Kişisel verilerin işlenmesine ilişkin bu talimat (bundan sonra Talimat olarak anılacaktır) 27 Temmuz 2006 tarihli Federal Kanuna uygun olarak geliştirilmiştir. No. 152-FZ “Kişisel Veriler Hakkında”. Bu talimat, kişisel verilerin işlenmesi prosedürünü ve gizlilik, kişisel ve aile haklarının korunması da dahil olmak üzere bireylerin ve vatandaşların kişisel verilerini işlerken hak ve özgürlüklerini korumak amacıyla CardsProService LLC'de kişisel verilerin güvenliğini sağlamaya yönelik önlemleri tanımlar. sırlar.

1. TERİMLER VE TANIMLAR

1) Kişisel bilgi- doğrudan veya dolaylı olarak tanımlanmış veya kimliği belirlenebilir bir kişiye (kişisel veri konusu) ilişkin her türlü bilgi;

2) Operatör (Müşteri) - devlet organı, belediye organı, tüzel kişi veya birey, bağımsız olarak veya diğer kişilerle birlikte kişisel verilerin işlenmesini organize eder ve (veya) yürütür, ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini belirler. kişisel verilerle gerçekleştirilen eylemler (işlemler);

3) Kişisel verilerin işlenmesi- toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma dahil olmak üzere, otomasyon araçları kullanılarak veya kişisel verilerle bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya eylem dizisi (işlemler), kişisel verilerin aktarımı (dağıtım, provizyon, erişim), duyarsızlaştırma, engelleme, silme, imha etme;

4) Kişisel verilerin otomatik olarak işlenmesi- kişisel verilerin bilgisayar teknolojisi kullanılarak işlenmesi;

5) Kişisel verilerin yayılması- kişisel verilerin belirsiz sayıda kişiye ifşa edilmesini amaçlayan eylemler;

6) Kişisel verilerin sağlanması- kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) Kişisel verileri engelleme- kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) Kişisel verilerin imhası- kişisel veri içeriğinin kişisel veri bilgi sistemindeki geri yüklenmesinin imkansız hale geldiği ve (veya) kişisel verilerin maddi ortamının imha edildiği eylemler;

9) Müşterinin yetkili kişileri- anlaşmaya uygun olarak hareket eden kişiler
Müşteri ile gizlilik sözleşmesi imzalanmıştır.

10) HAKKINDAkişisel verilerin kişiselleştirilmesi- ek bilgi kullanılmadan kişisel verilerin belirli bir kişisel veri konusuna ait olduğunu belirlemenin imkansız hale geldiği eylemler;

11) Kişisel veri bilgi sistemi- veri tabanlarında yer alan kişisel verilerin tamamı ve bunların işlenmesini sağlayan bilgi teknolojileri ve teknik araçlar;

12) Kişisel verilerin sınır ötesi aktarımı- kişisel verilerin aktarılması
yabancı bir devletin topraklarının yabancı bir devletin makamına, yabancı bir gerçek kişiye veya yabancı bir tüzel kişiye;

13) icracı- CardsProService LLC (123610, Moskova, Krasnopresnenskaya dolgu, bina 12, ofis binası 1, oda kimliği, oda 42; OGRN 1157746550070).

2. KİŞİSEL VERİLERİN İŞLENMESİ EMRİ

2.1. Kişisel verilerin Operatörü olan Müşteri, Sanatın 3. maddesi uyarınca. 27 Temmuz 2006 tarihli ve 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanunun 6'sı talimat verir ve Yüklenici, konuların kişisel verilerini Müşterinin çıkarları doğrultusunda ve uyarınca işlemeyi taahhüt eder.
Kullanıcı Sözleşmesi.

3. TARAFLARIN ETKİLEŞİM PROSEDÜRÜ

3.1. Yüklenicinin, Müşterinin çıkarları doğrultusunda gerçekleştirdiği kişilerin kişisel verilerini işlemesinin temeli Kullanıcı Sözleşmesidir.

3.2. Kişisel veri sahiplerinin, kişisel verilerinin işlenmesi ve aktarılmasına ilişkin rızalarının toplanmasının yanı sıra kişisel verilerin işlenme amaçları, işlenecek kişisel verilerin bileşimi, kişisel verilerle gerçekleştirilen eylemler (işlemler):

3.2.1. Kişisel verilerin işlenme amacı.

Kişisel verilerin işlenmesi, sadakat programlarının uygulanması amacıyla görevlendirilir.

3.2.2. İşlenmesi Yükleniciye emanet edilen kişisel verilerin listesi

• Ad Soyad;
• Doğum yeri, yılı ve tarihi;
• İletişim numarası;
• Kayıt adresi;
• Gerçek ikamet yerinin adresi (kalış);
• Pasaport verileri (seri, pasaport numarası, kimin tarafından ve ne zaman verildiği);
• Telefon numarası (ev, iş, cep telefonu).

• Kişisel verilerin toplanması.
• Kişisel verilerin sistemleştirilmesi.
• Kişisel verilerin birikmesi.
• Sadakat programlarının uygulanması ve kişisel veri sahipleri ile iletişim için kişisel verilerin kullanılması.
• Kişisel verilerin saklanması.
• Kişisel verilerin açıklığa kavuşturulması (güncellenmesi, değiştirilmesi):
  
  
• Çıkarma (boşaltma) - Müşterinin ek yazılı talimatları üzerine.
• Kişisel verilerin kişiselleştirilmesi:
  -
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
• Kişisel verilerin engellenmesi:
  - Müşterinin ek yazılı talimatları üzerine;
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
• Kişisel verilerin silinmesi:
  - Müşterinin ek yazılı talimatları üzerine;
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
  - Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.
• Kişisel verilerin imhası - Müşterinin ek yazılı talimatı üzerine.

Kişisel verilerin işlenmesi belirli, önceden tanımlanmış ve meşru amaçların gerçekleştirilmesiyle sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan şekilde işlenmesine izin verilmez.
Birbiriyle bağdaşmayan amaçlarla işlenen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.
Yalnızca işlenme amaçlarına uygun olan kişisel veriler işleme tabi tutulur.
İşlenen kişisel verilerin içeriği ve hacmi belirtilen işleme amaçlarına uygun olmalıdır. İşlenen kişisel veriler, belirtilen işlenme amaçlarına göre gereksiz olmamalıdır.
Kişisel verileri işlerken, kişisel verilerin doğruluğu, yeterliliği ve kişisel verilerin işlenme amaçlarına uygunluğu sağlanmalıdır.
Kişisel verilerin saklanması, sözleşme şartlarında aksi belirtilmedikçe, kişisel verilerin işlenme amaçlarının gerektirdiği süreden daha uzun olmamak üzere, kişisel verilerin konusunun belirlenmesine olanak tanıyan bir biçimde gerçekleştirilmelidir. İşlenen kişisel veriler, sözleşme şartlarında aksi belirtilmedikçe, işleme amaçlarına ulaşıldığında veya bu amaçlara ulaşma ihtiyacının ortadan kalkması durumunda imha edilmeye veya kişiliksizleştirmeye tabi tutulur.

3.2.5. Kişisel verilerin korunması organizasyonu

Koruma nesneleri

• deneklerin kişisel verilerini içeren bilgiler;
• deneklerin kişisel verilerini içeren bilgisayar ortamı;
• kişisel veri bilgi sistemleri;
• kişisel veri bilgi sistemlerinin elektronik veritabanlarında yer alan konuların kişisel verileri.

Kişisel verilerin güvenliğini sağlamak için Yüklenici aşağıdaki önlemleri almalıdır:

• Kişisel verileri yetkisiz veya kazara erişime, imhaya, değiştirmeye, engellemeye, kopyalamaya, sağlamaya, dağıtmaya ve ayrıca kişisel verilerle ilgili diğer yasa dışı eylemlere karşı korumak için gerekli yasal, organizasyonel ve teknik önlemler veya bunların benimsenmesini sağlayın.
• Yüklenici çalışanlarının, Kişisel Verileri İfşa Etmeme Yükümlülüğünü imzaladıktan sonra Müşteri adına işlenen kişisel verilere erişiminin sağlanması, Müşterinin kişisel verilerin işlenmesi ve korunması prosedürüne ilişkin gerekliliklerinin incelenmesi, bu prosedürü düzenleyen yerel düzenlemeler kişisel verilerin korunmasını organize etmek ve sağlamak ve kişisel verilerin işlenmesine ilişkin prosedür konusunda eğitim almak.
• Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğine yönelik tehditlerin belirlenmesi.
• Kişisel verilerin korunmasına ilişkin gereklilikleri yerine getirmek için gerekli olan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamaya yönelik kurumsal ve teknik önlemlerin uygulanması; uygulanması, Hükümetin belirlediği kişisel veri güvenliği seviyelerini sağlar. Rusya Federasyonu.
• Kişisel veri bilgi sistemi devreye alınmadan önce kişisel verilerin güvenliğinin sağlanmasına yönelik alınan tedbirlerin etkinliğinin değerlendirilmesi.
• Kişisel verilerin bilgisayar depolama ortamının muhasebeleştirilmesi.
• Kişisel verilere yetkisiz erişim olgularının tespiti ve tedbirlerin alınması.
• Yetkisiz erişim nedeniyle değiştirilen veya yok edilen kişisel verilerin restorasyonu.
• Kişisel veri bilgi sisteminde işlenen kişisel verilere erişime ilişkin kuralların oluşturulması ve kişisel verilerle gerçekleştirilen tüm işlemlerin kişisel veri bilgi sisteminde kayıt altına alınmasının ve muhasebeleştirilmesinin sağlanması.
• Kişisel verilerin güvenliğinin sağlanmasına yönelik alınan tedbirlerin ve kişisel veri bilgi sistemlerinin güvenlik düzeyinin takibi.

Kişilerin kişisel verilerinin imhası yalnızca Yüklenici tarafından gerçekleştirilebilir:

• Müşterinin ek yazılı talimatları üzerine;
• Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel verilerin konusunun yasal talebi üzerine;
• Müşteriye zorunlu yazılı bildirimde bulunarak, kişisel veri sahiplerinin haklarının korunmasına yönelik devlet düzenleyici makamlarının talebi üzerine.

