• Registr provozovatelů zpracování osobních údajů. Je společnost povinna se registrovat v Registru provozovatelů osobních údajů

    Činnost každé organizace nevyhnutelně obnáší zpracování osobních údajů v informačním systému (ISPD). Každá společnost, která používá důvěrné informace o zaměstnancích, zákaznících, partnerech a dalších fyzických osobách, je povinna se zaregistrovat jako provozovatel osobních údajů.

    Postup pro ukládání a ochranu osobních údajů

    Organizace obrany důvěrná informace probíhá v několika fázích:

    • Kontrola prvotních prací na zpracování osobních údajů (revize místního regulační rámec, analýza informační toky PD a ISPD obecně, zjišťování nedostatků a ohrožení bezpečnosti informačního systému, vytváření návrhů na nápravu nedostatků, zlepšování systémů ochrany osobních údajů).
    • Vývoj regulačního rámce pro ochranu osobních údajů. Tato fáze zahrnuje klasifikaci ISPD a registraci jako provozovatele osobních údajů u Roskomnadzor.
    • Návrh systému ochrany osobních údajů - volba metod, opatření a tříd prostředků ochrany osobních údajů, rozvoj technická dokumentace pro vytvoření SPPD, jakož i vypracování konkrétních opatření na ochranu informací v každém konkrétním ISPD.
    • Implementace SPPD - zprovoznění systémů ochrany PD a nastavení stávajících prostředků ochrany ISPD.
    • Posouzení shody s ISPD, v rámci kterého se provádějí hodnotící testy ISPD a je vydán příslušný Certifikát.

    Registrace jako provozovatele osobních údajů v registru Roskomnadzor je součástí celkového procesu organizace zpracování a ochrany osobních údajů.

    Etapy registrace provozovatele ISPD v Roskomnadzoru

    Registrace provozovatele ISPD zahrnuje následující kroky:

    • Vývoj a přijetí regulačního rámce pro zpracování a ochranu osobních údajů.
    • Vyplnění formuláře oznámení o záměru zpracovávat osobní údaje na webových stránkách územního orgánu Roskomnadzor.
    • Zaslání oznámení do informačního systému Pověřeného orgánu ochrany práv subjektů osobních údajů.
    • Tisk vyplněného formuláře s podpisy.
    • Odeslání vytištěného oznamovacího formuláře na příslušný územní orgán Roskomnadzor v místě registrace provozovatele.

    Vyzýváme vás, abyste si připravili dokumenty potřebné pro registraci jako provozovatel osobních údajů pomocí naší online služby. Tato stránka obsahuje akty, pokyny, předpisy, deníky, oznámení a další dokumenty.

    Tento vzor se často používá s:

    • Informační dopis o změnách údajů v registru provozovatelů zpracovávajících osobní údaje
    • Souhlas s předáním osobních údajů třetím stranám
    • Seznam osobních údajů podléhajících ochraně v ISPD
    • Ochrana osobních údajů ve vzdělávacích institucích

    Oblíbené dokumenty a postupy:

    Registrace provozovatele osobních údajů pro interní potřebu

    str. 4 - toto musí udělat každá právnická osoba. osobě nebo fyzickému podnikateli, pokud se jedná o zpracování osobních údajů zaměstnanců a zákazníků?

    jsme společnost, která vytvořila a udržuje systém, kde jsou osobní údaje klientů zákazníka, nevyhovuje nám soubor těchto dokumentů, je vhodnější, když zaměstnavatel zpracovává údaje svých zaměstnanců, ale totéž není zcela v pořádku.

    Ahoj! Existuje několik otázek ohledně přizpůsobení šablon. 1) Řekněte mi prosím, jak nastavit šablony systému ISPD, aby bylo možné systém zařadit pod aktuální hrozby typu 1 a potřebu poskytovat 1. úroveň zabezpečení. Budou v tomto případě navrhované šablony vzájemně konzistentní? 2.) Je možné všechny dokumenty systému (28 dokumentů) předvyplnit prvotně zadanými údaji (název právnické osoby, kategorie osobních údajů), nebo je nutné je zadávat pokaždé při vyplňování samostatného dokumentu systému?

    Upřesněte prosím, jaká je minimální možná úroveň zabezpečení PD, která může být vydána na základě vašich šablon? (máme zájem na minimalizaci nákladů na systém. Budou zpracovávány osobní údaje zaměstnanců a dodavatelů. Nezpracováváme zvláštní kategorie osobních údajů a biometrické údaje)

    Ahoj! Máme zájem využívat mechanismus údržby a evidence úkolů v rámci pracovních povinností našich zaměstnanců, a to registrací účtu ( osobní účet) se jménem zaměstnance (uživatelské jméno) a poskytnutím jedinečného identifikátoru (login) a hesla pro tento záznam, jak je doporučeno ve vaší šabloně „Nařízení o duševním vlastnictví“, bod 6.2. Zároveň je v článku 6.4 uvedených Pravidel duševního vlastnictví uvedeno, že všechny adresy společností E-mailem a všechna přihlášení nebo uživatelská jména v Softwarových nástrojích jsou uvedena ve zvláštním interním dokumentu schváleném generálním ředitelem Společnosti, který je dle potřeby aktualizován a sdělován všem zaměstnancům Společnosti, tzn. údaje jsou zpřístupněny ostatním. Prosím o objasnění následujících otázek: 1.) zda osobní údaje (a pokud ano, do jaké kategorie), údaje účet(osobní účet) se jménem zaměstnance (uživatelské jméno) a jedinečným identifikátorem (login) a heslem zaměstnance během vnitřní systém Provozovatele, e-mailovou adresu zaměstnance v interním systému Provozovatele? 2.) pokud se tyto údaje týkají osobních údajů, budou existovat nějaké zvláštnosti jejich použití ve vašich šablonách ISPD (zda to bude vyžadovat nákup kryptografickými prostředky ochrana atd.)?

    Ahoj! Při zpracování osobních údajů zpracovávaných v souladu s pracovněprávními předpisy není dle legislativy nutné oznamovat regulátorovi. A co uchazeči, kteří nejsou přijati? Jejich údaje zůstaly, máme právo je uchovávat bez upozornění regulátora? Například pokud uchazeč neprošel zkušební dobou (zde je pracovní poměr zřejmý). Nebo například nebyl ani připuštěn ke zkoušce? Dnes tato data prostě nepotřebujeme a zítra jsme vyvolali dotazník, pozvali člověka a získali práci. Bude se jednat o ustanovení § 86 zákoníku práce o „zpracování osobních údajů zaměstnance lze provádět pouze za účelem zajištění souladu s právními předpisy a jinými regulačními právními akty, pomoci zaměstnancům při hledání zaměstnání“, a tedy může být prováděno bez vědomí regulátora?

    Ahoj. Je balíček pro zpracování údajů určen pro zaměstnance nebo dodavatele?

    Potřebujete vyplnit dokumenty online nebo po stažení pouze ve Wordu?

    Ahoj! Pokud zpracováváte osobní údaje svých zaměstnanců nebo zákazníků, je nutné je chránit. Je nutné vyvinout správný soubor místních předpisů uvedených v postupu a také zajistit technická opatření pokud je zpracování prováděno v automatizovaném nebo částečně automatizovaném režimu, a organizační. Výjimka se týká pouze podání oznámení Roskomnadzoru k registraci jako osobního provozovatele. Všechny tyto výjimky jsou uvedeny v článku 22, větě 2, 152-FZ. Nejčastějšími výjimkami je zpracování osobních údajů zaměstnanců v rámci pracovněprávních předpisů, zpracování osobních údajů klientů v rámci plnění smlouvy (např. pro dodání zboží klientovi potřebujete znát jeho adresu, pasové údaje).

    Ahoj! Podle odstavce 2 Čl. 3 zákona č. 152-FZ se provozovatelem osobních údajů rozumí zejména entita, samostatně nebo společně s dalšími osobami organizujícími a (nebo) provádějícími zpracování osobních údajů. Zpracováním osobních údajů se rozumí jakákoli akce (operace) nebo soubor akcí (operací) prováděné s použitím nebo bez použití automatizačních nástrojů s osobními údaji, včetně shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, vyjasňování (aktualizace, změny), vytěžování, používání, převodu (distribuce, poskytování, přístup), depersonalizace, blokování, vymazání, zničení osobních údajů, pokud provádíte jakoukoli údržbu stránek, č. 15, článek 3). jedním nebo kombinací výše uvedených úkonů - dle zákona jste provozovatelem osobních údajů se všemi z toho vyplývajícími povinnostmi. Zákon nečiní výjimky pro ty provozovatele, kteří si OÚ neodebírali přímo od subjektů, ale obdrželi OÚ od jiného provozovatele. Provozovatel - ten, kdo provádí zpracování, tzn. každá osoba, která vykonává alespoň jeden z těch, které jsou uvedeny v čl. 3 spolkového zákona č. 152 o žalobách s PD. A v tomto případě doporučujeme postupovat podle postupu: http://www..Děkujeme za využití služby!

