spesifik, telah ditentukan sebelumnya, dan sah. Pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi tidak diperbolehkan.
Tidak diperbolehkan menggabungkan database yang berisi data pribadi, yang pengolahannya dilakukan untuk tujuan yang tidak sesuai satu sama lain.
Hanya data pribadi yang memenuhi tujuan pemrosesannya yang dapat diproses.
Konten dan volume data pribadi yang diproses harus sesuai dengan tujuan pemrosesan yang dinyatakan. Data pribadi yang diproses tidak boleh berlebihan sehubungan dengan tujuan pemrosesannya.
Saat memproses data pribadi, keakuratan data pribadi, kecukupannya, serta relevansinya dengan tujuan pemrosesan data pribadi harus dipastikan.
Penyimpanan data pribadi harus dilakukan dalam bentuk yang memungkinkan identifikasi subjek data pribadi, tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi, kecuali ditentukan lain oleh ketentuan kontrak. Data pribadi yang diproses dapat dimusnahkan atau didepersonalisasi setelah mencapai tujuan pemrosesan atau jika kebutuhan untuk mencapai tujuan ini hilang, kecuali ditentukan lain oleh ketentuan kontrak.

3.2.5. Organisasi perlindungan data pribadi

Objek perlindungan

• informasi yang berisi data pribadi subjek;
• media komputer yang memuat data pribadi subjek;
• sistem informasi data pribadi;
• data pribadi subjek yang terdapat dalam database elektronik sistem informasi data pribadi.

Untuk menjamin keamanan data pribadi, Kontraktor harus mengambil langkah-langkah berikut:

• Tindakan hukum, organisasi, dan teknis yang diperlukan atau memastikan penerapannya untuk melindungi data pribadi dari akses, penghancuran, modifikasi, pemblokiran, penyalinan, penyediaan, distribusi data pribadi yang tidak sah atau tidak disengaja, serta dari tindakan melanggar hukum lainnya sehubungan dengan data pribadi.
• Memberikan akses kepada karyawan Kontraktor ke data pribadi yang diproses atas nama Pelanggan, setelah mereka menandatangani Kewajiban Kerahasiaan Data Pribadi, mempelajari persyaratan Pelanggan untuk prosedur pemrosesan dan perlindungan data pribadi, peraturan setempat yang mengatur prosedur untuk mengatur dan memastikan perlindungan data pribadi dan menjalani pelatihan tentang tata cara penanganan data pribadi.
• Identifikasi ancaman terhadap keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi.
• Penerapan langkah-langkah organisasi dan teknis untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi yang diperlukan untuk memenuhi persyaratan perlindungan data pribadi, yang penerapannya menjamin tingkat keamanan data pribadi yang ditetapkan oleh Pemerintah Negara. Federasi Rusia.
• Menilai efektivitas langkah-langkah yang diambil untuk menjamin keamanan data pribadi sebelum mengoperasikan sistem informasi data pribadi.
• Akuntansi media penyimpanan komputer untuk data pribadi.
• Deteksi fakta akses tidak sah ke data pribadi dan pengambilan tindakan.
• Pemulihan data pribadi yang diubah atau dimusnahkan karena akses tidak sah ke data tersebut.
• Menetapkan aturan untuk akses ke data pribadi yang diproses dalam sistem informasi data pribadi, serta memastikan pendaftaran dan pencatatan semua tindakan yang dilakukan dengan data pribadi dalam sistem informasi data pribadi.
• Memantau langkah-langkah yang diambil untuk menjamin keamanan data pribadi dan tingkat keamanan sistem informasi data pribadi.

Pemusnahan data pribadi subjek hanya dapat dilakukan oleh Kontraktor:

• atas instruksi tertulis tambahan dari Pelanggan;
• atas permintaan sah subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan;
• atas permintaan otoritas pengatur negara untuk perlindungan hak subjek data pribadi, dengan pemberitahuan tertulis wajib kepada Pelanggan.

3.2.8. Prosedur untuk menghentikan pemrosesan data pribadi

Penghentian pemrosesan data pribadi dilakukan:

• dalam hal pemutusan hubungan kontraktual yang menjadi dasar pemrosesan data pribadi;
• atas instruksi tertulis tambahan dari Pelanggan;
• dengan perintah tertulis dari otoritas pengatur pemerintah.

4. HAK DAN KEWAJIBAN PARA PIHAK

4.1. Pelanggan melakukan:

4.1.1. Jika subjek data pribadi menarik persetujuan untuk pemrosesan data pribadi dan tidak ada alasan yang ditentukan dalam paragraf 2 - 11 bagian 1 pasal 6, bagian 2 pasal 10 dan bagian 2 pasal 11 Undang-Undang Federal 27 Juli , 2006 No. 152-FZ “Tentang data pribadi" memungkinkan pemrosesan
data pribadi tanpa persetujuan subjek, mengirimkan perintah tertulis kepada Kontraktor untuk melakukan pekerjaan menghapus atau mendepersonalisasi data pribadi subjek.

4.1.2. Setelah menerima permintaan dari subjek data pribadi untuk memberikan informasi yang ditentukan dalam Bagian 7 Pasal 14 Undang-Undang Federal 27 Juli 2006 No. 152-FZ “Tentang Data Pribadi”, atau tuntutan subjek untuk klarifikasi data pribadinya, pemblokiran atau pemusnahannya dalam hal , jika data pribadi tidak lengkap, ketinggalan jaman, tidak akurat, diperoleh secara ilegal atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan, mengirimkan perintah tertulis kepada Kontraktor untuk
memberikan informasi atau melakukan tindakan tertentu dengan data pribadi subjek.

4.2. Kontraktor melakukan:

4.2.1. Memproses data pribadi secara legal, sesuai dengan ketentuan Instruksi ini.

4.2.2. Atas permintaan tertulis pertama Pelanggan, transfer (pengembalian) basis data pribadi yang diproses atas namanya dengan cara yang ditentukan dalam permintaan.

4.2.4. Atas permintaan badan yang berwenang untuk melindungi hak-hak subjek data pribadi, memberikan bukti penerimaan persetujuan subjek data pribadi yang dikumpulkan dalam kerangka Instruksi ini untuk pemrosesan data pribadi mereka atau bukti keberadaannya. alasan yang ditentukan dalam paragraf 2 - 11 bagian 1 pasal 6, bagian 2 pasal 10 dan bagian 2 Pasal 11 Undang-Undang Federal 27 Juli 2006 No. 152-FZ “Tentang Data Pribadi”, yang mengizinkan pemrosesan data pribadi data tanpa persetujuan subjek.

Sesuai dengan Bagian 2 Seni. 85 Kode Perburuhan Federasi Rusia pemrosesan data pribadi karyawan - ini adalah penerimaan, penyimpanan, kombinasi, transfer, atau penggunaan lain apa pun atas data pribadi karyawan.

Pemrosesan data pribadi karyawan dapat dilakukan semata-mata untuk tujuan memastikan kepatuhan terhadap undang-undang dan peraturan lainnya, membantu karyawan dalam pekerjaan, pelatihan dan promosi, menjamin keamanan modal, serta memantau kuantitas dan kualitas pekerjaan. ia melakukan dan memastikan keamanan properti (klausul 1 pasal 86 Kode Perburuhan Federasi Rusia).

Menurut paragraf 3 Seni. 3 Undang-Undang Federal “Tentang Data Pribadi”, pemrosesan data pribadi adalah tindakan (operasi) dengan data pribadi, termasuk pengumpulan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), penggunaan, distribusi (termasuk transfer), depersonalisasi , pemblokiran, penghancuran data pribadi. Perlu diingat bahwa terlepas dari jumlah operasi fungsional yang tercantum dalam undang-undang, peraturan hukum harus mencakup semua tahap pemrosesan data pribadi - mulai dari penerimaan hingga pemusnahan, tanpa pengecualian atau pengecualian apa pun.

Prinsip-prinsip pemrosesan data pribadi antara lain sebagai berikut:

• legalitas tujuan dan cara pengolahan serta keadilan;
• kepatuhan tujuan pemrosesan dengan tujuan yang telah ditentukan dan dinyatakan saat mengumpulkan data pribadi, serta dengan wewenang operator;
• kesesuaian volume dan sifat data yang diproses, metode pemrosesan dengan tujuan pemrosesannya;
• keandalan data pribadi, kecukupannya untuk tujuan pemrosesan, tidak dapat diterimanya pemrosesan data pribadi yang tidak terkait dengan tujuan yang dinyatakan saat pengumpulan data;
• tidak dapat diterimanya penggabungan database sistem informasi data pribadi yang dibuat untuk tujuan yang tidak sesuai.

