Prinsipper, betingelser og formål og behandling av personopplysninger. Selskapet bestemmer selv formålene med å behandle personopplysninger til kunder og ansatte.Formål og vilkår for behandling av personopplysninger

1. Behandlingen av personopplysninger må utføres i samsvar med prinsippene og reglene gitt av denne føderale loven. Behandling av personopplysninger er tillatt i følgende tilfeller:

1) behandlingen av personopplysninger utføres med samtykke fra subjektet for personopplysninger til behandlingen av hans personopplysninger;

2) behandlingen av personopplysninger er nødvendig for å oppnå målene fastsatt i en internasjonal traktat fra Den Russiske Føderasjon eller loven, for å utøve og oppfylle funksjonene, kreftene og pliktene som er tildelt operatøren av lovgivningen i Den Russiske Føderasjon;

3) behandlingen av personopplysninger utføres i forbindelse med deltakelse av en person i konstitusjonelle, sivile, administrative, straffesaker, saksgang i voldgiftsdomstoler;

3.1) behandlingen av personopplysninger er nødvendig for å utføre en rettslig handling, en handling fra et annet organ eller tjenestemann som er gjenstand for henrettelse i samsvar med lovgivningen i Den russiske føderasjonen om tvangsfullbyrdelse (heretter kalt utførelsen av en rettslig handling );

4) behandling av personopplysninger er nødvendig for utøvelse av myndighetene til føderale utøvende organer, organer for statlige midler utenfor budsjettet, utøvende organer med statsmakt til de konstituerende enhetene i Den russiske føderasjonen, lokale myndigheter og funksjonene til involverte organisasjoner i levering av henholdsvis statlige og kommunale tjenester gitt av føderal lov av 27. juli 2010 av året N 210-FZ "Om organisering av levering av statlige og kommunale tjenester", inkludert registrering av personopplysninger emne på en enkelt portal for statlige og kommunale tjenester og (eller) regionale portaler for statlige og kommunale tjenester;

(se tekst i forrige utgave)

5) behandlingen av personopplysninger er nødvendig for gjennomføringen av en avtale som gjenstanden for personopplysninger er part eller begunstiget eller garantist for, samt for å inngå en avtale på initiativ fra personopplysningsobjektet eller en avtale iht. som gjenstand for personopplysninger vil være mottaker eller garantist;

(se tekst i forrige utgave)

6) behandlingen av personopplysninger er nødvendig for å beskytte livet, helsen eller andre vitale interesser til personen som har personopplysninger, dersom det er umulig å innhente samtykke fra personopplysningsobjektet;

7) behandlingen av personopplysninger er nødvendig for å utøve rettighetene og legitime interesser til operatøren eller tredjeparter, inkludert i tilfeller fastsatt av den føderale loven "Om beskyttelse av rettigheter og legitime interesser til enkeltpersoner i gjennomføringen av aktiviteter for å returnere forfalt gjeld og på endringer i den føderale loven "Om mikrofinansaktiviteter og mikrofinansorganisasjoner", eller for å oppnå sosialt viktige mål, forutsatt at rettighetene og frihetene til emnet for personopplysninger ikke krenkes;

(se tekst i forrige utgave)

8) behandlingen av personopplysninger er nødvendig for den profesjonelle virksomheten til en journalist og (eller) den legitime virksomheten til massemediene eller vitenskapelige, litterære eller andre kreative aktiviteter, forutsatt at rettighetene og legitime interessene til emnet for personopplysninger er ikke krenket;

9) behandlingen av personopplysninger utføres for statistiske eller andre forskningsformål, med unntak av formålene spesifisert i artikkel 15 i denne føderale loven, underlagt obligatorisk depersonalisering av personopplysninger;

10) behandling av personopplysninger utføres, tilgang til et ubegrenset antall personer som gis av gjenstanden for personopplysninger eller på hans forespørsel (heretter referert til som personopplysninger offentliggjort av gjenstanden for personopplysninger);

11) behandling av personopplysninger underlagt publisering eller obligatorisk offentliggjøring i samsvar med føderal lov utføres.

1.1. Behandlingen av personopplysninger om gjenstander med statlig beskyttelse og medlemmer av deres familier utføres under hensyntagen til funksjonene gitt av føderal lov av 27. mai 1996 N 57-ФЗ "On State Protection".

2. Funksjoner ved behandlingen av spesielle kategorier av personopplysninger, så vel som biometriske personopplysninger, er etablert i samsvar med denne føderale loven.

3. Operatøren har rett til å overlate behandlingen av personopplysninger til en annen person med samtykke fra gjenstanden for personopplysninger, med mindre annet er bestemt av føderal lov, på grunnlag av en avtale inngått med denne personen, inkludert en statlig eller kommunal kontrakt, eller ved å vedta en relevant handling av et statlig eller kommunalt organ (heretter operatørinstruks). En person som behandler personopplysninger på vegne av operatøren er forpliktet til å overholde prinsippene og reglene for behandling av personopplysninger fastsatt i denne føderale loven. Operatørens instruks må definere en liste over handlinger (operasjoner) med personopplysninger som vil bli utført av personen som behandler personopplysninger og formålene med behandlingen, plikten til en slik person til å opprettholde konfidensialiteten til personopplysninger og sikre sikkerheten til personopplysninger data under behandlingen, samt kravene til beskyttelse av behandlede personopplysninger må spesifiseres i samsvar med artikkel 19 i denne føderale loven.

4. Personen som behandler personopplysninger på vegne av operatøren er ikke pålagt å innhente samtykke fra subjektet for personopplysninger til behandlingen av hans personopplysninger.