    Ahoj! Je třeba odpovědět na otázky dotazníku na levé straně stránky - balíček požadované dokumenty budou generovány automaticky. Pokud je hodnota zadaná v jakémkoli dokladu shodná s jiným dokladem v obecném balíku, pak bude automaticky vyplněna v tomto dokladu. Šablony dokumentů jsou vhodné pro poskytování 1. úrovně zabezpečení PD. Upozorňujeme, že kromě vypracování dokumentace je nutné také vypracovat a realizovat technická ochranná opatření. Skladba a obsah těchto „základních“ opatření jsou definovány v příkazu FSTEC č. 21 ze dne 18. února 2013 „O schválení Složení a obsahu organizačních a technických opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informační systémy osobní údaje.“ Děkujeme, že používáte naši službu!

    viz odpověď níže

    Dobrý den, osobní údaje jsou jakékoli informace, které vám umožňují přesnou identifikaci individuální(ve smyslu federálního zákona ze dne 27. července 2006 N 152-FZ „O osobních údajích“). V tento případ, individuální firemní e-mailové adresy a přihlašovací nebo uživatelská jména jsou osobními údaji zaměstnanců, které jsou pro zaměstnavatele nezbytné v souvislosti s pracovněprávními vztahy, což samo o sobě nezahrnuje zvláštnosti použití zvláštního režimu ochrany (s výhradou dodržení požadavků stanovených v kapitole 14 zákoníku práce Ruské federace). Doporučujeme, abyste se seznámili s postupem umístěným na odkazu: http://www.. Děkujeme, že využíváte naši službu!

    Ahoj. Zaměstnavatel má právo zpracovávat osobní údaje uchazečů o pozice bez oznámení Roskomnadzoru, ukládat jejich životopisy, tvořící jak papírovou, tak elektronickou databázi uchazečů, pokud je k tomu jejich písemný souhlas. Tento závěr na základě skutečnosti, že podle odst. 1 části 2 čl. 22 federálního zákona ze dne 27. července 2006 č. 152-FZ "O osobních údajích", bez oznámení oprávněnému orgánu lze zpracovávat údaje zpracovávané v souladu s pracovněprávními předpisy. Osobní údaje uchazečů mohou být uloženy v databázi zaměstnavatele, pokud je dán písemný souhlas uchazeče a je uvedena doba takového uchování. Pokud jde o bývalé zaměstnance (jako ty, kteří testem neprošli), domníváme se, že pokud zákoník práce Ruské federace nebo jiné zákony neukládají zaměstnavateli povinnost zpracovávat údaje bývalých zaměstnanců, pak by takové zpracování mělo být prováděno pouze s oznámením Roskomnadzoru (pokud neexistují žádné jiné důvody pro zpracování osobních údajů bez podání oznámení, například zpracování osobních údajů bez použití nástrojů automatizace). Doporučujeme si tuto záležitost vyjasnit s pověřeným orgánem. Děkujeme vám za vaši reakci.

    Článek 22 152-FZ byl respektován. Protože ale neuzavíráme pracovněprávní vztah se všemi uchazeči, jejichž osobní údaje shromažďujeme (přijímáme na zkoušku nebo alespoň zveme na pohovory), musí být Roskomnadzor v tomto případě stále informován

    Ahoj. Zpracování osobních údajů žadatelů je rovněž prováděno v rámci pracovněprávních předpisů. Podle stanoviska 4. odvolacího rozhodčího soudu jsou důvody uvedené v odst. 1 části 2 čl. 2 písm. 22 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ se vztahuje i na náborové činnosti (vyhláška ze dne 7. února 2018 N 04AP-127 / 2018 ve věci N A19-17054 / 2017). Důvodem je skutečnost, že pracovní právo je upraveno nejen zákoníkem práce Ruské federace, ale i dalšími předpisy. Tak federální zákon ze dne 19. dubna 1991 N 1032-1 „O zaměstnanosti v Ruská Federace"Je stanoveno, že zaměstnavatelé přispívají na politiku zaměstnanosti zejména prostřednictvím zaměstnávání. Věříme, že písemný souhlas uchazeče s uchováním některých jeho údajů po dobu uvedenou v souhlasu bude v této oblasti postačovat. Roskomnadzor není třeba oznamovat. Aby však nedocházelo ke sporům, doporučujeme, abyste si tuto záležitost vyjasnili s pověřeným orgánem. Děkujeme za Vaše odvolání.

    Děkuji! Přečtěte si rozsudek. Otázka je kluzká. Toto soudní rozhodnutí naznačuje, že stanovisko Roskomnadzoru je oznámit, ale AC regionu Irkutsk se spolu s odvoláním postavil na stranu právnické osoby. Vzhledem ke známé pozici Roskomnadzoru není známo, zda se AC našeho regionu postaví na naši stranu. Proto poslali dopis s dotazem.

    Ahoj. Děkujeme vám za vaši reakci. Bylo by zajímavé a užitečné vidět shrnutí vašeho příspěvku na naší diskusní stránce. S pozdravem společnost FreshDoc.

    Určitě vám dám vědět, jak zareagují! Vaše rada mi velmi pomohla při vytváření právního stanoviska k této otázce)

    Napsal. Co myslíš, že jsi odpověděl? Nic! To je, samozřejmě, odpověděli, ale o ničem. Podstatou dopisu je, že je na vás, zda podáte oznámení, nebo ne. Chtěl jsem zajistit, abych v případě ověření měl jejich odpověď, ale nevyšlo to. A schovávat se za rozhodnutí soudu v jiném kraji.. Pořád nemáme anglosaské legální systém, a kontinentálním a pro mě hlavním závěrem z odůvodnění části soudního rozhodnutí je vize Roskomnadzoru a zda se náš krajský soud postaví na naši stranu, jak stál v Irkutsku, není známo.

    Ahoj. Děkuji za Vaši odpověď. Přítomnost odpovědi od Roskomnadzoru není zaručenou ochranou před trestním stíháním. Pro soud také není rozhodující názor odboru, ať je jakýkoli. Doporučujeme, abyste si vytvořili vlastní motivovaný názor, a pokud je to možné, zajistili vhodné soudní úkony. S pozdravem společnost FreshDoc.

    V každém případě alespoň Oznámení, alespoň ne, a požadavky článků 18.1, 19 federálního zákona-152 musí při zpracování PD splnit každý provozovatel: jmenovat odpovědnou osobu, vypracovat a schválit politiku a nařízení o PD atd. Roskomnadzor navíc provádí plánované inspekce ve vztahu ke všem operátorům, a to nejen ve vztahu k těm, kteří jsou uvedeni v registru Roskomnadzor v rámci oznámení

    Ahoj. Ano, je povinností provozovatele PD přijmout opatření nezbytná a dostatečná k zajištění plnění povinností stanovených federálním zákonem ze dne 27. července 2006 č. 152-FZ „O osobních údajích“, bez ohledu na to, zda je v registru provozovatelů (zaslání oznámení na Roskomnadzor). Současně, aby byly splněny požadavky stanovené čl. 22 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ je provozovatel před zpracováním osobních údajů povinen oznámit Roskomnadzoru svůj úmysl zpracovávat PD, jinak mu hrozí pokuta podle čl. 19.7 zákoníku o správních deliktech Ruské federace.

    Ahoj. Okruh subjektů osobních údajů je stanoven v části 3 „Osobní údaje zpracovávané v ISPD“ Nařízení o zpracování a ochraně osobních údajů, která je součástí balíčku dokumentů a je umístěna na https://www.website/?oid=7086347. Zejména stanoví, že jsou zpracovávány údaje těchto subjektů: zaměstnanci Provozovatele; akcionáři/zakladatelé Provozovatele, osoby spřízněné se zaměstnanci, akcionáři, zakladatelé (děti, na které se platí alimenty, manželky apod.); klienti (spotřebitelé služeb Provozovatele); jednotliví podnikatelé - dodavatelé Provozovatele; klienti organizací, dodavatelé Provozovatele (servis firemní klientelu). Bylo také zjištěno, že tento seznam mohou být revidovány. děkujeme za Váš kontakt.

    Dokumenty můžete vyplnit přímo na webu.

    V jakých případech je nutné oznámit Roskomnadzor zpracování osobních údajů? Odpověď je v článku.

    Otázka: Jsme ze zákona povinni se registrovat v registru provozovatelů osobních údajů Roskomnadzor? v odstavci 2 čl. 22 zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ uvádí, že 2. Provozovatel má právo zpracovávat osobní údaje bez oznámení oprávněnému orgánu ochrany práv subjektů osobních údajů Nejsme povinni se registrovat do registru?