Pemrosesan data pribadi karyawan dimulai dengan penerimaannya. Sebagai aturan umum, semua data pribadi harus diperoleh dari karyawan itu sendiri. Dalam kasus luar biasa, ketika data pribadi karyawan hanya dapat diperoleh dari pihak ketiga, karyawan tersebut harus diberitahu terlebih dahulu mengenai hal ini dan persetujuan tertulis harus diperoleh darinya. Majikan wajib memberitahukan kepada pekerja tentang tujuan, sumber dan cara memperoleh data pribadi, serta sifat data pribadi yang akan diterima dan akibat penolakan pekerja untuk memberikan persetujuan tertulis untuk menerimanya (Klausul 3 Pasal 86 Kode Perburuhan Federasi Rusia). Namun, pemberi kerja tidak berhak menerima dan memproses data pribadi karyawan tentang politik, agama, dan keyakinan lainnya serta kehidupan pribadinya (Klausul 4, Pasal 86 Kode Perburuhan Federasi Rusia). Selain itu, pemberi kerja tidak dapat meminta informasi tentang status kesehatan pekerja jika hal ini tidak berkaitan dengan masalah kemampuan pekerja untuk melakukan fungsi ketenagakerjaan (Pasal 88 Kode Perburuhan Federasi Rusia).

Kode Perburuhan Federasi Rusia memberlakukan persyaratan tertentu pada organisasi dan teknologi pemrosesan data pribadi oleh pemberi kerja. Kewajiban untuk membiasakan karyawan dan perwakilan mereka, dengan tanda tangan, dengan dokumen pemberi kerja yang menetapkan prosedur pemrosesan data pribadi karyawan, serta hak dan tanggung jawab mereka di bidang ini, memerlukan pengembangan dan adopsi tindakan hukum peraturan lokal yang sesuai. . Tindakan semacam itu, tergantung pada aktivitas spesifik dan kebijaksanaan pemberi kerja, dapat disebut peraturan atau instruksi dan, sebagai suatu peraturan, mencakup bagian-bagian berikut:

• konsep dan ketentuan dasar;
• pemrosesan data pribadi karyawan;
• pembuatan data pribadi karyawan;
• pencatatan, penyimpanan dan pemindahan data pribadi pegawai;
• hak dan kewajiban karyawan di bidang pengolahan dan perlindungan data pribadinya.

Tindakan hukum peraturan setempat tersebut menentukan rezim kerahasiaan (akses terbatas) data pribadi karyawan di perusahaan tertentu. Karyawan pemberi kerja yang menerima data pribadi karyawan tersebut diharuskan untuk mematuhi aturan ini, yang harus ditunjukkan tidak hanya dalam uraian tugas mereka, tetapi juga dalam kontrak kerja yang dibuat dengan mereka. Peraturan (instruksi) tentang perlindungan data pribadi adalah dokumen utama yang mencerminkan kekhususan pemrosesan dan transfer data pribadi karyawan dalam organisasi tertentu, untuk pengusaha perorangan tertentu. Jika terdapat komponen otomatis dalam aktivitas ini, pemberi kerja tidak berhak mengambil keputusan mengenai karyawan tersebut berdasarkan data pribadi yang diperoleh semata-mata sebagai hasil pemrosesan otomatis atau tanda terima elektronik (klausul 6, pasal 86 Kode Perburuhan). Federasi Rusia). Pemberi kerja tidak boleh dibatasi untuk mengadopsi ketentuan tentang perlindungan data pribadi karyawan di organisasinya. Namun, kehadiran undang-undang lokal ini bersifat wajib, dan ketidakhadiran undang-undang tersebut dianggap oleh inspektorat ketenagakerjaan negara bagian sebagai pelanggaran serius terhadap undang-undang ketenagakerjaan.

Untuk pelanggaran ini dan pelanggaran lain terhadap aturan yang mengatur penerimaan, pemrosesan, dan karyawan, pemberi kerja dapat membawa pelakunya ke tanggung jawab materiil dan disipliner, dan badan pemerintah terkait ke tanggung jawab perdata, administratif, dan pidana.

Semua organisasi mengumpulkan, menyimpan, dan menggunakan informasi tentang karyawannya. Informasi pribadi kini bernilai tinggi, dan ketika jatuh ke tangan penipu, informasi tersebut menjadi sarana untuk melakukan kejahatan. Dalam artikel ini kami akan memberi tahu Anda bagaimana dan untuk tujuan apa perusahaan memproses data pribadi dan apakah mereka harus mendapatkan izin karyawan untuk melakukannya.

Apa itu pemrosesan data pribadi

Konsep “pemrosesan data pribadi” mencakup segala tindakan yang dilakukan oleh operator dengan informasi individu. Diantara mereka:

1. koleksi;
2. klarifikasi;
3. sistematisasi;
4. penggunaan;
5. penghapusan;
6. penyimpanan.

Semua organisasi dan perusahaan adalah operator data pribadi karena mereka memprosesnya. Dalam seni. 22 UU No. 152-FZ memberikan dasar hukum pemrosesan data pribadi. Berdasarkan teks artikel, pemberi kerja berhak mengambil tindakan terhadap informasi pribadi karyawan tanpa memberi tahu otoritas Roskomnadzor tentang niat tersebut.

Beberapa metode digunakan untuk melakukan tindakan dengan informasi pribadi. Pemrosesan data pribadi secara otomatis sedang diproses di komputer. Metode non-otomatis melibatkan penggunaan media kertas. Saat ini, dalam banyak kasus, pemrosesan campuran digunakan, yang menggabungkan elemen pemrosesan otomatis dan manual.

Tujuan pemrosesan data pribadi di perusahaan

Tujuan pemrosesan data pribadi dalam organisasi berikut ini dibedakan:

1. Penutupan, pelaksanaan dan pemutusan kontrak hukum perdata dengan warga negara, badan hukum, pengusaha perorangan dan orang lain dalam situasi yang ditentukan oleh undang-undang dan Piagam perusahaan.
2. Organisasi catatan personel organisasi, memastikan kepatuhan terhadap hukum, kesimpulan dan pemenuhan kewajiban berdasarkan kontrak kerja dan hukum perdata.
3. Melakukan pencatatan kepegawaian, membantu karyawan dalam pekerjaan, pelatihan dan promosi, serta menggunakan tunjangan.
4. Kepatuhan terhadap persyaratan undang-undang perpajakan tentang penghitungan dan pembayaran pajak penghasilan pribadi dan pajak sosial terpadu, undang-undang pensiun dalam pembentukan dan transfer ke Dana Pensiun data yang dipersonalisasi tentang setiap penerima penghasilan, yang diperhitungkan saat menghitung iuran untuk asuransi pensiun wajib.
5. Mengisi dokumentasi statistik utama sesuai dengan Ketenagakerjaan, Kode Pajak dan undang-undang federal.

Apa yang dimaksud dengan persetujuan untuk pemrosesan data pribadi

Seiring dengan penyediaan dokumen-dokumen yang diperlukan ketika membuat kontrak kerja, persetujuan karyawan untuk pemrosesan data pribadi karyawan ditandatangani. Menurut Seni. 3 Undang-Undang Federal No. 152, data tersebut mencakup semua informasi tentang seseorang - mulai dari nama depan dan belakang hingga entri di buku kerja.

Data pribadi dibagi menjadi 3 kategori:

• Publik- data pribadi dasar, termasuk nama lengkap, jenis kelamin, tanggal dan tempat lahir.
• Biometrik- informasi tentang penampilan dan beberapa ciri fisiologis, jika ditentukan secara visual.
• Spesial- kebangsaan, agama, status kesehatan, catatan kriminal, sebagian - informasi tentang pekerjaan (alasan pemecatan, dll).

Data pribadi bersifat rahasia (kecuali data yang tersedia untuk umum), sehingga perlu mendapatkan persetujuan orang tersebut untuk memprosesnya.

Masa berlaku persetujuan untuk pemrosesan data pribadi adalah wajib. Momen berakhirnya dapat berupa tanggal tertentu atau peristiwa tertentu, termasuk penarikan persetujuan karyawan. Persyaratan ini ditentukan dalam paragraf 4 Seni. 9 Undang-undang Federal No.152.

Dalam kasus apa persetujuan diperlukan untuk pemrosesan data pribadi?

Persetujuan diperlukan untuk pemrosesan data khusus dan biometrik. Informasi yang tersedia untuk umum dapat digunakan secara bebas, kecuali bertentangan dengan hukum, serta standar moralitas dan etika yang berlaku umum.

Situasi ketika persetujuan untuk pemrosesan data pribadi tidak diperlukan

Pengecualian adalah kasus-kasus ketika suatu kasus pidana sedang diselidiki dan sedang dilakukan kegiatan pencarian operasional. Data biometrik mungkin diperlukan untuk menetapkan identitas jika seseorang tidak memiliki dokumen. Dalam situasi seperti itu, persetujuan terhadap pemrosesan informasi pribadi tidak diperlukan.

Contoh formulir persetujuan dan deskripsi dokumen

Permohonan persetujuan untuk pemrosesan informasi pribadi diajukan kepada pimpinan organisasi secara tertulis. Header dokumen menunjukkan:

1. jabatan pengurus dan nama organisasi yang dipimpinnya;
2. Nama lengkap pimpinan;
3. posisi karyawan;
4. Nama lengkap pegawai;
5. tanggal;
6. tempat kompilasi.