3.2.8. Kişisel verilerin işlenmesinin sonlandırılması prosedürü

Kişisel verilerin işlenmesinin sona erdirilmesi şu şekilde gerçekleştirilir:

• kişisel verilerin işlenmesine esas olan sözleşme ilişkisinin sona ermesi halinde;
• Müşterinin ek yazılı talimatları üzerine;
• Devlet düzenleyici otoritelerinin yazılı emriyle.

4. TARAFLARIN HAK VE YÜKÜMLÜLÜKLERİ

4.1. Müşteri şunları taahhüt eder:

4.1.1. Kişisel verilerin konusu, kişisel verilerin işlenmesine ilişkin rızayı geri çekerse ve 27 Temmuz Federal Kanununun 6. maddesinin 1. bölümünün 2 - 11. paragraflarında, 10. maddesinin 2. bölümünde ve 11. maddesinin 2. bölümünde belirtilen gerekçeler yoksa , 2006 No. 152-FZ “Kişisel veriler hakkında” işlemeye izin veriyor
Kişisel veriler, konunun rızası olmadan, Yükleniciye, konunun kişisel verilerinin silinmesi veya kişiselleştirilmesine yönelik çalışmalar yapılması için yazılı bir emir göndermek.

4.1.2. Kişisel verilerin konusundan, 27 Temmuz 2006 tarihli ve 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanunun 14. Maddesinin 7. Bölümünde belirtilen bilgilerin veya konunun iyileştirilmesine ilişkin taleplerin sağlanması yönünde bir talep alınması üzerine Kişisel verilerin eksik, güncelliğini yitirmiş, hatalı, hukuka aykırı olarak elde edilmiş olması veya belirtilen işleme amacı için gerekli olmaması halinde, bunların engellenmesi veya yok edilmesi, Yükleniciye yazılı bir talimat göndermesi,
kişinin kişisel verileriyle bilgi sağlamak veya belirli eylemler gerçekleştirmek.

4.2. Yüklenici şunları taahhüt eder:

4.2.1. Kişisel verileri yasal olarak ve bu Talimatın şartlarına tam olarak uygun şekilde işleyin.

4.2.2. Müşterinin ilk yazılı talebi üzerine, kendisi adına işlenen kişisel veri tabanlarını talepte belirtilen şekilde aktarmak (iade etmek).

4.2.4. Kişisel veri sahiplerinin haklarının korunmasına ilişkin yetkili organın talebi üzerine, kişisel veri sahiplerinin kişisel verilerinin işlenmesine ilişkin bu Talimat çerçevesinde toplanan rızalarının alındığına veya işlenmesine izin veren 27 Temmuz 2006 tarihli ve 152-FZ sayılı "Kişisel Verilere Dair" Federal Kanunun 6. maddesinin 1. bölümünün 2 - 11. paragraflarında, 10. maddesinin 2. bölümünde ve 11. maddesinin 2. bölümünde belirtilen gerekçeler kişinin rızası olmadan kişisel veriler.

Sanatın 2. Bölümüne göre. 85 Rusya Federasyonu İş Kanunu çalışanların kişisel verilerinin işlenmesi - bu, çalışanın kişisel verilerinin alınması, saklanması, birleştirilmesi, aktarılması veya başka herhangi bir şekilde kullanılmasıdır.

Çalışanın kişisel verilerinin işlenmesi, münhasıran kanun ve diğer mevzuata uygunluğun sağlanması, çalışanın işe alım, eğitim ve terfisine yardımcı olmak, sermaye güvenliğinin sağlanması, yapılan işin miktar ve niteliğinin takibi amaçlarıyla gerçekleştirilebilecektir. mülkiyet güvenliğini gerçekleştirir ve sağlar (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. maddesi).

Sanatın 3. paragrafına göre. Federal Kanunun “Kişisel Verilere İlişkin” 3'ü, kişisel verilerin işlenmesi, toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma dahil olmak üzere kişisel verilerle yapılan eylemlerdir (işlemler). kişisel verilerin engellenmesi, yok edilmesi. Mevzuatta listelenen işlevsel işlemlerin sayısına bakılmaksızın, yasal düzenlemenin, kişisel verilerin işlenmesinin tüm aşamalarını - hiçbir istisna veya muafiyet olmaksızın - alınmasından imhasına kadar kapsaması gerektiği unutulmamalıdır.

Kişisel verilerin işlenmesine ilişkin ilkeler aşağıdakileri içermektedir:

• işleme amaçlarının ve yöntemlerinin yasallığı ve adalet;
• işleme amaçlarının, kişisel verilerin toplanması sırasında önceden belirlenen ve belirtilen hedeflere ve ayrıca operatörün yetkilerine uygunluğu;
• işlenen verilerin hacminin ve niteliğinin, işleme yöntemlerinin işlenme amaçlarına uygunluğu;
• kişisel verilerin güvenilirliği, işlenme amaçları açısından yeterliliği, veri toplanırken belirtilen amaçlarla ilgisi olmayan kişisel verilerin işlenmesinin kabul edilemezliği;
• Uyumsuz amaçlarla oluşturulan kişisel veri bilgi sistemleri veritabanlarının birleştirilmesinin kabul edilemezliği.

Bir çalışanın kişisel verilerinin işlenmesi, bu verilerin alınmasıyla başlar. Genel kural olarak tüm kişisel veriler çalışanın kendisinden alınmalıdır. İstisnai durumlarda, çalışanın kişisel verilerinin yalnızca üçüncü bir kişiden alınabileceği durumlarda, bu durumun çalışana önceden bildirilmesi ve kendisinden yazılı onay alınması gerekmektedir. İşveren, çalışanı, kişisel verilerin elde edilmesinin amaçları, amaçlanan kaynakları ve yöntemleri ile alınacak kişisel verilerin niteliği ve çalışanın bu verileri almaya yazılı onay vermeyi reddetmesinin sonuçları hakkında bilgilendirmekle yükümlüdür (Madde 3). Rusya Federasyonu İş Kanunu'nun 86. Maddesi). Ancak işverenin, çalışanın siyasi, dini ve diğer inançları ile özel hayatına ilişkin kişisel verilerini alma ve işleme hakkı yoktur (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 4. fıkrası). Ayrıca, işveren, çalışanın bir iş işlevini yerine getirme yeteneği konusuyla ilgili değilse, çalışanın sağlık durumu hakkında bilgi talep edemez (Rusya Federasyonu İş Kanunu'nun 88. Maddesi).

Rusya Federasyonu İş Kanunu, kişisel verilerin işveren tarafından işlenmesinin organizasyonu ve teknolojisine ilişkin belirli şartlar getirmektedir. Çalışanları ve temsilcilerini, çalışanların kişisel verilerinin işlenmesi prosedürünü belirleyen işveren belgelerini ve bu alandaki hak ve sorumluluklarını imza karşılığında bilgilendirme yükümlülüğü, uygun bir yerel düzenleyici yasal düzenlemenin geliştirilmesi ve benimsenmesi ihtiyacını varsayar. . Faaliyetin özelliklerine ve işverenin takdirine bağlı olarak böyle bir yasa, yönetmelik veya talimat olarak adlandırılabilir ve kural olarak aşağıdaki bölümleri içerir:

• temel kavramlar ve hükümler;
• çalışanların kişisel verilerinin işlenmesi;
• çalışanların kişisel verilerinin oluşturulması;
• çalışanların kişisel verilerinin kaydedilmesi, saklanması ve aktarılması;
• Çalışanın kişisel verilerinin işlenmesi ve korunması alanındaki hak ve yükümlülükleri.

Böyle bir yerel düzenleyici yasal düzenleme, bir çalışanın kişisel verilerinin belirli bir işverendeki gizlilik rejimini (sınırlı erişim) belirler. Çalışanın kişisel verilerini alan işveren çalışanlarının, yalnızca iş tanımlarında değil aynı zamanda kendileriyle yapılan iş sözleşmelerinde de belirtilmesi gereken bu rejime uymaları gerekmektedir. Kişisel verilerin korunmasına ilişkin yönetmelik (talimat), belirli bir bireysel girişimci için, bir çalışanın kişisel verilerinin belirli bir kuruluş içinde işlenmesi ve aktarılmasının özelliklerini yansıtan ana belgedir. Bu faaliyet kapsamında otomatik bir bileşen varsa, işverenin, yalnızca otomatik işlenmesi veya elektronik alınması sonucunda elde edilen kişisel verilere dayanarak çalışan hakkında karar verme hakkı yoktur (İş Kanunu'nun 86. maddesinin 6. fıkrası). Rusya Federasyonu). Bir işveren, kendi kuruluşunda çalışanların kişisel verilerinin korunmasına ilişkin bir hüküm benimsemekle sınırlı olamaz. Bununla birlikte, bu yerel yasanın varlığı zorunludur ve yokluğu, devlet iş müfettişliği tarafından iş mevzuatının ciddi bir ihlali olarak değerlendirilmektedir.

Bu ve teslim alma, işleme ve çalışanı düzenleyen kuralların diğer ihlalleri için işveren, failleri maddi ve disiplin sorumluluğuna, ilgili devlet organlarını ise hukuki, idari ve cezai sorumluluğa getirebilir.

Tüm kuruluşlar, çalışanları hakkında bilgi toplar, saklar ve kullanır. Kişisel bilgiler artık yüksek değere sahip ve dolandırıcıların eline geçtiğinde suç işlemeye araç oluyor. Bu yazımızda şirketlerin kişisel verileri nasıl ve hangi amaçla işlediğini ve bunun için çalışan onayı almaları gerekip gerekmediğini anlatacağız.

Kişisel veri işleme nedir

“Kişisel verilerin işlenmesi” kavramı, işletmecinin kişisel bilgilerle gerçekleştirdiği her türlü işlemi kapsamaktadır. Aralarında:

1. Toplamak;
2. açıklama;
3. sistemleştirme;
4. kullanım;
5. silme;
6. depolamak.

Tüm kurum ve kuruluşlar kişisel verileri işledikleri için işleticileridirler. Sanatta. 152-FZ Sayılı Kanun'un 22'si kişisel verilerin işlenmesinin hukuki dayanağını oluşturmaktadır. Makalenin metnine göre işveren, Roskomnadzor yetkililerine bu niyetini bildirmeden çalışanların kişisel bilgileriyle işlem yapma hakkına sahiptir.

Kişisel bilgilerle işlem gerçekleştirmek için çeşitli yöntemler kullanılır.  Kişisel verilerin otomatik olarak işlenmesi bilgisayarda işlenmesidir. Otomatik olmayan yöntem, kağıt ortamın kullanımını içerir. Günümüzde çoğu durumda, otomatik ve manuel işleme unsurlarını birleştiren karma işleme kullanılmaktadır.