    Odpovědět: Registrace v registru provozovatelů osobních údajů Roskomnadzor není vyžadována, protože neexistuje žádný registrační postup. Provozovatel je povinen před zpracováním osobních údajů zaslat Roskomnadzoru oznámení (odst. 1, § 22 zákona č. 152-FZ). Roskomnadzor vede registr provozovatelů na základě oznámení.

    Z tohoto právního řádu přitom existují výjimky, které jsou podrobně uvedeny v odst. 2 čl. 22 zákona č. 152-FZ.

    Odůvodnění

    Ukládání osobních údajů v Rusku. Jaké jsou funkce pro informace o zaměstnancích

    Pokud společnost zpracovává osobní údaje nejen zaměstnanců a dodavatelů – fyzických osob. To znamená, že ve skutečnosti je každá společnost povinna informovat úředníky o zpracování osobních údajů.

    Obecným pravidlem je, že zaměstnavatel je povinen zaslat Roskomnadzoru oznámení o zahájení zpracování osobních údajů (část 1, článek 22 zákona č. 152-FZ). Mnoho společností to stále neudělalo. Zdůvodňují to takto: zaměstnavatel zpracovává osobní údaje pouze svých zaměstnanců. Na společnost se proto vztahuje výjimka, která je stanovena v odst. 1 části 2 čl. 22 zákona č. 152-FZ. Podle tohoto pravidla má zaměstnavatel právo zpracovávat osobní údaje v souladu s pracovněprávními předpisy bez oznámení Roskomnadzoru.

    Ale ve většině případů je stanovisko, že oznámení není vyžadováno, chybné. Zaměstnavatel totiž zpracovává údaje nejen zaměstnanců, ale i dalších subjektů. Například zástupci protistran při získávání plných mocí nebo zaměstnanci jiných společností, které jsou součástí stejné skupiny jako zaměstnavatel. V takových případech se doporučuje zaslat oznámení Roskomnadzoru.

    Jakou formou by měl být Roskomnadzor oznámen?

    V oznámení uveďte informace o osobních údajích zaměstnanců (bod 7 Dočasných doporučení pro vyplnění formuláře oznámení, schválených Roskomnadzorem dne 30. prosince 2014). Výjimky stanovené v části 2 Čl. 22 zákona č. 152-FZ, nejsou v tomto případě použitelné.

    Roskomnadzor zapíše informace z oznámení do registru provozovatelů do 30 dnů ode dne obdržení dokumentu. Nemusíte za to platit peníze (část 4, část 5 článku 22 zákona č. 152-FZ).

    Zaměstnavatelé, kteří Roskomnadzor neoznámí, riskují, že obdrží dopis od úředníků. V reakci na to budou zaměstnavatelé povinni zaslat výpověď nebo zdůvodnit její nezaslání. V druhém případě se zvyšuje riziko, že Roskomnadzor ověří platnost tohoto druhu odůvodnění. Roskomnadzor tak podle výroční zprávy za rok 2014 rozeslal operátorům více než 58 tisíc takových dopisů (

    21. února 2014 ve 23:45 hodin

    Nebo možná neinformovat o zpracování osobních údajů?

    • Informační bezpečnost

    Část první článku 22 federálního zákona ze dne 27. července 2006 N 152-FZ "O osobních údajích" (dále v článku - zákon) stanoví povinnost provozovatele zpracovávajícího osobní údaje oznámit před zpracováním orgánu Roskomnadzor. Vzápětí (ve druhé části článku) Zákon navrhuje důvody, na základě kterých má provozovatel právo neoznámit zpracování. Tyto případy jsou celkem běžné. Protože však zákon nezakazuje oznamování, i když takové případy existují, řada provozovatelů volí cestu oznámení. Možná byste neměli posílat upozornění, nebo dokonce přemýšlet o tom, jak se dostat pod "výjimky". Jsou pro to minimálně 3 důvody.

    Je těžké odpovědět na otázku "Proč?" pro všechny, kteří se rozhodli zaslat orgánu Roskomnadzor oznámení, pokud by to bylo možné neudělat. Samozřejmě nelze vyloučit ani marketingové kampaně (image, otevřenost). Přesto v některých případech oznamují z neznalosti nebo na základě pozice „Je lepší být opatrný“. Rád bych upozornil na známé právo provozovatelů zpracovávajících osobní údaje neoznamovat zpracování orgánům Roskomnadzor, a zde je několik důvodů.

    1. Osoba, která podala oznámení o zpracování osobních údajů, musí nést břemeno neustálé aktualizace předložených informací. Tato povinnost je stanovena v části 7. Umění. 22 zákona. Pokud provozovatel zpracovávající osobní údaje nepodá oznámení o změně údajů (změna adresy provozovatele, změna kategorií OÚ, které jsou zpracovávány, změna osoby odpovědné za zpracování OÚ a jejích kontaktů, atd.), pak může nést administrativní odpovědnost. Zdálo by se, že něco složitého: něco se v organizaci změnilo, vzal a poslal dopis. Jak ukazuje praxe, ve většině případů se na to zapomíná. Například ti, kteří se zapsali do Rejstříku (registr zahrnuje všechny, kteří podali oznámení o zpracování) provozovatelů zpracovávajících osobní údaje před 1. červencem 2011, byli povinni dodatečně zaslat informace stanovené v odstavcích 5, 7.1, 10 a 11 části 3 článku 22 zákona do 1. ledna 2013 (právní základ pro zpracování osobních údajů, celé jméno osoby odpovědné za zpracování osobních údajů, atd.). Jak je patrné z registru provozovatelů osobních údajů Roskomnadzoru, více než polovina provozovatelů tak dodnes neučinila. Pochybná je i představa, že všechny tyto organizace neprovedly žádné vnitřní změny související se zpracováním osobních údajů. Navrhuji, abyste také zvážili, zda budete včas sledovat relevanci zápisů v rejstříku v dlouhodobém horizontu, pokud existuje možnost to vůbec nedělat?
    2. Orgány Roskomnadzoru provádějí plánování kontrol provozovatelů zpracovávajících osobní údaje s využitím resortního jednotného informačního systému - UIS. Všichni provozovatelé, kteří podali oznámení, už v něm jsou, a proto se pravděpodobnost, že se do plánu kontrol dostanou, mnohonásobně zvyšuje. Organizace kontrolované Roskomnadzorem v jiných oblastech (komunikační služby, distribuční sítě, média, vysílání) jsou automaticky kontrolovány z hlediska souladu s legislativou týkající se osobních údajů, pokud Roskomnadzor zpracování oznámily.
    3. Pokud by se provozovatel osobních údajů rozhodl o zpracování vyrozumět orgán Roskomnadzor, ačkoli měl právo tak neučinit, pak by nefungovalo vyloučení z Rejstříku z důvodu, že nemohl oznamovat vůbec. Takovou možnost nestanoví ani zákon, ani příslušný správní řád. Spíše se poskytuje pouze z obecných důvodů.
    Pokud jste se chystali odeslat oznámení, ale výše uvedené vás nějak zaujalo, obecné pokyny jsou jednoduché.
    1. Pozorně si přečtěte (rozumějte) část 2 čl. 22 federálního zákona Ruské federace ze dne 27. července 2006 N 152-FZ „O osobních údajích“.
    2. Podívejte se, jaké osobní údaje a v souvislosti s čím zpracováváte.
    3. V některých případech možná budete muset upravit svou práci s nosiči osobních údajů. Dovolte mi uvést příklad, aby bylo jasné, co tím myslím.
    Jedna z možností neoznámit zpracování osobních údajů je uvedena v odst. 2 části 2 čl. 22 zákona zní takto
    obdrží provozovatel v souvislosti s uzavřením smlouvy, jejímž je subjekt osobních údajů smluvní stranou, pokud nedochází k šíření osobních údajů a nejsou bez souhlasu subjektu osobních údajů poskytovány třetím osobám a jsou provozovatelem využívány výhradně k plnění uvedené smlouvy a uzavírání smluv se subjektem osobních údajů

    Takže jste uzavřeli smlouvu s jednotlivcem na nějaký druh služby. Vzal si číslo osoby mobilní telefon pro označení, že služba je připravena. Ve většině případů není mobilní telefonní číslo pro účely plnění smlouvy potřeba. Je-li klientovi odebráno mobilní telefonní číslo, je vyžadován také jeho souhlas se zpracováním osobních údajů. V tomto případě však nespadáte pod výjimku v Zákoně, která vám umožňuje neoznamovat zpracování osobních údajů.
    Pokud je ve smlouvě s touto osobou uvedena nutnost mít pro účely plnění smlouvy číslo mobilního telefonu, pak již uplatňujete nárok na výjimku.
    Potřebu mít číslo mobilního telefonu pro účely plnění smlouvy můžete porazit asi takto: „Organizace se zavazuje informovat klienta na tel. číslo x ... x o připravenosti ...“.