Contoh teks dokumen adalah sebagai berikut:
“Dengan pernyataan ini, saya mengonfirmasi persetujuan saya terhadap pengumpulan, pemrosesan, penggunaan, dan penyimpanan data pribadi saya sejauh yang diperlukan untuk memastikan hak-hak tenaga kerja dan sosial saya, pembayaran pajak yang ditetapkan, biaya dan pembayaran wajib lainnya, pengurangan kontribusi wajib untuk dana negara dan untuk keperluan lain, yang timbul dari perburuhan dan hubungan hukum terkait antara saya dan majikan dalam kerangka peraturan perundang-undangan yang berlaku. Majikan berhak memberikan data pribadi saya kepada pihak ketiga hanya dalam kasus yang ditetapkan oleh hukum.”
Karyawan tersebut membubuhkan tanda tangannya di bawah teks lamaran.

Apakah mungkin untuk menolak pemrosesan data pribadi dari sudut pandang hukum?

Menurut undang-undang, penolakan persetujuan terhadap pemrosesan data pribadi tidak menimbulkan akibat hukum. Di Bagian 1 Seni. 9 Undang-undang Federal No. 152 menyatakan bahwa persetujuan itu sendiri diungkapkan secara bebas dan sukarela.

Bagian 5 Seni. 6 undang-undang yang sama mengizinkan tidak adanya persetujuan untuk pemrosesan informasi pribadi jika hal ini diperlukan untuk pelaksanaan kontrak, termasuk kontrak kerja. Oleh karena itu, pemberi kerja, dalam menjalankan tugasnya, dapat memproses data pribadinya demi kepentingan karyawan tanpa memperoleh persetujuan. Hal ini hanya berlaku bagi karyawan yang sudah masuk dalam daftar gaji. Tidak mungkin mempekerjakan seseorang jika dia menolak memproses data pribadi. Dalam hal ini, kontrak kerja belum selesai. Karena dokumen ini tidak ada, maka pemberi kerja tidak mempunyai kewajiban untuk memenuhinya.

Terkadang menolak memproses informasi pribadi dapat menimbulkan konsekuensi negatif. Jika perusahaan memiliki peraturan izin, maka dalam keadaan seperti itu karyawan tidak akan dapat menerbitkan atau mengganti izin - tindakan tersebut akan melampaui cakupan tujuan resmi. Oleh karena itu, kurangnya persetujuan akan menyebabkan ketidakmungkinan menjalankan fungsi ketenagakerjaan.

Ajukan pertanyaan di komentar artikel dan dapatkan jawaban dari spesialis

Peraturan tentang pemrosesan dan perlindungan data pribadi menetapkan prosedur pengumpulan, akumulasi, penyimpanan, penggunaan, penghapusan, dll. informasi yang berisi informasi tentang karyawan perusahaan. Dokumen tersebut harus menjelaskan tata cara pengalihan PD kepada pihak ketiga, ciri-ciri pemrosesan PD secara otomatis dan non-otomatis, tata cara mengakses PD, tata cara penyelenggaraan pengendalian internal, dan tanggung jawab atas pelanggaran selama pemrosesan PD.

Cara menyusun peraturan tentang pengolahan dan perlindungan data pribadi

Dokumen tersebut sedang dikembangkan sesuai dengan undang-undang Federasi Rusia tentang data pribadi dan dokumen peraturan dan metodologi badan eksekutif kekuasaan negara tentang masalah keamanan PD ketika diproses dalam sistem informasi PD.

Peraturan Perlindungan Data Pribadi biasanya terdiri dari 11 bagian:

1. Ketentuan umum.
2. Maksud dan tujuan pengolahan PD.
3. Data pribadi yang diproses di ISPD (nama lengkap, tanggal lahir, nomor telepon kontak, alamat pendaftaran, alamat tempat tinggal sebenarnya).
4. Akses ke PD.
5. Persyaratan dasar untuk perlindungan data pribadi.
6. Persetujuan untuk pemrosesan PD.
7. Hak subjek sehubungan dengan data pribadi yang diproses oleh operator.
8. Hak dan kewajiban penyelenggara ISPDn.
9. Prosedur untuk memproses dan melindungi data pribadi.
10. Keunikan pemrosesan data pribadi karyawan operator.
11. Tanggung jawab atas pelanggaran ketentuan ini.

Ketentuan mengenai pemrosesan dan perlindungan data pribadi berlaku untuk semua proses pengumpulan, sistematisasi, akumulasi, penyimpanan, klarifikasi, penggunaan, distribusi (termasuk transfer), depersonalisasi, pemblokiran, pemusnahan data pribadi, yang dilakukan dengan menggunakan alat otomatisasi dan tanpa alat tersebut. menggunakan.

Subyek data pribadi

Mata pelajaran PD meliputi:

• Karyawan operator.
• Calon pekerja.
• Klien (konsumen jasa operator).
• Pengusaha perorangan adalah rekanan operator.
• Klien organisasi, rekanan operator (melayani klien korporat).
• Individu lain yang data pribadinya diproses oleh Operator.

Ketentuan mengenai pengolahan dan perlindungan data pribadi ini mulai berlaku sejak disetujui dan berlaku sampai batas waktu yang tidak ditentukan sampai dengan ketentuan yang baru. Semua karyawan organisasi harus mengetahui dokumen ini tanpa tanda tangan.

Peraturan tentang pemrosesan dan perlindungan data pribadi

Ketentuan umum

1.1.

Peraturan ini telah dikembangkan sesuai dengan undang-undang Federasi Rusia tentang data pribadi (selanjutnya disebut PD) dan dokumen peraturan dan metodologi badan eksekutif kekuasaan negara tentang masalah keamanan PD ketika diproses dalam sistem informasi PD (selanjutnya disebut sebagai sebagai ISPD).

1.2.

Untuk keperluan Peraturan ini, istilah-istilah berikut digunakan:

data pribadi (PD) - informasi apa pun yang berkaitan dengan individu yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung (subjek PD);

operator - badan negara, badan kota, badan hukum atau individu yang, secara mandiri atau bersama-sama dengan orang lain, mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan pemrosesan data pribadi, komposisi data pribadi data yang akan diproses, tindakan (operasi) yang dilakukan dengan data pribadi;

Pemrosesan PD - setiap tindakan (operasi) atau serangkaian tindakan (operasi) yang dilakukan dengan menggunakan alat otomatisasi atau tanpa menggunakan alat tersebut dengan PD, termasuk pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan , transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran data pribadi;

pemrosesan otomatis data pribadi - pemrosesan data pribadi menggunakan teknologi komputer;

distribusi data pribadi - tindakan yang bertujuan untuk mengungkapkan data pribadi kepada orang dalam jumlah tidak terbatas;

penyediaan PD - tindakan yang bertujuan untuk mengungkapkan PD kepada orang tertentu atau kalangan tertentu;

Pemblokiran PD - penghentian sementara pemrosesan PD (kecuali jika pemrosesan diperlukan untuk memperjelas PD);

pemusnahan PD - tindakan yang mengakibatkan tidak mungkinnya memulihkan isi PD dalam ISPD dan/atau mengakibatkan musnahnya media material PD;

Depersonalisasi PD - tindakan yang mengakibatkan tidak mungkin untuk menentukan kepemilikan PD pada subjek PD tertentu tanpa menggunakan informasi tambahan;

sistem informasi data pribadi (PDIS) - seperangkat teknologi informasi dan sarana teknis yang terkandung dalam database PD dan memastikan pemrosesannya;

transfer data pribadi lintas batas - transfer data pribadi ke wilayah negara asing ke otoritas negara asing, individu asing, atau badan hukum asing.

1.3.

Peraturan ini mengatur tata cara dan syarat-syarat pengolahan PD di (selanjutnya disebut Penyelenggara), meliputi tata cara pengalihan PD kepada pihak ketiga, ciri-ciri pengolahan PD secara otomatis dan non-otomatis, tata cara mengakses PD, PD. sistem perlindungan, tata cara penyelenggaraan pengendalian internal dan pertanggungjawaban atas pelanggaran selama pemrosesan PD, pertanyaan lain.

1.4.

Peraturan ini berlaku untuk semua proses pengumpulan, sistematisasi, akumulasi, penyimpanan, klarifikasi, penggunaan, distribusi (termasuk transfer), depersonalisasi, pemblokiran, pemusnahan data pribadi, yang dilakukan dengan menggunakan alat otomatisasi dan tanpa penggunaannya.

1.5.

Peraturan ini mulai berlaku sejak disetujui oleh Penyelenggara dan berlaku sampai batas waktu tertentu sampai diganti dengan Peraturan baru.

1.6.

Segala perubahan Peraturan dilakukan berdasarkan perintah.

1.7.

Semua karyawan Operator harus memahami Peraturan ini setelah ditandatangani.

Maksud dan tujuan pengolahan PD

2.1.

Pemrosesan data pribadi harus dibatasi untuk mencapai tujuan spesifik, yang telah ditentukan sebelumnya, dan sah. Pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi tidak diperbolehkan.

2.2.

Tidak diperbolehkan menggabungkan database yang berisi data pribadi, yang pengolahannya dilakukan untuk tujuan yang tidak sesuai satu sama lain.

2.3.

