Esta instrução para tratamento de dados pessoais (doravante denominada Instrução) foi desenvolvida de acordo com a Lei Federal de 27 de julho de 2006. Nº 152-FZ “Sobre Dados Pessoais”. Esta instrução define o procedimento de tratamento de dados pessoais e medidas para garantir a segurança dos dados pessoais na CardsProService LLC, a fim de proteger os direitos e liberdades dos indivíduos e cidadãos no tratamento dos seus dados pessoais, incluindo a protecção dos direitos à privacidade, pessoal e familiar segredos.

1. TERMOS E DEFINIÇÕES

1) Informações pessoais- qualquer informação relativa a uma pessoa singular direta ou indiretamente identificada ou identificável (sujeito de dados pessoais);

2) Operador (Cliente) - órgão estadual, órgão municipal, pessoa jurídica ou pessoa física, de forma independente ou em conjunto com outras pessoas que organizam e (ou) realizam o tratamento de dados pessoais, bem como determinam as finalidades do tratamento de dados pessoais, a composição dos dados pessoais a serem tratados , ações (operações) realizadas com dados pessoais;

3) Tratamento de dados pessoais- qualquer ação (operação) ou conjunto de ações (operações) realizadas utilizando ferramentas de automação ou sem a utilização de tais meios com dados pessoais, incluindo coleta, registro, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração, utilização, transferência (distribuição, disponibilização, acesso), despersonalização, bloqueio, eliminação, destruição de dados pessoais;

4) Processamento automatizado de dados pessoais- tratamento de dados pessoais através de tecnologia informática;

5) Divulgação de dados pessoais- ações destinadas a divulgar dados pessoais a um número indefinido de pessoas;

6) Fornecimento de dados pessoais- ações destinadas a divulgar dados pessoais a uma determinada pessoa ou a um determinado círculo de pessoas;

7) Bloqueio de dados pessoais- cessação temporária do tratamento de dados pessoais (exceto nos casos em que o tratamento seja necessário para esclarecimento de dados pessoais);

8) Destruição de dados pessoais- ações pelas quais se torne impossível restaurar o conteúdo dos dados pessoais no sistema de informação de dados pessoais e (ou) pelas quais os suportes materiais dos dados pessoais sejam destruídos;

9) Pessoas autorizadas do Cliente- pessoas que agem de acordo com o acordo sobre
confidencialidade celebrada com o Cliente.

10) SOBREdespersonalização de dados pessoais- ações pelas quais se torna impossível determinar a propriedade dos dados pessoais a um determinado sujeito de dados pessoais sem a utilização de informações adicionais;

11) Sistema de informação de dados pessoais- a totalidade dos dados pessoais contidos nas bases de dados e as tecnologias de informação e meios técnicos que asseguram o seu tratamento;

12) Transferência transfronteiriça de dados pessoais- transferência de dados pessoais para
o território de um estado estrangeiro a uma autoridade de um estado estrangeiro, a uma pessoa física estrangeira ou a uma entidade jurídica estrangeira;

13) Executor- CardsProService LLC (123610, Moscou, aterro Krasnopresnenskaya, prédio 12, prédio de escritórios 1, sala Id, sala 42; OGRN 1157746550070).

2. ORDEM DE TRATAMENTO DE DADOS PESSOAIS

2.1. O Cliente, sendo Operador dos dados pessoais, nos termos do n.º 3 do art. 6º da Lei Federal de 27 de julho de 2006 nº 152-FZ “Sobre Dados Pessoais”, instrui, e a Contratada compromete-se a processar os dados pessoais dos sujeitos, no interesse do Cliente e no cumprimento de
Termo de Acordo do Usuário.

3. PROCEDIMENTO DE INTERAÇÃO DAS PARTES

3.1. A base para o Contratante processar dados pessoais de assuntos realizados no interesse do Cliente é o Contrato do Usuário.

3.2. O procedimento de organização da recolha de consentimentos dos titulares dos dados pessoais para o tratamento e transferência dos seus dados pessoais, bem como as finalidades do tratamento dos dados pessoais, a composição dos dados pessoais a tratar, as ações (operações) realizadas com os dados pessoais:

3.2.1. Finalidade do tratamento de dados pessoais.

O tratamento de dados pessoais é confiado para efeitos de implementação de programas de fidelização.

3.2.2. Lista de dados pessoais cujo tratamento é confiado ao Contratante

• Nome completo;
• Local, ano e data de nascimento;
• Número de contato;
• Endereço de registro;
• Endereço do local de residência efetiva (estadia);
• Dados do passaporte (série, número do passaporte, por quem e quando foi emitido);
• Número de telefone (residencial, comercial, celular).

• Recolha de dados pessoais.
• Sistematização de dados pessoais.
• Acumulação de dados pessoais.
• Utilização de dados pessoais para implementação de programas de fidelização e comunicação com titulares de dados pessoais.
• Armazenamento de dados pessoais.
• Esclarecimento (atualização, alteração) de dados pessoais:
  
  
• Extração (descarga) - mediante instruções adicionais por escrito do Cliente.
• Despersonalização de dados pessoais:
  -
  - a pedido legal do titular dos dados pessoais, com notificação obrigatória por escrito ao Cliente;
  - a pedido das autoridades reguladoras estaduais para a proteção dos direitos dos titulares dos dados pessoais, com notificação obrigatória por escrito ao Cliente.
• Bloqueio de dados pessoais:
  - mediante instruções adicionais por escrito do Cliente;
  - a pedido legal do titular dos dados pessoais, com notificação obrigatória por escrito ao Cliente;
  - a pedido das autoridades reguladoras estaduais para a proteção dos direitos dos titulares dos dados pessoais, com notificação obrigatória por escrito ao Cliente.
• Excluindo dados pessoais:
  - mediante instruções adicionais por escrito do Cliente;
  - a pedido legal do titular dos dados pessoais, com notificação obrigatória por escrito ao Cliente;
  - a pedido das autoridades reguladoras estaduais para a proteção dos direitos dos titulares dos dados pessoais, com notificação obrigatória por escrito ao Cliente.
• Destruição de dados pessoais - mediante instruções adicionais por escrito do Cliente.

O tratamento de dados pessoais deve limitar-se à consecução de finalidades específicas, pré-definidas e legítimas. Não é permitido o tratamento de dados pessoais que seja incompatível com as finalidades da recolha de dados pessoais.
Não é permitida a combinação de bases de dados que contenham dados pessoais, cujo tratamento seja efectuado para fins incompatíveis entre si.
Apenas estão sujeitos a tratamento os dados pessoais que cumpram as finalidades do seu tratamento.
O conteúdo e o volume dos dados pessoais tratados devem corresponder às finalidades de tratamento declaradas. Os dados pessoais tratados não devem ser redundantes em relação às finalidades declaradas do seu tratamento.
No tratamento de dados pessoais deve ser garantida a exatidão dos dados pessoais, a sua suficiência, bem como a relevância em relação às finalidades do tratamento dos dados pessoais.
O armazenamento dos dados pessoais deve ser efectuado de forma que permita identificar o titular dos dados pessoais, não durante o período necessário para as finalidades do tratamento dos dados pessoais, salvo disposição em contrário dos termos do contrato. Os dados pessoais tratados estão sujeitos a destruição ou despersonalização após a concretização dos objetivos de tratamento ou em caso de perda da necessidade de atingir esses objetivos, salvo determinação em contrário dos termos do contrato.

3.2.5. Organização da proteção de dados pessoais

Objetos de proteção

• informações contendo dados pessoais dos sujeitos;
• suportes informáticos contendo dados pessoais de titulares;
• sistemas de informação de dados pessoais;
• dados pessoais de sujeitos contidos em bases de dados eletrônicas de sistemas de informação de dados pessoais.

Para garantir a segurança dos dados pessoais, o Contratante deverá tomar as seguintes medidas:

• Medidas legais, organizacionais e técnicas necessárias ou assegurar a sua adoção para proteger os dados pessoais contra acesso não autorizado ou acidental, destruição, modificação, bloqueio, cópia, fornecimento, distribuição de dados pessoais, bem como de outras ações ilícitas em relação aos dados pessoais.
• Fornecer acesso aos funcionários da Contratada aos dados pessoais processados ​​​​em nome do Cliente, após terem assinado uma Obrigação de Não Divulgação de Dados Pessoais, estudando os requisitos do Cliente para o procedimento de processamento e proteção de dados pessoais, regulamentos locais que regulam o procedimento para organizar e garantir a proteção dos dados pessoais e realizar formação sobre o procedimento de tratamento de dados pessoais.
• Identificação de ameaças à segurança dos dados pessoais durante o seu tratamento em sistemas de informação de dados pessoais.
• Aplicação de medidas organizacionais e técnicas para garantir a segurança dos dados pessoais durante o seu tratamento em sistemas de informação de dados pessoais necessários ao cumprimento dos requisitos de protecção de dados pessoais, cuja implementação garanta os níveis de segurança de dados pessoais estabelecidos pelo Governo do Federação Russa.
• Avaliar a eficácia das medidas tomadas para garantir a segurança dos dados pessoais antes de colocar em funcionamento o sistema de informação de dados pessoais.
• Contabilização de meios de armazenamento informático de dados pessoais.
• Detecção de factos de acesso não autorizado a dados pessoais e tomada de medidas.
• Restauração de dados pessoais modificados ou destruídos devido a acesso não autorizado aos mesmos.
• Estabelecer regras de acesso aos dados pessoais tratados no sistema de informação de dados pessoais, bem como assegurar o registo e contabilização de todas as ações realizadas com os dados pessoais no sistema de informação de dados pessoais.
• Acompanhar as medidas tomadas para garantir a segurança dos dados pessoais e o nível de segurança dos sistemas de informação de dados pessoais.