İşletmede kişisel verilerin işlenme amaçları

Kuruluşta kişisel verilerin işlenmesine ilişkin aşağıdaki amaçlar ayırt edilir:

1. Kanun ve işletme tüzüğünde öngörülen durumlarda vatandaşlarla, tüzel kişilerle, bireysel girişimcilerle ve diğer kişilerle medeni sözleşmelerin yapılması, yürütülmesi ve feshedilmesi.
2. Kuruluşun personel kayıtlarının düzenlenmesi, yasalara uygunluğun sağlanması, iş ve medeni sözleşmeler kapsamındaki yükümlülüklerin sonuçlandırılması ve yerine getirilmesi.
3. Personel kayıtlarının tutulması, çalışanlara istihdam, eğitim ve terfi konularında yardımcı olunması ve sosyal hakların kullanılması.
4. Kişisel gelir vergisinin ve birleşik sosyal verginin hesaplanması ve ödenmesine ilişkin vergi mevzuatı gerekliliklerine uygunluk, emeklilik mevzuatı, katkıların hesaplanmasında dikkate alınan her gelir alıcısı hakkında kişisel verilerin oluşturulması ve Emeklilik Fonu'na aktarılması Zorunlu emeklilik sigortası için
5. Birincil istatistiksel belgelerin Çalışma, Vergi Kanunu ve federal yasalara uygun olarak doldurulması.

Kişisel verilerin işlenmesine rıza nedir

İş sözleşmesi imzalanırken gerekli belgelerin sağlanmasıyla birlikte, çalışanın kişisel verilerinin işlenmesine ilişkin rızası da imzalanır. Sanat'a göre. 3 152 Sayılı Federal Kanun, bu tür veriler, ad ve soyadından çalışma kitabındaki girişlere kadar bir kişi hakkındaki tüm bilgileri içerir.

Kişisel veriler 3 kategoriye ayrılır:

• Halk- tam ad, cinsiyet, doğum tarihi ve yeri dahil temel kişisel veriler.
• Biyometrik- görsel olarak belirlenmişse, görünüm ve bazı fizyolojik özellikler hakkında bilgi.
• Özel- uyruk, din, sağlık durumu, sabıka kaydı, kısmen - işle ilgili bilgiler (işten çıkarılma nedenleri vb.).

Kişisel veriler gizlidir (kamuya açık veriler hariç), dolayısıyla işlenmesi için kişinin rızasının alınması gerekir.

Kişisel verilerin işlenmesine ilişkin onayın geçerlilik süresi zorunludur. Sona erme anı ya belirli bir tarih ya da çalışanın rızasını geri çekmesi de dahil olmak üzere belirli bir olaydır. Bu gereklilik Sanatın 4. paragrafında belirtilmiştir. 9 152 Sayılı Federal Kanun.

Kişisel verilerin işlenmesi için hangi durumlarda rıza gerekir?

Özel ve biyometrik verilerin işlenmesi için onay alınması gerekmektedir. Kamuya açık bilgiler, yasalara ve genel kabul görmüş ahlak ve etik standartlarına aykırı olmadığı sürece serbestçe kullanılabilir.

Kişisel Verilerin İşlenmesine İzin Verilmesinin Gerekmediği Durumlar

Bunun istisnası, bir ceza davasının soruşturulması ve operasyonel arama faaliyetlerinin yürütülmesidir. Bir kişinin belgeleri yoksa kimlik tespiti için biyometrik verilere ihtiyaç duyulabilir. Bu tür durumlarda kişisel bilgilerin işlenmesine izin verilmesi gerekli değildir.

Örnek onay formu ve belgenin açıklaması

Kişisel bilgilerin işlenmesine ilişkin onay başvurusu yazılı olarak kuruluş başkanına sunulur. Belgenin başlığı şunu belirtir:

1. yöneticinin pozisyonu ve yönettiği kuruluşun adı;
2. Başın tam adı;
3. çalışan pozisyonu;
4. Çalışanın tam adı;
5. Tarihi;
6. derleme yeri.

Örnek bir belge metni aşağıdaki gibidir:
“Bu beyanla, kişisel verilerimin çalışma ve sosyal haklarımın sağlanması için gerekli olduğu ölçüde toplanmasına, işlenmesine, kullanılmasına ve saklanmasına, belirlenen vergi, harç ve diğer zorunlu ödemelerin ödenmesine, zorunlu katkı paylarının kesintiye uğramasına izin verdiğimi onaylıyorum. devlet fonları ve diğer amaçlarla, yürürlükteki mevzuat çerçevesinde işverenle aramda iş ve ilgili hukuki ilişkilerden doğan. İşverenin kişisel verilerimi ancak kanunda öngörülen hallerde üçüncü kişilere verme hakkı vardır.”
Çalışan başvuru metninin altına imzasını atar.

Kişisel verilerin işlenmesini hukuk açısından reddetmek mümkün müdür?

Kanuna göre, kişisel verilerin işlenmesine ilişkin rızanın reddedilmesi hukuki sonuç doğurmamaktadır. Sanatın 1. Bölümünde. 9 152 Sayılı Federal Kanun, rızanın özgürce ve gönüllü olarak ifade edildiğini belirtir.

Bölüm 5 md. Aynı yasanın 6'sı, bir iş sözleşmesi de dahil olmak üzere bir sözleşmenin yürütülmesi için gerekli olması durumunda, kişisel bilgilerin işlenmesine ilişkin rızanın bulunmamasına izin vermektedir. Bu nedenle işverenler, görevlerini yerine getirirken kişisel verileri, çalışanların menfaatleri doğrultusunda rıza almaksızın işleyebilirler. Bu yalnızca halihazırda maaş bordrosunda olan çalışanlar için geçerlidir. Kişisel verileri işlemeyi reddeden bir kişiyi işe almak imkansızdır. Bu durumda iş sözleşmesi henüz yapılmamıştır. Bu belge bulunmadığından işverenin bunu yerine getirme yükümlülüğü bulunmamaktadır.

Bazen kişisel bilgilerin işlenmesini reddetmek olumsuz sonuçlara yol açabilir. İşletmenin geçiş izni rejimi varsa, bu koşullar altında çalışan geçiş izni düzenleyemeyecek veya geçiş iznini değiştiremeyecek; böyle bir eylem resmi amaçların kapsamının ötesine geçecektir. Bu nedenle, rızanın olmaması, emek işlevlerinin yerine getirilmesinin imkansızlığını gerektirecektir.

Makaleye yapılan yorumlarda sorular sorun ve bir uzmandan yanıt alın

Kişisel verilerin işlenmesi ve korunmasına ilişkin yönetmelik, işletme çalışanlarına ilişkin bilgileri içeren bilgilerin toplanması, biriktirilmesi, saklanması, kullanılması, silinmesi vb. prosedürlerini belirler. Belge, PD'yi üçüncü taraflara aktarma prosedürünü, otomatik ve otomatik olmayan PD işlemenin özelliklerini, PD'ye erişim prosedürünü, iç kontrolü organize etme prosedürünü ve PD işleme sırasındaki ihlallerin sorumluluğunu açıklamalıdır.

Kişisel verilerin işlenmesi ve korunmasına ilişkin yönetmelik nasıl hazırlanır?

Belge, Rusya Federasyonu'nun kişisel verilere ilişkin mevzuatına ve PD bilgi sistemlerinde işlendiğinde PD güvenliği konularında devlet iktidarının yürütme organlarının düzenleyici ve metodolojik belgelerine uygun olarak geliştirilmektedir.

Kişisel Verilerin Korunması Yönetmeliği genellikle 11 bölümden oluşmaktadır:

1. Genel Hükümler.
2. PD işlemenin amaçları ve hedefleri.
3. ISPD'de işlenen kişisel veriler (tam ad, doğum tarihi, iletişim telefon numarası, kayıt adresi, gerçek ikamet adresi).
4. PD'ye erişim.
5. Kişisel verilerin korunmasına ilişkin temel gereksinimler.
6. PD işleme onayı.
7. Operatör tarafından işlenen kişisel verilere ilişkin konunun hakları.
8. ISPDn operatörünün hakları ve yükümlülükleri.
9. Kişisel verilerin işlenmesi ve korunmasına ilişkin prosedür.
10. Operatör çalışanlarının kişisel verilerinin işlenmesinin özellikleri.
11. Bu hükmün ihlalinden doğan sorumluluk.

Kişisel verilerin işlenmesi ve korunmasına ilişkin hükümler, kişisel verilerin otomasyon araçları kullanılarak ve bunlara bağlı olmaksızın gerçekleştirilen tüm toplama, sistemleştirme, biriktirme, saklama, açıklama, kullanma, dağıtım (aktarma dahil), duyarsızlaştırma, engelleme, imha süreçleri için geçerlidir. kullanmak.

Kişisel verilerin konuları

PD konuları şunları içerir:

• Operatörün çalışanları.
• İstihdam için adaylar.
• Müşteriler (operatör hizmetlerinin tüketicileri).
• Bireysel girişimciler operatörün karşı taraflarıdır.
• Kuruluşların müşterileri, operatörün karşı tarafları (kurumsal müşterilere hizmet veren).
• İşletmeci tarafından kişisel verileri işlenen diğer kişiler.

Kişisel verilerin işlenmesi ve korunmasına ilişkin düzenleme, onaylandığı andan itibaren yürürlüğe girer ve yeni bir düzenleme ile değiştirilinceye kadar süresiz olarak geçerlidir. Kuruluşun tüm çalışanları imza karşılığı bu belgeye aşina olmalıdır.

Kişisel verilerin işlenmesi ve korunmasına ilişkin düzenlemeler

Genel Hükümler

1.1.

Bu Yönetmelik, Rusya Federasyonu'nun kişisel verilere (bundan sonra PD olarak anılacaktır) ilişkin mevzuatına ve PD bilgi sistemlerinde (bundan böyle anılacaktır) işlendiğinde PD güvenliği konularında devlet iktidarının yürütme organlarının düzenleyici ve metodolojik belgelerine uygun olarak geliştirilmiştir. PDIS olarak).

1.2.

