Εγγραφή στην Roskomnadzor ως φορέας εκμετάλλευσης προσωπικών δεδομένων. Μια εταιρεία υποχρεούται να εγγραφεί στο Μητρώο Χειριστών Προσωπικών Δεδομένων;

Πώς να οργανώσετε την επεξεργασία των προσωπικών δεδομένων των εργαζομένων. Μητρώο χειριστών προσωπικών δεδομένων της Roskomnadzor. Πώς να αποκτήσετε τη συγκατάθεση ενός υπαλλήλου για την επεξεργασία των προσωπικών του δεδομένων.

Ερώτηση:Είναι υποχρεωμένη η δημοτική ενιαία επιχείρηση να εγγραφεί στο μητρώο χειριστών προσωπικών δεδομένων του Roskomnadzor, καθώς και να αναπτύξει ένα σύνολο εγγράφων για την προστασία των προσωπικών δεδομένων;

Απάντηση:Ναι, μια δημοτική ενιαία επιχείρηση υποχρεούται να εγγραφεί στο μητρώο χειριστών προσωπικών δεδομένων, καθώς και να αναπτύξει ένα σύνολο εγγράφων για την προστασία των προσωπικών δεδομένων εάν η δημοτική ενιαία επιχείρηση απασχολεί υπαλλήλους και η δημοτική ενιαία επιχείρηση επεξεργάζεται τα προσωπικά τους δεδομένα ή Η δημοτική ενιαία επιχείρηση επεξεργάζεται τα προσωπικά δεδομένα διαφόρων ατόμων (πελάτες, συνεργάτες).

Λογική

Πώς να οργανώσετε την επεξεργασία των προσωπικών δεδομένων των εργαζομένων

Η έννοια των προσωπικών δεδομένων

Ποια προσωπικά δεδομένα ενός εργαζομένου δικαιούται να λάβει ο οργανισμός;

Δημόσια προσωπικά δεδομένα

Ερώτηση από την πρακτική:ποια προσωπικά δεδομένα θεωρούνται δημόσια

Οι δημόσιες πληροφορίες είναι γενικά γνωστές πληροφορίες και άλλες πληροφορίες στις οποίες η πρόσβαση δεν περιορίζεται. Τέτοιες πληροφορίες μπορούν να χρησιμοποιηθούν από οποιοδήποτε πρόσωπο κατά την κρίση τους, με την επιφύλαξη νομικών περιορισμών στη διανομή τους. Αυτό αναφέρεται στις παραγράφους, άρθρο 7 του νόμου της 27ης Ιουλίου 2006 Αρ. 149-FZ.

Δημόσια προσωπικά δεδομένα είναι δεδομένα που το υποκείμενο των προσωπικών δεδομένων έχει καταστήσει διαθέσιμα ως τέτοια. Τα δημόσια προσωπικά δεδομένα μπορεί να περιλαμβάνουν πληροφορίες προσβάσιμες σε απεριόριστο αριθμό ατόμων (για παράδειγμα, δεδομένα από ανοιχτούς καταλόγους, βιβλία διευθύνσεων κ.λπ.).

Δεδομένου ότι οποιοσδήποτε έχει πρόσβαση σε αυτά, δεν απαιτούν πλέον ειδική ασφάλεια.

Κατά την επεξεργασία τέτοιων δεδομένων, ο χειριστής δεν χρειάζεται να ενημερώσει τον εξουσιοδοτημένο φορέα για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων προσωπικού χαρακτήρα (ρήτρα 4, μέρος 2, άρθρο 22 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ).

Συγκατάθεση για την επεξεργασία προσωπικών δεδομένων

Πώς να αποκτήσετε τη συγκατάθεση ενός υπαλλήλου για την επεξεργασία των προσωπικών του δεδομένων

Κατά τη διάρκεια των δραστηριοτήτων του, ο εργοδότης πρέπει να επεξεργάζεται προσωπικά δεδομένα των εργαζομένων. Η επεξεργασία τέτοιων δεδομένων, με εξαίρεση ορισμένες περιπτώσεις, γίνεται μόνο με τη γραπτή συγκατάθεση των εργαζομένων. Σε αυτήν την περίπτωση, η συγκατάθεση πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες:

• επώνυμο, όνομα, πατρώνυμο, διεύθυνση του υπαλλήλου, στοιχεία του διαβατηρίου (άλλο έγγραφο που αποδεικνύει την ταυτότητά του), συμπεριλαμβανομένων πληροφοριών σχετικά με την ημερομηνία έκδοσης του εγγράφου και την αρχή έκδοσης·

• όνομα ή επώνυμο, όνομα, πατρώνυμο και διεύθυνση του εργοδότη (διαχειριστή) που λαμβάνει τη συγκατάθεση του εργαζομένου·
• σκοπός της επεξεργασίας προσωπικών δεδομένων·
• κατάλογο των προσωπικών δεδομένων για την επεξεργασία των οποίων δίνεται η συγκατάθεση·
• όνομα ή επώνυμο, όνομα, πατρώνυμο και διεύθυνση του προσώπου που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του εργοδότη, εάν η επεξεργασία θα ανατεθεί σε τέτοιο πρόσωπο·
• κατάλογος ενεργειών με προσωπικά δεδομένα για τις οποίες δίνεται συγκατάθεση, γενική περιγραφή των μεθόδων που χρησιμοποιεί ο εργοδότης για την επεξεργασία προσωπικών δεδομένων·
• η περίοδος κατά την οποία ισχύει η συγκατάθεση του εργαζομένου, καθώς και η μέθοδος απόσυρσής της, εκτός εάν ορίζεται διαφορετικά από την ομοσπονδιακή νομοθεσία·
• υπογραφή υπαλλήλου.

Τέτοιες απαιτήσεις καθορίζονται στο μέρος 4

Εάν ένας εργαζόμενος είναι ανίκανος, η γραπτή συγκατάθεση για την επεξεργασία των προσωπικών του δεδομένων δίνεται από τον νόμιμο εκπρόσωπό του: γονέα, κηδεμόνα (Μέρος 6 του άρθρου 9 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ).

Ένας εργαζόμενος μπορεί ανά πάσα στιγμή να αποσύρει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων στέλνοντας σχόλια στον εργοδότη με οποιαδήποτε μορφή. Σε μια τέτοια περίπτωση, ο οργανισμός έχει το δικαίωμα να συνεχίσει να επεξεργάζεται προσωπικά δεδομένα χωρίς τη συγκατάθεση του εργαζομένου, λαμβάνοντας υπόψη τους περιορισμούς που καθορίζονται στις παραγράφους 2-11 του μέρους 1 του άρθρου 6, μέρος 2 του άρθρου 10 και μέρος 2 του άρθρου 11 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ, για παράδειγμα, για την απονομή δικαιοσύνης ή την προστασία της ζωής (υγείας) του ίδιου του εργαζομένου. Αυτό αναφέρεται στο Μέρος 2 του Άρθρου 9 του Νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ.

Σημειώνεται ότι σε περίπτωση διαφωνίας, η υποχρέωση παροχής αποδεικτικών στοιχείων ότι έχει ληφθεί η συναίνεση του εργαζομένου για την επεξεργασία των προσωπικών του δεδομένων ανήκει στον εργοδότη (Μέρος 3 του άρθρου 9 του νόμου της 27ης Ιουλίου 2006 αρ. 152 -FZ).

Με τη συγκατάθεση του εργαζομένου, ο οργανισμός έχει επίσης το δικαίωμα να αναθέσει την επεξεργασία προσωπικών δεδομένων σε άλλο πρόσωπο (Μέρος 3 του άρθρου 6 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ). Στην περίπτωση αυτή, ο εργοδότης θα συνεχίσει να είναι υπεύθυνος έναντι του εργαζομένου για τις ενέργειες του συγκεκριμένου ατόμου και το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του εργοδότη θα ευθύνεται απευθείας έναντι του εργοδότη (Μέρος 5 του άρθρου 6 του Ν. 27 Ιουλίου 2006 Αρ. 152- Ομοσπονδιακός νόμος).

Πρέπει να σημειωθεί ότι ο εργοδότης πρέπει να λάβει τη συγκατάθεση για την επεξεργασία προσωπικών δεδομένων όχι μόνο από εργαζομένους, δηλαδή άτομα με τα οποία έχει σχέση εργασίας, αλλά και από αιτούντες, καθώς και από πρόσωπα με τα οποία έχουν συναφθεί συμβάσεις αστικού δικαίου. που συνάπτεται στον οργανισμό. Αυτό αναφέρεται στην παράγραφο 5 των διευκρινίσεων της Roskomnadzor με ημερομηνία 14 Δεκεμβρίου 2012.

Καθολική Συναίνεση

Ερώτηση από την πρακτική:Είναι δυνατόν, κατά τη σύναψη σύμβασης εργασίας, να ληφθεί έγγραφη συναίνεση από τον εργαζόμενο για παροχή των προσωπικών του δεδομένων σε τρίτους σε όλες τις απαραίτητες καταστάσεις πριν από την απόλυση;

Όχι, δεν μπορείς.

Για τη μεταφορά δεδομένων εργαζομένων σε τρίτους, ο οργανισμός απαιτείται να λάβει τη γραπτή συγκατάθεση αυτού του υπαλλήλου. Χωρίς τη γραπτή συγκατάθεση του εργαζομένου, τα προσωπικά του δεδομένα μπορούν να διαβιβαστούν σε τρίτους όταν αυτό είναι απαραίτητο για την αποτροπή απειλής για τη ζωή και την υγεία του εργαζομένου και σε άλλες περιπτώσεις που προβλέπονται από ομοσπονδιακούς νόμους. Τέτοιοι κανόνες καθορίζονται από το μέρος 1 του άρθρου 88 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας.

Ο Κώδικας Εργασίας της Ρωσικής Ομοσπονδίας δεν περιέχει απαιτήσεις για το περιεχόμενο της γραπτής συγκατάθεσης για τη μεταφορά δεδομένων. Ωστόσο, η παράγραφος 1 του άρθρου 9 του νόμου της 27ης Ιουλίου 2006 αριθ. 152-FZ ορίζει ότι η συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι συγκεκριμένη, ενημερωμένη και συνειδητή. Από αυτό προκύπτει ότι ο οργανισμός πρέπει να ζητά γραπτή συγκατάθεση από τον εργαζόμενο για κάθε περίπτωση διαβίβασης των προσωπικών του δεδομένων σε τρίτους. Μόνο υπό αυτές τις συνθήκες μπορεί να θεωρηθεί ότι πληρούται η απαίτηση της ειδικότητας και της ενημερωμένης συγκατάθεσης. Ο κατάλογος των πληροφοριών που πρέπει να περιέχονται στη γραπτή συγκατάθεση για τη μεταφορά δεδομένων προσωπικού χαρακτήρα καθορίζεται στην παράγραφο 4 του άρθρου 9 του νόμου της 27ης Ιουλίου 2006 αριθ. 152-FZ.

Επεξεργασία προσωπικών δεδομένων εκτελεστών σύμφωνα με τη ΣΔΣ

Ερώτηση από την πρακτική:Είναι απαραίτητη η λήψη γραπτής συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων πολιτών με τους οποίους έχουν συναφθεί συμβάσεις αστικού δικαίου;

Ναι, γενικά είναι απαραίτητο, με τον ίδιο τρόπο όπως και με τους εργαζόμενους πλήρους απασχόλησης.

Η επεξεργασία προσωπικών δεδομένων είναι δυνατή μόνο με τη γραπτή συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, με εξαίρεση ορισμένες περιπτώσεις όπου αυτή η επεξεργασία είναι δυνατή χωρίς τη συγκατάθεσή του (). Ταυτόχρονα, τα υποκείμενα των προσωπικών δεδομένων μπορεί να είναι τόσο εργαζόμενοι που εργάζονται με σύμβαση εργασίας όσο και πολίτες με τους οποίους ο οργανισμός έχει συνάψει συμβάσεις αστικού δικαίου.

Έτσι, ένας οργανισμός γενικά πρέπει να λάβει τη συγκατάθεσή του για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων πολιτών με τους οποίους έχουν συναφθεί συμβάσεις αστικού δικαίου, προκειμένου να αποκλειστούν τυχόν διαφορές σχετικά με μη εξουσιοδοτημένη μεταφορά δεδομένων εκτός του πεδίου εφαρμογής των όρων της σύμβασης αστικού δικαίου.

Η άρνηση του ερμηνευτή να δώσει τέτοια συγκατάθεση δεν αποτελεί εμπόδιο για τη σύναψη αστικής σύμβασης.

Επεξεργασία δεδομένων χωρίς συναίνεση

Σε ποιες περιπτώσεις δεν απαιτείται η συγκατάθεση του εργαζομένου για τη μεταφορά προσωπικών δεδομένων;

Σε ορισμένες περιπτώσεις, η επεξεργασία προσωπικών δεδομένων είναι δυνατή χωρίς τη συγκατάθεση του εργαζομένου. Για παράδειγμα, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την εκπλήρωση σύμβασης που έχει συναφθεί με έναν εργαζόμενο ή για την επίτευξη των στόχων που προβλέπει ο νόμος για την εκτέλεση και την εκπλήρωση των λειτουργιών, εξουσιών και ευθυνών που ανατίθενται από τη ρωσική νομοθεσία στον φορέα εκμετάλλευσης , μπορεί να πραγματοποιηθεί χωρίς τη συγκατάθεση του υπαλλήλου - υποκειμένου των προσωπικών δεδομένων. Αυτό αναφέρεται στον νόμο της 27ης Ιουλίου 2006 No. 152-FZ.

Τέτοιες περιπτώσεις περιλαμβάνουν τη μεταφορά πληροφοριών σε:

• Ταμείο Συντάξεων της Ρωσικής Ομοσπονδίας ();
• φορολογικές αρχές ();
• στρατιωτικές επιτροπές ();
• άλλους φορείς, όταν η υποχρέωση μεταφοράς πληροφοριών που σχετίζονται με τα προσωπικά δεδομένα του εργαζομένου σε αυτούς ανατίθεται στον εργοδότη από το νόμο ή είναι απαραίτητη για την επίτευξη των στόχων που ορίζει ο νόμος (για παράδειγμα, δικαστήρια, εισαγγελία κ.λπ.).

Επιπλέον, δεν απαιτείται συναίνεση στις ακόλουθες περιπτώσεις:

• η υποχρέωση επεξεργασίας προβλέπεται από το νόμο, συμπεριλαμβανομένης της δημοσίευσης και δημοσίευσης προσωπικών δεδομένων των εργαζομένων στο Διαδίκτυο (για παράδειγμα, νόμος της 21ης ​​Νοεμβρίου 2011 αριθ. 323-FZ, νόμος της 9ης Φεβρουαρίου 2009 αριθ. 8-FZ και μια σειρά από άλλες πράξεις).
• προσωπικά δεδομένα στενών συγγενών του εργαζομένου υποβάλλονται σε επεξεργασία στο βαθμό που προβλέπεται από την προσωπική κάρτα (σύμφωνα με το ενιαίο έντυπο Νο. Τ-2 ή ένα ανεξάρτητο έντυπο), καθώς και σε περιπτώσεις λήψης διατροφής, επεξεργασίας κοινωνικών παροχών και πρόσβαση σε κρατικά μυστικά·
• η επεξεργασία πληροφοριών σχετικά με την κατάσταση της υγείας του εργαζομένου σχετίζεται με το ζήτημα της ικανότητάς του να εκτελεί την εργασία του·
• η επεξεργασία δεδομένων σχετίζεται με την εκτέλεση επίσημων καθηκόντων από τον εργαζόμενο, συμπεριλαμβανομένου του επαγγελματικού του ταξιδιού·
• η επεξεργασία προσωπικών δεδομένων πραγματοποιείται κατά την εφαρμογή ελέγχου πρόσβασης στην επικράτεια των κτιρίων γραφείων και των χώρων του εργοδότη, υπό την προϋπόθεση ότι η οργάνωση του ελέγχου πρόσβασης πραγματοποιείται από τον εργοδότη ανεξάρτητα.

Εάν το τοπικό έγγραφο παρέχει επιλογές για διακανονισμούς με υπαλλήλους ή δεν προσδιορίζει καθόλου αυτό το σημείο, τότε οι εργαζόμενοι έχουν το δικαίωμα να αποφασίσουν ανεξάρτητα εάν θα λάβουν τον μισθό τους μέσω ταμειακής μηχανής ή σε τραπεζική κάρτα. Και εάν ο εργοδότης αποφασίσει να μεταφέρει μισθούς σε τραπεζικές κάρτες για όλους τους εργαζόμενους, τότε θα πρέπει να ζητηθεί από κάθε εργαζόμενο να συναινέσει στην επεξεργασία προσωπικών δεδομένων και τη μεταφορά τους σε τρίτο μέρος - την τράπεζα. Σε μια τέτοια κατάσταση, οι εργαζόμενοι έχουν το δικαίωμα να μην δώσουν συγκατάθεση και ο εργοδότης, ελλείψει τέτοιας συγκατάθεσης, δεν θα μπορεί να συνεχίσει την επεξεργασία των δεδομένων και να μεταφέρει στην τράπεζα πληροφορίες σχετικά με τους εργαζόμενους που αρνήθηκαν.

Περισσότερα για το θέμα:Είναι απαραίτητο να λάβετε ξανά τη συναίνεση των εργαζομένων για την επεξεργασία προσωπικών δεδομένων κατά την αλλαγή τράπεζας για μεταφορά μισθών;

Ερώτηση από την πρακτική:Είναι απαραίτητο να λάβετε ξανά τη συναίνεση των εργαζομένων για την επεξεργασία προσωπικών δεδομένων κατά την αλλαγή τράπεζας για μεταφορά μισθών;

Όχι, δεν είναι απαραίτητο, εφόσον οι υπάρχουσες συναινέσεις δεν αναφέρουν τη συγκεκριμένη τράπεζα στην οποία παρασχέθηκαν τα στοιχεία. Εάν η προηγούμενη συγκατάθεση είχε συνταχθεί για μια συγκεκριμένη τράπεζα, τότε ο εργοδότης θα πρέπει να λάβει νέα συγκατάθεση σύμφωνα με τους γενικούς κανόνες ().

Επιπλέον, δεν είναι απαραίτητο να λάβετε συγκατάθεση εάν τα τοπικά έγγραφα του οργανισμού προβλέπουν την πληρωμή μισθών ειδικά σε τραπεζικές κάρτες και ο εργαζόμενος εξοικειώθηκε με αυτά τα έγγραφα κατά την πρόσληψη ή στη διαδικασία εργασίας (Μέρος 2 του άρθρου 9 του ο νόμος της 27ης Ιουλίου 2006 Αρ. 152- Ομοσπονδιακός Νόμος). Δείτε λεπτομέρειες.

Ειδοποίηση Roskomnadzor

Πώς να ειδοποιήσετε τη ρυθμιστική αρχή για την έναρξη επεξεργασίας προσωπικών δεδομένων των εργαζομένων

Πριν από την επεξεργασία προσωπικών δεδομένων των εργαζομένων, ο εργοδότης πρέπει να ειδοποιήσει το εδαφικό όργανο της Roskomnadzor για την πρόθεση να πραγματοποιήσει την επεξεργασία. Εξαιρούνται περιπτώσεις επεξεργασίας προσωπικών δεδομένων:

• επεξεργασία σύμφωνα με την εργατική νομοθεσία·
• δημοσιοποιούνται από τους εργαζόμενους·

• που λαμβάνονται από τον οργανισμό σε σχέση με τη σύναψη συμφωνίας στην οποία ο εργαζόμενος είναι συμβαλλόμενο μέρος (υπό την προϋπόθεση ότι τα προσωπικά δεδομένα δεν διανέμονται ή παρέχονται σε τρίτους χωρίς τη συγκατάθεση του εργαζομένου και χρησιμοποιούνται από τον εργοδότη αποκλειστικά για την εκτέλεση των καθορισμένη συμφωνία και τη σύναψη άλλων συμφωνιών με τον εργαζόμενο)·
• που σχετίζονται με μέλη (συμμετέχοντες) μιας δημόσιας ένωσης ή θρησκευτικής οργάνωσης·
• συμπεριλαμβανομένων μόνο των επωνύμων, των ονομάτων και των πατρώνυμων των εργαζομένων·
• απαραίτητη για τον σκοπό της εφάπαξ εισόδου ενός εργαζομένου στην επικράτεια του εργοδότη και για άλλους παρόμοιους σκοπούς·
• περιλαμβάνονται σε συστήματα πληροφοριών προσωπικών δεδομένων που, σύμφωνα με τους ομοσπονδιακούς νόμους, έχουν την ιδιότητα των κρατικών αυτοματοποιημένων συστημάτων πληροφοριών, καθώς και στα κρατικά συστήματα πληροφοριών προσωπικών δεδομένων που έχουν δημιουργηθεί για την προστασία της κρατικής ασφάλειας και της δημόσιας τάξης.
• υποβάλλονται σε επεξεργασία χωρίς τη χρήση εργαλείων αυτοματισμού σύμφωνα με νομοθετικές πράξεις που θεσπίζουν απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους και για τον σεβασμό των δικαιωμάτων των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·
• υποβάλλονται σε επεξεργασία σε περιπτώσεις που προβλέπονται από τη ρωσική νομοθεσία για την ασφάλεια των μεταφορών.

Σε περίπτωση διακοπής της επεξεργασίας προσωπικών δεδομένων, ο εργοδότης υποχρεούται επίσης να ενημερώσει σχετικά τον εξουσιοδοτημένο φορέα. Αυτό πρέπει να γίνει εντός δέκα εργάσιμων ημερών από την ημερομηνία τερματισμού της επεξεργασίας δεδομένων. Το τυπικό έντυπο για ειδοποίηση τερματισμού της επεξεργασίας δεδομένων δεν έχει εγκριθεί, επομένως ο εργοδότης μπορεί να το συντάξει με οποιαδήποτε μορφή ().

Ερώτηση από την πρακτική:τι πρέπει να γίνει κατανοητό από την επεξεργασία προσωπικών δεδομένων των εργαζομένων

Προστασία προσωπικών δεδομένων

Πώς να οργανώσετε την προστασία των προσωπικών δεδομένων των εργαζομένων σε έναν οργανισμό

Για να αποτρέψετε την αποκάλυψη προσωπικών δεδομένων, δημιουργήστε ένα αξιόπιστο σύστημα για την προστασία τους. Η διαδικασία λήψης, επεξεργασίας, μεταφοράς και αποθήκευσης τέτοιων πληροφοριών καθορίζεται σε τοπική πράξη του οργανισμού, για παράδειγμα στο (Άρθρο, Κώδικας Εργασίας της Ρωσικής Ομοσπονδίας,). Οι κανονισμοί εγκρίνονται από τον επικεφαλής του οργανισμού. Παρουσιάστε το στους υπαλλήλους του οργανισμού έναντι της υπογραφής τους Αυτό αναφέρεται στο Μέρος 1 του άρθρου 86 του Κώδικα Εργασίας της Ρωσικής Ομοσπονδίας.

Είναι επίσης απαραίτητο να διοριστεί ένα άτομο στον οργανισμό υπεύθυνο για την εργασία με προσωπικά δεδομένα (Μέρος 5 του άρθρου 88 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας). Κατά κανόνα, ένας τέτοιος υπάλληλος είναι υπάλληλος υπηρεσίας προσωπικού, καθώς είναι αυτός που συναντά συχνότερα προσωπικά δεδομένα εργαζομένων κατά τη διάρκεια της εργασίας του. Ορίστε τον υπεύθυνο για την εργασία με προσωπικά δεδομένα κατόπιν παραγγελίας σε οποιαδήποτε μορφή.

Ειδικά μέτρα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων των εργαζομένων κατά την επεξεργασία τους προβλέπονται στο Νόμο της 27ης Ιουλίου 2006 Αρ. 152-FZ και στις Εγκεκριμένες Απαιτήσεις. Βάσει αυτών, ένας οργανισμός μπορεί να αναπτύξει το δικό του σύστημα προστασίας προσωπικών δεδομένων.

Έτσι, κατά την επεξεργασία προσωπικών δεδομένων σε ένα πληροφοριακό σύστημα, είναι απαραίτητο να διασφαλίζεται η προστασία και η ασφάλεια των προσωπικών δεδομένων. Ταυτόχρονα, απειλή για την ασφάλεια των προσωπικών δεδομένων είναι ένα σύνολο συνθηκών και παραγόντων που δημιουργούν τον κίνδυνο μη εξουσιοδοτημένης (συμπεριλαμβανομένης της τυχαίας) πρόσβασης σε προσωπικά δεδομένα κατά την επεξεργασία τους στο σύστημα, η οποία μπορεί να έχει ως αποτέλεσμα:

• καταστροφή;
• αλλαγή;
• μπλοκάρισμα?
• αντιγραφή?
• πρόβλεψη;
• διάδοση;
• άλλες παράνομες ενέργειες με προσωπικά δεδομένα.

Θα πρέπει να σημειωθεί ότι η επιλογή συγκεκριμένων μέσων ασφάλειας πληροφοριών για το σύστημα πληροφοριών για την επεξεργασία προσωπικών δεδομένων πραγματοποιείται από τον εργοδότη σύμφωνα με τους κανονισμούς του FSB της Ρωσίας και του FSTEC της Ρωσίας. Ο προσδιορισμός του είδους των απειλών για την ασφάλεια των προσωπικών δεδομένων που σχετίζονται με το σύστημα επεξεργασίας και προστασίας προσωπικών δεδομένων γίνεται λαμβάνοντας υπόψη την εκτίμηση πιθανής βλάβης και σύμφωνα με τους κανονισμούς των αναφερόμενων φορέων (ρήτρα, Απαιτήσεις που εγκρίθηκαν με Διάταγμα του Κυβέρνηση της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 αριθ. 1119).

Κατά την επεξεργασία προσωπικών δεδομένων σε συστήματα, μπορούν να καθοριστούν τέσσερα επίπεδα ασφάλειας ανάλογα με την κατηγορία δεδομένων και τον αριθμό των εργαζομένων για τους οποίους το σύστημα περιέχει πληροφορίες. Ανάλογα με το επίπεδο ασφάλειας, ο εργοδότης θα πρέπει να λάβει διάφορα μέτρα για την προστασία των συστημάτων επεξεργασίας προσωπικών δεδομένων που προβλέπονται στις παραγράφους 13-16 των Απαιτήσεων που εγκρίθηκαν με το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 αριθ. 1119. Για παράδειγμα, η θέσπιση καθεστώτος για τη διασφάλιση της ασφάλειας των χώρων στους οποίους βρίσκονται δεδομένα προσωπικού χαρακτήρα, ο ορισμός προσώπων που είναι υπεύθυνοι για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο σύστημα πληροφοριών κ.λπ. Ειδικές απαιτήσεις για τα καθορισμένα μέτρα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά τη διάρκεια η επεξεργασία τους καθορίζεται από τη σύνθεση και το περιεχόμενο των οργανωτικών και τεχνικών μέτρων που εγκρίθηκαν με εντολή της FSTEC της Ρωσίας της 18ης Φεβρουαρίου 2013 αριθ. 21.

Για τον έλεγχο της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους, ο εργοδότης ή εξουσιοδοτημένο από αυτόν πρόσωπο διενεργεί ελέγχους ελέγχου τουλάχιστον μία φορά κάθε τρία χρόνια, ο συγκεκριμένος χρόνος των οποίων καθορίζεται από τον εργοδότη ανεξάρτητα. Εάν είναι απαραίτητο, οργανισμοί ή μεμονωμένοι επιχειρηματίες που έχουν άδεια να ασκούν δραστηριότητες για την τεχνική προστασία εμπιστευτικών πληροφοριών μπορούν να εμπλακούν στη διεξαγωγή επιθεώρησης σε συμβατική βάση (ρήτρα 17 των Απαιτήσεων που εγκρίθηκαν με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας 1 Νοεμβρίου 2012 αρ. 1119).

Δήλωση για προσωπικά δεδομένα

Ερώτηση από την πρακτική:Είναι υποχρεωτικό έγγραφο ο Κανονισμός για την εργασία με προσωπικά δεδομένα εργαζομένων;

Ναι, είναι.

Η διαδικασία αποθήκευσης, επεξεργασίας και χρήσης προσωπικών δεδομένων των εργαζομένων καθορίζεται από τον εργοδότη, λαμβάνοντας υπόψη τις απαιτήσεις του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας και άλλων ομοσπονδιακών νόμων (). Αυτό σημαίνει ότι ο εργοδότης πρέπει να καθορίσει ανεξάρτητα τη διαδικασία για μια τέτοια επεξεργασία και να την κατοχυρώσει σε τοπική κανονιστική πράξη, ιδίως τους Κανονισμούς για την εργασία με προσωπικά δεδομένα των εργαζομένων. Όλοι οι υπάλληλοι του οργανισμού, όταν προσλαμβάνονται, πρέπει να είναι εξοικειωμένοι με τους κανονισμούς για υπογραφή (Μέρος 3 του άρθρου 68 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας).

Με βάση τα παραπάνω, προκύπτει ότι οι Κανονισμοί για την εργασία με προσωπικά δεδομένα αποτελούν υποχρεωτικό έγγραφο του οργανισμού και η απουσία του συνεπάγεται διοικητική ευθύνη (). Τα δικαστήρια επισημαίνουν επίσης αυτό (βλ., για παράδειγμα, το ψήφισμα της Ομοσπονδιακής Αντιμονοπωλιακής Υπηρεσίας της Περιφέρειας της Μόσχας με ημερομηνία 26 Οκτωβρίου 2006 αριθ. KA-A40/10220-06).

Ένα παράδειγμα του σχεδιασμού των Κανονισμών για την εργασία με προσωπικά δεδομένα των εργαζομένων

Ο επικεφαλής του οργανισμού ενέκρινε τους κανονισμούς για την εργασία με προσωπικά δεδομένα των εργαζομένων.

Δεν υπάρχει υπηρεσία προσωπικού στον οργανισμό. Υπεύθυνος για την τήρηση αρχείων προσωπικού ορίστηκε ο λογιστής του οργανισμού Β.Ν. Ζαϊτσέβα.

Ερώτηση από την πρακτική:πώς να προστατεύσετε τις προσωπικές πληροφορίες που βρίσκονται σε μια βάση δεδομένων υπολογιστή

Για να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση σε προσωπικές πληροφορίες που βρίσκονται σε μια βάση δεδομένων υπολογιστή, οι Κανονισμοί θεσπίζουν μια διαδικασία για την προστασία τέτοιων πληροφοριών. Όσο υψηλότερος είναι ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα, τόσο περισσότερα μέτρα πρέπει να λαμβάνονται για την προστασία αυτών των πληροφοριών. Για παράδειγμα, ένας οργανισμός μπορεί να εισαγάγει ένα σύστημα μεμονωμένων κωδικών πρόσβασης που θα αλλάζουν σε ορισμένα χρονικά διαστήματα, θα περιορίζει την πρόσβαση των εργαζομένων σε υπολογιστές στους οποίους αποθηκεύονται προσωπικά δεδομένα και θα αποθηκεύει δίσκους και δισκέτες με τέτοιες πληροφορίες σε κλειδωμένα ντουλάπια.

Η επεξεργασία προσωπικών δεδομένων στο σύστημα πληροφοριών πρέπει να πραγματοποιείται σύμφωνα με τις διατάξεις των παραγράφων 8-16 των Απαιτήσεων που εγκρίθηκαν με το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 αριθ. 1119.

Ένας οργανισμός μπορεί να εξασφαλίσει την προστασία των προσωπικών δεδομένων τόσο ανεξάρτητα όσο και με τη συμμετοχή τρίτων οργανισμών που έχουν άδεια να ασκούν δραστηριότητες για την προστασία εμπιστευτικών πληροφοριών. Τέτοιες διευκρινίσεις δίνονται στην παράγραφο 17 των Απαιτήσεων που εγκρίθηκαν με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 αριθ. 1119.

Ερώτηση από την πρακτική:Είναι δυνατόν σε υπαλλήλους που δεν ανήκουν στο ανθρώπινο δυναμικό να έχουν το δικαίωμα πρόσβασης στα προσωπικά δεδομένα άλλων εργαζομένων;

Ναι, μπορείτε εάν οι εργαζόμενοι χρειάζονται πρόσβαση σε τέτοιες πληροφορίες για να εκτελέσουν ορισμένες λειτουργίες εργασίας.

Μόνο ειδικά εξουσιοδοτημένα άτομα που χρειάζονται τέτοια πρόσβαση για την εκτέλεση συγκεκριμένων λειτουργιών μπορούν να έχουν πρόσβαση στα προσωπικά δεδομένα των εργαζομένων. Αυτό αναφέρεται στον Εργατικό Κώδικα της Ρωσικής Ομοσπονδίας.

Κατά κανόνα, λόγω της ιδιαίτερης φύσης των δραστηριοτήτων τους, οι εργαζόμενοι θα πρέπει να έχουν πρόσβαση σε προσωπικά δεδομένα:

• υπάλληλοι υπηρεσιών προσωπικού·
• λογιστικό προσωπικό?
• γενικός διευθυντής και, εάν χρειάζεται, οι αναπληρωτές του·
• προϊστάμενοι τμημάτων και άμεσοι προϊστάμενοι.

Σε αυτήν την περίπτωση, σε κάθε μία από αυτές τις κατηγορίες εργαζομένων εκχωρείται το δικό της επίπεδο πρόσβασης. Για παράδειγμα, οι υπάλληλοι του λογιστικού τμήματος μπορεί να έχουν πρόσβαση στις πληροφορίες διεύθυνσης των υπαλλήλων και την οικογενειακή τους κατάσταση και οι επικεφαλής τμημάτων μπορεί να έχουν πρόσβαση σε προσωπικές πληροφορίες αποκλειστικά για τους υφισταμένους τους.

Τα επίπεδα πρόσβασης ορισμένων προσώπων, καθώς και η ειδική διαδικασία για τη μεταφορά δεδομένων προσωπικού χαρακτήρα των εργαζομένων εντός του οργανισμού πρέπει να καθορίζονται στα τοπικά του έγγραφα, για παράδειγμα, στους κανονισμούς για την προστασία των προσωπικών δεδομένων των εργαζομένων (παράγραφος 5 του άρθρου 88 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας). Τα εξουσιοδοτημένα άτομα πρέπει να είναι εξοικειωμένα με τις διατάξεις του εγγράφου και να προειδοποιούνται για τα δικαιώματα και τις υποχρεώσεις τους, καθώς και την ευθύνη χρήσης πληροφοριών για άλλους σκοπούς ().

Συμβουλή:οι προϋποθέσεις για την ανάρτηση προσωπικών δεδομένων των εργαζομένων στον εταιρικό ιστότοπο καθορίζονται στους Κανονισμούς για την εργασία με προσωπικά δεδομένα. Ταυτόχρονα, κάντε ένα παράρτημα σε αυτό, στο οποίο αναφέρετε μια λίστα εργαζομένων που συμφωνούν (ή διαφωνούν) με την ανάρτηση προσωπικών δεδομένων. Έτσι, η απαίτηση θα ικανοποιηθεί και ο οργανισμός θα μπορεί να δημοσιεύει τα προσωπικά δεδομένα των εργαζομένων που συμφωνούν με μια τέτοια τοποθέτηση στον εταιρικό ιστότοπο.

Προκειμένου να διασφαλιστούν τα δικαιώματα των εργαζομένων του, ο οργανισμός και οι εκπρόσωποί του, κατά την επεξεργασία προσωπικών δεδομένων, υποχρεούνται να συμμορφώνονται με τις απαιτήσεις που ρυθμίζονται από τον Εργατικό Κώδικα της Ρωσικής Ομοσπονδίας. Τα άτομα που είναι ένοχα για παραβίαση των κανόνων που διέπουν την προστασία των προσωπικών δεδομένων υπόκεινται σε διοικητική και ποινική ευθύνη (). Ή μπορεί να απολυθούν με τη διατύπωση "για την αποκάλυψη προσωπικών δεδομένων άλλου εργαζομένου με βάση το εδάφιο "γ" της παραγράφου 6 του μέρους 1 του άρθρου 81 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας."

Ερώτηση από την πρακτική:έχει το δικαίωμα ο επικεφαλής μιας διαρθρωτικής μονάδας να απαιτήσει από το λογιστήριο να παρέχει μηνιαίες πληροφορίες σχετικά με τους δεδουλευμένους μισθούς των υπαλλήλων που υπάγονται σε αυτόν;

Οι πληροφορίες σχετικά με τα ποσά που συγκεντρώθηκαν στους εργαζόμενους αναφέρονται σε προσωπικά δεδομένα (ρήτρα 1, άρθρο 3 του νόμου αριθ. 152-FZ της 27ης Ιουλίου 2006). Ο άμεσος προϊστάμενος μπορεί να τους ζητήσει εάν έχει θεσπιστεί η κατάλληλη άδεια σε τοπική κανονιστική πράξη και έχει ληφθεί η συγκατάθεση του εργαζομένου για την επεξεργασία των προσωπικών του δεδομένων.

Παράλληλα, ο πίνακας προσωπικού περιέχει πληροφορίες για μισθούς και επιδόματα των εργαζομένων. Ο πίνακας προσωπικού είναι τοπικό έγγραφο του οργανισμού και δεν σχετίζεται με προσωπικά δεδομένα. Ο επικεφαλής μιας διαρθρωτικής μονάδας, εάν είναι απαραίτητο, μπορεί να ανατρέξει σε αυτό το έγγραφο εάν αυτό προβλέπεται στην περιγραφή εργασίας του επικεφαλής ή σε τοπική πράξη του οργανισμού. Αυτό θα του επιτρέψει να λάβει τις απαραίτητες πληροφορίες χωρίς να επικοινωνήσει με το λογιστήριο.

Άρνηση επεξεργασίας δεδομένων

Ερώτηση από την πρακτική:τι να κάνετε εάν ένα άτομο αρνηθεί να συναινέσει στην επεξεργασία των προσωπικών του δεδομένων

Ο οργανισμός έχει το δικαίωμα να συνεχίσει να επεξεργάζεται τα προσωπικά δεδομένα ενός ατόμου χωρίς τη συγκατάθεσή του, εάν υπάρχουν ορισμένοι λόγοι. Ταυτόχρονα, ο όγκος μιας τέτοιας επεξεργασίας είναι αρκετά μεγάλος και επιτρέπει στον οργανισμό να πραγματοποιεί τις τρέχουσες δραστηριότητες χωρίς διακοπή.

Ειδικότερα, ο εργοδότης μπορεί να μην απαιτεί τη συγκατάθεση για την επεξεργασία προσωπικών δεδομένων από αιτούντες για τη σύναψη σύμβασης εργασίας και αστικού δικαίου, αποστολή εξατομικευμένων αναφορών στις αρχές του Ταμείου Συντάξεων της Ρωσικής Ομοσπονδίας, φορολογική αναφορά στην Ομοσπονδιακή Φορολογική Υπηρεσία της Ρωσίας , πληροφορίες για τους υπόχρεους για στρατιωτική θητεία σε στρατιωτικές επιτροπές, καθώς και για αποθήκευση εγγράφων με προσωπικά δεδομένα, συμπεριλαμβανομένων εργασιακών και αστικών συμβάσεων, προσωπικών καρτών, προσωπικών αρχείων κ.λπ. Δηλαδή, όταν ο εργοδότης εκπληρώνει τα καθήκοντα που του αναθέτει ο νόμος .

Τέτοιοι κανόνες καθορίζονται στις παραγράφους 2-11 του μέρους 1 του άρθρου 6, στο μέρος 2 του άρθρου 10 και στο μέρος 2 του άρθρου 11 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ.

Για να πραγματοποιήσει όλες τις άλλες ενέργειες, ο οργανισμός πρέπει να λάβει τη συγκατάθεση του ατόμου για την επεξεργασία των προσωπικών του δεδομένων (Μέρος 4 του άρθρου 9 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ).

Προσοχή:Η ισχύουσα νομοθεσία δεν υποχρεώνει ένα άτομο να δώσει τη συγκατάθεσή του για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, επομένως η άρνηση από την πλευρά του δεν μπορεί να θεωρηθεί παραβίαση και λόγοι άρνησης σύναψης σύμβασης. Ένας υπάλληλος του προσωπικού δεν μπορεί επίσης να απολυθεί ή να υποβληθεί σε άλλα πειθαρχικά μέτρα για άρνηση παροχής συγκατάθεσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Ερώτηση από την πρακτική:τι να κάνετε εάν ένας υπάλληλος αρνείται να παράσχει προσωπικά δεδομένα μελών της οικογένειας για να συμπληρώσει έγγραφα προσωπικού

Η αποπροσωποποίηση προσωπικών δεδομένων αναφέρεται σε ενέργειες ως αποτέλεσμα των οποίων καθίσταται αδύνατος ο προσδιορισμός της ιδιοκτησίας των προσωπικών δεδομένων σε ένα συγκεκριμένο άτομο χωρίς τη χρήση πρόσθετων πληροφοριών ().

Εάν είναι απαραίτητο να αποπροσωποποιηθούν τα προσωπικά δεδομένα, οι επικεφαλής των οργανισμών εγκρίνουν:

• κανόνες για την εργασία με ανώνυμα δεδομένα·
• κατάλογος θέσεων υπαλλήλων που είναι υπεύθυνοι για τη λήψη μέτρων για την ανωνυμοποίηση των επεξεργασμένων προσωπικών δεδομένων.

Τέτοιοι κανόνες προβλέπονται στο εδάφιο "β" της παραγράφου 1 του καταλόγου που εγκρίθηκε με το διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 21ης ​​Μαρτίου 2012 αριθ. 211.

Οι ειδικές απαιτήσεις και μέθοδοι για την αποπροσωποποίηση των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε πληροφοριακά συστήματα καθορίζονται στις Απαιτήσεις και τις μεθόδους που εγκρίθηκαν από την Roskomnadzor Order No. 996, ημερομηνία 5 Σεπτεμβρίου 2013.

Η κύρια απαίτηση για την αποπροσωποποίηση των προσωπικών δεδομένων είναι η εξασφάλιση όχι μόνο προστασίας από μη εξουσιοδοτημένη χρήση, αλλά και η δυνατότητα επεξεργασίας τους. Για να γίνει αυτό, τα ανώνυμα δεδομένα πρέπει να έχουν ιδιότητες που να διατηρούν τα βασικά χαρακτηριστικά των ανώνυμων προσωπικών δεδομένων. Τέτοιες ιδιότητες, ειδικότερα, περιλαμβάνουν:

• πληρότητα, δηλαδή διατήρηση όλων των πληροφοριών για συγκεκριμένα άτομα ή ομάδες ανθρώπων που ήταν διαθέσιμες πριν από την αποπροσωποποίηση·
• δομημένη, δηλαδή, η διατήρηση δομικών συνδέσεων μεταξύ των αποπροσωποποιημένων δεδομένων ενός συγκεκριμένου ατόμου ή ομάδας ανθρώπων που υπήρχαν πριν από την αποπροσωποποίηση·
• δυνατότητα εφαρμογής, δηλαδή η δυνατότητα επίλυσης προβλημάτων επεξεργασίας προσωπικών δεδομένων χωρίς πρώτα να αποπροσωποποιηθεί ολόκληρος ο όγκος των εγγραφών σχετικά με άτομα.
• η ανωνυμία, δηλαδή η αδυναμία σαφούς ταυτοποίησης των υποκειμένων των δεδομένων που αποκτήθηκαν ως αποτέλεσμα αποπροσωποποίησης, χωρίς τη χρήση πρόσθετων πληροφοριών.

Οι κύριες απαιτήσεις για τις μεθόδους ανωνυμοποίησης προσωπικών δεδομένων είναι:

• εξασφάλιση των απαιτούμενων ιδιοτήτων των ανώνυμων δεδομένων·
• συμμόρφωση με τις απαιτήσεις για τα χαρακτηριστικά των μεθόδων·
• εφαρμογή μεθόδων σε διάφορα προγράμματα·
• επίλυση των ανατεθέντων εργασιών επεξεργασίας προσωπικών δεδομένων.

Οι πιο ελπιδοφόρες και βολικές για πρακτική χρήση περιλαμβάνουν τις ακόλουθες μεθόδους αποπροσωποποίησης:

• η μέθοδος εισαγωγής αναγνωριστικών, δηλαδή η αντικατάσταση μέρους των προσωπικών δεδομένων με αναγνωριστικά και η δημιουργία πίνακα αντιστοιχίας των αναγνωριστικών με τα αρχικά δεδομένα·
• μέθοδος αλλαγής της σύνθεσης ή της σημασιολογίας, δηλαδή αλλαγή της σύνθεσης ή της σημασιολογίας των προσωπικών δεδομένων με την αντικατάσταση των αποτελεσμάτων της στατιστικής επεξεργασίας, τη σύνοψη ή τη διαγραφή μέρους των πληροφοριών·
• μέθοδος αποσύνθεσης, δηλαδή διαίρεση μιας σειράς προσωπικών δεδομένων σε διάφορα μέρη με επακόλουθη χωριστή αποθήκευση.
• μέθοδος ανακατέματος, δηλαδή αναδιάταξη μεμονωμένων αρχείων, καθώς και ομάδων εγγραφών σε μια σειρά προσωπικών δεδομένων.

Για λόγους ασφάλειας της εργασίας με προσωπικά δεδομένα των εργαζομένων, οι εμπορικοί οργανισμοί έχουν επίσης το δικαίωμα, αλλά δεν είναι υποχρεωμένοι, να προβαίνουν σε αποπροσωποποίηση (Ρήτρα 3 του άρθρου 3 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ). Εάν ένας οργανισμός αποφασίσει να ανωνυμοποιήσει προσωπικά δεδομένα, τότε η συγκεκριμένη μέθοδος ανωνυμοποίησης πρέπει να κατοχυρωθεί σε τοπικό νόμο, για παράδειγμα, στους Κανονισμούς για την εργασία με προσωπικά δεδομένα των εργαζομένων (άρθρο , Κώδικας Εργασίας της Ρωσικής Ομοσπονδίας).

Έλεγχοι συμμόρφωσης με απαιτήσεις για την επεξεργασία προσωπικών δεδομένων

Πώς διενεργούνται οι έλεγχοι συμμόρφωσης για την επεξεργασία προσωπικών δεδομένων

Η Roskomnadzor διενεργεί επιθεωρήσεις στον εργοδότη σχετικά με την επεξεργασία προσωπικών δεδομένων. 312 του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας της 14ης Νοεμβρίου 2011 ενέκρινε τους Διοικητικούς Κανονισμούς για την εκτέλεση από αυτήν την υπηρεσία των λειτουργιών άσκησης κρατικού ελέγχου (εποπτεία).

Το αντικείμενο του ελέγχου των δραστηριοτήτων του εργοδότη που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι:

• τεκμηριώνει τη φύση των πληροφοριών στις οποίες υποδηλώνει ή επιτρέπει τη συμπερίληψη προσωπικών δεδομένων·
• συστήματα πληροφοριών προσωπικών δεδομένων·
• μεταποιητικές δραστηριότητες.

Η Roskomnadzor πραγματοποιεί προγραμματισμένες και μη προγραμματισμένες επιθεωρήσεις με τη μορφή επιθεωρήσεων εγγράφων ή επιτόπιων επιθεωρήσεων (Νόμος αριθ. 294-FZ της 26ης Δεκεμβρίου 2008). Τα δικαιώματα και οι υποχρεώσεις των υπαλλήλων της Roskomnadzor κατά τις επιθεωρήσεις καθορίζονται, αντίστοιχα, από παραγράφους και Διοικητικούς Κανονισμούς που εγκρίθηκαν με Διάταγμα του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας της 14ης Νοεμβρίου 2011 Αρ. 312.

Το χρονικό πλαίσιο για τον έλεγχο των δραστηριοτήτων ενός εργοδότη όσον αφορά την επεξεργασία προσωπικών δεδομένων τόσο κατά τους προγραμματισμένους όσο και στους μη προγραμματισμένους ελέγχους δεν μπορεί να υπερβαίνει τις 20 εργάσιμες ημέρες. Ταυτόχρονα, για τις μικρές επιχειρήσεις, η συνολική περίοδος των επιτόπιων προγραμματισμένων ελέγχων δεν μπορεί να υπερβαίνει ανά έτος:

• 50 ώρες - για μια μικρή επιχείρηση.
• 15 ώρες - για μια πολύ μικρή επιχείρηση.

Σε εξαιρετικές περιπτώσεις, η περίοδος για τη διενέργεια επιτόπιου προγραμματισμένου ελέγχου μπορεί να παραταθεί, αλλά όχι περισσότερο από 20 εργάσιμες ημέρες και για μικρές και πολύ μικρές επιχειρήσεις - όχι περισσότερο από 15 ώρες. Αυτό είναι δυνατό εάν κατά τη διάρκεια της επιθεώρησης προκύψει η ανάγκη:

• σύνθετη και μακροχρόνια έρευνα και δοκιμές·
• ειδικές εξετάσεις και έρευνες.

Μόνο όσοι εργαζόμενοι έχουν δεσμευτεί να συμμορφώνονται με τους κανόνες εργασίας με προσωπικά δεδομένα και τους έχουν παραβιάσει () μπορούν να υπόκεινται σε πειθαρχική ευθύνη. Μπορεί να προκύψει οικονομική ευθύνη εάν, σε σχέση με παραβίαση των κανόνων για την εργασία με προσωπικά δεδομένα, ο οργανισμός υποστεί άμεση πραγματική ζημία ().

Για παράβαση της διαδικασίας συλλογής, αποθήκευσης, χρήσης ή διανομής προσωπικών δεδομένων, ο οργανισμός και τα στελέχη του θα τιμωρηθούν με πρόστιμο. Κατά τη διάρκεια μιας επιθεώρησης, η Roskomnadzor μπορεί να εντοπίσει πολλές διαφορετικές παραβιάσεις. Μετά θα εισπράξει πολλά πρόστιμα ταυτόχρονα.

Το ύψος των προστίμων εξαρτάται από το είδος της παράβασης που διαπράχθηκε. Έτσι, οι υπάλληλοι μπορούν να τιμωρηθούν με πρόστιμο από 3.000 έως 20.000 ρούβλια, σε μεμονωμένους επιχειρηματίες - από 5.000 έως 20.000 ρούβλια, σε οργανισμούς - από 15.000 έως 75.000 ρούβλια. Για περισσότερες πληροφορίες σχετικά με τα πρόστιμα για παραβάσεις κατά την εργασία με προσωπικά δεδομένα, δείτε τον πίνακα.

Τέτοια μέτρα ευθύνης προβλέπονται στα άρθρα του Κώδικα της Ρωσικής Ομοσπονδίας για τα διοικητικά αδικήματα.

Ποινική ευθύνη για τον επικεφαλής ενός οργανισμού (άλλο άτομο υπεύθυνο για την εργασία με προσωπικά δεδομένα) μπορεί να προκύψει για παράνομες:

• συλλογή ή διανομή πληροφοριών σχετικά με την ιδιωτική ζωή ενός υπαλλήλου που αποτελούν προσωπικό ή οικογενειακό μυστικό του, χωρίς τη συγκατάθεσή του·
• διάδοση αυτών των πληροφοριών σε δημόσια ομιλία, δημοσίως προβαλλόμενο έργο ή μέσα ενημέρωσης.

Για τις παραβάσεις αυτές προβλέπονται οι ακόλουθες κυρώσεις:

• πρόστιμο έως 200.000 ρούβλια. (ή στο ύψος του εισοδήματος του καταδικασθέντος για περίοδο έως 18 μηνών).
• υποχρεωτική εργασία για έως και 360 ώρες.
• διορθωτική εργασία για έως και ένα έτος.
• καταναγκαστική εργασία για περίοδο έως δύο ετών με ή χωρίς στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών·
• σύλληψη για έως και τέσσερις μήνες·
• φυλάκιση έως δύο ετών με στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών.

Στην περίπτωση αυτή, τιμωρούνται οι ίδιες πράξεις που διαπράττονται από άτομο που χρησιμοποιεί την επίσημη θέση του:

• πρόστιμο από 100.000 έως 300.000 ρούβλια. (ή στο ύψος του εισοδήματος του καταδικασθέντος για περίοδο ενός έως δύο ετών)·
• στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο δύο έως πέντε ετών·
• καταναγκαστική εργασία για περίοδο έως και τεσσάρων ετών με ή χωρίς στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως πέντε ετών·
• σύλληψη για περίοδο τεσσάρων έως έξι μηνών·
• φυλάκιση μέχρι τέσσερα χρόνια με στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως πέντε ετών.

Ερώτηση από την πρακτική:Είναι δυνατόν να προβλεφθεί η μη αποκάλυψη εμπιστευτικών πληροφοριών στις συμβάσεις εργασίας των εργαζομένων;

Ναι, μπορείς.

Αλλά μόνο για εκείνους τους υπαλλήλους που εργάζονται άμεσα με προσωπικά δεδομένα: στελέχη HR, διευθυντές HR, γραμματείς (). Σε αυτήν την περίπτωση, κατά την πρόσληψη, εξοικειώστε τον εργαζόμενο με τους Κανονισμούς σχετικά με την εργασία με προσωπικά δεδομένα.

Ερώτηση από την πρακτική:Είναι δυνατή η παροχή πληροφοριών σχετικά με την εργασία ενός υπαλλήλου σε έναν οργανισμό μέσω τηλεφώνου σε εκπροσώπους άλλων εταιρειών, όπως τράπεζες;

Ναι, μπορείτε, αλλά μόνο με τη γραπτή συγκατάθεση του ίδιου του υπαλλήλου.

Προσωπικά δεδομένα σημαίνει κάθε πληροφορία που σχετίζεται άμεσα ή έμμεσα με ένα συγκεκριμένο άτομο (αντικείμενο προσωπικών δεδομένων) (Μέρος 1 του άρθρου 3 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ). Ταυτόχρονα, ο κατάλογος των προσωπικών δεδομένων δεν είναι εξαντλητικός, δηλαδή κάθε πληροφορία που αφορά συγκεκριμένο άτομο είναι προσωπικά του δεδομένα. Έτσι, ο τόπος εργασίας και το ίδιο το γεγονός της εργασίας, που ζητούνται από έναν οργανισμό, για παράδειγμα, από ένα πιστωτικό ίδρυμα για να επιβεβαιώσει το γεγονός της εργασίας ή από έναν πιθανό εργοδότη σχετικά με έναν πρώην εργαζόμενο, είναι προσωπικά δεδομένα. Ως εκ τούτου, είναι δυνατή η μεταφορά δεδομένων σχετικά με έναν εργαζόμενο σε άλλους οργανισμούς μόνο σύμφωνα με τις γενικές απαιτήσεις για την επεξεργασία προσωπικών δεδομένων, δηλαδή μόνο με τη συγκατάθεση του ίδιου του εργαζομένου (ρήτρα 3, μέρος 1, άρθρο 86 του Κώδικας Εργασίας της Ρωσικής Ομοσπονδίας).

Έτσι, είναι δυνατή η παροχή πληροφοριών σχετικά με το γεγονός ότι οι εργαζόμενοι εργάζονται μέσω τηλεφώνου σε μη αναγνωρισμένα άτομα, συμπεριλαμβανομένων εκείνων που παρουσιάζονται ως ειδικοί τραπεζών, αλλά μόνο με τη γραπτή συγκατάθεση του ίδιου του εργαζομένου, ανεξάρτητα από το αν συνεχίζει να εργάζεται στον οργανισμό ή έχει ήδη παραιτηθεί.

Ερώτηση από την πρακτική:Είναι υποχρεωμένος ο εργοδότης, κατόπιν αιτήματος της υπηρεσίας δικαστικού επιμελητή, να αναφέρει το γεγονός της εργασίας στον οργανισμό του οφειλέτη εργαζομένου;

Το γεγονός της εργασίας σε έναν οργανισμό αναφέρεται στα προσωπικά δεδομένα του εργαζομένου. Ο δικαστικός επιμελητής που διενεργεί εκτελεστικές διαδικασίες έχει το δικαίωμα να ζητήσει από τον οργανισμό πληροφορίες σχετικά με υπαλλήλους για τους οποίους εκδόθηκαν δικαστικές αποφάσεις για την καταβολή διατροφής ή άλλους τύπους επιδικαζομένων πληρωμών, συμπεριλαμβανομένων πληροφοριών που σχετίζονται με προσωπικά δεδομένα. Ο εργοδότης δεν έχει δικαίωμα να αγνοήσει αυτό το αίτημα. Τέτοιοι κανόνες θεσπίζονται με τον νόμο της 2ας Οκτωβρίου 2007 Αρ. 229-FZ.

Ταυτόχρονα, ο εργοδότης έχει το δικαίωμα να αναφέρει το γεγονός της εργασίας στον οργανισμό ενός οφειλέτη εργαζομένου χωρίς τη συγκατάθεσή του να διαβιβάσει προσωπικά δεδομένα σε τρίτους, καθώς στην περίπτωση αυτή η επεξεργασία των προσωπικών δεδομένων είναι απαραίτητη για την απονομή της δικαιοσύνης , η εκτέλεση δικαστικής πράξης που υπόκειται σε εκτέλεση σύμφωνα με τη ρωσική νομοθεσία σχετικά με τις διαδικασίες εκτέλεσης (ρήτρα 3, μέρος 1, άρθρο 6, ρήτρα 6, μέρος 2, άρθρο 10, μέρος 2, άρθρο 11 του νόμου της 27ης Ιουλίου 2006 Νο. 152-FZ).

Έτσι, ο εργοδότης υποχρεούται να ανταποκριθεί στο αίτημα της υπηρεσίας δικαστικού επιμελητή σχετικά με το γεγονός της εργασίας του οφειλέτη εργαζομένου. Λάβετε τη συναίνεση των εργαζομένων για

Η Μαργαρίτα Ορλόβα απαντά,

Επικεφαλής του Τμήματος Διαχείρισης Ασφαλιστικών Εισφορών της Ομοσπονδιακής Ασφαλιστικής Υπηρεσίας της Ρωσίας

«Για να επιβεβαιώσετε τον κύριο τύπο δραστηριότητας για ένα ξεχωριστό τμήμα που καταβάλλει εισφορές ανεξάρτητα, υποβάλετε τα ίδια έγγραφα όπως και για τον οργανισμό συνολικά. Η μόνη διαφορά είναι ότι αντικατοπτρίζουν πληροφορίες μόνο για το τμήμα και τις υποβάλλουν στο υποκατάστημα του Ταμείου Κοινωνικών Ασφαλίσεων στον τόπο εγγραφής του τμήματος αυτού. Πώς να πληρώσετε εισφορές μέχρι να λάβετε ειδοποίηση από το Ταμείο Κοινωνικών Ασφαλίσεων σχετικά με το τιμολόγιο για το τρέχον έτος - θα μάθετε στη σύσταση."

Δεν γνωρίζουν όλες οι εταιρείες και οι μεμονωμένοι επιχειρηματίες εάν είναι φορείς εκμετάλλευσης προσωπικών δεδομένων και εάν πρέπει να μεταφέρουν πληροφορίες για τον εαυτό τους στη Roskomnadzor. Ας μάθουμε ποιον παρακολουθεί πιο στενά η υπηρεσία και πώς να ειδοποιεί τους πολίτες για την έναρξη της επεξεργασίας προσωπικών πληροφοριών.

Ποιοι είναι οι χειριστές προσωπικών δεδομένων και τι κάνουν;

Οι περισσότεροι γνωρίζουν ότι τα προσωπικά δεδομένα (εφεξής PD) περιλαμβάνουν πληροφορίες σχετικά με το επώνυμο, το όνομα και το πατρώνυμο του πολίτη, πληροφορίες από το διαβατήριό του, αριθμό κινητού τηλεφώνου, διεύθυνση κατοικίας, e-mail. Ποιες άλλες πληροφορίες θα μπορούσαν να συμπεριληφθούν σε αυτή τη λίστα; Αποδεικνύεται ότι οποιαδήποτε: μια εξαντλητική λίστα δεν παρουσιάζεται πουθενά, και κατ 'αρχήν δεν μπορεί να υπάρχει. Αυτό επιβεβαιώνεται από τη διατύπωση στο Ομοσπονδιακός νόμος της 27ης Ιουλίου 2006 Αρ. 152-FZ:

Προσωπικά δεδομένα - κάθε πληροφορία που σχετίζεται με άμεσα ή έμμεσα αναγνωρισμένο ή αναγνωρίσιμο άτομο (αντικείμενο προσωπικών δεδομένων).

Αποδεικνύεται ότι σε ορισμένες περιπτώσεις το επώνυμο, το όνομα και ο αριθμός αυτοκινήτου θα είναι αρκετά για την ταυτοποίηση ενός πολίτη, ενώ σε άλλες θα χρειαστείτε επίσης τον αριθμό άδειας οδήγησης και τη διεύθυνση εγγραφής του.

Χειριστής προσωπικών δεδομένων είναι ένας κρατικός ή δημοτικός φορέας, νομικό ή φυσικό πρόσωπο που:

• ανεξάρτητα ή από κοινού με άλλα πρόσωπα οργανώνει ή/και διενεργεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
• καθορίζει τους σκοπούς της εργασίας με προσωπικές πληροφορίες, τη σύνθεσή τους, καθώς και τις ενέργειες (λειτουργίες) με αυτές.

Δηλαδή, όποιος ζητά και χρησιμοποιεί προσωπικά δεδομένα είναι ο χειριστής του. Και όλοι όσοι έχουν πρόσβαση και επεξεργάζονται πληροφορίες μέσω των οποίων μπορεί να αναγνωριστεί ένας πολίτης εργάζεται με προσωπικά δεδομένα και είναι υπεύθυνος για τη μη συμμόρφωση με τη νομοθεσία για την προστασία του.

Ας φανταστούμε ποιοι θα μπορούσαν να ταξινομηθούν ως χειριστές PD. Τράπεζες; Ναί! Ιστότοποι που συλλέγουν υλικό για συνδρομητές; Ναί! Νομικές και λογιστικές εταιρείες που παρέχουν διάφορες υπηρεσίες; Ναί! Καταστήματα και ινστιτούτα αισθητικής που προσφέρουν να αγοράσετε μια κάρτα μπόνους; Ναι πάλι! Ενώσεις ιδιοκτητών σπιτιού, πανεπιστήμια, νηπιαγωγεία, ταξιδιωτικά γραφεία, ιατρικά ιδρύματα, αυτοματοποιημένα συστήματα, συμπεριλαμβανομένων των κυβερνητικών; Ναι, ναι, ναι! Χειριστές PD - παντού, σε οποιοδήποτε πεδίο!

Υποχρεώσεις του χειριστή κατά την επεξεργασία προσωπικών δεδομένων

Όποιος ασχολείται με προσωπικά δεδομένα υποχρεούται να συμμορφώνεται με ορισμένους κανόνες για τη συλλογή, τη διασφάλιση της ασφάλειας, τη διευκρίνιση, τον αποκλεισμό και την καταστροφή αυτού του τύπου πληροφοριών. Σύμφωνα με το νόμο αριθ. 152-FZ, οι φορείς εκμετάλλευσης πρέπει:

• διενεργεί επεξηγηματική εργασία με το υποκείμενο των προσωπικών δεδομένων, καθώς και λήψη της προηγούμενης συγκατάθεσής του για την επεξεργασία προσωπικών πληροφοριών·
• παρουσιάζουν δημόσια την πολιτική σχετικά με την επεξεργασία προσωπικών δεδομένων·
• παρέχουν μέτρα προστασίας από μη εξουσιοδοτημένη ή τυχαία πρόσβαση σε προσωπικά δεδομένα, καταστροφή, τροποποίηση, αποκλεισμό, αντιγραφή, διανομή τους·
• καταστρέφουν αρχεία εάν το αντικείμενο των προσωπικών δεδομένων αποδεικνύει ότι οι πληροφορίες ελήφθησαν παράνομα ή δεν είναι απαραίτητες για την επίτευξη του δηλωθέντος σκοπού·
• μπλοκάρει την πρόσβαση σε πληροφορίες κατόπιν αιτήματος εξουσιοδοτημένου φορέα ή υποκειμένου προσωπικών δεδομένων (εκπρόσωπός του).

Εγγραφή στην Roskomnadzor ως χειριστή προσωπικών δεδομένων

Ο νόμος ορίζει ότι πριν ξεκινήσετε την εργασία με προσωπικά στοιχεία, είναι απαραίτητο να επικοινωνήσετε με την εξουσιοδοτημένη εποπτική αρχή και να ειδοποιήσετε για την έναρξη της εργασίας με προσωπικά στοιχεία. Αυτό δεν σημαίνει ότι κάθε εταιρεία πρέπει να περιλαμβάνεται στο μητρώο χειριστών προσωπικών δεδομένων Roskomnadzor. Αυτή η λίστα δεν περιλαμβάνει οργανισμούς και άτομα που ασχολούνται με πληροφορίες που:

• συλλέγονται και αποθηκεύονται σύμφωνα με την εργατική νομοθεσία·
• που λαμβάνεται αποκλειστικά για την παροχή υπηρεσιών επικοινωνίας στο πλαίσιο της συναφθείσας σύμβασης, δεν διανέμεται ούτε παρέχεται σε τρίτους χωρίς τη συγκατάθεση του υποκειμένου της Π.Δ.
• αναφέρεται σε μέλη (συμμετέχοντες) μιας δημόσιας ένωσης ή θρησκευτικής οργάνωσης για την επίτευξη των στόχων που προβλέπονται από τα συστατικά τους έγγραφα·
• δημοσιοποιούνται από το θέμα ΠΔ·
• περιλαμβάνει μόνο επώνυμα, ονόματα και πατρώνυμα των υποκειμένων των προσωπικών δεδομένων·
• απαιτείται για την απόκτηση εφάπαξ εισόδου στην επικράτεια του οργανισμού·
• περιλαμβάνονται σε συστήματα με καθεστώς κρατικών αυτοματοποιημένων συστημάτων πληροφοριών, καθώς και σε κρατικά συστήματα PD που έχουν δημιουργηθεί για την προστασία της κρατικής ασφάλειας και της δημόσιας τάξης·
• επεξεργασία χωρίς τη χρήση εργαλείων αυτοματισμού (υπολογιστής)·
• υποβάλλονται σε επεξεργασία για να διασφαλίζεται η ασφαλής λειτουργία του συγκροτήματος μεταφορών.

Λαμβάνοντας υπόψη τέτοιες διατυπώσεις, πολλοί από τους οργανισμούς δεν περιλαμβάνονται πλέον στο μητρώο φορέων που επεξεργάζονται προσωπικά δεδομένα που διατηρεί η Roskomnadzor. Δηλαδή, εργοδότες, εταιρείες παροχής υπηρεσιών επικοινωνίας, θρησκευτικές οργανώσεις, άτομα που λαμβάνουν προσωπικά δεδομένα μόνο για την εκτέλεση συμβάσεων και πολλοί άλλοι δεν πρέπει να ειδοποιούν για τη συλλογή και επεξεργασία προσωπικών δεδομένων. Όσοι δεν ισχύουν εξαιρέσεις πρέπει να περιλαμβάνονται στον κατάλογο της ρυθμιστικής αρχής.

Η διαδικασία εγγραφής συνίσταται στην υποβολή ειδοποίησης σε συγκεκριμένη μορφή. Μπορείτε να το βρείτε μέσω του μητρώου προσωπικών δεδομένων Roskomnadzor, της πύλης κυβερνητικών υπηρεσιών ή χρησιμοποιώντας Διάταγμα του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας της 21ης ​​Δεκεμβρίου 2011 N 346. Μπορείτε να κάνετε λήψη του απαιτούμενου εγγράφου δωρεάν στο τέλος αυτού του άρθρου.

• την πλήρη και συντομευμένη επωνυμία της εταιρείας που υποδεικνύει την οργανωτική και νομική μορφή, καθώς και τις νομικές και ταχυδρομικές διευθύνσεις, ΑΦΜ.
• τους σκοπούς της επεξεργασίας που αναφέρονται στα συστατικά έγγραφα ή πραγματοποιούνται πράγματι·
• κατηγορίες ΠΔ που θα διεκπεραιωθούν.
• υποκείμενα των οποίων η ΠΔ προβλέπεται να διεκπεραιωθεί, συμπεριλαμβανομένων των σχέσεων μαζί τους, για παράδειγμα, επιβάτης, δανειολήπτης, συνδρομητής, καταθέτης, αντισυμβαλλόμενος·
• τη βάση στην οποία υπάρχει δικαίωμα επεξεργασίας (για παράδειγμα, αντικείμενα Αεροπορικός Κώδικας της Ρωσικής Ομοσπονδίαςή αστική κατάστασηγια πράξεις προσωπικής κατάστασης), συμπεριλαμβανομένης της διαθεσιμότητας άδειας για το είδος της δραστηριότητας που ασκείται·
• περιγραφή των χρησιμοποιούμενων μεθόδων επεξεργασίας PD και της λίστας τους: χειροκίνητη, αυτοματοποιημένη ή μικτή επεξεργασία·
• πληροφορίες σχετικά με τα πρόσωπα που είναι υπεύθυνα για την οργάνωση της επεξεργασίας προσωπικών δεδομένων, τους αριθμούς τηλεφώνου, τις ταχυδρομικές διευθύνσεις, το ηλεκτρονικό ταχυδρομείο·
• πληροφορίες σχετικά με μέσα κρυπτογράφησης (κρυπτογραφικά)·
• ημερομηνία έναρξης, καθώς και προϋποθέσεις και όροι για τον τερματισμό της επεξεργασίας PD·
• πληροφορίες σχετικά με το πού αποθηκεύονται τα δεδομένα κατά την επεξεργασία τους, συμπεριλαμβανομένης της χώρας όπου βρίσκονται οι βάσεις δεδομένων με πληροφορίες σχετικά με τα προσωπικά δεδομένα πολιτών της Ρωσικής Ομοσπονδίας·
• πληροφορίες σχετικά με τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων σύμφωνα με τις καθορισμένες απαιτήσεις Διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 N 1119.

Λάβετε υπόψη ότι η εγγραφή ενός χειριστή προσωπικών δεδομένων στον ιστότοπο Roskomnadzor πραγματοποιείται εντός 30 ημερών. Σε περίπτωση υποβολής ηλεκτρονικής αίτησης, η εταιρεία θα πρέπει να αποστείλει επιπλέον αντίγραφο της κοινοποίησης στην εδαφική αρχή. Εάν οι πληροφορίες είναι ανεπαρκείς, οι υπάλληλοι θα στείλουν αίτημα για διευκρίνιση των υποβληθέντων εγγράφων. Είναι αδύνατο να αρνηθείτε να δεχτείτε μια ειδοποίηση και να καταχωρίσετε πληροφορίες σχετικά με έναν οργανισμό στο μητρώο.

Εάν, για διάφορους λόγους, οι σκοποί του οργανισμού για την επεξεργασία του PD έχουν αλλάξει ή πρέπει να γίνουν άλλες αλλαγές, εντός 10 ημερών αποστέλλει μια επιστολή στη Roskomnadzor με την προβλεπόμενη μορφή. Το έγγραφο μπορείτε να το βρείτε παρακάτω. Επιπλέον, οι αναγνώστες του PPT.ru μπορούν να κατεβάσουν ένα έντυπο του εγγράφου που απαιτείται για τον αποκλεισμό μιας εταιρείας από το μητρώο.

Όλες οι υπηρεσίες που παρέχει η Roskomnadzor σε αυτήν την περίπτωση είναι δωρεάν.

Ευθύνη για άρνηση εγγραφής στο μητρώο

Η ισχύουσα νομοθεσία προβλέπει διοικητική ευθύνη για παραβίαση των απαιτήσεων για την προστασία των προσωπικών δεδομένων. Σύμφωνα με Ομοσπονδιακός νόμος της 02/07/2017 αριθ. 13-FZ, που τέθηκε σε ισχύ την 1η Ιουλίου 2017, σε Άρθρο 13.11 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής ΟμοσπονδίαςΥπάρχουν πολλά αδικήματα για τα οποία μπορεί να επιβληθεί πρόστιμο στους χειριστές προσωπικών δεδομένων. Ανάλογα με την παράβαση, τα πρόστιμα για νομικά πρόσωπα βάσει αυτού του άρθρου κυμαίνονται από 15 έως 75 χιλιάδες ρούβλια και για μεμονωμένους επιχειρηματίες - από 5 έως 20 χιλιάδες ρούβλια.

Η άρνηση εγγραφής στο μητρώο μπορεί να θεωρηθεί ως παράλειψη παροχής πληροφοριών στη ρυθμιστική αρχή. Η τιμωρία για αυτό προβλέπεται στο Άρθρο 19.7 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας. Σύμφωνα με αυτό, οι υπάλληλοι αντιμετωπίζουν πρόστιμο από 300 έως 500 ρούβλια και τα νομικά πρόσωπα - από 3.000 έως 5.000 ρούβλια.

1. Αυτοί οι Κανονισμοί σχετικά με την τήρηση του μητρώου των φορέων εκμετάλλευσης που διενεργούν επεξεργασία (εφεξής οι Κανονισμοί) αναπτύχθηκαν σύμφωνα με τον Ομοσπονδιακό Νόμο της 27ης Ιουλίου 2006 N «Περί Προσωπικών Δεδομένων» (εφεξής ο Νόμος) (Συλλογή Νομοθεσία της Ρωσικής Ομοσπονδίας, 31 Ιουλίου 2006, N 31 (1 μέρος), άρθρο 3451), για την άσκηση της εξουσίας να τηρεί μητρώο φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα (εφεξής καλούμενος φορέας εκμετάλλευσης), που έχει ανατεθεί στην Ομοσπονδιακή Υπηρεσία για Επίβλεψη των Μαζικών Επικοινωνιών, των Επικοινωνιών και της Προστασίας Πολιτιστικής Κληρονομιάς (εφεξής η Υπηρεσία) σύμφωνα με τους Κανονισμούς για την Υπηρεσία, που εγκρίθηκαν με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 06.06.2007 N 354 (Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας Ομοσπονδία, 06.11.2007, N 24, N 52, Art.

2. Ο παρών κανονισμός θεσπίζει τη διαδικασία τήρησης μητρώου φορέων εκμετάλλευσης που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα (εφεξής «Μητρώο»).

3. Έννοιες που χρησιμοποιούνται στους παρόντες Κανονισμούς:

μητρώο - κατάλογος, κατάλογος φορέων που επεξεργάζονται προσωπικά δεδομένα.

τήρηση μητρώου χειριστών - οι δραστηριότητες της Υπηρεσίας, συμπεριλαμβανομένης της συλλογής, καταγραφής, επεξεργασίας, αποθήκευσης και παροχής δεδομένων που αποτελούν το σύστημα τήρησης μητρώου χειριστών που επεξεργάζονται προσωπικά δεδομένα.

φορέας εκμετάλλευσης - κρατικός φορέας, δημοτικός φορέας, νομικό ή φυσικό πρόσωπο που οργανώνει και (ή) διενεργεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τον καθορισμό των σκοπών και του περιεχομένου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

επεξεργασία προσωπικών δεδομένων - ενέργειες (λειτουργίες) με προσωπικά δεδομένα, συμπεριλαμβανομένης της συλλογής, συστηματοποίησης, συσσώρευσης, αποθήκευσης, διευκρίνησης (ενημέρωση, αλλαγής), χρήσης, διανομής (συμπεριλαμβανομένης της μεταφοράς), αποπροσωποποίησης, αποκλεισμού, καταστροφής προσωπικών δεδομένων.

II. Σύνθεση των πληροφοριών που περιλαμβάνονται στο μητρώο

4. Το μητρώο περιέχει τις ακόλουθες πληροφορίες σχετικά με τους Χειριστές:

α) αριθμός μητρώου·

β) όνομα (επώνυμο, όνομα, πατρώνυμο), διεύθυνση του χειριστή·

γ) τις διευθύνσεις των υποκαταστημάτων (γραφείων αντιπροσωπείας) του φορέα εκμετάλλευσης που επεξεργάζεται προσωπικά δεδομένα (εάν υπάρχουν).

δ) ημερομηνία αποστολής της ειδοποίησης·

ε) ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

η) νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

θ) κατάλογο ενεργειών με προσωπικά δεδομένα, γενική περιγραφή των μεθόδων που χρησιμοποιεί ο φορέας εκμετάλλευσης για την επεξεργασία προσωπικών δεδομένων·

ι) περιγραφή των μέτρων που αναλαμβάνει να εφαρμόσει ο φορέας εκμετάλλευσης κατά την επεξεργασία προσωπικών δεδομένων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους·

ια) ημερομηνία έναρξης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

ιγ) τον όρο ή την προϋπόθεση για τον τερματισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

ιγ) ημερομηνία και λόγους εγγραφής στο μητρώο φορέων.

ιε) ημερομηνία και λόγος αποκλεισμού από το μητρώο φορέων·

ιε) αλλαγές που έγιναν.

III. Προϋποθέσεις για τη συμπερίληψη φορέων στο μητρώο

5. Οι φορείς εκμετάλλευσης περιλαμβάνονται στο Μητρώο εφόσον πληρούνται οι ακόλουθες προϋποθέσεις:

Αποστολή ειδοποίησης σχετικά με την επεξεργασία (της πρόθεσης επεξεργασίας) προσωπικών δεδομένων στην εδαφική διοίκηση της Υπηρεσίας (εφεξής η γνωστοποίηση). Οι πληροφορίες που καθορίζονται στην Κοινοποίηση πρέπει να συμμορφώνονται με το Μέρος 3 του Άρθρου 22 του Νόμου.

Καταχώρηση της ληφθείσας Ειδοποίησης στο εδαφικό τμήμα της Υπηρεσίας, επεξεργασία της για λήψη απόφασης έγκρισης ή απόρριψης.

Υπογραφή εντολής προϊσταμένου της Υπηρεσίας ή αναπληρωτή προϊσταμένου για ένταξη του Χειριστή στο Μητρώο.

6. Το πρωτότυπο της Ειδοποίησης που αποστέλλεται από τον Διαχειριστή με την επισύναψη όλων των παραληφθέντων εγγράφων πρέπει να φυλάσσεται στο οικείο εδαφικό τμήμα της Υπηρεσίας.

IV. Η διαδικασία για την ένταξη φορέων στο μητρώο

7. Με βάση τα αποτελέσματα της ανάλυσης των Ειδοποιήσεων που επεξεργάζονται τα εδαφικά τμήματα της Υπηρεσίας, η Υπηρεσία έχει το δικαίωμα να επαληθεύσει την ακρίβεια και την πληρότητα των πληροφοριών που παρέχονται από τους Χειριστές που περιλαμβάνονται στην Γνωστοποίηση ή να εμπλέξει άλλους κρατικούς φορείς τα όρια των εξουσιών τους για τη διενέργεια αυτής της επαλήθευσης. Η Υπηρεσία έχει επίσης το δικαίωμα να ζητά από φυσικά ή νομικά πρόσωπα πληροφορίες που είναι απαραίτητες για την άσκηση των εξουσιών της και να λαμβάνει αυτές τις πληροφορίες δωρεάν, συμπεριλαμβανομένης της ανάγκης για διευκρίνιση ή συμπλήρωση πληροφοριών που λείπουν.

8. Με βάση τα αποτελέσματα του ελέγχου των πληροφοριών που περιέχονται στην επεξεργασμένη Γνωστοποίηση, η Υπηρεσία, εντός τριάντα ημερών από την ημερομηνία λήψης της Γνωστοποίησης, αποφασίζει την ένταξη του Διαχειριστή στο Μητρώο, το οποίο εκδίδεται με τη μορφή εντολή του προϊσταμένου της Υπηρεσίας ή του αναπληρωτή προϊσταμένου της Υπηρεσίας για ένταξη του Χειριστή στο Μητρώο.

9. Με βάση την εκδοθείσα εντολή, γίνεται εγγραφή για τον Χειριστή στο Μητρώο, στον οποίο εκχωρείται αριθμός μητρώου.

10. Η ημερομηνία εγγραφής του Χειριστή στο Μητρώο είναι η ημερομηνία υπογραφής της παραγγελίας.

11. Πληροφορίες για την ένταξη του Χειριστή στο Μητρώο πρέπει να δημοσιεύονται στην επίσημη ιστοσελίδα της Υπηρεσίας το αργότερο τρεις ημέρες από την ημερομηνία υπογραφής της παραγγελίας.

V. Διαδικασία τήρησης Μητρώου

12. Το Μητρώο τηρείται με χρήση ενιαίου πληροφοριακού συστήματος (εφεξής το UIS) σε ηλεκτρονική μορφή.

13. Το Μητρώο τηρείται από την Υπηρεσία, η οποία, υπό τις προϋποθέσεις που καθορίζονται στους παρόντες Κανονισμούς, περιλαμβάνει Χειριστές στο Μητρώο κάνοντας σχετικές εγγραφές στο Μητρώο, αλλάζει τις πληροφορίες που περιέχονται στις καθορισμένες εγγραφές, αποκλείει Χειριστές από το Μητρώο συμπληρώνοντας προηγούμενες εγγραφές με πληροφορίες για την εξαίρεση Χειριστών από το Μητρώο .

14. Εάν τα στοιχεία που περιέχονται στην Γνωστοποίηση αλλάξουν μετά την εγγραφή του Διαχειριστή στο Μητρώο, υποχρεούται να ενημερώσει την Υπηρεσία για τις αλλαγές εντός δέκα εργάσιμων ημερών από την ημερομηνία των αλλαγών αυτών. Η πραγματοποίηση αυτών των αλλαγών στο Μητρώο γίνεται με εντολή του προϊσταμένου της Υπηρεσίας ή του αναπληρωτή προϊσταμένου και δεν οδηγεί σε αλλαγή του αριθμού μητρώου της αντίστοιχης εγγραφής στο Μητρώο.

15. Οι πληροφορίες που περιέχονται στο Μητρώο, με εξαίρεση το εδάφιο «ια» της παραγράφου 4 του παρόντος Κανονισμού, είναι διαθέσιμες στο κοινό.

16. Πληροφορίες για το Μητρώο δημοσιεύονται στον επίσημο ιστότοπο της Υπηρεσίας.

17. Οι φορείς εκμετάλλευσης που περιλαμβάνονται στο Μητρώο έχουν το δικαίωμα να λάβουν απόσπασμα από το Μητρώο κατόπιν γραπτής αίτησης προς την Υπηρεσία το αργότερο εντός τριάντα ημερών.

VI. Η διαδικασία εξαίρεσης φορέων από το Μητρώο

18. Το θέμα της εξαίρεσης του Χειριστή από το Μητρώο εξετάζεται στις ακόλουθες περιπτώσεις:

Παραλαβή από την Υπηρεσία ή τα περιφερειακά της τμήματα γραπτής αίτησης (αίτησης) από τον Διαχειριστή που περιλαμβάνεται στο Μητρώο για εξαίρεση με συνημμένη αιτιολόγηση.

Λήψη μέτρων από την Υπηρεσία ή τα εδαφικά της τμήματα για την αναστολή ή τον τερματισμό από τον Διαχειριστή της επεξεργασίας προσωπικών δεδομένων που πραγματοποιείται κατά παράβαση των απαιτήσεων του Νόμου.

19. Οι φορείς εκμετάλλευσης αποκλείονται από το Μητρώο όταν συντρέχει μία από τις ακόλουθες συνθήκες:

Εκκαθάριση του Διαχειριστή.

Τερματισμός των δραστηριοτήτων του Διαχειριστή ως αποτέλεσμα της αναδιοργάνωσής του, με εξαίρεση την αναδιοργάνωση με τη μορφή μετασχηματισμού·

Ακύρωση της άδειας άσκησης της αδειοδοτημένης δραστηριότητας του Διαχειριστή, εάν προϋπόθεση της άδειας άσκησης αυτής της δραστηριότητας είναι η απαγόρευση μεταφοράς προσωπικών δεδομένων σε τρίτους χωρίς τη γραπτή συγκατάθεση του υποκειμένου των προσωπικών δεδομένων.

Η άφιξη της προθεσμίας ή των προϋποθέσεων για τον τερματισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που καθορίζονται στην Γνωστοποίηση·

Δικαστική απόφαση σχετικά με τον τερματισμό των δραστηριοτήτων του φορέα εκμετάλλευσης που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα·

Άλλα που θεσπίζονται από τη νομοθεσία της Ρωσικής Ομοσπονδίας στον τομέα των προσωπικών δεδομένων.

20. Η απόφαση εξαίρεσης του Χειριστή από το Μητρώο επισημοποιείται με εντολή του προϊσταμένου της Υπηρεσίας ή του αναπληρωτή προϊσταμένου της Υπηρεσίας.

Με βάση την εκδοθείσα εντολή, καταχωρούνται στο Μητρώο πληροφορίες για την εξαίρεση του Χειριστή από το Μητρώο. Μετά την εξαίρεση του Διαχειριστή από το Μητρώο, ο αριθμός εγγραφής της αντίστοιχης εγγραφής δεν χρησιμοποιείται στο μέλλον.

21. Πληροφορίες σχετικά με την εξαίρεση του Χειριστή από το Μητρώο πρέπει να δημοσιεύονται στον επίσημο ιστότοπο της Υπηρεσίας στο Διαδίκτυο το αργότερο τρεις ημέρες από την ημερομηνία υπογραφής της παραγγελίας.

Το οποίο αποδείχθηκε ότι ήταν το πιο σημαντικό τόσο στη λογιστική όσο και κατά την εξέταση αιτήσεων δανείου κ.λπ.

Αλλά τι είναι και ποιος εξακολουθεί να έχει το δικαίωμα να επεξεργάζεται τέτοιες πληροφορίες και ποιος όχι, αναφέρεται σπάνια, ακόμη και με απροθυμία.

Ως αποτέλεσμα, μερικές φορές είναι δύσκολο να καταλάβουμε ποιος είναι ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων.

– πρόκειται για πληροφορίες για ένα άτομο που το χαρακτηρίζουν ως συγκεκριμένο άτομο, δεν γενικεύονται και δεν μπορούν να εφαρμοστούν σε μια ομάδα ανθρώπων. Στις περισσότερες περιπτώσεις, μιλάμε για επίθετο, όνομα, πατρώνυμο, ημερομηνία γέννησης, διεύθυνση όπου είναι εγγεγραμμένος και ζει το άτομο, οικογενειακή κατάσταση κ.λπ.

Η έννοια των προσωπικών δεδομένων εισήχθη στην επιχειρηματική κυκλοφορία μετά την υιοθέτηση του «Σχετικά με τα Προσωπικά Δεδομένα» το 2006. Εκεί, εισήχθη μια διαίρεση των πληροφοριών σε διάφορες κατηγορίες, η οποία καθιστά δυνατό τον προσδιορισμό των επιπέδων ανάλυσης επεξεργασίας για διάφορες καταστάσεις.

1. Πληροφορίες σχετικά με τη φυλή και την εθνικότητα, τις θρησκευτικές πεποιθήσεις, την κατάσταση της υγείας και λεπτομέρειες της οικείας ζωής ενός πολίτη.
2. Πληροφορίες που, εκτός από την ταυτοποίηση ενός πολίτη, σας επιτρέπουν επίσης να αποκτήσετε διάφορες πληροφορίες για αυτόν, για παράδειγμα, αριθμό τηλεφώνου, τόπο διαμονής κ.λπ.
3. Πληροφορίες που κάνουν ένα άτομο να ξεχωρίζει από τους άλλους - επίθετο, όνομα και πλήρης ημερομηνία γέννησης.
4. Οι δημόσιες πληροφορίες, κατά κανόνα, είναι ανώνυμες, αλλά μερικές φορές και πληροφορίες που απαιτείται να είναι δημόσιες από το νόμο, για παράδειγμα, τα εισοδήματα κρατικών αξιωματούχων. Μια ξεχωριστή κατηγορία περιλαμβάνει τα δεδομένα στα οποία ο ίδιος ο πολίτης έχει δώσει τη συγκατάθεσή του, για παράδειγμα, τη διεύθυνση και τον αριθμό τηλεφώνου στο γραφείο βοήθειας 09.

Γενικά, ο Νόμος «Περί Προσωπικών Δεδομένων» έχει σχεδιαστεί για να διασφαλίζει το δικαίωμα κάθε πολίτη στην ιδιωτική ζωή και την προστασία σε περίπτωση παραβίασης. Με βάση την παραπάνω ταξινόμηση, επιβάλλονται διάφορες απαιτήσεις για τη διασφάλιση της ασφάλειας των πληροφοριών. Για την πρώτη κατηγορία, οι απαιτήσεις είναι αυστηρότερες από όλες τις άλλες.

Ποιος είναι ο χειριστής των προσωπικών δεδομένων

Ο φορέας εκμετάλλευσης προσωπικών δεδομένων είναι ένα νομικό πρόσωπο που, δυνάμει των δραστηριοτήτων του, ασχολείται με πληροφορίες σχετικά με τρέχοντες και δυνητικούς πελάτες και υπαλλήλους. Το μέγεθος του οργανισμού δεν παίζει καθόλου ρόλο, ούτε η μορφή ιδιοκτησίας του.

Στην πράξη, χειριστής είναι κάθε οργανισμός που απασχολεί μισθωτό εργατικό δυναμικό. Εξάλλου, η απασχόληση είναι αδύνατη χωρίς τη συμπλήρωση μιας φόρμας αίτησης με μια αρκετά λεπτομερή λίστα πληροφοριών για τον εαυτό σας, καθώς και την υποβολή προσωπικών εγγράφων και γίνονται αντίγραφα όλων αυτών, οι πληροφορίες εισάγονται σε λογιστικά προγράμματα κ.λπ.

Η κύρια απαίτηση της νομοθεσίας της Ρωσικής Ομοσπονδίας για τους φορείς εκμετάλλευσης είναι να διασφαλίζουν την ασφάλεια των δεδομένων που έλαβε ο οργανισμός κατά τη διάρκεια των δραστηριοτήτων του.

Τα πρότυπα σύμφωνα με τα οποία διασφαλίζεται η προστασία καθορίζονται στον αναφερόμενο νόμο, μπορούν επίσης να καθοριστούν από κανονισμούς των λεγόμενων ρυθμιστικών αρχών

Υπάρχει μια συγκεκριμένη διαδικασία που ρυθμίζει περιπτώσεις όπου ένας οργανισμός λαμβάνει το δικαίωμα να εργαστεί με προσωπικά δεδομένα χωρίς ειδοποίηση προς:

• εάν η εταιρεία επεξεργάζεται μόνο τις πληροφορίες που χρειάζονται για τις εργασιακές σχέσεις·
• όταν γίνεται επεξεργασία δεδομένων που είναι διαθέσιμα στο κοινό·
• εάν υποβάλλονται σε επεξεργασία μόνο το επώνυμο, το όνομα, το πατρώνυμο.
• όταν χρησιμοποιούνται μία φορά, για παράδειγμα, για την έκδοση πάσου.
• εάν η τεχνολογία υπολογιστών δεν χρησιμοποιείται για επεξεργασία.

Όλοι οι άλλοι οργανισμοί υποχρεούνται να εγγραφούν, με αποτέλεσμα να λαμβάνουν έναν μοναδικό αριθμό εγγραφής με τον οποίο καταχωρούνται σε ειδικό μητρώο.

Μπορεί πάντα να διευκρινίσει εάν μια συγκεκριμένη νομική οντότητα έχει το δικαίωμα να ζητήσει ή να αποθηκεύσει προσωπικά δεδομένα.

Για παράδειγμα, τέτοια ερωτήματα προκύπτουν συχνά σε σχέση με πιστωτικά ιδρύματα, εταιρείες κινητής τηλεφωνίας κ.λπ.

Ως εκ τούτου, συνηθίζεται να καλούνται «φορείς επεξεργασίας προσωπικών δεδομένων» που, λόγω των επαγγελματικών τους δραστηριοτήτων, συλλέγουν και επεξεργάζονται όχι μόνο πληροφορίες που είναι διαθέσιμες στο κοινό, αλλά και όπως σειρά, αριθμός διαβατηρίου, διεύθυνση κατοικίας κ.λπ.

Απόκτηση του δικαιώματος επεξεργασίας προσωπικών δεδομένων

Για τη διασφάλιση της ασφάλειας της αποθήκευσης και της μεταφοράς προσωπικών δεδομένων, προβλέπεται διαδικασία πιστοποίησης και λήψης άδειας για οργανισμούς που εμπλέκονται στη συλλογή και αποθήκευση τέτοιων πληροφοριών.

Για να αποκτήσει άδεια, μια επιχείρηση πρέπει όχι μόνο να εκπαιδεύει υπαλλήλους, αλλά και να αγοράζει τεχνικό προστατευτικό εξοπλισμό.

Η διαδικασία αποτελείται από πολλά στάδια, από τα οποία μπορούν να εντοπιστούν τα πιο σημαντικά.

• κοινοποιεί στις αρμόδιες αρχές την πρόθεση επεξεργασίας δεδομένων με χρήση μέσων (υπολογιστές)·
• υποβάλλονται σε προκαταρκτική εξέταση των υφιστάμενων συστημάτων πληροφοριών·
• σχεδιασμός συστήματος προστασίας λαμβάνοντας υπόψη την υποδομή εξοπλισμού ηλεκτρονικών υπολογιστών και άλλου εξοπλισμού αυτοματισμού·
• αποκτούν και εφαρμόζουν προστατευτικό εξοπλισμό·
• συμμορφώνονται όλοι οι χώροι με τις απαιτήσεις πυρασφάλειας, ασφάλειας, παροχής ρεύματος κ.λπ.
• πραγματοποιεί προηγμένη εκπαίδευση εργαζομένων στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα και της πιστοποίησής τους.

Ως αποτέλεσμα, είναι δυνατόν να διασφαλιστεί η παρουσία ενός λειτουργικού συστήματος για την προστασία των πληροφοριών όταν μεταδίδονται μέσω γραμμών επικοινωνίας.

Αξίζει να σημειωθεί ότι όλες οι ενέργειες που περιγράφονται παραπάνω μπορούν να εφαρμοστούν μόνο στην επεξεργασία προσωπικών δεδομένων σε ηλεκτρονική μορφή, η οποία είναι δυνητικά μη ασφαλής για αποθηκευμένες ή μεταδιδόμενες πληροφορίες.

Έλεγχος των δραστηριοτήτων των χειριστών προσωπικών δεδομένων

Το έργο όλων των φορέων εκμετάλλευσης δεδομένων προσωπικού χαρακτήρα δεν ρυθμίζεται μόνο από νομοθετικές πράξεις, αλλά υπόκειται επίσης σε τακτικές επιθεωρήσεις, προγραμματισμένες και τυχαίες, για παράδειγμα, κατόπιν αιτήματος πολιτών που επηρεάζονται από τις δραστηριότητές τους.

Πολλές εποπτικές υπηρεσίες και υπηρεσίες επιβολής του νόμου θα πρέπει να συμμετέχουν στην παρακολούθηση της συμμόρφωσης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων, αλλά λόγω των ιδιαιτεροτήτων της εργασίας, μόνο τρεις από αυτές ξεχωρίζουν (ονομάζονται ρυθμιστικές αρχές):

• Roskomnadzor - οι λειτουργίες του περιλαμβάνουν την επαλήθευση της συμμόρφωσης με τυχόν κανονιστικές απαιτήσεις του νόμου, καθώς και τη διεξαγωγή επιθεωρήσεων.
• FSTEC (Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών) - τα καθήκοντά της περιλαμβάνουν, πρώτα απ 'όλα, την προστασία των δεδομένων που βρίσκονται στους υπολογιστές του ίδιου του οργανισμού, καθώς και των καναλιών μετάδοσής τους, όταν αποθηκεύονται και μεταδίδονται χωρίς κρυπτογράφηση.
• FSB (Ομοσπονδιακή Υπηρεσία Ασφαλείας) – ελέγχει τη χρήση μέσων κρυπτογράφησης για την επεξεργασία και μετάδοση προσωπικών πληροφοριών, συμπεριλαμβανομένης της ανάπτυξης και διανομής τους.

Μπορείτε να ελέγξετε τη στάση ενός συγκεκριμένου οργανισμού έναντι των χειριστών προσωπικών πληροφοριών μόνοι σας.

Ο ιστότοπος Roskomnadzor έχει πρόσβαση στο μητρώο των χειριστών που επεξεργάζονται προσωπικά δεδομένα και είναι διαθέσιμο σε αυτόν τον σύνδεσμο.

Για να δείτε πληροφορίες, απλώς εισαγάγετε το όνομα ή τον αριθμό μητρώου της επιχείρησης που σας ενδιαφέρει ή τον αριθμό φορολογικού μητρώου της (ΑΦΜ), στο κατάλληλο πεδίο.

Με αυτόν τον τρόπο μπορείτε να μάθετε εάν τα δεδομένα ζητήθηκαν νόμιμα ή όχι. Εάν ο οργανισμός δεν είναι στη λίστα, τότε ίσως η Roskomnadzor θα πρέπει να φροντίσει για αυτό και είτε να τον συμπεριλάβει στο μητρώο είτε να απαγορεύσει την παράνομη συλλογή πληροφοριών για πολίτες.

Η επαλήθευση των χειριστών προσωπικών δεδομένων πραγματοποιείται είτε κατόπιν αιτήματος πολιτών είτε με πρωτοβουλία, για παράδειγμα, της εισαγγελίας, η οποία μπορεί να επικοινωνήσει με την Roskomnadzor ως μέρος ενός ελέγχου των δραστηριοτήτων του οργανισμού.

Προβλέπεται ευθύνη για παραβάσεις στην επεξεργασία πληροφοριών πολιτών. Ανάλογα με τη σοβαρότητα των πράξεων που διαπράχθηκαν, μπορεί να υπάρξει διοικητική, πειθαρχική ή ποινική τιμωρία.

Γενικά, πριν δώσετε άδεια επεξεργασίας προσωπικών δεδομένων σε πιστωτικό ή άλλο οργανισμό που ζητά τέτοιο δικαίωμα, είναι καλύτερα να βεβαιωθείτε πρώτα ότι είναι εγγεγραμμένος ως χειριστής και επομένως έχει τα πάντα για την ασφαλή αποθήκευση.

Αυτό μπορεί να ισχύει ιδιαίτερα για μικρές επιχειρήσεις, όπως αυτές που παρέχουν μικρά δάνεια.

Φυσικά, χωρίς να παρέχουν τέτοια συγκατάθεση, τέτοιοι οργανισμοί συνήθως αρνούνται τις υπηρεσίες, αλλά δεν υπάρχει τίποτα κακό σε αυτό, γιατί Ο ανταγωνισμός είναι αρκετά υψηλός και μπορείτε πάντα να βρείτε μια άλλη κατάλληλη επιλογή.

Η Roskomnadzor διατηρεί μητρώο φορέων - εταιρειών που συμμορφώνονται με τις απαιτήσεις του Νόμου «Περί Προσωπικών Δεδομένων». Για να συμπεριληφθεί στο μητρώο, η εταιρεία υποβάλλει ειδοποίηση σχετικά με την επεξεργασία προσωπικών δεδομένων. Αυτό μπορεί να είναι δύσκολο να γίνει: δεν είναι σαφές πότε να υποβάλετε την ειδοποίηση, πώς να τη συμπληρώσετε και πώς να διασφαλίσετε ότι οι πληροφορίες φθάνουν στο Roskomnadzor.

Υπάρχει περίπτωση να μην υποβάλετε ειδοποίηση;

Ο Νόμος για τα Προσωπικά Δεδομένα απαιτεί από κάθε εταιρεία να υποβάλει ειδοποίηση.

Υπάρχουν αρκετές εξαιρέσεις στο νόμο που επιτρέπουν σε ορισμένες εταιρείες να το αποφύγουν αυτό. Σε αυτήν την περίπτωση, πρέπει να είστε προετοιμασμένοι να αποδείξετε νομικά στη ρυθμιστική αρχή ότι οι εξαιρέσεις ισχύουν για την εταιρεία. Αυτό δεν είναι τόσο εύκολο να γίνει: η έλλειψη ειδοποίησης είναι μια από τις πιο συνηθισμένες παραβιάσεις που εντοπίστηκαν κατά τις επιθεωρήσεις Roskomnadzor.

Η καλύτερη επιλογή είναι να υποβάλετε μια ειδοποίηση και να προστατέψετε την εταιρεία από ερωτήσεις της ρυθμιστικής αρχής σχετικά με το γιατί δεν έγινε αυτό.

Μερικές φορές οι εταιρείες φοβούνται ότι η υποβολή μιας ειδοποίησης θα προσελκύσει αδικαιολόγητη προσοχή από την Roskomnadzor και θα συνοδεύεται από επιθεώρηση. Στην πράξη αυτό δεν συμβαίνει.

Πότε πρέπει να στείλω την ειδοποίηση;

Η ειδοποίηση υποβάλλεται πριν ξεκινήσει η επεξεργασία των προσωπικών δεδομένων. Με βάση το γράμμα του νόμου, αυτό πρέπει να γίνει τις πρώτες ημέρες μετά την κρατική εγγραφή μιας νομικής οντότητας ή ενός μεμονωμένου επιχειρηματία.

Συχνά η απόφαση για την κατάθεση ειδοποίησης λαμβάνεται όταν η εταιρεία λειτουργεί εδώ και αρκετούς μήνες ή αρκετά χρόνια. Δεν υπάρχει λόγος να φοβάστε πρόστιμο ή άλλες κυρώσεις για «καθυστέρηση» στην υποβολή ειδοποίησης. Αλλά εάν η Roskomnadzor ενδιαφερθεί για την εταιρεία (έρχεται με μια επιθεώρηση ή στέλνει μια «επιστολή ευτυχίας» όπου απαιτεί να υποβάλει μια ειδοποίηση), τότε δεν θα αποφευχθεί το πρόστιμο.

Μια σημαντική απόχρωση: ακόμη και αν η ειδοποίηση υποβληθεί "καθυστερημένη", είναι καλύτερο να αναφέρετε την ημερομηνία κρατικής εγγραφής της εταιρείας ως "ημερομηνία έναρξης επεξεργασίας προσωπικών δεδομένων".

Πώς να συμπληρώσετε μια ειδοποίηση;

Η ειδοποίηση πρέπει να υποβληθεί ηλεκτρονικά (ηλεκτρονικά) και να αποσταλεί ταχυδρομικώς (έντυπη).

Η ηλεκτρονική φόρμα ειδοποίησης συμπληρώνεται στον ιστότοπο Roskomnadzor. Απαιτούνται πολλές πληροφορίες και δεν είναι εύκολο να γίνει, παρά την παρουσία προτροπών. Πρέπει να είστε προετοιμασμένοι να διατυπώσετε τους νομικούς λόγους και τους σκοπούς της επεξεργασίας προσωπικών δεδομένων, να περιγράψετε τις ενέργειες που πραγματοποιήθηκαν με αυτά και να υποδείξετε πώς διασφαλίζεται η ασφάλειά τους.

Μετά την υποβολή της ηλεκτρονικής φόρμας, ο ιστότοπος Roskomnadzor θα προσφέρει τη λήψη της ήδη συμπληρωμένης έντυπης φόρμας. Θα πρέπει να εκτυπωθεί, να υπογραφεί και να επικυρωθεί με τη σφραγίδα της εταιρείας και στη συνέχεια να σταλεί ταχυδρομικά στον εδαφικό φορέα της Roskomnadzor. Αυτό είναι απαραίτητο για την επιβεβαίωση των πληροφοριών που υποβάλλονται ηλεκτρονικά.

Μπορείτε επίσης να συμπληρώσετε την ειδοποίηση ηλεκτρονικά στην Πύλη Δημοσίων Υπηρεσιών, αλλά αυτή είναι μια λιγότερο βολική μέθοδος.

Πώς μπορώ να ξέρω εάν μια ειδοποίηση έχει γίνει αποδεκτή;

Αφού συμπληρώσετε την ειδοποίηση στον ιστότοπο Roskomnadzor, η εταιρεία θα λάβει έναν αριθμό ειδοποίησης και ένα μυστικό κλειδί. Με τη βοήθειά τους, σε μια ειδική σελίδα μπορείτε να διευκρινίσετε την κατάσταση της ειδοποίησης και να μάθετε πότε οι πληροφορίες της θα συμπεριληφθούν στο μητρώο φορέων.

Όλες οι πληροφορίες στο μητρώο φορέων είναι διαθέσιμες στο κοινό, εκτός από τις πληροφορίες σχετικά με τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων. Μπορείτε να βρείτε μια ειδοποίηση από οποιονδήποτε χειριστή.

Πόσες φορές πρέπει να ειδοποιήσω;

Η ειδοποίηση δίνεται μόνο μία φορά.

Ωστόσο, υπάρχει μια σημαντική απόχρωση: ο νόμος «Περί Προσωπικών Δεδομένων» απαιτεί να ειδοποιείται η Roskomnadzor για αλλαγές στις πληροφορίες που καθορίζονται στην ειδοποίηση εντός 10 ημερών από αυτές τις αλλαγές. Η ειδοποίηση περιέχει πολλές πληροφορίες για την εταιρεία και οι αλλαγές μπορεί να συμβαίνουν αρκετά συχνά. Δυστυχώς, μπορεί να είναι δύσκολο να τα παρακολουθήσετε και να απαντήσετε έγκαιρα.

Είναι καλύτερο να υποβάλετε την ειδοποίηση όσο το δυνατόν νωρίτερα και να βεβαιωθείτε προσεκτικά ότι οι πληροφορίες της εταιρείας στο μητρώο χειριστή είναι ενημερωμένες. Αυτό είναι πολύ εύκολο να το κάνετε χρησιμοποιώντας την υπηρεσία μας.

Πώς να γίνετε χειριστής προσωπικών δεδομένων στο μητρώο Roskomnadzor

Δεν γνωρίζουν όλες οι εταιρείες και οι μεμονωμένοι επιχειρηματίες εάν είναι φορείς εκμετάλλευσης προσωπικών δεδομένων και εάν πρέπει να μεταφέρουν πληροφορίες για τον εαυτό τους στη Roskomnadzor. Ας μάθουμε ποιον παρακολουθεί πιο στενά η υπηρεσία και πώς να ειδοποιεί τους πολίτες για την έναρξη της επεξεργασίας προσωπικών πληροφοριών.

Ποιοι είναι οι χειριστές προσωπικών δεδομένων και τι κάνουν;

Οι περισσότεροι γνωρίζουν ότι τα προσωπικά δεδομένα (εφεξής PD) περιλαμβάνουν πληροφορίες σχετικά με το επώνυμο, το όνομα και το πατρώνυμο του πολίτη, πληροφορίες από το διαβατήριό του, αριθμό κινητού τηλεφώνου, διεύθυνση κατοικίας, e-mail. Ποιες άλλες πληροφορίες θα μπορούσαν να συμπεριληφθούν σε αυτή τη λίστα; Αποδεικνύεται ότι οποιαδήποτε: μια εξαντλητική λίστα δεν παρουσιάζεται πουθενά, και κατ 'αρχήν δεν μπορεί να υπάρχει. Αυτό επιβεβαιώνεται από τη διατύπωση στον ομοσπονδιακό νόμο αριθ. 152-FZ της 27ης Ιουλίου 2006:

Προσωπικά δεδομένα - κάθε πληροφορία που σχετίζεται με άμεσα ή έμμεσα αναγνωρισμένο ή αναγνωρίσιμο άτομο (αντικείμενο προσωπικών δεδομένων).

Αποδεικνύεται ότι σε ορισμένες περιπτώσεις το επώνυμο, το όνομα και ο αριθμός αυτοκινήτου θα είναι αρκετά για την ταυτοποίηση ενός πολίτη, ενώ σε άλλες θα χρειαστείτε επίσης τον αριθμό άδειας οδήγησης και τη διεύθυνση εγγραφής του.

Χειριστής προσωπικών δεδομένων είναι ένας κρατικός ή δημοτικός φορέας, νομικό ή φυσικό πρόσωπο που:

ανεξάρτητα ή από κοινού με άλλα πρόσωπα οργανώνει ή/και διενεργεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα·

καθορίζει τους σκοπούς της εργασίας με προσωπικές πληροφορίες, τη σύνθεσή τους, καθώς και τις ενέργειες (λειτουργίες) με αυτές.

Δηλαδή, όποιος ζητά και χρησιμοποιεί προσωπικά δεδομένα είναι ο χειριστής του. Και όλοι όσοι έχουν πρόσβαση και επεξεργάζονται πληροφορίες μέσω των οποίων μπορεί να αναγνωριστεί ένας πολίτης εργάζεται με προσωπικά δεδομένα και είναι υπεύθυνος για τη μη συμμόρφωση με τη νομοθεσία για την προστασία του.

Ας φανταστούμε ποιοι θα μπορούσαν να ταξινομηθούν ως χειριστές PD. Τράπεζες; Ναί! Ιστότοποι που συλλέγουν υλικό για συνδρομητές; Ναί! Νομικές και λογιστικές εταιρείες που παρέχουν διάφορες υπηρεσίες; Ναί! Καταστήματα και ινστιτούτα αισθητικής που προσφέρουν να αγοράσετε μια κάρτα μπόνους; Ναι πάλι! Ενώσεις ιδιοκτητών σπιτιού, πανεπιστήμια, νηπιαγωγεία, ταξιδιωτικά γραφεία, ιατρικά ιδρύματα, αυτοματοποιημένα συστήματα, συμπεριλαμβανομένων των κυβερνητικών; Ναι, ναι, ναι! Χειριστές PD - παντού, σε οποιοδήποτε πεδίο!

Όποιος ασχολείται με προσωπικά δεδομένα υποχρεούται να συμμορφώνεται με ορισμένους κανόνες για τη συλλογή, τη διασφάλιση της ασφάλειας, τη διευκρίνιση, τον αποκλεισμό και την καταστροφή αυτού του τύπου πληροφοριών. Σύμφωνα με το νόμο αριθ. 152-FZ, οι φορείς εκμετάλλευσης πρέπει:

Εγγραφή στην Roskomnadzor ως χειριστή προσωπικών δεδομένων

Ο νόμος ορίζει ότι πριν ξεκινήσετε την εργασία με προσωπικά στοιχεία, είναι απαραίτητο να επικοινωνήσετε με την εξουσιοδοτημένη εποπτική αρχή και να ειδοποιήσετε για την έναρξη της εργασίας με προσωπικά στοιχεία. Αυτό δεν σημαίνει ότι κάθε εταιρεία πρέπει να περιλαμβάνεται στο μητρώο χειριστών προσωπικών δεδομένων Roskomnadzor. Αυτή η λίστα δεν περιλαμβάνει:

εργοδότες. Συλλέγουν και αποθηκεύουν πληροφορίες σύμφωνα με την εργατική νομοθεσία, για παράδειγμα, κατά την κατάρτιση συμβάσεων εργασίας, διάφορες εντολές προσωπικού.

εταιρείες κινητής ή σταθερής τηλεφωνίας, εάν τα δεδομένα λαμβάνονται αποκλειστικά για την παροχή υπηρεσιών επικοινωνίας βάσει συναφθείσας σύμβασης, δεν διανέμονται ή παρέχονται σε τρίτους χωρίς τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων.

δημόσιες ενώσεις ή θρησκευτικές οργανώσεις που αποκτούν πρόσβαση στα δεδομένα των μελών τους (συμμετεχόντων) για την επίτευξη των στόχων που προβλέπονται στα συστατικά έγγραφα·

οργανισμοί και άτομα που χρησιμοποιούν δημόσια διαθέσιμες πληροφορίες που τα ίδια τα υποκείμενα των προσωπικών δεδομένων αποκάλυψαν, για παράδειγμα, σε προσωπικούς ιστότοπους·

οποιεσδήποτε εταιρείες λειτουργούν σύστημα εισιτηρίων. Εάν τα δεδομένα διαβατηρίου ενός πολίτη αντιγραφούν για την απόκτηση μιας εφάπαξ κάρτας στην επικράτεια του οργανισμού, δεν θα υπάρχει ανάγκη εγγραφής.

συστήματα με καθεστώς κρατικών αυτοματοποιημένων πληροφοριακών συστημάτων, καθώς και κρατικών συστημάτων PD που δημιουργήθηκαν για την προστασία της κρατικής ασφάλειας και της δημόσιας τάξης. Υπάρχουν πολλά από αυτά, και μεταξύ αυτών είναι τα συστήματα Era-Glonass και διαχείρισης, το AIS για τη λογιστική των μη κερδοσκοπικών και θρησκευτικών οργανώσεων και πολλά άλλα σε ομοσπονδιακό και περιφερειακό επίπεδο.

πολίτες και οργανισμούς που επεξεργάζονται πληροφορίες χωρίς τη χρήση εργαλείων αυτοματισμού (υπολογιστές). Ταυτόχρονα, πρέπει να καθοδηγούνται από τις απαιτήσεις που εγκρίθηκαν με το κυβερνητικό διάταγμα αριθ. 687 της 15ης Σεπτεμβρίου 2008.

οργανισμοί που ζητούν δεδομένα για να διασφαλίσουν την ασφαλή λειτουργία του συγκροτήματος μεταφορών, για παράδειγμα, κατά την κράτηση και την αγορά εισιτηρίων, μεταξύ άλλων μέσω ηλεκτρονικών υπηρεσιών μεταφορέων ή διαμεσολαβητών.

Λαμβάνοντας υπόψη τέτοιες διατυπώσεις, πολλοί από τους οργανισμούς δεν περιλαμβάνονται πλέον στο μητρώο φορέων που επεξεργάζονται προσωπικά δεδομένα που διατηρεί η Roskomnadzor. Όμως όσοι δεν ισχύουν εξαιρέσεις πρέπει να περιλαμβάνονται στον κατάλογο της ρυθμιστικής αρχής.

Η διαδικασία εγγραφής συνίσταται στην υποβολή ειδοποίησης σε συγκεκριμένη μορφή. Η πρόσβαση σε αυτό είναι δυνατή μέσω του μητρώου προσωπικών δεδομένων Roskomnadzor, της πύλης κυβερνητικών υπηρεσιών ή μέσω της εντολής του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας της 21ης ​​Δεκεμβρίου 2011 N 346. Μπορείτε να κάνετε λήψη του απαιτούμενου εγγράφου δωρεάν στο τέλος αυτού του άρθρου.

Η Roskomnadzor συνιστά την υποβολή μιας ειδοποίησης στο επιστολόχαρτο του οργανισμού, σε χαρτί ή ηλεκτρονικά. Η έντυπη έκδοση θα πρέπει να συμπληρωθεί, να υπογραφεί και να αποσταλεί στον εδαφικό φορέα του Roskomnadzor (με ταχυδρομείο ή αυτοπροσώπως). Ένα ηλεκτρονικό έγγραφο μπορεί να εκδοθεί απευθείας στον ιστότοπο του τμήματος - στην ενότητα «Ηλεκτρονικά έντυπα αιτήσεων».

Ανεξάρτητα από τη μέθοδο ενημέρωσης των υπαλλήλων, η κοινοποίηση πρέπει να αναφέρει:

την πλήρη και συντομευμένη επωνυμία της εταιρείας που υποδεικνύει την οργανωτική και νομική μορφή, καθώς και τις νομικές και ταχυδρομικές διευθύνσεις, ΑΦΜ.

τους σκοπούς της επεξεργασίας που αναφέρονται στα συστατικά έγγραφα ή πραγματοποιούνται πράγματι·

κατηγορίες ΠΔ που θα διεκπεραιωθούν.

υποκείμενα των οποίων η ΠΔ προβλέπεται να διεκπεραιωθεί, συμπεριλαμβανομένων των σχέσεων μαζί τους, για παράδειγμα, επιβάτης, δανειολήπτης, συνδρομητής, καταθέτης, αντισυμβαλλόμενος·

τη βάση στην οποία υπάρχει δικαίωμα επεξεργασίας (για παράδειγμα, άρθρα του Αεροπορικού Κώδικα της Ρωσικής Ομοσπονδίας ή ο νόμος για τις πράξεις προσωπικής κατάστασης για πράξεις προσωπικής κατάστασης), συμπεριλαμβανομένης της παρουσίας άδειας για το είδος της δραστηριότητας πραγματοποιήθηκε?

περιγραφή των χρησιμοποιούμενων μεθόδων επεξεργασίας PD και της λίστας τους: χειροκίνητη, αυτοματοποιημένη ή μικτή επεξεργασία·

πληροφορίες σχετικά με τα πρόσωπα που είναι υπεύθυνα για την οργάνωση της επεξεργασίας προσωπικών δεδομένων, τους αριθμούς τηλεφώνου, τις ταχυδρομικές διευθύνσεις, το ηλεκτρονικό ταχυδρομείο·

πληροφορίες σχετικά με μέσα κρυπτογράφησης (κρυπτογραφικά)·

ημερομηνία έναρξης, καθώς και προϋποθέσεις και όροι για τον τερματισμό της επεξεργασίας PD·

πληροφορίες σχετικά με το πού αποθηκεύονται τα δεδομένα κατά την επεξεργασία τους, συμπεριλαμβανομένης της χώρας όπου βρίσκονται οι βάσεις δεδομένων με πληροφορίες σχετικά με τα προσωπικά δεδομένα πολιτών της Ρωσικής Ομοσπονδίας·

πληροφορίες σχετικά με τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων σύμφωνα με τις απαιτήσεις που ορίζονται με το διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 N 1119.

Λάβετε υπόψη ότι η εγγραφή ενός χειριστή προσωπικών δεδομένων στον ιστότοπο Roskomnadzor πραγματοποιείται εντός 30 ημερών. Σε περίπτωση υποβολής ηλεκτρονικής αίτησης, η εταιρεία θα πρέπει να αποστείλει επιπλέον αντίγραφο της κοινοποίησης στην εδαφική αρχή. Εάν οι πληροφορίες είναι ανεπαρκείς, οι υπάλληλοι θα στείλουν αίτημα για διευκρίνιση των υποβληθέντων εγγράφων. Είναι αδύνατο να αρνηθείτε να δεχτείτε μια ειδοποίηση και να καταχωρίσετε πληροφορίες σχετικά με έναν οργανισμό στο μητρώο.

Εάν, για διάφορους λόγους, οι σκοποί του οργανισμού για την επεξεργασία του PD έχουν αλλάξει ή πρέπει να γίνουν άλλες αλλαγές, εντός 10 ημερών αποστέλλει μια επιστολή στη Roskomnadzor με την προβλεπόμενη μορφή. Το έγγραφο μπορείτε να το βρείτε παρακάτω. Επιπλέον, οι αναγνώστες του PPT.ru μπορούν να κατεβάσουν ένα έντυπο του εγγράφου που απαιτείται για τον αποκλεισμό μιας εταιρείας από το μητρώο.

Όλες οι υπηρεσίες που παρέχει η Roskomnadzor σε αυτήν την περίπτωση είναι δωρεάν.

Η ισχύουσα νομοθεσία προβλέπει διοικητική ευθύνη για παραβίαση των απαιτήσεων για την προστασία των προσωπικών δεδομένων. Σύμφωνα με τον Ομοσπονδιακό Νόμο αριθ. . Ανάλογα με την παράβαση, τα πρόστιμα για νομικά πρόσωπα βάσει αυτού του άρθρου κυμαίνονται από 15.000 έως 75.000 ρούβλια και για μεμονωμένους επιχειρηματίες - από 5.000 έως 20.000 ρούβλια.

Η άρνηση εγγραφής στο μητρώο μπορεί να θεωρηθεί ως παράλειψη παροχής πληροφοριών στη ρυθμιστική αρχή. Η τιμωρία για αυτό προβλέπεται στο άρθρο 19.7 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας. Σύμφωνα με αυτό, οι υπάλληλοι αντιμετωπίζουν πρόστιμο από 300 έως 500 ρούβλια και τα νομικά πρόσωπα - από 3.000 έως 5.000 ρούβλια.

Τήρηση μητρώου φορέων που επεξεργάζονται προσωπικά δεδομένα

Καταχώριση πληροφοριών σχετικά με τον φορέα εκμετάλλευσης στο μητρώο φορέων που επεξεργάζονται προσωπικά δεδομένα (Ομοσπονδιακή Υπηρεσία Εποπτείας Επικοινωνιών, Τεχνολογιών Πληροφοριών και Μαζικών Επικοινωνιών)

Γενικές πληροφορίες

Αποτελέσματα σέρβις

Ποιος μπορεί να λάβει την υπηρεσία

• Έχει την ιδιότητα του επιχειρηματία
• Ιδιώτες
• Νομικά πρόσωπα

Πώς μπορώ να υποβάλω έγγραφα;

• Ταχυδρομικώς
• Μέσω νομίμου εκπροσώπου

Πώς μπορείτε να λάβετε τα αποτελέσματα της υπηρεσίας;

• Προσωπικά

Λόγοι άρνησης παροχής υπηρεσιών

• Η βάση για την αναστολή της προθεσμίας για την καταχώριση πληροφοριών σχετικά με τον Διαχειριστή στο Μητρώο (πραγματοποίηση αλλαγών και εξαίρεση πληροφοριών σχετικά με τον Διαχειριστή από το Μητρώο) είναι η παροχή από τον χειριστή ελλιπών ή αναξιόπιστων πληροφοριών. (Βάση για την αναστολή της προθεσμίας για την καταχώριση πληροφοριών σχετικά με τον Διαχειριστή στο Μητρώο (τροποποίηση και εξαίρεση πληροφοριών σχετικά με τον Διαχειριστή από το Μητρώο) είναι η παροχή από τον Διαχειριστή ελλιπών ή αναξιόπιστων πληροφοριών.)

Περίοδος παράδοσης υπηρεσιών

Περίοδος ολοκλήρωσης της υπηρεσίας: Η παροχή δημόσιων υπηρεσιών πραγματοποιείται χωρίς άμεση αλληλεπίδραση με τον αιτούντα.
Οι πληροφορίες σχετικά με τον Διαχειριστή καταχωρούνται στο μητρώο εντός 15 ημερών από την ημερομηνία λήψης της ειδοποίησης με βάση τα αποτελέσματα της επαλήθευσης των πληροφοριών που περιέχονται στην ειδοποίηση. Ως ημερομηνία υπογραφής της παραγγελίας θεωρείται η ημερομηνία καταχώρισης στοιχείων για τον Διαχειριστή στο Μητρώο.
Μια αίτηση για την παροχή δημόσιας υπηρεσίας καταχωρείται το αργότερο την επόμενη ημέρα της παραλαβής της από την Roskomnadzor (το εδαφικό όργανο της Roskomnadzor).
Οι πληροφορίες σχετικά με την εισαγωγή πληροφοριών σχετικά με τον Χειριστή στο Μητρώο δημοσιεύονται στον επίσημο ιστότοπο της Roskomnadzor το αργότερο 3 ημέρες από την ημερομηνία υπογραφής της παραγγελίας.

Η βάση για την εξέταση του θέματος της εισαγωγής πληροφοριών σχετικά με τον Διαχειριστή στο Μητρώο είναι η αποστολή από τον Διαχειριστή της Ειδοποίησης απευθείας στο Roskomnadzor (το εδαφικό όργανο της Roskomnadzor) ή η λήψη της ειδοποίησης στο Ενοποιημένο Πληροφοριακό Σύστημα από την Ενοποιημένη Πύλη με την εκχώρηση εισερχόμενου αριθμού σε αυτό.
Η ειδοποίηση πρέπει να περιέχει τις ακόλουθες πληροφορίες:

1. Όνομα (επώνυμο, όνομα, πατρώνυμο), διεύθυνση του Διαχειριστή.
2. Σκοπός επεξεργασίας προσωπικών δεδομένων.
3. Κατηγορίες προσωπικών δεδομένων.
4. Κατηγορίες υποκειμένων των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία.
5. Νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
6. Κατάλογος ενεργειών με προσωπικά δεδομένα, γενική περιγραφή των μεθόδων που χρησιμοποιεί ο Διαχειριστής για την επεξεργασία προσωπικών δεδομένων.
7. Περιγραφή των μέτρων που προβλέπονται στα άρθρα 18.1 και 19 του ομοσπονδιακού νόμου, συμπεριλαμβανομένων των πληροφοριών σχετικά με τη διαθεσιμότητα μέσων κρυπτογράφησης (κρυπτογραφικής) και των ονομάτων αυτών των μέσων.
8. Επώνυμο, όνομα, πατρώνυμο του φυσικού προσώπου ή όνομα του νομικού προσώπου που είναι υπεύθυνο για την οργάνωση της επεξεργασίας προσωπικών δεδομένων, και τηλέφωνα επικοινωνίας, ταχυδρομικές διευθύνσεις και διευθύνσεις ηλεκτρονικού ταχυδρομείου.
9. Πληροφορίες σχετικά με την παρουσία ή την απουσία διασυνοριακής διαβίβασης προσωπικών δεδομένων κατά τη διαδικασία επεξεργασίας.
10. Πληροφορίες για την ασφάλεια του προσωπικού

www.gosuslugi71.ru

Άρθρα για το θέμα

Υπεύθυνος επεξεργασίας προσωπικών δεδομένων είναι κάθε άτομο που συλλέγει πληροφορίες για υπαλλήλους και πελάτες. Μάθετε πώς να υποβάλετε αίτηση στη Roskomnadzor για την επεξεργασία προσωπικών δεδομένων, ποιες είναι οι ευθύνες του χειριστή, κάτι που μπορεί να οδηγήσει σε πρόστιμο

Διαβάστε το άρθρο μας:

Ποιος περιλαμβάνεται στο μητρώο χειριστών προσωπικών δεδομένων της Roskomnadzor

Χειριστής προσωπικών δεδομένων είναι κάθε πρόσωπο που συλλέγει πληροφορίες για υπαλλήλους και πελάτες (άρθρο 3 του νόμου αριθ. 152-FZ «Περί Προσωπικών Δεδομένων»).

Νέα ευθύνη για παραβιάσεις προσωπικών δεδομένων. Για τι και πόσο θα τους επιβληθεί πλέον πρόστιμο>>>

Μια κρατική ή δημοτική εταιρεία, μια νομική οντότητα, ένας επιχειρηματίας ή ακόμα και ένα απλό άτομο μπορεί να γίνει χειριστής (OPD) εάν συλλέγει πληροφορίες για άλλα άτομα και καθορίζει ανεξάρτητα ποια δεδομένα θα ζητήσει, πώς να τα επεξεργαστεί και στη συνέχεια τι να κάνει με τις συλλεγόμενες πληροφορίες.

Ο νόμος ορίζει τα προσωπικά δεδομένα ως κάθε πληροφορία που σχετίζεται άμεσα ή έμμεσα με ένα αναγνωρισμένο ή αναγνωρίσιμο άτομο (αντικείμενο προσωπικών δεδομένων).

Φυσικά, στις περισσότερες περιπτώσεις, οι ζητούμενες πληροφορίες περιορίζονται μόνο στο επώνυμο, το όνομα, το πατρώνυμο, τα στοιχεία διαβατηρίου και τον αριθμό κινητού τηλεφώνου, αλλά μερικές φορές για να αναγνωρίσετε ένα άτομο πρέπει να μάθετε τον αριθμό του αυτοκινήτου του, τα στοιχεία της άδειας οδήγησης ή SNILS και άλλες πληροφορίες.

Δεν υπάρχει εξαντλητικός κατάλογος στον νόμο, επομένως απολύτως οποιαδήποτε πληροφορία απαιτείται για την ταυτοποίηση μπορεί να θεωρηθεί προσωπικά δεδομένα.

Αποδεικνύεται ότι όποιος ζητά και χρησιμοποιεί τέτοιες πληροφορίες και έχει υποβάλει την κατάλληλη αίτηση περιλαμβάνεται στο μητρώο χειριστών προσωπικών δεδομένων της Roskomnadzor. Υπάρχουν ήδη περισσότερες από 400.000 θέσεις εκεί και συνεχώς εμφανίζονται νέα πρόσωπα. Ανάμεσά τους τράπεζες, ασφαλιστικές εταιρείες, ταξιδιωτικά γραφεία, ινστιτούτα αισθητικής, καταστήματα, ενώσεις ιδιοκτητών σπιτιού, νηπιαγωγεία, κλινικές και πολλά άλλα.

Εάν οποιοσδήποτε ιστότοπος παρέχει μια φόρμα σχολίων, συνδρομή ή προσωπικό λογαριασμό στον οποίο οι επισκέπτες θα αφήνουν δεδομένα, τότε οι κάτοχοι του ιστότοπου θα πρέπει επίσης να εγγραφούν στο μητρώο.

Ο χειριστής δεν μπορεί να επεξεργαστεί τις πληροφορίες που έλαβε χωρίς τη συγκατάθεση του ατόμου στο οποίο ανήκουν.

Υπάρχουν όμως και εξαιρέσεις. Εάν κάποιος νόμος προβλέπει τέτοια εργασία με πληροφορίες (καθορίζοντας τον σκοπό και το περιεχόμενο της επεξεργασίας), τότε δεν απαιτείται συναίνεση.

Για παράδειγμα, σύμφωνα με το Νόμο «Περί Εκπαίδευσης», για την εισαγωγή στην Ενιαία Κρατική Εξέταση, παρέχεται η μεταφορά, η επεξεργασία και η παροχή προσωπικών δεδομένων μαθητών χωρίς την υπογραφή τους για τη συγκατάθεσή τους για εργασία με πληροφορίες.

Πώς να υποβάλετε αίτημα για επεξεργασία προσωπικών δεδομένων

Η ειδοποίηση μπορεί να υποβληθεί στον ιστότοπο Roskomnadzor και να αποσταλεί ταχυδρομικώς.

Κατά τη συμπλήρωση της ηλεκτρονικής φόρμας ειδοποίησης, θα πρέπει να αναφέρετε:

• ΑΦΜ, OGRN και άλλα στοιχεία του αιτούντος·
• σκοπούς και νομική βάση για την επεξεργασία δεδομένων·
• αναφέρετε ακριβώς ποια δεδομένα θα υποβληθούν σε επεξεργασία και πώς θα συμβεί αυτό·
• λεπτομέρειες των αδειών (εάν οι δραστηριότητες του αιτούντος έχουν άδεια)·
• μέτρα που λαμβάνονται για να διασφαλιστεί η ασφάλεια των δεδομένων που λαμβάνονται·
• ημερομηνία έναρξης της επεξεργασίας και πολλά άλλα (άρθρο 22 του νόμου αριθ. 152-FZ).

Αφού συμπληρωθεί η ηλεκτρονική φόρμα, μπορεί να μεταφορτωθεί από τον ιστότοπο Roskomnadzor, να εκτυπωθεί, να υπογραφεί και να ταχυδρομηθεί στην εδαφική αρχή. Αυτό θα επιβεβαιώσει τις πληροφορίες που αποστέλλονται μέσω του ιστότοπου.



Υπάρχει μια επιλογή να συμπληρώσετε μια αίτηση μέσω της Πύλης Κρατικών Υπηρεσιών, αλλά αυτός είναι ένας λιγότερο βολικός τρόπος από την επικοινωνία με την Roskomnadzor μέσω του δικού της ιστότοπου.

Εάν όλα γίνουν σωστά, η εταιρεία θα εγγραφεί από την Roskomnadzor στο μητρώο φορέων που επεξεργάζονται προσωπικά δεδομένα.

Ο νόμος προβλέπει εξαιρέσεις όταν δεν απαιτείται τέτοια εγγραφή.

Τα ακόλουθα ενδέχεται να μην υποβάλουν αίτηση για ένταξη στο μητρώο:

• εργοδότες που συλλέγουν πληροφορίες για τους υπαλλήλους τους·
• αυτοί που επεξεργάζονται μόνο τα πλήρη ονόματα ατόμων·
• αυτοί που λαμβάνουν πληροφορίες για να επιτρέψουν σε ένα άτομο να εισέλθει μία φορά στην επικράτειά τους, κ.λπ.

Ο πλήρης κατάλογος των εξαιρέσεων περιγράφεται στο Μέρος 2 του Άρθ. 22 του νόμου αριθ. 152-FZ «Περί Προσωπικών Δεδομένων». Μια εταιρεία που πιστεύει ότι βρίσκεται σε αυτήν την πολυπόθητη λίστα θα πρέπει να υποστηρίξει ότι αυτό είναι πράγματι έτσι.

Σε κατ' ιδίαν συνομιλία με επιθεωρητές, μάθαμε πού θα «σκάψουν» όταν πρέπει να επιβληθεί πρόστιμο σε μια εταιρεία, αλλά δεν υπάρχει σαφής λόγος. Ετοιμαστείτε για αυτό που θα αναζητήσουν - τα σχέδια για πρόστιμα σχεδιάζονται να αυξηθούν.

Με βάση τις διατάξεις του νόμου, αίτηση για επεξεργασία προσωπικών δεδομένων πρέπει να υποβληθεί τις πρώτες ημέρες μετά τη δημιουργία νομικού προσώπου ή μεμονωμένου επιχειρηματία - δηλαδή πριν από την έναρξη της εργασίας με τις πληροφορίες.

Αλλά στην πράξη, ο χειριστής εργάζεται ήδη με πλήρη ταχύτητα για αρκετούς μήνες ή και χρόνια, όταν εμφανίζεται η ιδέα της εγγραφής στη διοίκηση. Εάν αυτή η ιδέα έρθει στη διοίκηση πριν φτάσει η Roskomnadzor, καλό - θα είναι δυνατό να αποφευχθεί το πρόστιμο ή άλλες κυρώσεις.

Και αν φτάσουν επιθεωρητές πριν από την υποβολή της ειδοποίησης, θα πρέπει να πληρώσετε για τη βραδύτητα τους.

Υποχρεώσεις του χειριστή κατά την επεξεργασία προσωπικών δεδομένων

Αφού μια εταιρεία ή ένας επιχειρηματίας εγγραφεί στην Roskomnadzor ως φορέας εκμετάλλευσης προσωπικών δεδομένων, θα πρέπει να εκπληρώσει τις υποχρεώσεις που προβλέπονται στο Κεφάλαιο 4 του νόμου αριθ. 152-FZ. Ειδικότερα, το ΟΠΔ πρέπει:

• εξηγήστε στο υποκείμενο από ποιον λαμβάνουν πληροφορίες τι ακριβώς λαμβάνουν και γιατί·
• εξηγήστε τις συνέπειες της άρνησης παροχής πληροφοριών·
• διασφαλίζει την καταγραφή, τη συστηματοποίηση, τη συσσώρευση, την αποθήκευση, την αποσαφήνιση, κ.λπ. των πληροφοριών που λαμβάνονται·
• παρέχει πληροφορίες σχετικά με την επεξεργασία δεδομένων στο υποκείμενο εάν δεν ελήφθησαν από αυτόν·
• λαμβάνει μέτρα για την προστασία από μη εξουσιοδοτημένη (τυχαία) πρόσβαση σε πληροφορίες, καταστροφή, τροποποίηση, αποκλεισμό ή αντιγραφή·
• ορίσει ένα υπεύθυνο άτομο.

Οι χειριστές πρέπει να λαμβάνουν την προηγούμενη συγκατάθεση του ατόμου για την επεξεργασία προσωπικών πληροφοριών. Ζητείται εγγράφως - το υποκείμενο υπογράφει ένα έγγραφο που αναφέρει ότι τα δεδομένα συλλέγονται σύμφωνα με τον νόμο αριθ. 152-FZ, μετά την παραλαβή τους θα αποθηκευτούν σωστά, θα χρησιμοποιηθούν και στη συνέχεια θα καταστραφούν. Μπορείτε να κατεβάσετε ένα ειδικό έντυπο που προτείνει η Roskomnadzor στον ιστότοπό της.

Ευθύνη για άρνηση εγγραφής στο μητρώο

Εάν ένας δυνητικός χειριστής δεν έχει υποβάλει αίτηση για να συμπεριληφθεί στο μητρώο προσωπικών δεδομένων Roskomnadzor, αντιμετωπίζει διοικητική ευθύνη. Η άρνηση εγγραφής στο μητρώο θεωρείται ως μη παροχή πληροφοριών στη ρυθμιστική αρχή. Ένα τέτοιο αδίκημα τιμωρείται σύμφωνα με το άρθρο 19.7 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας. Σύμφωνα με αυτήν τη ρήτρα, σε ένα άτομο μπορεί να επιβληθεί πρόστιμο από εκατό έως τριακόσια ρούβλια. για αξιωματούχους - από τριακόσια έως πεντακόσια ρούβλια. για νομικά πρόσωπα - από τρεις χιλιάδες έως πέντε χιλιάδες ρούβλια.

Εάν δεν θέλετε να φέρετε ευθύνη για την άρνησή σας να εγγραφείτε στο μητρώο και να πληρώσετε πρόστιμα (αν και όχι τόσο μεγάλα όσο για άλλα εγκλήματα), είναι καλύτερο να συμμορφωθείτε με τις απαιτήσεις του νόμου και να υποβάλετε έγκαιρα αίτηση.

www.pro-personal.ru

Μητρώο χειριστών προσωπικών δεδομένων