A destruição dos dados pessoais dos sujeitos só poderá ser realizada pelo Contratante:

• mediante instruções adicionais por escrito do Cliente;
• a pedido legal do titular dos dados pessoais, com notificação obrigatória por escrito ao Cliente;
• a pedido das entidades reguladoras estaduais para a proteção dos direitos dos titulares dos dados pessoais, com notificação obrigatória por escrito ao Cliente.

3.2.8. Procedimento para encerrar o tratamento de dados pessoais

A cessação do tratamento de dados pessoais é efetuada:

• em caso de cessação da relação contratual que está na base do tratamento de dados pessoais;
• mediante instruções adicionais por escrito do Cliente;
• por ordem escrita das autoridades reguladoras governamentais.

4. DIREITOS E OBRIGAÇÕES DAS PARTES

4.1. O cliente compromete-se:

4.1.1. Se o titular dos dados pessoais retirar o consentimento para o tratamento dos dados pessoais e não existirem os fundamentos especificados nos n.ºs 2 a 11 da parte 1 do artigo 6.º, parte 2 do artigo 10.º e parte 2 do artigo 11.º da Lei Federal de 27 de julho , 2006 nº 152-FZ “Sobre dados pessoais" permitindo o processamento
dados pessoais sem o consentimento do titular, enviar ordem por escrito ao Contratante para realizar trabalhos de exclusão ou despersonalização dos dados pessoais do titular.

4.1.2. Após o recebimento de uma solicitação do titular dos dados pessoais para fornecer as informações especificadas na Parte 7 do Artigo 14 da Lei Federal de 27 de julho de 2006 nº 152-FZ “Sobre Dados Pessoais”, ou as demandas do sujeito para o esclarecimento de seus dados pessoais, seu bloqueio ou destruição no caso, se os dados pessoais estiverem incompletos, desatualizados, imprecisos, obtidos ilegalmente ou não forem necessários para a finalidade declarada de processamento, enviar uma ordem por escrito ao Contratante para
fornecer informações ou realizar ações específicas com os dados pessoais do titular.

4.2. O Contratante compromete-se:

4.2.1. Tratar os dados pessoais de forma legal, em estrita conformidade com os termos desta Instrução.

4.2.2. Ao primeiro pedido escrito do Cliente, transferir (devolver) as bases de dados pessoais tratadas em seu nome na forma especificada no pedido.

4.2.4. A pedido do organismo autorizado para a protecção dos direitos dos titulares de dados pessoais, fornecer prova de recepção dos consentimentos dos titulares de dados pessoais recolhidos no âmbito desta Instrução para o tratamento dos seus dados pessoais ou prova da existência do motivos especificados nos parágrafos 2 a 11 da parte 1 do artigo 6º, parte 2 do artigo 10 e parte 2 do artigo 11 da Lei Federal de 27 de julho de 2006 nº 152-FZ “Sobre Dados Pessoais”, permitindo o processamento de dados pessoais dados sem o consentimento do sujeito.

De acordo com a Parte 2 do art. 85 do Código do Trabalho da Federação Russa processamento de dados pessoais de funcionários - trata-se do recebimento, armazenamento, combinação, transferência ou qualquer outro uso dos dados pessoais do funcionário.

O tratamento dos dados pessoais de um trabalhador pode ser efectuado exclusivamente com a finalidade de garantir o cumprimento das leis e demais regulamentos, auxiliar o trabalhador na contratação, formação e promoção, garantir a segurança do capital, bem como monitorizar a quantidade e qualidade do trabalho. ele atua e garante a segurança da propriedade (cláusula 1 do artigo 86 do Código do Trabalho da Federação Russa).

De acordo com o parágrafo 3º do art. 3º da Lei Federal “Sobre Dados Pessoais”, o tratamento de dados pessoais é ações (operações) com dados pessoais, incluindo coleta, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), uso, distribuição (incluindo transferência), despersonalização , bloqueio , destruição de dados pessoais. Recorde-se que independentemente do número de operações funcionais elencadas na legislação, a regulamentação legal deve abranger todas as fases do tratamento dos dados pessoais - desde a recepção até à destruição, sem quaisquer excepções ou isenções.

Os princípios para o tratamento de dados pessoais incluem o seguinte:

• legalidade das finalidades e métodos de tratamento e equidade;
• cumprimento das finalidades do tratamento com os objetivos pré-determinados e indicados na recolha de dados pessoais, bem como com os poderes do operador;
• conformidade do volume e natureza dos dados tratados, métodos de tratamento com as finalidades do seu tratamento;
• a fiabilidade dos dados pessoais, a sua suficiência para as finalidades do tratamento, a inadmissibilidade do tratamento de dados pessoais que não esteja relacionado com as finalidades declaradas na recolha dos dados;
• a inadmissibilidade de combinar bases de dados de sistemas de informação de dados pessoais criados para fins incompatíveis.

O tratamento dos dados pessoais de um colaborador inicia-se com a sua recepção. Regra geral, todos os dados pessoais devem ser obtidos junto do próprio colaborador. Em casos excepcionais, quando os dados pessoais do trabalhador só puderem ser obtidos junto de terceiros, o trabalhador deverá ser previamente notificado e deverá obter o seu consentimento por escrito. O empregador é obrigado a informar o trabalhador sobre as finalidades, fontes pretendidas e métodos de obtenção dos dados pessoais, bem como a natureza dos dados pessoais a receber e as consequências da recusa do trabalhador em dar consentimento escrito para a sua recepção (Cláusula 3. do Artigo 86 do Código do Trabalho da Federação Russa). No entanto, o empregador não tem o direito de receber e processar os dados pessoais do trabalhador sobre as suas crenças políticas, religiosas e outras e sobre a vida privada (cláusula 4 do artigo 86.º do Código do Trabalho da Federação Russa). Além disso, o empregador não pode solicitar informações sobre o estado de saúde do trabalhador se esta não estiver relacionada com a questão da capacidade do trabalhador para desempenhar uma função laboral (artigo 88.º do Código do Trabalho da Federação Russa).

O Código do Trabalho da Federação Russa impõe certos requisitos à organização e tecnologia de processamento de dados pessoais pelo empregador. A obrigação de familiarizar os trabalhadores e seus representantes, mediante assinatura, com os documentos do empregador que estabelecem o procedimento de tratamento de dados pessoais dos trabalhadores, bem como os seus direitos e responsabilidades nesta área, pressupõe a necessidade de desenvolver e adotar um ato jurídico regulamentar local adequado. . Tal ato, dependendo das especificidades da atividade e do arbítrio do empregador, pode ser denominado regulamento ou instrução e, via de regra, inclui as seguintes seções:

• conceitos e disposições básicas;
• processamento de dados pessoais de funcionários;
• geração de dados pessoais de funcionários;
• registro, armazenamento e transferência de dados pessoais de funcionários;
• direitos e obrigações do trabalhador no domínio do tratamento e proteção dos seus dados pessoais.

Tal ato jurídico regulatório local determina o regime de confidencialidade (acesso limitado) dos dados pessoais de um funcionário de um determinado empregador. Os trabalhadores da entidade empregadora que recebam os dados pessoais do trabalhador estão obrigados ao cumprimento deste regime, que deve ser indicado não só nas suas descrições de funções, mas também nos contratos de trabalho com eles celebrados. O regulamento (instrução) sobre a protecção de dados pessoais é o principal documento que reflecte as especificidades do tratamento e transferência dos dados pessoais de um trabalhador dentro de uma determinada organização, para um determinado empresário individual. Caso exista uma componente automatizada nesta atividade, o empregador não tem o direito de tomar decisões relativas ao trabalhador com base em dados pessoais obtidos exclusivamente em resultado do seu tratamento automatizado ou da sua receção eletrónica (n.º 6 do artigo 86.º do Código do Trabalho de A Federação Russa). Um empregador não pode limitar-se a adotar uma disposição sobre a proteção dos dados pessoais dos trabalhadores da sua organização. No entanto, a presença deste ato local é obrigatória, sendo a sua ausência considerada pela fiscalização estadual do trabalho como grave violação da legislação trabalhista.