Hanya data pribadi yang memenuhi tujuan pemrosesannya yang dapat diproses.

2.4.

2.5.

Pemrosesan data pribadi karyawan Operator dapat dilakukan semata-mata untuk tujuan memastikan kepatuhan terhadap undang-undang dan peraturan lainnya, membantu karyawan dalam pekerjaan, pelatihan dan promosi, memastikan keselamatan pribadi karyawan, memantau kuantitas dan kualitas pekerjaan yang dilakukan dan memastikan keamanan properti Operator.

2.6.

Tujuan utama pemrosesan PD adalah:

Tujuan tambahan untuk memproses data pribadi adalah: .

2.7.

ISPDn memberikan solusi untuk tugas-tugas berikut: .

Data pribadi diproses di ISPDn

3.1.

ISPD memproses data pribadi dari subjek data pribadi berikut:

3.1.1.

karyawan operator;

3.1.2.

klien (konsumen jasa Penyelenggara);

3.1.3.

pengusaha perorangan - rekanan dari Operator;

3.1.4.

klien organisasi, rekanan Operator (melayani klien korporat);

3.2.

Daftar ini dapat direvisi jika diperlukan.

3.3.

Data pribadi subjek PD meliputi:

3.4.

Daftar lengkap data pribadi yang diproses dibentuk dalam daftar data pribadi yang dilindungi dalam sistem informasi Penyelenggara.

Akses ke data pribadi

4.1.

Karyawan Operator yang, karena tugas resminya, terus-menerus bekerja dengan data pribadi, menerima akses ke kategori data pribadi yang diperlukan selama pelaksanaan tugas resminya masing-masing berdasarkan daftar orang yang berwenang untuk bekerja dengan data pribadi, yang disetujui oleh Kepala Penyelenggara. Daftar ini disusun berdasarkan Konsep Keamanan Informasi dan Kebijakan Keamanan Informasi.

4.2.

Daftar orang yang memiliki akses ke data pribadi untuk sistem informasi harus selalu diperbarui.

4.3.

Operator telah menetapkan prosedur perizinan untuk akses ke data pribadi. Karyawan Operator diberikan akses untuk bekerja dengan data pribadi hanya sejauh dan sejauh diperlukan bagi mereka untuk menjalankan tugas resminya berdasarkan keputusan Manajer

4.4.

Izin sementara atau satu kali untuk bekerja dengan data pribadi karena keperluan resmi dapat diperoleh oleh karyawan Operator dengan persetujuan Manajer.

4.5.

Akses terhadap PD oleh pihak ketiga yang bukan pegawai Penyelenggara tanpa persetujuan subjek PD dilarang, kecuali akses oleh pegawai otoritas eksekutif, yang dilakukan sebagai bagian dari upaya pengendalian dan pengawasan terhadap pelaksanaan peraturan perundang-undangan, pelaksanaan fungsi dan wewenang badan pemerintah terkait. Pemberian informasi atas permintaan atau permintaan instansi pemerintah dilakukan dengan sepengetahuan Kepala Penyelenggara.

4.6.

Apabila pegawai organisasi pihak ketiga memerlukan akses terhadap PD Penyelenggara, maka perjanjian dengan organisasi pihak ketiga tersebut perlu mengatur syarat-syarat kerahasiaan PD dan kewajiban organisasi pihak ketiga beserta pegawainya untuk mematuhinya. persyaratan peraturan perundang-undangan yang berlaku di bidang perlindungan PD. Selain itu, jika data pribadi diakses oleh orang yang bukan karyawan Operator, persetujuan subjek data pribadi untuk memberikan data pribadinya kepada pihak ketiga harus diperoleh. Persetujuan tersebut tidak diperlukan apabila PD diberikan untuk tujuan pelaksanaan kontrak hukum perdata yang dibuat oleh Penyelenggara dengan subjek PD.

4.7.

Akses pegawai Penyelenggara terhadap data pribadi dihentikan sejak tanggal pemutusan hubungan kerja, atau tanggal perubahan tanggung jawab pekerjaan pegawai dan/atau dikeluarkannya pegawai tersebut dari daftar orang yang berhak mengakses data pribadi. Dalam hal terjadi pemecatan, segala media yang memuat data pribadi yang sesuai dengan tugas kedinasannya, yang dimiliki pegawai selama bekerja, harus diserahkan kepada pejabat yang berwenang.

Persyaratan dasar untuk perlindungan data pribadi

5.1.

Saat memproses data pribadi dalam sistem informasi, hal-hal berikut harus dipastikan:

a) melakukan tindakan yang bertujuan untuk mencegah akses tidak sah terhadap data pribadi dan/atau transfernya kepada orang yang tidak memiliki hak untuk mengakses informasi tersebut;

b) deteksi tepat waktu atas fakta akses tidak sah ke data pribadi;

c) mencegah pengaruh terhadap sarana teknis pemrosesan data pribadi secara otomatis, yang dapat mengakibatkan terganggunya fungsinya;

d) kemungkinan pemulihan segera atas data pribadi yang diubah atau dimusnahkan karena akses tidak sah terhadap data tersebut;

e) kontrol terus-menerus untuk memastikan tingkat keamanan PD.

5.2.

Operator berkewajiban untuk mengambil tindakan hukum, organisasi, teknis, dan lainnya yang diperlukan untuk menjamin keamanan data pribadi.

5.3.

Untuk mengembangkan persyaratan keamanan dan menerapkan sistem keamanan data pribadi, Operator telah mengembangkan “Model ancaman terhadap keamanan data pribadi saat memprosesnya dalam ISPD” berdasarkan dokumen peraturan dan metodologi FSTEC Rusia “Model dasar dari ancaman terhadap keamanan data pribadi saat memprosesnya dalam sistem informasi data pribadi.”

5.4.

Operator sesuai dengan dokumen yang mengatur instansi pemerintah - Keputusan Pemerintah Federasi Rusia tanggal 1 November 2012 No. 1119 “Atas persetujuan persyaratan untuk perlindungan data pribadi selama pemrosesannya dalam sistem informasi data pribadi” klasifikasi ISPD Operator telah dilakukan.

5.5.

Komisi telah menyusun Sertifikat Klasifikasi ISPD yang diproses menggunakan alat otomasi:

5.6.

Operator, berdasarkan laporan verifikasi ISPD dan sesuai dengan dokumen peraturan dan metodologi FSTEC Rusia “Langkah-langkah utama untuk organisasi dan dukungan teknis keamanan data pribadi yang diproses dalam sistem informasi data pribadi,” telah mengembangkan dan menerapkan serangkaian tindakan untuk melindungi dan menjamin keamanan data pribadi (“Rencana Tindakan”) untuk menjamin keamanan data pribadi).

5.7.

Operator menggunakan sarana teknis dan perangkat lunak untuk memproses dan melindungi data pribadi. Log sarana perlindungan data pribadi juga disimpan.

5.8.

Operator menyimpan catatan akuntansi dan penyimpanan media penyimpanan yang dapat dipindahkan.

5.9.

Sarana teknis ISPD di atas berlokasi di kantor dan lokasi Penyelenggara.

5.10.

Semua orang yang diberi wewenang untuk bekerja dengan PD, serta mereka yang terkait dengan operasi dan dukungan teknis ISPD, harus memahami persyaratan Peraturan ini setelah menandatangani, dan juga harus menandatangani “Perjanjian untuk memastikan kerahasiaan data pribadi oleh Perusahaan. Karyawan Operator”, tercantum dalam Lampiran Peraturan ini.

5.11.

Operator telah menyelenggarakan proses pelatihan penggunaan alat perlindungan data pribadi yang dioperasikan oleh Operator. Pelatihan di bidang ini direkomendasikan bagi orang-orang yang memiliki akses konstan ke data pribadi, dan bagi orang-orang yang menggunakan perangkat keras dan perangkat lunak untuk sistem informasi dan sistem keamanan informasi. Orang yang bertanggung jawab mengoperasikan alat keamanan informasi ISPD harus menjalani pelatihan wajib.

5.12.

Pegawai wajib segera memberitahukan kepada pejabat Penyelenggara terkait mengenai kehilangan atau kekurangan media penyimpanan data pribadi, serta alasan dan kondisi kemungkinan kebocoran data pribadi. Apabila ada orang yang tidak berkepentingan berupaya memperoleh PD dari pegawai yang diproses oleh Penyelenggara, segera memberitahukan kepada pejabat Penyelenggara yang bersangkutan.

Persetujuan untuk pemrosesan PD

6.1.

Subjek PD memutuskan untuk memberikan PD-nya dan menyetujui pemrosesannya secara bebas, atas kemauannya sendiri, dan untuk kepentingannya sendiri. Persetujuan terhadap pemrosesan data pribadi harus spesifik, berdasarkan informasi, dan sadar. Persetujuan terhadap pemrosesan data pribadi dapat diberikan oleh subjek data pribadi atau perwakilannya dalam bentuk apa pun yang memungkinkan konfirmasi fakta penerimaannya, kecuali ditentukan lain oleh undang-undang Federasi Rusia. Jika persetujuan untuk pemrosesan PD diterima dari perwakilan subjek PD, wewenang perwakilan tersebut untuk memberikan persetujuan atas nama subjek PD diverifikasi oleh Operator.

6.2.

Perolehan persetujuan tertulis untuk pengolahan data pribadi dilakukan oleh pegawai Penyelenggara, setelah menerima data pribadi dari subjek data pribadi, dengan mengeluarkan persetujuan tertulis dalam bentuk yang ditetapkan oleh ISPD Penyelenggara.

Hak subjek sehubungan dengan data pribadi yang diproses oleh operator

7.1.

Subyek PD berhak:

Menerima informasi dari Operator mengenai pemrosesan data pribadinya. Informasi tersebut harus diberikan kepada subjek PD oleh Penyelenggara dalam bentuk yang dapat diakses, dan tidak boleh memuat PD yang berkaitan dengan subjek PD lainnya, kecuali ada dasar hukum untuk mengungkapkan PD tersebut. Daftar informasi dan prosedur untuk memperoleh informasi diatur oleh undang-undang Federasi Rusia saat ini;

Mewajibkan Operator untuk mengklarifikasi data pribadinya, memblokirnya atau memusnahkannya jika data pribadi tersebut tidak lengkap, ketinggalan jaman, tidak akurat, diperoleh secara ilegal atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan, dan juga mengambil tindakan yang ditentukan oleh undang-undang Rusia Federasi untuk melindungi hak-hak mereka;

Tunduk pada persetujuan tertulis sebelumnya ketika memproses data pribadi untuk tujuan mempromosikan barang, karya, jasa di pasar dengan melakukan kontak langsung dengan calon konsumen melalui komunikasi, serta untuk tujuan propaganda politik;

Tunduk pada syarat persetujuan tertulis ketika membuat, berdasarkan pemrosesan PD yang otomatis secara eksklusif, keputusan oleh Operator yang menimbulkan akibat hukum sehubungan dengan subjek PD atau dengan cara lain mempengaruhi hak dan kepentingannya yang sah;

Mengajukan keberatan terhadap keputusan Operator hanya berdasarkan pemrosesan otomatis atas data pribadinya dan kemungkinan konsekuensi hukum dari keputusan tersebut;

Banding atas tindakan atau kelambanan Operator kepada badan yang berwenang untuk melindungi hak-hak subjek data pribadi atau di pengadilan.

Hak dan kewajiban penyelenggara ISPDn

8.1.

Operator ISPDn berhak:

8.1.1.

Percayakan pemrosesan PD kepada orang lain dengan persetujuan subjek PD, kecuali ditentukan lain oleh undang-undang federal, berdasarkan perjanjian yang dibuat dengan orang ini, termasuk kontrak negara bagian atau kota, atau dengan penerapan tindakan terkait oleh a badan negara bagian atau kota.

8.1.2.

Apabila subjek PD mencabut persetujuan pemrosesan PD, lanjutkan pemrosesan PD tanpa persetujuan subjek PD jika ada alasan yang ditentukan dalam undang-undang Federasi Rusia.

8.1.3.

Menolak subjek data pribadi untuk memenuhi permintaan informasi berulang kali yang tidak memenuhi ketentuan yang ditentukan oleh undang-undang Federasi Rusia. Penolakan tersebut harus dimotivasi. Kewajiban untuk memberikan bukti sahnya penolakan memenuhi permintaan berulang ada pada operator.

8.1.4.

Secara independen menentukan komposisi dan daftar tindakan yang diperlukan dan cukup untuk memastikan pemenuhan kewajiban Operator IPDN yang diatur oleh undang-undang Federasi Rusia.

8.2.

Penyelenggara ISPD berkewajiban:

8.2.1.

Sebelum memulai pemrosesan PD, operator wajib memberitahukan kepada badan yang berwenang untuk melindungi hak subjek PD tentang niatnya untuk memproses PD, kecuali ditentukan lain oleh undang-undang Federasi Rusia.

8.2.2.

Saat mendapatkan akses ke PD, jangan mengungkapkan PD kepada pihak ketiga atau mendistribusikan PD tanpa persetujuan subjek PD, kecuali ditentukan lain oleh hukum federal.

8.2.3.

Memberikan bukti telah diperolehnya persetujuan subjek PD untuk memproses PD-nya atau bukti adanya dasar hukum pemrosesan PD tanpa persetujuan subjek PD.

8.2.4.

Sebelum transfer data pribadi lintas batas dimulai, pastikan bahwa negara asing tempat data pribadi ditransfer memberikan perlindungan yang memadai terhadap hak subjek data pribadi.

8.2.5.

Atas permintaan subjek PD, menghentikan pengolahan PD-nya dalam rangka mempromosikan barang, karya, jasa di pasar dengan melakukan kontak langsung dengan calon konsumen melalui komunikasi, serta untuk keperluan propaganda politik.

8.2.6.

Menjelaskan kepada subjek PD tata cara pengambilan keputusan hanya berdasarkan pemrosesan otomatis PD-nya dan kemungkinan akibat hukum dari keputusan tersebut, memberikan kesempatan untuk menolak keputusan tersebut, dan juga menjelaskan tata cara perlindungan subjek PD. hak dan kepentingannya yang sah.

Penyelenggara wajib mempertimbangkan keberatan tersebut dalam waktu tiga puluh hari sejak tanggal diterimanya dan memberitahukan subjek PD tentang hasil pertimbangan keberatan tersebut.

8.2.7.

Saat mengumpulkan PD, berikan subjek PD, atas permintaannya, informasi yang disediakan oleh undang-undang Federasi Rusia.

Apabila pemberian PD kepada Penyelenggara bagi subjek PD bersifat wajib sesuai dengan undang-undang federal, maka Penyelenggara wajib menjelaskan kepada subjek PD akibat hukum penolakan memberikan PD-nya.

8.2.8.

Jika PD tidak diterima dari subjek PD, Operator, kecuali ditentukan lain oleh undang-undang Federasi Rusia, sebelum memproses PD tersebut, memberikan informasi berikut kepada subjek PD:

1) nama depan atau belakang, nama depan, patronimik dan alamat penyelenggara atau wakilnya;

2) tujuan pengolahan PD dan dasar hukumnya;

3) pengguna data pribadi yang dituju;

4) hak subjek data pribadi yang ditetapkan oleh Undang-Undang Federal ini;

5) sumber perolehan PD.

8.2.9.

Mengambil tindakan yang diperlukan dan cukup untuk memastikan pemenuhan kewajiban Operator IPDN yang diatur oleh undang-undang Federasi Rusia.

8.2.11.

Saat mengumpulkan PD menggunakan jaringan informasi dan telekomunikasi, publikasikan di jaringan informasi dan telekomunikasi terkait sebuah dokumen yang menjelaskan kebijakannya mengenai pemrosesan PD, dan informasi tentang persyaratan yang diterapkan untuk perlindungan PD, serta memastikan kemampuan untuk mengakses yang ditentukan dokumen menggunakan sarana informasi yang sesuai -jaringan telekomunikasi.

8.2.12.

Menyerahkan dokumen dan tindakan lokal yang diatur oleh undang-undang Federasi Rusia, dan/atau mengonfirmasi penerapan tindakan yang diperlukan dan cukup untuk memastikan pemenuhan tugas Operator IPDN, atas permintaan badan yang berwenang untuk perlindungan hak subjek PD.

8.2.13.

Saat memproses PD, mengambil tindakan hukum, organisasi, dan teknis yang diperlukan atau memastikan penerapannya untuk melindungi PD dari akses yang tidak sah atau tidak disengaja, penghancuran, modifikasi, pemblokiran, penyalinan, penyediaan, distribusi PD, serta dari tindakan melanggar hukum lainnya di kaitannya dengan PD.

8.2.14.

Menginformasikan, dengan cara yang ditentukan oleh undang-undang Federasi Rusia, subjek PD atau informasi perwakilannya secara gratis tentang ketersediaan PD terkait dengan subjek PD terkait, dan juga memberikan kesempatan untuk membiasakan diri dengan PD tersebut saat melamar ke subjek PD atau wakilnya atau dalam waktu tiga puluh hari terhitung sejak tanggal diterimanya permintaan subjek PD atau wakilnya.

8.2.15.

Dalam hal terjadi penolakan untuk memberikan informasi tentang ketersediaan PD tentang subjek PD atau PD yang bersangkutan kepada subjek PD atau wakilnya atas permintaannya atau setelah menerima permintaan dari subjek PD atau wakilnya, penyelenggara wajib memberikan a tanggapan yang beralasan secara tertulis yang memuat referensi terhadap ketentuan undang-undang Federasi Rusia, yang menjadi dasar penolakan tersebut, dalam jangka waktu tidak lebih dari tiga puluh hari sejak tanggal permohonan subjek PD atau wakilnya atau sejak tanggal diterimanya permintaan subjek PD atau wakilnya.

8.2.16.

Dalam jangka waktu paling lama tujuh hari kerja sejak subjek PD atau wakilnya memberikan keterangan yang menyatakan bahwa PD tidak lengkap, tidak akurat atau tidak relevan, Penyelenggara wajib melakukan perubahan yang diperlukan. Dalam jangka waktu paling lama tujuh hari kerja sejak tanggal subjek PD atau wakilnya menyampaikan informasi yang menegaskan bahwa PD tersebut diperoleh secara tidak sah atau tidak diperlukan untuk tujuan pengolahan yang disebutkan, penyelenggara wajib memusnahkan PD tersebut. Operator wajib memberi tahu subjek PD atau perwakilannya tentang perubahan yang dilakukan dan tindakan yang diambil serta mengambil tindakan yang wajar untuk memberi tahu pihak ketiga kepada siapa PD subjek ini dialihkan.

8.2.17.

Laporkan kepada badan yang berwenang untuk perlindungan hak-hak subjek data pribadi, atas permintaan badan ini, informasi yang diperlukan dalam waktu tiga puluh hari sejak tanggal diterimanya permintaan tersebut.

8.2.18.

Apabila ditemukan pengolahan PD yang melanggar hukum yang dilakukan oleh Penyelenggara atau orang yang bertindak atas nama Penyelenggara, maka Penyelenggara dalam jangka waktu paling lama tiga hari kerja sejak tanggal terdeteksinya wajib menghentikan pengolahan PD yang melanggar hukum. atau memastikan penghentian pemrosesan PD yang melanggar hukum oleh orang yang bertindak atas nama Penyelenggara. Apabila tidak dapat dipastikan keabsahan pengolahan PD, Penyelenggara dalam jangka waktu paling lama sepuluh hari kerja sejak tanggal ditemukannya pengolahan PD yang melanggar hukum, wajib memusnahkan PD tersebut atau menjamin pemusnahannya. Penyelenggara wajib memberitahukan subjek PD atau wakilnya tentang penghapusan pelanggaran atau pemusnahan PD, dan jika ada banding dari subjek PD atau wakilnya atau permintaan badan yang berwenang untuk melindungi hak-hak subjek PD. dikirim oleh badan yang berwenang untuk melindungi hak-hak subyek PD, juga badan yang ditentukan.

8.2.19.

Jika tujuan pemrosesan data pribadi tercapai, Penyelenggara wajib menghentikan pemrosesan data pribadi atau memastikan penghentiannya (jika pemrosesan data pribadi dilakukan oleh orang lain yang bertindak atas nama Operator) dan memusnahkan data pribadi atau memastikan pemusnahannya. (jika pengolahan data pribadi dilakukan oleh orang lain yang bertindak atas nama Penyelenggara) dalam jangka waktu tidak lebih dari tiga puluh hari sejak tanggal tercapainya tujuan pengolahan PD, kecuali ditentukan lain oleh perjanjian dimana subjek PD adalah a pihak, penerima manfaat atau penjamin, perjanjian lain antara Penyelenggara dan subjek PD, atau jika Penyelenggara tidak mempunyai hak untuk memproses PD tanpa persetujuan subjek PD dengan alasan yang ditentukan oleh undang-undang Federasi Rusia.

8.2.20.

Jika subjek PD menarik persetujuan untuk pemrosesan PD-nya, menghentikan pemrosesannya atau memastikan penghentian pemrosesan tersebut (jika pemrosesan PD dilakukan oleh orang lain yang bertindak atas nama Penyelenggara) dan jika pelestarian PD tidak lagi diperlukan untuk keperluan pengolahan PD, memusnahkan PD atau menjamin pemusnahannya (jika pengolahan PD dilakukan oleh orang lain yang bertindak atas nama Penyelenggara) dalam jangka waktu paling lama tiga puluh hari sejak tanggal diterimanya tanggapan tersebut, kecuali sebaliknya ditentukan oleh perjanjian dimana subjek PD menjadi pihak, penerima manfaat atau penjamin, atau perjanjian lain antara Penyelenggara dan subjek PD atau apabila Penyelenggara tidak mempunyai hak untuk memproses PD tanpa persetujuan subjek PD dengan alasan yang ditentukan. oleh undang-undang Federasi Rusia.

8.2.21.

Tunjuk orang yang bertanggung jawab untuk mengatur pemrosesan data pribadi.

Prosedur untuk memproses dan melindungi data pribadi

9.1.

Memastikan kerahasiaan data pribadi yang diproses oleh Operator merupakan persyaratan wajib bagi semua orang yang mengetahui data pribadi tersebut.

9.2.

Pegawai Operator yang memproses dokumen wajib memperoleh, dalam hal tertentu, persetujuan subjek PD untuk pemrosesan.

9.3.

Jika terjadi pelanggaran prosedur yang ditetapkan untuk memproses PD, karyawan Operator bertanggung jawab sesuai dengan Bagian 9 Peraturan ini.

9.4.

PD subjek di atas kertas, diproses oleh Operator, disimpan di departemen (dengan karyawan) yang mempunyai izin untuk memproses PD terkait. Hak karyawan untuk mengakses sistem informasi non-otomatis ditentukan atas perintah Manajer. Pembawa data pribadi tidak boleh dibiarkan tanpa pengawasan. Saat meninggalkan tempat kerja, karyawan yang memproses data pribadi harus menyimpan media di lemari yang aman dan terkunci, atau membatasi akses tidak sah ke media. Jika PD hilang atau rusak, PD akan dikembalikan bila memungkinkan.

9.5.

Lokasi penyimpanan dokumen yang mengandung PD:

9.5.1.

PD klien Penyelenggara (kontrak, akta, perjanjian, kuesioner, salinan paspor, dokumen sejenis lainnya yang berisi PD klien Operator, media penyimpanan (kartu flash, CD, dll) disimpan di kantor utama dan cadangan Operator , ditempatkan di rak dan dikunci dengan kunci.Penanggung jawab yang melakukan pengendalian ditentukan atas perintah Manajer.

9.5.2.

Data pribadi pegawai Operator - dokumen, media penyimpanan (flash card, CD, dll) disimpan di brankas perusahaan dan dikunci dengan kunci. Penanggung jawab yang melakukan pengendalian adalah Kepala Penyelenggara.

9.6.

Penerbitan dokumen untuk peninjauan dilakukan kepada orang-orang yang menerima informasi yang relevan untuk keperluan pelaksanaan tugas resmi, untuk jangka waktu tidak lebih dari satu hari kerja.

9.7.

Media penyimpanan lainnya dapat disimpan di kantor utama dan cadangan Operator, ditempatkan di rak dan dikunci dengan kunci, atau di brankas organisasi. Orang yang bertanggung jawab yang menjalankan kendali atas pembawa informasi lainnya ditentukan atas perintah Manajer.

9.8.

Saat bekerja dengan perangkat lunak sistem otomatis Operator, yang mengimplementasikan fungsi melihat dan mengedit PD, dilarang menampilkan formulir di layar yang berisi data tersebut kepada orang yang tidak memiliki izin yang sesuai.

9.9.

Apabila PD diterima oleh pegawai Operator yang sesuai dengan tugas pekerjaannya menerima PD dari klien atau pegawai orang lain, maka harus diperiksa keaslian PD tersebut. PD yang diterima oleh Operator dimasukkan ke dalam sistem informasi oleh pegawai yang mempunyai akses terhadap PD terkait. Pegawai yang memasukkan informasi bertanggung jawab atas keakuratan dan kelengkapan informasi yang dimasukkan.

9.10.

Fitur pemrosesan data pribadi yang terkandung di atas kertas, tanpa menggunakan alat otomatisasi (komputer pribadi tidak digunakan saat menyusun dokumen) ditetapkan sesuai dengan Keputusan Pemerintah Federasi Rusia tanggal 15 September 2008 N 687 "Tentang persetujuan Peraturan tentang kekhasan pemrosesan data pribadi yang dilakukan tanpa menggunakan alat otomatisasi" .

9.11.

Saat memproses berbagai kategori data pribadi secara manual, media material terpisah harus digunakan untuk setiap kategori data pribadi.

9.12.

Dalam hal pemrosesan data pribadi di atas kertas yang tidak otomatis:

9.12.1.

Tidak diperbolehkan merekam pada satu media kertas PD yang tujuan pengolahannya jelas-jelas tidak sesuai;

9.12.2.

PD harus dipisahkan dari informasi lain, khususnya dengan mencatatnya pada media kertas tersendiri, pada bagian khusus atau pada bidang formulir (formulir);

9.13.

Apabila menggunakan bentuk dokumen standar, sifat informasi yang menyarankan atau memungkinkan pencantuman PD di dalamnya (selanjutnya disebut formulir standar), harus memenuhi syarat sebagai berikut:

9.13.1.

Formulir standar atau dokumen terkait (petunjuk pengisian, kartu, register dan jurnal) harus memuat informasi tentang tujuan pemrosesan PD non-otomatis, nama (nama) dan alamat Penyelenggara, nama belakang, nama depan, patronimik dan alamat subjek PD, sumber penerimaan PD, tenggat waktu pemrosesan data pribadi, daftar tindakan dengan data pribadi yang akan dilakukan selama pemrosesan, gambaran umum tentang metode pemrosesan data pribadi yang digunakan oleh operator ;

9.13.2.