    Jak zorganizovat zpracování osobních údajů zaměstnanců. Registr provozovatelů osobních údajů Roskomnadzor. Jak získat souhlas zaměstnance se zpracováním jeho osobních údajů.

    Otázka: Je MUP povinna se registrovat v registru provozovatelů osobních údajů Roskomnadzoru a vypracovat soubor dokumentů o ochraně osobních údajů?

    Odpovědět: Ano, MUP je povinna se zapsat do registru provozovatelů osobních údajů, jakož i vypracovat soubor dokumentů o ochraně osobních údajů, pokud MUP zaměstnává zaměstnance a MUP zpracovává jejich osobní údaje nebo MUP zpracovává osobní údaje různých fyzických osob (klientů, partnerů).

    Odůvodnění

    Jak zorganizovat zpracování osobních údajů zaměstnanců

    Koncept persdata

    Jaké osobní údaje zaměstnance může organizace získat

    Veřejné osobní údaje

    Otázka z praxe: jaké osobní údaje jsou považovány za veřejné

    Veřejně dostupné informace jsou obecně známé informace a další informace, ke kterým není omezen přístup. Tyto informace může použít jakákoliv osoba podle svého uvážení v souladu se zákonem zavedená omezení pro jeho distribuci. To je uvedeno v odstavcích, článek 7 zákona ze dne 27. července 2006 č. 149-FZ.

    Veřejně dostupné osobní údaje - údaje, které subjekt osobních údajů zveřejnil. Veřejně dostupné osobní údaje mohou zahrnovat informace dostupné neomezenému okruhu osob (například údaje z otevřených adresářů, adresáře atd.).

    Vzhledem k tomu, že k nim má přístup kdokoli, již nevyžadují zvláštní ochranu.

    Při zpracování těchto údajů není provozovatel povinen oznamovat oprávněnému orgánu ochrany práv subjektů osobních údajů (ust. 4, část 2, čl. 22 zákona ze dne 27. července 2006 č. 152-FZ).

    Souhlas se zpracováním osobních údajů

    Jak získat souhlas zaměstnance se zpracováním jeho osobních údajů

    Při výkonu činnosti musí zaměstnavatel zpracovávat osobní údaje zaměstnanců. Zpracování těchto údajů, s výjimkou jednotlivých případů, probíhá pouze s písemným souhlasem zaměstnanců. Souhlas musí obsahovat následující údaje:

    • příjmení, jméno, příjmení, adresa zaměstnance, údaje o cestovním pasu (jiný doklad prokazující jeho totožnost) včetně údaje o datu vydání dokladu a vydávajícím orgánu;
    • jméno nebo příjmení, jméno, příjmení a adresa zaměstnavatele (provozovatele), který obdrží souhlas zaměstnance;
    • účel zpracování osobních údajů;
    • seznam osobních údajů, k jejichž zpracování je udělen souhlas;
    • jméno nebo příjmení, jméno, příjmení a adresu osoby, která pro zaměstnavatele zpracovává osobní údaje, je-li zpracováním pověřena;
    • seznam úkonů s osobními údaji, ke kterým je udělen souhlas, obecný popis způsoby, které zaměstnavatel používá ke zpracování osobních údajů;
    • doba, po kterou je souhlas zaměstnance platný, jakož i způsob jeho odvolání, pokud federální zákon nestanoví jinak;
    • Podpis zaměstnance.

    Tyto požadavky jsou uvedeny v části 4.

    Pokud je zaměstnanec v pracovní neschopnosti, písemný souhlas se zpracováním jeho osobních údajů dává jeho zákonný zástupce: rodič, opatrovník (část 6 článku 9 zákona ze dne 27. července 2006 č. 152-FZ).

    Zaměstnanec může souhlas se zpracováním svých osobních údajů kdykoli odvolat zasláním odpovědi zaměstnavateli ve volné formě. V takové situaci má organizace právo nadále zpracovávat osobní údaje bez souhlasu zaměstnance, s výhradou omezení uvedených v odstavcích 2-11 části 1 článku 6, části 2 článku 10 a části 2 článku 11 zákona ze dne 27. července 2006 č. 152-FZ, například za účelem výkonu spravedlnosti nebo ochrany života (zaměstnance) To je uvedeno v části 2 článku 9 zákona ze dne 27. července 2006 č. 152-FZ.

    Je třeba poznamenat, že v případě sporu má zaměstnavatel povinnost doložit, že souhlas zaměstnance se zpracováním jeho osobních údajů obdržel (část 3 článku 9 zákona ze dne 27. července 2006 č. 152-FZ).

    Se souhlasem zaměstnance má organizace rovněž právo pověřit zpracováním osobních údajů jinou osobu (část 3 článku 6 zákona ze dne 27. července 2006 č. 152-FZ). V tomto případě bude zaměstnavatel i nadále odpovídat zaměstnanci za jednání uvedené osoby a osoba zpracovávající osobní údaje jménem zaměstnavatele bude přímo odpovědná zaměstnavateli (část 5 článku 6 zákona ze dne 27. července 2006 č. 152-FZ).

    Nutno podotknout, že souhlas se zpracováním osobních údajů musí zaměstnavatel získat nejen od zaměstnanců, tedy osob, se kterými je v pracovněprávním vztahu, ale také od uchazečů, jakož i od osob, se kterými jsou v organizaci uzavírány občanskoprávní smlouvy. To je uvedeno v odstavci 5 vysvětlení Roskomnadzoru ze dne 14. prosince 2012.

    Všeobecný souhlas

    Otázka z praxe: Je možné při uzavírání pracovní smlouvy získat od zaměstnance písemný souhlas s poskytnutím jeho osobních údajů třetím osobám ve všech nezbytných situacích až do okamžiku výpovědi?

    Ne, nemůžeš.

    K předání údajů zaměstnance třetím stranám musí organizace získat písemný souhlas tohoto zaměstnance. Bez písemného souhlasu zaměstnance mohou být jeho osobní údaje předány třetím stranám, pokud je to nezbytné k zamezení ohrožení života a zdraví zaměstnance a v jiných případech stanovených federálními zákony. Tato pravidla jsou stanovena částí 1 článku 88 zákoníku práce Ruské federace.

    Zákoník práce Ruské federace neobsahuje požadavky na obsah písemného souhlasu s předáním údajů. Nicméně, odstavec 1 článku 9 zákona ze dne 27. července 2006 č. 152-FZ stanoví, že souhlas se zpracováním osobních údajů musí být konkrétní, informovaný a vědomý. Z toho vyplývá, že pro každý případ předání jeho osobních údajů třetí osobě musí organizace požádat zaměstnance o písemný souhlas. Pouze za takových podmínek lze považovat požadavek konkrétnosti a vědomého souhlasu za splněný. Seznam informací, které musí obsahovat písemný souhlas s předáním osobních údajů, je stanoven v čl. 9 odst. 4 zákona ze dne 27. července 2006 č. 152-FZ.

    Zpracování osobních údajů společností gpd

    Otázka z praxe: zda je nutné získat písemný souhlas se zpracováním osobních údajů občanů, se kterými jsou uzavřeny občanskoprávní smlouvy

    Ano, v obecném případě je to nutné, stejně jako u kmenových zaměstnanců.

    Zpracování osobních údajů je možné pouze s písemným souhlasem subjektu osobních údajů, s výjimkou určitých případů, kdy je takové zpracování možné bez jeho souhlasu (). Subjekty osobních údajů přitom mohou být jak zaměstnanci pracující na pracovní smlouvu, tak občané, se kterými má organizace uzavřeny občanskoprávní smlouvy.

    Organizace tedy obecně musí získat souhlas se zpracováním osobních údajů, včetně občanů, se kterými byly uzavřeny občanskoprávní smlouvy, aby byly vyloučeny případné spory z neoprávněného předávání údajů mimo rámec podmínek občanskoprávní smlouvy.

    Odmítnutí takového souhlasu ze strany výkonného umělce není překážkou pro uzavření občanskoprávní smlouvy.

    Zpracování údajů bez souhlasu

    V jakých případech není vyžadován souhlas zaměstnance s předáním osobních údajů

    V některých případech je zpracování osobních údajů možné bez souhlasu zaměstnance. Například, pokud je zpracování osobních údajů nezbytné pro splnění smlouvy uzavřené se zaměstnancem nebo pro dosažení cílů stanovených zákonem pro realizaci a plnění funkcí, pravomocí a povinností uložených provozovateli právními předpisy Ruska, může být provedeno bez souhlasu zaměstnance - subjektu osobních údajů. To je uvedeno v zákoně ze dne 27. července 2006 č. 152-FZ.

    Mezi takové případy patří přenos informací:

    • Penzijní fond Ruské federace ();
    • Finanční úřady ();
    • vojenské komisariáty ();
    • jiné orgány, kdy povinnost předat jim informace související s osobními údaji zaměstnance ukládá zaměstnavateli zákon nebo je nezbytná k dosažení cílů stanovených zákonem (například soudy, státní zastupitelství apod.).

    Kromě toho není vyžadován souhlas následující případy:

    • povinnost zpracování je dána zákonem, včetně zveřejňování a umístění osobních údajů zaměstnanců na internetu (např. zákon ze dne 21. listopadu 2011 č. 323-FZ, zákon ze dne 9. února 2009 č. 8-FZ a řada dalších zákonů);
    • zpracování osobních údajů blízkých osob zaměstnance je prováděno v rozsahu stanoveném osobní kartou (podle jednotného formuláře č. T-2 nebo samostatně vypracovaného formuláře), dále v případech pobírání výživného, ​​vyřizování sociálních dávek a přístupu ke státnímu tajemství;
    • zpracování informací o zdravotním stavu zaměstnance souvisí s otázkou možnosti jeho výkonu pracovní funkce;
    • zpracování údajů souvisí s výkonem zaměstnance úřední povinnosti, a to i během jeho přidělení;
    • zpracování osobních údajů je prováděno při provádění kontroly vstupu na území kancelářských budov a prostor zaměstnavatele s tím, že organizaci kontroly vstupu provádí zaměstnavatel samostatně.

    Pokud místní dokument poskytuje možnosti pro vypořádání se zaměstnanci nebo obecně tento moment není registrován, pak mají zaměstnanci právo samostatně se rozhodnout, zda budou dostávat mzdu prostřednictvím pokladny nebo na bankovní kartu. A pokud se zaměstnavatel rozhodne všem zaměstnancům převést platy na bankovních karet, pak by měl být každý zaměstnanec požádán o souhlas se zpracováním osobních údajů a jejich předáním třetí straně – bance. Zaměstnanci mají v takové situaci právo souhlas neudělit a zaměstnavatel v případě neexistence takového souhlasu nebude moci dále zpracovávat údaje a předávat bance informace o těch zaměstnancích, kteří odmítli.

    Více k tématu: Zda je nutné při změně banky pro převod mezd znovu získat souhlas zaměstnanců se zpracováním osobních údajů.

    Otázka z praxe: zda je při změně banky pro převod mezd nutné znovu získat souhlas zaměstnanců se zpracováním osobních údajů

    Ne, není to nutné, pokud ve stávajících souhlasech nebyla uvedena konkrétní banka, které byly údaje poskytnuty. Pokud byl předchozí souhlas vypracován pro konkrétní banku, pak bude muset zaměstnavatel získat nový souhlas pro hlavní pravidla ().

    Kromě toho není nutné získat souhlas, pokud místní dokumenty organizace stanoví výplatu mezd speciálně pro bankovních karet a zaměstnanec byl v době přijetí nebo v průběhu práce s těmito dokumenty seznámen (část 2 článku 9 zákona ze dne 27. července 2006 č. 152-FZ). Prohlednout detaily.

    Upozornění Roskomnadzoru

    Jak oznámit dozorovému úřadu zahájení zpracování osobních údajů zaměstnanců

    Před zpracováním osobních údajů zaměstnanců musí zaměstnavatel oznámit územnímu orgánu Roskomnadzor záměr je zpracovávat. Výjimkou jsou případy zpracování osobních údajů:

    • zpracovávány v souladu s pracovním právem;
    • zveřejněné zaměstnanci;
    • obdržené organizací v souvislosti s uzavřením smlouvy, jejímž je zaměstnanec smluvní stranou (za předpokladu, že osobní údaje nejsou bez souhlasu zaměstnance distribuovány nebo poskytovány třetím osobám a jsou zaměstnavatelem použity pouze pro plnění uvedené smlouvy a uzavírání dalších dohod se zaměstnancem);
    • týkající se členů (účastníků) veřejného sdružení nebo náboženské organizace;
    • včetně pouze příjmení, křestních jmen a patronymií zaměstnanců;
    • nezbytné pro účely jednorázového přechodu zaměstnance na území zaměstnavatele a pro jiné obdobné účely;
    • zahrnuty do informačních systémů osobních údajů, které mají v souladu s federálními zákony statut státních automatizovaných informačních systémů, a dále do státních informačních systémů osobních údajů vytvořených za účelem ochrany bezpečnosti státu a veřejného pořádku;
    • zpracovávány bez použití nástrojů automatizace v souladu s legislativními akty, které stanoví požadavky na zajištění bezpečnosti osobních údajů při jejich zpracování a na dodržování práv subjektů osobních údajů;
    • zpracovávány v případech stanovených právními předpisy Ruska o bezpečnosti dopravy.

    V případě ukončení zpracování osobních údajů je zaměstnavatel povinen toto rovněž oznámit oprávněnému orgánu. Toto musí být provedeno do deseti pracovních dnů ode dne ukončení zpracování údajů. Standardní formulář oznámení o ukončení zpracování údajů nebyl schválen, zaměstnavatel jej tedy může vyhotovit v jakékoli podobě ().

    Otázka z praxe: co se rozumí zpracováním osobních údajů zaměstnance

    Ochrana osobních údajů

    Jak zorganizovat ochranu osobních údajů zaměstnanců v organizaci

    Abyste zabránili prozrazení osobních údajů, vytvořte si spolehlivý systém jejich ochrany. Nastavte postup pro přijímání, zpracování, přenos a ukládání takových informací v místním aktu organizace, například v (článek , Zákoník práce Ruské federace). Funkci schvaluje vedoucí organizace. Podpisem s ním seznamte zaměstnance organizace, což je uvedeno v části 1 článku 86 zákoníku práce Ruské federace.

    Organizace musí také jmenovat osobu odpovědnou za práci s osobními údaji (část 5 článku 88 zákoníku práce Ruské federace). Takový zaměstnanec je zpravidla zaměstnancem personální služby, neboť právě on se při své práci nejčastěji setkává s osobními údaji zaměstnanců. Jmenovat osobu odpovědnou za práci s osobními údaji objednávkou v jakékoli formě.

    Konkrétní opatření k zajištění bezpečnosti osobních údajů zaměstnanců při jejich zpracování stanoví zákon ze dne 27. července 2006 č. 152-FZ a schválené požadavky. Na jejich základě může organizace rozvíjet své vlastní vlastní systém ochranu osobních údajů.

    Při zpracování osobních údajů v informačním systému je tedy nutné zajistit ochranu a bezpečnost osobních údajů. Ohrožením zabezpečení osobních údajů je zároveň soubor podmínek a faktorů, které vytvářejí nebezpečí neoprávněného (včetně nahodilého) přístupu k osobním údajům při jejich zpracování v systému, který může mít za následek:

    • zničení;
    • změna;
    • blokování;
    • kopírování;
    • ustanovení;
    • šíření;
    • jiné protiprávní jednání s osobními údaji.

    Je třeba poznamenat, že výběr konkrétních prostředků ochrany informací pro informační systém pro zpracování osobních údajů provádí zaměstnavatel v souladu s předpisy Federální bezpečnostní služby Ruska a FSTEC Ruska. Typ ohrožení bezpečnosti osobních údajů, které je relevantní pro systém pro zpracování a ochranu osobních údajů, je určen s přihlédnutím k posouzení možné újmy a v souladu s předpisy uvedených orgánů (klauzule , Požadavků schválených nařízením vlády Ruské federace ze dne 1. listopadu 2012 č. 1119).

    Při zpracování osobních údajů v systémech lze stanovit čtyři úrovně zabezpečení v závislosti na kategorii údajů a počtu zaměstnanců, informace o kterých systém obsahuje. V závislosti na úrovni zabezpečení by měl zaměstnavatel přijmout různá opatření k ochraně systémů zpracování osobních údajů, stanovených v odstavcích 13-16 Požadavků schválených nařízením vlády Ruské federace ze dne 1. listopadu 2012 č. 1119. Jde například o stanovení režimu pro zajištění bezpečnosti prostor, ve kterých se osobní údaje nacházejí, určení osob odpovědných za zajištění bezpečnosti osobních údajů v informačním systému apod. Konkrétní požadavky na stanovená opatření k zajištění bezpečnosti osobních údajů při jejich zpracování stanoví skladba a obsah organizačních a technických opatření schválených nařízením FSTEC Ruska ze dne 18. února 2013 č. 21.

    Ke kontrole zabezpečení osobních údajů při jejich zpracování provádí zaměstnavatel nebo jím pověřená osoba nejméně jednou za tři roky kontrolní kontroly, jejichž konkrétní termíny si zaměstnavatel stanoví samostatně. V případě potřeby organizace popř jednotliví podnikatelé oprávnění k provádění činností technické ochrany důvěrná informace(bod 17 požadavků schválených nařízením vlády Ruské federace ze dne 1. listopadu 2012 č. 1119).

    Nařízení o osobních údajích

    Otázka z praxe: je Nařízení o práci s osobními údaji zaměstnanců závazný dokument

    Ano to je.

    Postup pro ukládání, zpracování a používání osobních údajů zaměstnanců stanoví zaměstnavatel s přihlédnutím k požadavkům zákoníku práce Ruské federace a dalších federálních zákonů (). To znamená, že zaměstnavatel musí samostatně stanovit postup takového zpracování a upravit jej v místním regulačním zákoně, zejména v Nařízeních o práci s osobními údaji zaměstnanců. Všichni zaměstnanci organizace při najímání musí být seznámeni s pravidly pro podpis (část 3 článku 68 zákoníku práce Ruské federace).

    Z výše uvedeného vyplývá, že nařízení o práci s osobními údaji je povinným dokumentem organizace a jeho absence s sebou nese administrativní odpovědnost (). Naznačují to i soudy (viz např. rozhodnutí Federální antimonopolní služby Moskevského distriktu ze dne 26. října 2006 č. KA-A40 / 10220-06).

    Příklad provedení Nařízení o práci s osobními údaji zaměstnanců

    Vedoucí organizace schválil Nařízení o práci s osobními údaji zaměstnanců.

    V organizaci není oddělení lidských zdrojů. Účetní organizace V.N. Zajcev.

    Otázka z praxe: jak chránit osobní údaje v počítačové databázi

    Aby se zabránilo neautorizovaný přístup k osobním údajům umístěným v počítačové databázi, stanovit v Nařízení postup ochrany těchto informací. Čím vyšší je riziko neoprávněného přístupu k osobním údajům, tím více opatření by mělo být přijato k ochraně těchto informací. Organizace může například zavést systém individuálních hesel, která se budou v pravidelných intervalech měnit, omezit přístup zaměstnanců k počítačům s osobními údaji, ukládat disky a diskety s takovými informacemi v uzamykatelných skříních.

    Zpracování osobních údajů v informačním systému musí být prováděno v souladu s ustanoveními odstavců 8-16 Požadavků schválených nařízením vlády Ruské federace ze dne 1. listopadu 2012 č. 1119.

    Organizace může zajistit ochranu osobních údajů jak samostatně, tak se zapojením třetí strany má licenci k provádění činností na ochranu důvěrných informací. Taková upřesnění jsou uvedena v odstavci 17 požadavků schválených nařízením vlády Ruské federace ze dne 1. listopadu 2012 č. 1119.

    Otázka z praxe: je možné, aby zaměstnanci, kteří nepracují na personálním oddělení, dostali právo na přístup k osobním údajům jiných zaměstnanců

    Ano, můžete, pokud zaměstnanci potřebují přístup k takovým informacím, aby mohli vykonávat určité pracovní funkce.

    K osobním údajům zaměstnanců mohou mít přístup pouze osoby se zvláštním oprávněním, které takový přístup potřebují k výkonu konkrétních funkcí. To je uvedeno v zákoníku práce Ruské federace.

    Přístup k osobním údajům zaměstnanců by měl mít zpravidla vzhledem ke specifikům jejich činností:

    • zaměstnanci personálních služeb;
    • účetní;
    • výkonný ředitel a v případě potřeby jeho zástupci;
    • vedoucí oddělení a přímí vedoucí.

    Každá z uvedených kategorií zaměstnanců má přitom svou vlastní přístupovou úroveň. Takže například zaměstnancům účtárny lze umožnit přístup k adresním údajům zaměstnanců a jejich stav, vedoucí odborů - pokud jde o osobní údaje výhradně o jejich podřízených.

    Úrovně přístupu určitých osob, jakož i konkrétní postup pro předávání osobních údajů zaměstnanců v rámci organizace, by měly být předepsány v jejích místních dokumentech, například v nařízení o ochraně osobních údajů zaměstnanců (článek 88 odst. 5 zákoníku práce Ruské federace). Oprávněné osoby musí být seznámeny s ustanoveními dokumentu a upozorněny na svá práva a povinnosti, jakož i na odpovědnost za zneužití informací ().

    Rada: sepsat podmínky pro uveřejňování osobních údajů zaměstnanců na firemním webu v Nařízení o práci s osobními údaji. Zároveň k němu vypracujte dodatek, ve kterém uveďte seznam zaměstnanců, kteří souhlasí (či nesouhlasí) s umístěním osobních údajů. Požadavek tak bude splněn a organizace bude moci na firemní webové stránky umístit osobní údaje zaměstnanců, kteří s takovým umístěním souhlasí.

    Aby byla zajištěna práva svých zaměstnanců, musí organizace a její zástupci při zpracování osobních údajů dodržovat požadavky upravené zákoníkem práce Ruské federace. Osoby, které se provinily porušením pravidel upravujících ochranu osobních údajů, podléhají správní a trestní odpovědnosti (). Nebo mohou být propuštěni se zněním „za zveřejnění osobních údajů jiného zaměstnance na základě pododstavce „c“ odstavce 6 části 1 článku 81 zákoníku práce Ruské federace.

    Otázka z praxe: zda má vedoucí organizační jednotky právo požadovat, aby účetní oddělení poskytovalo měsíční informace o vzniklé mzdě zaměstnanců jemu podřízených

    Informace o částkách nashromážděných zaměstnancům se týkají osobních údajů (článek 1, článek 3 zákona č. 152-FZ ze dne 27. července 2006). Přímý nadřízený je může požadovat, pokud je v místním regulačním aktu stanoveno příslušné povolení a byl získán souhlas zaměstnance se zpracováním jeho osobních údajů.

    Zároveň jsou informace o platech a náhradách zaměstnanců obsaženy v personální tabulce. Personální tabulka je místním dokumentem organizace a nevztahuje se na osobní údaje. V případě potřeby může hlava konstrukční jednotky kontaktovat tento dokument, je-li poskytnuta popis práce vedoucí nebo místní akt organizace. To mu umožní získat potřebné informace bez kontaktování účetního oddělení.

    Odmítnutí zpracovávat data

    Otázka z praxe: co dělat, když osoba odmítne souhlas se zpracováním svých osobních údajů

    Organizace má právo nadále zpracovávat osobní údaje osoby bez jejího souhlasu, pokud existují určité důvody. Objem takového zpracování je přitom dostatečně velký a umožňuje organizaci provádět aktuální činnosti bez přerušení.

    Zaměstnavatel zejména nesmí vyžadovat souhlas se zpracováním osobních údajů od uchazečů o uzavření pracovní a občanskoprávní smlouvy, zasílání personalizovaných zpráv úřadům důchodový fond RF, daňové hlášení ve Federální daňové službě Ruska informace o osobách odpovědných za vojenskou službu ve vojenských komisariátech, jakož i za ukládání dokumentů s osobními údaji, včetně pracovněprávních a občanskoprávních smluv, osobních karet, osobních spisů atd. To znamená, když zaměstnavatel plní povinnosti, které mu ukládá zákon.

    Taková pravidla jsou stanovena v odstavcích 2-11 části 1 článku 6, části 2 článku 10 a části 2 článku 11 zákona ze dne 27. července 2006 č. 152-FZ.

    Pro realizaci všech dalších akcí organizace je nutné získat souhlas osoby se zpracováním jejích osobních údajů (část 4 článku 9 zákona ze dne 27. července 2006 č. 152-FZ).

    Pozornost: současná právní úprava neukládá osobě udělit souhlas se zpracováním osobních údajů, proto odmítnutí z její strany nelze považovat za porušení a důvod pro odmítnutí uzavření smlouvy. Zaměstnanec rovněž nemůže být propuštěn nebo podléhat jiné disciplinární odpovědnosti za odmítnutí udělení souhlasu se zpracováním osobních údajů.

    Otázka z praxe: co dělat, když zaměstnanec odmítne poskytnout osobní údaje rodinných příslušníků k vyplnění personálních dokumentů

    Depersonalizace osobních údajů je chápána jako jednání, v jehož důsledku je bez použití nemožné dodatečné informace určit vlastnictví osobních údajů konkrétní osobou ().

    Pokud je nutné osobní údaje depersonalizovat, vedoucí organizací schvalují:

    • pravidla pro práci s anonymizovanými daty;
    • seznam pozic zaměstnanců odpovědných za provádění opatření k depersonalizaci zpracovávaných osobních údajů.

    Taková pravidla jsou stanovena v pododstavci "b" odstavce 1 seznamu schváleného nařízením vlády Ruské federace ze dne 21. března 2012 č. 211.

    Konkrétní požadavky a způsoby depersonalizace osobních údajů zpracovávaných v informačních systémech jsou stanoveny v Požadavcích a způsobech schválených příkazem Roskomnadzor č. 996 ze dne 5. září 2013.

    Hlavním požadavkem na depersonalizaci osobních údajů je zajištění nejen ochrany před neoprávněným použitím, ale také možnosti jejich zpracování. K tomu musí mít anonymizované údaje vlastnosti, které si zachovají hlavní charakteristiky anonymizovaných osobních údajů. Mezi tyto vlastnosti patří zejména:

    • úplnost, tedy zachování všech informací o konkrétních lidech nebo skupinách lidí, které byly k dispozici před depersonalizací;
    • strukturovanost, tedy zachování strukturálních vazeb mezi anonymizovanými daty konkrétní osoba nebo skupiny lidí, které existovaly před depersonalizací;
    • použitelnost, to znamená možnost řešení problémů se zpracováním osobních údajů bez předchozí depersonalizace celého objemu záznamů o lidech;
    • anonymitu, tedy nemožnost jednoznačné identifikace subjektů údajů získaných v důsledku depersonalizace bez použití dalších informací.

    Hlavní požadavky na způsoby depersonalizace osobních údajů jsou:

    • zajištění požadovaných vlastností anonymizovaných dat;
    • soulad s požadavky na vlastnosti metod;
    • implementace metod v různé programy;
    • řešení úkolů zpracování osobních údajů.

    K nejslibnějším a nejpohodlnějším pro praktická aplikace zahrnují následující metody depersonalizace:

    • způsob zavedení identifikátorů, tj. nahrazení části informací osobních údajů identifikátory s vytvořením tabulky shody identifikátorů s původními údaji;
    • způsob změny složení nebo sémantiky, tedy změny složení nebo sémantiky osobních údajů nahrazením výsledků statistického zpracování, shrnutím nebo výmazem části informací;
    • metoda rozkladu, to znamená rozdělení řady osobních údajů na několik částí s následným odděleným uložením;
    • mixovací metoda, tedy přeskupování jednotlivých záznamů i skupin záznamů v poli osobních údajů.

    Komerční organizace jsou za účelem bezpečné práce s osobními údaji zaměstnanců rovněž oprávněny, nikoli však povinně, provádět depersonalizaci (článek 3, článek 3 zákona č. 152-FZ ze dne 27. července 2006). Pokud se organizace rozhodne depersonalizovat osobní údaje, musí být konkrétní metoda depersonalizace stanovena v místním zákoně, například v nařízení o práci s osobními údaji zaměstnanců (článek , Zákoník práce Ruské federace).

    Kontroly dodržování požadavků na zpracování osobních údajů

    Jak jsou prováděny kontroly souladu se zpracováním osobních údajů

    Roskomnadzor provádí u zaměstnavatele kontroly ohledně zpracování osobních údajů jím. Vyhláška Ministerstva telekomunikací a masových komunikací Ruska ze dne 14. listopadu 2011 č. 312 schválila Správní řád pro výkon funkcí výkonu státní kontroly (dozoru) touto službou.

    Předmětem kontroly činnosti zaměstnavatele při zpracování osobních údajů jsou:

    • dokumenty, povaha informací, které implikují nebo umožňují zahrnutí osobních údajů do nich;
    • informační systémy osobních údajů;
    • zpracovatelské činnosti.

    Roskomnadzor provádí plánované i neplánované kontroly formou dokumentačních nebo terénních kontrol (zákon ze dne 26. prosince 2008 č. 294-FZ). Práva a povinnosti úředníků Roskomnadzoru při kontrolách jsou vymezeny paragrafy a správními předpisy schválenými nařízením Ministerstva telekomunikací a masových komunikací Ruska ze dne 14. listopadu 2011 č. 312.

    Lhůty pro kontrolu činnosti zaměstnavatele při zpracování osobních údajů při plánovaných i neplánovaných kontrolách nesmí přesáhnout 20 pracovních dnů. Zároveň u malých podniků nesmí celková doba plánovaných kontrol v terénu překročit za rok:

    • 50 hodin - pro malý podnik;
    • 15 hodin - pro mikropodnik.

    V výjimečné případy lhůtu pro provedení plánované kontroly na místě lze prodloužit, nejvýše však na 20 pracovních dnů, u malých podniků a mikropodniků nejvýše na 15 hodin. To je možné, pokud v průběhu auditu bude nutné provést:

    • složité a dlouhé studie, testy;
    • speciální expertizy a vyšetřování.

    Za disciplinární opatření mohou nést odpovědnost pouze ti zaměstnanci, kteří se zavázali dodržovat pravidla pro práci s osobními údaji a porušili je (). Odpovědnost může vzniknout, pokud organizace v souvislosti s porušením pravidel pro práci s osobními údaji způsobila přímou skutečnou škodu ().

    Za porušení postupu pro shromažďování, uchovávání, používání nebo distribuci osobních údajů bude organizace a její funkcionáři pokutováni. V rámci jedné kontroly může Roskomnadzor odhalit několik různých porušení. Pak bude vybírat několik pokut najednou.

    Výše pokut závisí na druhu spáchaného přestupku. Úředníci tak mohou být pokutováni od 3 000 do 20 000 rublů, jednotliví podnikatelé - od 5 000 do 20 000 rublů, organizace - od 15 000 do 75 000 rublů. Více informací o tom, jaké jsou sankce za porušení při práci s osobními údaji, naleznete v tabulce.

    Taková opatření odpovědnosti jsou stanovena články a Kodexem Ruské federace o správních deliktech.

    Trestní odpovědnost u vedoucího organizace (jiné osoby odpovědné za práci s osobními údaji) může dojít za protiprávní:

    • shromažďování nebo šíření informací o soukromém životě zaměstnance, které představují jeho osobní nebo rodinné tajemství, bez jeho souhlasu;
    • šíření těchto informací ve veřejném projevu, veřejně uváděném díle nebo hromadných sdělovacích prostředcích.

    Za tato porušení jsou stanoveny následující sankce:

    • pokuta až 200 000 rublů. (nebo ve výši příjmu odsouzeného po dobu až 18 měsíců);
    • povinná práce až 360 hodin;
    • nápravná práce po dobu až jednoho roku;
    • nucená práce po dobu až dvou let se zbavením práva zastávat určité funkce nebo vykonávat určité činnosti po dobu až tří let nebo bez ní;
    • zatčení až na čtyři měsíce;
    • trest odnětí svobody až na dva roky se zbavením práva zastávat určité funkce nebo vykonávat určité činnosti až na tři roky.

    Současně se trestají stejné činy spáchané osobou využívající služebního postavení:

    • pokuta ve výši 100 000 až 300 000 rublů. (nebo ve výši příjmu odsouzeného po dobu jednoho až dvou let);
    • zbavení práva zastávat určité funkce nebo vykonávat určité činnosti po dobu dvou až pěti let;
    • nucená práce po dobu až čtyř let s nebo bez zbavení práva zastávat určité pozice nebo vykonávat určité činnosti po dobu až pěti let;
    • zatčení na dobu čtyř až šesti měsíců;
    • trest odnětí svobody až na čtyři roky se zbavením práva zastávat určité funkce nebo vykonávat určité činnosti až na pět let.

    Otázka z praxe: Je možné v pracovních smlouvách zaměstnanců stanovit podmínku nezveřejňování důvěrných informací

    Ano můžeš.

    Ale pouze ve vztahu k těm zaměstnancům, kteří přímo pracují s osobními údaji: personalisté, personální manažeři, sekretářky (). V tomto případě při přijímání zaměstnance seznamte s Nařízením o práci s osobními údaji.

    Otázka z praxe: je možné telefonicky sdělovat informace o práci zaměstnance v organizaci zástupcům jiných společností, např. bank

    Ano, můžete, ale pouze s písemným souhlasem samotného zaměstnance.

    Osobními údaji se rozumí jakékoli informace přímo či nepřímo související s konkrétní osobou (předmětem osobních údajů) (část 1 článku 3 zákona ze dne 27. července 2006 č. 152-FZ). Výčet osobních údajů přitom není vyčerpávající, to znamená, že veškeré informace týkající se konkrétní osoby jsou jejími osobními údaji. Osobními údaji jsou tedy místo výkonu práce a samotný fakt výkonu práce, který si od organizace vyžádá například úvěrová instituce k potvrzení skutečnosti práce nebo potenciální zaměstnavatel o bývalém zaměstnanci. Proto je možné předávat údaje o zaměstnanci do jiných organizací pouze v souladu s Obecné požadavky o zpracování osobních údajů, tedy pouze se souhlasem samotného zaměstnance (článek 3, část 1, článek 86 zákoníku práce Ruské federace).

    Informaci o tom, že zaměstnanci pracují po telefonu, je tedy možné poskytovat i neznámým osobám, včetně těch, kteří se představují jako bankovní specialisté, ale pouze s písemným souhlasem samotného zaměstnance, bez ohledu na to, zda v organizaci nadále působí nebo již skončil.