Por esta e outras violações das regras que regem o recebimento, o processamento e o empregado, o empregador pode responsabilizar os autores da infração material e disciplinar, e os órgãos governamentais competentes à responsabilidade civil, administrativa e criminal.

Todas as organizações coletam, armazenam e utilizam informações sobre seus funcionários. As informações pessoais são hoje de alto valor e, quando caem nas mãos de fraudadores, tornam-se um meio para cometer crimes. Neste artigo iremos dizer-lhe como e com que finalidade as empresas processam dados pessoais e se devem obter o consentimento dos funcionários para o fazer.

O que é tratamento de dados pessoais

O conceito de “tratamento de dados pessoais” inclui quaisquer ações realizadas pelo operador com informações individuais. Entre eles:

1. coleção;
2. esclarecimento;
3. sistematização;
4. uso;
5. eliminação;
6. armazenar.

Todas as organizações e empresas são operadoras de dados pessoais porque os processam. Em arte. 22 da Lei nº 152-FZ fornece a base legal para o tratamento de dados pessoais. Com base no texto do artigo, o empregador tem o direito de tomar medidas com as informações pessoais dos empregados sem notificar as autoridades de Roskomnadzor dessa intenção.

Vários métodos são usados ​​para realizar ações com informações pessoais.  O processamento automatizado de dados pessoais é o processamento em um computador. O método não automatizado envolve o uso de mídia de papel. Hoje em dia, na maioria dos casos, é utilizado o processamento misto, que combina elementos de processamento automatizado e manual.

Finalidades do processamento de dados pessoais na empresa

Distinguem-se as seguintes finalidades de tratamento de dados pessoais na organização:

1. Celebração, execução e rescisão de contratos civis com cidadãos, pessoas colectivas, empresários individuais e outras pessoas nas situações previstas na lei e no estatuto da empresa.
2. Organização do cadastro de pessoal da organização, garantindo o cumprimento das leis, celebrando e cumprindo obrigações decorrentes de contratos trabalhistas e civis.
3. Realizar registros de pessoal, auxiliar os funcionários no emprego, treinamento e promoção e usar benefícios.
4. Cumprimento dos requisitos da legislação fiscal sobre o cálculo e pagamento do imposto sobre o rendimento das pessoas singulares e do imposto social unificado, legislação previdenciária na formação e transferência para o Fundo de Pensões de dados personalizados sobre cada beneficiário de rendimentos, que são tidos em consideração no cálculo das contribuições ao seguro de pensão obrigatório.
5. Preenchimento de documentação estatística primária de acordo com o Código Trabalhista, Tributário e leis federais.

O que é o consentimento para o tratamento de dados pessoais

Juntamente com o fornecimento dos documentos necessários à celebração do contrato de trabalho, é assinado o consentimento do trabalhador para o tratamento dos seus dados pessoais. De acordo com art. 3º da Lei Federal nº 152, esses dados incluem todas as informações sobre uma pessoa - desde o nome e sobrenome até os lançamentos na carteira de trabalho.

Os dados pessoais são divididos em 3 categorias:

• Público- dados pessoais básicos, incluindo nome completo, sexo, data e local de nascimento.
• Biométrico- informações sobre a aparência e algumas características fisiológicas, se forem determinadas visualmente.
• Especial- nacionalidade, religião, estado de saúde, antecedentes criminais, parcialmente - informações sobre o trabalho (motivos de despedimento, etc.).

Os dados pessoais são confidenciais (exceto os dados publicamente disponíveis), pelo que é necessário obter o consentimento da pessoa para o seu tratamento.

O prazo de validade do consentimento para o tratamento de dados pessoais é obrigatório. O momento do seu término é uma data específica ou um determinado evento, incluindo a retirada do consentimento do funcionário. Este requisito está especificado no parágrafo 4º do art. 9 Lei Federal nº 152.

Em que casos é necessário o consentimento para o tratamento de dados pessoais?

O consentimento é necessário para o processamento de dados especiais e biométricos. As informações publicamente disponíveis podem ser utilizadas livremente, a menos que sejam contrárias à lei, bem como aos padrões geralmente aceitos de moralidade e ética.

Situações em que não é necessário o consentimento para o tratamento de dados pessoais

A exceção são os casos em que um caso criminal está sendo investigado e estão sendo realizadas atividades de busca operacional. Os dados biométricos podem ser necessários para estabelecer a identidade se uma pessoa não possuir documentos. Nessas situações, não é necessário consentimento para o processamento de informações pessoais.

Exemplo de formulário de consentimento e descrição do documento

Um pedido de consentimento para o processamento de informações pessoais é apresentado por escrito ao chefe da organização. O cabeçalho do documento indica:

1. o cargo do gestor e o nome da organização que dirige;
2. Nome completo do responsável;
3. posição do funcionário;
4. Nome completo do funcionário;
5. data de;
6. local de compilação.

Um exemplo de texto de documento é o seguinte:
“Com esta declaração, confirmo o meu consentimento para a recolha, tratamento, utilização e armazenamento dos meus dados pessoais na medida necessária para garantir os meus direitos laborais e sociais, pagamento de impostos, taxas e outros pagamentos obrigatórios estabelecidos, dedução de contribuições obrigatórias para fundos estatais e para outros fins, decorrentes das relações laborais e jurídicas conexas entre mim e o empregador no âmbito da legislação em vigor. O empregador tem o direito de fornecer os meus dados pessoais a terceiros apenas nos casos previstos na lei.”
O funcionário coloca sua assinatura sob o texto do requerimento.

É possível recusar o tratamento de dados pessoais do ponto de vista da lei?

Nos termos da lei, a recusa do consentimento para o tratamento de dados pessoais não acarreta consequências jurídicas. Na Parte 1 do art. 9 A Lei Federal nº 152 estabelece que o consentimento em si é expresso livre e voluntariamente.

Parte 5 arte. 6º da mesma lei permite a ausência de consentimento para o tratamento de dados pessoais se tal for necessário para a execução de um contrato, incluindo um contrato de trabalho. Assim, os empregadores, no cumprimento dos seus deveres, podem tratar os seus dados pessoais no interesse dos trabalhadores sem obter consentimento. Isso se aplica apenas aos funcionários que já estão na folha de pagamento. É impossível contratar uma pessoa se ela se recusar a tratar dados pessoais. Neste caso, o contrato de trabalho ainda não foi celebrado. Dado que este documento não existe, o empregador não tem obrigação de o cumprir.

Às vezes, recusar-se a processar informações pessoais pode ter consequências negativas. Se a empresa tiver um regime de passes, então, nessas circunstâncias, o funcionário não poderá emitir ou substituir um passe - tal ação iria além do âmbito dos fins oficiais. Portanto, a falta de consentimento implicará na impossibilidade de exercer funções laborais.

Tire suas dúvidas nos comentários do artigo e obtenha a resposta de um especialista

O regulamento sobre tratamento e proteção de dados pessoais estabelece o procedimento de recolha, acumulação, armazenamento, utilização, eliminação, etc. de informação que contenha informação sobre os colaboradores da empresa. O documento deve descrever o procedimento de transferência de PD a terceiros, as características do processamento automatizado e não automatizado de PD, o procedimento de acesso à PD, o procedimento de organização do controle interno e a responsabilidade por violações durante o processamento de PD.

Como elaborar um regulamento sobre tratamento e proteção de dados pessoais

O documento está sendo desenvolvido de acordo com a legislação da Federação Russa sobre dados pessoais e documentos regulamentares e metodológicos de órgãos executivos do poder estatal sobre questões de segurança de PD durante o processamento em sistemas de informação de PD.

O Regulamento de Proteção de Dados Pessoais geralmente consiste em 11 seções:

1. Disposições gerais.
2. Metas e objetivos do processamento de PD.
3. Dados pessoais tratados no ISPD (nome completo, data de nascimento, telefone de contacto, morada de registo, morada efetiva de residência).
4. Acesso ao DP.
5. Requisitos básicos para proteção de dados pessoais.
6. Consentimento para processamento de PD.
7. Direitos do titular em relação aos dados pessoais tratados pelo operador.
8. Direitos e obrigações do operador do ISPDn.
9. Procedimento de tratamento e proteção de dados pessoais.
10. Peculiaridades do tratamento de dados pessoais dos colaboradores da operadora.
11. Responsabilidade pela violação desta disposição.

As disposições sobre tratamento e proteção de dados pessoais aplicam-se a todos os processos de recolha, sistematização, acumulação, armazenamento, esclarecimento, utilização, distribuição (incluindo transferência), despersonalização, bloqueio, destruição de dados pessoais, realizados com recurso a ferramentas de automatização e sem a sua usar.

Assuntos de dados pessoais

Os assuntos de PD incluem:

• Funcionários da operadora.
• Candidatos a emprego.
• Clientes (consumidores de serviços da operadora).
• Os empresários individuais são as contrapartes do operador.
• Clientes de organizações, contrapartes da operadora (atendimento a clientes corporativos).
• Outras pessoas cujos dados pessoais sejam tratados pelo operador.

O regulamento sobre tratamento e proteção de dados pessoais entra em vigor a partir do momento da sua aprovação e é válido por tempo indeterminado até ser substituído por um novo regulamento. Todos os funcionários da organização devem estar familiarizados com este documento mediante assinatura.

Regulamentos sobre o tratamento e proteção de dados pessoais

Disposições gerais

1.1.

Este Regulamento foi desenvolvido de acordo com a legislação da Federação Russa sobre dados pessoais (doravante denominados PD) e documentos regulamentares e metodológicos de órgãos executivos do poder estatal sobre questões de segurança de PD quando processados ​​​​em sistemas de informação de PD (doravante denominados como ISPD).

1.2.

Para efeitos do presente Regulamento, são utilizados os seguintes termos:

dados pessoais (DP) - qualquer informação relativa a uma pessoa singular direta ou indiretamente identificada ou identificável (sujeito da DP);

operador - órgão estadual, municipal, pessoa jurídica ou física que, de forma independente ou em conjunto com outras pessoas, organiza e (ou) realiza o tratamento de dados pessoais, bem como determina as finalidades do tratamento dos dados pessoais, a composição dos dados pessoais dados a serem tratados, ações (operações) realizadas com dados pessoais;

Processamento de PD - qualquer ação (operação) ou conjunto de ações (operações) realizadas usando ferramentas de automação ou sem o uso de tais ferramentas com PD, incluindo coleta, registro, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração, uso , transferência (distribuição, fornecimento, acesso), despersonalização, bloqueio, exclusão, destruição de dados pessoais;

tratamento automatizado de dados pessoais - tratamento de dados pessoais através de tecnologia informática;

distribuição de dados pessoais - ações que visam divulgar dados pessoais a um número indefinido de pessoas;

prestação de PD - ações destinadas a divulgar PD a determinada pessoa ou a determinado círculo de pessoas;

Bloqueio de PD - cessação temporária do processamento de PD (exceto nos casos em que o processamento seja necessário para esclarecimento de PD);

destruição de PD - ações em que se torna impossível restaurar o conteúdo de PD no ISPD e/ou em que os meios materiais de PD são destruídos;

Despersonalização da DP - ações pelas quais se torna impossível determinar a propriedade da DP a um determinado sujeito da DP sem a utilização de informações adicionais;

sistema de informação de dados pessoais (PDIS) - conjunto de tecnologias de informação e meios técnicos contidos nas bases de dados PD e que garantem o seu tratamento;

transferência transfronteiriça de dados pessoais - transferência de dados pessoais para o território de um estado estrangeiro para uma autoridade de um estado estrangeiro, uma pessoa física estrangeira ou uma entidade jurídica estrangeira.

1.3.

Este Regulamento determina o procedimento e as condições para o processamento de PD em (doravante denominado Operador), incluindo o procedimento de transferência de PD para terceiros, características de processamento automatizado e não automatizado de PD, o procedimento de acesso a PD, o PD sistema de proteção, procedimento de organização do controle interno e responsabilidade por violações durante o processamento de PD, outras questões.

1.4.

O presente Regulamento aplica-se a todos os processos de recolha, sistematização, acumulação, armazenamento, esclarecimento, utilização, distribuição (incluindo transferência), despersonalização, bloqueio, destruição de dados pessoais, realizados com recurso a ferramentas de automatização e sem a sua utilização.

1.5.

O presente Regulamento entra em vigor a partir do momento da sua aprovação pelo Operador e é válido por tempo indeterminado até ser substituído por um novo Regulamento.

1.6.

Todas as alterações ao Regulamento são feitas por despacho.

1.7.

Todos os funcionários da Operadora devem estar familiarizados com este Regulamento no momento da assinatura.

Metas e objetivos do processamento de PD

2.1.

O tratamento de dados pessoais deverá limitar-se à consecução de finalidades específicas, predefinidas e legítimas. Não é permitido o tratamento de dados pessoais que seja incompatível com as finalidades da recolha de dados pessoais.

2.2.

Não é permitida a combinação de bases de dados que contenham dados pessoais, cujo tratamento seja efectuado para fins incompatíveis entre si.

2.3.

Apenas estão sujeitos a tratamento os dados pessoais que cumpram as finalidades do seu tratamento.

2.4.

2.5.

O tratamento de dados pessoais dos colaboradores da Operadora poderá ser realizado exclusivamente com a finalidade de garantir o cumprimento das leis e demais regulamentos, auxiliar os colaboradores na contratação, formação e promoção, garantir a segurança pessoal dos colaboradores, monitorizar a quantidade e qualidade do trabalho executado e garantir a segurança da propriedade do Operador.

2.6.

Os principais objetivos do processamento de PD são:

As finalidades adicionais do tratamento de dados pessoais são: .

2.7.

O ISPDn fornece soluções para as seguintes tarefas: .

Dados pessoais tratados no ISPDn

3.1.

O ISPD trata os dados pessoais dos seguintes titulares de dados pessoais:

3.1.1.

Funcionários da operadora;

3.1.2.

clientes (consumidores dos serviços da Operadora);

3.1.3.

empreendedores individuais - contrapartes da Operadora;

3.1.4.

clientes de organizações, contrapartes da Operadora (atendimento a clientes corporativos);

3.2.

Esta lista pode ser revista conforme necessário.

3.3.

Os dados pessoais de sujeitos de DP incluem:

3.4.

As listas completas dos dados pessoais tratados são constituídas na lista de dados pessoais sujeitos a protecção no sistema de informação do Operador.

Acesso a dados pessoais

4.1.

Os colaboradores da Operadora que, em virtude das suas funções oficiais, trabalham constantemente com dados pessoais, têm acesso às categorias de dados pessoais exigidas para o período de exercício das respetivas funções oficiais com base na lista de pessoas autorizadas a trabalhar com dados pessoais, que é aprovado pelo Chefe do Operador. A lista é compilada com base no Conceito de Segurança da Informação e na Política de Segurança da Informação.

4.2.

A lista de pessoas que têm acesso aos dados pessoais do sistema de informação deve ser mantida atualizada.

4.3.

A operadora estabeleceu um procedimento de permissão para acesso a dados pessoais. Os funcionários da Operadora têm acesso ao trabalho com dados pessoais apenas na medida e na medida necessária para o desempenho de suas funções oficiais com base na decisão do Gestor

4.4.

A autorização temporária ou única para trabalhar com dados pessoais por necessidade oficial pode ser obtida por um funcionário da Operadora com a aprovação do Gestor.

4.5.

É proibido o acesso ao PD por terceiros que não sejam funcionários da Operadora sem o consentimento do sujeito do PD, com exceção do acesso por funcionários do poder executivo, realizado no âmbito de medidas de controle e fiscalização da aplicação da legislação, do implementação das funções e poderes dos órgãos governamentais relevantes. A prestação de informações a pedido ou solicitação de autoridade governamental é realizada com o conhecimento do Chefe da Operadora.

4.6.

Caso um funcionário de uma organização terceirizada necessite de acesso ao PD da Operadora, então é necessário que o acordo com a organização terceirizada estipule os termos de confidencialidade do PD e a obrigação da organização terceirizada e seus funcionários de cumprir com os requisitos da legislação em vigor no domínio da proteção da DP. Além disso, em caso de acesso aos dados pessoais por pessoas que não sejam funcionários da Operadora, deverá ser obtido o consentimento dos titulares dos dados pessoais para fornecer os seus dados pessoais a terceiros. O consentimento especificado não é necessário se a PD for fornecida para efeitos de execução de um contrato civil celebrado pelo Operador com o sujeito da PD.

4.7.

O acesso do colaborador do Operador aos dados pessoais cessa a partir da data de cessação da relação laboral, ou da data da alteração das responsabilidades profissionais do colaborador e/ou exclusão do colaborador da lista de pessoas com direito a aceder aos dados pessoais. Em caso de despedimento, todos os suportes que contenham dados pessoais, que, de acordo com as funções oficiais, estiveram à disposição do trabalhador durante o trabalho, deverão ser transferidos para o responsável competente.

Requisitos básicos para proteção de dados pessoais

5.1.

No tratamento de dados pessoais no sistema de informação, deve ser assegurado o seguinte:

a) tomar medidas destinadas a impedir o acesso não autorizado a dados pessoais e/ou a sua transferência para pessoas que não têm o direito de aceder a essas informações;

b) detecção atempada de factos de acesso não autorizado a dados pessoais;

c) prevenir a influência sobre os meios técnicos de tratamento automatizado de dados pessoais, podendo o seu funcionamento ser perturbado;

d) a possibilidade de restauração imediata dos dados pessoais modificados ou destruídos devido ao acesso não autorizado aos mesmos;

e) controle constante para garantir o nível de segurança do PD.

5.2.

O operador é obrigado a tomar as medidas legais, organizacionais, técnicas e outras necessárias para garantir a segurança dos dados pessoais.

5.3.

Para desenvolver requisitos de segurança e implementar um sistema de segurança de dados pessoais, a Operadora desenvolveu um “Modelo de ameaças à segurança de dados pessoais ao processá-los em um ISPD” baseado no documento regulatório e metodológico do FSTEC da Rússia “Modelo básico de ameaças à segurança dos dados pessoais quando os processam em sistemas de informação de dados pessoais.”

5.4.

Operador de acordo com o documento que rege os órgãos governamentais - Decreto do Governo da Federação Russa datado de 1 de novembro de 2012 nº 1.119 “Sobre a aprovação dos requisitos para a proteção de dados pessoais durante o seu processamento em sistemas de informação de dados pessoais” foi efectuada a classificação do ISPD do Operador.

5.5.

A Comissão elaborou um Certificado de Classificação do ISPD processado através de ferramentas de automatização:

5.6.

A operadora, com base no relatório de verificação ISPD e de acordo com o documento regulatório e metodológico do FSTEC da Rússia “Principais medidas para a organização e suporte técnico da segurança dos dados pessoais processados ​​​​em sistemas de informação de dados pessoais”, desenvolveu e implementou um conjunto de medidas para proteger e garantir a segurança dos dados pessoais (“Plano de Ação”) para garantir a segurança dos dados pessoais”).

5.7.

O operador utiliza meios técnicos e software para processar e proteger os dados pessoais. É também mantido um registo dos meios de proteção de dados pessoais.

5.8.

O operador mantém um registro de contabilidade e armazenamento de mídia de armazenamento removível.

5.9.

Os meios técnicos do ISPD acima referidos encontram-se localizados no escritório e instalações do Operador.

5.10.

Todas as pessoas autorizadas a trabalhar com a PD, bem como as associadas à operação e suporte técnico do ISPD, devem estar familiarizadas com os requisitos deste Regulamento no momento da assinatura, devendo também assinar o “Acordo sobre garantia da confidencialidade dos dados pessoais pelo Colaboradores da Operadora”, constante do Anexo ao presente Regulamento.

5.11.

A Operadora organizou um processo de formação para a utilização dos meios de proteção de dados pessoais operados pela Operadora. A formação nesta área é recomendada para pessoas que têm acesso constante a dados pessoais e para pessoas que utilizam ferramentas de hardware e software para sistemas de informação e sistemas de segurança da informação. As pessoas responsáveis ​​pela operação das ferramentas de segurança da informação ISPD devem passar por treinamento obrigatório.

5.12.

Os Colaboradores são obrigados a notificar imediatamente o responsável competente da Operadora sobre a perda ou escassez de meios de armazenamento que constituam dados pessoais, bem como os motivos e condições de uma possível fuga de dados pessoais. Se pessoas não autorizadas tentarem obter PD processada pela Operadora de um funcionário, notifique imediatamente o funcionário relevante da Operadora.

Consentimento para processamento de PD

6.1.

O sujeito da DP decide fornecer a sua DP e consente no seu tratamento livremente, por sua própria vontade e no seu próprio interesse. O consentimento para o tratamento de dados pessoais deve ser específico, informado e consciente. O consentimento para o tratamento de dados pessoais pode ser dado pelo titular dos dados pessoais ou pelo seu representante em qualquer forma que permita a confirmação do facto da sua recepção, salvo disposição em contrário da legislação da Federação Russa. Se o consentimento para o processamento da DP for recebido de um representante do sujeito da DP, os poderes deste representante para dar consentimento em nome do sujeito da DP serão verificados pelo Operador.

6.2.

A obtenção do consentimento escrito para o tratamento de dados pessoais é efectuada por um funcionário da Operadora, mediante recepção dos dados pessoais do titular dos dados pessoais, mediante emissão de consentimento escrito na forma estabelecida pela Operadora ISPD.

Direitos do titular em relação aos dados pessoais tratados pelo operador

7.1.

O sujeito PD tem direito:

Receber informações do Operador sobre o tratamento dos seus dados pessoais. A informação deve ser prestada ao titular da DP pelo Operador de forma acessível, não devendo conter DP relativas a outros sujeitos da DP, a menos que existam fundamentos legais para a divulgação de tal DP. A lista de informações e o procedimento para obtenção de informações são previstos pela legislação em vigor da Federação Russa;

Exigir que o Operador esclareça os seus dados pessoais, bloqueie-os ou destrua-os se os dados pessoais estiverem incompletos, desatualizados, imprecisos, obtidos ilegalmente ou não forem necessários para a finalidade declarada de processamento, e também tomar as medidas previstas pela legislação da Rússia Federação para proteger os seus direitos;

Sujeito a consentimento prévio por escrito no tratamento de dados pessoais para efeitos de promoção de bens, obras, serviços no mercado através de contactos diretos com potenciais consumidores através de comunicações, bem como para efeitos de propaganda política;

Sujeito à condição de consentimento por escrito ao tomar, com base no tratamento exclusivamente automatizado de DP, decisões do Operador que dêem origem a consequências jurídicas em relação ao objeto da DP ou de outra forma afetem os seus direitos e interesses legítimos;

Apresentar objeções às decisões do Operador baseadas exclusivamente no tratamento automatizado dos seus dados pessoais e às possíveis consequências jurídicas de tal decisão;

Recorrer das ações ou omissões do Operador junto do órgão autorizado para a proteção dos direitos dos titulares dos dados pessoais ou em tribunal.

Direitos e obrigações do operador ISPDn

8.1.

O operador ISPDn tem direito:

8.1.1.

Confiar o processamento da DP a outra pessoa com o consentimento do sujeito da DP, salvo disposição em contrário da lei federal, com base em acordo celebrado com essa pessoa, incluindo contrato estadual ou municipal, ou mediante adoção de ato correspondente por um órgão estadual ou municipal.

8.1.2.

Se o sujeito da DP retirar o consentimento para o processamento da DP, continue o processamento da DP sem o consentimento do sujeito da DP, se houver motivos especificados na legislação da Federação Russa.

8.1.3.

Recusar o titular dos dados pessoais a cumprir um pedido repetido de informações que não cumpra as condições previstas pela legislação da Federação Russa. Tal recusa deve ser motivada. A obrigação de comprovar a validade da recusa de atendimento de um pedido reiterado cabe ao operador.

8.1.4.

Determinar de forma independente a composição e lista de medidas necessárias e suficientes para garantir o cumprimento das obrigações do Operador IPDN previstas pela legislação da Federação Russa.

8.2.

O operador do ISPD está obrigado a:

8.2.1.

Antes de iniciar o processamento de PD, o operador é obrigado a notificar o órgão autorizado para a proteção dos direitos dos sujeitos de DP sobre sua intenção de processar PD, exceto nos casos previstos na legislação da Federação Russa.

8.2.2.

Ao obter acesso à DP, não divulgue a DP a terceiros ou distribua a DP sem o consentimento do sujeito da DP, salvo disposição em contrário da lei federal.

8.2.3.

Fornecer prova da obtenção do consentimento do DP sujeito ao tratamento da sua DP ou prova da existência de fundamentos legais para o tratamento da DP sem o consentimento do sujeito da DP.

8.2.4.

Antes de iniciar a transferência transfronteiriça de dados pessoais, certifique-se de que o estado estrangeiro para cujo território os dados pessoais são transferidos oferece proteção adequada dos direitos dos titulares dos dados pessoais.

8.2.5.

A pedido do sujeito da DP, interromper o tratamento da sua DP para fins de promoção de bens, obras, serviços no mercado, através de contactos diretos com potenciais consumidores através de comunicações, bem como para efeitos de propaganda política.

8.2.6.

Explicar ao sujeito da DP o procedimento para tomar uma decisão baseada exclusivamente no processamento automatizado da sua DP e as possíveis consequências jurídicas de tal decisão, proporcionar a oportunidade de se opor a tal decisão e também explicar o procedimento para o sujeito da DP proteger seus direitos e interesses legítimos.

A operadora é obrigada a considerar a objeção no prazo de trinta dias a partir da data de seu recebimento e notificar o sujeito do PD sobre os resultados da consideração de tal objeção.

8.2.7.

Ao coletar PD, forneça ao sujeito da PD, a seu pedido, as informações previstas na legislação da Federação Russa.

Caso o fornecimento de PD ao Operador para o sujeito PD seja obrigatório de acordo com a legislação federal, o Operador é obrigado a explicar ao sujeito PD as consequências jurídicas da recusa de fornecimento de seu PD.

8.2.8.

Se o PD não for recebido do sujeito do PD, o Operador, exceto nos casos previstos pela legislação da Federação Russa, antes de processar tal PD, fornece ao sujeito do PD as seguintes informações:

1) nome ou sobrenome, nome, patronímico e endereço da operadora ou de seu representante;

2) a finalidade do processamento da DP e sua base jurídica;

3) usuários pretendidos de dados pessoais;

4) os direitos do titular dos dados pessoais estabelecidos por esta Lei Federal;

5) fonte de obtenção de PD.

8.2.9.

Tomar as medidas necessárias e suficientes para garantir o cumprimento das obrigações do Operador IPDN previstas na legislação da Federação Russa.

8.2.11.

Ao recolher PD através de redes de informação e telecomunicações, publicar na rede de informação e telecomunicações relevante um documento que defina a sua política relativamente ao tratamento de PD, e informação sobre os requisitos implementados para a protecção de PD, bem como garantir a capacidade de acesso ao especificado documento utilizando os meios de rede de informação e telecomunicações apropriados.

8.2.12.

Apresentar documentos e atos locais previstos pela legislação da Federação Russa e/ou confirmar de outra forma a adoção de medidas necessárias e suficientes para garantir o cumprimento das obrigações do Operador IPDN, a pedido do órgão autorizado para a proteção de os direitos dos sujeitos DP.

8.2.13.

Ao processar PD, tomar as medidas legais, organizacionais e técnicas necessárias ou garantir a sua adoção para proteger a PD de acesso não autorizado ou acidental a ela, destruição, modificação, bloqueio, cópia, fornecimento, distribuição de PD, bem como de outras ações ilegais em relação à DP.

8.2.14.

Informar, na forma prescrita pela legislação da Federação Russa, o sujeito do PD ou seu representante com informações gratuitas sobre a disponibilidade de PD relacionado ao assunto de PD relevante, e também fornecer a oportunidade de se familiarizar com esses PD ao se inscrever para o sujeito PD ou seu representante ou no prazo de trinta dias a partir da data de recebimento da solicitação do sujeito PD ou seu representante.

8.2.15.

Em caso de recusa em fornecer informações sobre a disponibilidade de PD sobre o sujeito PD ou PD correspondente ao sujeito PD ou seu representante a seu pedido ou após o recebimento de uma solicitação do sujeito PD ou seu representante, o operador é obrigado a dar um resposta fundamentada por escrito contendo uma referência às disposições da legislação da Federação Russa, que é a base para tal recusa, dentro de um período não superior a trinta dias a partir da data de aplicação do sujeito da DP ou de seu representante ou a partir da data do recebimento da solicitação do sujeito da DP ou de seu representante.

8.2.16.

Num prazo não superior a sete dias úteis a contar da data em que o titular da PD ou o seu representante forneça informações que comprovem que a PD está incompleta, imprecisa ou irrelevante, o Operador é obrigado a proceder-lhes às alterações necessárias. Num prazo não superior a sete dias úteis a contar da data em que o titular da DP ou o seu representante apresenta informações que confirmem que tal DP foi obtida ilegalmente ou não é necessária para a finalidade declarada de tratamento, o operador é obrigado a destruir tal DP. O operador é obrigado a notificar o sujeito da PD ou o seu representante sobre as alterações efetuadas e as medidas tomadas e a tomar as medidas razoáveis ​​​​para notificar os terceiros a quem foram transferidas as PD deste sujeito.

8.2.17.

Comunicar ao órgão autorizado para a proteção dos direitos dos titulares de dados pessoais, a pedido deste órgão, as informações necessárias no prazo de trinta dias a contar da data de recepção de tal pedido.

8.2.18.

Caso seja detetado o tratamento ilícito de PD, efetuado pelo Operador ou por pessoa que atue em nome do Operador, o Operador, num prazo não superior a três dias úteis a contar da data dessa deteção, fica obrigado a interromper o tratamento ilícito de PD ou garantir a cessação do processamento ilegal de DP por uma pessoa agindo em nome do Operador. Na impossibilidade de garantir a legalidade do tratamento da PD, o Operador, num prazo não superior a dez dias úteis a contar da data de detecção do tratamento ilícito da PD, fica obrigado a destruir essa PD ou a garantir a sua destruição. A Operadora é obrigada a notificar o sujeito da DP ou seu representante sobre a eliminação das violações ou a destruição da DP, e se o recurso do sujeito da DP ou seu representante ou a solicitação do órgão autorizado para a proteção dos direitos dos sujeitos da DP foi enviado pelo órgão autorizado para a proteção dos direitos dos sujeitos da DP, também o órgão especificado.

8.2.19.

Se a finalidade do tratamento de dados pessoais for alcançada, o Operador é obrigado a interromper o tratamento de dados pessoais ou garantir a sua rescisão (se o tratamento de dados pessoais for realizado por outra pessoa agindo em nome do Operador) e destruir os dados pessoais ou garantir a sua destruição (se o processamento de dados pessoais for realizado por outra pessoa agindo em nome do Operador) dentro do prazo, não superior a trinta dias a partir da data de atingir a finalidade do processamento de PD, salvo disposição em contrário do acordo ao qual o PD sujeito é um parte, beneficiário ou fiador, outro acordo entre a Operadora e o sujeito da PD, ou se a Operadora não tiver o direito de processar a PD sem o consentimento do sujeito da PD pelos motivos previstos na legislação da Federação Russa.

8.2.20.

Se o sujeito da DP retirar o consentimento para o processamento da sua DP, interromper o seu processamento ou garantir o término de tal processamento (se o processamento da DP for realizado por outra pessoa agindo em nome do Operador) e se a preservação da DP não for mais necessária para efeitos de tratamento da DP, destruir a DP ou assegurar a sua destruição (se o tratamento da DP for realizado por outra pessoa agindo em nome do Operador) num prazo não superior a trinta dias a contar da data de recepção da referida resposta, salvo previsto de outra forma pelo contrato do qual o sujeito da DP é parte, beneficiário ou fiador, ou outro acordo entre o operador e o sujeito da DP ou se o Operador não tiver o direito de processar a PD sem o consentimento do sujeito da DP pelos motivos previstos para pela legislação da Federação Russa.

8.2.21.

Nomear um responsável pela organização do tratamento dos dados pessoais.

Procedimento de tratamento e proteção de dados pessoais

9.1.

A garantia da confidencialidade dos dados pessoais tratados pelo Operador é um requisito obrigatório para todas as pessoas a quem os dados pessoais tenham sido conhecidos.

9.2.

Os funcionários da Operadora que processam documentos são obrigados a obter, em determinados casos, o consentimento dos sujeitos do PD para o processamento.

9.3.

Em caso de violação do procedimento estabelecido para o processamento de PD, os funcionários da Operadora serão responsáveis ​​​​de acordo com a Seção 9 deste Regulamento.

9.4.

A PD de assuntos em papel, processada pela Operadora, é armazenada em departamentos (com funcionários) que possuem autorização para processar a respectiva PD. O direito dos colaboradores de aceder a sistemas de informação não automatizados é determinado por despacho do Gestor. Os suportes de dados pessoais não devem ser deixados sem vigilância. Ao sair do local de trabalho, os funcionários que processam dados pessoais devem colocar a mídia em um armário seguro e trancado ou limitar de outra forma o acesso não autorizado à mídia. Se o PD for perdido ou danificado, ele será restaurado sempre que possível.

9.5.

Locais de armazenamento de documentos contendo PD:

9.5.1.

PD dos clientes da Operadora (contratos, atos, acordos, questionários, cópias de passaportes, outros documentos similares contendo PD dos clientes da Operadora, mídias de armazenamento (cartões flash, CDs, etc.) são armazenados nos escritórios principal e de reserva da Operadora , colocado nas prateleiras e trancado com chave. O responsável pelo controle é determinado por ordem do Gerente.

9.5.2.

Os dados pessoais dos colaboradores da Operadora - documentos, suportes de armazenamento (cartões flash, CDs, etc.) são guardados no cofre da empresa e trancados com chave. A pessoa responsável que exerce o controle é o Chefe da Operadora.

9.6.

A emissão de documentos para revisão é efectuada às pessoas admitidas à informação relevante para efeitos do exercício de funções oficiais, por um período não superior a um dia útil.

9.7.

Outros meios de armazenamento poderão ser armazenados nos escritórios principal e de apoio do Operador, colocados em prateleiras e trancados com chave, ou no cofre da organização. O responsável que exerce o controle sobre os demais suportes de informação é determinado por despacho do Gestor.

9.8.

Ao trabalhar com o software do sistema automatizado da Operadora, que implementa as funções de visualização e edição de PD, é proibida a exibição de telas contendo tais dados a pessoas que não possuam a devida autorização.

9.9.

Ao receber PD por funcionário da Operadora, que, de acordo com suas funções profissionais, recebe PD de cliente ou funcionário de outra pessoa, deverá ser verificada a autenticidade da PD. A PD recebida pela Operadora é inserida no sistema de informação pelos colaboradores que têm acesso à respectiva PD. Os funcionários que inserem informações são responsáveis ​​pela exatidão e integridade das informações inseridas.

9.10.

As características de processamento de dados pessoais contidos em papel, sem o uso de ferramentas de automação (um computador pessoal não é usado na elaboração de documentos) são estabelecidas de acordo com o Decreto do Governo da Federação Russa de 15 de setembro de 2008 N 687 "Em aprovação do Regulamento sobre as características do tratamento de dados pessoais realizado sem utilização de ferramentas de automação" .

9.11.

Ao processar manualmente diferentes categorias de dados pessoais, deve ser utilizado um suporte material separado para cada categoria de dados pessoais.

9.12.

Em caso de tratamento não automatizado de dados pessoais em papel:

9.12.1.

Não é permitida a gravação num único suporte de papel de PD cujas finalidades de tratamento sejam manifestamente incompatíveis;

9.12.2.

A PD deve ser separada das demais informações, nomeadamente registando-as em suporte de papel distinto, em secções especiais ou nos campos dos formulários (formulários);

9.13.

Na utilização de formulários padrão de documentos, cuja natureza da informação sugere ou permite a inclusão de PD nos mesmos (doravante denominados formulários padrão), devem ser atendidas as seguintes condições:

9.13.1.

O formulário padrão ou documentos relacionados (instruções para preenchimento, cartões, registros e diários) devem conter informações sobre a finalidade do processamento não automatizado da PD, nome (nome) e endereço da Operadora, sobrenome, nome, patronímico e endereço do sujeito da PD, fonte de recebimento da PD, prazos de tratamento de dados pessoais, lista de ações com dados pessoais que serão realizadas durante o seu tratamento, descrição geral dos métodos de tratamento de dados pessoais utilizados pelo operador ;

9.13.2.

O formulário padrão deve incluir um campo no qual o sujeito da DP possa marcar seu consentimento para o processamento não automatizado da DP, caso seja necessário obter consentimento por escrito para o processamento da DP;

9.13.3.

O formulário padrão deve ser elaborado de forma que cada um dos sujeitos da DP contidos no documento tenha a oportunidade de se familiarizar com a sua DP contida no documento sem violar os direitos e interesses legítimos dos demais sujeitos da DP;

9.13.4.

O formulário normalizado deverá excluir a combinação de campos destinados à introdução de dados pessoais, cujas finalidades de tratamento sejam manifestamente incompatíveis.

9.14.

O armazenamento da PD deve ser realizado de forma que permita a identificação do sujeito da PD, não mais do que o exigido pelas finalidades do processamento da PD, a menos que o período de armazenamento da PD seja estabelecido por lei federal, acordo ao qual o objeto da PD é uma parte, beneficiário ou fiador.

9.15.

Casos de destruição, bloqueio e esclarecimento de dados pessoais:

9.16.

A destruição ou despersonalização de parte dos dados pessoais, se permitida por um suporte tangível, pode ser realizada de forma a impedir o tratamento posterior desses dados pessoais, mantendo a possibilidade de tratamento de outros dados registados num suporte tangível (eliminação, apagamento).

9.17.

O esclarecimento dos dados pessoais no seu tratamento sem recurso a ferramentas de automatização é efectuado através da actualização ou alteração dos dados em suporte tangível, e se tal não for permitido pelas características técnicas do suporte físico - através do registo no mesmo suporte físico informação sobre alterações feitas neles ou pela produção de um novo meio material com PD atualizada.

9.18.

A destruição de mídias que contenham dados pessoais é realizada na seguinte ordem:

9.18.1.

O PD em papel é destruído por meio de trituradoras (trituradoras de documentos) instaladas no escritório da Operadora.

9.18.2.

O PD localizado na memória do PC é destruído ao ser excluído da memória do PC.

9.18.3.

PD localizado em um cartão flash, CD ou outro meio de armazenamento é destruído excluindo o arquivo da mídia, se necessário, interrompendo a funcionalidade do cartão flash ou CD.

9.19.

É elaborado um relatório sobre a destruição do meio de armazenamento (para formulários de relatórios, ver anexos).

9.20.

O escritório, dependências da Operadora, no final da jornada de trabalho e ausência de funcionários nas dependências do escritório, devem ser trancados, as janelas devem ser fechadas, o alarme deve ser ligado (se houver).

9.21.

Os equipamentos de rede e servidores devem estar localizados em locais inacessíveis a pessoas não autorizadas (em salas especiais, armários, caixas).

9.22.

A limpeza das instalações e a manutenção dos equipamentos técnicos do ISPD devem ser realizadas sob o controle dos responsáveis ​​​​por essas instalações e meios técnicos em conformidade com medidas que excluam o acesso não autorizado ao PD, suportes de informação, software e hardware para processamento, transmissão e proteção de informações do ISPD .

9.23.

As responsabilidades dos administradores do ISPD incluem a gestão de contas de utilizadores do ISPD, a manutenção do funcionamento normal do ISPD, a garantia de backup dos dados, bem como a instalação e configuração de hardware e software do ISPD não relacionados com a garantia da segurança dos dados no ISPD. Além disso, as responsabilidades dos administradores do ISPD incluem garantir a conformidade do procedimento de processamento e garantir a segurança do PD no ISPD com os requisitos de confidencialidade, integridade e disponibilidade de PD impostos a um ISPD específico, e os requisitos gerais para segurança de PD estabelecidos por federal legislação.

9.24.

As responsabilidades dos administradores do ISPD também incluem instalação, configuração e administração de ferramentas de hardware e software para proteção de informações do ISPD, contabilidade e armazenamento de meios de armazenamento de dados de máquina, auditoria periódica de logs de segurança e análise da segurança do ISPD, bem como participação em investigações oficiais de violações do procedimento estabelecido para processamento e garantia da segurança do PD .

9.25.

A fim de garantir a distribuição de poderes, a implementação do controlo mútuo e a prevenção da concentração de poderes críticos para a segurança dos dados pessoais numa só pessoa, não é recomendado combinar as funções de um utilizador ISPD e de um administrador ISPD no pessoa de um funcionário.

9.26.

Os requisitos de qualificação e uma lista detalhada de direitos e responsabilidades dos administradores do ISPD estão definidos nas descrições de cargos relevantes, com as quais os funcionários nomeados para essas funções devem estar familiarizados no momento da assinatura.

9.27.

A organização do controlo interno do processo de processamento de PD no Operador é efectuada com o objectivo de estudar e avaliar o estado real da segurança do PD, responder atempadamente às violações do procedimento estabelecido para o seu processamento, bem como para melhorar este procedimento e garantir o seu cumprimento.

9.28.

As medidas de implementação do controlo interno sobre o tratamento e segurança dos dados pessoais visam resolver as seguintes tarefas:

9.28.1.

Garantir o cumprimento por parte dos colaboradores da Operadora dos requisitos deste Regulamento e dos regulamentos que regem o âmbito dos dados pessoais.

9.28.2.

Avaliar a competência do pessoal envolvido no processamento de dados pessoais.

9.28.3.

Garantir a operacionalidade e eficácia dos meios técnicos do ISPD e dos meios de proteção da PD, a sua conformidade com os requisitos das autoridades executivas autorizadas em questões de segurança da PD.

9.28.4.

Detecção de violações do procedimento estabelecido para o tratamento de dados pessoais e prevenção atempada das consequências negativas de tais violações.

9.28.5.

Tomar medidas corretivas destinadas a eliminar as violações identificadas, tanto no procedimento de tratamento da PD como no funcionamento dos meios técnicos do ISPD.

9.28.7.

Exercer o controle interno sobre a implementação de recomendações e instruções para eliminar violações.

9.29.

Os resultados das atividades de controlo são documentados em atos e servem de base para o desenvolvimento de recomendações para a melhoria do procedimento de tratamento e garantia da segurança dos dados pessoais, para a modernização dos meios técnicos dos sistemas de informação e dos meios de proteção dos dados pessoais, para a formação e melhoria do competência do pessoal envolvido no processamento de dados pessoais.

Recursos de gerenciamento de dados pessoais de funcionários da operadora

10.1.

Esta seção estabelece direitos e obrigações adicionais da Operadora e dos funcionários no processamento de dados pessoais dos funcionários da Operadora.

10.2.

Os dados pessoais dos colaboradores são informações exigidas pela Operadora no âmbito das relações laborais e relativas a um determinado colaborador.

10.3.

O tratamento dos dados pessoais de um colaborador pode ser realizado exclusivamente com a finalidade de garantir o cumprimento das leis e outros regulamentos, auxiliar os colaboradores no emprego, formação e promoção, garantir a segurança pessoal dos colaboradores, monitorizar a quantidade e qualidade do trabalho executado e garantir a segurança da propriedade.

10.4.

A operadora não tem o direito de receber e tratar dados pessoais de funcionário sobre sua filiação a associações públicas ou sobre sua atuação sindical, exceto nos casos previstos em legislação federal;

10.5.

Ao tomar decisões que afetem os interesses de um funcionário, o Operador não tem o direito de confiar nos dados pessoais do funcionário obtidos exclusivamente como resultado de seu processamento automatizado ou recebimento eletrônico;

10.6.

Os funcionários não devem renunciar aos seus direitos de manter e proteger segredos;

10.7.

O operador compromete-se a não divulgar as informações pessoais do colaborador para fins comerciais sem o seu consentimento por escrito;

10.8.

A Operadora compromete-se a alertar os colaboradores da Operadora e terceiros que recebam os dados pessoais do colaborador (com o seu consentimento) que estes dados só podem ser utilizados para os fins para os quais foram comunicados, e exigir que estas pessoas confirmem o cumprimento desta regra. As pessoas que recebem dados pessoais de um funcionário estão obrigadas a observar um regime de sigilo (confidencialidade). O regime de confidencialidade é assegurado mediante assinatura de acordo com a pessoa (Anexo ao presente Regulamento). Esta disposição não se aplica à troca de dados pessoais de funcionários na forma prescrita pela legislação da Federação Russa;

10.9.

O acesso aos dados pessoais dos colaboradores é efectuado com base em portarias e regulamentos aprovados pela Operadora.

10.10.

A operadora compromete-se a não solicitar informações sobre o estado de saúde do trabalhador, com exceção de informações que digam respeito à questão da capacidade do trabalhador para o desempenho de uma função laboral;

10.11.

A operadora compromete-se a transferir o PD do funcionário para os representantes dos funcionários na forma estabelecida pela legislação da Federação Russa e a limitar essas informações apenas aos PD do funcionário que sejam necessários para que esses representantes desempenhem suas funções.

10.12.

O funcionário tem o direito de determinar seus representantes para proteger seus dados pessoais.

Responsabilidade pela violação desta disposição

11.1.

A administração da Operadora é responsável pela não garantia da confidencialidade dos dados pessoais e pelo incumprimento dos direitos e liberdades dos titulares dos dados pessoais em relação aos seus dados pessoais, incluindo os direitos à privacidade, aos segredos pessoais e familiares.

11.4.

Nos casos de violação do procedimento estabelecido para processamento e garantia da segurança da PD, acesso não autorizado à PD, divulgação da PD e causar danos materiais ou outros à Operadora, seus funcionários, clientes e contrapartes, os autores arcam com ações civis, criminais, administrativas , disciplinar e outras responsabilidades previstas na legislação da Federação Russa.

Desde o final do verão que a Lei dos Dados Pessoais está em vigor numa nova versão. As regras para obtenção e proteção de informações mudaram. Para o empregador, isso significa apenas uma coisa: documentação adicional. Neste artigo falaremos sobre como elaborar regulamentos sobre o trabalho com dados pessoais de funcionários e nomear um responsável pela organização do trabalho com dados pessoais.

O que são dados pessoais

A Lei Federal nº 152-FZ de 27 de julho de 2006 “Sobre Dados Pessoais” (doravante denominada Lei nº 152-FZ) define Informações pessoais como qualquer informação direta ou indiretamente relacionada a um indivíduo (para o assunto dos dados pessoais). Isto é afirmado no parágrafo 1º do art. 3º da Lei nº 152-FZ.

De acordo com a Parte 1 do art. 85 do Código do Trabalho, por dados pessoais de um trabalhador entende-se a informação relativa a um determinado trabalhador, necessária ao empregador no âmbito das relações laborais. Estamos falando de dados como:

• Nome completo;
• Data e local de nascimento;
• endereço;
• Situação familiar;
• cargo (profissão);
• salário, outras receitas;
• propriedade de imóveis, depósitos em dinheiro, etc.;
• educação, qualificações, formação profissional, informação sobre formação avançada;
• hábitos e hobbies, inclusive prejudiciais (álcool, drogas, etc.);
• fatos biográficos e atividade profissional anterior (local de trabalho, valor dos rendimentos, antecedentes criminais, serviço militar, atuação em cargos eletivos, serviço público, etc.);
• características fisiológicas, saúde;
• negócios e outras qualidades pessoais;
• outra informação.

A lista de documentos pessoais contendo dados pessoais dos funcionários é apresentada na tabela. 1 na pág. 76.

Tabela 1. Documentos contendo dados pessoais de colaboradores

Operador de tratamento de dados pessoais

De acordo com a Lei N 152-FZ, denomina-se a pessoa (jurídica ou física) que organiza e (ou) realiza o tratamento de dados pessoais, determina sua composição, as finalidades do tratamento e as ações realizadas com os dados pessoais. operador(Cláusula 2º do art. 3º da Lei nº 152-FZ). No nosso caso, este é o empregador.

Tratamento de dados pessoais- qualquer ação realizada com eles. Operações de tratamento de dados pessoais:

• coleção;
• gravação;
• sistematização;
• acumulação;
• armazenar;
• esclarecimento (atualização, alteração);
• Extração;
• uso;
• transmissão (distribuição, provisão, acesso);
• despersonalização;
• bloqueio;
• eliminação;
• destruição de dados pessoais.

Regulamentos sobre como trabalhar com dados pessoais

O procedimento de tratamento de dados pessoais pelo operador pode ser estabelecido no Regulamento sobre o trabalho com dados pessoais dos colaboradores (doravante designado por Regulamento). Não existe uma forma unificada do documento. Vejamos como redigir este documento levando em consideração os requisitos da Lei N 152-FZ. O regulamento consiste em várias seções. Eles são apresentados na tabela. 2. Também indica brevemente as informações que as seções devem conter. A informação detalhada é apresentada num fragmento do Regulamento sobre dados pessoais dos colaboradores, que se encontra na pág. 80.

Tabela 2. Estrutura do Regulamento sobre dados pessoais dos colaboradores

Fragmento do Regulamento sobre dados pessoais dos colaboradores

Introdução do Regulamento em vigor

O regulamento sobre dados pessoais é aprovado pelo responsável da empresa e posto em vigor por despacho da organização (exemplo apresentado na pág. 90). Um registro da aprovação do Regulamento deverá ser feito no registro de regulamentos locais.

Se houver um sindicato

Caso a empresa possua sindicato, o Regulamento deverá ser acordado com o mesmo. Para tal, os projetos de regulamento são enviados ao órgão eleito do sindicato (artigo 372.º do Código do Trabalho da Federação Russa). Deve manifestar a sua opinião (por escrito) no prazo máximo de cinco dias úteis a contar da data de recepção do projecto. Caso o sindicato não concorde com o projeto ou tenha propostas para seu aprimoramento, a administração tem duas opções. A primeira é concordar. A segunda é realizar consultas adicionais com o sindicato no prazo de três dias após a recepção de um parecer fundamentado, a fim de alcançar uma solução mutuamente aceitável. Se isso não ajudar, um protocolo de desacordo deve ser elaborado. Depois disso, a administração tem o direito de adotar o Regulamento sem levar em conta as reivindicações do sindicato. No entanto, poderá recorrer do Regulamento ou iniciar o procedimento de litígio coletivo de trabalho na forma prevista no Capítulo. 61 Código do Trabalho.

Familiarização dos colaboradores com o Regulamento

Os funcionários devem estar familiarizados com o Regulamento mediante assinatura (cláusula 8 do artigo 86 do Código do Trabalho da Federação Russa). Este fato pode ser registrado:

• no texto do contrato de trabalho de cada funcionário (relação das regulamentações locais com as quais o funcionário está familiarizado antes de assinar o contrato);
• - uma ficha para familiarização com o Regulamento (exemplo na pág. 91);
• - um diário de bordo para familiarizar os funcionários com os regulamentos locais (exemplo na pág. 91).

Folha de amostra para familiarização com os regulamentos locais

Fragmento do log de introduçãoRegulamentossobre dados pessoais

Observação. Período de armazenamento de dados pessoais

Os regulamentos locais (regulamentos, instruções) sobre dados pessoais devem ser armazenados permanentemente. Quanto às declarações de consentimento dos funcionários para o processamento de dados (serão discutidas em edições futuras) e outros documentos dos funcionários, eles são armazenados por 75 anos. Isto é afirmado na Lista aprovada pela Ordem do Ministério da Cultura da Rússia de 25 de agosto de 2010 N 558.

Responsabilidade administrativa

As medidas de responsabilidade administrativa (principalmente multas são previstas, a desqualificação não é aplicada neste caso) para uma empresa e seus funcionários por violação do procedimento de recebimento, processamento, armazenamento e proteção de dados pessoais de funcionários são apresentadas na Tabela. 3.

Tabela 3. Responsabilidade pela violação do procedimento de obtenção, processamento, armazenamento e proteção de dados pessoais de colaboradores