Bu Yönetmeliğin amaçları doğrultusunda aşağıdaki terimler kullanılmaktadır:

kişisel veriler (PD) - doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir kişiye (PD konusu) ilişkin her türlü bilgi;

operatör - kişisel verilerin işlenmesini bağımsız olarak veya diğer kişilerle birlikte organize eden ve (veya) yürüten, ayrıca kişisel verilerin işlenme amaçlarını, kişisel bileşimini belirleyen bir devlet organı, belediye organı, tüzel kişi veya birey işlenecek veriler, kişisel verilerle gerçekleştirilen işlemler (işlemler);

PD işleme - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma dahil olmak üzere otomasyon araçları kullanılarak veya PD ile bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya eylem kümesi (işlemler). kişisel verilerin aktarımı (dağıtım, provizyon, erişim), duyarsızlaştırma, engelleme, silme, yok etme;

kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi kullanılarak işlenmesi;

kişisel verilerin dağıtımı - kişisel verilerin belirsiz sayıda kişiye ifşa edilmesini amaçlayan eylemler;

PD sağlanması - PD'yi belirli bir kişiye veya belirli bir kişi çevresine açıklamayı amaçlayan eylemler;

PD engelleme - PD işlemenin geçici olarak durdurulması (PD'yi açıklığa kavuşturmak için işlemenin gerekli olduğu durumlar hariç);

PD'nin imhası - ISPD'deki PD içeriğini geri yüklemenin imkansız hale geldiği ve/veya PD'nin maddi ortamının imha edildiği eylemler;

kişisel verilerin kişiselleştirilmesi - ek bilgi kullanılmadan kişisel verilerin belirli bir kişisel veri konusuna ait olduğunu belirlemenin imkansız hale geldiği eylemler;

kişisel veri bilgi sistemi (PDIS) - PD veritabanlarında bulunan ve bunların işlenmesini sağlayan bir dizi bilgi teknolojisi ve teknik araç;

kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına, yabancı bir devletin makamına, yabancı bir kişiye veya yabancı bir tüzel kişiye aktarılması.

1.3.

Bu Yönetmelik, PD'nin üçüncü taraflara aktarılması prosedürü, otomatik ve otomatik olmayan PD işleme özellikleri, PD'ye erişim prosedürü, PD dahil olmak üzere PD'nin (bundan sonra Operatör olarak anılacaktır) işlenmesine ilişkin prosedür ve koşulları belirler. koruma sistemi, iç kontrol düzenleme prosedürü ve PD'nin işlenmesi sırasındaki ihlallere ilişkin sorumluluk, diğer sorular.

1.4.

Bu Yönetmelik, otomasyon araçları kullanılarak ve kullanılmadan gerçekleştirilen, kişisel verilerin toplanması, sistemleştirilmesi, biriktirilmesi, depolanması, açıklığa kavuşturulması, kullanılması, dağıtılması (aktarım dahil), duyarsızlaştırılması, engellenmesi, imha edilmesine ilişkin tüm süreçler için geçerlidir.

1.5.

Bu Yönetmelik, İşletmeci tarafından onaylandığı andan itibaren yürürlüğe girer ve yeni bir Yönetmelik ile değiştirilene kadar süresiz olarak geçerlidir.

1.6.

Yönetmelikteki tüm değişiklikler talimatla yapılır.

1.7.

Operatörün tüm çalışanları, imza sonrasında bu Yönetmeliklere aşina olmalıdır.

PD işlemenin amaçları ve hedefleri

2.1.

Kişisel verilerin işlenmesi belirli, önceden tanımlanmış ve meşru amaçlara ulaşmakla sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan şekilde işlenmesine izin verilmez.

2.2.

Birbiriyle bağdaşmayan amaçlarla işlenen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.

2.3.

Yalnızca işlenme amaçlarına uygun olan kişisel veriler işleme tabi tutulur.

2.4.

2.5.

İşletmeci çalışanlarına ait kişisel verilerin işlenmesi, yalnızca kanun ve diğer mevzuata uygunluğun sağlanması, çalışanlara işe alım, eğitim ve terfi konularında yardımcı olunması, çalışanların kişisel güvenliğinin sağlanması, yapılan işin miktar ve niteliğinin takibi ve Operatörün mülkünün güvenliğinin sağlanması.

2.6.

PD işlemenin ana amaçları şunlardır:

Kişisel verilerin işlenmesine ilişkin ek amaçlar şunlardır: .

2.7.

ISPDn aşağıdaki görevlere çözümler sunar: .

ISPDn'de işlenen kişisel veriler

3.1.

ISPD, aşağıdaki kişisel veri konularının kişisel verilerini işler:

3.1.1.

Operatörün çalışanları;

3.1.2.

müşteriler (Operatörün hizmetlerinin tüketicileri);

3.1.3.

bireysel girişimciler - İşletmecinin karşı tarafları;

3.1.4.

kuruluşların müşterileri, Operatörün karşı tarafları (kurumsal müşterilere hizmet veren);

3.2.

Bu liste gerektikçe revize edilebilir.

3.3.

PD deneklerinin kişisel verileri şunları içerir:

3.4.

İşletmecinin bilgi sisteminde korumaya tabi kişisel veriler listesinde işlenen kişisel verilerin tam listesi oluşturulur.

Kişisel verilere erişim

4.1.

Resmi görevleri nedeniyle sürekli olarak kişisel verilerle çalışan, kişisel verilerle çalışmaya yetkili kişiler listesine göre ilgili resmi görevlerini yerine getirdiği süre boyunca gerekli kişisel veri kategorilerine erişim sağlayan Operatörün çalışanları, Operatör Başkanı tarafından onaylanır. Liste, Bilgi Güvenliği Konsepti ve Bilgi Güvenliği Politikası esas alınarak derlenmiştir.

4.2.

Bilgi sistemi için kişisel verilere erişimi olan kişilerin listesinin güncel tutulması gerekmektedir.

4.3.

Operatör, kişisel verilere erişim için bir izin prosedürü oluşturmuştur. Operatörün çalışanlarına, Yöneticinin kararına göre yalnızca resmi görevlerini yerine getirebilmeleri için gerekli olan kapsam ve ölçüde kişisel verilere çalışma erişimi sağlanır.

4.4.

Resmi ihtiyaçlar nedeniyle kişisel verilerle çalışmak için geçici veya bir kerelik izin, Yöneticinin onayı ile İşletmecinin bir çalışanı tarafından alınabilir.

4.5.

Mevzuatın uygulanmasını kontrol etme ve denetleme tedbirlerinin bir parçası olarak yürütülen yürütme makamlarının çalışanlarının erişimi hariç olmak üzere, PD konusunun izni olmadan Operatörün çalışanı olmayan üçüncü şahısların PD'ye erişimi yasaktır. İlgili devlet organlarının görev ve yetkilerinin uygulanması. Bir devlet yetkilisinin talebi veya talebi üzerine bilgi sağlanması, İşletmeci Başkanının bilgisi dahilinde gerçekleştirilir.

4.6.

Üçüncü taraf bir kuruluşun çalışanının Operatörün PD'sine erişmesi gerekiyorsa, üçüncü taraf kuruluşla yapılan anlaşmanın PD gizliliği şartlarını ve üçüncü taraf kuruluşun ve çalışanlarının uyma yükümlülüğünü belirtmesi gerekir. PD koruması alanındaki mevcut mevzuatın gereklilikleri. Ayrıca, İşletmecinin çalışanı olmayan kişilerin kişisel verilere erişmesi durumunda, kişisel veri sahiplerinin kişisel verilerinin üçüncü kişilere verilmesine ilişkin rızalarının alınması gerekmektedir. PD'nin, Operatör tarafından PD konusu ile akdedilen bir medeni sözleşmenin yürütülmesi amacıyla sağlanması durumunda, belirtilen onay gerekli değildir.

4.7.

Operatör çalışanının kişisel verilere erişimi, iş ilişkisinin sona erdiği veya çalışanın iş sorumluluklarının değiştiği ve/veya çalışanın kişisel verilere erişme hakkına sahip kişiler listesinden çıkarıldığı tarihten itibaren sona erdirilir. İşten çıkarılma durumunda, resmi görevlere uygun olarak çalışma sırasında çalışanın elinde bulunan kişisel verileri içeren tüm medya, ilgili yetkiliye devredilmelidir.

Kişisel verilerin korunmasına ilişkin temel gereksinimler

5.1.

Kişisel verilerin bilgi sisteminde işlenmesi sırasında aşağıdakilerin sağlanması gerekmektedir:

a) Kişisel verilere yetkisiz erişimin ve/veya bu bilgilere erişim hakkı olmayan kişilere aktarılmasının önlenmesine yönelik önlemlerin alınması;

b) kişisel verilere yetkisiz erişime ilişkin gerçeklerin zamanında tespiti;

c) kişisel verilerin otomatik olarak işlenmesine ilişkin teknik araçlar üzerindeki etkinin önlenmesi ve bunun sonucunda bunların işleyişinin kesintiye uğraması;

d) yetkisiz erişim nedeniyle değiştirilen veya yok edilen kişisel verilerin derhal geri yüklenmesi olasılığı;

e) PD güvenlik seviyesinin sağlanması üzerinde sürekli kontrol.

5.2.

İşletmeci, kişisel verilerin güvenliğini sağlamak için gerekli hukuki, organizasyonel, teknik ve diğer tedbirleri almakla yükümlüdür.

5.3.

Güvenlik gerekliliklerini geliştirmek ve kişisel veri güvenliği sistemini uygulamak için Operatör, Rusya FSTEC'in düzenleyici ve metodolojik belgesine dayanarak “Kişisel verilerin bir ISPD'de işlenmesi sırasında güvenliğine yönelik tehdit modeli” geliştirmiştir. Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditler.”

5.4.

Devlet kurumlarının idari belgelerine uygun olarak operatör - Rusya Federasyonu Hükümeti'nin 1 Kasım 2012 tarih ve 1119 sayılı Kararı “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında” Operatörün ISPD'sinin sınıflandırması yapılmıştır.

5.5.

Komisyon, otomasyon araçları kullanılarak işlenen ISPD'nin Sınıflandırma Sertifikasını hazırlamıştır:

5.6.

Operatör, ISPD doğrulama raporuna dayanarak ve Rusya FSTEC'in düzenleyici ve metodolojik belgesine uygun olarak "Kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliğinin organizasyonu ve teknik desteği için ana önlemler" geliştirmiştir. ve kişisel verilerin güvenliğinin sağlanmasına yönelik olarak kişisel verilerin korunmasına ve güvenliğinin sağlanmasına yönelik bir dizi önlemi (“Eylem Planı”) hayata geçirmiştir").

5.7.

Operatör, kişisel verileri işlemek ve korumak için teknik araçlar ve yazılımlar kullanır. Ayrıca kişisel veri koruma araçlarının kaydı da tutulur.

5.8.

Operatör, çıkarılabilir depolama ortamının muhasebe ve depolama günlüğünü tutar.

5.9.

ISPD'nin yukarıdaki teknik araçları Operatörün ofisinde ve tesislerinde bulunmaktadır.

5.10.

PD ile çalışmaya yetkili tüm kişilerin yanı sıra ISPD'nin işletimi ve teknik desteğiyle ilişkili kişiler, imza sırasında bu Yönetmeliğin gerekliliklerine aşina olmalı ve ayrıca "Kişisel verilerin gizliliğinin sağlanmasına ilişkin Sözleşmeyi" imzalamalıdır. İşletmecinin çalışanları”, bu Yönetmeliğin Ekinde verilmiştir.

5.11.

Operatör, Operatör tarafından işletilen kişisel veri koruma araçlarının kullanımına yönelik bir eğitim süreci düzenlemiştir. Kişisel verilere sürekli erişimi olan kişiler ile bilgi sistemleri ve bilgi güvenliği sistemlerine yönelik donanım ve yazılım araçlarını kullanan kişilere bu alanda eğitim verilmesi önerilmektedir. ISPD bilgi güvenliği araçlarını kullanmaktan sorumlu kişiler zorunlu eğitimden geçmelidir.

5.12.

Çalışanlar, kişisel verileri oluşturan depolama ortamlarının kaybı veya eksikliğini ve ayrıca kişisel verilerin olası bir sızıntısının nedenleri ve koşullarını derhal İşletmecinin ilgili yetkilisine bildirmekle yükümlüdür. Yetkisiz kişilerin İşletmeci tarafından işlenen bir çalışanın PD'sini almaya çalışması halinde, derhal İşletmecinin ilgili yetkilisine haber verin.

PD işleme onayı

6.1.

PD konusu PD'sini sağlamaya karar verir ve bunun özgürce, kendi özgür iradesiyle ve kendi çıkarına göre işlenmesine izin verir. Kişisel verilerin işlenmesine ilişkin onay spesifik, bilinçli ve bilinçli olmalıdır. Kişisel verilerin işlenmesine ilişkin onay, Rusya Federasyonu mevzuatında aksi belirtilmedikçe, kişisel verilerin konusu veya onun temsilcisi tarafından, alındığı gerçeğinin doğrulanmasına olanak tanıyan herhangi bir biçimde verilebilir. PD konusunun bir temsilcisinden PD işlenmesine ilişkin onay alınırsa, bu temsilcinin PD konusu adına onay verme yetkileri Operatör tarafından doğrulanır.

6.2.

Kişisel verilerin işlenmesi için yazılı onay alınması, Operatörün bir çalışanı tarafından, kişisel verilerin konusundan kişisel verilerin alınması üzerine, Operatör ISPD tarafından oluşturulan formda yazılı bir onay verilerek gerçekleştirilir.

Operatör tarafından işlenen kişisel verilere ilişkin konunun hakları

7.1.

PD konusu şu haklara sahiptir:

Operatörden kişisel verilerinin işlenmesine ilişkin bilgi almak. Bilgiler, PD konusuna Operatör tarafından erişilebilir bir biçimde sunulmalı ve söz konusu PD'nin ifşa edilmesi için yasal gerekçeler olmadığı sürece, diğer PD konularına ilişkin PD içermemelidir. Bilgi listesi ve bilgi edinme prosedürü, Rusya Federasyonu'nun mevcut mevzuatı tarafından sağlanmaktadır;

Operatörün kişisel verilerini açıklığa kavuşturmasını, kişisel verilerin eksik, güncel olmayan, yanlış, yasa dışı olarak elde edilmiş olması veya belirtilen işleme amacı için gerekli olmaması durumunda bloke etmesini veya yok etmesini talep edin ve ayrıca Rus mevzuatı tarafından öngörülen önlemleri alın. Federasyon haklarını korumak için;

Kişisel verilerin, iletişim yoluyla potansiyel tüketicilerle doğrudan temas kurarak piyasada mal, eser, hizmet tanıtımı ve siyasi propaganda amacıyla işlenmesi sırasında önceden yazılı izin alınmasına tabi olarak;

Operatörün, PD konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru çıkarlarını başka şekilde etkileyen, yalnızca PD'nin otomatik olarak işlenmesine dayalı kararlar alması durumunda, yazılı onay koşuluna tabi olarak;

Operatörün yalnızca kişisel verilerinin otomatik olarak işlenmesine dayanan kararlarına ve böyle bir kararın olası hukuki sonuçlarına itirazda bulunmak;

Operatörün eylemlerine veya eylemsizliklerine, kişisel veri sahiplerinin haklarının korunması için yetkili makama veya mahkemeye itirazda bulunun.

ISPDn operatörünün hakları ve yükümlülükleri

8.1.

ISPDn operatörü şu haklara sahiptir:

8.1.1.

Federal yasa tarafından aksi belirtilmedikçe, eyalet veya belediye sözleşmesi de dahil olmak üzere bu kişiyle imzalanan bir anlaşmaya dayanarak veya ilgili bir yasanın kabul edilmesiyle PD'nin işlenmesini, PD konusunun rızasıyla başka bir kişiye emanet edin. devlet veya belediye organı.

8.1.2.

PD'nin konusu PD'nin işlenmesine ilişkin onayını geri çekerse, Rusya Federasyonu mevzuatında belirtilen gerekçeler varsa PD'nin konusunun rızası olmadan PD'nin işlenmesine devam edin.

8.1.3.

Rusya Federasyonu mevzuatının öngördüğü şartlara uymayan tekrarlanan bilgi talebini yerine getirmek için kişisel verilerin konusunu reddetmek. Böyle bir reddetmenin gerekçeli olması gerekir. Tekrarlanan bir talebin yerine getirilmesinin reddedilmesinin geçerliliğine ilişkin kanıt sunma yükümlülüğü operatöre aittir.

8.1.4.

IPDN Operatörünün Rusya Federasyonu mevzuatı tarafından öngörülen yükümlülüklerinin yerine getirilmesini sağlamak için gerekli ve yeterli önlemlerin bileşimini ve listesini bağımsız olarak belirlemek.

8.2.

ISPD operatörü aşağıdakileri yapmakla yükümlüdür:

8.2.1.

PD işlemeye başlamadan önce, operatör, Rusya Federasyonu mevzuatında öngörülen durumlar dışında, PD konularının haklarının korunması için yetkili organa PD işleme niyetini bildirmekle yükümlüdür.

8.2.2.

PD'ye erişim elde ederken, federal yasa tarafından aksi belirtilmedikçe, PD'yi üçüncü taraflara ifşa etmeyin veya PD'ye konu olan kişinin izni olmadan PD'yi dağıtmayın.

8.2.3.

PD'nin işlenmesine bağlı olarak PD'nin rızasının alındığına dair kanıt veya PD'nin konusunun rızası olmadan PD'nin işlenmesine yönelik yasal dayanakların varlığına dair kanıt sağlayın.

8.2.4.

Kişisel verilerin sınır ötesi aktarımına başlamadan önce, kişisel verilerin topraklarına aktarıldığı yabancı devletin, kişisel veri sahiplerinin haklarını yeterli şekilde koruduğundan emin olun.

8.2.5.

PD konusunun talebi üzerine, iletişim yoluyla potansiyel tüketicilerle doğrudan temas kurarak ve siyasi propaganda amacıyla piyasada malları, işleri, hizmetleri tanıtmak amacıyla PD'sinin işlenmesini durdurun.

8.2.6.

PD'ye, yalnızca PD'sinin otomatik olarak işlenmesine dayanarak karar verme prosedürünü ve böyle bir kararın olası hukuki sonuçlarını açıklamak, böyle bir karara itiraz etme fırsatı sağlamak ve ayrıca korumaya tabi PD'ye yönelik prosedürü açıklamak hakları ve meşru çıkarları.

İşletmeci, itirazı alındığı tarihten itibaren otuz gün içinde değerlendirmek ve bu tür bir itirazın değerlendirilmesinin sonuçlarını PD konusuna bildirmekle yükümlüdür.

8.2.7.

PD toplarken, talebi üzerine PD konusuna Rusya Federasyonu mevzuatı tarafından sağlanan bilgileri sağlayın.

Federal yasa uyarınca PD konusu için İşletmeciye PD sağlanması zorunluysa, Operatör PD konusunu sağlamayı reddetmenin hukuki sonuçlarını PD konusuna açıklamakla yükümlüdür.

8.2.8.

PD konusundan PD alınmazsa, Operatör, Rusya Federasyonu mevzuatında öngörülen durumlar dışında, söz konusu PD'yi işlemeden önce PD konusuna aşağıdaki bilgileri sağlar:

1) operatörün veya temsilcisinin adı veya soyadı, adı, soyadı ve adresi;

2) PD işlemenin amacı ve yasal dayanağı;

3) kişisel verilerin hedef kullanıcıları;

4) kişisel verilerin konusunun bu Federal Kanunla belirlenen hakları;

5) PD elde etmenin kaynağı.

8.2.9.

Rusya Federasyonu mevzuatının öngördüğü IPDN Operatörünün yükümlülüklerinin yerine getirilmesini sağlamak için gerekli ve yeterli önlemleri almak.

8.2.11.

Bilgi ve telekomünikasyon ağlarını kullanarak PD toplarken, ilgili bilgi ve telekomünikasyon ağında, PD'nin işlenmesine ilişkin politikasını tanımlayan bir belge ve PD'nin korunmasına yönelik uygulanan gereksinimler hakkında bilgi yayınlamanın yanı sıra belirtilenlere erişim olanağı sağlayın. uygun bilgi -telekomünikasyon ağı araçlarını kullanarak belge.

8.2.12.

Rusya Federasyonu mevzuatının öngördüğü belgeleri ve yerel düzenlemeleri sunun ve/veya IPDN Operatörünün görevlerinin yerine getirilmesini sağlamak için gerekli ve yeterli önlemlerin alındığını, koruma için yetkili organın talebi üzerine başka şekilde onaylayın. PD deneklerinin hakları.

8.2.13.

PD'yi işlerken, PD'yi izinsiz veya kazara erişime, PD'nin imhasına, değiştirilmesine, engellenmesine, kopyalanmasına, sağlanmasına, dağıtımına ve ayrıca PD'deki diğer yasa dışı eylemlere karşı korumak için gerekli yasal, organizasyonel ve teknik önlemleri alın veya bunların benimsenmesini sağlayın. PD ile ilişkisi.

8.2.14.

Rusya Federasyonu mevzuatında öngörülen şekilde, kişisel verilerin konusunu veya temsilcisini, ilgili kişisel veri konusuyla ilgili kişisel verilerin mevcudiyeti hakkında ücretsiz olarak bilgilendirmek ve ayrıca kendinizi tanıma fırsatı sağlamak bu kişisel veriler, kişisel veri sahibine veya temsilcisine başvurulduğunda veya ilgili kişinin talebinin alındığı tarihten itibaren otuz gün içinde PD veya temsilcisi.

8.2.15.

İlgili PD konusu veya PD hakkındaki PD'nin mevcudiyeti hakkında, talepleri üzerine veya PD konusu veya onun temsilcisinden bir talep alınması üzerine PD konusuna veya onun temsilcisine bilgi sağlamanın reddedilmesi durumunda, operatör bir vermekle yükümlüdür. PD konusunun veya onun temsilcisinin başvuru tarihinden veya başvuru tarihinden itibaren otuz günü geçmeyen bir süre içinde, bu tür bir reddin temelini oluşturan Rusya Federasyonu mevzuatının hükmüne atıf içeren yazılı gerekçeli yanıt. PD konusunun veya temsilcisinin talebinin alınması.

8.2.16.

PD'nin konusu veya temsilcisinin PD'nin eksik, yanlış veya ilgisiz olduğunu teyit eden bilgileri sağladığı tarihten itibaren yedi iş gününü geçmeyecek bir süre içinde İşletmeci, bunlarda gerekli değişiklikleri yapmakla yükümlüdür. PD'nin sahibi veya temsilcisinin, söz konusu PD'nin yasa dışı olarak elde edildiğini veya belirtilen işleme amacı için gerekli olmadığını teyit eden bilgileri sunduğu tarihten itibaren yedi iş gününü aşmayan bir süre içinde, operatör bu PD'yi imha etmekle yükümlüdür. İşletmeci, yapılan değişiklikleri ve alınan önlemleri PD konusuna veya temsilcisine bildirmek ve bu konuya ilişkin PD'nin devredildiği üçüncü kişilere bildirimde bulunmak için makul önlemleri almakla yükümlüdür.

8.2.17.

Kişisel veri sahiplerinin haklarının korunmasına ilişkin yetkili kuruluşa, bu kuruluşun talebi üzerine gerekli bilgileri, talebin alındığı tarihten itibaren otuz gün içinde bildirmek.

8.2.18.

PD'nin, İşletmeci veya İşletmeci adına hareket eden bir kişi tarafından hukuka aykırı olarak işlendiğinin tespit edilmesi halinde, İşletmeci, bu tespit tarihinden itibaren üç iş gününü aşmayacak bir süre içerisinde PD'nin hukuka aykırı işlenmesini durdurmakla yükümlüdür. veya Operatör adına hareket eden bir kişi tarafından PD'nin yasa dışı işlenmesinin durdurulmasını sağlamak. PD işlemenin yasallığının sağlanması mümkün değilse, İşletmeci, hukuka aykırı PD işlemenin tespit edildiği tarihten itibaren on iş gününü aşmayan bir süre içinde söz konusu PD'yi imha etmek veya imha edilmesini sağlamakla yükümlüdür. İşletmeci, PD öznesi veya temsilcisine, PD ihlallerinin ortadan kaldırılması veya PD'nin imhası hakkında bilgi vermekle yükümlüdür ve PD öznesinin veya temsilcisinin itirazı veya yetkili organın PD öznelerinin haklarının korunmasına yönelik talebi olması halinde PD deneklerinin haklarının korunması için yetkili kurum tarafından gönderilmiş olup, ayrıca belirtilen kuruma aittir.

8.2.19.

Kişisel verilerin işlenme amacına ulaşılması halinde, İşletmeci, kişisel verilerin işlenmesini durdurmak veya sonlandırılmasını sağlamak (kişisel verilerin İşletmeci adına hareket eden başka bir kişi tarafından gerçekleştirilmesi durumunda) ve kişisel verileri imha etmek veya imha edilmesini sağlamakla yükümlüdür. (kişisel verilerin işlenmesi İşletmeci adına hareket eden başka bir kişi tarafından gerçekleştiriliyorsa), PD'nin konusu olduğu sözleşmede aksi belirtilmedikçe, PD işleme amacına ulaşma tarihinden itibaren otuz günü geçmeyecek şekilde zamanında Taraf, yararlanıcı veya garantör, Operatör ile PD konusu arasındaki başka bir anlaşma veya İşletmecinin, Rusya Federasyonu mevzuatının öngördüğü gerekçelerle PD konusunun rızası olmadan PD'yi işleme hakkına sahip olmaması.

8.2.20.

PD sahibi, PD'sinin işlenmesine ilişkin onayını geri çekerse, bunların işlenmesini durdurun veya bu tür işlemenin sonlandırılmasını sağlayın (PD işlemesi, Operatör adına hareket eden başka bir kişi tarafından gerçekleştiriliyorsa) ve PD'nin saklanması artık mümkün değilse sürece, PD'nin işlenmesi amacıyla gerekli olan, PD'yi imha edin veya imha edilmesini sağlayın (PD işlemesi, İşletmeci adına hareket eden başka bir kişi tarafından gerçekleştiriliyorsa), söz konusu yanıtın alındığı tarihten itibaren otuz günü geçmeyecek bir süre içinde, aksi takdirde PD konusunun taraf, lehtar veya garantör olduğu sözleşme veya operatör ile PD konusu arasındaki başka bir anlaşma tarafından aksi belirtilmedikçe veya İşletmecinin, PD konusunun rızası olmadan PD'yi işleme hakkına sahip olmaması halinde, belirtilen gerekçelerle PD konusu Rusya Federasyonu mevzuatına göre.

8.2.21.

Kişisel verilerin işlenmesini organize etmekten sorumlu bir kişiyi atayın.

Kişisel verilerin işlenmesi ve korunmasına ilişkin prosedür

9.1.

Operatör tarafından işlenen kişisel verilerin gizliliğinin sağlanması, kişisel verilerin öğrenildiği tüm kişiler için zorunlu bir gerekliliktir.

9.2.

Belgeleri işleyen Operatörün çalışanlarının, belirli durumlarda, işleme için PD konularının onayını alması gerekir.

9.3.

PD'nin işlenmesi için belirlenen prosedürün ihlali durumunda, Operatörün çalışanları bu Yönetmeliğin 9. Maddesine göre sorumludur.

9.4.

Operatör tarafından işlenen kağıt üzerindeki konuların PD'si, ilgili PD'yi işleme izni olan departmanlarda (çalışanlarla birlikte) saklanır. Çalışanları otomatik olmayan bir ISPD'ye kabul etme hakkı Yöneticinin emriyle belirlenir. Kişisel veri taşıyıcıları başıboş bırakılmamalıdır. Kişisel verileri işleyen çalışanlar işyerinden ayrılırken medyayı güvenli, kilitli bir dolaba koymalı veya medyaya yetkisiz erişimi başka şekilde sınırlamalıdır. PD kaybolursa veya hasar görürse mümkün olduğunda geri yüklenir.

9.5.

PD içeren belgeler için saklama yerleri:

9.5.1.

Operatörün müşterilerinin PD'leri (sözleşmeler, kanunlar, anlaşmalar, anketler, pasaport kopyaları, Operatörün müşterilerinin PD'sini içeren diğer benzer belgeler, depolama ortamları (flaş kartlar, CD'ler vb.) Operatörün ana ve yedek ofislerinde saklanır. raflara yerleştirilir ve anahtarla kilitlenir. Kontrolü yürüten sorumlu kişi Yöneticinin talimatıyla belirlenir.

9.5.2.

Operatör çalışanlarının kişisel verileri - belgeler, depolama ortamları (flaş kartlar, CD'ler vb.) şirket kasasında saklanır ve bir anahtarla kilitlenir. Kontrolü uygulayan sorumlu kişi İşletmecinin Başkanıdır.

9.6.

İncelenmek üzere belgelerin verilmesi, resmi görevlerin yerine getirilmesi amacıyla ilgili bilgilere kabul edilen kişilere, bir iş gününden fazla olmayan bir süre için gerçekleştirilir.

9.7.

Diğer depolama ortamları, İşletmecinin ana ve yedek ofislerinde saklanabilir, raflara yerleştirilebilir ve bir anahtarla kilitlenebilir veya kuruluşun kasasında saklanabilir. Diğer bilgi taşıyıcıları üzerinde kontrol sahibi olan sorumlu kişi Yöneticinin emriyle belirlenir.

9.8.

PD'yi görüntüleme ve düzenleme işlevlerini uygulayan Operatörün otomatik sisteminin yazılımıyla çalışırken, bu tür verileri içeren ekran formlarının uygun izne sahip olmayan kişilere gösterilmesi yasaktır.

9.9.

İş görevlerine uygun olarak bir müşteriden veya başka bir kişinin çalışanından PD alan Operatörün bir çalışanı tarafından PD alınırken, PD'nin orijinalliği kontrol edilmelidir. İşletmeci tarafından alınan PD, ilgili PD'ye erişimi olan çalışanlar tarafından bilgi sistemine girilir. Bilgi giren çalışanlar, girilen bilgilerin doğruluğundan ve eksiksizliğinden sorumludur.

9.10.

Otomasyon araçları kullanılmadan kağıt üzerinde bulunan kişisel verilerin işlenmesinin özellikleri (belgeleri hazırlarken kişisel bilgisayar kullanılmaz), 15 Eylül 2008 tarihli Rusya Federasyonu Hükümeti Kararnamesi N 687 "On Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin Yönetmeliğin onaylanması" .

9.11.

Farklı kategorilerdeki kişisel verileri manuel olarak işlerken, her bir kişisel veri kategorisi için ayrı bir maddi ortam kullanılmalıdır.

9.12.

Kişisel verilerin kağıt üzerinde otomatik olmayan şekilde işlenmesi halinde:

9.12.1.

İşleme amaçları açıkça uyumsuz olan PD'nin tek bir kağıt ortamına kaydedilmesine izin verilmez;

9.12.2.

PD, özellikle ayrı kağıt ortamlarına, özel bölümlere veya form (form) alanlarına kaydedilerek diğer bilgilerden ayrılmalıdır;

9.13.

Standart belge formlarını kullanırken, PD'nin bunlara dahil edilmesini öneren veya buna izin veren bilgilerin niteliği (bundan sonra standart formlar olarak anılacaktır), aşağıdaki koşulların karşılanması gerekir:

9.13.1.

Standart form veya ilgili belgeler (doldurma talimatları, kartlar, kayıtlar ve dergiler), PD'nin otomatik olmayan şekilde işlenmesinin amacı, Operatörün adı (adı) ve adresi, soyadı, adı, soyadı hakkında bilgi içermelidir. ve PD konusunun adresi, PD'nin alındığı kaynak, kişisel verilerin işlenmesi için son tarihler, bunların işlenmesi sırasında gerçekleştirilecek kişisel verilerle ilgili eylemlerin bir listesi, operatör tarafından kullanılan kişisel verileri işleme yöntemlerinin genel bir açıklaması ;

9.13.2.

Standart form, PD işlemesi için yazılı onay alınması gerekiyorsa, PD deneğinin otomatik olmayan PD işlemesine ilişkin rızasını işaretleyebileceği bir alan içermelidir;

9.13.3.

Standart form, belgede yer alan PD konularının her birinin, diğer PD konularının haklarını ve meşru çıkarlarını ihlal etmeden, belgede yer alan PD'lerini tanıma fırsatına sahip olacağı şekilde hazırlanmalıdır;

9.13.4.

Standart form, işlenme amaçları açıkça uyumsuz olan kişisel verilerin girilmesine yönelik alanların kombinasyonunu hariç tutmalıdır.

9.14.

PD'nin saklanması, PD'nin saklanma süresi, PD'nin konusunun tabi olduğu bir anlaşma olan federal yasa tarafından belirlenmedikçe, PD'nin işlenmesi amaçlarının gerektirdiği süreden daha uzun olmamak üzere, PD'nin konusunu tanımlamaya izin veren bir biçimde gerçekleştirilmelidir. bir taraf, lehdar veya garantör.

9.15.

Kişisel verilerin imhası, engellenmesi ve açıklığa kavuşturulması halleri:

9.16.

Kişisel verilerin bir kısmının imhası veya kişisellikten arındırılması, eğer somut bir ortam izin veriyorsa, bu kişisel verilerin daha fazla işlenmesini engelleyecek ve aynı zamanda somut bir ortamda kayıtlı diğer verilerin işlenmesi (silme, silme) olanağını muhafaza edecek şekilde gerçekleştirilebilir.

9.17.

Kişisel verilerin otomasyon araçları kullanılmadan işlenmesi sırasında açıklığa kavuşturulması, somut bir ortamdaki verilerin güncellenmesi veya değiştirilmesi ve fiziksel ortamın teknik özellikleri buna izin vermiyorsa, aynı fiziksel ortama ilgili bilgilerin kaydedilmesiyle gerçekleştirilir. bunlara yapılan değişikliklerle veya güncellenmiş PD ile yeni bir materyal ortamının üretilmesiyle.

9.18.

Kişisel verileri içeren ortamların imhası aşağıdaki sırayla gerçekleştirilir:

9.18.1.

Kağıt üzerindeki PD, Operatör ofisine kurulu öğütücüler (belge öğütücüler) kullanılarak imha edilir.

9.18.2.

PC hafızasında bulunan PD, PC hafızasından silinerek yok edilir.

9.18.3.

Flash kart, CD veya başka bir saklama ortamında bulunan PD, gerekirse flash kartın veya CD'nin işlevselliği bozularak ortamdan dosya silinerek yok edilir.

9.19.

Depolama ortamının imhasına ilişkin bir rapor hazırlanır (rapor formları için eklere bakınız).

9.20.

Operatörün ofisi, binası, çalışma gününün sonunda ve ofis binasında çalışanların bulunmaması kilitlenmeli, pencereler kapatılmalı, alarm (varsa) açılmalıdır.

9.21.

Ağ ekipmanları ve sunucular yetkisiz kişilerin erişemeyeceği yerlere (özel odalara, dolaplara, kutulara) yerleştirilmelidir.

9.22.

Tesislerin temizliği ve ISPD teknik ekipmanının bakımı, PD'ye, bilgi taşıyıcılarına, ISPD bilgilerinin işlenmesi, iletilmesi ve korunmasına yönelik yazılım ve donanıma yetkisiz erişimi engelleyen önlemlere uygun olarak bu tesislerden ve teknik araçlardan sorumlu kişilerin kontrolü altında gerçekleştirilmelidir. .

9.23.

ISPD yöneticilerinin sorumlulukları arasında ISPD kullanıcı hesaplarının yönetilmesi, ISPD'nin normal çalışmasının sürdürülmesi, veri yedeklemesinin sağlanması ve ayrıca ISPD'de PD güvenliğinin sağlanmasıyla ilgili olmayan ISPD donanım ve yazılımlarının kurulması ve yapılandırılması yer alır. Ayrıca, ISPD yöneticilerinin sorumlulukları arasında, ISPD'deki PD'nin işlenmesi ve güvenliğinin sağlanması prosedürünün, belirli bir ISPD'ye uygulanan PD'nin gizliliği, bütünlüğü ve kullanılabilirliği gereksinimlerine ve federal tarafından oluşturulan PD güvenliğine ilişkin genel gereksinimlere uygunluğunun sağlanması yer alır. mevzuat.

9.24.

ISPD yöneticilerinin sorumlulukları aynı zamanda ISPD bilgilerini korumaya yönelik donanım ve yazılım araçlarının kurulumunu, yapılandırılmasını ve yönetimini, makine veri depolama ortamının muhasebeleştirilmesini ve saklanmasını, güvenlik günlüklerinin periyodik olarak denetlenmesini ve ISPD güvenliğinin analizini ve ayrıca ISPD güvenliğinin resmi araştırmalarına katılımı da içerir. PD'nin işlenmesi ve güvenliğinin sağlanması için belirlenmiş prosedürün ihlalleri.

9.25.

Yetki dağılımını sağlamak, karşılıklı kontrolü uygulamak ve kişisel verilerin güvenliği açısından kritik olan yetkilerin tek bir kişide yoğunlaşmasını önlemek amacıyla, ISPD kullanıcısı ve ISPD yöneticisi rollerinin tek bir çalışanın şahsında birleştirilmesi önerilmez.

9.26.

ISPD yöneticilerinin yeterlilik gereksinimleri ve ayrıntılı hak ve sorumluluk listesi, bu rollere atanan çalışanların imza sırasında aşina olması gereken ilgili iş tanımlarında belirtilmiştir.

9.27.

Operatörde PD işleme sürecinin iç kontrolünün organizasyonu, PD güvenliğinin gerçek durumunu incelemek ve değerlendirmek, bunların işlenmesi için belirlenen prosedür ihlallerine zamanında yanıt vermek ve bu prosedürü iyileştirmek için gerçekleştirilir. ve uyumluluğunu sağlamak.

9.28.

Kişisel verilerin işlenmesi ve güvenliği konusunda iç kontrolü uygulamaya yönelik önlemler, aşağıdaki görevleri çözmeyi amaçlamaktadır:

9.28.1.

İşletmeci çalışanlarının bu Yönetmelik ve kişisel veri kapsamını düzenleyen düzenlemeler gereklerine uymasını sağlamak.

9.28.2.

Kişisel verilerin işlenmesinde görev alan personelin yeterliliğinin değerlendirilmesi.

9.28.3.

ISPD teknik araçlarının ve PD koruma araçlarının işlerliğinin ve etkinliğinin, bunların PD güvenliği konularında yetkili yürütme makamlarının gereksinimlerine uygunluğunun sağlanması.

9.28.4.

Kişisel verilerin işlenmesine ilişkin belirlenmiş prosedüre ilişkin ihlallerin tespiti ve bu tür ihlallerin olumsuz sonuçlarının zamanında önlenmesi.

9.28.5.

Hem PD'nin işlenmesi prosedüründe hem de ISPD'nin teknik araçlarının işletilmesinde tespit edilen ihlalleri ortadan kaldırmayı amaçlayan düzeltici önlemlerin alınması.

9.28.7.

İhlalleri ortadan kaldırmak için tavsiye ve talimatların uygulanması üzerinde iç kontrol uygulamak.

9.29.

Kontrol faaliyetlerinin sonuçları kanunlarda belgelenmiştir ve kişisel verilerin işlenmesi ve güvenliğinin sağlanması prosedürünün iyileştirilmesi, bilgi sistemlerinin teknik araçlarının ve kişisel verilerin korunması araçlarının modernizasyonu, eğitim ve eğitim için tavsiyelerin geliştirilmesinin temelini oluşturur. Kişisel verilerin işlenmesinde görev alan personelin yetkinliğinin arttırılması.

Operatör çalışanlarının kişisel verilerini yönetme özellikleri

10.1.

Bu bölüm, Operatör çalışanlarının kişisel verilerinin işlenmesi sırasında Operatör ve çalışanların ek hak ve yükümlülüklerini belirler.

10.2.

Çalışan kişisel verileri, Operatör tarafından iş ilişkileriyle bağlantılı olarak ve belirli bir çalışanla ilgili olarak gerekli olan bilgilerdir.

10.3.

Çalışanın kişisel verilerinin işlenmesi, yalnızca kanun ve diğer düzenlemelere uygunluğun sağlanması, çalışanlara işe alım, eğitim ve terfi konularında yardımcı olunması, çalışanların kişisel güvenliğinin sağlanması, yapılan işin miktar ve niteliğinin izlenmesi ve mülkiyet güvenliği.

10.4.

Operatör, federal yasaların öngördüğü durumlar dışında, bir çalışanın kamu derneklerine üyeliği veya sendika faaliyetleri hakkındaki kişisel verilerini alma ve işleme hakkına sahip değildir;

10.5.

Bir çalışanın çıkarlarını etkileyen kararlar alırken, Operatör, yalnızca otomatik işleme veya elektronik makbuz sonucunda elde edilen çalışanın kişisel verilerine güvenme hakkına sahip değildir;

10.6.

Çalışanlar sır saklama ve koruma haklarından feragat etmemelidir;

10.7.

Operatör, çalışanın kişisel bilgilerini yazılı izni olmadan ticari amaçlarla ifşa etmemeyi taahhüt eder;

10.8.

İşletmeci, İşletmecinin çalışanlarını ve çalışanın kişisel verilerini (onun rızasıyla) alan üçüncü tarafları, bu verilerin yalnızca iletildiği amaçlar için kullanılabileceği konusunda uyarmayı ve bu kişilerin bu kurala uyulduğunu teyit etmelerini talep etmeyi taahhüt eder. Bir çalışanın kişisel verilerini alan kişilerin gizlilik rejimine (gizlilik) uymaları gerekmektedir. Kişi ile sözleşme imzalanarak gizlilik rejimi sağlanır (Bu Yönetmeliğin Ekleri). Bu hüküm, çalışanların kişisel verilerinin Rusya Federasyonu mevzuatında belirlenen şekilde paylaşılması için geçerli değildir;

10.9.

Çalışanların kişisel verilerine erişim, Operatör tarafından onaylanan emir ve düzenlemeler esas alınarak gerçekleştirilir.

10.10.

Operatör, çalışanın bir iş fonksiyonunu yerine getirme kabiliyetine ilişkin bilgiler haricinde, çalışanın sağlık durumu hakkında bilgi talep etmemeyi taahhüt eder;

10.11.

Operatör, çalışanın PD'sini Rusya Federasyonu mevzuatında belirlenen şekilde çalışan temsilcilerine aktarmayı ve bu bilgiyi yalnızca söz konusu temsilcilerin görevlerini yerine getirmesi için gerekli olan çalışan PD'siyle sınırlamayı taahhüt eder.

10.12.

Çalışan, kişisel verilerinin korunmasını sağlayacak temsilcilerini belirleme hakkına sahiptir.

Bu hükmün ihlalinden doğan sorumluluk

11.1.

Operatörün yönetimi, kişisel verilerin gizliliğinin sağlanamamasından ve kişisel veri sahiplerinin gizlilik, kişisel ve aile sırları hakları da dahil olmak üzere kişisel verileriyle ilgili hak ve özgürlüklerine uyulmamasından sorumludur.

11.4.

PD'nin işlenmesi ve güvenliğinin sağlanması, PD'ye yetkisiz erişim, PD'nin ifşa edilmesi ve Operatöre, çalışanlarına, müşterilerine ve karşı taraflarına maddi veya başka zarar verilmesine ilişkin yerleşik prosedürün ihlali durumunda, failler hukuki, cezai, idari yaptırımlara maruz kalır. Rusya Federasyonu mevzuatının öngördüğü disiplin ve diğer sorumluluklar.

Yaz ayının sonundan itibaren Kişisel Veriler Kanunu yeni versiyonuyla yürürlüğe girdi. Bilgi edinme ve koruma kuralları değişti. İşveren için bu tek bir anlama gelir: ek evrak işi. Bu yazımızda çalışanların kişisel verileriyle çalışmaya ilişkin düzenlemelerin nasıl hazırlanacağı ve kişisel verilerle işin düzenlenmesinden sorumlu birinin nasıl atanacağı hakkında konuşacağız.

Kişisel veri nedir

27 Temmuz 2006 tarih ve 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanun (bundan sonra 152-FZ sayılı Kanun olarak anılacaktır) şunları tanımlar: Kişisel bilgi bir bireyle doğrudan veya dolaylı olarak ilgili herhangi bir bilgi olarak (kişisel veri konusuna). Bu, Sanatın 1. paragrafında belirtilmiştir. 152-FZ Sayılı Kanunun 3'ü.

Sanatın 1. Bölümüne göre. İş Kanunu'nun 85'i, bir çalışanın kişisel verileri, işveren için iş ilişkileriyle bağlantılı olarak gerekli olan, belirli bir çalışana ilişkin bilgiler anlamına gelir. Aşağıdaki gibi verilerden bahsediyoruz:

• Ad Soyad;
• Doğum tarihi ve yeri;
• adres;
• Aile durumu;
• pozisyon (meslek);
• maaş, diğer gelirler;
• gayrimenkul mülkiyeti, nakit mevduat vb.;
• eğitim, nitelikler, mesleki eğitim, ileri eğitime ilişkin bilgiler;
• zararlı olanlar da dahil olmak üzere alışkanlıklar ve hobiler (alkol, uyuşturucu vb.);
• biyografik gerçekler ve önceki iş faaliyetleri (iş yeri, kazanç miktarı, sabıka kaydı, askerlik hizmeti, seçilmiş pozisyonlarda çalışma, kamu hizmeti vb.);
• fizyolojik özellikler, sağlık;
• iş ve diğer kişisel nitelikler;
• diğer bilgiler.

Çalışanların kişisel verilerini içeren personel belgelerinin listesi tabloda verilmiştir. 1, s. 76.

Tablo 1. Çalışanlara ait kişisel verileri içeren belgeler

Kişisel veri işleme operatörü

N 152-FZ Kanununa göre, kişisel verilerin işlenmesini düzenleyen ve (veya) gerçekleştiren, bileşimini, işleme amaçlarını ve kişisel verilerle gerçekleştirilen eylemleri belirleyen kişiye (tüzel veya bireysel) denir. Şebeke(152-FZ Sayılı Kanunun 3. maddesinin 2. fıkrası). Bizim durumumuzda bu işverendir.

Kişisel verilerin işlenmesi- onlarla gerçekleştirilen herhangi bir işlem. Kişisel verilerin işlenmesine ilişkin işlemler:

• Toplamak;
• kayıt;
• sistemleştirme;
• birikim;
• depolamak;
• açıklama (güncelleme, değişiklik);
• çıkarma;
• kullanım;
• iletim (dağıtım, provizyon, erişim);
• duyarsızlaşma;
• engelleme;
• silme;
• kişisel verilerin imhası.

Kişisel verilerle çalışmaya ilişkin düzenlemeler

Kişisel verilerin operatör tarafından işlenmesine ilişkin prosedür, çalışanların kişisel verileriyle çalışmaya ilişkin Yönetmeliklerde (bundan sonra Yönetmelik olarak anılacaktır) belirlenebilir. Belgenin birleşik bir formu yoktur. Bu belgenin N 152-FZ sayılı Kanunun gerekliliklerini dikkate alarak nasıl hazırlanacağını düşünelim. Yönetmelik birçok bölümden oluşuyor. Tablo halinde sunulmaktadır. 2. Ayrıca bölümlerin içermesi gereken bilgileri de kısaca belirtir. Ayrıntılı bilgi, çalışanların kişisel verilerine ilişkin Yönetmelik'in s. 80.

Tablo 2. Çalışanların kişisel verilerine ilişkin Yönetmeliğin Yapısı

Çalışanların kişisel verilerine ilişkin Yönetmelik bölümü

Yönetmeliğin yürürlüğe girmesi

Kişisel verilere ilişkin düzenleme şirket başkanı tarafından onaylanır ve kuruluşun talimatıyla yürürlüğe konulur (örnek s. 90'da verilmiştir). Yönetmeliklerin onayına ilişkin bir kayıt, yerel düzenlemeler kaydında yapılmalıdır.

Eğer bir sendika varsa

Şirketin bir sendikası varsa, Yönetmelikler üzerinde onunla mutabakata varılmalıdır. Bunu yapmak için taslak düzenlemeler sendikanın seçilmiş organına gönderilir (Rusya Federasyonu İş Kanunu'nun 372. Maddesi). Projenin teslim alındığı tarihten itibaren en geç beş iş günü içerisinde görüşünü (yazılı olarak) beyan etmelidir. Eğer sendika projeye katılmıyorsa ya da projenin iyileştirilmesine yönelik önerileri varsa yönetimin iki seçeneği var. Birincisi anlaşmaktır. İkincisi, karşılıklı olarak kabul edilebilir bir çözüme ulaşmak için gerekçeli görüş alındıktan sonraki üç gün içinde sendikayla ek istişarelerde bulunmaktır. Bu işe yaramazsa, bir anlaşmazlık protokolü hazırlanmalıdır. Bundan sonra idarenin sendikanın taleplerini dikkate almaksızın Yönetmelik çıkarma hakkı bulunmaktadır. Ancak Yönetmeliğe itiraz edebilecek veya Bölümde öngörülen şekilde toplu iş uyuşmazlığı prosedürünü başlatabilecektir. 61 İş Kanunu.

Çalışanların Yönetmeliklerle tanışması

Çalışanlar imzaya ilişkin Yönetmeliklere aşina olmalıdır (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 8. fıkrası). Bu gerçek kaydedilebilir:

• her çalışan için iş sözleşmesi metninde (çalışanın sözleşmeyi imzalamadan önce aşina olduğu yerel düzenlemelerin listesi);
• - Düzenlemelere aşina olmanız için bir sayfa (örnek s. 91'de);
• - çalışanları yerel düzenlemelere alıştırmak için bir kayıt defteri (örnek s. 91'de).

Yerel düzenlemelere aşinalık için örnek sayfa

Giriş günlüğünün bir parçasıDüzenlemelerkişisel veriler hakkında

Not. Kişisel veri saklama süresi

Kişisel verilere ilişkin yerel düzenlemeler (yönetmelikler, talimatlar) kalıcı olarak saklanmalıdır. Çalışanların veri işlemeye ilişkin rıza beyanları (gelecekteki sayılarda tartışılacaktır) ve diğer çalışan belgeleri ise 75 yıl süreyle saklanır. Bu, 25 Ağustos 2010 N 558 tarihli Rusya Kültür Bakanlığı Emri ile onaylanan Listede belirtilmiştir.

İdari sorumluluk

Bir işletme ve yetkilileri için çalışanların kişisel verilerinin alınması, işlenmesi, saklanması ve korunması prosedürünün ihlali nedeniyle idari sorumluluk önlemleri (çoğunlukla para cezaları verilir; bu durumda diskalifiye uygulanmaz) Tabloda verilmiştir. 3.

Tablo 3. Çalışanların kişisel verilerinin elde edilmesi, işlenmesi, saklanması ve korunmasına ilişkin usulün ihlali sorumluluğu