Formulir standar harus mencakup bidang di mana subjek PD dapat menandai persetujuannya untuk pemrosesan PD non-otomatis, jika diperlukan untuk mendapatkan persetujuan tertulis untuk pemrosesan PD;

9.13.3.

Bentuk baku harus dibuat sedemikian rupa sehingga setiap subjek PD yang terdapat dalam dokumen mempunyai kesempatan untuk mengenal PD-nya yang terdapat dalam dokumen tanpa melanggar hak dan kepentingan sah subjek PD lainnya;

9.13.4.

Formulir standar harus mengecualikan kombinasi bidang yang dimaksudkan untuk memasukkan data pribadi, yang tujuan pemrosesannya jelas-jelas tidak sesuai.

9.14.

Penyimpanan PD harus dilakukan dalam bentuk yang memungkinkan identifikasi subjek PD, tidak lebih lama dari yang diperlukan untuk keperluan pengolahan PD, kecuali jangka waktu penyimpanan PD ditentukan oleh undang-undang federal, perjanjian dimana subjek PD berada. pihak, penerima manfaat, atau penjamin.

9.15.

Kasus perusakan, pemblokiran dan klarifikasi data pribadi:

9.16.

Penghancuran atau depersonalisasi sebagian data pribadi, jika diizinkan melalui media nyata, dapat dilakukan dengan cara yang menghalangi pemrosesan lebih lanjut atas data pribadi tersebut dengan tetap menjaga kemungkinan pemrosesan data lain yang direkam pada media nyata (penghapusan, penghapusan).

9.17.

Klarifikasi data pribadi saat memprosesnya tanpa menggunakan alat otomatisasi dilakukan dengan memperbarui atau mengubah data pada media nyata, dan jika hal ini tidak diperbolehkan oleh fitur teknis media fisik - dengan mencatat informasi pada media fisik yang sama tentang perubahan yang dilakukan pada mereka atau dengan memproduksi media material baru dengan PD yang diperbarui.

9.18.

Pemusnahan media yang berisi data pribadi dilakukan dengan urutan sebagai berikut:

9.18.1.

PD di atas kertas dimusnahkan dengan menggunakan mesin penghancur (penghancur dokumen) yang dipasang di kantor Penyelenggara.

9.18.2.

PD yang terletak di memori PC dimusnahkan dengan menghapusnya dari memori PC.

9.18.3.

PD yang terletak pada kartu flash, CD, atau media penyimpanan lainnya dimusnahkan dengan menghapus file dari media tersebut, jika perlu, dengan mengganggu fungsi kartu flash atau CD.

9.19.

Laporan pemusnahan media penyimpanan dibuat (untuk bentuk laporan lihat lampiran).

9.20.

Kantor, tempat Penyelenggara, pada akhir hari kerja dan tidak adanya pegawai di dalam gedung kantor, harus dikunci, jendela harus ditutup, alarm harus dinyalakan (jika ada).

9.21.

Peralatan jaringan dan server harus ditempatkan di tempat yang tidak dapat diakses oleh orang yang tidak berwenang (di ruangan khusus, lemari, kotak).

9.22.

Pembersihan tempat dan pemeliharaan peralatan teknis ISPD harus dilakukan di bawah kendali orang yang bertanggung jawab atas tempat dan sarana teknis ini sesuai dengan langkah-langkah yang mengecualikan akses tidak sah ke PD, pembawa informasi, perangkat lunak dan perangkat keras untuk memproses, mengirimkan dan melindungi informasi ISPD .

9.23.

Tanggung jawab administrator ISPD termasuk mengelola akun pengguna ISPD, menjaga pengoperasian normal ISPD, memastikan cadangan data, serta menginstal dan mengkonfigurasi perangkat keras dan perangkat lunak ISPD yang tidak terkait dengan memastikan keamanan data di ISPD. Selain itu, tanggung jawab administrator ISPD termasuk memastikan kepatuhan prosedur pemrosesan dan memastikan keamanan PD di ISPD dengan persyaratan kerahasiaan, integritas dan ketersediaan PD yang dikenakan pada ISPD tertentu, dan persyaratan umum untuk keamanan PD yang ditetapkan oleh federal. peraturan perundang-undangan.

9.24.

Tanggung jawab administrator ISPD juga mencakup instalasi, konfigurasi dan administrasi perangkat keras dan perangkat lunak untuk melindungi informasi ISPD, akuntansi dan penyimpanan media penyimpanan data mesin, audit berkala atas log keamanan dan analisis keamanan ISPD, serta partisipasi dalam penyelidikan resmi atas pelanggaran prosedur yang ditetapkan untuk memproses dan menjamin keamanan PD .

9.25.

Untuk memastikan pembagian kekuasaan, penerapan kendali timbal balik, dan pencegahan pemusatan kekuasaan yang penting untuk keamanan data pribadi dalam satu orang, tidak disarankan untuk menggabungkan peran pengguna ISPD dan administrator ISPD dalam orang dari satu karyawan.

9.26.

Persyaratan kualifikasi dan daftar rinci hak dan tanggung jawab administrator ISPD ditetapkan dalam uraian tugas yang relevan, yang harus diketahui oleh karyawan yang ditunjuk untuk peran ini pada saat ditandatangani.

9.27.

Penyelenggaraan pengendalian internal proses pengolahan PD di Operator dilakukan untuk mempelajari dan menilai keadaan sebenarnya keamanan PD, respon tepat waktu terhadap pelanggaran prosedur yang ditetapkan untuk pengolahannya, serta untuk menyempurnakan prosedur tersebut. dan memastikan kepatuhannya.

9.28.

Langkah-langkah untuk menerapkan pengendalian internal atas pemrosesan dan keamanan data pribadi ditujukan untuk menyelesaikan tugas-tugas berikut:

9.28.1.

Memastikan kepatuhan karyawan Operator terhadap persyaratan Peraturan ini dan peraturan yang mengatur ruang lingkup data pribadi.

9.28.2.

Menilai kompetensi personel yang terlibat dalam pemrosesan data pribadi.

9.28.3.

Memastikan pengoperasian dan efektivitas sarana teknis ISPD dan sarana perlindungan PD, kepatuhannya terhadap persyaratan otoritas eksekutif yang berwenang mengenai masalah keamanan PD.

9.28.4.

Deteksi pelanggaran prosedur yang ditetapkan untuk pemrosesan data pribadi dan pencegahan tepat waktu atas konsekuensi negatif dari pelanggaran tersebut.

9.28.5.

Mengambil tindakan perbaikan yang bertujuan untuk menghilangkan pelanggaran yang teridentifikasi, baik dalam tata cara pemrosesan PD maupun dalam pengoperasian sarana teknis ISPD.

9.28.7.

Melaksanakan pengendalian internal atas pelaksanaan rekomendasi dan instruksi untuk menghilangkan pelanggaran.

9.29.

Hasil kegiatan pengendalian didokumentasikan dalam undang-undang dan menjadi dasar untuk mengembangkan rekomendasi untuk meningkatkan prosedur pemrosesan dan memastikan keamanan data pribadi, untuk memodernisasi sarana teknis sistem informasi dan sarana perlindungan data pribadi, untuk pelatihan dan peningkatan. kompetensi personel yang terlibat dalam pemrosesan data pribadi.

Fitur pengelolaan data pribadi karyawan operator

10.1.

Bagian ini menetapkan hak dan kewajiban tambahan Operator dan karyawan saat memproses data pribadi karyawan Operator.

10.2.

Data pribadi karyawan merupakan informasi yang diperlukan oleh Penyelenggara sehubungan dengan hubungan kerja dan berkaitan dengan karyawan tertentu.

10.3.

Pemrosesan data pribadi karyawan dapat dilakukan semata-mata untuk tujuan memastikan kepatuhan terhadap undang-undang dan peraturan lainnya, membantu karyawan dalam pekerjaan, pelatihan dan promosi, memastikan keselamatan pribadi karyawan, memantau kuantitas dan kualitas pekerjaan yang dilakukan serta memastikan keselamatan karyawan. keamanan properti.

10.4.

Operator tidak berhak menerima dan memproses data pribadi karyawan tentang keanggotaannya dalam asosiasi publik atau kegiatan serikat pekerja, kecuali ditentukan lain oleh undang-undang federal;

10.5.

Saat mengambil keputusan yang mempengaruhi kepentingan karyawan, Operator tidak berhak mengandalkan data pribadi karyawan yang diperoleh semata-mata sebagai hasil pemrosesan otomatis atau tanda terima elektronik;

10.6.

Karyawan tidak boleh melepaskan haknya untuk menjaga dan melindungi rahasia;

10.7.

Operator berjanji untuk tidak mengungkapkan informasi pribadi karyawan untuk tujuan komersial tanpa persetujuan tertulis darinya;

10.8.

Operator berjanji untuk memperingatkan karyawan Operator dan pihak ketiga yang menerima data pribadi karyawan (dengan persetujuannya) bahwa data ini hanya dapat digunakan untuk tujuan komunikasinya, dan mengharuskan orang-orang ini untuk mengonfirmasi bahwa aturan ini dipatuhi. Orang yang menerima data pribadi karyawan wajib menjaga kerahasiaan (confidentiality). Rezim kerahasiaan dijamin dengan menandatangani perjanjian dengan orang tersebut (Lampiran Peraturan ini). Ketentuan ini tidak berlaku untuk pertukaran data pribadi karyawan dengan cara yang ditetapkan oleh undang-undang Federasi Rusia;

10.9.

Akses terhadap data pribadi karyawan dilakukan berdasarkan perintah dan peraturan yang disetujui oleh Operator.

10.10.

Operator berjanji untuk tidak meminta informasi mengenai status kesehatan pekerja, kecuali informasi yang berkaitan dengan masalah kemampuan pekerja dalam menjalankan fungsi pekerjaan;

10.11.

Operator berjanji untuk mentransfer PD karyawan ke perwakilan karyawan dengan cara yang ditetapkan oleh undang-undang Federasi Rusia, dan membatasi informasi ini hanya pada PD karyawan yang diperlukan agar perwakilan tersebut dapat menjalankan fungsinya.

10.12.

Seorang karyawan berhak menentukan perwakilannya untuk melindungi data pribadinya.

Tanggung jawab atas pelanggaran ketentuan ini

11.1.

Manajemen Penyelenggara bertanggung jawab atas kegagalan menjamin kerahasiaan data pribadi dan ketidakpatuhan terhadap hak dan kebebasan subjek data pribadi sehubungan dengan data pribadinya, termasuk hak privasi, rahasia pribadi dan keluarga.

11.4.

Dalam hal pelanggaran terhadap prosedur yang ditetapkan untuk memproses dan menjamin keamanan PD, akses tidak sah ke PD, pengungkapan PD dan menyebabkan kerusakan material atau lainnya pada Operator, karyawannya, klien dan rekanan, pelaku menanggung tanggung jawab perdata, pidana, administratif. , tanggung jawab disipliner dan lainnya yang diatur oleh undang-undang Federasi Rusia.

Sejak akhir musim panas, Undang-Undang Data Pribadi telah berlaku dalam versi baru. Aturan untuk memperoleh dan melindungi informasi telah berubah. Bagi majikan, ini hanya berarti satu hal - dokumen tambahan. Pada artikel ini kita akan membahas tentang cara menyusun peraturan tentang bekerja dengan data pribadi karyawan dan menunjuk seseorang yang bertanggung jawab untuk mengatur pekerjaan dengan data pribadi.

Apa itu data pribadi

Undang-undang Federal No. 152-FZ tanggal 27 Juli 2006 “Tentang Data Pribadi” (selanjutnya disebut Undang-undang No. 152-FZ) mendefinisikan Informasi pribadi sebagai informasi apa pun yang terkait langsung atau tidak langsung dengan seseorang (untuk subjek data pribadi). Hal ini dinyatakan dalam paragraf 1 Seni. 3 UU Nomor 152-FZ.

Menurut Bagian 1 Seni. 85 dari Kode Perburuhan, data pribadi seorang karyawan berarti informasi yang berkaitan dengan karyawan tertentu, yang diperlukan bagi pemberi kerja sehubungan dengan hubungan kerja. Kita berbicara tentang data seperti:

• Nama lengkap;
• Tanggal dan Tempat Lahir;
• alamat;
• Status keluarga;
• jabatan (profesi);
• gaji, penghasilan lain-lain;
• kepemilikan real estat, setoran tunai, dll.;
• pendidikan, kualifikasi, pelatihan profesional, informasi tentang pelatihan lanjutan;
• kebiasaan dan hobi, termasuk yang merugikan (alkohol, narkoba, dll);
• fakta biografi dan aktivitas kerja sebelumnya (tempat kerja, jumlah pendapatan, catatan kriminal, dinas militer, pekerjaan di posisi terpilih, pelayanan publik, dll.);
• karakteristik fisiologis, kesehatan;
• kualitas bisnis dan pribadi lainnya;
• Informasi lainnya.

Daftar dokumen kepegawaian yang memuat data pribadi pegawai disajikan pada tabel. 1 di hal. 76.

Tabel 1. Dokumen yang memuat data pribadi pegawai

Operator pemrosesan data pribadi

Menurut UU N 152-FZ, orang (badan hukum atau perorangan) yang mengatur dan (atau) melakukan pemrosesan data pribadi, menentukan komposisinya, tujuan pemrosesan, dan tindakan yang dilakukan dengan data pribadi disebut operator(Ayat 2 Pasal 3 UU No. 152-FZ). Dalam kasus kami, ini adalah majikannya.

Pemrosesan data pribadi- tindakan apa pun yang dilakukan dengan mereka. Operasi untuk memproses data pribadi:

• koleksi;
• rekaman;
• sistematisasi;
• akumulasi;
• penyimpanan;
• klarifikasi (perbarui, ubah);
• ekstraksi;
• penggunaan;
• transmisi (distribusi, penyediaan, akses);
• depersonalisasi;
• pemblokiran;
• penghapusan;
• penghancuran data pribadi.

Peraturan tentang bekerja dengan data pribadi

Tata cara pemrosesan data pribadi oleh Operator dapat diatur dalam Peraturan tentang penanganan data pribadi karyawan (selanjutnya disebut Peraturan). Tidak ada bentuk dokumen yang terpadu. Mari kita pertimbangkan cara menyusun dokumen ini dengan mempertimbangkan persyaratan UU N 152-FZ. Peraturan tersebut terdiri dari beberapa bagian. Mereka disajikan dalam tabel. 2. Ini juga secara singkat menunjukkan informasi yang harus dimuat pada bagian tersebut. Informasi lebih lengkap disajikan dalam penggalan Peraturan Data Pribadi Pegawai yang terdapat pada hal. 80.

Tabel 2. Struktur Peraturan Data Pribadi Pegawai

Fragmen Peraturan tentang data pribadi pegawai

Pemberlakuan Peraturan ini

Peraturan tentang data pribadi disetujui oleh pimpinan perusahaan dan diberlakukan atas perintah organisasi (contoh diberikan pada hal. 90). Pencatatan persetujuan Peraturan harus dibuat dalam daftar peraturan daerah.

Jika ada serikat pekerja

Apabila perusahaan mempunyai serikat pekerja/serikat buruh, maka Peraturannya harus disepakati bersama. Untuk melakukan ini, rancangan peraturan dikirim ke badan serikat pekerja terpilih (Pasal 372 Kode Perburuhan Federasi Rusia). Ia harus menyatakan pendapatnya (secara tertulis) selambat-lambatnya lima hari kerja sejak tanggal diterimanya proyek. Jika serikat pekerja tidak setuju dengan proyek tersebut atau mempunyai usulan untuk perbaikannya, pemerintah mempunyai dua pilihan. Yang pertama adalah setuju. Kedua, melakukan konsultasi tambahan dengan serikat pekerja dalam waktu tiga hari setelah menerima pendapat yang masuk akal untuk mencapai solusi yang dapat diterima bersama. Jika ini tidak membantu, protokol ketidaksepakatan harus dibuat. Setelah itu, pemerintah mempunyai hak untuk mengadopsi Peraturan tersebut tanpa mempertimbangkan tuntutan serikat pekerja. Namun, ia dapat mengajukan banding terhadap Peraturan atau memulai prosedur perselisihan perburuhan bersama dengan cara yang ditentukan oleh Bab. 61 Kode Perburuhan.

Pembiasaan pegawai dengan Peraturan

Karyawan harus memahami Peraturan yang tidak ditandatangani (klausul 8 Pasal 86 Kode Perburuhan Federasi Rusia). Fakta ini dapat dicatat:

• dalam teks kontrak kerja untuk setiap karyawan (daftar peraturan daerah yang diketahui karyawan sebelum menandatangani kontrak);
• - lembar untuk membiasakan diri Anda dengan Peraturan (contoh di hal. 91);
• - buku catatan untuk membiasakan karyawan dengan peraturan setempat (contoh di hal. 91).

Contoh lembar untuk pengenalan peraturan daerah

Fragmen log pengenalanPeraturantentang data pribadi

Catatan. Jangka waktu penyimpanan data pribadi

Peraturan daerah (peraturan, petunjuk) tentang data pribadi harus disimpan secara permanen. Adapun pernyataan persetujuan karyawan terhadap pemrosesan data (akan dibahas pada edisi mendatang), dan dokumen karyawan lainnya disimpan selama 75 tahun. Hal ini tercantum dalam Daftar yang disetujui atas Perintah Kementerian Kebudayaan Rusia tertanggal 25 Agustus 2010 N 558.

Tanggung jawab administratif

Tindakan tanggung jawab administratif (kebanyakan denda diberikan, dalam hal ini diskualifikasi tidak diterapkan) untuk perusahaan dan pejabatnya karena melanggar prosedur penerimaan, pemrosesan, penyimpanan dan perlindungan data pribadi karyawan diberikan dalam Tabel. 3.

Tabel 3. Tanggung jawab atas pelanggaran tata cara memperoleh, mengolah, menyimpan dan melindungi data pribadi pegawai