مبادئ وشروط وأغراض ومعالجة البيانات الشخصية. تحدد الشركة نفسها أغراض معالجة البيانات الشخصية للعملاء والموظفين. أغراض وشروط معالجة البيانات الشخصية

1. يجب أن تتم معالجة البيانات الشخصية وفقًا للمبادئ والقواعد المنصوص عليها في هذا القانون الاتحادي. يُسمح بمعالجة البيانات الشخصية في الحالات التالية:

1) تتم معالجة البيانات الشخصية بموافقة موضوع البيانات الشخصية على معالجة بياناته الشخصية ؛

2) معالجة البيانات الشخصية ضرورية لتحقيق الأهداف المنصوص عليها في معاهدة دولية للاتحاد الروسي أو القانون ، لممارسة وتنفيذ الوظائف والصلاحيات والواجبات الموكلة إلى المشغل بموجب تشريعات الاتحاد الروسي ؛

3) تتم معالجة البيانات الشخصية فيما يتعلق بمشاركة شخص في الإجراءات الدستورية والمدنية والإدارية والجنائية والإجراءات في محاكم التحكيم ؛

3.1) تعتبر معالجة البيانات الشخصية ضرورية لتنفيذ إجراء قضائي أو إجراء من قبل هيئة أخرى أو مسؤول يخضع للتنفيذ وفقًا لتشريعات الاتحاد الروسي بشأن إجراءات الإنفاذ (يشار إليها فيما يلي باسم تنفيذ إجراء قضائي ) ؛

4) معالجة البيانات الشخصية ضرورية لممارسة سلطات الهيئات التنفيذية الفيدرالية ، وهيئات الصناديق الحكومية خارج الميزانية ، والهيئات التنفيذية لسلطة الدولة للكيانات المكونة للاتحاد الروسي ، والحكومات المحلية ووظائف المنظمات المعنية في توفير خدمات الدولة والبلدية ، على التوالي ، المنصوص عليها في القانون الاتحادي الصادر في 27 يوليو 2010 من العام N 210-FZ "بشأن تنظيم توفير خدمات الدولة والبلدية" ، بما في ذلك تسجيل البيانات الشخصية موضوع على بوابة واحدة للخدمات الحكومية والبلدية و (أو) البوابات الإقليمية لخدمات الدولة والبلديات ؛

(انظر النص في الإصدار السابق)

5) معالجة البيانات الشخصية ضرورية لأداء اتفاقية يكون موضوع البيانات الشخصية طرفًا فيها أو مستفيدًا أو ضامنًا ، وكذلك لإبرام اتفاقية بشأن مبادرة موضوع البيانات الشخصية أو اتفاقية بموجب الذي سيكون موضوع البيانات الشخصية هو المستفيد أو الضامن ؛

(انظر النص في الإصدار السابق)

6) معالجة البيانات الشخصية ضرورية لحماية الحياة أو الصحة أو المصالح الحيوية الأخرى لموضوع البيانات الشخصية ، إذا كان الحصول على موافقة موضوع البيانات الشخصية أمرًا مستحيلًا ؛

7) معالجة البيانات الشخصية ضرورية لممارسة الحقوق والمصالح المشروعة للمشغل أو الأطراف الثالثة ، بما في ذلك الحالات المنصوص عليها في القانون الاتحادي "بشأن حماية الحقوق والمصالح المشروعة للأفراد في تنفيذ أنشطة لإعادة الديون المتأخرة والتعديلات على القانون الاتحادي "بشأن أنشطة التمويل الأصغر ومؤسسات التمويل الأصغر" ، أو لتحقيق أهداف ذات أهمية اجتماعية ، شريطة عدم انتهاك حقوق وحريات موضوع البيانات الشخصية ؛

(انظر النص في الإصدار السابق)

8) معالجة البيانات الشخصية ضرورية للأنشطة المهنية للصحفي و (أو) الأنشطة المشروعة لوسائل الإعلام أو الأنشطة العلمية أو الأدبية أو الأنشطة الإبداعية الأخرى ، بشرط أن تكون الحقوق والمصالح المشروعة لموضوع البيانات الشخصية هي لا تنتهك

9) تتم معالجة البيانات الشخصية لأغراض إحصائية أو لأغراض بحثية أخرى ، باستثناء الأغراض المحددة في المادة 15 من هذا القانون الاتحادي ، مع مراعاة عدم التخصيص الإلزامي للبيانات الشخصية ؛

10) تتم معالجة البيانات الشخصية ، والوصول إلى عدد غير محدود من الأشخاص الذين يتم توفيرهم من خلال موضوع البيانات الشخصية أو بناءً على طلبه (يشار إليها فيما بعد بالبيانات الشخصية التي يتم نشرها بواسطة موضوع البيانات الشخصية) ؛

11) تتم معالجة البيانات الشخصية الخاضعة للنشر أو الكشف الإلزامي وفقًا للقانون الفيدرالي.

1.1 تتم معالجة البيانات الشخصية لأشياء حماية الدولة وأفراد أسرهم مع مراعاة الميزات المنصوص عليها في القانون الاتحادي الصادر في 27 مايو 1996 N 57-ФЗ "بشأن حماية الدولة".

2. يتم تحديد ميزات معالجة الفئات الخاصة من البيانات الشخصية ، وكذلك البيانات الشخصية البيومترية ، وفقًا لهذا القانون الاتحادي.

3. يحق للمشغل أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر بموافقة موضوع البيانات الشخصية ، ما لم ينص القانون الفيدرالي على خلاف ذلك ، على أساس اتفاقية مبرمة مع هذا الشخص ، بما في ذلك الولاية أو البلدية العقد ، أو من خلال اعتماد قانون ذي صلة من قبل هيئة حكومية أو بلدية (من الآن فصاعدًا - تعليمات المشغل). يلتزم الشخص الذي يعالج البيانات الشخصية نيابة عن المشغل بالامتثال لمبادئ وقواعد معالجة البيانات الشخصية المنصوص عليها في هذا القانون الاتحادي. يجب أن تحدد تعليمات المشغل قائمة بالإجراءات (العمليات) مع البيانات الشخصية التي سيتم تنفيذها من قبل الشخص الذي يعالج البيانات الشخصية وأغراض المعالجة ، والتزام هذا الشخص بالحفاظ على سرية البيانات الشخصية وضمان الأمن الشخصي. يجب تحديد البيانات أثناء معالجتها ، وكذلك متطلبات حماية البيانات الشخصية المعالجة وفقًا للمادة 19 من هذا القانون الاتحادي.

4. لا يشترط على الشخص الذي يعالج البيانات الشخصية نيابة عن المشغل الحصول على موافقة موضوع البيانات الشخصية على معالجة بياناته الشخصية.

5. إذا كلف المشغل بمعالجة البيانات الشخصية إلى شخص آخر ، يكون المشغل مسؤولاً عن موضوع البيانات الشخصية عن تصرفات الشخص المذكور. الشخص الذي يعالج البيانات الشخصية نيابة عن المشغل مسؤول أمام المشغل.

في 1 يوليو 2017 ، دخل القانون الاتحادي رقم 13-FZ المؤرخ 7 فبراير 2017 حيز التنفيذ ، والذي يعدل الفن. 13.11 من قانون المخالفات الإدارية وينص على توسيع قائمة أسباب رفع المسؤولية الإدارية عن x غير القانوني وزيادة كبيرة في الغرامات.

إحدى المستندات الإلزامية التي يجب على مشغل البيانات الشخصية إعدادها من أجل الامتثال لمتطلبات القانون الفيدرالي الصادر في 27 يوليو 2006 رقم 152-FZ تسمى سياسة معالجة البيانات الشخصية ، والتي تشرح كيفية تعامل الشركة مع البيانات من الموظفين والعملاء والأفراد الآخرين. هذا الملف متاح مجانًا على جميع المواقع تقريبًا التي لديها أي شكل من أشكال جمع البيانات الشخصية.

كيفية وضع سياسة معالجة البيانات الشخصية بشكل صحيح ، ما الأقسام التي يجب تضمينها؟ تقدم Roskomnadzor توضيحات حول هذه القضايا.

هيكل سياسة معالجة البيانات الشخصية

• الأحكام العامة
• أغراض جمع البيانات الشخصية
• الأسس القانونية لمعالجة البيانات الشخصية
• نطاق وفئات البيانات الشخصية المعالجة ، وفئات مواضيع البيانات الشخصية
• إجراءات وشروط معالجة البيانات الشخصية
• تحديث البيانات الشخصية وتصحيحها وحذفها وإتلافها ، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

1. الأهداف العامة

في هذا القسم ، أنت تجيب فعليًا على السؤال - ما هي سياسة معالجة البيانات الشخصية؟ كما يشرح المفاهيم الأساسية المستخدمة في المستند ، بالإضافة إلى حقوق والتزامات المشغل وموضوع البيانات الشخصية.

2. أغراض جمع البيانات الشخصية

فن. تتطلب المادة 5 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ تحديد أغراض محددة ومشروعة لجمع البيانات. لذلك ، قد لا تتم معالجة البيانات الشخصية التي لا تتوافق مع هذه الأغراض.

يشير Roskomnadzor إلى أن أغراض معالجة البيانات الشخصية قد تحدث ، بما في ذلك:

• من تحليل الإجراءات القانونية التي تنظم أنشطة المشغل ؛
• من أغراض الأنشطة التي نفذها المشغل بالفعل ؛
• من الأنشطة المنصوص عليها في الوثائق التأسيسية للمشغل ؛
• من العمليات التجارية المحددة للمشغل في أنظمة معلومات محددة للبيانات الشخصية (وفقًا للأقسام الهيكلية للمشغل وإجراءاتها فيما يتعلق بفئات معينة من موضوعات البيانات الشخصية).

3. الأسس القانونية لمعالجة البيانات الشخصية

القانون الاتحادي رقم 152-FZ الصادر في 27 يوليو 2006 ليس أساسًا قانونيًا لمعالجة البيانات الشخصية. يتم تنفيذ هذا الدور من خلال الأفعال القانونية التي يعالج المشغل البيانات وفقًا لها.

وبالتالي ، في سياسة معالجة البيانات ، كأسباب قانونية ، يمكنك تحديد: القوانين الفيدرالية والأفعال القانونية التنظيمية المعتمدة على أساسها والتي تنظم العلاقات المتعلقة بأنشطة المشغل ؛ المستندات القانونية للمشغل ؛ العقود المبرمة بين المشغل وموضوع البيانات الشخصية ؛ الموافقة على معالجة البيانات الشخصية (في الحالات التي لا تنص عليها تشريعات الاتحاد الروسي صراحة ، ولكن تتوافق مع سلطة المشغل).

4. نطاق وفئات البيانات الشخصية المعالجة ، وفئات مواضيع البيانات الشخصية

من المهم ألا تختلف كمية البيانات الشخصية التي تتم معالجتها عن الأغراض المعلنة للمعالجة.

قد تشمل فئات موضوعات البيانات الشخصية: الموظفون - الحاليون والسابقون ، والمرشحون للوظائف الشاغرة ، وأقارب الموظفين ، والعملاء والأطراف المقابلة (الأفراد) ، وممثلي أو موظفي العملاء والأطراف المقابلة.

يلفت Roskomnadzor الانتباه إلى حقيقة أنه بالنسبة لكل فئة من الموضوعات وفيما يتعلق بأغراض محددة ، يجب الإشارة إلى جميع البيانات الشخصية التي تمت معالجتها. بشكل منفصل ، يتم وصف جميع حالات معالجة الفئات الخاصة من البيانات الشخصية والبيانات الشخصية البيومترية (إن وجدت).

5. إجراءات وشروط معالجة البيانات الشخصية

ما هو مدرج في هذا القسم:

• قائمة الإجراءات التي تم تنفيذها باستخدام البيانات الشخصية ؛
• طرق معالجة البيانات الشخصية ؛
• شروط معالجة البيانات الشخصية.

إذا كان المشغل يتفاعل مع أطراف ثالثة ، كجزء من تحقيق أهداف معالجة البيانات الشخصية ، فإنه يحتاج إلى:

• شرح شروط نقل البيانات الشخصية إلى أطراف ثالثة (بما في ذلك نقل البيانات عبر الحدود) ؛
• الإشارة إلى اسم وموقع الأطراف الثالثة ؛
• الإشارة إلى أغراض نقل البيانات ونطاقها ؛
• اذكر إجراءات المعالجة وطرقها وشروط المعالجة الأخرى ، بما في ذلك متطلبات حماية البيانات الشخصية المعالجة.

المشغل له الحق في نقل البيانات الشخصية إلى هيئات التحقيق والتحقيق ، فضلا عن الهيئات المخولة الأخرى على الأسس المنصوص عليها في القانون.

يجب أن تتضمن سياسة معالجة البيانات الشخصية معلومات حول الامتثال لمتطلبات سرية البيانات الشخصية (تم تسميتها في المادة 7 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ) ومعلومات حول اتخاذ الإجراءات (الجزء 2 من المادة 18.1 ، الجزء 1 من المادة 19).

بالإضافة إلى ذلك ، يجب على المشغل تحديد شرط إنهاء معالجة البيانات الشخصية. قد يكون هذا هو تحقيق أغراض المعالجة ، وانتهاء صلاحية الموافقة على المعالجة ، وسحب موافقة موضوع البيانات الشخصية على المعالجة ، وتحديد معالجة البيانات غير القانونية.

يجب إيلاء اهتمام خاص لقضية مثل تخزين البيانات الشخصية. أولاً ، يجب استدعاء المواعيد النهائية. ثانيًا ، يتم استخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي. ثالثًا ، يأخذ في الاعتبار حقيقة أن التخزين يجب أن يتم في شكل يسمح بتحديد موضوع البيانات الشخصية التي لم تعد تتطلبها أغراض المعالجة. رابعًا ، من الضروري ذكر شروط التخزين الأخرى ، بما في ذلك عند معالجة البيانات دون استخدام أدوات التشغيل الآلي.

6. تحديث وتصحيح وحذف وإتلاف البيانات الشخصية ، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

حسب الفن. 21 No. 152-FZ ، يجب تحديث البيانات الشخصية بواسطة المشغل إذا تم تأكيد حقيقة عدم دقة البيانات الشخصية. الأمر نفسه ينطبق على تأكيد حقيقة المعالجة غير القانونية.

تخضع البيانات الشخصية للتدمير عندما تتحقق أغراض معالجتها وفي حالة سحب موضوع البيانات الشخصية الموافقة على معالجتها ، ما لم ينص العقد على خلاف ذلك ، الطرف الذي يكون المستفيد أو الضامن له موضوع البيانات الشخصية ؛ خلافًا لذلك ، لا يتم توفيره بموجب اتفاقية أخرى بين المشغل وموضوع البيانات الشخصية. لا يحق للمشغل إجراء المعالجة دون موافقة موضوع البيانات الشخصية على الأسس المنصوص عليها في القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 أو القوانين الفيدرالية الأخرى.

بناء على الفن. 20 ، يلتزم المشغل بإبلاغ موضوع البيانات الشخصية حول معالجة البيانات الشخصية التي يقوم بها عند الطلب.

توصي Roskomnadzor بأن تتضمن سياسة معالجة البيانات الشخصية لوائح للرد على الطلبات والنداءات من أصحاب البيانات الشخصية وممثليهم والهيئات المخولة فيما يتعلق بعدم دقة البيانات والمعالجة غير القانونية وسحب الموافقة والوصول إلى بياناتهم. لن يكون من غير الضروري إضافة الأشكال المناسبة من الطلبات والطعون إلى السياسة.

وضع سياسة معالجة البيانات الشخصية في المكتب وعلى الموقع الإلكتروني

يحق لأي شخص تتم معالجة بياناته من قبل الشركة التعرف على سياسة معالجة البيانات الشخصية. لذلك يجب وضعها في مكان عام. على سبيل المثال ، استخدم حامل المعلومات لهذا الغرض.

إذا قامت الشركة بجمع البيانات الشخصية عبر الإنترنت ، فهي ملزمة بوضع السياسة على الموقع الإلكتروني. يمكن لزائر الموقع مشاهدته من خلال النقر على الرابط.

للبقاء على اطلاع دائم بأهم التغييرات التجارية ، انضم إلى قناتنا على

تم تطوير هذا الطلب الخاص بمعالجة البيانات الشخصية (المشار إليه فيما يلي باسم الأمر) وفقًا للقانون الاتحادي الصادر في 27.07.2006. رقم 152-FZ "حول البيانات الشخصية". يحدد هذا الأمر إجراءات معالجة البيانات الشخصية والتدابير لضمان أمان البيانات الشخصية في CardsProService LLC من أجل حماية حقوق وحريات الشخص والمواطن عند معالجة بياناته الشخصية ، بما في ذلك حماية حقوق الخصوصية والشخصية والعائلية أسرار.

1. المصطلحات والتعاريف

1) معلومات شخصية- أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص طبيعي محدد أو يمكن التعرف عليه (موضوع البيانات الشخصية) ؛

2) المشغل (الزبون) - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد ، بشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية ، وكذلك تحديد أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية البيانات المراد معالجتها ، الإجراءات (العمليات) التي تتم باستخدام البيانات الشخصية ؛

3) معالجة البيانات الشخصية- أي إجراء (عملية) أو مجموعة إجراءات (عمليات) يتم إجراؤها باستخدام أدوات التشغيل الآلي أو بدون استخدام هذه الأدوات مع البيانات الشخصية ، بما في ذلك الجمع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخراج والاستخدام والنقل (التوزيع ، التوفير ، الوصول) ، تبدد الشخصية ، الحجب ، الحذف ، إتلاف البيانات الشخصية ؛

4) المعالجة الآلية للبيانات الشخصية- معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر ؛

5) نشر البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لدائرة غير محددة من الأشخاص ؛

6) توفير البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لشخص معين أو دائرة معينة من الأشخاص ؛

7) منع البيانات الشخصية- التعليق المؤقت لمعالجة البيانات الشخصية (ما لم تكن المعالجة ضرورية لتوضيح البيانات الشخصية) ؛

8) إتلاف البيانات الشخصية- الإجراءات ، ونتيجة لذلك يصبح من المستحيل استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية و (أو) نتيجة تدمير ناقلات البيانات الشخصية المادية ؛

9) الأشخاص المرخص لهم من قبل العميل- الأشخاص الذين يتصرفون وفقًا للاتفاق
السرية المبرمة مع العميل.

10) عنإخفاء هوية البيانات الشخصية- الإجراءات ، ونتيجة لذلك يصبح من المستحيل تحديد ملكية البيانات الشخصية من قبل موضوع معين من البيانات الشخصية دون استخدام معلومات إضافية ؛

11) نظام معلومات البيانات الشخصية- مجموعة من البيانات الشخصية الموجودة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها ؛

12) نقل البيانات الشخصية عبر الحدود- نقل البيانات الشخصية إلى
أراضي دولة أجنبية لسلطة دولة أجنبية أو شخص طبيعي أجنبي أو كيان قانوني أجنبي ؛

13) المنفذ- CardsProService LLC (123610 ، موسكو ، جسر Krasnopresnenskaya ، المبنى 12 ، مبنى المكاتب 1 ، معرف الغرفة ، الغرفة 42 ؛ OGRN 1157746550070).

2. الأمر بمعالجة البيانات الشخصية

2.1. العميل ، باعتباره مشغل البيانات الشخصية ، وفقًا للفقرة 3 من الفن. 6 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، يوجه ، ويتعهد المقاول بمعالجة البيانات الشخصية للموضوعات ، لصالح العميل ووفقًا
اتفاقية المستخدم.

3. ترتيب تفاعل الأطراف

3.1. أساس المقاول لـ #nbsp ؛ معالجة البيانات الشخصية للمواضيع ، التي تتم لصالح العميل ، هو اتفاقية المستخدم.

3.2 الإجراء الخاص بتنظيم جمع موافقات الأشخاص المعنيين بالبيانات الشخصية لمعالجة ونقل بياناتهم الشخصية ، بالإضافة إلى أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية المراد معالجتها ، والإجراءات (العمليات) التي يتم إجراؤها باستخدام البيانات الشخصية:

3.2.1. الغرض من معالجة البيانات الشخصية.

يُعهد بمعالجة البيانات الشخصية من أجل تنفيذ برامج الولاء.

3.2.2. قائمة البيانات الشخصية ، التي يعهد بمعالجتها إلى المقاول

• الاسم الكامل؛
• مكان وسنة وتاريخ الميلاد ؛
• رقم الاتصال؛
• عنوان التسجيل؛
• عنوان مكان الإقامة الفعلي (الإقامة) ؛
• بيانات جواز السفر (سلسلة ، رقم جواز السفر ، من قبل من ومتى صدر) ؛
• رقم الهاتف (المنزل ، العمل ، الجوال).

• جمع البيانات الشخصية.
• تنظيم البيانات الشخصية.
• تراكم البيانات الشخصية.
• استخدام البيانات الشخصية لتنفيذ برامج الولاء والتواصل مع أصحاب البيانات الشخصية.
• تخزين البيانات الشخصية.
• توضيح (تحديث ، تغيير) البيانات الشخصية:
  
  
• الاستخراج (التفريغ) - بأمر كتابي إضافي من العميل.
• تبدد شخصية البيانات الشخصية:
  -
  - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
  - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
• حظر البيانات الشخصية:
  - بأمر كتابي إضافي من العميل ؛
  - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
  - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
• حذف البيانات الشخصية:
  - بأمر كتابي إضافي من العميل ؛
  - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
  - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
• إتلاف البيانات الشخصية - بأمر كتابي إضافي من العميل.

يجب أن تقتصر معالجة البيانات الشخصية على تحقيق أغراض مشروعة ومحددة مسبقًا. لا يجوز معالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.
لا يجوز الجمع بين قواعد البيانات التي تحتوي على بيانات شخصية ، والتي تتم معالجتها لأغراض لا تتوافق مع بعضها البعض.
فقط البيانات الشخصية التي تلبي أغراض معالجتها تخضع للمعالجة.
يجب أن يتوافق محتوى ونطاق البيانات الشخصية المعالجة مع الأغراض المعلنة للمعالجة. يجب ألا تكون البيانات الشخصية المعالجة مفرطة فيما يتعلق بالأغراض المعلنة لمعالجتها.
عند معالجة البيانات الشخصية ، يجب ضمان دقة البيانات الشخصية وكفايتها وكذلك ملاءمتها فيما يتعلق بأغراض معالجة البيانات الشخصية.
يجب أن يتم تخزين البيانات الشخصية في شكل يسمح بتحديد موضوع البيانات الشخصية ، ليس أكثر مما تتطلبه أغراض معالجة البيانات الشخصية ، ما لم تنص شروط العقد على خلاف ذلك. تخضع البيانات الشخصية المعالجة للتدمير أو نزع الشخصية عند تحقيق أغراض المعالجة أو في حالة فقدان الحاجة لتحقيق هذه الأغراض ، ما لم تنص شروط العقد على خلاف ذلك.

3.2.5. تنظيم حماية البيانات الشخصية

كائنات الحماية

• المعلومات التي تحتوي على البيانات الشخصية للموضوعات ؛
• وسائط الآلة التي تحتوي على البيانات الشخصية للمواضيع ؛
• أنظمة معلومات البيانات الشخصية ؛
• البيانات الشخصية للموضوعات الواردة في قواعد البيانات الإلكترونية لأنظمة معلومات البيانات الشخصية.

لضمان أمن البيانات الشخصية ، يجب على المقاول اتخاذ الإجراءات التالية:

• التدابير القانونية والتنظيمية والتقنية اللازمة أو ضمان اعتمادها لحماية البيانات الشخصية من الوصول غير المصرح به أو العرضي إليها ، والتدمير والتعديل والحظر والنسخ وتوفير وتوزيع البيانات الشخصية ، وكذلك من الإجراءات غير القانونية الأخرى فيما يتعلق بالبيانات الشخصية .
• ضمان وصول موظفي المقاول إلى البيانات الشخصية التي تتم معالجتها نيابة عن العميل ، بعد التوقيع على الالتزام بعدم الكشف عن البيانات الشخصية ، ودراسة متطلبات العميل لمعالجة وحماية البيانات الشخصية ، واللوائح المحلية التي تحكم المنظمة وضمان الحماية البيانات الشخصية وتمرير التعليمات حول إجراءات الاتصال بالبيانات الشخصية.
• تحديد التهديدات لأمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية.
• تطبيق التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية اللازمة لتلبية متطلبات حماية البيانات الشخصية ، والتي يضمن تنفيذها مستويات حماية البيانات الشخصية التي وضعتها حكومة الاتحاد الروسي.
• تقييم فعالية الإجراءات المتخذة لضمان أمن البيانات الشخصية قبل بدء تشغيل نظام معلومات البيانات الشخصية.
• محاسبة شركات نقل البيانات الشخصية للآلة.
• الكشف عن حقائق الوصول غير المصرح به إلى البيانات الشخصية واتخاذ الإجراءات اللازمة.
• استعادة البيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها.
• وضع قواعد للوصول إلى البيانات الشخصية التي تتم معالجتها في نظام معلومات البيانات الشخصية ، وكذلك ضمان تسجيل وحساب جميع الإجراءات التي يتم تنفيذها مع البيانات الشخصية في نظام معلومات البيانات الشخصية.
• السيطرة على الإجراءات المتخذة لضمان أمن البيانات الشخصية ومستوى أمن نظم المعلومات الشخصية.

يمكن للمقاول القيام بتدمير البيانات الشخصية للأشخاص ، فقط:

• بأمر كتابي إضافي من العميل ؛
• بناءً على الطلب القانوني لموضوع البيانات الشخصية ، مع إخطار كتابي إلزامي من العميل ؛
• بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.

3.2.8. إجراء إنهاء معالجة البيانات الشخصية

يتم إنهاء معالجة البيانات الشخصية:

• في حالة إنهاء العلاقة التعاقدية التي هي أساس معالجة البيانات الشخصية ؛
• بأمر كتابي إضافي من العميل ؛
• بأمر كتابي من السلطات التنظيمية للدولة.

4. حقوق والتزامات الأطراف

4.1 يتعهد العميل:

4.1.1. في حالة سحب موضوع البيانات الشخصية الموافقة على معالجة البيانات الشخصية وعدم وجود أسباب محددة في الفقرات 2-11 من الجزء 1 من المادة 6 والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي بتاريخ 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية التي يمكن معالجتها
البيانات الشخصية دون موافقة الموضوع ، أرسل إلى المقاول أمرًا كتابيًا للقيام بعمل لحذف البيانات الشخصية للموضوع أو نزع الطابع الشخصي عنها.

4.1.2. عند استلام طلب من موضوع البيانات الشخصية لتقديم المعلومات المحددة في الجزء 7 من المادة 14 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، أو متطلبات الموضوع لتقليل بياناته الشخصية ، أو حظرها أو إتلافها في حالة ما إذا كانت البيانات الشخصية غير مكتملة ، أو قديمة ، أو غير دقيقة ، أو تم الحصول عليها بشكل غير قانوني أو غير ضرورية للغرض المعلن للمعالجة ، أرسل إلى المقاول أمرًا مكتوبًا إلى
تقديم المعلومات ، أو تنفيذ إجراءات محددة مع البيانات الشخصية للموضوع.

4.2 يتعهد المقاول بما يلي:

4.2.1. إجراء معالجة البيانات الشخصية على أساس قانوني ، بما يتفق بدقة مع شروط هذا الأمر.

4.2.2. بناءً على أول طلب كتابي من العميل ، قم بنقل (إعادة) قواعد البيانات الشخصية التي تمت معالجتها نيابة عنه بالطريقة المحددة في الطلب.

4.2.4. بناءً على طلب الهيئة المخولة لحماية حقوق الأشخاص المعنيين بالبيانات الشخصية ، قدِّم دليلًا على استلام موافقات الأشخاص المعنيين بالبيانات الشخصية التي تم جمعها بموجب هذا الأمر لمعالجة بياناتهم الشخصية أو دليل على وجود الأسباب المحددة في الفقرات 2-11 من الجزء 1 من المادة 6 ، والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، مما يسمح بمعالجة البيانات الشخصية بدون موافقة الموضوع.

منذ نهاية الصيف ، دخل قانون البيانات الشخصية حيز التنفيذ في إصدار جديد. تغيرت قواعد الحصول على المعلومات وحمايتها. بالنسبة لصاحب العمل ، هذا يعني شيئًا واحدًا فقط - الأوراق الإضافية. سنتحدث في المقالة عن كيفية وضع لائحة بشأن التعامل مع البيانات الشخصية للموظفين وتعيين شخص مسؤول عن تنظيم العمل بالبيانات الشخصية.

ما هي البيانات الشخصية

يحدد القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 "بشأن البيانات الشخصية" (المشار إليه فيما يلي - القانون رقم 152-FZ) معلومات شخصيةمثل أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد (لموضوع البيانات الشخصية). جاء ذلك في الفقرة 1 من الفن. 3 من القانون N 152-FZ.

وفقًا للجزء 1 من الفن. 85 من قانون العمل ، تُفهم البيانات الشخصية للموظف على أنها معلومات تتعلق بموظف معين ، وهو أمر ضروري لصاحب العمل فيما يتعلق بعلاقات العمل. نحن نتحدث عن بيانات مثل:

• الاسم الكامل؛
• تاريخ ومكان الميلاد؛
• عنوان؛
• الوضع العائلي؛
• المنصب (المهنة) ؛
• الراتب ، الدخل الآخر ؛
• ملكية العقارات والودائع النقدية وما إلى ذلك ؛
• التعليم والمؤهلات والتدريب المهني ومعلومات عن التدريب المتقدم ؛
• العادات والهوايات ، بما في ذلك الضارة (الكحول ، المخدرات ، إلخ) ؛
• حقائق السيرة ونشاط العمل السابق (مكان العمل ، مبلغ الدخل ، السجل الجنائي ، الخدمة العسكرية ، العمل في المناصب الانتخابية ، في الخدمة العامة ، إلخ) ؛
• السمات الفسيولوجية والصحة.
• الصفات التجارية والصفات الشخصية الأخرى ؛
• معلومات أخرى.

ترد قائمة وثائق الموظفين التي تحتوي على البيانات الشخصية للموظفين في الجدول. 1 في ص. 76.

الجدول 1. المستندات التي تحتوي على البيانات الشخصية للموظفين

مشغل معالجة البيانات الشخصية

وفقًا للقانون N 152-FZ ، يُسمى الشخص (القانوني أو الطبيعي) الذي ينظم و (أو) يعالج البيانات الشخصية ، ويحدد تكوينها ، وأغراض المعالجة ، والإجراءات التي يتم تنفيذها باستخدام البيانات الشخصية المشغل أو العامل(البند 2 ، المادة 3 من القانون N 152-FZ). في حالتنا ، هذا هو صاحب العمل.

معالجة البيانات الشخصية- أي عمل يتم القيام به معهم. عمليات معالجة البيانات الشخصية:

• مجموعة؛
• سِجِلّ؛
• التنظيم.
• تراكم؛
• تخزين؛
• توضيح (تحديث ، تغيير) ؛
• اِستِخلاص؛
• الاستخدام ؛
• نقل (توزيع ، توفير ، وصول) ؛
• تبدد الشخصية.
• حجب.
• إزالة؛
• إتلاف البيانات الشخصية.

لوائح العمل مع البيانات الشخصية

قد يتم تحديد إجراء معالجة البيانات الشخصية من قبل المشغل في اللائحة الخاصة بالعمل مع البيانات الشخصية للموظفين (المشار إليها فيما يلي باسم اللائحة). لا يوجد نموذج موحد للوثيقة. ضع في اعتبارك كيفية إعداد هذا المستند ، مع مراعاة متطلبات القانون N 152-FZ. تتكون اللائحة من عدة أقسام. يتم عرضها في الجدول. 2. كما يشير بإيجاز إلى المعلومات التي يجب أن تحتويها الأقسام. يتم تقديم المعلومات التفصيلية في جزء من اللوائح المتعلقة بالبيانات الشخصية للموظفين ، والتي يتم تقديمها في p. 80.

الجدول 2. هيكل اللوائح على البيانات الشخصية للموظفين

جزء من اللوائح الخاصة بالبيانات الشخصية للموظفين

دخول اللوائح حيز التنفيذ

تمت الموافقة على اللائحة الخاصة بالبيانات الشخصية من قبل رئيس الشركة ويتم وضعها موضع التنفيذ بأمر خاص بالمؤسسة (يتم تقديم عينة في الصفحة 90). يجب أن يتم إدخال الموافقة على اللوائح في سجل اللوائح المحلية.

إذا كان هناك اتحاد

إذا كان للشركة نقابة عمالية ، فيجب الاتفاق معها على اللوائح. للقيام بذلك ، يتم إرسال مشروع اللائحة إلى الهيئة المنتخبة للنقابة (المادة 372 من قانون العمل في الاتحاد الروسي). يجب عليه إبداء رأيه (كتابيًا) في موعد لا يتجاوز خمسة أيام عمل من تاريخ استلام المسودة. إذا لم توافق النقابة العمالية على المشروع أو لديها مقترحات لتحسينه ، فإن لدى الإدارة خياران. الأول هو الموافقة. والثاني هو إجراء مشاورات إضافية مع النقابة في غضون ثلاثة أيام بعد تلقي رأي مسبب من أجل الوصول إلى حل مقبول للطرفين. إذا لم يساعد ذلك ، يجب وضع بروتوكول للخلافات. بعد ذلك ، يحق للإدارة اعتماد اللوائح دون مراعاة متطلبات النقابة. ومع ذلك ، سيكون قادرًا على استئناف اللائحة أو بدء إجراءات نزاع العمل الجماعي بالطريقة المنصوص عليها في الفصل. 61 من قانون العمل.

تعريف الموظفين باللائحة

يجب أن يكون الموظفون على دراية باللائحة ضد التوقيع (البند 8 ، المادة 86 من قانون العمل في الاتحاد الروسي). يمكن إصلاح هذه الحقيقة:

• في نص عقد العمل لكل موظف (سرد اللوائح المحلية التي يعرفها الموظف قبل توقيع العقد) ؛
• - ورقة تعريف باللوائح (عينة في ص 91) ؛
• - مجلة لتعريف الموظفين باللوائح المحلية (عينة ص 91).

نموذج من ورقة التعريف باللوائح المحلية

جزء من سجل الإلمام بـأنظمةحول البيانات الشخصية

ملحوظة. فترة تخزين البيانات الشخصية

يجب تخزين اللوائح المحلية (اللوائح والتعليمات) الخاصة بالبيانات الشخصية بشكل دائم. أما بالنسبة لإقرارات الموظفين بشأن الموافقة على معالجة البيانات (سيتم مناقشتها في القضايا التالية) ، يتم تخزين المستندات الأخرى للموظف لمدة 75 عامًا. جاء ذلك في القائمة التي تمت الموافقة عليها بأمر من وزارة الثقافة الروسية بتاريخ 25 أغسطس 2010 رقم 558.

المسؤولية الإدارية

ترد في الجدول تدابير المسؤولية الإدارية (يتم توفير معظمها غرامات ، ولا ينطبق عدم الأهلية في هذه الحالة) للمؤسسة ومسؤوليها لانتهاك إجراءات الحصول على البيانات الشخصية للموظفين ومعالجتها وتخزينها وحمايتها. 3.

الجدول 3. المسؤولية عن انتهاك إجراءات الحصول على البيانات الشخصية للموظفين ومعالجتها وتخزينها وحمايتها

وفقًا للجزء 2 من الفن. 85 من قانون العمل في الاتحاد الروسي معالجة البيانات الشخصية للموظف -هو استلام أو تخزين أو دمج أو نقل أو أي استخدام آخر للبيانات الشخصية للموظف.

قد تتم معالجة البيانات الشخصية للموظف فقط لغرض ضمان الامتثال للقوانين والإجراءات القانونية التنظيمية الأخرى ، ومساعدة الموظف في التوظيف والتدريب والترقية ، وضمان الأمن الحضري ، فضلاً عن التحكم في كمية ونوعية العمل. التي يؤديها وضمان سلامة الممتلكات (البند 1 ، المادة 86 من قانون العمل في الاتحاد الروسي).

وفقا للفقرة 3 من الفن. 3 من القانون الفيدرالي "بشأن البيانات الشخصية" ، فإن معالجة البيانات الشخصية هي إجراءات (عمليات) مع البيانات الشخصية ، بما في ذلك الجمع والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخدام والتوزيع (بما في ذلك النقل) وتبديد الشخصية ، حظر ، إتلاف البيانات الشخصية. يجب أن يؤخذ في الاعتبار أنه بغض النظر عن عدد العمليات الوظيفية المدرجة في التشريع ، يجب أن تغطي اللوائح القانونية جميع مراحل معالجة البيانات الشخصية - من الاستلام إلى الإتلاف ، دون أي استثناءات واستثناءات.

يشير القانون المذكور إلى مبادئ معالجة البيانات الشخصية على النحو التالي:

• شرعية أغراض وطرق المعالجة وحسن النية ؛
• الامتثال لأغراض المعالجة للأغراض المحددة مسبقًا والمعلنة أثناء جمع البيانات الشخصية ، وكذلك سلطة المشغل ؛
• الامتثال لحجم وطبيعة البيانات المعالجة ، وطرق المعالجة لأغراض معالجتها ؛
• موثوقية البيانات الشخصية ، ومدى كفايتها لأغراض المعالجة ، وعدم مقبولية معالجة البيانات الشخصية التي لا تتعلق بالأغراض المذكورة أثناء جمع البيانات ؛
• عدم جواز دمج قواعد بيانات أنظمة المعلومات الشخصية التي تم إنشاؤها لأغراض غير متوافقة.

تبدأ معالجة البيانات الشخصية للموظف باستلامه. بواسطة قاعدة عامةيجب الحصول على جميع البيانات الشخصية من الموظف نفسه. في حالات استثنائية ، عندما لا يمكن الحصول على البيانات الشخصية للموظف إلا من طرف ثالث ، يجب إخطار الموظف بذلك مسبقًا ويجب الحصول على موافقة خطية منه. يلتزم صاحب العمل بإبلاغ الموظف عن الأغراض والمصادر المزعومة وطرق الحصول على البيانات الشخصية ، فضلاً عن طبيعة البيانات الشخصية التي سيتم الحصول عليها وعواقب رفض الموظف إعطاء موافقة خطية لتلقيها (البند 3 من المادة 86 من قانون العمل في الاتحاد الروسي). ومع ذلك ، لا يحق لصاحب العمل تلقي ومعالجة البيانات الشخصية للموظف عن معتقداته السياسية والدينية وغيرها من معتقداته وحياته الخاصة (البند 4 من المادة 86 من قانون العمل في الاتحاد الروسي). أيضًا ، لا يمكن لصاحب العمل طلب معلومات حول الحالة الصحية للموظف ، إذا كان هذا لا ينطبق على حل مشكلة قدرة الموظف على أداء وظيفة العمل (المادة 88 من قانون العمل في الاتحاد الروسي).

يفرض قانون العمل في الاتحاد الروسي متطلبات منفصلة على تنظيم وتكنولوجيا معالجة البيانات الشخصية من قبل صاحب العمل. إن الالتزام بتعريف الموظفين وممثليهم ضد التوقيع على وثائق صاحب العمل التي تحدد إجراءات معالجة البيانات الشخصية للموظفين ، وكذلك حقوقهم والتزاماتهم في هذا المجال ، يعني الحاجة إلى تطوير واعتماد قانون تنظيمي محلي مناسب . يمكن الإشارة إلى مثل هذا الفعل ، بناءً على تفاصيل النشاط وتقدير صاحب العمل ، على أنه لائحة أو تعليمات ، وكقاعدة عامة ، يتضمن الأقسام التالية:

• المفاهيم والأحكام الأساسية ؛
• معالجة البيانات الشخصية للموظف ؛
• تشكيل البيانات الشخصية للموظف ؛
• المحاسبة وتخزين ونقل البيانات الشخصية للموظف ؛
• حقوق والتزامات الموظف في مجال معالجة وحماية بياناته الشخصية.

يحدد مثل هذا القانون القانوني التنظيمي المحلي نظام السرية (الوصول المحدود) للبيانات الشخصية للموظف مع صاحب عمل معين. يُطلب من موظفي صاحب العمل الذين يتلقون البيانات الشخصية للموظف الامتثال لهذا النظام ، والذي يجب الإشارة إليه ليس فقط في وصف الوظيفةولكن أيضًا في عقود العمل المبرمة معهم. اللائحة (التعليمات) المتعلقة بحماية البيانات الشخصية هي الوثيقة الرئيسية التي تعكس تفاصيل معالجة ونقل البيانات الشخصية للموظف داخل مؤسسة معينة ، من رائد أعمال فردي معين. إذا كان هناك مكون آلي في إطار هذا النشاط ، فليس لصاحب العمل الحق في اتخاذ قرارات بشأن الموظف بناءً على البيانات الشخصية التي تم الحصول عليها فقط نتيجة للمعالجة الآلية أو الاستلام الإلكتروني (البند 6 من المادة 86 من قانون العمل للاتحاد الروسي). لا يجوز أن يقتصر صاحب العمل على اعتماد حكم بشأن حماية البيانات الشخصية للموظفين في مؤسسته. ومع ذلك ، فإن وجود هذا القانون المحلي إلزامي ، ويعتبر غيابه من قبل مفتشية العمل الحكومية انتهاكًا خطيرًا لقانون العمل.

لهذا وغيره من الانتهاكات للقواعد التي تحكم الاستلام والمعالجة والموظف ، يجوز لصاحب العمل تقديم الجناة إلى المسؤولية المادية والتأديبية والهيئات الحكومية ذات الصلة - المدنية والإدارية والجنائية.