5. Dersom operatøren overlater behandlingen av personopplysninger til en annen person, skal operatøren være ansvarlig overfor gjenstanden for personopplysninger for nevnte persons handlinger. Den som behandler personopplysninger på vegne av operatøren er ansvarlig overfor operatøren.

1. juli 2017 trådte føderal lov nr. 13-FZ av 7. februar 2017 i kraft, som endrer art. 13.11 i loven om administrative lovbrudd og gir for utvidelse av listen over grunnlag for å bringe til administrativt ansvar for ulovlig x og en betydelig økning i bøter.

Et av de obligatoriske dokumentene som en personopplysningsoperatør må utarbeide for å overholde kravene i føderal lov av 27. juli 2006 nr. 152-FZ kalles retningslinjer for behandling av personopplysninger, som forklarer hvordan selskapet arbeider med dataene. av ansatte, kunder og andre enkeltpersoner. Denne filen er fritt tilgjengelig på nesten alle nettsteder som har noen form for innsamling av personopplysninger.

Hvordan utarbeide en retningslinjer for behandling av personopplysninger riktig, hvilke seksjoner må inkluderes? Roskomnadzor gir avklaringer i disse spørsmålene.

Strukturen i retningslinjene for behandling av personopplysninger

Generelle bestemmelser
Formål med å samle inn personopplysninger
Juridisk grunnlag for behandling av personopplysninger
Omfang og kategorier av behandlede personopplysninger, kategorier av personopplysninger
Prosedyre og vilkår for behandling av personopplysninger
Oppdatering, retting, sletting og ødeleggelse av personopplysninger, svar på forespørsler fra subjekter om tilgang til personopplysninger

1. Generelle mål

I denne delen svarer du faktisk på spørsmålet – hva er retningslinjene for behandling av personopplysninger til for? Den forklarer også de grunnleggende konseptene som brukes i dokumentet, samt rettighetene og pliktene til operatøren og emnet for personopplysninger.

2. Formål med å samle inn personopplysninger

Kunst. 5 i føderal lov av 27. juli 2006 nr. 152-FZ krever definisjon av spesifikke, legitime formål for innsamling av data. Derfor kan ikke personopplysninger som ikke samsvarer med disse formålene behandles.

Roskomnadzor indikerer at formålene med å behandle personopplysninger kan forekomme, inkludert:

fra analysen av rettsakter som regulerer operatørens aktiviteter;
fra formålene med aktivitetene som faktisk utføres av operatøren;
fra aktiviteter som er gitt i operatørens inngående dokumenter;
fra spesifikke forretningsprosesser til operatøren i spesifikke informasjonssystemer for personopplysninger (i henhold til operatørens strukturelle inndelinger og deres prosedyrer i forhold til visse kategorier av personopplysninger).

3. Juridisk grunnlag for behandling av personopplysninger

Føderal lov nr. 152-FZ av 27. juli 2006 er ikke et juridisk grunnlag for behandling av personopplysninger. Denne rollen utføres av rettsaktene som operatøren behandler dataene i henhold til.

I retningslinjene for databehandling, som juridisk grunnlag, kan du derfor spesifisere: føderale lover og regulatoriske rettsakter vedtatt på grunnlag av dem som regulerer forhold knyttet til operatørens aktiviteter; lovpålagte dokumenter fra operatøren; kontrakter inngått mellom operatøren og gjenstanden for personopplysninger; samtykke til behandling av personopplysninger (i tilfeller som ikke er uttrykkelig fastsatt av lovgivningen i Den russiske føderasjonen, men som svarer til operatørens myndighet).

4. Omfang og kategorier av behandlede personopplysninger, kategorier av personopplysninger

Det er viktig at mengden personopplysninger som behandles ikke avviker fra de angitte formålene med behandlingen.

Kategoriene av personopplysninger kan omfatte: ansatte - både nåværende og tidligere, kandidater til ledige stillinger, slektninger til ansatte, kunder og motparter (enkeltpersoner), representanter eller ansatte for kunder og motparter.

Roskomnadzor gjør oppmerksom på at for hver kategori av emner og i forhold til spesifikke formål bør alle behandlede personopplysninger angis. Alle tilfeller av behandling av spesielle kategorier av personopplysninger og biometriske personopplysninger (hvis aktuelt) er beskrevet separat.

5. Prosedyre og vilkår for behandling av personopplysninger

Hva er inkludert i denne delen:

liste over handlinger utført med personopplysninger;
måter å behandle personopplysninger på;
vilkår for behandling av personopplysninger.

Hvis, som en del av å oppnå målene med å behandle personopplysninger, operatøren samhandler med tredjeparter, må han:

forklare vilkårene for overføring av personopplysninger til tredjeparter (inkludert grenseoverskridende dataoverføring);
angi navn og plassering til tredjeparter;
angi formålene med dataoverføring og omfanget av dem;
liste opp behandlingshandlinger, metoder og andre behandlingsbetingelser, inkludert kravene til beskyttelse av behandlede personopplysninger.

Operatøren har rett til å overføre personopplysninger til undersøkelses- og etterforskningsorganer, samt andre autoriserte organer på grunnlag fastsatt i loven.

Retningslinjene for behandling av personopplysninger bør inneholde informasjon om overholdelse av kravene til konfidensialitet for personopplysninger (de er navngitt i artikkel 7 i føderal lov av 27. juli 2006 nr. 152-FZ) og informasjon om å iverksette tiltak (del 2 av Artikkel 18.1, del 1 av Art. 19).

I tillegg må operatøren spesifisere vilkåret for å avslutte behandlingen av personopplysninger. Dette kan være oppnåelse av formålene med behandlingen, utløpet av samtykket til behandling, tilbaketrekking av samtykket fra gjenstanden for personopplysninger til behandling, identifisering av ulovlig databehandling.

Spesiell oppmerksomhet bør rettes mot et slikt problem som lagring av personopplysninger. Først må fristene kalles ut. For det andre brukes databaser lokalisert på territoriet til den russiske føderasjonen. For det tredje tar den hensyn til at lagringen må utføres i en form som tillater identifikasjon av gjenstanden for personopplysninger ikke lenger enn det som kreves av formålet med behandlingen. For det fjerde er det nødvendig å nevne andre lagringsforhold, inkludert ved behandling av data uten bruk av automatiseringsverktøy.

6. Oppdatering, retting, sletting og ødeleggelse av personopplysninger, svar på forespørsler fra subjekter om tilgang til personopplysninger

I henhold til art. 21 nr. 152-FZ, må personopplysninger oppdateres av operatøren dersom det er bekreftet at personopplysningene er unøyaktige. Det samme gjelder bekreftelse av ulovlig behandling.

Personopplysninger er gjenstand for tilintetgjørelse når formålet med behandlingen av deres er oppnådd og i tilfelle at gjenstanden for personopplysninger trekker tilbake samtykket til behandlingen, med mindre: annet følger av kontrakten, parten som, mottakeren eller garantisten for, er emnet for personopplysninger; ellers er ikke gitt av en annen avtale mellom operatøren og gjenstanden for personopplysninger. Operatøren har ikke rett til å behandle personopplysninger uten samtykke fra subjektet på grunnlag gitt av føderal lov nr. 152-FZ av 27. juli 2006 eller andre føderale lover.

Basert på Art. 20, er operatøren forpliktet til å informere gjenstanden for personopplysninger om behandlingen av personopplysninger utført av ham på forespørsel.

Roskomnadzor anbefaler at retningslinjene for behandling av personopplysninger inkluderer forskrifter for å svare på forespørsler og klager fra personopplysninger, deres representanter, autoriserte organer angående dataunøyaktighet, ulovlig behandling, tilbaketrekking av samtykke og tilgang til deres data. Det vil ikke være overflødig å legge til de riktige formene for forespørsler og appeller til policyen.

Plassering av retningslinjer for behandling av personopplysninger på kontoret og på nettsiden

Enhver person hvis data behandles av selskapet har rett til å gjøre seg kjent med retningslinjene for behandling av personopplysninger. Derfor må den plasseres på et offentlig sted. Bruk for eksempel et informasjonsstativ til dette.

Hvis selskapet samler inn personopplysninger via Internett, er det forpliktet til å plassere policyen på nettstedet. Den besøkende på nettstedet kan se det ved å klikke på lenken.

For å holde deg oppdatert på de viktigste forretningsendringene, bli med i vår kanal på

Denne ordren for behandling av personopplysninger (heretter referert til som ordren) ble utviklet i samsvar med føderal lov av 27.07.2006. nr. 152-FZ "Om personopplysninger". Denne ordren bestemmer prosedyren for behandling av personopplysninger og tiltak for å sikre sikkerheten til personopplysninger i CardsProService LLC for å beskytte rettighetene og frihetene til en person og borger ved behandling av personopplysningene hans, inkludert beskyttelse av rettighetene til personvern, personvern og familie. hemmeligheter.

1. VILKÅR OG DEFINISJONER

1) Personlig informasjon- all informasjon som er direkte eller indirekte knyttet til en spesifikk eller identifiserbar fysisk person (gjenstand for personopplysninger);

2) Operatør (kunde) - et statlig organ, et kommunalt organ, en juridisk enhet eller en enkeltperson, uavhengig eller sammen med andre personer som organiserer og (eller) utfører behandlingen av personopplysninger, samt bestemmer formålene med behandlingen av personopplysninger, sammensetningen av personopplysninger data som skal behandles, handlinger (operasjoner) utført med personopplysninger;

3) Behandling av personopplysninger- enhver handling (operasjon) eller et sett med handlinger (operasjoner) utført ved bruk av automatiseringsverktøy eller uten bruk av slike verktøy med personopplysninger, inkludert innsamling, registrering, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), utvinning, bruk, overføring (distribusjon, levering, tilgang), depersonalisering, blokkering, sletting, ødeleggelse av personopplysninger;

4) Automatisert behandling av personopplysninger- behandling av personopplysninger ved bruk av datateknologi;

5) Formidling av personopplysninger- handlinger rettet mot å utlevere personopplysninger til en ubestemt krets av personer;

6) Oppgi personopplysninger- handlinger rettet mot å avsløre personopplysninger til en bestemt person eller en bestemt krets av personer;

7) Blokkering av personopplysninger- midlertidig suspensjon av behandlingen av personopplysninger (med mindre behandlingen er nødvendig for å avklare personopplysninger);

8) Ødeleggelse av personopplysninger- handlinger, som et resultat av at det blir umulig å gjenopprette innholdet av personopplysninger i personopplysningssystemet og (eller) som et resultat av at vesentlige bærere av personopplysninger blir ødelagt;

9) Autoriserte personer av kunden- personer som handler i samsvar med avtalen om
konfidensialitet inngått med kunden.

10) Oanonymisering av personopplysninger- handlinger, som et resultat av at det blir umulig å bestemme eierskapet til personopplysninger til et spesifikt emne av personopplysninger uten bruk av tilleggsinformasjon;

11) Informasjonssystem for personopplysninger- et sett med personopplysninger i databaser og informasjonsteknologier og tekniske midler som sikrer behandlingen av dem;

12) Grenseoverskridende overføring av personopplysninger- overføring av personopplysninger til
territoriet til en fremmed stat til en myndighet i en fremmed stat, en utenlandsk fysisk person eller en utenlandsk juridisk enhet;

13) Utfører- CardsProService LLC (123610, Moskva, Krasnopresnenskaya voll, bygning 12, kontorbygg 1, rom ID, rom 42; OGRN 1157746550070).

2. BESTILLING AV BEHANDLING AV PERSONOPPLYSNINGER

2.1. Kunden, som er operatør av personopplysninger, i samsvar med paragraf 3 i art. 6 i den føderale loven av 27. juli 2006 nr. 152-FZ "Om personopplysninger", instruerer, og entreprenøren forplikter seg til å behandle personopplysninger om subjekter, i kundens interesse og i henhold til
Brukeravtale.

3. REkkefølgen for samhandling mellom PARTENE

3.1. Grunnlaget for Leverandøren for #nbsp; behandling av personopplysninger om subjekter, utført i Kundens interesse, er Brukeravtalen.

3.2. Prosedyren for å organisere innsamlingen av samtykke fra personopplysninger for behandling og overføring av deres personopplysninger, samt formålene med å behandle personopplysninger, sammensetningen av personopplysninger som skal behandles, handlinger (operasjoner) utført med personopplysninger:

3.2.1. Formål med behandling av personopplysninger.

Behandlingen av personopplysninger er betrodd for å implementere lojalitetsprogrammer.

3.2.2. Liste over personopplysninger, hvis behandling er overlatt til entreprenøren

Fullt navn;
Sted, år og fødselsdato;
Kontakt nummer;
Registreringsadresse;
Adresse til stedet for faktisk bosted (opphold);
Passdata (serie, passnummer, av hvem og når utstedt);
Telefonnummer (hjem, jobb, mobil).

3.2.3. Listen over handlinger (operasjoner) med #nbsp; personopplysninger som Leverandøren er instruert om å utføre:

Innsamling av personopplysninger.
Systematisering av personopplysninger.
Akkumulering av personopplysninger.
Bruk av personopplysninger for implementering av lojalitetsprogrammer og kommunikasjon med personopplysninger.
Lagring av personopplysninger.
Avklaring (oppdatering, endring) av personopplysninger:
Uttak (lossing) - etter ytterligere skriftlig ordre fra Kunden.
Depersonalisering av personopplysninger:
-
- på juridisk forespørsel fra emnet for personopplysninger, med obligatorisk skriftlig melding fra kunden;
- på forespørsel fra statlige reguleringsmyndigheter for beskyttelse av rettighetene til subjekter av personopplysninger, med en obligatorisk skriftlig melding fra kunden.
Blokkering av personopplysninger:
- etter ytterligere skriftlig ordre fra kunden;
- på juridisk forespørsel fra emnet for personopplysninger, med obligatorisk skriftlig melding fra kunden;
- på forespørsel fra statlige reguleringsmyndigheter for beskyttelse av rettighetene til subjekter av personopplysninger, med en obligatorisk skriftlig melding fra kunden.
Sletting av personopplysninger:
- etter ytterligere skriftlig ordre fra kunden;
- på juridisk forespørsel fra emnet for personopplysninger, med obligatorisk skriftlig melding fra kunden;
- på forespørsel fra statlige reguleringsmyndigheter for beskyttelse av rettighetene til subjekter av personopplysninger, med en obligatorisk skriftlig melding fra kunden.
Ødeleggelse av personopplysninger - etter ytterligere skriftlig ordre fra Kunden.

3.2.4. Prosedyre for behandling av personopplysninger

Behandlingen av personopplysninger bør begrenses til å oppnå spesifikke, forhåndsbestemte og legitime formål. Det er ikke tillatt å behandle personopplysninger som er uforenlige med formålet med å samle inn personopplysninger.
Det er ikke tillatt å kombinere databaser som inneholder personopplysninger, hvis behandling utføres for formål som er uforenlige med hverandre.
Kun personopplysninger som oppfyller formålene med behandlingen deres er gjenstand for behandling.
Innholdet og omfanget av de behandlede personopplysningene må samsvare med de angitte formålene med behandlingen. De behandlede personopplysningene bør ikke være overdreven i forhold til de angitte formålene med behandlingen.
Ved behandling av personopplysninger må nøyaktigheten av personopplysningene, deres tilstrekkelighet, samt relevans i forhold til formålene med behandling av personopplysninger, sikres.
Lagring av personopplysninger bør utføres i en form som gjør det mulig å bestemme emnet for personopplysninger, ikke lenger enn det som kreves av formålene med å behandle personopplysninger, med mindre annet er spesifisert i vilkårene i kontrakten. De behandlede personopplysningene er gjenstand for ødeleggelse eller depersonalisering ved oppnåelse av formålene med behandlingen eller i tilfelle tap av behovet for å oppnå disse formålene, med mindre annet er spesifisert i vilkårene i kontrakten.

3.2.5. Organisering av personopplysningsbeskyttelse

Gjenstander for beskyttelse

informasjon som inneholder personopplysninger om subjekter;
maskinmedier som inneholder personopplysninger om emner;
informasjonssystemer for personopplysninger;
personopplysninger om emner i elektroniske databaser med informasjonssystemer for personopplysninger.

3.2.6. Tiltak for å organisere og sikre sikkerheten til personopplysninger

For å ivareta sikkerheten til personopplysninger må Leverandøren treffe følgende tiltak:

Nødvendige juridiske, organisatoriske og tekniske tiltak eller sikre at de tas i bruk for å beskytte personopplysninger mot uautorisert eller utilsiktet tilgang til dem, ødeleggelse, modifikasjon, blokkering, kopiering, levering, distribusjon av personopplysninger, samt fra andre ulovlige handlinger i forhold til personopplysninger .
Sikre tilgang for Leverandørens ansatte til personopplysninger behandlet på vegne av Kunden, etter signering av Forpliktelsen om ikke-utlevering av personopplysninger, studere Kundens krav til behandling og beskyttelse av personopplysninger, lokale forskrifter som regulerer organisasjonen og sikre beskyttelsen av personopplysninger og formidling av instruksjoner om prosedyren for kontakt med personopplysninger.
Bestemmelse av trusler mot sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger.
Anvendelse av organisatoriske og tekniske tiltak for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger som er nødvendige for å oppfylle kravene til beskyttelse av personopplysninger, og implementeringen av disse sikrer nivåene for beskyttelse av personopplysninger etablert av regjeringen i Den russiske føderasjonen.
Evaluering av effektiviteten av tiltakene som er tatt for å sikre sikkerheten til personopplysninger før igangsetting av personopplysningssystemet.
Regnskap for maskinbærere av personopplysninger.
Påvisning av fakta om uautorisert tilgang til personopplysninger og iverksetting av tiltak.
Gjenoppretting av personopplysninger endret eller ødelagt på grunn av uautorisert tilgang til dem.
Etablering av regler for tilgang til personopplysninger behandlet i personopplysningssystemet, samt sikre registrering og regnskapsføring av alle handlinger utført med personopplysninger i personopplysningssystemet.
Kontroll over tiltakene som er tatt for å sikre sikkerheten til personopplysninger og sikkerhetsnivået til informasjonssystemer for personopplysninger.

3.2.7. Ødeleggelse av personopplysninger

Ødeleggelsen av personopplysninger om subjekter kan utføres av entreprenøren, kun:

etter ytterligere skriftlig ordre fra kunden;
på juridisk forespørsel fra emnet for personopplysninger, med obligatorisk skriftlig melding fra kunden;
på forespørsel fra statlige reguleringsmyndigheter for beskyttelse av rettighetene til subjekter av personopplysninger, med en obligatorisk skriftlig melding fra kunden.

Ødeleggelsen av de behandlede personopplysningene til forsøkspersonene må garanteres og sikre umuligheten av å gjenopprette innholdet av personopplysninger i informasjonssystemet til personopplysninger eller bærere som inneholder dem.

3.2.8. Prosedyren for å avslutte behandlingen av personopplysninger

Avslutning av behandlingen av personopplysninger utføres:

ved oppsigelse av kontraktsforholdet som er grunnlaget for behandling av personopplysninger;
etter ytterligere skriftlig ordre fra kunden;
etter skriftlig ordre fra statlige tilsynsmyndigheter.

I alle tilfeller av opphør av behandling av personopplysninger, fastsettes det videre formålet med databasene av Kunden med utarbeidelse av en skriftlig melding om det videre formålet med persondatabasene.

4. RETTIGHETER OG FORPLIKTELSER FOR PARTENE

4.1. Kunden forplikter seg til:

4.1.1. I tilfelle at emnet for personopplysninger trekker tilbake samtykket til behandling av personopplysninger og det ikke er noen grunn spesifisert i paragraf 2-11 i del 1 av artikkel 6, del 2 av artikkel 10 og del 2 av artikkel 11 i den føderale loven av 27. juli 2006 nr. 152-FZ "Om personopplysninger som kan behandles
personopplysninger uten samtykke fra subjektet, sende entreprenøren en skriftlig ordre om å utføre arbeid for å slette eller depersonalisere personopplysningene til subjektet.

4.1.2. Ved mottak av en forespørsel fra emnet for personopplysninger om å gi informasjonen spesifisert i del 7 av artikkel 14 i føderal lov av 27. juli 2006 nr. 152-FZ "Om personopplysninger", eller emnets krav til uttynning av hans personopplysninger, deres blokkering eller ødeleggelse i tilfelle dersom personopplysningene er ufullstendige, utdaterte, unøyaktige, ulovlig innhentet eller ikke nødvendige for det angitte formålet med behandlingen, sende Leverandøren en skriftlig ordre til
gi informasjon, eller utføre spesifikke handlinger med personopplysningene til subjektet.

4.2. Entreprenøren forplikter seg til:

4.2.1. Utfør behandlingen av personopplysninger på lovlig grunnlag, i strengt samsvar med vilkårene i denne ordren.

4.2.2. På den første skriftlige forespørselen fra Kunden, overføre (returnere) persondatabasene behandlet på hans vegne på den måten som er spesifisert i forespørselen.

4.2.4. På forespørsel fra det autoriserte organet for beskyttelse av rettighetene til personopplysningssubjekter, fremlegg bevis for mottak av samtykke fra personopplysningssubjekter samlet inn under denne ordren for behandling av deres personopplysninger eller bevis på eksistensen av grunnene spesifisert i avsnitt 2-11 i del 1 av artikkel 6, del 2 av artikkel 10 og del 2 av artikkel 11 i føderal lov av 27. juli 2006 nr. 152-FZ "Om personopplysninger", som tillater behandling av personopplysninger uten at personens samtykke.

Siden slutten av sommeren har personopplysningsloven vært i kraft i ny utgave. Reglene for innhenting og beskyttelse av informasjon er endret. For arbeidsgiver betyr dette kun én ting – ekstra papirarbeid. I artikkelen vil vi snakke om hvordan man utarbeider en forskrift om arbeid med personopplysninger til ansatte og utnevner en ansvarlig for organisering av arbeid med personopplysninger.

Hva er personopplysninger

Føderal lov nr. 152-FZ av 27. juli 2006 "Om personopplysninger" (heretter - lov nr. 152-FZ) definerer personlig informasjon som all informasjon direkte eller indirekte knyttet til en enkeltperson (til emnet for personopplysninger). Dette fremgår av paragraf 1 i art. 3 i lov N 152-FZ.

I henhold til del 1 av art. 85 i arbeidsloven, er personopplysninger om en ansatt forstått som informasjon knyttet til en bestemt ansatt, som er nødvendig for arbeidsgiver i forbindelse med arbeidsforhold. Vi snakker om data som:

Fullt navn;
Fødselsdato og -sted;
adresse;
sivilstatus;
stilling (yrke);
lønn, annen inntekt;
eierskap av fast eiendom, kontantinnskudd, etc.;
utdanning, kvalifikasjoner, yrkesopplæring, informasjon om avansert opplæring;
vaner og hobbyer, inkludert skadelige (alkohol, narkotika, etc.);
fakta om biografien og tidligere arbeidsaktivitet (arbeidssted, inntektsbeløp, strafferegister, militærtjeneste, arbeid i valgfrie stillinger, i offentlig tjeneste, etc.);
fysiologiske funksjoner, helse;
forretningsmessige og andre personlige egenskaper;
annen informasjon.

Listen over personaldokumenter som inneholder personopplysninger om ansatte er gitt i tabell. 1 på s. 76.

Tabell 1. Dokumenter som inneholder personopplysninger om ansatte

N	Dokument	Intelligens
1	Spørreskjema, selvbiografi, personlig personaljournal (utfylles ved opptak jobb)	Personlige og biografiske data arbeider
2	en kopi av dokumentet, identitetskort arbeider	Fullt navn, fødselsdato, adresse registrering, sivilstand, familiesammensetning
3	Personlig kort (skjema N T-2, godkjent ved vedtaket Goskomstat av Russland datert 05.01.2004 N 1)	FULLT NAVN. ansatt, fødested, familiesammensetning, utdanning og dataene i dokumentet som bekrefter personlighet
4	Ansettelseshistorie	Informasjon om arbeidserfaring, tidligere arbeidssteder
5	Kopi av attester om fengsling ekteskap, fødsel	Familiesammensetning, familieforandringer stilling
6	Militære registreringsdokumenter	Informasjon om holdningen til den ansatte til militærplikt påkrevd arbeidsgiver å gjennomføre militær registrering av arbeidere
7	Attest på inntekt fra forrige arbeidssteder	Fullt navn, data om inntektsbeløp og tilbakeholdt personlig inntektsskatt
8	Utdanningsdokumenter	Bekreft kvalifikasjonene til den ansatte rettferdiggjøre okkupasjonen av en viss stillinger
9	Obligatoriske dokumenter pensjonsforsikring	Fullt navn, personopplysninger
10	Arbeidskontrakt	Informasjon om stillingen til den ansatte lønn, arbeidssted, arbeidsplass og annet ansattes personopplysninger
11	Bestillinger for personell	Informasjon om opptak, overføring, permitteringer og andre arrangementer relatert til arbeid arbeider

Operatør for behandling av personopplysninger

I henhold til lov N 152-FZ kalles en person (juridisk eller naturlig) som organiserer og (eller) utfører behandlingen av personopplysninger, bestemmer deres sammensetning, behandlingsformål, handlinger utført med personopplysninger. operatør(Klausul 2, artikkel 3 i lov N 152-FZ). I vårt tilfelle er dette arbeidsgiveren.

Behandling av personopplysninger- enhver handling utført med dem. Operasjoner for behandling av personopplysninger:

samling;
ta opp;
systematisering;
akkumulering;
Oppbevaring;
avklaring (oppdatering, endring);
utdrag;
bruk;
overføring (distribusjon, levering, tilgang);
depersonalisering;
blokkering;
fjerning;
ødeleggelse av personopplysninger.

Forskrift om arbeid med personopplysninger

Prosedyren for operatørens behandling av personopplysninger kan fastsettes i Forskrift om arbeid med personopplysninger om ansatte (heretter kalt forordningen). Det er ingen enhetlig form for dokumentet. Vurder hvordan du utarbeider dette dokumentet, under hensyntagen til kravene i lov N 152-FZ. Forskriften består av flere paragrafer. De er presentert i tabell. 2. Den angir også kort informasjonen som avsnittene skal inneholde. Detaljert informasjon er presentert i et fragment av Forskrift om ansattes personopplysninger, som er gitt på s. 80.

Tabell 2. Oppbygning av Forskrift om personopplysninger om ansatte

N	Plikt	Innhold i seksjonen
1	Generelle bestemmelser	Formålet med vedtakelsen av forordningen
		Spørsmål regulert av forordningen
		Lenker til normative handlinger. Pek på hvilke dokumenter er basert på Stilling. I organisasjoner der regjeringen embetsmenn, det vises til: - Føderal lov av 27. juli 2004 N 79-FZ "Om statens siviltjeneste til russeren Føderasjon"; - Dekret fra presidenten for den russiske føderasjonen av 30. mai 2005 N 609 "På godkjenning av personopplysningsforordningen offentlig tjenestemann Den russiske føderasjonen og oppførselen til hans personlige saker"; - reguleringshandlinger fra emnet til den russiske føderasjonen
2	Enkle konsepter. Sammensetning av personlig ansattes data	Enkle konsepter. Definisjoner av begreper er gitt "personopplysninger", "behandling av personopplysninger". data", "bruk av personopplysninger", perioden for oppbevaring av dokumenter er angitt, etc. Hver for seg bør det angis hva som gjelder personopplysninger i et bestemt selskap med tar hensyn til funksjonene (data brukt i arbeid, for eksempel informasjon om arbeid med sensitive gjenstander, ved å få tillatelse til statshemmelighet, overholdelse av helse for yrker knyttet til tungt og skadelig forhold osv.)
		Listen over dokumenter fra organisasjonen som inneholde personopplysninger
3	Kvittering personlig informasjon arbeidere	Prosedyren for å innhente personopplysninger. Det er indikert at dataene er mottatt og behandlet med skriftlig samtykke fra den ansatte. Indikerer tilfeller der samtykke ikke er nødvendig
4	Bruk personlig informasjon	Formål med å bruke personopplysninger om ansatte
5	Behandling personlig informasjon	Vilkår som skal overholdes ved behandling av personopplysninger ansattes data
6	Kringkaste personlig informasjon (Tilgang til personlig informasjon)	Prosedyren for overføring av personopplysninger innen organisasjoner (intern tilgang), tredjeparter og offentlige etater (ekstern tilgang)
7	Ansvar for bryte reglene regulere behandling og beskyttelse personlig informasjon	Spesifiser hvem som er ansvarlig for brudd på reglene for oppbevaring og bruk personlig informasjon

Fragment av Forskrift om personopplysninger om ansatte

Forskriftens ikrafttredelse

Forskriften om personopplysninger godkjennes av virksomhetens leder og settes i kraft ved pålegg for organisasjonen (utvalg er gitt på s. 90). En oppføring om godkjenning av forskriften skal gjøres i registeret over lokale forskrifter.

Hvis det er en fagforening

Dersom bedriften har en fagforening, skal forskriften avtales med denne. For å gjøre dette sendes utkastet til forskrift til fagforeningens valgte organ (artikkel 372 i den russiske føderasjonens arbeidskode). Han må si sin mening (skriftlig) senest fem virkedager fra datoen for mottak av utkastet. Dersom Fagforbundet ikke er enig i prosjektet eller har forslag til forbedring av det, har administrasjonen to muligheter. Det første er å være enig. Den andre er å gjennomføre ytterligere konsultasjoner med fagforeningen innen tre dager etter at man har mottatt en begrunnet uttalelse for å komme frem til en gjensidig akseptabel løsning. Dersom dette ikke hjelper, bør det lages en uenighetsprotokoll. Etter det har administrasjonen rett til å vedta forskriften uten å ta hensyn til fagforeningens krav. Han vil imidlertid kunne klage på forskriften eller starte prosedyren for en kollektiv arbeidskonflikt på den måten som er foreskrevet av kap. 61 i arbeidsloven.

Gjøre ansatte kjent med forskriften

Ansatte må være kjent med forordningen mot underskrift (klausul 8, artikkel 86 i den russiske føderasjonens arbeidskode). Dette faktum kan fikses:

i teksten til arbeidskontrakten til hver ansatt (som viser lokale forskrifter som den ansatte er kjent med før han signerer kontrakten);
- et ark med kjennskap til forskriften (eksempel på s. 91);
- en journal for å gjøre ansatte kjent med lokale forskrifter (prøve på s. 91).

Eksempel på kjennskap til lokale forskrifter

N p/p	Navn på lokal forskrift	dato	Signatur
1	Interne arbeidsbestemmelser OOO "Cherny Les"	03.10.2011	Evstakhov
2	Forskrift om lønn, bonus og sosial sikkerhet for ansatte i Cherny skog"	03.10.2011	Evstakhov
3	Informasjonssikkerhetsinstruksjoner, godkjent av kjennelsen datert 15.06.2008 N 1	03.10.2011	Evstakhov
4	Forskrift om personopplysninger	03.10.2011	Evstakhov
5	Forskrift om ansvar arbeidere for skade forårsaket av Cherny Les LLC	03.10.2011	Evstakhov

Fragment av loggen for fortrolighet medReguleringom personopplysninger

Merk. Periode for lagring av personopplysninger

Lokale forskrifter (forskrifter, instrukser) om personopplysninger skal lagres permanent. Når det gjelder uttalelser fra ansatte om samtykke til databehandling (de vil bli diskutert i følgende utgaver), andre dokumenter fra den ansatte, lagres de i 75 år. Dette fremgår av listen godkjent av det russiske kulturdepartementets ordre datert 25. august 2010 N 558.

Administrativt ansvar

Tiltak for administrativt ansvar (for det meste bøter er gitt, inhabilitet gjelder ikke i dette tilfellet) for bedriften og dens tjenestemenn for brudd på prosedyren for innhenting, behandling, lagring og beskyttelse av ansattes personopplysninger er gitt i tabell. 3.

Tabell 3. Ansvar for brudd på prosedyren for innhenting, behandling, lagring og beskyttelse av personopplysninger om ansatte

I samsvar med del 2 av art. 85 i den russiske føderasjonens arbeidskode behandling av personopplysninger til en ansatt - er mottak, lagring, kombinasjon, overføring eller annen bruk av den ansattes personopplysninger.

Behandlingen av den ansattes personopplysninger kan utføres utelukkende med det formål å sikre overholdelse av lover og andre regulatoriske rettsakter, bistå den ansatte i ansettelse, opplæring og forfremmelse, sikre storbysikkerhet, samt kontrollere mengden og kvaliteten på arbeidet. utført av ham og sikre sikkerheten til eiendom (klausul 1 artikkel 86 i den russiske føderasjonens arbeidskode).

I henhold til paragraf 3 i art. 3 i den føderale loven "om personopplysninger", er behandlingen av personopplysninger handlinger (operasjoner) med personopplysninger, inkludert innsamling, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), bruk, distribusjon (inkludert overføring), depersonalisering , blokkering , ødeleggelse av personopplysninger. Det bør tas i betraktning at uavhengig av antall funksjonelle operasjoner som er oppført i lovgivningen, bør lovregulering dekke alle stadier av behandlingen av personopplysninger – fra mottak til destruksjon, uten unntak og unntak.

Den nevnte loven viser til prinsippene for behandling av personopplysninger som følger:

lovligheten av formålene og metodene for behandling og god tro;
overholdelse av formålene med behandlingen med formålene som er forhåndsbestemt og erklært under innsamlingen av personopplysninger, samt operatørens autoritet;
samsvar med volumet og arten av de behandlede dataene, behandlingsmetoder med formålene med behandlingen deres;
påliteligheten til personopplysninger, deres tilstrekkelighet for behandlingsformål, utillateligheten av å behandle personopplysninger som ikke er relatert til formålene som er angitt under innsamlingen av data;
utillateligheten av å kombinere databaser med informasjonssystemer for personopplysninger opprettet for uforenlige formål.

Behandlingen av personopplysninger til en ansatt begynner med mottakelsen. Av generell regel alle personopplysninger skal innhentes fra den ansatte selv. I unntakstilfeller, når arbeidstakerens personopplysninger kun kan innhentes fra tredjepart, skal arbeidstakeren varsles om dette på forhånd og skriftlig samtykke innhentes fra vedkommende. Arbeidsgiver er forpliktet til å informere arbeidstakeren om formål, påståtte kilder og metoder for å innhente personopplysninger, samt arten av personopplysningene som skal innhentes og konsekvensene av arbeidstakerens avslag på å gi skriftlig samtykke til å motta dem (klausul 3) av artikkel 86 i den russiske føderasjonens arbeidskode). Arbeidsgiveren har imidlertid ikke rett til å motta og behandle personopplysningene til den ansatte om hans politiske, religiøse og andre tro og privatliv (klausul 4 i artikkel 86 i den russiske føderasjonens arbeidskode). Arbeidsgiveren kan heller ikke be om informasjon om arbeidstakerens helsestatus, hvis dette ikke gjelder for å løse spørsmålet om arbeidstakerens evne til å utføre en arbeidsfunksjon (artikkel 88 i den russiske føderasjonens arbeidskode).

Den russiske føderasjonens arbeidskode pålegger separate krav til organisering og teknologi for behandling av personopplysninger av arbeidsgiver. Plikten til å gjøre ansatte og deres representanter kjent mot underskrift med dokumentene til arbeidsgiveren som etablerer prosedyren for behandling av personopplysninger om ansatte, samt deres rettigheter og plikter på dette området, innebærer behovet for å utvikle og vedta en passende lokal forskriftsrettsakt . En slik handling, avhengig av aktivitetens spesifikasjoner og arbeidsgivers skjønn, kan refereres til som en forskrift eller instruks og inkluderer som regel følgende seksjoner:

grunnleggende konsepter og bestemmelser;
behandling av personopplysninger til en ansatt;
dannelse av personopplysninger om den ansatte;
regnskap, lagring og overføring av personopplysninger til en ansatt;
rettighetene og pliktene til den ansatte innen behandling og beskyttelse av personopplysningene hans.

En slik lokal forskriftsrettsakt bestemmer konfidensialitetsregimet (begrenset tilgang) for den ansattes personopplysninger hos en bestemt arbeidsgiver. Ansatte hos arbeidsgiveren som mottar personopplysningene til den ansatte, er pålagt å overholde dette regimet, som ikke bare må angis i deres stillingsbeskrivelser men også i arbeidsavtalene som er inngått med dem. Forordningen (instruksjonen) om beskyttelse av personopplysninger er hoveddokumentet som gjenspeiler detaljene ved behandlingen og overføringen av personopplysninger til en ansatt i en bestemt organisasjon, fra en viss individuell gründer. Hvis det er en automatisert komponent innenfor rammen av denne aktiviteten, har ikke arbeidsgiveren rett til å ta avgjørelser angående arbeidstakeren basert på personopplysninger innhentet utelukkende som et resultat av deres automatiserte behandling eller elektroniske mottak (klausul 6 i artikkel 86 i Den russiske føderasjonens arbeidskode). En arbeidsgiver kan ikke begrenses til å vedta en bestemmelse om beskyttelse av personopplysninger om ansatte i sin organisasjon. Tilstedeværelsen av denne lokale loven er imidlertid obligatorisk, og dens fravær anses av det statlige arbeidstilsynet som et alvorlig brudd på arbeidslovgivningen.

For dette og andre brudd på reglene for mottak, behandling og ansatt, kan arbeidsgiveren bringe gjerningsmennene til materiell, disiplinært ansvar, og de relevante statlige organer - til sivile, administrative og kriminelle.