Personas datu principi, nosacījumi un mērķi un apstrāde. Uzņēmums pats nosaka klientu un darbinieku personas datu apstrādes mērķus Personas datu apstrādes mērķi un nosacījumi

1. Personas datu apstrāde jāveic saskaņā ar šajā federālajā likumā paredzētajiem principiem un noteikumiem. Personas datu apstrāde ir atļauta šādos gadījumos:

1) personas datu apstrāde tiek veikta ar personas datu subjekta piekrišanu viņa personas datu apstrādei;

2) personas datu apstrāde ir nepieciešama, lai sasniegtu mērķus, kas noteikti Krievijas Federācijas starptautiskajā līgumā vai likumā, lai īstenotu un pildītu funkcijas, pilnvaras un pienākumus, kas operatoram ir noteikti ar Krievijas Federācijas tiesību aktiem;

3) personas datu apstrāde tiek veikta saistībā ar personas piedalīšanos konstitucionālajā, civilajā, administratīvajā, kriminālprocesā, procesos šķīrējtiesās;

3.1) personas datu apstrāde ir nepieciešama, lai izpildītu tiesas aktu, citas struktūras vai amatpersonas aktu, kas ir izpildāms saskaņā ar Krievijas Federācijas tiesību aktiem par izpildes procedūrām (turpmāk – tiesas akta izpilde). );

4) personas datu apstrāde ir nepieciešama, lai īstenotu federālo izpildinstitūciju, valsts ārpusbudžeta fondu iestāžu, Krievijas Federācijas veidojošo vienību valsts varas izpildinstitūciju, pašvaldību un iesaistīto organizāciju funkcijas. attiecīgi valsts un pašvaldību pakalpojumu sniegšanā, ko paredz 2010. gada 27. jūlija federālais likums N 210-FZ "Par valsts un pašvaldību pakalpojumu sniegšanas organizēšanu", ieskaitot personas datu reģistrāciju. priekšmets vienotā valsts un pašvaldību pakalpojumu portālā un (vai) valsts un pašvaldību pakalpojumu reģionālajos portālos;

(skatīt tekstu iepriekšējā izdevumā)

5) personas datu apstrāde nepieciešama, lai izpildītu līgumu, kura puse vai labuma guvējs vai galvotājs ir personas datu subjekts, kā arī lai noslēgtu līgumu pēc personas datu subjekta iniciatīvas vai līgumu saskaņā ar kurš personas datu subjekts būs labuma guvējs vai galvotājs;

(skatīt tekstu iepriekšējā izdevumā)

6) personas datu apstrāde ir nepieciešama, lai aizsargātu personas datu subjekta dzīvību, veselību vai citas svarīgas intereses, ja personas datu subjekta piekrišanas saņemšana nav iespējama;

7) personas datu apstrāde ir nepieciešama operatora vai trešo personu tiesību un likumīgo interešu īstenošanai, tostarp gadījumos, kas paredzēti federālajā likumā "Par fizisku personu tiesību un likumīgo interešu aizsardzību, īstenojot darbības, lai atdotu nokavētos parādus un par grozījumiem Federālajā likumā "Par mikrofinansēšanas darbībām un mikrofinansēšanas organizācijām" vai sabiedriski nozīmīgu mērķu sasniegšanai, ar nosacījumu, ka netiek pārkāptas personas datu subjekta tiesības un brīvības;

(skatīt tekstu iepriekšējā izdevumā)

8) personas datu apstrāde ir nepieciešama žurnālista profesionālajai darbībai un (vai) masu informācijas līdzekļu leģitīmai darbībai vai zinātniskai, literārai vai citai radošai darbībai, ar nosacījumu, ka personas datu subjekta tiesības un leģitīmās intereses tiek ievērotas. nav pārkāpts;

9) personas datu apstrāde tiek veikta statistikas vai citu pētījumu nolūkos, izņemot šā federālā likuma 15. pantā noteiktos mērķus, ievērojot obligātu personas datu depersonalizāciju;

10) tiek veikta personas datu apstrāde, kurai piekļuvi nodrošina personas datu subjekts vai pēc viņa pieprasījuma neierobežota personu skaita (turpmāk – personas datu subjekta publiskotie personas dati);

11) tiek veikta publicēšanai vai obligātai izpaušanai pakļauto personas datu apstrāde saskaņā ar federālo likumu.

1.1. Valsts aizsardzības objektu un viņu ģimenes locekļu personas datu apstrāde tiek veikta, ņemot vērā 1996. gada 27. maija federālajā likumā N 57-ФЗ "Par valsts aizsardzību" paredzētās pazīmes.

2. Īpašu kategoriju personas datu, kā arī biometrisko personas datu apstrādes iezīmes ir noteiktas atbilstoši šim federālajam likumam.

3. Operatoram ir tiesības uzticēt personas datu apstrādi citai personai ar personas datu subjekta piekrišanu, ja vien federālajā likumā nav noteikts citādi, pamatojoties uz līgumu, kas noslēgts ar šo personu, tai skaitā valsts vai pašvaldību. līgumu, vai pieņemot attiecīgu valsts vai pašvaldības institūcijas aktu (turpmāk - operatora norādījumi). Personai, kas apstrādā personas datus operatora vārdā, ir pienākums ievērot šajā federālajā likumā paredzētos personas datu apstrādes principus un noteikumus. Operatora instrukcijā jādefinē ar personas datiem veikto darbību (operāciju) saraksts, kuras veiks persona, kas apstrādā personas datus, un apstrādes mērķi, šādas personas pienākums saglabāt personas datu konfidencialitāti un nodrošināt personas drošību. dati to apstrādes laikā, kā arī prasības apstrādāto personas datu aizsardzībai ir jāprecizē saskaņā ar šā federālā likuma 19. pantu.

4. Personai, kas apstrādā personas datus operatora vārdā, nav jāsaņem personas datu subjekta piekrišana viņa personas datu apstrādei.

5. Ja operators personas datu apstrādi uztic citai personai, operators ir atbildīgs personas datu subjekta priekšā par minētās personas darbībām. Persona, kas apstrādā personas datus operatora vārdā, ir atbildīga operatora priekšā.

2017. gada 1. jūlijā stājās spēkā 2017. gada 7. februāra Federālais likums Nr.13-FZ, kas groza Art. 13.11 Administratīvo pārkāpumu kodeksa un paredz paplašināt administratīvās atbildības par nelikumīgu x saukšanas pamatu sarakstu un būtisku naudas sodu palielināšanu.

Viens no obligātajiem dokumentiem, kas personas datu operatoram jāsagatavo, lai izpildītu 2006. gada 27. jūlija federālā likuma Nr. 152-FZ prasības, sauc par personas datu apstrādes politiku, kurā ir paskaidrots, kā uzņēmums strādā ar datiem. darbiniekiem, klientiem un citām personām. Šis fails ir brīvi pieejams gandrīz visās vietnēs, kurās tiek vākti jebkādi personas dati.

Kā pareizi noformēt Personas datu apstrādes politiku, kuras sadaļas ir jāiekļauj? Roskomnadzor sniedz skaidrojumus par šiem jautājumiem.

Personas datu apstrādes politikas struktūra

Vispārīgi noteikumi
Personas datu vākšanas mērķi
Personas datu apstrādes tiesiskais pamatojums
Apstrādāto personas datu apjoms un kategorijas, personas datu subjektu kategorijas
Personas datu apstrādes kārtība un nosacījumi
Personas datu atjaunināšana, labošana, dzēšana un iznīcināšana, atbildes uz subjektu pieprasījumiem piekļūt personas datiem

1. Vispārējie mērķi

Šajā sadaļā jūs faktiski atbildat uz jautājumu – kam paredzēta Personas datu apstrādes politika? Tajā ir arī izskaidroti dokumentā izmantotie pamatjēdzieni, kā arī operatora un personas datu subjekta tiesības un pienākumi.

2. Personas datu vākšanas mērķi

Art. 2006. gada 27. jūlija federālā likuma Nr. 152-FZ 5. pantā ir prasīts definēt konkrētus, likumīgus datu vākšanas mērķus. Līdz ar to personas dati, kas neatbilst šiem mērķiem, nevar tikt apstrādāti.

Roskomnadzor norāda, ka var rasties personas datu apstrādes mērķi, tostarp:

no operatora darbību regulējošo tiesību aktu analīzes;
no operatora faktiski veikto darbību mērķiem;
no darbībām, kas paredzētas operatora dibināšanas dokumentos;
no konkrētiem operatora biznesa procesiem konkrētās personas datu informācijas sistēmās (atbilstoši operatora struktūrvienībām un to procedūrām attiecībā uz noteiktām personas datu subjektu kategorijām).

3. Personas datu apstrādes tiesiskais pamatojums

2006. gada 27. jūlija federālais likums Nr.152-FZ nav juridisks pamats personas datu apstrādei. Šo lomu veic tiesību akti, saskaņā ar kuriem operators apstrādā datus.

Tādējādi Datu apstrādes politikā kā juridisko pamatojumu varat norādīt: federālos likumus un uz to pamata pieņemtos normatīvos aktus, kas regulē attiecības, kas saistītas ar operatora darbību; operatora normatīvie dokumenti; līgumi, kas noslēgti starp operatoru un personas datu subjektu; piekrišana personas datu apstrādei (gadījumos, kas nav skaidri paredzēti Krievijas Federācijas tiesību aktos, bet atbilst operatora pilnvarām).

4. Apstrādāto personas datu apjoms un kategorijas, personas datu subjektu kategorijas

Ir svarīgi, lai apstrādāto personas datu apjoms neatšķirtos no norādītajiem apstrādes mērķiem.

Personas datu subjektu kategorijās var ietilpt: darbinieki – gan esošie, gan bijušie, kandidāti uz vakancēm, darbinieku radinieki, klienti un darījuma partneri (fiziskās personas), klientu un darījumu partneru pārstāvji vai darbinieki.

Roskomnadzor vērš uzmanību uz to, ka katrai priekšmetu kategorijai un saistībā ar konkrētiem mērķiem ir jānorāda visi apstrādātie personas dati. Atsevišķi ir aprakstīti visi īpašu kategoriju personas datu un biometrisko personas datu (ja piemērojams) apstrādes gadījumi.

5. Personas datu apstrādes kārtība un nosacījumi

Kas ir iekļauts šajā sadaļā:

ar personas datiem veikto darbību saraksts;
personas datu apstrādes veidi;
personas datu apstrādes noteikumi.

Ja, lai sasniegtu personas datu apstrādes mērķus, operators mijiedarbojas ar trešajām personām, viņam ir:

izskaidro personas datu nodošanas trešajām personām nosacījumus (tai skaitā pārrobežu datu pārsūtīšanu);
norāda trešo personu nosaukumu un atrašanās vietu;
norāda datu pārsūtīšanas mērķus un to apjomu;
uzskaita apstrādes darbības, metodes un citus apstrādes nosacījumus, tostarp prasības apstrādāto personas datu aizsardzībai.

Operatoram ir tiesības nodot personas datus izmeklēšanas un izmeklēšanas iestādēm, kā arī citām pilnvarotām iestādēm, pamatojoties uz likumā paredzētajiem pamatiem.

Personas datu apstrādes politikā jāiekļauj informācija par atbilstību personas datu konfidencialitātes prasībām (tās ir nosauktas 2006. gada 27. jūlija federālā likuma Nr. 152-FZ 7. pantā) un informācija par pasākumu veikšanu (2. 18.1 pants, 19. panta 1. daļa).

Turklāt operatoram jāprecizē nosacījums personas datu apstrādes pārtraukšanai. Tas var būt apstrādes mērķu sasniegšana, piekrišanas apstrādei termiņa beigas, personas datu subjekta piekrišanas atsaukšana apstrādei, nelikumīgas datu apstrādes noteikšana.

Īpaša uzmanība jāpievērš tādam jautājumam kā personas datu glabāšana. Pirmkārt, ir jāizsauc termiņi. Otrkārt, tiek izmantotas datu bāzes, kas atrodas Krievijas Federācijas teritorijā. Treškārt, tiek ņemts vērā fakts, ka glabāšana jāveic tādā veidā, kas ļauj identificēt personas datu subjektu ne ilgāk, kā to prasa apstrādes mērķi. Ceturtkārt, ir jāmin citi uzglabāšanas nosacījumi, tostarp, apstrādājot datus, neizmantojot automatizācijas rīkus.

6. Personas datu atjaunināšana, labošana, dzēšana un iznīcināšana, atbildes uz subjektu pieprasījumiem piekļūt personas datiem

Saskaņā ar Art. 21 Nr. 152-FZ, personas dati operatoram ir jāatjaunina, ja tiek apstiprināts personas datu neprecizitātes fakts. Tas pats attiecas uz nelikumīgas apstrādes fakta apstiprināšanu.

Personas dati tiek iznīcināti, kad tiek sasniegti to apstrādes mērķi un gadījumā, ja personas datu subjekts atsauc piekrišanu to apstrādei, ja vien: līgumā, kura puse, kura labuma guvējs vai galvotājs, nav noteikts citādi. personas datu subjekts; citādi nav paredzēts citā līgumā starp operatoru un personas datu subjektu. Operatoram nav tiesību apstrādāt personas datus bez subjekta piekrišanas, pamatojoties uz 2006. gada 27. jūlija federālajā likumā Nr. 152-FZ vai citiem federālajiem likumiem.

Pamatojoties uz Art. 20, operatoram ir pienākums pēc pieprasījuma informēt personas datu subjektu par viņa veikto personas datu apstrādi.

Roskomnadzor iesaka Personas datu apstrādes politikā iekļaut noteikumus par atbildēm uz personas datu subjektu, to pārstāvju, pilnvaroto institūciju pieprasījumiem un pārsūdzībām par datu neprecizitāti, nelikumīgu apstrādi, piekrišanas atsaukšanu un piekļuvi saviem datiem. Nebūs lieki Politikai pievienot atbilstošas lūgumu un pārsūdzību formas.

Personas datu apstrādes politikas izvietošana birojā un tīmekļa vietnē

Ikvienai personai, kuras datus uzņēmums apstrādā, ir tiesības iepazīties ar Personas datu apstrādes politiku. Tāpēc tas ir jānovieto publiskā vietā. Piemēram, šim nolūkam izmantojiet informācijas stendu.

Ja uzņēmums vāc personas datus, izmantojot internetu, tam ir pienākums ievietot Politiku vietnē. Vietnes apmeklētājs to var apskatīt, noklikšķinot uz saites.

Lai uzzinātu par svarīgākajām uzņēmējdarbības izmaiņām, pievienojieties mūsu kanālam vietnē

Šis personas datu apstrādes rīkojums (turpmāk – Rīkojums) tika izstrādāts saskaņā ar 27.07.2006. federālo likumu. Nr.152-FZ "Par personas datiem". Šis rīkojums nosaka personas datu apstrādes kārtību un pasākumus personas datu drošības nodrošināšanai CardsProService LLC, lai aizsargātu personas un pilsoņa tiesības un brīvības, apstrādājot viņa personas datus, tai skaitā aizsargātu tiesības uz privātumu, personas un ģimenes tiesības. noslēpumi.

1. TERMINI UN DEFINĪCIJAS

1) Personīgā informācija- jebkura informācija, kas tieši vai netieši attiecas uz konkrētu vai identificējamu fizisku personu (personas datu subjektu);

2) Operators (klients) - valsts iestāde, pašvaldības iestāde, juridiska persona vai fiziska persona, neatkarīgi vai kopīgi ar citām personām, kas organizē un (vai) veic personas datu apstrādi, kā arī nosaka personas datu apstrādes mērķus, personas sastāvu. apstrādājamie dati, ar personas datiem veiktās darbības (operācijas);

3) Personas datu apstrāde- jebkura darbība (operācija) vai darbību (operāciju) kopums, kas tiek veikts, izmantojot automatizācijas rīkus vai neizmantojot šādus rīkus ar personas datiem, tostarp vākšana, ierakstīšana, sistematizēšana, uzkrāšana, uzglabāšana, precizēšana (atjaunināšana, mainīšana), iegūšana, izmantošana, pārsūtīšana personas datu (izplatīšana, nodrošināšana, piekļuve), depersonalizācija, bloķēšana, dzēšana, iznīcināšana;

4) Automatizēta personas datu apstrāde- personas datu apstrāde, izmantojot datortehnoloģiju;

5) Personas datu izplatīšana- darbības, kuru mērķis ir izpaust personas datus nenoteiktam personu lokam;

6) Personas datu sniegšana- darbības, kuru mērķis ir izpaust personas datus noteiktai personai vai noteiktam personu lokam;

7) Personas datu bloķēšana- personas datu apstrādes pagaidu apturēšana (ja vien apstrāde nav nepieciešama personas datu precizēšanai);

8) Personas datu iznīcināšana- darbības, kuru rezultātā kļūst neiespējami atjaunot personas datu saturu personas datu informācijas sistēmā un (vai) kuru rezultātā tiek iznīcināti personas datu materiālie nesēji;

9) Pasūtītāja pilnvarotās personas- personas, kas darbojas saskaņā ar vienošanos par
ar Klientu noslēgta konfidencialitāte.

10) PARpersonas datu anonimizācija- darbības, kuru rezultātā nav iespējams noteikt personas datu īpašumtiesības konkrētam personas datu subjektam, neizmantojot papildu informāciju;

11) Personas datu informācijas sistēma- datubāzēs ietverto personas datu kopums un informācijas tehnoloģijas un tehniskie līdzekļi, kas nodrošina to apstrādi;

12) Personas datu pārrobežu pārsūtīšana- personas datu pārsūtīšana uz
ārvalsts teritoriju ārvalsts iestādei, ārvalsts fiziskai vai ārvalstu juridiskai personai;

13) Izpildītājs- CardsProService LLC (123610, Maskava, Krasnopresnenskas krastmala, ēka 12, biroja ēka 1, kab. Id, kab. 42; OGRN 1157746550070).

2. PERSONAS DATU APSTRĀDES PASŪTĪŠANA

2.1. Klients, būdams personas datu operators, saskaņā ar Art. 6. 2006. gada 27. jūlija Federālā likuma Nr. 152-FZ “Par personas datiem”, uzdod, un Līgumslēdzējs apņemas apstrādāt subjektu personas datus Pasūtītāja interesēs un saskaņā ar
Lietotāja līgums.

3. PUŠU SADARBĪBAS KĀRTĪBA

3.1. Pamats Izpildītājam #nbsp; subjektu personas datu apstrādei, kas tiek veikta Pasūtītāja interesēs, ir Lietotāja līgums.

3.2. Kārtība, kādā tiek organizēta personas datu subjektu piekrišanas vākšana viņu personas datu apstrādei un nosūtīšanai, kā arī personas datu apstrādes mērķi, apstrādājamo personas datu sastāvs, ar personas datiem veiktās darbības (operācijas):

3.2.1. Personas datu apstrādes mērķis.

Personas datu apstrāde tiek uzticēta, lai īstenotu lojalitātes programmas.

3.2.2. Personas datu saraksts, kuru apstrāde ir uzticēta Izpildītājam

Pilnais vārds;
dzimšanas vieta, gads un datums;
Kontaktpersonas numurs;
Reģistrācijas adrese;
Faktiskās dzīvesvietas (uzturēšanās) adrese;
Pases dati (sērija, pases numurs, kas un kad izdevis);
Tālruņa numurs (mājas, darba, mobilais).

3.2.3. Darbību (operāciju) saraksts ar #nbsp; personas datiem, kuras Uzņēmējam ir uzdots veikt:

Personas datu vākšana.
Personas datu sistematizācija.
Personas datu uzkrāšana.
Personas datu izmantošana lojalitātes programmu īstenošanai un saziņai ar personas datu subjektiem.
Personas datu uzglabāšana.
Personas datu precizēšana (atjaunināšana, maiņa):
Izvilkšana (izkraušana) - pēc Pasūtītāja papildus rakstiska pasūtījuma.
Personas datu depersonalizācija:
-
- pēc personas datu subjekta likumīga pieprasījuma ar obligātu Klienta rakstisku paziņojumu;
- pēc personas datu subjektu tiesību aizsardzības valsts regulējošo iestāžu pieprasījuma ar obligātu rakstisku Klienta brīdinājumu.
Personas datu bloķēšana:
- pēc Klienta papildu rakstiska pasūtījuma;
- pēc personas datu subjekta likumīga pieprasījuma ar obligātu Klienta rakstisku paziņojumu;
- pēc personas datu subjektu tiesību aizsardzības valsts regulējošo iestāžu pieprasījuma ar obligātu rakstisku Klienta brīdinājumu.
Personas datu dzēšana:
- pēc Klienta papildu rakstiska pasūtījuma;
- pēc personas datu subjekta likumīga pieprasījuma ar obligātu Klienta rakstisku paziņojumu;
- pēc personas datu subjektu tiesību aizsardzības valsts regulējošo iestāžu pieprasījuma ar obligātu rakstisku Klienta brīdinājumu.
Personas datu iznīcināšana - pēc Klienta papildu rakstiska rīkojuma.

3.2.4. Personas datu apstrādes kārtība

Personas datu apstrāde būtu jāierobežo, lai sasniegtu konkrētus, iepriekš noteiktus un likumīgus mērķus. Nav atļauts apstrādāt personas datus, kas nav savienojami ar personas datu vākšanas mērķiem.
Nav atļauts apvienot datu bāzes, kas satur personas datus, kuru apstrāde tiek veikta savstarpēji nesaderīgiem mērķiem.
Apstrādei tiek pakļauti tikai personas dati, kas atbilst to apstrādes mērķiem.
Apstrādāto personas datu saturam un apjomam jāatbilst norādītajiem apstrādes mērķiem. Apstrādātie personas dati nedrīkst būt pārmērīgi attiecībā pret norādītajiem to apstrādes mērķiem.
Apstrādājot personas datus, ir jānodrošina personas datu precizitāte, to pietiekamība, kā arī atbilstība personas datu apstrādes mērķiem.
Personas datu glabāšana jāveic formā, kas ļauj noteikt personas datu subjektu, ne ilgāk, kā to prasa personas datu apstrādes mērķi, ja vien līguma nosacījumos nav noteikts citādi. Apstrādātie personas dati tiek iznīcināti vai depersonalizēti, sasniedzot apstrādes mērķus vai ja tiek zaudēta nepieciešamība sasniegt šos mērķus, ja vien līguma nosacījumos nav noteikts citādi.

3.2.5. Personas datu aizsardzības organizācija

Aizsardzības objekti

informācija, kas satur subjektu personas datus;
mašīnvides līdzekļi, kas satur subjektu personas datus;
personas datu informācijas sistēmas;
subjektu personas dati, kas ietverti personas datu informācijas sistēmu elektroniskajās datubāzēs.

3.2.6. Pasākumi, lai organizētu un nodrošinātu personas datu drošību

Lai nodrošinātu personas datu drošību, Izpildītājam jāveic šādi pasākumi:

Nepieciešamie juridiskie, organizatoriski un tehniskie pasākumi vai to pieņemšanas nodrošināšana, lai aizsargātu personas datus no nesankcionētas vai nejaušas piekļuves tiem, personas datu iznīcināšanas, grozīšanas, bloķēšanas, kopēšanas, nodrošināšanas, izplatīšanas, kā arī no citām prettiesiskām darbībām saistībā ar personas datiem. .
Izpildītāja darbinieku piekļuves nodrošināšana Pasūtītāja vārdā apstrādātajiem personas datiem, pēc Pienākuma par personas datu neizpaušanu parakstīšanas, iepazīstoties ar Pasūtītāja prasībām personas datu apstrādei un aizsardzībai, vietējos normatīvos aktus, kas regulē organizāciju un nodrošinot aizsardzību. personas datus un instrukcijas nodošanu par sazināšanās kārtību ar personas datiem.
Personas datu drošības apdraudējumu noteikšana to apstrādes laikā personas datu informācijas sistēmās.
Personas datu aizsardzības prasību izpildei nepieciešamo organizatorisko un tehnisko pasākumu piemērošana personas datu drošības nodrošināšanai to apstrādes laikā personas datu informācijas sistēmās, kuru īstenošana nodrošina Latvijas Republikas valdības noteiktos personas datu aizsardzības līmeņus. Krievijas Federācija.
Personas datu drošības nodrošināšanai veikto pasākumu efektivitātes izvērtējums pirms personas datu informācijas sistēmas nodošanas ekspluatācijā.
Personas datu nesēju uzskaite.
Neatļautas piekļuves personas datiem faktu konstatēšana un darbību veikšana.
Personas datu, kas mainīti vai iznīcināti nesankcionētas piekļuves dēļ, atgūšana.
Noteikumu izveide personas datu informācijas sistēmā apstrādātajiem personas datiem piekļuvei, kā arī visu ar personas datiem veikto darbību uzskaites un uzskaites nodrošināšana personas datu informācijas sistēmā.
Kontrole pār veiktajiem pasākumiem, lai nodrošinātu personas datu drošību un personas datu informācijas sistēmu drošības līmeni.

3.2.7. Personas datu iznīcināšana

Subjektu personas datu iznīcināšanu Izpildītājs var veikt tikai:

pēc Klienta papildu rakstiska pasūtījuma;
pēc personas datu subjekta likumīga pieprasījuma ar obligātu Klienta rakstisku paziņojumu;
pēc personas datu subjektu tiesību aizsardzības valsts regulējošo iestāžu pieprasījuma ar obligātu rakstisku Klienta brīdinājumu.

Jāgarantē subjektu apstrādāto personas datu iznīcināšana un jānodrošina personas datu satura atjaunošanas neiespējamība personas datu vai tos saturošos nesēju informācijas sistēmā.

3.2.8. Personas datu apstrādes izbeigšanas kārtība

Personas datu apstrādes izbeigšana tiek veikta:

līgumattiecību, kas ir personas datu apstrādes pamatā, izbeigšanās gadījumā;
pēc Klienta papildu rakstiska pasūtījuma;
ar valsts regulējošo iestāžu rakstisku rīkojumu.

Visos personas datu apstrādes pārtraukšanas gadījumos datu bāzu turpmāko mērķi nosaka Klients, sagatavojot rakstisku paziņojumu par personas datu bāzu tālāko mērķi.

4. PUŠU TIESĪBAS UN PIENĀKUMI

4.1. Klients apņemas:

4.1.1. Gadījumā, ja personas datu subjekts atsauc piekrišanu personas datu apstrādei un nav Federālā likuma 6. panta 1. daļas 2.–11. punktā, 10. panta 2. daļā un 11. panta 2. daļā norādīto iemeslu. 2006.gada 27.jūlija Nr.152-FZ "Par personas datiem, kurus var apstrādāt
personas datus bez subjekta piekrišanas, nosūtīt Izpildītājam rakstisku rīkojumu veikt darbu, lai dzēstu vai depersonalizētu subjekta personas datus.

4.1.2. Pēc personas datu subjekta pieprasījuma saņemšanas sniegt informāciju, kas noteikta 2006. gada 27. jūlija Federālā likuma Nr. 152-FZ "Par personas datiem" 14. panta 7. daļā, vai subjekta prasības attiecībā uz personas datu retināšanu. savus personas datus, to bloķēšanu vai iznīcināšanu gadījumā, ja personas dati ir nepilnīgi, novecojuši, neprecīzi, nelikumīgi iegūti vai nav nepieciešami norādītajam apstrādes mērķim, nosūtīt Izpildītājam rakstisku rīkojumu uz
informācijas sniegšana vai konkrētu darbību veikšana ar subjekta personas datiem.

4.2. Darbuzņēmējs apņemas:

4.2.1. Personas datu apstrādi veikt uz likumīga pamata, stingri ievērojot šī rīkojuma noteikumus.

4.2.2. Pēc Klienta pirmā rakstveida pieprasījuma pārsūtīt (atgriezt) viņa vārdā apstrādātās personas datu bāzes pieprasījumā norādītajā veidā.

4.2.4. Pēc personas datu subjektu tiesību aizsardzības pilnvarotās institūcijas pieprasījuma sniedz pierādījumus par personas datu subjektu piekrišanas saņemšanu, kas savāktas saskaņā ar šo rīkojumu viņu personas datu apstrādei vai pierādījumus par to, ka pastāv pamatojums, kas norādīts šajā rīkojumā. 2006. gada 27. jūlija Federālā likuma Nr. 152-FZ "Par personas datiem" 6. panta 1. daļas 2.–11. punktu, 10. panta 2. daļu un 11. panta 2. daļu, kas ļauj apstrādāt personas datus bez subjekta piekrišana.

Kopš vasaras beigām Personas datu likums ir spēkā jaunā redakcijā. Ir mainījušies informācijas iegūšanas un aizsardzības noteikumi. Darba devējam tas nozīmē tikai vienu - papildu dokumentu kārtošanu. Rakstā runāsim par to, kā sastādīt nolikumu darbam ar darbinieku personas datiem un iecelt atbildīgo par darba ar personas datiem organizēšanu.

Kas ir personas dati

2006.gada 27.jūlija federālais likums Nr.152-FZ "Par personas datiem" (turpmāk - Likums Nr.152-FZ) nosaka Personīgā informācija kā jebkura informācija, kas tieši vai netieši saistīta ar personu (personas datu subjektam). Tas ir noteikts Art. 1. punktā. Likuma N 152-FZ 3.

Saskaņā ar Art. 1. daļu. Darba likuma 85. pantā darbinieka personas dati tiek saprasti kā informācija, kas attiecas uz konkrēto darbinieku un kas ir nepieciešama darba devējam saistībā ar darba attiecībām. Mēs runājam par tādiem datiem kā:

Pilnais vārds;
Dzimšanas datums un vieta;
adrese;
Ģimenes stāvoklis;
amats (profesija);
alga, citi ienākumi;
īpašumtiesības uz nekustamo īpašumu, skaidras naudas iemaksas u.c.;
izglītība, kvalifikācija, profesionālā apmācība, informācija par kvalifikācijas paaugstināšanu;
ieradumi un vaļasprieki, tostarp kaitīgie (alkohols, narkotikas utt.);
biogrāfijas un iepriekšējās darba aktivitātes fakti (darba vieta, izpeļņas apmērs, sodāmība, militārais dienests, darbs izvēlētos amatos, valsts dienestā utt.);
fizioloģiskās īpatnības, veselība;
biznesa un citas personiskās īpašības;
cita informācija.

Personāla dokumentu saraksts, kas satur darbinieku personas datus, ir dots tabulā. 1 lpp. 76.

1. tabula. Dokumenti, kas satur darbinieku personas datus

N	Dokuments	Intelekts
1	Anketa, autobiogrāfija, personīgā personāla uzskaites lapa (jāaizpilda uzņemšanas laikā darbs)	Personas un biogrāfiskie dati strādnieks
2	dokumenta kopiju, identifikācijas karte strādnieks	Pilns vārds, dzimšanas datums, adrese reģistrācija, ģimenes stāvoklis, ģimenes sastāvs
3	Personiskā karte (veidlapa N T-2, apstiprināts ar dekrētu Krievijas Goskomstat datēts ar 05.01.2004. N 1)	PILNAIS VĀRDS. darbinieks, dzimšanas vieta, ģimenes sastāvs, izglītība un apliecinošā dokumenta dati personība
4	Nodarbinātības vēsture	Informācija par darba pieredzi, iepriekšēja darba vietas
5	Ieslodzījuma apliecību kopijas laulības, dzemdības	Ģimenes sastāvs, ģimenes izmaiņas pozīciju
6	Militārās reģistrācijas dokumenti	Informācija par darbinieka attieksmi pret nepieciešams militārais pienākums darba devējam jāveic darbinieku militārā reģistrācija
7	Izziņa par ienākumiem no iepriekšējā darba vietas	Pilns vārds, dati par ienākumu apmēru un ieturētais iedzīvotāju ienākuma nodoklis
8	Izglītības dokumenti	Apstipriniet darbinieka kvalifikāciju attaisno noteiktas nodarbošanos pozīcijas
9	Obligātie dokumenti pensiju apdrošināšana	Pilns vārds, personas dati
10	Darba līgums	Informācija par darbinieka amatu alga, darba vieta, darba vieta un citi darbinieka personas dati
11	Pasūtījumi personālam	Informācija par uzņemšanu, pārsūtīšanu, atlaišana un citi pasākumi kas saistīti ar darbu strādnieks

Personas datu apstrādes operators

Saskaņā ar likumu N 152-FZ tiek saukta persona (juridiska vai fiziska), kas organizē un (vai) veic personas datu apstrādi, nosaka to sastāvu, apstrādes mērķus, darbības, kas tiek veiktas ar personas datiem. operators(Likuma N 152-FZ 3. panta 2. punkts). Mūsu gadījumā tas ir darba devējs.

Personas datu apstrāde- jebkura ar tiem veiktā darbība. Personas datu apstrādes darbības:

kolekcija;
ieraksts;
sistematizācija;
uzkrāšanās;
uzglabāšana;
precizēšana (atjaunināšana, maiņa);
ieguve;
lietošana;
nodošana (izplatīšana, nodrošināšana, piekļuve);
depersonalizācija;
bloķēšana;
noņemšana;
personas datu iznīcināšanu.

Noteikumi par darbu ar personas datiem

Operatora personas datu apstrādes kārtību var noteikt Nolikumā par darbu ar darbinieku personas datiem (turpmāk – regula). Dokumentam nav vienotas formas. Apsveriet, kā noformēt šo dokumentu, ņemot vērā likuma N 152-FZ prasības. Nolikums sastāv no vairākām sadaļām. Tie ir parādīti tabulā. 2. Tas arī īsi norāda informāciju, kas sadaļās jāiekļauj. Sīkāka informācija ir sniegta Noteikumu par darbinieku personas datiem fragmentā, kas sniegts 1. lpp. 80.

2. tabula Noteikumu par darbinieku personas datiem struktūra

N	Nodoklis	Sadaļas saturs
1	Vispārīgi noteikumi	Regulas pieņemšanas mērķis
		Nolikumā reglamentētie jautājumi
		Saites uz normatīvajiem aktiem. Norādiet uz uz kādiem dokumentiem balstās Pozīcija. Organizācijās, kur valdība ierēdņi, ir atsauce uz: - 2004. gada 27. jūlija federālais likums N 79-FZ "Par Krievijas valsts civildienestu Federācija"; - Krievijas Federācijas prezidenta 2005. gada 30. maija dekrēts N 609 "Par regulas par personas datiem apstiprināšana valsts ierēdnis Krievijas Federācija un viņa personīgā uzvedība lietas"; - Krievijas Federācijas subjekta normatīvie akti
2	Pamatjēdzieni. Personiskā sastāvs darbinieku dati	Pamatjēdzieni. Ir dotas jēdzienu definīcijas "personas dati", "personas apstrāde dati", "personas datu izmantošana", norādīts dokumentu glabāšanas laiks u.c. Atsevišķi jānorāda, uz ko attiecas personas dati konkrētā uzņēmumā ar ņemot vērā tā īpašības (dati, kas izmantoti darbs, piemēram, informācija par darbu sensitīvajā objektiem, saņemot atļauju valsts noslēpums, veselības atbilstība profesijām, kas saistītas ar smagu un kaitīgu apstākļi utt.)
		Organizācijas dokumentu saraksts, kas satur personas datus
3	Kvīts personas dati strādniekiem	Personas datu iegūšanas kārtība. Tiek norādīts, ka dati tiek saņemti un apstrādāti ar darbinieka rakstisku piekrišanu. Norāda gadījumus, kad piekrišana nav nepieciešama
4	Lietošana personas dati	Darbinieku personīgās informācijas izmantošanas mērķi
5	Ārstēšana personas dati	Nosacījumi, kas jāievēro, apstrādājot personas darbinieku dati
6	Raidījums personas dati (Piekļuve personas dati)	Personas datu pārsūtīšanas kārtība ietvaros organizācijas (iekšēja piekļuve), trešās puses un valsts aģentūras (ārēja piekļuve)
7	Atbildība par noteikumu pārkāpšana kas regulē apstrāde un aizsardzība personas dati	Norādiet, kurš ir atbildīgs uzglabāšanas un lietošanas noteikumu pārkāpšana personas dati

Noteikumu par darbinieku personas datiem fragments

Noteikumu spēkā stāšanās

Nolikumu par personas datiem apstiprina uzņēmuma vadītājs un tas stājas spēkā ar rīkojumu organizācijai (paraugs dots 90. lpp.). Vietējo noteikumu reģistrā ir jāizdara ieraksts par Nolikuma apstiprināšanu.

Ja ir savienība

Ja uzņēmumā ir arodbiedrība, ar to jāsaskaņo Nolikums. Lai to izdarītu, noteikumu projekts tiek nosūtīts arodbiedrības vēlētai struktūrai (Krievijas Federācijas Darba kodeksa 372. pants). Viņam savs viedoklis (rakstiski) jāizsaka ne vēlāk kā piecu darbdienu laikā no projekta saņemšanas dienas. Ja arodbiedrība projektam nepiekrīt vai tai ir priekšlikumi tā uzlabošanai, administrācijai ir divas iespējas. Pirmais ir vienoties. Otrs – trīs dienu laikā pēc argumentēta atzinuma saņemšanas veikt papildu konsultācijas ar arodbiedrību, lai panāktu abpusēji pieņemamu risinājumu. Ja tas nepalīdz, jāsastāda domstarpību protokols. Pēc tam administrācijai ir tiesības pieņemt Nolikumu, neņemot vērā arodbiedrības prasības. Taču viņš nolikumu varēs pārsūdzēt vai uzsākt kolektīvā darba strīda procedūru Č. Darba kodeksa 61.

Darbinieku iepazans ar Nolikumu

Darbiniekiem ir jāiepazīstas ar noteikumiem pret parakstu (Krievijas Federācijas Darba kodeksa 86. panta 8. punkts). Šo faktu var labot:

katra darbinieka darba līguma tekstā (uzskaitot vietējos normatīvos aktus, ar kuriem darbinieks ir iepazinies pirms līguma parakstīšanas);
- iepazīšanās lapa ar nolikumu (paraugs 91. lpp.);
- žurnāls darbinieku iepazīstināšanai ar vietējiem noteikumiem (paraugs 91. lpp.).

Vietējo noteikumu iepazīšanās lapas paraugs

N p/n	Vietējo noteikumu nosaukums	datums	Paraksts
1	Iekšējie darba noteikumi OOO "Cherny Les"	03.10.2011	Evstahovs
2	Noteikumi par darba samaksu, prēmijām un Černijas darbinieku sociālā drošība mežs"	03.10.2011	Evstahovs
3	Informācijas drošības instrukcija, apstiprināts ar 15.06.2008. rīkojumu N 1	03.10.2011	Evstahovs
4	Regula par personas datiem	03.10.2011	Evstahovs
5	Nolikums par atbildību darbiniekiem par Cherny Les LLC nodarītajiem zaudējumiem	03.10.2011	Evstahovs

Iepazans urnla fragments arregulapar personas datiem

Piezīme. Personas datu glabāšanas periods

Vietējie noteikumi (noteikumi, instrukcijas) par personas datiem ir jāuzglabā pastāvīgi. Kas attiecas uz darbinieku izteikumiem par piekrišanu datu apstrādei (par tiem tiks runāts turpmākajos jautājumos), citiem darbinieka dokumentiem, tie tiek glabāti 75 gadus. Tas norādīts sarakstā, kas apstiprināts ar Krievijas Kultūras ministrijas 2010. gada 25. augusta rīkojumu N 558.

Administratīvā atbildība

Administratīvās atbildības līdzekļi (pārsvarā paredzēti naudas sodi, diskvalifikācija šajā gadījumā netiek piemērota) uzņēmumam un tā amatpersonām par darbinieku personas datu iegūšanas, apstrādes, glabāšanas un aizsardzības kārtības pārkāpumiem sniegti tabulā. 3.

3.tabula Atbildība par darbinieku personas datu iegūšanas, apstrādes, glabāšanas un aizsardzības kārtības pārkāpumiem

Saskaņā ar Art. 2. daļu. Krievijas Federācijas Darba kodeksa 85 darbinieka personas datu apstrāde - ir darbinieka personas datu saņemšana, uzglabāšana, apvienošana, nodošana vai jebkāda cita izmantošana.

Darbinieka personas datu apstrādi var veikt tikai ar mērķi nodrošināt likumu un citu normatīvo aktu ievērošanu, palīdzēt darbiniekam nodarbinātībā, apmācībā un paaugstināšanā amatā, nodrošināt lielpilsētas drošību, kā arī kontrolēt darba kvantitāti un kvalitāti. ko viņš veic un nodrošina īpašuma drošību (Krievijas Federācijas Darba kodeksa 86. panta 1. punkts).

Saskaņā ar Art. Saskaņā ar Federālā likuma “Par personas datiem” 3. pantu personas datu apstrāde ir darbības (operācijas) ar personas datiem, tostarp vākšana, sistematizēšana, uzkrāšana, glabāšana, precizēšana (atjaunināšana, mainīšana), izmantošana, izplatīšana (ieskaitot pārsūtīšanu), depersonalizācija. , bloķēšana , personas datu iznīcināšana. Jāpatur prātā, ka neatkarīgi no likumdošanā uzskaitīto funkcionālo operāciju skaita tiesiskajam regulējumam būtu jāaptver visi personas datu apstrādes posmi – no saņemšanas līdz iznīcināšanai, bez izņēmumiem un izņēmumiem.

Minētais likums attiecas uz personas datu apstrādes principiem šādi:

apstrādes mērķu un metožu likumība un labticība;
apstrādes mērķu atbilstību personas datu vākšanas laikā iepriekš noteiktajiem un deklarētajiem mērķiem, kā arī operatora pilnvarām;
apstrādāto datu apjoma un veida, apstrādes metožu atbilstība to apstrādes mērķiem;
personas datu ticamība, to pietiekamība apstrādes mērķiem, tādas personas datu apstrādes nepieļaujamība, kas nav saistīta ar datu vākšanas laikā norādītajiem mērķiem;
personas datu informācijas sistēmu datubāzu, kas izveidotas nesaderīgiem mērķiem, apvienošanas nepieļaujamību.

Darbinieka personas datu apstrāde sākas ar to saņemšanu. Autors vispārējs noteikums visi personas dati jāiegūst no paša darbinieka. Izņēmuma gadījumos, kad darbinieka personas datus var iegūt tikai no trešās personas, darbinieks par to ir iepriekš jābrīdina un jāsaņem no viņa rakstiska piekrišana. Darba devējam ir pienākums informēt darbinieku par personas datu iegūšanas mērķiem, iespējamiem avotiem un metodēm, kā arī iegūstamo personas datu būtību un sekām, ja darbinieks atsakās dot rakstisku piekrišanu to saņemšanai (3. punkts). Krievijas Federācijas Darba kodeksa 86. pants). Tomēr darba devējam nav tiesību saņemt un apstrādāt darbinieka personas datus par viņa politisko, reliģisko un citu pārliecību un privāto dzīvi (Krievijas Federācijas Darba kodeksa 86. panta 4. punkts). Tāpat darba devējs nevar pieprasīt informāciju par darbinieka veselības stāvokli, ja tas neattiecas uz jautājuma risināšanu par darbinieka spēju veikt darba funkciju (Krievijas Federācijas Darba kodeksa 88. pants).

Krievijas Federācijas Darba kodekss nosaka atsevišķas prasības darba devēja personas datu apstrādes organizācijai un tehnoloģijai. Pienākums iepazīstināt darbiniekus un viņu pārstāvjus pret parakstu ar darba devēja dokumentiem, kas nosaka darbinieku personas datu apstrādes kārtību, kā arī viņu tiesības un pienākumus šajā jomā, nozīmē nepieciešamību izstrādāt un pieņemt atbilstošu vietējo normatīvo aktu. . Šādu aktu atkarībā no darbības specifikas un darba devēja rīcības brīvības var saukt par nolikumu vai instrukciju, un tas parasti ietver šādas sadaļas:

pamatjēdzieni un noteikumi;
darbinieka personas datu apstrāde;
darbinieka personas datu veidošana;
darbinieka personas datu uzskaite, uzglabāšana un nodošana;
darbinieka tiesības un pienākumi viņa personas datu apstrādes un aizsardzības jomā.

Šāds vietējais normatīvais tiesību akts nosaka darbinieka personas datu konfidencialitātes režīmu (ierobežotu piekļuvi) pie konkrēta darba devēja. Darba devēja darbiniekiem, kuri saņem darbinieka personas datus, ir jāievēro šis režīms, kas jānorāda ne tikai darba apraksti bet arī ar viņiem noslēgtajos darba līgumos. Personas datu aizsardzības noteikumi (instrukcija) ir galvenais dokuments, kas atspoguļo darbinieka personas datu apstrādes un pārsūtīšanas specifiku noteiktā organizācijā, no noteikta individuāla uzņēmēja. Ja šīs darbības ietvaros ir automatizēta sastāvdaļa, darba devējam nav tiesību pieņemt lēmumus par darbinieku, pamatojoties uz personas datiem, kas iegūti tikai un vienīgi to automatizētās apstrādes vai elektroniskās saņemšanas rezultātā (Nolikuma 86. panta 6. punkts). Krievijas Federācijas Darba kodekss). Darba devējs nedrīkst aprobežoties ar noteikumu par darbinieku personas datu aizsardzību savā organizācijā pieņemšanu. Taču šī vietējā akta esamība ir obligāta, un tā neesamību Valsts darba inspekcija uzskata par nopietnu darba likumdošanas pārkāpumu.

Par šo un citiem saņemšanas, apstrādes un darbinieku noteikumu pārkāpumiem darba devējs vainīgos var saukt pie materiālās, disciplinārās atbildības, bet attiecīgās valsts institūcijas - pie civilās, administratīvās un kriminālatbildības.