    Otázka z praxe: je zaměstnavatel povinen na žádost soudního exekutorského úřadu nahlásit skutečnost práce v organizaci povinného zaměstnance

    Faktem práce v organizaci jsou osobní údaje zaměstnance. Soudní exekutor provádějící exekuční řízení má právo vyžádat si od organizace informace o zaměstnancích, o kterých bylo rozhodnuto soudem o placení výživného nebo jiných přiznaných plateb, včetně informací souvisejících s osobními údaji. Tento požadavek zaměstnavatele nelze ignorovat. Tato pravidla jsou stanovena zákonem ze dne 2. října 2007 č. 229-FZ.

    Zaměstnavatel má zároveň právo nahlásit skutečnost práce v organizaci zaměstnance-dlužníka bez jeho souhlasu s předáním osobních údajů třetím stranám, protože v tomto případě je zpracování osobních údajů nezbytné pro výkon spravedlnosti, provedení soudního úkonu, který má být vymáhán v souladu s právními předpisy Ruska o donucovacím řízení (ustanovení 3, část 1, článek 6, článek 2, článek 1 článek 7, část 2, článek 2, článek 1 článek 2, část 2 zákona 2006 č. 152-FZ).

    Zaměstnavatel je tak povinen odpovědět na žádost soudního exekutora o skutečnosti práce zaměstnance dlužníka. Získejte souhlas zaměstnance

    Odpověděla Margarita Orlová,

    Vedoucí oddělení pro správu pojistného FSS Ruska

    „Pro potvrzení hlavní činnosti pro samostatnou divizi, která platí příspěvky sama, předložte stejné dokumenty jako pro organizaci jako celek. Jediný rozdíl je v tom, že odrážejí informace pouze za jednotku a předkládají je na oddělení FSS v místě registrace takové jednotky. Jak platit příspěvky, dokud nedostanete od FSS vyrozumění o tarifu na aktuální rok - zjistíte v doporučení.

    Právní požadavky na provozovatele osobních údajů

    Provozovatel je povinen zajistit důvěrnost osobních údajů. Článek 7 federálního zákona Ruské federace ze dne 27. července 2006 N 152-FZ „O osobních údajích“ (dále jen FZ-152) říká, že provozovatel není povinen chránit osobní údaje, pokud jsou anonymizované nebo veřejně dostupné. Provozovatel osobních údajů nemá právo zpracovávat údaje bez souhlasu subjektu osobních údajů, tedy osoby, které tyto údaje patří. Nicméně v čl. 6 Část 2 FZ-152 stanoví řadu případů, kdy není vyžadován souhlas subjektu.
    Souhlas subjektu se zejména nevyžaduje, jsou-li jeho osobní údaje zpracovávány na základě spolkového zákona, který určuje účel a obsah tohoto zpracování (článek 6, odstavec 2, část 2). Například podle federální zákonč. FZ-3266-1 „O vzdělávání“, nemusí absolventi středních škol získávat souhlas se zpracováním svých osobních údajů pro přijetí k jednotné státní zkoušce. Orgány a organizace podílející se na provádění jednotné státní zkoušky provádějí „... přenos, zpracování a poskytování informací obdržených v souvislosti s jednotnou státní zkouškou“.<…>osobní údaje studentů, účastníků jednotné státní zkoušky<…>v souladu s požadavky právních předpisů Ruské federace v oblasti osobních údajů bez získání souhlasu těchto osob se zpracováním jejich osobních údajů“ (článek 15, bod 5.1). V dubnovém čísle časopisu Osobní údaje je velký článek věnovaný právě tomuto problému.
    Další případ, kdy není ke zpracování osobních údajů nutný souhlas subjektu: uzavření smlouvy, jejíž jedna ze stran je subjektem osobních údajů. Vhodná je například jakákoli smlouva mezi firmou a jednotlivcem o poskytování služeb. Hmotnost užitečné informace na toto téma lze nalézt v odborném tisku. Provozovatel je dále povinen zajistit nezbytná organizační a technická opatření k zamezení pokusů o nelegální přístup k osobním údajům.

    Požadované dokumenty

    Každý provozovatel osobních údajů je povinen mít u sebe balíček dokumentů potvrzujících zabezpečení osobních údajů zaměstnanců a zákazníků.

    Seznam požadovaných dokumentů se může lišit v závislosti na specifikách zpracování osobních údajů, organizační struktuře a dalších vlastnostech každého jednotlivého podniku.

    V souladu s tímto balíkem dokumentů musí podnik implementovat technické prostředky ochranu osobních údajů.

    Příprava dokumentů nezbytných pro ochranu osobních údajů

    Existuje několik způsobů, jak připravit dokumenty v souladu s požadavky 152-FZ „O osobních údajích“:

    Prostředky ochrany

    Téměř každá organizace má informační systém osobních údajů (zkráceně ISPDn), který může obsahovat např. příjmení, jméno zaměstnance, jeho pasové údaje, DIČ apod. Provozovatel s tímto informačním systémem pracuje. V závislosti na tom, jaká data jsou obsažena v ISPD konkrétní organizace, může tento ISPD patřit do jedné ze čtyř tříd, z nichž každá poskytuje různé prostředky pro ochranu osobních údajů.

    viz také

    Odkazy

    • www.rsoc.ru Registr provozovatelů zpracovávajících osobní údaje
    • www.pd.rsoc.ru Portál osobních údajů Autorizovaného orgánu ochrany práv subjektů osobních údajů
    • www.privacy-journal.ru Informační a analytický časopis "Osobní údaje"

    Nadace Wikimedia. 2010 .

    Podívejte se, co je „Operátor osobních údajů“ v jiných slovnících:

      Provozovatel osobních údajů- 2) státní orgán provozovatele, obecní úřad, právnická nebo fyzická osoba, samostatně nebo společně s jinými osobami organizující a (nebo) provádějící zpracování osobních údajů, jakož i určování účelů zpracování ... ... Oficiální terminologie

      Jakákoli akce (operace) nebo soubor akcí (operací) prováděných s použitím nebo bez použití automatizačních nástrojů s osobními údaji, včetně shromažďování, zaznamenávání, systematizace, akumulace, ukládání, ... ... Wikipedie

      Subjektem osobních údajů je fyzická osoba, která je přímo či nepřímo identifikována nebo určena pomocí osobních údajů. Obsah 1 Interakce se subjektem osobních údajů ... Wikipedie

      Soubor opatření technické, organizační a organizačně technické povahy zaměřených na ochranu informací vztahujících se k určité nebo na základě těchto informací určených fyzické osobě (předmět osobní ... ... Wikipedie

      Tento článek nebo sekce popisuje situaci ve vztahu pouze k jednomu regionu. Wikipedii můžete pomoci přidáním informací pro jiné země a regiony. Obsah 1 Definice ... Wikipedie

      Číslo: 152 FZ Přijetí: Státní dumou dne 26. července 2006 Vstup v platnost: 26. ledna 2007 Federální zákon Ruské federace ze dne 27. července 2006 č. 152 FZ „O osobních údajích“ federální zákon upravující činnosti zpracování (použijte ... Wikipedia

      Základní model ohrožení bezpečnosti osobních údajů při jejich zpracování, v informačních systémech osobních údajů (výtah)- Terminologie základní model ohrožení zabezpečení osobních údajů při jejich zpracování, v informačních systémech osobních údajů (výpis): Automatizovaný systém systém skládající se z personálu a sady automatizačních nástrojů pro něj ... ...

      PRÁVA SUBJEKTŮ OSOBNÍCH ÚDAJŮ PŘI ROZHODOVÁNÍ NA ZÁKLADĚ VÝHRADNĚ AUTOMATIZOVANÉHO ZPRACOVÁNÍ JEJICH OSOBNÍCH ÚDAJŮ- podle spolkového zákona „O osobních údajích“ ze dne 27. července 2006 č. 152 FZ spočívají v zákazu přijímání rozhodnutí založených výhradně na automatizovaném zpracování osobních údajů, která mají právní následky ve vztahu k ... ...

      operátor- 4.22 operátor jakýkoli objekt, který provádí provoz systému. Poznámka 1 k položce: Role operátora a role uživatele mohou být přiřazeny současně nebo postupně stejné osobě nebo organizaci. Poznámka 2 V souvislosti s tímto… … Slovník-příručka termínů normativní a technické dokumentace

      OPERÁTOR- podle federálního zákona "O osobních údajích" ze dne 27. července 2006 č. 152 FZ, - státní orgán, orgán obce, právnická osoba nebo fyzická osoba organizující a / nebo provádějící zpracování osobních údajů, jakož i stanovení cílů ... Kancelářské práce a archivace v pojmech a definicích

    Přečtěte si více: