• ثبت اپراتورهای پردازش اطلاعات شخصی آیا شرکتی ملزم به ثبت نام در ثبت اپراتورهای داده های شخصی است؟

    فعالیت های هر سازمان ناگزیر شامل پردازش داده های شخصی در یک سیستم اطلاعاتی (ISPD) می شود. هر شرکتی که از اطلاعات محرمانه در مورد کارمندان، مشتریان، شرکا و سایر افراد استفاده می کند، ملزم به ثبت نام به عنوان اپراتور داده های شخصی است.

    مراحل ذخیره و حفاظت از داده های شخصی

    سازمان حفاظت اطلاعات محرمانهدر چند مرحله صورت می گیرد:

    • بررسی کار اولیه در مورد پردازش داده های شخصی (ممیزی محلی چارچوب قانونی، تحلیل و بررسی جریان اطلاعات PD و ISPD به طور کلی، شناسایی کاستی ها و تهدیدات برای امنیت سیستم اطلاعاتی، ارائه پیشنهادات برای اصلاح نواقص، بهبود سیستم های حفاظت از داده های شخصی).
    • توسعه یک چارچوب نظارتی برای حفاظت از داده های شخصی. این مرحلهشامل طبقه بندی ISPD و ثبت نام به عنوان اپراتور داده های شخصی در Roskomnadzor است.
    • طراحی سیستم حفاظت از داده های شخصی - انتخاب روش ها، اقدامات و کلاس های ابزار حفاظت از داده های شخصی، توسعه مستندات فنیبرای ایجاد یک سیستم حفاظت از اطلاعات، و همچنین توسعه اقدامات خاص برای حفاظت از اطلاعات در هر سیستم اطلاعاتی خاص.
    • پیاده سازی PDPD – راه اندازی سیستم های حفاظتی PD و پیکربندی سیستم های حفاظتی ISPD موجود.
    • ارزیابی انطباق با ISPD که در چارچوب آن تست های ارزیابی ISPD انجام می شود و گواهی مربوطه صادر می شود.

    ثبت نام به عنوان اپراتور داده های شخصی در ثبت Roskomnadzor بخشی از فرآیند کلی سازماندهی پردازش و حفاظت از داده های شخصی است.

    مراحل ثبت نام اپراتور ISPDn در Roskomnadzor

    ثبت اپراتور ISPDn شامل مراحل زیر است:

    • توسعه و اتخاذ یک چارچوب نظارتی برای پردازش و حفاظت از داده های شخصی.
    • پر کردن فرم اطلاع رسانی قصد پردازش داده های شخصی در وب سایت ارگان سرزمینی Roskomnadzor.
    • ارسال اطلاعیه به سامانه اطلاعاتی نهاد مجاز حمایت از حقوق مشمولان داده های شخصی.
    • فرم تکمیل شده را با امضا چاپ کنید.
    • ارسال فرم چاپی اعلان به ارگان مربوطه Roskomnadzor در محل ثبت اپراتور.

    ما از شما دعوت می کنیم با استفاده از خدمات آنلاین ما مدارک لازم برای ثبت نام به عنوان اپراتور داده های شخصی را تهیه کنید. این صفحه شامل قوانین، دستورالعمل ها، مقررات، مجلات، اطلاعیه ها و سایر اسناد می باشد.

    اغلب با این الگو استفاده می شود:

    • نامه اطلاعاتی در مورد ایجاد تغییرات در اطلاعات در ثبت اپراتورهای پردازش داده های شخصی
    • رضایت برای انتقال داده های شخصی به اشخاص ثالث
    • فهرست داده های شخصی مشمول حفاظت در ISPDn
    • حفاظت از داده های شخصی در موسسات آموزشی

    اسناد و رویه های رایج:

    ثبت اپراتور داده های شخصی برای استفاده داخلی

    بند 4 - هر شخص حقوقی باید این کار را انجام دهد. شخص یا کارآفرین فردی، اگر شامل پردازش داده های شخصی کارکنان و مشتریان باشد؟

    ما شرکتی هستیم که سیستمی را ایجاد کرده و در حال بحث هستیم که در آن اطلاعات شخصی مشتریان مشتری وجود دارد، مجموعه ای از این اسناد برای ما مناسب نیست، زمانی مناسب تر است که کارفرما داده های کارکنان خود را پردازش کند، اما همین طور کاملا درست نیست

    سلام! چند سوال در مورد تنظیم قالب ها دارم. 1) لطفاً به من بگویید چگونه الگوهای سیستم ISPD را به منظور طبقه بندی سیستم تحت تهدیدات نوع 1 فعلی و نیاز به اطمینان از سطح 1 امنیت پیکربندی کنم. در این صورت آیا قالب های پیشنهادی با یکدیگر همخوانی دارند؟ 2.) آیا می توان تمام اسناد سیستم (28 سند) را با داده های وارد شده اولیه (نام شخص حقوقی، دسته داده های شخصی) از قبل پر کرد یا هر بار هنگام پر کردن یک سند سیستم جداگانه باید وارد شوند. ?

    لطفاً مشخص کنید که حداقل سطح ممکن امنیت PD که می تواند بر اساس الگوهای شما ایجاد شود چقدر است؟ (ما علاقه مندیم هزینه های سیستم را به حداقل برسانیم. داده های شخصی کارکنان و پیمانکاران پردازش خواهد شد. ما دسته های خاصی از داده های شخصی و داده های بیومتریک را پردازش نمی کنیم)

    سلام! ما علاقه مندیم با ثبت یک حساب کاربری از مکانیزم نگهداری و ثبت وظایف به عنوان بخشی از مسئولیت های کاری کارکنان خود استفاده کنیم ( حساب شخصی) با نام کارمند (نام کاربری) و ارائه یک شناسه (ورود به سیستم) و رمز عبور منحصر به فرد برای این ورودی، همانطور که در الگوی شما "مقررات مالکیت معنوی"، بند 6.2 توصیه شده است. در عین حال، بند 6.4 آیین نامه مالکیت فکری مذکور بیان می کند که کلیه آدرس های شرکت های بزرگ پست الکترونیکو کلیه نام‌های ورود یا نام کاربری در ابزارهای نرم‌افزار در سند داخلی ویژه‌ای که توسط مدیر کل شرکت تأیید شده است مشخص شده است که در صورت لزوم به‌روزرسانی و به اطلاع کلیه کارکنان شرکت می‌رسد. داده ها برای افراد دیگر افشا می شود. لطفاً سؤالات زیر را روشن کنید: 1.) آیا این داده ها به داده های شخصی مربوط می شود (و اگر چنین است، به چه دسته ای) حساب(حساب شخصی) با نام کارمند (نام کاربری) و شناسه منحصر به فرد (ورود به سیستم) و رمز عبور کارمند در سیستم داخلیاپراتور، آدرس ایمیل کارمند در سیستم داخلی اپراتور؟ 2.) اگر چنین داده‌هایی مربوط به داده‌های شخصی باشد، آیا ویژگی‌های خاصی از استفاده از آنها در قالب‌های ISPD شما وجود خواهد داشت (آیا این مستلزم نیاز به خرید است. ابزار رمزنگاریحفاظت و غیره)؟

    سلام! طبق قانون، هنگام پردازش داده های شخصی پردازش شده مطابق با قوانین کار، نیازی به اطلاع رگولاتور نیست. در مورد کاندیداهایی که استخدام نمی شوند چطور؟ اطلاعات آنها باقی مانده است، آیا ما حق داریم بدون اطلاع رگولاتور آن را ذخیره کنیم؟ به عنوان مثال، اگر داوطلب دوره آزمایشی را نگذراند (در اینجا یک رابطه شغلی آشکار وجود دارد). یا مثلاً اجازه ندادند امتحان بدهند؟ ما فقط امروز به این داده ها نیاز نداریم، اما فردا یک نمایه ایجاد می کنیم، یک نفر را دعوت می کنیم و او را استخدام می کنیم. آیا این حکم ماده 86 قانون کار در بخش «پردازش اطلاعات شخصی کارکنان صرفاً به منظور اطمینان از رعایت قوانین و سایر مقررات، کمک به کارمندان در یافتن شغل خواهد بود» و بر این اساس، می‌تواند بدون اطلاع رگولاتور انجام شود؟

    سلام. آیا بسته اسناد پردازش داده برای کارمندان طراحی شده است یا پیمانکاران؟

    آیا باید اسناد را به صورت آنلاین یا پس از دانلود فقط در WORD پر کنید؟

    سلام! اگر داده های شخصی کارمندان یا مشتریان خود را پردازش می کنید، حفاظت از آنها ضروری است. لازم است مجموعه صحیحی از مقررات محلی ارائه شده در روش تهیه شود و همچنین اطمینان حاصل شود اقدامات فنی، اگر پردازش در حالت خودکار یا نیمه خودکار و سازمانی انجام شود. تنها استثنا مربوط به ارسال اعلان به Roskomnadzor برای ثبت نام به عنوان اپراتور داده های شخصی است. همه این استثنائات در ماده 22، بند 2 152-FZ تجویز شده است. رایج ترین استثناها پردازش داده های شخصی کارکنان در چارچوب قانون کار، پردازش داده های شخصی مشتریان به عنوان بخشی از اجرای یک قرارداد است (به عنوان مثال، برای تحویل کالا به مشتری، شما باید آدرس، مشخصات پاسپورت او را بدانید).

    سلام! طبق بند 2 هنر. 3 قانون شماره 152-FZ، اپراتور داده های شخصی به ویژه به این معنی است: وجود، موجودیت، به طور مستقل یا مشترک با سایر افرادی که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند. پردازش داده های شخصی به معنای هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) است که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی با داده های شخصی انجام می شود، از جمله جمع آوری، ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر). استخراج، استفاده، انتقال (توزیع، ارائه، دسترسی)، غیر شخصی سازی، مسدود کردن، حذف، از بین بردن داده های شخصی (بند 3 ماده 3 قانون شماره 152-FZ). ، شما یک یا یک یا ترکیبی از اقدامات ذکر شده در بالا را انجام می دهید - طبق قانون، شما اپراتور داده های شخصی هستید، با تمام مسئولیت های بعدی. قانون برای آن دسته از اپراتورهایی که داده‌های شخصی را مستقیماً از افراد مورد مطالعه جمع‌آوری نکرده‌اند، اما داده‌های شخصی را از اپراتور دیگری دریافت کرده‌اند استثناء نمی‌کند. اپراتور - کسی که پردازش را انجام می دهد، یعنی. هر شخصی که حداقل یکی از موارد ذکر شده در هنر را انجام دهد. 3 قانون فدرال شماره 152 اقدامات با PD. و در این مورد، توصیه می کنیم که این روش را دنبال کنید: http://www..با تشکر از شما برای استفاده از خدمات!

    سلام! شما باید به سوالات پرسشنامه سمت چپ صفحه - بسته پاسخ دهید مدارک مورد نیازبه صورت خودکار تولید خواهد شد. اگر مقدار وارد شده در هر سند با سند دیگری در بسته کلی یکسان باشد، به طور خودکار در این سند پر می شود. الگوهای اسناد برای اطمینان از سطح اول امنیت داده های شخصی مناسب هستند. توجه شما را به این نکته جلب می کنیم که علاوه بر تدوین مستندات، تدوین و اجرای اقدامات حفاظت فنی نیز ضروری است. ترکیب و محتوای چنین اقدامات "اساسی" در دستور FSTEC شماره 21 مورخ 18 فوریه 2013 "در مورد تصویب ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی هنگام پردازش در این کشور" تعریف شده است. سیستم های اطلاعاتیاطلاعات شخصی.» از شما برای استفاده از خدمات ما متشکریم!

    پاسخ زیر را ببینید

    سلام داده های شخصی هر اطلاعاتی است که به شما امکان شناسایی دقیق را می دهد شخصی(به معنای قانون فدرال مورخ 27 ژوئیه 2006 N 152-FZ "در مورد داده های شخصی"). که در در این موردآدرس‌های ایمیل شرکتی و ورود به سیستم یا نام‌های کاربری داده‌های شخصی کارکنان است که برای کارفرما در رابطه با روابط کاری ضروری است، که به خودی خود مستلزم ویژگی‌های اعمال یک رژیم حفاظتی خاص (مشروط به رعایت الزامات تعیین شده توسط فصل 14 قانون کار فدراسیون روسیه). توصیه می کنیم با روشی که در لینک زیر قرار دارد آشنا شوید: http://www.. با تشکر از شما برای استفاده از خدمات ما!

    سلام. کارفرما این حق را دارد که بدون اطلاع Roskomnadzor، داده های شخصی نامزدها را برای موقعیت ها پردازش کند، رزومه آنها را ذخیره کند، در صورت رضایت کتبی متقاضیان، پایگاه داده کاغذی و الکترونیکی تشکیل دهد. این نتیجه گیریبر اساس این واقعیت که، طبق بند 1، قسمت 2، هنر. 22 قانون فدرال 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی"، بدون اطلاع به بدن مجاز، داده های پردازش شده مطابق با قانون کار ممکن است پردازش شوند. داده های شخصی متقاضیان ممکن است در پایگاه داده ذخیره شود. کارفرما، در صورتی که به صورت کتبی رضایت نامزد داده شود و مدت نگهداری آن مشخص شده باشد. در مورد کارمندان سابق (به عنوان کسانی که آزمون را قبول نکردند)، ما معتقدیم که اگر قانون کار فدراسیون روسیه یا قوانین دیگر تعهدی را برای کارفرما برای پردازش داده های کارمندان سابق ایجاد نکند، چنین پردازشی باید انجام شود. فقط با اطلاع Roskomnadzor انجام می شود (مگر اینکه دلایل دیگری برای پردازش داده های شخصی بدون ارسال اعلان وجود داشته باشد، به عنوان مثال، پردازش داده های شخصی بدون استفاده از ابزارهای اتوماسیون). توصیه می کنیم این موضوع را با مراجع مجاز روشن کنید. از بازخورد شما متشکرم.

    22 ماده 152-FZ خوانده شد. اما از آنجایی که ما با همه متقاضیانی که اطلاعات شخصی آنها را جمع آوری می کنیم وارد روابط کاری نمی شویم (آنها را برای آزمایش می پذیریم یا حداقل آنها را به مصاحبه دعوت می کنیم)، هنوز Roskomnadzor باید در این مورد مطلع شود.

    سلام. پردازش اطلاعات شخصی متقاضیان نیز در چارچوب قانون کار انجام می شود. با توجه به موضع دادگاه تجدید نظر داوری چهارم، مبنای پیش بینی شده در بند 1 قسمت 2 هنر. 22 قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 "در مورد داده های شخصی" نیز در مورد فعالیت های انتخاب پرسنل اعمال می شود (قطعنامه شماره 04AP-127/2018 مورخ 7 فوریه 2018 در پرونده شماره A19-17054/2017). این به این دلیل است که قانون کار نه تنها توسط قانون کار فدراسیون روسیه، بلکه توسط سایر مقررات نیز تنظیم می شود. بنابراین، قانون فدرال 19 آوریل 1991 N 1032-1 "در مورد استخدام در فدراسیون روسیهمقرر شده است که کارفرمایان سیاست‌های اشتغال را به‌ویژه از طریق اشتغال ترویج کنند. ما معتقدیم رضایت کتبی متقاضی برای ذخیره برخی از داده‌های خود برای مدت مشخص شده در رضایت‌نامه برای رعایت قانون در این زمینه کافی خواهد بود. نیازی به اطلاع دادن به Roskomnadzor نیست، اما برای جلوگیری از اختلاف، توصیه می کنیم این موضوع را با مرجع مجاز روشن کنید. از درخواست تجدید نظر شما متشکریم.

    متشکرم! من رای دادگاه را خواندم. این یک سوال پیچیده است. این تصمیم دادگاه نشان می دهد که موضع Roskomnadzor اطلاع رسانی است، اما اداره منطقه ایرکوتسک، همراه با درخواست تجدید نظر، با شخص حقوقی طرف شد. با توجه به موقعیت شناخته شده Roskomnadzor، مشخص نیست که آیا AS منطقه ما طرف ما را خواهد گرفت یا خیر. لذا نامه ای با سوال فرستادند.

    سلام. از پاسخ شما متشکرم. دیدن نتیجه پیام شما در صفحه بحث ما جالب و مفید خواهد بود. با احترام، شرکت FreshDoc.

    من مطمئناً نحوه پاسخ آنها را ارسال خواهم کرد! مشاوره شما در ایجاد موضع حقوقی در مورد این موضوع به من کمک زیادی کرد)

    نوشت. به نظر شما چه جوابی دادند؟ هیچ چی! البته آنها پاسخ دادند، اما در مورد هیچ. اصل نامه به این برمی گردد که ارسال اخطاریه یا عدم ارسال به عهده شماست. می‌خواستم مطمئن شوم که در صورت تأیید، پاسخ آنها را دارم، اما درست نشد. و پنهان شدن در پشت تصمیم دادگاه در یک منطقه دیگر... ما هنوز آنگلوساکسون نداریم سیستم حقوقیو قاره ای، و برای من نتیجه اصلی از بخش استدلالی تصمیم دادگاه، دیدگاه Roskomnadzor است و اینکه آیا دادگاه منطقه ای ما مانند ایرکوتسک در کنار ما خواهد ایستاد یا خیر، ناشناخته است.

    سلام. با تشکر از پاسخ شما. وجود پاسخی از Roskomnadzor یک محافظت تضمین شده در برابر پیگرد قانونی نیست. برای دادگاه نظر اداره هر چه که باشد نیز تعیین کننده نیست. توصیه می کنیم نظر مستدل خود را شکل دهید و در صورت امکان تصمیمات قضایی متناسب با پرونده را بگیرید. با احترام، شرکت FreshDoc.

    در هر صورت، چه اعلان وجود داشته باشد و چه نباشد، هر اپراتور باید هنگام پردازش داده های شخصی، الزامات مواد 18.1، 19 قانون فدرال شماره 152 را رعایت کند: یک فرد مسئول را تعیین کنید، سیاست و مقررات مربوط به داده های شخصی را تدوین و تصویب کنید. ، و غیره. علاوه بر این، Roskomnadzor بازرسی های برنامه ریزی شده را در رابطه با همه اپراتورها، و نه تنها در رابطه با مواردی که طبق اطلاعیه در ثبت Roskomnadzor قرار دارند، انجام می دهد.

    سلام. بله، این مسئولیت اپراتور PD است که اقدامات لازم و کافی را برای اطمینان از اجرای تعهدات مقرر در قانون فدرال 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی" انجام دهد، صرف نظر از حضور / عدم حضور در ثبت نام اپراتورها (ارسال اعلان به Roskomnadzor). در عین حال، به منظور تحقق الزامات مندرج در هنر. 22 قانون فدرال 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی"، اپراتور، قبل از شروع پردازش داده های شخصی، موظف است به Roskomnadzor از قصد خود برای پردازش داده های شخصی اطلاع دهد، در غیر این صورت طبق هنر با جریمه نقدی روبرو خواهد شد. . 19.7 قانون تخلفات اداری فدراسیون روسیه.

    سلام. دامنه موضوعات داده های شخصی در بخش 3 "داده های شخصی پردازش شده در ISPD" مقررات مربوط به پردازش و حفاظت از داده های شخصی تعیین شده است که در بسته اسناد گنجانده شده است و در پیوند https:// قابل مشاهده است. www.site/?oid=7086347. به ویژه مشخص می کند که داده های افراد زیر پردازش می شود: کارکنان اپراتور؛ سهامداران / بنیانگذاران اپراتور، افراد مرتبط با کارمندان، سهامداران، بنیانگذاران (فرزندانی که برای آنها نفقه پرداخت می شود، همسران و غیره)؛ مشتریان (مصرف کنندگان خدمات اپراتور)؛ کارآفرینان فردی - طرف مقابل اپراتور؛ مشتریان سازمان ها، طرف مقابل اپراتور (سرویس مشتریان شرکتی). همچنین ثابت شده است که این لیستممکن است تجدید نظر شود. ممنون که به ما سر زدید

    می توانید اسناد را مستقیماً در وب سایت پر کنید.

    در چه مواردی لازم است Roskomnadzor در مورد پردازش داده های شخصی اطلاع داده شود؟ پاسخ در مقاله است.

    سوال:آیا طبق قانون ما ملزم به ثبت نام در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor هستیم؟ در بند 2 هنر. 22 قانون 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی" بیان می کند که، 2. اپراتور این حق را دارد که داده های شخصی را بدون اطلاع به سازمان مجاز برای حمایت از حقوق افراد سوژه داده های شخصی پردازش کند، ما ملزم به ثبت نام در ثبت نیستیم؟

    پاسخ:ثبت نام در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor لازم نیست، زیرا هیچ روش ثبت نامی وجود ندارد. اپراتور، قبل از پردازش داده های شخصی، موظف است اخطاریه ای را به Roskomnadzor ارسال کند (بند 1، ماده 22 قانون شماره 152-FZ). Roskomnadzor ثبت اپراتورها را بر اساس اعلان ها حفظ می کند.

    در عین حال، استثناهایی از این قاعده قانون وجود دارد که به طور مفصل در بند 2 هنر ذکر شده است. 22 قانون شماره 152-FZ.

    بنیاد و پایه

    ذخیره سازی اطلاعات شخصی در روسیه چه ویژگی هایی برای اطلاعات کارکنان وجود دارد؟

    اگر شرکت اطلاعات شخصی را نه تنها کارمندان و پیمانکاران - افراد - پردازش کند. یعنی در واقع هر شرکتی موظف است پردازش اطلاعات شخصی را به مقامات اطلاع دهد.

    به عنوان یک قاعده کلی، یک کارفرما موظف است در مورد شروع پردازش داده های شخصی اطلاعیه ای به Roskomnadzor ارسال کند (بخش 1، ماده 22 قانون شماره 152-FZ). بسیاری از شرکت ها هنوز این کار را انجام نداده اند. آنها این را اینگونه توجیه می کنند: کارفرما فقط داده های شخصی کارمندان خود را پردازش می کند. بنابراین، شرکت تحت استثناء مقرر در ماده 1، قسمت 2، قرار می گیرد. 22 قانون شماره 152-FZ. طبق این قانون، کارفرما حق دارد اطلاعات شخصی را مطابق با قوانین کار بدون اطلاع Roskomnadzor پردازش کند.

    اما در بیشتر موارد، این موضع که اطلاع رسانی لازم نیست اشتباه است. از این گذشته ، کارفرما داده های نه تنها کارمندان ، بلکه سایر افراد را نیز پردازش می کند. به عنوان مثال، نمایندگان طرف مقابل هنگام اخذ وکالت یا کارمندان سایر شرکت ها که بخشی از همان گروه کارفرما هستند. در چنین مواردی، توصیه می شود یک اعلان به Roskomnadzor ارسال کنید.

    به چه شکلی باید به Roskomnadzor اطلاع داده شود؟

    اطلاعات مربوط به اطلاعات شخصی کارکنان را در اعلان قرار دهید (بند 7 توصیه های موقت برای تکمیل فرم اعلان، تایید شده توسط Roskomnadzor در 30 دسامبر 2014). استثنائات تعیین شده در قسمت 2 هنر. 22 قانون شماره 152-FZ در این مورد قابل اجرا نیست.

    Roskomnadzor اطلاعات حاصل از اعلان را ظرف 30 روز از تاریخ دریافت سند وارد ثبت اپراتورها می کند. برای این کار نیازی به پرداخت پول نیست (قسمت 4، قسمت 5 ماده 22 قانون شماره 152-FZ).

    کارفرمایانی که Roskomnadzor را مطلع نمی کنند، در معرض خطر دریافت نامه از مقامات هستند. در پاسخ، کارفرمایان ملزم به ارسال اخطاریه یا توجیه دلایل عدم ارسال آن خواهند بود. در مورد دوم، خطر تأیید صحت این نوع توجیه توسط Roskomnadzor افزایش می یابد. بنابراین، طبق گزارش سالانه سال 2014، Roskomnadzor بیش از 58 هزار نامه از این قبیل را به اپراتورها ارسال کرد.

    فوریه 21, 2014 در 11:45 ب.ظ

    یا شاید در مورد پردازش داده های شخصی اطلاع ندهید؟

    • امنیت اطلاعات

    بخش اول ماده 22 قانون فدرال 27 ژوئیه 2006 N 152-FZ "در مورد داده های شخصی" (از این پس در ماده - قانون) تعهد اپراتور پردازش داده های شخصی را برای اطلاع مقامات Roskomnadzor قبل از شروع پردازش می دهد. . بلافاصله (در قسمت دوم ماده) قانون دلایلی را پیشنهاد می کند که بر اساس آن اپراتور حق دارد در مورد پردازش اطلاع ندهد. این موارد بسیار رایج هستند. اما از آنجایی که قانون حتی در صورت وجود چنین مواردی اطلاع رسانی را ممنوع نمی کند، تعدادی از اپراتورها مسیر اطلاع رسانی را انتخاب می کنند. ممکن است ارزش آن را نداشته باشد که به آن اطلاعی ندهید، یا حتی در مورد چگونگی واجد شرایط بودن برای «استثناء» فکر نکنید. حداقل 3 دلیل برای این وجود دارد.

    پاسخ به سوال "چرا؟" دشوار است. برای همه کسانی که تصمیم گرفتند در صورت امکان عدم انجام این کار، اعلان را به بدن Roskomnadzor ارسال کنند. البته، کمپین های بازاریابی (تصویر، باز بودن) را نمی توان رد کرد. با این حال، در تعدادی از موارد آنها از روی ناآگاهی یا بر اساس موضع "بهتر است بازی آن را امن" اعلام می کنند. من می خواهم به حق شناخته شده اپراتورهایی که اطلاعات شخصی را پردازش می کنند توجه کنم که مقامات Roskomnadzor را در مورد پردازش مطلع نکنند و در اینجا چندین دلیل برای این وجود دارد.

    1. شخصی که اعلان پردازش داده های شخصی را ارسال کرده است باید بار به روز رسانی مداوم اطلاعات ارسال شده را بر عهده بگیرد. این تعهد در قسمت 7 پیش بینی شده است. هنر 22 قانون. اگر اپراتور پردازش داده های شخصی اعلان تغییر در اطلاعات (تغییر آدرس اپراتور، تغییر در دسته های داده های شخصی در حال پردازش، تغییر شخص مسئول پردازش داده های شخصی و مخاطبین او و غیره) را ارسال نکند. سپس ممکن است او را به مسئولیت اداری برسانند. به نظر می رسد دشوار بود: چیزی در سازمان تغییر کرد، نامه ای گرفتم و فرستادم. همانطور که تمرین نشان می دهد، در بیشتر موارد این فراموش می شود. به عنوان مثال، کسانی که قبل از 1 ژوئیه 2011 ثبت نام را وارد کرده اند (ثبت نام شامل همه کسانی است که اعلانی در مورد پردازش ارسال کرده اند) اپراتورهایی که اطلاعات شخصی را پردازش می کنند، باید اطلاعات مندرج در بندهای 5، 7.1، 10 و 11 را تا ژانویه ارسال کنند. 1، 2013 3 ماده 22 قانون (مبنای قانونی برای پردازش داده های شخصی، نام کامل شخص مسئول و غیره). همانطور که از ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor مشاهده می شود، بیش از نیمی از اپراتورها تا به امروز این کار را انجام نداده اند. این ایده که همه این سازمان ها تحت هیچ گونه تغییر داخلی مربوط به پردازش داده های شخصی قرار نگرفته اند نیز سوال برانگیز است. پیشنهاد می‌کنم در مورد اینکه آیا در درازمدت ارتباط ورودی‌های ثبت نام را به موقع نظارت خواهید کرد، اگر فرصتی وجود دارد که اصلاً این کار را نکنید، فکر کنید؟
    2. مقامات Roskomnadzor بازرسی هایی را از اپراتورهایی که داده های شخصی را با استفاده از سیستم اطلاعات واحد بخش - UIS پردازش می کنند، برنامه ریزی می کنند. تمام اپراتورهایی که اعلان ارسال کرده اند قبلاً در آن هستند و بنابراین احتمال اینکه در طرح بازرسی قرار بگیرند چندین برابر افزایش می یابد. سازمان‌هایی که توسط Roskomnadzor در سایر زمینه‌ها (خدمات ارتباطی، شبکه‌های توزیع، رسانه، پخش) بازرسی می‌شوند، به‌طور خودکار برای انطباق با قوانین در زمینه داده‌های شخصی بررسی می‌شوند، اگر Roskomnadzor را در مورد پردازش مطلع کرده باشند.
    3. اگر اپراتور داده های شخصی تصمیم گرفت در مورد پردازش به بدن Roskomnadzor اطلاع دهد ، اگرچه حق داشت این کار را انجام ندهد ، به دلیل اینکه اصلاً نمی توانست اطلاع دهد ، امکان حذف از ثبت وجود نخواهد داشت. این امکان نه در قانون و نه آیین نامه اداری مربوط پیش بینی نشده است. بلکه فقط بر اساس مبانی کلی ارائه می شود.
    اگر قصد داشتید اعلان ارسال کنید، اما موارد فوق به نحوی توجه شما را جلب کرد، توصیه های کلی ساده هستند.
    1. قسمت 2 هنر را با دقت بخوانید (درک کنید). 22 قانون فدرال فدراسیون روسیه 27 ژوئیه 2006 N 152-FZ "در مورد داده های شخصی".
    2. ببینید چه داده های شخصی و در ارتباط با آنچه توسط شما پردازش می شود.
    3. در برخی موارد، ممکن است لازم باشد کار خود را با حامل های داده شخصی تنظیم کنید. بگذارید برای شما مثالی بزنم تا منظورم روشن شود.
    یکی از احتمالات عدم اطلاع در مورد پردازش داده های شخصی در بند 2، بخش 2، هنر پیش بینی شده است. قانون 22 به این صورت است
    دریافت شده توسط اپراتور در ارتباط با انعقاد قراردادی که موضوع داده های شخصی یکی از طرفین آن است، در صورتی که داده های شخصی بدون رضایت موضوع داده های شخصی در اختیار اشخاص ثالث قرار نگیرد و صرفاً توسط اپراتور استفاده شود. برای اجرای توافقنامه مشخص شده و انعقاد قرارداد با موضوع داده های شخصی

    بنابراین، شما برای نوعی خدمات با فردی قرارداد بسته اید. شماره یک نفر را گرفت تلفن همراهبرای نشان دادن آماده بودن سرویس در اغلب موارد برای انجام قرارداد نیازی به شماره تلفن همراه نیست. اگر شماره تلفن همراه مشتری گرفته شود، رضایت وی برای پردازش اطلاعات شخصی نیز لازم است. با این حال، در این مورد، شما تحت استثنای قانون قرار نمی گیرید، که به شما امکان می دهد در مورد پردازش داده های شخصی اطلاع ندهید.
    اگر در قرارداد با این فرد، نیاز به داشتن شماره تلفن همراه برای اجرای قرارداد قید شده باشد، در این صورت شما در حال حاضر مدعی حق قرار گرفتن تحت استثنا هستید.
    شما می توانید با نیاز به داشتن شماره تلفن همراه برای انجام یک قرارداد چیزی شبیه به این بازی کنید: "سازمان متعهد می شود که از طریق تلفن x... x آمادگی ... را به مشتری اطلاع دهد".

    نحوه سازماندهی پردازش داده های شخصی کارکنان. ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor. نحوه دریافت رضایت کارمند برای پردازش داده های شخصی وی.

    سوال:آیا شرکت واحد شهرداری موظف است در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor ثبت نام کند و همچنین مجموعه ای از اسناد را در مورد حفاظت از داده های شخصی ایجاد کند؟

    پاسخ:بله، یک شرکت واحد شهرداری موظف است در ثبت نام اپراتورهای داده های شخصی ثبت نام کند و همچنین مجموعه ای از اسناد را در مورد حفاظت از داده های شخصی در صورتی که شرکت واحد شهرداری کارمندانی را استخدام کند و شرکت واحد شهرداری داده های شخصی آنها را پردازش کند یا شرکت واحد شهرداری داده های شخصی افراد مختلف (مشتریان، شرکا) را پردازش می کند.

    بنیاد و پایه

    نحوه سازماندهی پردازش اطلاعات شخصی کارکنان

    مفهوم داده های شخصی

    سازمان حق دریافت چه اطلاعات شخصی یک کارمند را دارد؟

    داده های شخصی عمومی

    سوال از تمرین:چه داده های شخصی عمومی در نظر گرفته می شود

    اطلاعات عمومی عموماً اطلاعات شناخته شده و سایر اطلاعاتی هستند که دسترسی به آنها محدود نیست. چنین اطلاعاتی ممکن است توسط هر شخصی بنا به صلاحدید خود، مشروط به رعایت قوانین استفاده شود. محدودیت های ایجاد شدهبرای توزیع آن این در بندهای ماده 7 قانون 27 ژوئیه 2006 شماره 149-FZ آمده است.

    داده‌های شخصی عمومی، داده‌هایی هستند که موضوع داده‌های شخصی آن‌ها را در دسترس قرار داده است. داده‌های شخصی عمومی ممکن است شامل اطلاعاتی باشد که در دسترس تعداد نامحدودی از افراد است (به عنوان مثال، داده‌های فهرست‌های باز، کتاب آدرسو غیره.).

    از آنجایی که هر کسی به آنها دسترسی دارد، دیگر نیازی به حفاظت خاصی ندارند.

    هنگام پردازش چنین داده‌هایی، اپراتور نیازی به اطلاع سازمان مجاز برای حمایت از حقوق اشخاص داده‌های شخصی ندارد (بند 4، بخش 2، ماده 22 قانون 27 ژوئیه 2006 شماره 152-FZ).

    رضایت به پردازش داده های شخصی

    نحوه دریافت رضایت کارمند برای پردازش داده های شخصی وی

    در طول فعالیت ها، کارفرما باید اطلاعات شخصی کارکنان را پردازش کند. پردازش چنین داده هایی، به استثنای موارد فردی، تنها با رضایت کتبی کارمندان انجام می شود. در این مورد، رضایت نامه باید شامل اطلاعات زیر باشد:

    • نام خانوادگی، نام، نام خانوادگی، آدرس کارمند، جزئیات گذرنامه (سایر اسنادی که هویت وی را ثابت می کند)، از جمله اطلاعات مربوط به تاریخ صدور سند و مرجع صادر کننده.
    • نام یا نام خانوادگی، نام، نام خانوادگی و آدرس کارفرما (اپراتور) که رضایت کارمند را دریافت می کند.
    • هدف از پردازش داده های شخصی؛
    • لیست داده های شخصی که برای پردازش آنها رضایت داده شده است.
    • نام یا نام خانوادگی، نام، نام خانوادگی و آدرس شخصی که داده های شخصی را از طرف کارفرما پردازش می کند، در صورتی که پردازش به چنین شخصی سپرده شده باشد.
    • فهرست اقدامات با داده های شخصی که برای آنها رضایت داده شده است، توضیحات کلیروش های استفاده شده توسط کارفرما برای پردازش داده های شخصی؛
    • دوره ای که طی آن رضایت کارمند معتبر است و همچنین روش انصراف آن، مگر اینکه توسط قانون فدرال به گونه دیگری تعیین شده باشد.
    • امضای کارمند.

    چنین الزاماتی در بخش 4 تعیین شده است

    اگر کارمندی ناتوان باشد، رضایت کتبی برای پردازش اطلاعات شخصی او توسط نماینده قانونی او: والدین، قیم (قسمت 6 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ) داده می شود.

    یک کارمند می تواند در هر زمان رضایت خود را از پردازش داده های شخصی خود با ارسال بازخورد به کارفرما به هر شکلی پس بگیرد. در چنین شرایطی، سازمان حق دارد بدون رضایت کارمند به پردازش داده های شخصی با در نظر گرفتن محدودیت های مشخص شده در بندهای 2-11 قسمت 1 ماده 6، قسمت 2 ماده 10 و قسمت 2 ماده ادامه دهد. 11 قانون 27 ژوئیه 2006 شماره 152-FZ، به عنوان مثال، برای اجرای عدالت یا محافظت از جان (سلامت) خود کارمند. این در قسمت 2 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ آمده است.

    لازم به ذکر است که در صورت بروز اختلاف، تعهد ارائه شواهدی مبنی بر دریافت رضایت کارمند برای پردازش اطلاعات شخصی وی بر عهده کارفرما است (بخش 3 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ).

    با رضایت کارمند، سازمان همچنین حق دارد پردازش داده های شخصی را به شخص دیگری واگذار کند (بخش 3 ماده 6 قانون 27 ژوئیه 2006 شماره 152-FZ). در این صورت کارفرما همچنان در قبال کارمند مسئول اقدامات شخص مشخص شده خواهد بود و شخصی که از طرف کارفرما اطلاعات شخصی را پردازش می کند مستقیماً در برابر کارفرما مسئول خواهد بود (قسمت 5 ماده 6 قانون تیرماه 97). 27، 2006 شماره 152- قانون فدرال).

    لازم به ذکر است که کارفرما باید رضایت پردازش داده های شخصی را نه تنها از کارکنان، یعنی افرادی که با آنها رابطه کاری دارد، بلکه از متقاضیان و همچنین از افرادی که قراردادهای قانون مدنی با آنها منعقد شده است، دریافت کند. در سازمان این در بند 5 از توضیحات Roskomnadzor مورخ 14 دسامبر 2012 آمده است.

    رضایت همگانی

    سوال از تمرین:آیا می توان هنگام انعقاد قرارداد کار، رضایت کتبی از کارمند برای ارائه اطلاعات شخصی خود به اشخاص ثالث در تمام شرایط لازم تا لحظه اخراج دریافت کرد.

    نه نمی توانی.

    برای انتقال داده های یک کارمند به اشخاص ثالث، سازمان باید رضایت کتبی این کارمند را دریافت کند. بدون رضایت کتبی کارمند، اطلاعات شخصی وی ممکن است به اشخاص ثالث منتقل شود، در صورت لزوم برای جلوگیری از تهدید جان و سلامت کارمند، و در سایر موارد پیش بینی شده توسط قوانین فدرال. چنین قوانینی توسط قسمت 1 ماده 88 قانون کار فدراسیون روسیه تعیین شده است.

    قانون کار فدراسیون روسیه الزاماتی برای محتوای رضایت کتبی برای انتقال داده ها ندارد. با این حال، بند 1 از ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ مقرر می دارد که رضایت برای پردازش داده های شخصی باید مشخص، آگاهانه و آگاهانه باشد. از این نتیجه می شود که سازمان باید برای هر مورد انتقال داده های شخصی وی به شخص ثالث رضایت کتبی را از کارمند درخواست کند. تنها تحت چنین شرایطی می توان شرط اختصاصی بودن و رضایت آگاهانه را برآورده کرد. لیست اطلاعاتی که باید در رضایت کتبی برای انتقال داده های شخصی وجود داشته باشد در بند 4 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ تعیین شده است.

    پردازش اطلاعات شخصی مجریان بر اساس معدل

    سوال از تمرین:آیا برای پردازش اطلاعات شخصی شهروندانی که قراردادهای قانون مدنی با آنها منعقد شده است رضایت کتبی لازم است؟

    بله، به طور کلی لازم است، مانند کارمندان تمام وقت.

    پردازش داده های شخصی فقط با رضایت کتبی موضوع داده های شخصی امکان پذیر است، به استثنای موارد خاصی که چنین پردازشی بدون رضایت آنها امکان پذیر است (). در عین حال، موضوعات داده های شخصی می توانند هم کارمندانی باشند که تحت قرارداد کار کار می کنند و هم شهروندانی که سازمان با آنها قراردادهای قانون مدنی منعقد کرده است.

    بنابراین، یک سازمان به طور کلی باید برای پردازش داده های شخصی، از جمله شهروندانی که قراردادهای قانون مدنی با آنها منعقد شده است، موافقت کند تا هرگونه اختلاف در مورد انتقال غیرمجاز داده ها خارج از محدوده شرایط قرارداد قانون مدنی را حذف کند.

    امتناع مجری از دادن چنین رضایتی مانعی برای انعقاد قرارداد مدنی نیست.

    پردازش داده ها بدون رضایت

    در چه مواردی رضایت کارمند برای انتقال داده های شخصی الزامی نیست؟

    در برخی موارد، پردازش اطلاعات شخصی بدون رضایت کارمند امکان پذیر است. به عنوان مثال، اگر پردازش داده های شخصی به منظور انجام قرارداد منعقد شده با یک کارمند یا دستیابی به اهداف مقرر در قانون برای اجرا و انجام وظایف، اختیارات و مسئولیت های تعیین شده توسط قانون روسیه به اپراتور ضروری باشد. ، می توان آن را بدون رضایت کارمند - موضوع داده های شخصی انجام داد. این در قانون 27 ژوئیه 2006 شماره 152-FZ آمده است.

    چنین مواردی شامل انتقال اطلاعات به موارد زیر است:

    • صندوق بازنشستگی فدراسیون روسیه ()
    • مسئولان مالیات ()؛
    • کمیساریای نظامی ();
    • سایر مقامات، زمانی که تعهد به انتقال اطلاعات مربوط به اطلاعات شخصی یک کارمند به آنها توسط قانون به کارفرما واگذار شده است یا برای دستیابی به اهداف تعیین شده توسط قانون ضروری است (به عنوان مثال، دادگاه ها، دادستان ها و غیره).

    علاوه بر این، رضایت لازم نیست موارد زیر:

    • الزام به پردازش توسط قانون پیش بینی شده است، از جمله انتشار و قرار دادن اطلاعات شخصی کارکنان در اینترنت (به عنوان مثال، قانون 21 نوامبر 2011 شماره 323-FZ، قانون 9 فوریه 2009 شماره 8). -FZ و تعدادی از اعمال دیگر)؛
    • پردازش داده های شخصی بستگان نزدیک کارمند به میزان پیش بینی شده توسط کارت شخصی (طبق فرم یکپارچه شماره T-2 یا فرم مستقل توسعه یافته) و همچنین در موارد دریافت نفقه، پردازش انجام می شود. مزایای اجتماعی و دسترسی به اسرار دولتی؛
    • پردازش اطلاعات در مورد وضعیت سلامتی کارمند به موضوع توانایی او در انجام وظایف شغلی مربوط می شود.
    • پردازش داده ها با عملکرد کارمند مرتبط است وظایف شغلی، از جمله در طول سفر کاری خود؛
    • پردازش داده های شخصی هنگام اجرای کنترل دسترسی به قلمرو ساختمان ها و محل های اداری کارفرما انجام می شود، مشروط بر اینکه سازماندهی کنترل دسترسی توسط کارفرما به طور مستقل انجام شود.

    اگر سند محلی گزینه هایی را برای تسویه حساب با کارمندان یا به طور کلی ارائه می دهد این لحظهثبت نشده است ، پس کارمندان حق دارند مستقلاً تصمیم بگیرند که حقوق خود را از طریق صندوق نقدی یا کارت بانکی دریافت کنند. و در صورتی که کارفرما تصمیم به انتقال حقوق به کلیه کارکنان داشته باشد کارت های بانکی، سپس باید از هر کارمند خواسته شود که با پردازش داده های شخصی و انتقال آنها به شخص ثالث - بانک موافقت کند. در چنین شرایطی، کارمندان حق دارند رضایت خود را اعلام نکنند و کارفرما در صورت عدم وجود چنین رضایتی، نمی‌تواند به پردازش داده‌ها و انتقال اطلاعات به بانک در مورد آن دسته از کارمندانی که امتناع کرده‌اند، ادامه دهد.

    بیشتر در مورد موضوع:آیا هنگام تغییر بانک برای انتقال حقوق، رضایت مجدد کارمند برای پردازش اطلاعات شخصی لازم است؟

    سوال از تمرین:آیا هنگام تغییر بانک برای انتقال حقوق، رضایت کارمند برای پردازش اطلاعات شخصی مجدداً لازم است؟

    خیر، لازم نیست، مشروط بر اینکه در رضایت نامه های موجود، بانک خاصی که داده ها به آن ارائه شده، ذکر نشده باشد. اگر رضایت قبلی برای یک بانک خاص تنظیم شده باشد، کارفرما باید رضایت جدیدی برای قوانین عمومی ().

    علاوه بر این، در صورتی که اسناد محلی سازمان پرداخت دستمزد را به طور خاص برای کارت های بانکیو کارمند پس از استخدام یا در حال انجام کار، با این اسناد آشنا شد (بخش 2 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ). جزییات را ببینید.

    اطلاعیه Roskomnadzor

    نحوه اطلاع رسانی به آژانس نظارتی در مورد شروع پردازش داده های شخصی کارکنان

    قبل از پردازش اطلاعات شخصی کارکنان، کارفرما باید به بدنه سرزمینی Roskomnadzor از قصد انجام پردازش اطلاع دهد. موارد استثناء موارد پردازش داده های شخصی است:

    • مطابق با قوانین کار پردازش می شود؛
    • در دسترس عموم توسط کارکنان؛
    • دریافت شده توسط سازمان در رابطه با انعقاد قراردادی که کارمند طرف آن است (به شرطی که اطلاعات شخصی بدون رضایت کارمند در اختیار اشخاص ثالث قرار نگیرد و توسط کارفرما صرفاً برای اجرای قرارداد مشخص شده استفاده شود. و انعقاد قراردادهای دیگر با کارمند).
    • مربوط به اعضای (شرکت کنندگان) یک انجمن عمومی یا سازمان مذهبی؛
    • شامل فقط نام خانوادگی، نام و نام خانوادگی کارکنان؛
    • برای هدف ورود یک بار کارمند به قلمرو کارفرما و سایر اهداف مشابه ضروری است.
    • شامل سیستم های اطلاعات داده های شخصی است که مطابق با قوانین فدرال دارای وضعیت سیستم های اطلاعات خودکار ایالتی هستند و همچنین در سیستم های اطلاعات شخصی ایالتی ایجاد شده برای محافظت از امنیت ایالت و نظم عمومی.
    • پردازش بدون استفاده از ابزارهای اتوماسیون مطابق با قوانین قانونی که الزاماتی را برای اطمینان از امنیت داده های شخصی در طول پردازش آنها و برای احترام به حقوق افراد موضوع داده های شخصی ایجاد می کند.
    • در موارد پیش بینی شده توسط قانون روسیه در مورد امنیت حمل و نقل پردازش می شود.

    در صورت خاتمه پردازش داده های شخصی، کارفرما نیز موظف است مراتب را به مرجع مجاز اعلام کند. این باید ظرف ده روز کاری از تاریخ خاتمه پردازش داده ها انجام شود. فرم استاندارد برای اطلاع از خاتمه پردازش داده ها تأیید نشده است، بنابراین کارفرما می تواند آن را به هر شکلی تهیه کند ().

    سوال از تمرین:آنچه باید با پردازش داده های شخصی کارکنان درک شود

    حفاظت از اطلاعات شخصی

    نحوه سازماندهی حفاظت از داده های شخصی کارکنان در یک سازمان

    برای جلوگیری از افشای اطلاعات شخصی، یک سیستم قابل اعتماد برای محافظت از آن ایجاد کنید. روش دریافت، پردازش، انتقال و ذخیره چنین اطلاعاتی در یک قانون محلی سازمان تعیین شده است، به عنوان مثال در (ماده، قانون کار فدراسیون روسیه،). آیین نامه به تصویب رئیس سازمان می رسد. آن را با امضای کارمندان سازمان آشنا کنید این در قسمت 1 ماده 86 قانون کار فدراسیون روسیه آمده است.

    همچنین، سازمان باید شخصی را برای کار با داده های شخصی منصوب کند (بخش 5 ماده 88 قانون کار فدراسیون روسیه). به عنوان یک قاعده ، چنین کارمندی کارمند خدمات پرسنلی است ، زیرا این او است که اغلب در طول کار خود با داده های شخصی کارمندان روبرو می شود. مسئول کار با داده های شخصی را با دستور به هر شکلی تعیین کنید.

    اقدامات خاصی برای اطمینان از امنیت داده های شخصی کارکنان در طول پردازش آنها در قانون 27 ژوئیه 2006 شماره 152-FZ و الزامات تصویب شده ارائه شده است. بر اساس آنها، سازمان می تواند خود را توسعه دهد سیستم خودحفاظت از داده های شخصی

    بنابراین، هنگام پردازش داده های شخصی در یک سیستم اطلاعاتی، لازم است از حفاظت و امنیت داده های شخصی اطمینان حاصل شود. در عین حال، تهدیدی برای امنیت داده های شخصی مجموعه ای از شرایط و عواملی است که خطر دسترسی غیرمجاز (از جمله تصادفی) به داده های شخصی را در طول پردازش آنها در سیستم ایجاد می کند که ممکن است منجر به موارد زیر شود:

    • تخریب؛
    • تغییر دادن؛
    • مسدود کردن؛
    • کپی برداری؛
    • تدارک؛
    • گسترش؛
    • سایر اقدامات غیرقانونی با داده های شخصی

    لازم به ذکر است که انتخاب ابزار امنیت اطلاعات خاص برای سیستم اطلاعات برای پردازش داده های شخصی توسط کارفرما مطابق با مقررات FSB روسیه و FSTEC روسیه انجام می شود. تعیین نوع تهدیدات برای امنیت داده های شخصی مربوط به سیستم پردازش و حفاظت از داده های شخصی با در نظر گرفتن ارزیابی آسیب های احتمالی و مطابق با مقررات ارگان های مذکور (بند، الزامات مصوب مصوبه مصوبه 1388) انجام می شود. دولت فدراسیون روسیه از 1 نوامبر 2012 شماره 1119).

    هنگام پردازش داده‌های شخصی در سیستم‌ها، بسته به دسته داده‌ها و تعداد کارمندانی که سیستم حاوی اطلاعاتی درباره آنهاست، می‌توان چهار سطح امنیتی ایجاد کرد. بسته به سطح امنیت، کارفرما باید اقدامات مختلفی را برای محافظت از سیستم های پردازش داده های شخصی ارائه شده در بندهای 13-16 الزامات مصوب 1 نوامبر 2012 شماره 1119 دولت فدراسیون روسیه انجام دهد. به عنوان مثال، ایجاد یک رژیم برای تضمین امنیت اماکنی که داده‌های شخصی در آن قرار دارد، انتصاب افراد مسئول برای تضمین امنیت داده‌های شخصی در سیستم اطلاعاتی و غیره. الزامات خاص برای اقدامات مشخص شده برای تضمین امنیت داده‌های شخصی در طول پردازش آنها با ترکیب و محتوای اقدامات سازمانی و فنی تأیید شده به دستور FSTEC روسیه مورخ 18 فوریه 2013 شماره 21 ایجاد می شود.

    برای کنترل امنیت داده های شخصی در حین پردازش آنها، کارفرما یا شخص مجاز از سوی وی حداقل هر سه سال یک بار بررسی های کنترلی را انجام می دهد که زمان بندی خاص آن توسط کارفرما به طور مستقل تعیین می شود. در صورت لزوم، سازمان ها یا سازمان ها می توانند در انجام بازرسی به صورت قراردادی مشارکت داشته باشند. کارآفرینان فردیکه دارای مجوز فعالیت حفاظت فنی می باشند اطلاعات محرمانه(بند 17 از الزامات تصویب شده توسط فرمان دولت فدراسیون روسیه 1 نوامبر 2012 شماره 1119).

    بیانیه در مورد داده های شخصی

    سوال از تمرین:مقررات مربوط به کار با داده های شخصی کارکنان است سند اجباری

    بله همینطور است.

    روش ذخیره سازی، پردازش و استفاده از داده های شخصی کارکنان با در نظر گرفتن الزامات قانون کار فدراسیون روسیه و سایر قوانین فدرال توسط کارفرما تعیین می شود. این بدان معنی است که کارفرما باید به طور مستقل رویه چنین پردازشی را تعیین کند و آن را در یک قانون نظارتی محلی، به ویژه مقررات مربوط به کار با داده های شخصی کارکنان، ثبت کند. کلیه کارکنان سازمان هنگام استخدام باید با مقررات امضاء آشنا شوند (بخش 3 ماده 68 قانون کار فدراسیون روسیه).

    با توجه به موارد فوق ، نتیجه می شود که مقررات کار با داده های شخصی یک سند اجباری سازمان است و عدم وجود آن مستلزم مسئولیت اداری (). دادگاه ها نیز به این موضوع اشاره می کنند (برای مثال به قطعنامه خدمات فدرال ضد انحصار منطقه مسکو به شماره KA-A40/10220-06 در 26 اکتبر 2006 مراجعه کنید).

    نمونه ای از طراحی آیین نامه کار با داده های شخصی کارکنان

    رئیس سازمان آیین نامه کار با داده های شخصی کارکنان را تصویب کرد.

    خدمات پرسنلی در سازمان وجود ندارد. حسابدار سازمان V.N به عنوان مسئول حفظ سوابق پرسنل منصوب شد. زایتسوا

    سوال از تمرین:چگونه از اطلاعات شخصی موجود در پایگاه داده رایانه محافظت کنیم

    برای جلوگیری از دسترسی غیرمجازبرای اطلاعات شخصی واقع در پایگاه داده رایانه ای، در آیین نامه روشی برای محافظت از این اطلاعات ایجاد کنید. هر چه خطر دسترسی غیرمجاز به داده های شخصی بیشتر باشد، اقدامات بیشتری باید برای محافظت از این اطلاعات انجام شود. به عنوان مثال، یک سازمان می تواند سیستمی از رمزهای عبور منفرد را معرفی کند که در فواصل زمانی معین تغییر می کند، دسترسی کارکنان را به رایانه هایی که داده های شخصی در آنها ذخیره می شود محدود می کند و دیسک ها و فلاپی دیسک ها را با چنین اطلاعاتی در کابینت های قفل شده ذخیره می کند.

    پردازش داده های شخصی در سیستم اطلاعاتی باید مطابق با مفاد بندهای 8-16 الزامات تصویب شده توسط فرمان دولت فدراسیون روسیه در 1 نوامبر 2012 شماره 1119 انجام شود.

    یک سازمان می تواند حفاظت از داده های شخصی را هم به طور مستقل و هم با کمک آنها تضمین کند سازمان های شخص ثالثکه دارای مجوز فعالیت برای حفاظت از اطلاعات محرمانه هستند. چنین توضیحاتی در بند 17 الزامات تصویب شده توسط فرمان دولت فدراسیون روسیه در 1 نوامبر 2012 شماره 1119 آمده است.

    سوال از تمرین:آیا این امکان وجود دارد که به کارمندان غیر HR حق دسترسی به اطلاعات شخصی سایر کارمندان داده شود؟

    بله، اگر کارمندان برای انجام برخی وظایف شغلی نیاز به دسترسی به چنین اطلاعاتی داشته باشند، می توانید.

    فقط افراد دارای مجوز ویژه که برای انجام وظایف خاص به چنین دسترسی نیاز دارند می توانند به داده های شخصی کارکنان دسترسی داشته باشند. این در قانون کار فدراسیون روسیه آمده است.

    به عنوان یک قاعده، به دلیل ماهیت خاص فعالیت های خود، کارکنان باید به داده های شخصی دسترسی داشته باشند:

    • کارکنان خدمات پرسنلی؛
    • کارکنان حسابداری؛
    • مدیر عاملو در صورت لزوم معاونان او.
    • روسای بخش و سرپرستان مستقیم

    در این حالت، به هر یک از این دسته از کارکنان، سطح دسترسی خاص خود اختصاص داده می شود. به عنوان مثال، کارکنان حسابداری می توانند به داده های آدرس کارکنان و آنها دسترسی داشته باشند وضعیت تاهل، روسای ادارات - از نظر اطلاعات شخصی منحصراً در مورد زیردستان خود.

    سطوح دسترسی افراد خاص و همچنین روش خاص برای انتقال داده های شخصی کارکنان در داخل سازمان باید در اسناد محلی آن، به عنوان مثال، در مقررات حفاظت از اطلاعات شخصی کارکنان (بند 5 ماده 88) تعیین شود. قانون کار فدراسیون روسیه). افراد مجاز باید با مفاد سند آشنا باشند و در مورد حقوق و تعهدات خود و همچنین مسئولیت استفاده از اطلاعات برای مقاصد دیگر هشدار داده شوند ().

    مشاوره:شرایط ارسال اطلاعات شخصی کارکنان در وب سایت شرکت در مقررات کار با داده های شخصی ذکر شده است. در همان زمان، یک ضمیمه به آن ایجاد کنید، که در آن لیستی از کارمندانی را که با ارسال اطلاعات شخصی موافق (یا مخالف) هستند، نشان می دهید. بنابراین، این الزام برآورده می شود و سازمان می تواند اطلاعات شخصی کارکنانی را که با چنین قرار دادن موافق هستند در وب سایت شرکت پست کند.

    به منظور اطمینان از حقوق کارمندان خود، سازمان و نمایندگان آن هنگام پردازش داده های شخصی موظفند از الزامات تنظیم شده توسط قانون کار فدراسیون روسیه پیروی کنند. افرادی که به دلیل نقض قوانین مربوط به حفاظت از داده های شخصی مجرم هستند، مشمول مسئولیت اداری و کیفری هستند (). یا ممکن است با عبارت "به دلیل افشای اطلاعات شخصی کارمند دیگر بر اساس بند "ج" بند 6 قسمت 1 ماده 81 قانون کار فدراسیون روسیه اخراج شوند.

    سوال از تمرین:آیا رئیس یک واحد ساختاری حق دارد از حسابداری مطالبه کند تا اطلاعات ماهانه حقوق تعهدی کارکنان زیر مجموعه خود را ارائه کند؟

    اطلاعات مربوط به مبالغی که به کارمندان تعلق می گیرد به داده های شخصی اشاره دارد (بند 1، ماده 3 قانون شماره 152-FZ از 27 ژوئیه 2006). در صورتی که مجوز مناسب در یک قانون نظارتی محلی ایجاد شود و رضایت کارمند برای پردازش داده های شخصی وی به دست آمده باشد، سرپرست فوری می تواند از آنها درخواست کند.

    در همان زمان، جدول کارکنان حاوی اطلاعاتی در مورد حقوق و پاداش کارکنان است. جدول کارکنان یک سند محلی سازمان است و به اطلاعات شخصی مربوط نمی شود. رئیس یک واحد سازه در صورت نیاز می تواند تماس بگیرد این سند، در صورت ارائه شرح شغلرهبر یا عمل محلی سازمان. این به او اجازه می دهد تا بدون تماس با بخش حسابداری اطلاعات لازم را به دست آورد.

    امتناع از پردازش داده ها

    سوال از تمرین:در صورت امتناع شخصی از پردازش اطلاعات شخصی خود چه باید کرد

    سازمان حق دارد در صورت وجود دلایل خاصی به پردازش داده های شخصی شخص بدون رضایت وی ادامه دهد. در عین حال، حجم چنین پردازشی به اندازه کافی بزرگ است و به سازمان اجازه می دهد تا فعالیت های جاری را بدون اختلال انجام دهد.

    به ویژه، کارفرما ممکن است برای انعقاد یک قرارداد کار و قانون مدنی، با ارسال گزارش های شخصی به مقامات، نیازی به پردازش داده های شخصی متقاضیان نداشته باشد. صندوق بازنشستگی RF، گزارش مالیاتیدر سرویس مالیاتی فدرال روسیه، اطلاعاتی در مورد افرادی که مسئول خدمت سربازی در کمیساریای نظامی هستند، و همچنین برای ذخیره اسناد با داده های شخصی، از جمله قراردادهای استخدام و قانون مدنی، کارت های شخصی، پرونده های شخصی و غیره. یعنی زمانی که کارفرما به تعهداتی که طبق مسئولیت های قانونی بر عهده او گذاشته شده است عمل می کند.

    چنین قوانینی در بندهای 2-11 قسمت 1 ماده 6، قسمت 2 ماده 10 و قسمت 2 ماده 11 قانون 27 ژوئیه 2006 شماره 152-FZ ایجاد شده است.

    برای اجرای کلیه اقدامات دیگر سازمان، لازم است رضایت شخص برای پردازش داده های شخصی وی جلب شود (بخش 4 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ).

    توجه:قانون فعلی شخص را ملزم به رضایت از پردازش داده های شخصی نمی کند، بنابراین، امتناع از طرف او نمی تواند نقض و مبنایی برای امتناع از انعقاد توافق تلقی شود. همچنین نمی توان یک کارمند را به دلیل امتناع از ارائه رضایت به پردازش داده های شخصی اخراج کرد یا مشمول مسئولیت انضباطی دیگری شد.

    سوال از تمرین:اگر یک کارمند از ارائه اطلاعات شخصی اعضای خانواده برای پر کردن اسناد پرسنلی امتناع کند چه باید کرد

    شخصی سازی اطلاعات شخصی به عنوان اقداماتی درک می شود که در نتیجه بدون استفاده از آن غیرممکن می شود. اطلاعات اضافیتعیین مالکیت داده های شخصی برای یک شخص خاص ().

    در صورت نیاز به غیر شخصی سازی داده های شخصی، روسای سازمان ها تصویب می کنند:

    • قوانین کار با داده های ناشناس؛
    • لیستی از موقعیت های کارمندان مسئول انجام اقدامات برای غیر شخصی سازی داده های شخصی پردازش شده.

    چنین قوانینی در زیر بند "ب" بند 1 فهرست مصوب 21 مارس 2012 شماره 211 دولت فدراسیون روسیه ارائه شده است.

    الزامات و روش‌های خاص برای غیرشخصی‌سازی داده‌های شخصی پردازش شده در سیستم‌های اطلاعاتی در الزامات و روش‌های تأیید شده توسط دستور شماره ۹۹۶ Roskomnadzor مورخ ۵ سپتامبر ۲۰۱۳ تعیین شده است.

    شرط اصلی برای غیر شخصی سازی داده های شخصی، اطمینان از نه تنها محافظت در برابر استفاده غیرمجاز، بلکه همچنین امکان پردازش آنها است. برای انجام این کار، داده های ناشناس باید دارای ویژگی هایی باشند که ویژگی های اساسی داده های شخصی ناشناس را حفظ کنند. چنین ویژگی هایی به ویژه عبارتند از:

    • کامل بودن، یعنی حفظ تمام اطلاعات مربوط به افراد یا گروه های خاص که قبل از مسخ شخصیت در دسترس بوده است.
    • ساختار، یعنی حفظ ارتباطات ساختاری بین داده های ناشناس شخص خاصیا گروه هایی از مردم که قبل از مسخ شخصیت وجود داشته اند.
    • کاربردپذیری، یعنی توانایی حل مشکلات پردازش داده های شخصی بدون اینکه ابتدا کل حجم سوابق مربوط به افراد را شخصی سازی نکنید.
    • ناشناس بودن، یعنی عدم امکان شناسایی بدون ابهام موضوعات داده به دست آمده در نتیجه مسخ شخصیت، بدون استفاده از اطلاعات اضافی.

    الزامات اصلی برای روش های ناشناس سازی داده های شخصی عبارتند از:

    • اطمینان از ویژگی های مورد نیاز داده های ناشناس؛
    • انطباق با الزامات ویژگی های روش ها؛
    • پیاده سازی روش ها در برنامه های مختلف;
    • حل وظایف محول شده پردازش داده های شخصی.

    به امیدوار کننده ترین و راحت برای کاربرد عملیروش های مسخ شخصیت زیر عبارتند از:

    • روش معرفی شناسه ها، یعنی جایگزینی بخشی از داده های شخصی با شناسه ها و ایجاد جدول مطابقت شناسه ها با داده های اصلی.
    • روش تغییر ترکیب یا معناشناسی، یعنی تغییر ترکیب یا معنایی داده های شخصی با جایگزینی نتایج پردازش آماری، خلاصه یا حذف بخشی از اطلاعات.
    • روش تجزیه، یعنی تقسیم آرایه ای از داده های شخصی به چند قسمت با ذخیره سازی جداگانه بعدی.
    • روش مخلوط کردن، یعنی تنظیم مجدد سوابق فردی، و همچنین گروه هایی از رکوردها در مجموعه ای از داده های شخصی.

    سازمان‌های تجاری، به منظور کار ایمن با داده‌های شخصی کارکنان، نیز حق دارند، اما موظف نیستند، در غیرشخصی‌سازی شرکت کنند (بند 3، ماده 3 قانون 27 ژوئیه 2006 شماره 152-FZ). اگر سازمانی تصمیم به غیر شخصی کردن داده های شخصی بگیرد، باید در یک قانون محلی، به عنوان مثال، در آیین نامه کار با داده های شخصی کارکنان (ماده قانون کار فدراسیون روسیه،) یک روش خاص غیرشخصی سازی تعیین شود.

    بررسی انطباق با الزامات برای پردازش داده های شخصی

    بررسی های انطباق با پردازش داده های شخصی چگونه انجام می شود

    Roskomnadzor بازرسی هایی را از کارفرما در مورد پردازش داده های شخصی انجام می دهد. دستور شماره 312 وزارت مخابرات و ارتباطات جمعی روسیه مورخ 14 نوامبر 2011 مقررات اداری برای اجرای وظایف اعمال کنترل دولتی (نظارت) توسط این سرویس را تصویب کرد.

    موضوع کنترل بر فعالیت های کارفرما مربوط به پردازش داده های شخصی عبارتند از:

    • ماهیت اطلاعاتی را که در آن گنجاندن داده های شخصی را پیشنهاد می کند یا اجازه می دهد، مستند می کند.
    • سیستم های اطلاعات شخصی؛
    • فعالیت های پردازشی

    Roskomnadzor بازرسی های برنامه ریزی شده و غیر برنامه ریزی شده را در قالب بازرسی های مستند یا در محل انجام می دهد (قانون شماره 294-FZ از 26 دسامبر 2008). حقوق و تعهدات مقامات Roskomnadzor در طول بازرسی ها به ترتیب توسط بندها و مقررات اداری مصوب وزارت مخابرات و ارتباطات جمعی روسیه مورخ 14 نوامبر 2011 شماره 312 تعیین می شود.

    بازه زمانی بررسی فعالیت‌های کارفرما در پردازش داده‌های شخصی در طول بررسی‌های برنامه‌ریزی‌شده و غیربرنامه‌ریزی نمی‌تواند بیش از ۲۰ روز کاری باشد. در عین حال، برای مشاغل کوچک، کل دوره بازرسی های برنامه ریزی شده در محل نمی تواند بیش از یک سال باشد:

    • 50 ساعت - برای یک شرکت کوچک؛
    • 15 ساعت - برای یک شرکت خرد.

    که در موارد استثناییدوره انجام بازرسی برنامه ریزی شده در محل ممکن است تمدید شود، اما حداکثر 20 روز کاری، و برای شرکت های کوچک و خرد - حداکثر 15 ساعت. این در صورتی امکان پذیر است که در حین بازرسی نیاز به موارد زیر باشد:

    • تحقیق و آزمایش پیچیده و طولانی؛
    • معاینات و تحقیقات ویژه

    فقط آن دسته از کارمندانی که متعهد به رعایت قوانین کار با داده های شخصی شده اند و آنها را نقض کرده اند () می توانند مشمول مسئولیت انضباطی باشند. اگر در رابطه با نقض قوانین کار با داده های شخصی، سازمان متحمل آسیب واقعی مستقیم شود، ممکن است مسئولیت مالی ایجاد شود ().

    در صورت تخلف از رویه جمع‌آوری، ذخیره، استفاده یا توزیع اطلاعات شخصی، سازمان و مسئولان آن جریمه خواهند شد. در طی یک بازرسی، Roskomnadzor ممکن است چندین تخلف مختلف را تشخیص دهد. سپس چندین جریمه را به طور همزمان جمع آوری خواهد کرد.

    میزان جریمه بستگی به نوع تخلف دارد. بنابراین، مقامات می توانند از 3000 تا 20000 روبل، کارآفرینان فردی - از 5،000 تا 20،000 روبل، سازمان ها - از 15،000 تا 75،000 روبل جریمه شوند. برای اطلاعات بیشتر در مورد جریمه های تخلف در کار با داده های شخصی، جدول را ببینید.

    چنین اقدامات مسئولیتی در مواد قانون فدراسیون روسیه در مورد تخلفات اداری پیش بینی شده است.

    مسئولیت کیفریبرای رئیس سازمان (فرد دیگری که مسئول کار با داده های شخصی است) ممکن است به دلیل غیرقانونی مجازات شود:

    • جمع آوری یا توزیع اطلاعات در مورد زندگی خصوصی یک کارمند که راز شخصی یا خانوادگی او را تشکیل می دهد، بدون رضایت او.
    • انتشار این اطلاعات در یک سخنرانی عمومی، اثر نمایش داده شده عمومی یا رسانه ها.

    مجازات های زیر برای این تخلفات در نظر گرفته شده است:

    • جریمه تا 200000 روبل. (یا به میزان درآمد محکوم علیه برای مدت 18 ماه).
    • کار اجباری تا 360 ساعت؛
    • کار اصلاحی تا یک سال؛
    • کار اجباری برای مدت حداکثر دو سال با یا بدون محرومیت از حق تصدی پست های خاص یا شرکت در فعالیت های خاص برای مدت حداکثر سه سال.
    • بازداشت تا چهار ماه؛
    • حبس تا دو سال با محرومیت از حق تصدی سمت های خاص یا انجام فعالیت های خاص به مدت حداکثر سه سال.

    در این صورت، همان اعمالی که شخصی با استفاده از موقعیت رسمی خود مرتکب می شود، مجازات دارد:

    • جریمه نقدی از 100000 تا 300000 روبل. (یا به میزان درآمد محکوم علیه برای مدت یک تا دو سال).
    • محرومیت از حق تصدی برخی مناصب یا انجام فعالیتهای خاص برای مدت دو تا پنج سال.
    • کار اجباری برای مدت حداکثر چهار سال با یا بدون محرومیت از حق تصدی پست های خاص یا شرکت در فعالیت های خاص برای مدت حداکثر پنج سال.
    • بازداشت برای مدت چهار تا شش ماه؛
    • حبس تا چهار سال با محرومیت از حق تصدی سمت های خاص یا انجام فعالیت های خاص به مدت حداکثر پنج سال.

    سوال از تمرین:آیا امکان عدم افشای اطلاعات محرمانه در قراردادهای کاری کارکنان وجود دارد؟

    بله، تو میتونی.

    اما فقط در رابطه با آن دسته از کارمندانی که مستقیماً با داده های شخصی کار می کنند: افسران پرسنل ، مدیران پرسنل ، منشی ها (). در این مورد، هنگام استخدام، کارمند را با مقررات کار با داده های شخصی آشنا کنید.

    سوال از تمرین:آیا می توان اطلاعات مربوط به کار یک کارمند در سازمان را از طریق تلفن به نمایندگان سایر شرکت ها مانند بانک ها در میان گذاشت؟

    بله، می توانید، اما فقط با رضایت کتبی خود کارمند.

    داده های شخصی به هر گونه اطلاعاتی اشاره دارد که به طور مستقیم یا غیرمستقیم به یک فرد خاص (موضوع داده های شخصی) مربوط می شود (بخش 1 ماده 3 قانون 27 ژوئیه 2006 شماره 152-FZ). در عین حال، فهرست داده های شخصی جامع نیست، یعنی هر گونه اطلاعات مربوط به یک شخص خاص، داده های شخصی وی است. بنابراین، محل کار و خود واقعیت کار که از یک سازمان درخواست شده است، به عنوان مثال، توسط یک موسسه اعتباری برای تأیید واقعیت کار یا توسط یک کارفرمای احتمالی در مورد یک کارمند سابق، داده های شخصی هستند. بنابراین، انتقال داده های کارکنان به سایر سازمان ها تنها با رعایت آن امکان پذیر است الزامات کلیدر مورد پردازش داده های شخصی، یعنی فقط با رضایت خود کارمند (بند 3، قسمت 1، ماده 86 قانون کار فدراسیون روسیه،).

    بنابراین، می توان اطلاعاتی در مورد این واقعیت که کارکنان از طریق تلفن کار می کنند به افراد ناشناس، از جمله افرادی که خود را به عنوان متخصص بانک معرفی می کنند، ارائه کرد، اما تنها با رضایت کتبی خود کارمند، صرف نظر از اینکه وی به کار در سازمان ادامه می دهد یا خیر. یا قبلا ترک کرده است.

    سوال از تمرین:آیا کارفرما موظف است بنا به درخواست سازمان اجرای احکام، واقعیت کار در سازمان کارمند بدهکار را گزارش دهد؟

    واقعیت کار در یک سازمان به اطلاعات شخصی کارمند اشاره دارد. ضابط اجرائی حق دارد از سازمان اطلاعاتی در مورد کارمندانی که در رابطه با آنها تصمیمات دادگاه در مورد پرداخت نفقه یا سایر انواع پرداخت های اعطایی گرفته شده است ، از جمله اطلاعات مربوط به اطلاعات شخصی درخواست کند. این درخواستکارفرما حق ندارد آن را نادیده بگیرد. چنین قوانینی توسط قانون 2 اکتبر 2007 شماره 229-FZ ایجاد شده است.

    در عین حال، کارفرما حق دارد واقعیت کار در سازمان یک کارمند بدهکار را بدون رضایت وی برای انتقال داده های شخصی به اشخاص ثالث گزارش دهد، زیرا در این مورد پردازش داده های شخصی برای اجرای عدالت ضروری است. ، اجرای یک عمل قضایی مشمول اجرا مطابق با قانون روسیه در مورد اقدامات اجرایی (بند 3 ، قسمت 1 ، ماده 6 ، بند 6 ، قسمت 2 ، ماده 10 ، قسمت 2 ، ماده 11 قانون 27 ژوئیه ، 2006 شماره 152-FZ).

    بنابراین، کارفرما موظف است به درخواست ضابطان در مورد واقعیت کار کارمند بدهکار پاسخ دهد. رضایت کارکنان را دریافت کنید

    مارگاریتا اورلووا پاسخ می دهد،

    رئیس بخش مدیریت مشارکت های بیمه ای خدمات بیمه فدرال روسیه

    «برای تأیید نوع اصلی فعالیت برای یک بخش جداگانه که به طور مستقل مشارکت می پردازد، همان اسنادی را که برای کل سازمان ارائه می شود ارائه دهید. تنها تفاوت این است که آنها فقط اطلاعات مربوط به تقسیم را منعکس می کنند و آن را به شعبه صندوق بیمه اجتماعی در محل ثبت چنین تقسیم می کنند. نحوه پرداخت سهم تا زمانی که از صندوق بیمه اجتماعی در مورد تعرفه سال جاری دریافت نکرده اید - در توصیه نامه خواهید فهمید.

    الزامات قانونی برای اپراتور داده های شخصی

    اپراتور موظف است از محرمانه بودن اطلاعات شخصی اطمینان حاصل کند. ماده 7 قانون فدرال فدراسیون روسیه 27 ژوئیه 2006 N 152-FZ "در مورد داده های شخصی" (از این پس به عنوان FZ-152 نامیده می شود) بیان می کند که اپراتور موظف به محافظت از داده های شخصی در صورت ناشناس یا عمومی نیست. در دسترس. اپراتور داده های شخصی حق پردازش داده ها را بدون رضایت موضوع داده های شخصی، یعنی شخصی که این داده ها به او تعلق دارد، ندارد. با این حال، در هنر. 6 قسمت 2 قانون فدرال-152 تعدادی از مواردی را ارائه می دهد که رضایت موضوع مورد نیاز نیست.
    به ویژه، در صورتی که داده های شخصی وی بر اساس قانون فدرال که هدف و محتوای چنین پردازشی را تعریف می کند پردازش شود، رضایت فرد مورد نیاز نیست (ماده 6، بند 2، قسمت 2). به عنوان مثال، با توجه به قانون فدرالشماره FZ-3266-1 "در مورد آموزش"، فارغ التحصیلان موسسات آموزشی متوسطه نیازی به کسب رضایت برای پردازش اطلاعات شخصی خود برای پذیرش در آزمون دولتی واحد ندارند. ارگان ها و سازمان های دخیل در برگزاری آزمون یکپارچه دولتی «...انتقال، پردازش و ارائه نتایج دریافت شده در ارتباط با برگزاری آزمون یکپارچه دولتی را انجام می دهند.<…>اطلاعات شخصی دانش آموزان، شرکت کنندگان در آزمون یکپارچه دولتی<…>مطابق با الزامات قانون فدراسیون روسیه در زمینه داده های شخصی بدون کسب رضایت این افراد برای پردازش داده های شخصی آنها" (ماده 15، بند 5.1). شماره آوریل مجله "داده های شخصی" حاوی مطالب زیادی است که به طور خاص به این مشکل اختصاص داده شده است.
    مورد دیگری که پردازش داده های شخصی نیاز به رضایت موضوع ندارد: اجرای قراردادی که یکی از طرفین آن موضوع داده های شخصی است. به عنوان مثال، هرگونه توافق بین یک شرکت و یک فرد برای ارائه خدمات مناسب است. جرم اطلاعات مفیددر مورد این موضوع را می توان در مطبوعات تخصصی یافت. اپراتور همچنین باید اقدامات سازمانی و فنی لازم را برای سرکوب تلاش‌ها برای دسترسی غیرقانونی به داده‌های شخصی فراهم کند.

    مدارک مورد نیاز

    هر اپراتور داده های شخصی ملزم به داشتن یک بسته اسنادی است که حفاظت از داده های شخصی کارکنان و مشتریان را تأیید می کند.

    لیست اسناد مورد نیاز ممکن است بسته به ویژگی های پردازش داده های شخصی، ساختار سازمانی و سایر ویژگی های هر شرکت فردی متفاوت باشد.

    مطابق با این بسته اسناد، شرکت باید اجرا کند وسایل فنیحفاظت از داده های شخصی

    تهیه اسناد لازم برای حفاظت از داده های شخصی

    چندین روش برای تهیه اسناد مطابق با الزامات 152-FZ "در مورد داده های شخصی" وجود دارد:

    وسیله حفاظت

    تقریباً هر سازمانی دارای یک سیستم اطلاعات اطلاعات شخصی (به اختصار ISPDn) است که ممکن است شامل نام خانوادگی، نام، اطلاعات پاسپورت، TIN و غیره باشد. یک اپراتور با این سیستم اطلاعاتی کار می کند. بسته به اینکه چه داده هایی در ISPD یک سازمان خاص موجود است، این ISPD ممکن است به یکی از چهار کلاس تعلق داشته باشد که هر کدام ابزارهای مختلفی را برای محافظت از داده های شخصی ارائه می دهند.

    همچنین ببینید

    پیوندها

    • www.rsoc.ru ثبت نام اپراتورهایی که اطلاعات شخصی را پردازش می کنند
    • www.pd.rsoc.ru پورتال داده های شخصی نهاد مجاز برای حمایت از حقوق افراد موضوع داده های شخصی
    • www.privacy-journal.ru مجله اطلاعاتی و تحلیلی "داده های شخصی"

    بنیاد ویکی مدیا 2010.

    ببینید «اپراتور داده‌های شخصی» در فرهنگ‌های دیگر چیست:

      اپراتور داده های شخصی- 2) سازمان دولتی اپراتور، بدنه شهرداریشخص حقوقی یا حقیقی، به طور مستقل یا مشترک با سایر اشخاصی که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف پردازش را تعیین می کنند... ... اصطلاحات رسمی

      هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین وسایلی با داده های شخصی انجام شود، از جمله جمع آوری، ضبط، سیستم سازی، انباشت، ذخیره سازی، ... ... ویکی پدیا

      موضوع داده های شخصی فردی است که به طور مستقیم یا غیرمستقیم با استفاده از داده های شخصی شناسایی یا تعیین می شود. مطالب 1 تعامل با موضوع داده های شخصی ... ویکی پدیا

      مجموعه ای از اقدامات فنی، سازمانی و فنی سازمانی با هدف حفاظت از اطلاعات مربوط به یک فرد خاص یا تعیین شده بر اساس چنین اطلاعاتی (موضوع شخصی ... ... ویکی پدیا

      این مقاله یا بخش وضعیت را فقط در رابطه با یک منطقه توصیف می کند. شما می توانید با افزودن اطلاعات برای سایر کشورها و مناطق به ویکی پدیا کمک کنید. مطالب 1 تعریف ... ویکی پدیا

      شماره: 152 قانون فدرال تصویب: توسط دومای ایالتی در 26 ژوئیه 2006 لازم الاجرا شدن: 26 ژانویه 2007 قانون فدرال فدراسیون روسیه از 27 ژوئیه 2006 شماره 152 قانون فدرال "در مورد داده های شخصی" یک قانون فدرال است که تنظیم می کند. فعالیت های پردازشی (با استفاده از ... ویکی پدیا

      مدل اساسی تهدیدات برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی (عصاره)- واژه شناسی مدل پایهتهدیدات برای امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات شخصی (عصاره): سیستم خودکارسیستمی متشکل از پرسنل و مجموعه ای از تجهیزات اتوماسیون... ...

      حقوق موضوعات داده های شخصی هنگام تصمیم گیری بر اساس پردازش منحصراً خودکار داده های شخصی آنها- طبق قانون فدرال "در مورد داده های شخصی" مورخ 27 ژوئیه 2006 شماره 152 FZ، شامل ممنوعیت اتخاذ تصمیماتی است که صرفاً بر اساس پردازش خودکار داده های شخصی است که منجر به عواقب قانونی در رابطه با ... .. .

      اپراتور- اپراتور 4.22: هر شی که عملیات سیستم را انجام می دهد. تبصره 1 نقش اپراتور و نقش کاربر ممکن است به طور همزمان یا متوالی به یک شخص یا سازمان اختصاص یابد. تبصره 2 در چارچوب این ... ... فرهنگ لغت - کتاب مرجع شرایط اسناد هنجاری و فنی

      اپراتور- طبق قانون فدرال "در مورد داده های شخصی" مورخ 27 ژوئیه 2006 شماره 152 FZ، - یک ارگان ایالتی، ارگان شهرداری، شخص حقوقی یا فردی سازماندهی و/یا انجام پردازش داده های شخصی و همچنین تعیین اهداف ... مدیریت سوابق و بایگانی در اصطلاحات و تعاریف

    بیشتر بخوانید: